fun.xls.exe病毒分析、查殺及批處理清除「建議收藏」

大家經常用U盤, 也許就和我一樣,遇到過這種叫
fun.xls.exe的病毒.


fun.xle.exe是一種叫做U盤病毒tel.xls.exe的變種，會在電腦里注入文件,這個病毒目前應該有四個變種.用記事本打開AUTORUN是如下代碼：

[AutoRun]

open=fun.xls.exe

shellexecute=fun.xls.exe

shell\Auto\command=fun.xls.exe

shell=Auto

[VVflagRun]

aabb=kdkfjdkfk1

這個病毒瑞星暫不能查殺，我試了下用最新的卡巴可以殺掉，網上有人用國產的江民殺好象也能殺掉，筆者沒有測試。

fun.xle.exe病毒分析，這是筆者從網上找的


系統癥狀

每次雙擊盤符出現一個新窗口

鼠標右鍵點盤符出現”Auto”字樣

無法顯示隱藏文件


樣本分析

注冊表中添加

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

[IMJPMIG8.2]msime82.exe{0x00}{0x00}{0x00}.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

[MsServer]msfun80.exe{0x00}{0x00}{0x00}.

修改注冊表

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

[CheckedValue] 被清空..

釋放文件

C:\Documents and Settings\mopery\Local Settings\Temp\~DFA4C3.tmp

C:\Documents and Settings\mopery\Local Settings\Temp\~DFC86B.tmp

C:\WINDOWS\system32\algsrvs.exe

C:\WINDOWS\system32\msfun80.exe

C:\WINDOWS\system32\msime82.exe

C:\WINDOWS\ufdata2000.log

每個盤符下釋放

AUTORUN.INF

fun.xls.exe

AUTORUN.INF文件內容

[AutoRun]

open=fun.xls.exe

shellexecute=fun.xls.exe

shell\Auto\command=fun.xls.exe

shell=Auto

[VVflagRun]

aabb=kdkfjdkfk1


解決方法

1.安全模式下.刪除文件

C:\Documents and Settings\mopery\Local Settings\Temp\~DFA4C3.tmp

C:\Documents and Settings\mopery\Local Settings\Temp\~DFC86B.tmp

C:\WINDOWS\system32\algsrvs.exe

C:\WINDOWS\system32\msfun80.exe

C:\WINDOWS\system32\msime82.exe

C:\WINDOWS\ufdata2000.log

2.刪除注冊表

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

[IMJPMIG8.2]msime82.exe{0x00}{0x00}{0x00}.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

[MsServer]msfun80.exe{0x00}{0x00}{0x00}.

3.恢復顯示所有的文件項

開始=>運行=>regedit

找到HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL

刪除 CheckedValue 鍵值 然后單擊右鍵”新建” – “Dword值”，并命名為CheckedValue,然后修改它的鍵值為1

4.右鍵=>打開進入每個盤符 依次刪除每個盤符里的文件

AUTORUN.INF

fun.xls.exe

autorun.inf fun.xls.exe的批文件清除方法

1.將下面這段代碼保存為1.bat (保存類型要在顯示后綴名情況下才能修改！在窗口-工具-文件夾-查看-高級設置-隱藏已知文件類型的擴展名（勾去掉）)雙擊即可研究了一個晚上請多多支持啦

@echo on

taskkill /im explorer.exe /f

taskkill /im wscript.exe /f

taskkill /im algsrvs.exe /f

start reg DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v IMJPMIG8.2 /f

start reg DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v MsServer /f

start reg DELETE

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden

\SHOWALL /v CheckedValue /f

start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v

ShowSuperHidden /t REG_DWORD /d 1 /f

start reg add

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden

\SHOWALL /v CheckedValue /t REG_DWORD /d 1 /f

start reg import kill.reg

del c:\autorun.* fun.xls.exe /f /q /as

del %SYSTEMROOT%\system32\autorun.* msime82.exe algsrvs.exe fun.xls.exe msfun80.exe /f /q

/as

del %temp%\~DF8785.tmp ~DFD1D6.tmp ~DFA4C3 ~DFC86B.tmp /f /q /as

del %systemroot%\ufdata2000.log

del d:\autorun.* fun.xls.exe /f /q /as

del e:\autorun.* fun.xls.exe /f /q /as

del f:\autorun.* fun.xls.exe /f /q /as

del g:\autorun.* fun.xls.exe /f /q /as

del h:\autorun.* fun.xls.exe /f /q /as

del i:\autorun.* fun.xls.exe /f /q /as

del j:\autorun.* fun.xls.exe /f /q /as

del k:\autorun.* fun.xls.exe /f /q /as

del l:\autorun.* fun.xls.exe /f /q /as

start explorer.exe

2.下面這段是我剛剛修改的,沒有成功的同志可以試一試!這個比較高級,有點長…呵呵

不能顯示隱藏文件,和刪除ratorun fun.xls.exe 病毒都行!

@echo off

title autorun專殺工具

color 9A

echo 歡迎使用米拉落草的青樓autorun專殺工具！

echo ————————

echo 如果你的光驅中有光盤請先彈出然后繼續！

:n

echo 您要繼續嗎？輸入y整機殺毒開始，輸入u只殺u盤，輸入n退出！

:retry

set /p c=請輸入您的選擇（y/u/n）：

if “%c%”==”y” goto s

if “%c%”==”u” goto b

if “%c%”==”n” goto t

goto retry

:b

set /p a=請輸入你要查殺的盤符(e f g…):

if “%a%”==”e” goto e

if “%a%”==”f” goto f

if “%a%”==”g” goto g

if “%a%”==”h” goto h

if “%a%”==”i” goto i

if “%a%”==”j” goto j

if “%a%”==”k” goto k

if “%a%”==”l” goto l

echo 輸入錯誤!請重新輸入!&&goto b

:s

taskkill /im explorer.exe /f

taskkill /im wscript.exe /f

taskkill /im algsrvs.exe /f

start reg DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v IMJPMIG8.2 /f

start reg DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v MsServer /f

start reg DELETE HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /f

start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f

start reg add HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 1 /f

start reg import kill.reg

attrib c:\fun.xls.exe -h -r -a -s

attrib c:\autorun.* -h -r -a -s

del c:\autorun.* c:fun.xls.exe /f

attrib %SYSTEMROOT%\system32\fun.xls.exe -h -r -a -s

attrib %SYSTEMROOT%\system32\autorun.* -h -r -a -s

del %SYSTEMROOT%\system32\autorun.* %SYSTEMROOT%\system32\msime82.exe %SYSTEMROOT%\system32\algsrvs.exe %SYSTEMROOT%\system32\fun.xls.exe %SYSTEMROOT%\system32\msfun80.exe /f

del %temp%\~DF8785.tmp %temp%\~DFD1D6.tmp %temp%\~DFA4C3 %temp%\~DFC86B.tmp /f /q /as

del %systemroot%\ufdata2000.log /f

attrib d:\fun.xls.exe -h -r -a -s

attrib d:\autorun.* -h -r -a -s

del d:\autorun.* d:\fun.xls.exe /f

attrib e:\fun.xls.exe -h -r -a -s

attrib e:\autorun.* -h -r -a -s

del e:\autorun.* e:\fun.xls.exe /f

attrib f:\fun.xls.exe -h -r -a -s

attrib f:\autorun.* -h -r -a -s

del f:\autorun.* f:\fun.xls.exe /f

attrib g:\fun.xls.exe -h -r -a -s

attrib g:\autorun.* -h -r -a -s

del g:\autorun.* g:\fun.xls.exe /f

attrib h:\fun.xls.exe -h -r -a -s

attrib h:\autorun.* -h -r -a -s

del h:\autorun.* h:\fun.xls.exe /f

attrib i:\fun.xls.exe -h -r -a -s

attrib i:\autorun.* -h -r -a -s

del i:\autorun.* i:\fun.xls.exe /f

attrib j:\fun.xls.exe -h -r -a -s

attrib j:\autorun.* -h -r -a -s

del j:\autorun.* j:\fun.xls.exe /f

attrib k:\fun.xls.exe -h -r -a -s

attrib k:\autorun.* -h -r -a -s

del k:\autorun.* k:\fun.xls.exe /f

attrib l:\fun.xls.exe -h -r -a -s

attrib l:\autorun.* -h -r -a -s

del l:\autorun.* l:\fun.xls.exe /f

start explorer.exe

cls

if exist c:\autorun.reg echo 病毒沒有清除！&&goto n

if exist c:\fun.xls.exe echo 病毒沒有清除！&&goto n

echo 殺毒成功！感謝您的支持！米拉之落真誠幫您殺毒！

set /p d=現在重新啟動系統確定嗎？（y/n）:

if “%d%”==”y” shutdown -r -t 0

exit

if “%d%”==”n”

echo按任意鍵退出。

pause

exit

:t

echo 多謝您的支持！按任意鍵退出。

pause

exit

:e

attrib e:\fun.xls.exe -h -r -a -s

attrib e:\autorun.* -h -r -a -s

cls

if not exist e:\autorun.* echo 您的u盤沒有病毒！&&goto t

del e:\autorun.* e:\fun.xls.exe /f

cls

if exist e:\autorun.reg echo 病毒沒有清除！&&goto n

if exist e:\fun.xls.exe echo 病毒沒有清除！&&goto n

goto m

:f

attrib f:\fun.xls.exe -h -r -a -s

attrib f:\autorun.* -h -r -a -s

cls

if not exist f:\autorun.* echo 您的u盤沒有病毒！&&goto t

del f:\autorun.* f:\fun.xls.exe /f

cls

if exist f:\autorun.reg echo 病毒沒有清除！&&goto n

if exist f:\fun.xls.exe echo 病毒沒有清除！&&goto n

goto m

:h

attrib h:\fun.xls.exe -h -r -a -s

attrib h:\autorun.* -h -r -a -s

cls

if not exist h:\autorun.* echo 您的u盤沒有病毒！&&goto t

del h:\autorun.* h:\fun.xls.exe /f

cls

if exist h:\autorun.reg echo 病毒沒有清除！&&goto n

if exist h:\fun.xls.exe echo 病毒沒有清除！&&goto n

goto m

:i

attrib i:\fun.xls.exe -h -r -a -s

attrib i:\autorun.* -h -r -a -s

cls

if not exist i:\autorun.* echo 您的u盤沒有病毒！&&goto t

del i:\autorun.* i:\fun.xls.exe /f

cls

if exist i:\autorun.reg echo 病毒沒有清除！&&goto n

if exist i:\fun.xls.exe echo 病毒沒有清除！&&goto n

goto m

:j

attrib j:\fun.xls.exe -h -r -a -s

attrib j:\autorun.* -h -r -a -s

cls

if not exist j:\autorun.* echo 您的u盤沒有病毒！&&goto t

del j:\autorun.* j:\fun.xls.exe /f

cls

if exist j:\autorun.reg echo 病毒沒有清除！&&goto n

if exist j:\fun.xls.exe echo 病毒沒有清除！&&goto n

goto m

:k

attrib k:\fun.xls.exe -h -r -a -s

attrib k:\autorun.* -h -r -a -s

cls

if not exist k:\autorun.* echo 您的u盤沒有病毒！&&goto t

del k:\autorun.* k:\fun.xls.exe /f

cls

if exist k:\autorun.reg echo 病毒沒有清除！&&goto n

if exist k:\fun.xls.exe echo 病毒沒有清除！&&goto n

goto m

:l

attrib l:\fun.xls.exe -h -r -a -s

attrib l:\autorun.* -h -r -a -s

cls

if not exist l:\autorun.* echo 您的u盤沒有病毒！&&goto t

del l:\autorun.* l:\fun.xls.exe /f

cls

if exist l:\autorun.reg echo 病毒沒有清除！&&goto n

if exist l:\fun.xls.exe echo 病毒沒有清除！&&goto n

goto m

:m

cls

echo 殺毒成功，請重新彈出后在插入您的u盤！按任意鍵退出。謝謝你的支持！

pause

exit

轉載于:https://blog.51cto.com/sally/14540