大家经常用U盘, 也许就和我一样,遇到过这种叫 fun.xls.exe的病毒. fun.xle.exe是一种叫做U盘病毒tel.xls.exe的变种,会在电脑里注入文件,这个病毒目前应该有四个变种.用记事本打开AUTORUN是如下代码: [AutoRun] open=fun.xls.exe shellexecute=fun.xls.exe shell\Auto\command=fun.xls.exe shell=Auto [VVflagRun] aabb=kdkfjdkfk1 这个病毒瑞星暂不能查杀,我试了下用最新的卡巴可以杀掉,网上有人用国产的江民杀好象也能杀掉,笔者没有测试。
fun.xle.exe病毒分析,这是笔者从网上找的 系统症状 每次双击盘符出现一个新窗口 鼠标右键点盘符出现”Auto”字样 无法显示隐藏文件 样本分析 注册表中添加 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [IMJPMIG8.2]msime82.exe{0x00}{0x00}{0x00}. HKCU\Software\Microsoft\Windows\CurrentVersion\Run [MsServer]msfun80.exe{0x00}{0x00}{0x00}. 修改注册表 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL [CheckedValue] 被清空.. 释放文件 C:\Documents and Settings\mopery\Local Settings\Temp\~DFA4C3.tmp C:\Documents and Settings\mopery\Local Settings\Temp\~DFC86B.tmp C:\WINDOWS\system32\algsrvs.exe C:\WINDOWS\system32\msfun80.exe C:\WINDOWS\system32\msime82.exe C:\WINDOWS\ufdata2000.log 每个盘符下释放 AUTORUN.INF fun.xls.exe AUTORUN.INF文件内容 [AutoRun] open=fun.xls.exe shellexecute=fun.xls.exe shell\Auto\command=fun.xls.exe shell=Auto [VVflagRun] aabb=kdkfjdkfk1 解决方法 1.安全模式下.删除文件 C:\Documents and Settings\mopery\Local Settings\Temp\~DFA4C3.tmp C:\Documents and Settings\mopery\Local Settings\Temp\~DFC86B.tmp C:\WINDOWS\system32\algsrvs.exe C:\WINDOWS\system32\msfun80.exe C:\WINDOWS\system32\msime82.exe C:\WINDOWS\ufdata2000.log 2.删除注册表 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [IMJPMIG8.2]msime82.exe{0x00}{0x00}{0x00}. HKCU\Software\Microsoft\Windows\CurrentVersion\Run [MsServer]msfun80.exe{0x00}{0x00}{0x00}. 3.恢复显示所有的文件项 开始=>运行=>regedit 找到HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL 删除 CheckedValue 键值 然后单击右键”新建” – “Dword值”,并命名为CheckedValue,然后修改它的键值为1 4.右键=>打开进入每个盘符 依次删除每个盘符里的文件 AUTORUN.INF fun.xls.exe
autorun.inf fun.xls.exe的批文件清除方法 1.将下面这段代码保存为1.bat (保存类型要在显示后缀名情况下才能修改!在窗口-工具-文件夹-查看-高级设置-隐藏已知文件类型的扩展名(勾去掉))双击即可 研究了一个晚上请多多支持啦 @echo on taskkill /im explorer.exe /f taskkill /im wscript.exe /f taskkill /im algsrvs.exe /f start reg DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v IMJPMIG8.2 /f start reg DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v MsServer /f start reg DELETE HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden \SHOWALL /v CheckedValue /f start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f start reg add HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden \SHOWALL /v CheckedValue /t REG_DWORD /d 1 /f start reg import kill.reg del c:\autorun.* fun.xls.exe /f /q /as del %SYSTEMROOT%\system32\autorun.* msime82.exe algsrvs.exe fun.xls.exe msfun80.exe /f /q /as del %temp%\~DF8785.tmp ~DFD1D6.tmp ~DFA4C3 ~DFC86B.tmp /f /q /as del %systemroot%\ufdata2000.log del d:\autorun.* fun.xls.exe /f /q /as del e:\autorun.* fun.xls.exe /f /q /as del f:\autorun.* fun.xls.exe /f /q /as del g:\autorun.* fun.xls.exe /f /q /as del h:\autorun.* fun.xls.exe /f /q /as del i:\autorun.* fun.xls.exe /f /q /as del j:\autorun.* fun.xls.exe /f /q /as del k:\autorun.* fun.xls.exe /f /q /as del l:\autorun.* fun.xls.exe /f /q /as start explorer.exe
2.下面这段是我刚刚修改的,没有成功的同志可以试一试!这个比较高级,有点长…呵呵 不能显示隐藏文件,和删除ratorun fun.xls.exe 病毒都行!
@echo off title autorun专杀工具 color 9A echo 欢迎使用米拉落草的青楼autorun专杀工具! echo ———————— echo 如果你的光驱中有光盘请先弹出然后继续! :n echo 您要继续吗?输入y整机杀毒开始,输入u只杀u盘,输入n退出! :retry set /p c=请输入您的选择(y/u/n): if “%c%”==”y” goto s if “%c%”==”u” goto b if “%c%”==”n” goto t goto retry :b set /p a=请输入你要查杀的盘符(e f g…): if “%a%”==”e” goto e if “%a%”==”f” goto f if “%a%”==”g” goto g if “%a%”==”h” goto h if “%a%”==”i” goto i if “%a%”==”j” goto j if “%a%”==”k” goto k if “%a%”==”l” goto l echo 输入错误!请重新输入!&&goto b :s taskkill /im explorer.exe /f taskkill /im wscript.exe /f taskkill /im algsrvs.exe /f start reg DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v IMJPMIG8.2 /f start reg DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v MsServer /f start reg DELETE HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /f start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f start reg add HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 1 /f start reg import kill.reg attrib c:\fun.xls.exe -h -r -a -s attrib c:\autorun.* -h -r -a -s del c:\autorun.* c:fun.xls.exe /f attrib %SYSTEMROOT%\system32\fun.xls.exe -h -r -a -s attrib %SYSTEMROOT%\system32\autorun.* -h -r -a -s del %SYSTEMROOT%\system32\autorun.* %SYSTEMROOT%\system32\msime82.exe %SYSTEMROOT%\system32\algsrvs.exe %SYSTEMROOT%\system32\fun.xls.exe %SYSTEMROOT%\system32\msfun80.exe /f del %temp%\~DF8785.tmp %temp%\~DFD1D6.tmp %temp%\~DFA4C3 %temp%\~DFC86B.tmp /f /q /as del %systemroot%\ufdata2000.log /f attrib d:\fun.xls.exe -h -r -a -s attrib d:\autorun.* -h -r -a -s del d:\autorun.* d:\fun.xls.exe /f attrib e:\fun.xls.exe -h -r -a -s attrib e:\autorun.* -h -r -a -s del e:\autorun.* e:\fun.xls.exe /f attrib f:\fun.xls.exe -h -r -a -s attrib f:\autorun.* -h -r -a -s del f:\autorun.* f:\fun.xls.exe /f attrib g:\fun.xls.exe -h -r -a -s attrib g:\autorun.* -h -r -a -s del g:\autorun.* g:\fun.xls.exe /f attrib h:\fun.xls.exe -h -r -a -s attrib h:\autorun.* -h -r -a -s del h:\autorun.* h:\fun.xls.exe /f attrib i:\fun.xls.exe -h -r -a -s attrib i:\autorun.* -h -r -a -s del i:\autorun.* i:\fun.xls.exe /f attrib j:\fun.xls.exe -h -r -a -s attrib j:\autorun.* -h -r -a -s del j:\autorun.* j:\fun.xls.exe /f attrib k:\fun.xls.exe -h -r -a -s attrib k:\autorun.* -h -r -a -s del k:\autorun.* k:\fun.xls.exe /f attrib l:\fun.xls.exe -h -r -a -s attrib l:\autorun.* -h -r -a -s del l:\autorun.* l:\fun.xls.exe /f start explorer.exe cls if exist c:\autorun.reg echo 病毒没有清除!&&goto n if exist c:\fun.xls.exe echo 病毒没有清除!&&goto n echo 杀毒成功!感谢您的支持!米拉之落真诚帮您杀毒! set /p d=现在重新启动系统确定吗?(y/n): if “%d%”==”y” shutdown -r -t 0 exit if “%d%”==”n” echo 按任意键退出。 pause exit :t echo 多谢您的支持!按任意键退出。 pause exit :e attrib e:\fun.xls.exe -h -r -a -s attrib e:\autorun.* -h -r -a -s cls if not exist e:\autorun.* echo 您的u盘没有病毒!&&goto t del e:\autorun.* e:\fun.xls.exe /f cls if exist e:\autorun.reg echo 病毒没有清除!&&goto n if exist e:\fun.xls.exe echo 病毒没有清除!&&goto n goto m :f attrib f:\fun.xls.exe -h -r -a -s attrib f:\autorun.* -h -r -a -s cls if not exist f:\autorun.* echo 您的u盘没有病毒!&&goto t del f:\autorun.* f:\fun.xls.exe /f cls if exist f:\autorun.reg echo 病毒没有清除!&&goto n if exist f:\fun.xls.exe echo 病毒没有清除!&&goto n goto m :h attrib h:\fun.xls.exe -h -r -a -s attrib h:\autorun.* -h -r -a -s cls if not exist h:\autorun.* echo 您的u盘没有病毒!&&goto t del h:\autorun.* h:\fun.xls.exe /f cls if exist h:\autorun.reg echo 病毒没有清除!&&goto n if exist h:\fun.xls.exe echo 病毒没有清除!&&goto n goto m :i attrib i:\fun.xls.exe -h -r -a -s attrib i:\autorun.* -h -r -a -s cls if not exist i:\autorun.* echo 您的u盘没有病毒!&&goto t del i:\autorun.* i:\fun.xls.exe /f cls if exist i:\autorun.reg echo 病毒没有清除!&&goto n if exist i:\fun.xls.exe echo 病毒没有清除!&&goto n goto m :j attrib j:\fun.xls.exe -h -r -a -s attrib j:\autorun.* -h -r -a -s cls if not exist j:\autorun.* echo 您的u盘没有病毒!&&goto t del j:\autorun.* j:\fun.xls.exe /f cls if exist j:\autorun.reg echo 病毒没有清除!&&goto n if exist j:\fun.xls.exe echo 病毒没有清除!&&goto n goto m :k attrib k:\fun.xls.exe -h -r -a -s attrib k:\autorun.* -h -r -a -s cls if not exist k:\autorun.* echo 您的u盘没有病毒!&&goto t del k:\autorun.* k:\fun.xls.exe /f cls if exist k:\autorun.reg echo 病毒没有清除!&&goto n if exist k:\fun.xls.exe echo 病毒没有清除!&&goto n goto m :l attrib l:\fun.xls.exe -h -r -a -s attrib l:\autorun.* -h -r -a -s cls if not exist l:\autorun.* echo 您的u盘没有病毒!&&goto t del l:\autorun.* l:\fun.xls.exe /f cls if exist l:\autorun.reg echo 病毒没有清除!&&goto n if exist l:\fun.xls.exe echo 病毒没有清除!&&goto n goto m :m cls echo 杀毒成功,请重新弹出后在插入您的u盘!按任意键退出。谢谢你的支持! pause exit
转载于:https://blog.51cto.com/sally/14540
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/186111.html原文链接:https://javaforall.cn
原文地址:https://cloud.tencent.com/developer/article/2157261
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。