fun.xls病毒

nobel

1.Ctrl+Alt+Del呼出任务管理器，结束 algsrvs.exe 进程。
2.删除文件:
C:\WINDOWS\system32\algsrvs.exe
C:\WINDOWS\system32\msfun80.exe
C:\WINDOWS\system32\msime82.exe
C:\WINDOWS\ufdata2000.log
3.新建文本文件，将下面代码copy，另存为 .reg 格式文件，并双击.reg文件，点击确认，将内容导入注册表

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"
"Text"="@shell32.dll,-30508"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
4.我的电脑->工具->文件夹选项->查看，选中“显示所有文件和文件”夹并取消选中“隐藏受保护的操作系统文件”
5.删除每个盘符下的隐藏文件：
AUTORUN.INF
fun.xls.exe
6.重启电脑

pc

fun.xls.exe手动杀毒



      fun.xls.exe 是 tel.xls.exe 的变种
      橙色八月U盘病毒.他应该是ROSE病毒的变种
      即使你重装了系统也没有用,认为他存在在你的每个盘里.他要是发作了,你的防火墙和杀度软件就瘫了
      计算机的哥们研制出简捷的方法:
      删除方法：
      任务管理器：进程中，看有没有名为SVOHOST（不是SVCHOST，大小写一样）或SXS的进程。如果有就结束此进程，因为有此进程，病毒就删不掉。当然，没有最好。

      打开D盘，新建压缩文件夹（用于查看）。然后把压缩文件打开，你会看到D盘里的所有内容
      这个时候发现D盘下面的隐藏文件“autorun.inf”，“pagefile.pif”或“SXS”。你可能回看到一个，或两个。在文件上点右键选择“删除文件"。现在试一下，D盘应该可以正常打开了

      症状:
      1.鼠标右键点盘符出现"Auto"字样
      2.无法显示隐藏文件
      杀毒方法：(切记：在操作过程中使用“右键->打开”，不可双击。)
      1.结束注册表中的fun.xls.exe的进程（建议选中fun.xls.exe->右键->转到进程，查找到“algsrvs.exe”
      单击它，再选择“结束进程”）
      2.删除文件：
         C:\WINDOWS\system32\algsrvs.exe
         C:\WINDOWS\system32\msfun80.exe
         C:\WINDOWS\system32\msime82.exe
         C:\WINDOWS\ufdata2000.log
      3.删除注册表中的所有包含：fun.xls.exe的键值。用搜索!!
      4.修改注册表
           
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
         删除原来的[CheckedValue] 项，并新建同名dword项。改键值为1。
      5. 工具->文件夹选项->查看，选中“显示所有文件和文件”夹并取消选中“隐藏受保护的操作系统文件”
      6. 删除每个盘符下的隐藏文件：
           AUTORUN.INF
           fun.xls.exe
      7.重起电脑!
      批处理：fun.bat
      taskkill /im explorer.exe /f
      taskkill /im wscript.exe /f
      taskkill /im algsrvs.exe /f
      start reg DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v
      IMJPMIG8.2 /f
      start reg DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v
      MsServer /f
      start reg DELETE
      HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL
      /v CheckedValue /f
      start reg add
      HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v
      ShowSuperHidden /t REG_DWORD /d 1 /f
      start reg add
      HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL
      /v CheckedValue /t REG_DWORD /d 1 /f
      start reg import kill.reg
      attrib c:\fun.xls.exe -h -r -a -s
      attrib c:\autorun.* -h -r -a -s
      del c:\autorun.* c:fun.xls.exe /f
      attrib %SYSTEMROOT%\system32\fun.xls.exe -h -r -a -s
      aattrib %SYSTEMROOT%\system32\autorun.* -h -r -a -s
      del %SYSTEMROOT%\system32\autorun.* %SYSTEMROOT%\system32\msime82.exe
      %SYSTEMROOT%\system32\algsrvs.exe %SYSTEMROOT%\system32\fun.xls.exe
      %SYSTEMROOT%\system32\msfun80.exe /f
      del %temp%\~DF8785.tmp %temp%\~DFD1D6.tmp %temp%\~DFA4C3
      %temp%\~DFC86B.tmp /f /q /as
      del %systemroot%\ufdata2000.log /f
      attrib d:\fun.xls.exe -h -r -a -s
      attrib d:\autorun.* -h -r -a -s
      s Cdel d:\autorun.* d:\fun.xls.exe /f
      attrib e:\fun.xls.exe -h -r -a -s
      attrib e:\autorun.* -h -r -a -s
      del e:\autorun.* e:\fun.xls.exe /f
      attrib f:\fun.xls.exe -h -r -a -s
      attrib f:\autorun.* -h -r -a -s
      del f:\autorun.* f:\fun.xls.exe /f
      attrib g:\fun.xls.exe -h -r -a -s
      attrib g:\autorun.* -h -r -a -s
      del g:\autorun.* g:\fun.xls.exe /f
      attrib h:\fun.xls.exe -h -r -a -s
      attrib h:\autorun.* -h -r -a -s
      del h:\autorun.* h:\fun.xls.exe /f
      attrib i:\fun.xls.exe -h -r -a -s
      attrib i:\autorun.* -h -r -a -s
      del i:\autorun.* i:\fun.xls.exe /f
      attrib j:\fun.xls.exe -h -r -a -s
      attrib j:\autorun.* -h -r -a -s
      del j:\autorun.* j:\fun.xls.exe /f
      attrib k:\fun.xls.exe -h -r -a -s
      attrib k:\autorun.* -h -r -a -s
      del k:\autorun.* k:\fun.xls.exe /f
      attrib l:\fun.xls.exe -h -r -a -s
      attrib l:\autorun.* -h -r -a -s
      del l:\autorun.* l:\fun.xls.exe /f
      start explorer.exe
      cls
      if exist c:\autorun.reg echo 病毒没有清除！
      if exist c:\fun.xls.exe echo 病毒没有清除！
      echo 病毒被我干掉了！
      set /p d=现在重新启动系统确定吗？（y/n）:
      if "%d%"=="y" shutdown -r -t 0
      exit
      if "%d%"=="n"
      echo  按任意键退出。
      pause
      exit