Virus QQ virus de maldición automática
fun.xle.exe es una variante del virus del disco U tel.xls.exe, que inyecta archivos en la computadora. Este virus tiene 4 variantes. El código para abrir AUTORUN con el Bloc de notas es el siguiente:
[AutoRun]
open=fun.xls.exe
shellexecute=fun.xls.exe
shell\Auto\command=fun.xls.exe
shell\Auto\command=fun.xls.exe
shell=Auto
[VVflagRun]
aabb=kdkfjdkfk1
Este virus Rising no se puede controlar ni eliminar por el momento. Intenté utilizar la última versión de Kaba para comprobarlo y eliminarlo en Alguien. Internet parecía poder verificarlo y eliminarlo usando el verificador doméstico de Jiangmin. Maldita sea, aún no lo he probado.
Análisis del virus Fun.xle.exe, esto es lo que el autor encontró en Internet
Síntomas del sistema
Aparece una nueva ventana cada vez que haces doble clic la unidad de disco
Haga clic derecho en la unidad de disco y aparecerá la palabra "automático"
Los archivos ocultos no se pueden mostrar
Ejemplo de análisis
Adición del registro
HKLM/SOFT
HKLM\SOFT
Resalte algunas palabras Esta es la primera vez que ve este virus en su computadora.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[IMJPMIG8.2]msime82.exe{0x00}{0x00}{0x00}.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[MsServer]msfun80.exe{0x00}{0x00}{0x00}{0x00}.
Modificar el registro
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
[CheckedValue] está borrado....
Liberar archivo p> p>
C:\Documentos y configuraciones\mopery\Configuraciones locales\Temp\~DFA4C3.tmp
C:\Documentos y configuraciones\mopery\Configuraciones locales\Temp\~DFC86B.tmp
p>C:\WINDOWS\system32\algsrvs.exe
C:\WINDOWS\system32\msfun80.exe
C:\WINDOWS\system32\ msime82.exe
C:\WINDOWS\system32\msime82.exe
C:\WINDOWS\ufdata2000.log
Publicado en cada unidad de disco
AUTORUN.INF
fun.xls.exe
Contenido del archivo AUTORUN.INF
[AutoRun]
abrir =fun.xls .exe
shellexecute=fun.xls.exe
shell\Auto\command=fun.xls.exe
shell=Auto p>
[VVflagRun]
aabb =kdkfjdkfk1
Solución
1.
Eliminar archivo
C:\Documents and Settings\mopery\Local Settings\Temp~DFA4C3.tmp
C:\Documents and Settings\mopery\Local Settings\Temp~ DFC86B.tmp
C:\WINDOWS\system32\algsrvs.exe
C:\WINDOWS\system32\msfun80.exe
C:\WINDOWS\system32\msime82. exe
C:\WINDOWS\system32\msime82.exe
C:\WINDOWS\ufdata2000.log
Eliminar el registro
HKLM/SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[IMJPMIG8.2]msime82.exe{ 0x00}{0x00}{0x00}.
HKCU\Software\Microsoft \Windows\CurrentVersion\Run
[MsServer]msfun80.exe{ 0x00}{0x00}{0x00}{0x00}.
3. Reanudar la visualización de todas las entradas de archivos
Inicio=>Ejecutar=>regedit
Busque HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\ Advanced\Folder\Hidden\SHOWALL
Elimine la clave CheckedValue y luego haga clic derecho en "Nuevo" - "Valor Dword" y asígnele el nombre CheckedValue, luego cambie su valor clave a 1
4. Haga clic derecho => abrir para ingresar a cada unidad de disco y elimine cada unidad de disco por turno. Archivos
5. Eliminar archivos en cada disco
AUTORUN.INF
fun.xls.exe
Eliminar la ejecución automática en lotes. Método de archivo fun.xls.exe
1. Guarde el siguiente código como 1.bat (¡el tipo de guardado solo se puede cambiar cuando se muestra el sufijo! En la ventana - Herramientas - Carpeta - Ver - Configuración avanzada - Ocultar extensiones para tipos de archivos conocidos (elimine la marca de verificación)) Haga doble clic y estúdielo durante la noche. Por favor, apóyenme
@echo en
taskkill /im explorer.exe /f
taskkill /im wscript.exe /f
El siguiente código se guarda como 1.bat.
taskkill /im algsrvs.exe /f
iniciar registro ELIMINAR HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v IMJPMIG8.2 /f
iniciar registro ELIMINAR HKLM \SOFTWARE \Microsoft\Windows\CurrentVersion\Run /v MsServer /f
iniciar registro DELETE
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\explorer\Advanced\Folder\Hidden
\SHOWALL /v CheckedValue /f
iniciar registro agregar HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced/v p>
ShowSuperHidden /t REG_DWORD /d 1 /f
iniciar reg agregar
HKEY_LOCAL_MACHINE\Software\SoftwareHidden
SHOWALL /v CheckedValue /f
iniciar regadd MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden
\SHOWALL /v CheckedValue /t REG_DWORD /d 1 /f
iniciar registro importar kill.reg
del c:\autorun.* fun.xls.exe /f /q /as
del %SYSTEMROOT%\system32\autorun.* msime82.exe algsrvs.exe fun.xls.exe msfun80.exe /f /q
/as
del %temp%\~DF8785.tmp ~DFD1D6.tmp ~DFA4C3 ~ DFC86B.tmp /f /q /as
del %systemroot%\ ufdata2000.log
del d:\autorun.* fun.xls.exe /f /q /as
del e:\autorun.* fun.xls.exe /f /q /as
del f:\autorun.exe /f /q /as
del h:\autorun.* fun.xls.exe /f /q /as
del i:\autorun.* fun.xls.exe /f /q /as
del j:\autorun.* fun.xls.>del j:\autorun.* fun.xls.exe /f /q /as
del k:\autorun.* fun.xls.exe /f /q /as
del l:\autorun.* fun.xls.exe /f /q /as
iniciar explorer.exe
2 ¡El siguiente párrafo es lo que acabo de modificar! ¡Los camaradas que no lo hayan logrado pueden intentarlo! Esto es más avanzado y un poco largo... Jaja
¡Los archivos ocultos no se pueden mostrar y todos los virus ratorun fun.xls.exe se eliminarán!
@echo off
title Ejecutar herramienta antivirus automáticamente
color 9A
echo Bienvenido a la herramienta antivirus automática de Mira Mako !
echo ---------------------
echo Si tiene un CD-ROM en su unidad óptica, por favor ¡Expulse el CD-ROM primero y luego continúe!
:n
echo ¿Quieres continuar? Escriba y para comenzar a desactivar toda la máquina, u para desactivar solo la unidad USB y n para salir.
:reintentar
>
set /p c=Por favor ingrese su elección (y/u/n):
if "%c%"=="y" goto s
if " % c%"=="u" ir a b
if "%c%"=="n" ir a t
ir a reintentar
:b< / p>
set /p a=Ingrese la letra del disco que desea verificar (por ejemplo...):
if "%a%"=="e" Saltar a e p >
si "%a%"=="f" salta a f
si "%a%"=="g" salta a g
si "%a %"=="h" salta a h
si si "%a%"=="i" obtiene i
si "%a%"== "j" obtiene j
si "%a%"=="k" obtiene k
si "%a%"=="l" obtiene l
entrada de eco ¡error! ¡Vuelva a escribir &&goto b
:s
taskkill /im explorer.exe /f
taskkill /im wscript.exe /f
taskkill /im algsrvs.exe /f
iniciar registro ELIMINAR HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v IMJPMIG8.2 /f
iniciar registro ELIMINAR HKLMSOFTWAREMicrosoft\WindowsCurrentVersion \Ejecutar /v MsServer /f
iniciar registro DELETE HKEY_LOCAL_MACHINE\Software\Microsoft\windowsCurrentVersion\explorer\Advanced Folder\Hidden\SHOWALL /v CheckedValue /f
iniciar registro agregarHKCUSOFTWARE\Microsoft \WindowsCurrentVersion\explorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f
iniciar reg agregar HKEY_LOCAL_MACHINE\Software\Microsoft\windowsCurrentVersion\explorer\Advanced Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD / d 1 /f
iniciar reg importar kill.reg
attrib c:\fun.xls.exe -h -r -a -s
attrib c .\autorun.* -h -r -a -s
del c:\autorun.* c:fun.xls.exe /f
attrib %SYSTEMROOT%\system32\ fun.xls.exe -h -r -a -s
attrib % SYSTEMROOT%\system32\autorun.* -h -r -a -s
del %SYSTEMROOT%\ system32\autorun.* %SYSTEMROOT%\system32\msime82.exe %SYSTEMROOT%\syste
m32\algsrvs.exe %SYSTEMROOT%\system32\fun.xls.exe %SYSTEMROOT%\system32\msfun80.exe /f
del %temp%\~DF8785.tmp %temp%\~DFD1D6 . tmp %temp%\~DFA4C3 %temp%\~DFC86B.tmp /f /q /as
del %systemroot%\ufdata2000.log /f
attrib d:\fun .xls.
del e:\autorun.* e:\fun.xls.exe /f
attrib f:\fun.xls.exe -h -r -a - s
attrib f:\autorun.* -h -r -a -s
del f:\autorun.* f:\fun .xls.exe /f
atributo g:\fun.xls.exe -h -r -a -s
atributo g:\fun.xls.exe -h -r -a -s
del g:\autorun.* g:\fun.xls.exe /f
attrib h :\fun.xls.exe -h -r -a -s
attrib h:\autorun.* -h -r -a -s
del h:\autorun.* h:\fun.xls.exe /f
attrib i:\ fun.xls.exe -h -r -a -s