Red de conocimiento informático - Problemas con los teléfonos móviles - Virus QQ virus de maldición automática

Virus QQ virus de maldición automática

Todos ustedes usan a menudo unidades flash USB y tal vez, como yo, se hayan encontrado con este virus llamado fun.xls.exe.

fun.xle.exe es una variante del virus del disco U tel.xls.exe, que inyecta archivos en la computadora. Este virus tiene 4 variantes. El código para abrir AUTORUN con el Bloc de notas es el siguiente:

[AutoRun]

open=fun.xls.exe

shellexecute=fun.xls.exe

shell\Auto\command=fun.xls.exe

shell\Auto\command=fun.xls.exe

shell=Auto

[VVflagRun]

aabb=kdkfjdkfk1

Este virus Rising no se puede controlar ni eliminar por el momento. Intenté utilizar la última versión de Kaba para comprobarlo y eliminarlo en Alguien. Internet parecía poder verificarlo y eliminarlo usando el verificador doméstico de Jiangmin. Maldita sea, aún no lo he probado.

Análisis del virus Fun.xle.exe, esto es lo que el autor encontró en Internet

Síntomas del sistema

Aparece una nueva ventana cada vez que haces doble clic la unidad de disco

Haga clic derecho en la unidad de disco y aparecerá la palabra "automático"

Los archivos ocultos no se pueden mostrar

Ejemplo de análisis

Adición del registro

HKLM/SOFT

HKLM\SOFT

Resalte algunas palabras Esta es la primera vez que ve este virus en su computadora.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

[IMJPMIG8.2]msime82.exe{0x00}{0x00}{0x00}.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

[MsServer]msfun80.exe{0x00}{0x00}{0x00}{0x00}.

Modificar el registro

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

[CheckedValue] está borrado....

Liberar archivo p>

C:\Documentos y configuraciones\mopery\Configuraciones locales\Temp\~DFA4C3.tmp

C:\Documentos y configuraciones\mopery\Configuraciones locales\Temp\~DFC86B.tmp

p>

C:\WINDOWS\system32\algsrvs.exe

C:\WINDOWS\system32\msfun80.exe

C:\WINDOWS\system32\ msime82.exe

C:\WINDOWS\system32\msime82.exe

C:\WINDOWS\ufdata2000.log

Publicado en cada unidad de disco

AUTORUN.INF

fun.xls.exe

Contenido del archivo AUTORUN.INF

[AutoRun]

abrir =fun.xls .exe

shellexecute=fun.xls.exe

shell\Auto\command=fun.xls.exe

shell=Auto

[VVflagRun]

aabb =kdkfjdkfk1

Solución

1.

Eliminar archivo

C:\Documents and Settings\mopery\Local Settings\Temp~DFA4C3.tmp

C:\Documents and Settings\mopery\Local Settings\Temp~ DFC86B.tmp

C:\WINDOWS\system32\algsrvs.exe

C:\WINDOWS\system32\msfun80.exe

C:\WINDOWS\system32\msime82. exe

C:\WINDOWS\system32\msime82.exe

C:\WINDOWS\ufdata2000.log

Eliminar el registro

HKLM/SOFTWARE\Microsoft\Windows\CurrentVersion\Run

[IMJPMIG8.2]msime82.exe{ 0x00}{0x00}{0x00}.

HKCU\Software\Microsoft \Windows\CurrentVersion\Run

[MsServer]msfun80.exe{ 0x00}{0x00}{0x00}{0x00}.

3. Reanudar la visualización de todas las entradas de archivos

Inicio=>Ejecutar=>regedit

Busque HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\ Advanced\Folder\Hidden\SHOWALL

Elimine la clave CheckedValue y luego haga clic derecho en "Nuevo" - "Valor Dword" y asígnele el nombre CheckedValue, luego cambie su valor clave a 1

4. Haga clic derecho => abrir para ingresar a cada unidad de disco y elimine cada unidad de disco por turno. Archivos

5. Eliminar archivos en cada disco

AUTORUN.INF

fun.xls.exe

Eliminar la ejecución automática en lotes. Método de archivo fun.xls.exe

1. Guarde el siguiente código como 1.bat (¡el tipo de guardado solo se puede cambiar cuando se muestra el sufijo! En la ventana - Herramientas - Carpeta - Ver - Configuración avanzada - Ocultar extensiones para tipos de archivos conocidos (elimine la marca de verificación)) Haga doble clic y estúdielo durante la noche. Por favor, apóyenme

@echo en

taskkill /im explorer.exe /f

taskkill /im wscript.exe /f

El siguiente código se guarda como 1.bat.

taskkill /im algsrvs.exe /f

iniciar registro ELIMINAR HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v IMJPMIG8.2 /f

iniciar registro ELIMINAR HKLM \SOFTWARE \Microsoft\Windows\CurrentVersion\Run /v MsServer /f

iniciar registro DELETE

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\

CurrentVersion\explorer\Advanced\Folder\Hidden

\SHOWALL /v CheckedValue /f

iniciar registro agregar HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced/v

ShowSuperHidden /t REG_DWORD /d 1 /f

iniciar reg agregar

HKEY_LOCAL_MACHINE\Software\SoftwareHidden

SHOWALL /v CheckedValue /f

iniciar regadd MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden

\SHOWALL /v CheckedValue /t REG_DWORD /d 1 /f

iniciar registro importar kill.reg

del c:\autorun.* fun.xls.exe /f /q /as

del %SYSTEMROOT%\system32\autorun.* msime82.exe algsrvs.exe fun.xls.exe msfun80.exe /f /q

/as

del %temp%\~DF8785.tmp ~DFD1D6.tmp ~DFA4C3 ~ DFC86B.tmp /f /q /as

del %systemroot%\ ufdata2000.log

del d:\autorun.* fun.xls.exe /f /q /as

del e:\autorun.* fun.xls.exe /f /q /as

del f:\autorun.exe /f /q /as

del h:\autorun.* fun.xls.exe /f /q /as

del i:\autorun.* fun.xls.exe /f /q /as

del j:\autorun.* fun.xls.>del j:\autorun.* fun.xls.exe /f /q /as

del k:\autorun.* fun.xls.exe /f /q /as

del l:\autorun.* fun.xls.exe /f /q /as

iniciar explorer.exe

2 ¡El siguiente párrafo es lo que acabo de modificar! ¡Los camaradas que no lo hayan logrado pueden intentarlo! Esto es más avanzado y un poco largo... Jaja

¡Los archivos ocultos no se pueden mostrar y todos los virus ratorun fun.xls.exe se eliminarán!

@echo off

title Ejecutar herramienta antivirus automáticamente

color 9A

echo Bienvenido a la herramienta antivirus automática de Mira Mako !

echo ---------------------

echo Si tiene un CD-ROM en su unidad óptica, por favor ¡Expulse el CD-ROM primero y luego continúe!

:n

echo ¿Quieres continuar? Escriba y para comenzar a desactivar toda la máquina, u para desactivar solo la unidad USB y n para salir.

:reintentar

>

set /p c=Por favor ingrese su elección (y/u/n):

if "%c%"=="y" goto s

if " % c%"=="u" ir a b

if "%c%"=="n" ir a t

ir a reintentar

:b< / p>

set /p a=Ingrese la letra del disco que desea verificar (por ejemplo...):

if "%a%"=="e" Saltar a e

si "%a%"=="f" salta a f

si "%a%"=="g" salta a g

si "%a %"=="h" salta a h

si si "%a%"=="i" obtiene i

si "%a%"== "j" obtiene j

si "%a%"=="k" obtiene k

si "%a%"=="l" obtiene l

entrada de eco ¡error! ¡Vuelva a escribir &&goto b

:s

taskkill /im explorer.exe /f

taskkill /im wscript.exe /f

taskkill /im algsrvs.exe /f

iniciar registro ELIMINAR HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v IMJPMIG8.2 /f

iniciar registro ELIMINAR HKLMSOFTWAREMicrosoft\WindowsCurrentVersion \Ejecutar /v MsServer /f

iniciar registro DELETE HKEY_LOCAL_MACHINE\Software\Microsoft\windowsCurrentVersion\explorer\Advanced Folder\Hidden\SHOWALL /v CheckedValue /f

iniciar registro agregarHKCUSOFTWARE\Microsoft \WindowsCurrentVersion\explorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f

iniciar reg agregar HKEY_LOCAL_MACHINE\Software\Microsoft\windowsCurrentVersion\explorer\Advanced Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD / d 1 /f

iniciar reg importar kill.reg

attrib c:\fun.xls.exe -h -r -a -s

attrib c .\autorun.* -h -r -a -s

del c:\autorun.* c:fun.xls.exe /f

attrib %SYSTEMROOT%\system32\ fun.xls.exe -h -r -a -s

attrib % SYSTEMROOT%\system32\autorun.* -h -r -a -s

del %SYSTEMROOT%\ system32\autorun.* %SYSTEMROOT%\system32\msime82.exe %SYSTEMROOT%\syste

m32\algsrvs.exe %SYSTEMROOT%\system32\fun.xls.exe %SYSTEMROOT%\system32\msfun80.exe /f

del %temp%\~DF8785.tmp %temp%\~DFD1D6 . tmp %temp%\~DFA4C3 %temp%\~DFC86B.tmp /f /q /as

del %systemroot%\ufdata2000.log /f

attrib d:\fun .xls.

del e:\autorun.* e:\fun.xls.exe /f

attrib f:\fun.xls.exe -h -r -a - s

attrib f:\autorun.* -h -r -a -s

del f:\autorun.* f:\fun .xls.exe /f

atributo g:\fun.xls.exe -h -r -a -s

atributo g:\fun.xls.exe -h -r -a -s

del g:\autorun.* g:\fun.xls.exe /f

attrib h :\fun.xls.exe -h -r -a -s

attrib h:\autorun.* -h -r -a -s

del h:\autorun.* h:\fun.xls.exe /f

attrib i:\ fun.xls.exe -h -r -a -s