fun.xls.exe病毒问题

fun.xls.exe algsrvs.exe msfun80.exe病毒的终极查杀

fun.xls.exe 是 tel.xls.exe 的变种..
这个病毒目前应该有四个变种..
fun.xls.exe病毒，（伪装成EXCEL表格文件的病毒）
这只病毒会在硬盘中复制,如果不根除,将无法删除

系统症状

现象:在每个盘符根目录产生H隐藏S系统文件fun.xls.exe;工具-文件夹选项-显示所有文件夹总不生效;

每次双击盘符出现一个新窗口，鼠标右键点盘符出现"Auto"字样，无法显示隐藏文件

样本命名
瑞星暂不能彻底查杀

样本分析
注册表中添加
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[IMJPMIG8.2]msime82.exe{0x00}{0x00}{0x00}.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[MsServer]msfun80.exe{0x00}{0x00}{0x00}.

修改注册表
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
[CheckedValue] 被清空..

释放文件
C:\Documents and Settings\mopery\Local Settings\Temp\~DFA4C3.tmp
C:\Documents and Settings\mopery\Local Settings\Temp\~DFC86B.tmp
C:\WINDOWS\system32\algsrvs.exe
C:\WINDOWS\system32\msfun80.exe
C:\WINDOWS\system32\msime82.exe
C:\WINDOWS\ufdata2000.log
每个盘符下释放
AUTORUN.INF
fun.xls.exe

AUTORUN.INF文件内容
[AutoRun]
open=fun.xls.exe
shellexecute=fun.xls.exe
shell\Auto\command=fun.xls.exe
shell=Auto
[VVflagRun]
aabb=kdkfjdkfk1

解决方法
1.安全模式下.删除文件
C:\Documents and Settings\mopery\Local Settings\Temp\~DFA4C3.tmp
C:\Documents and Settings\mopery\Local Settings\Temp\~DFC86B.tmp
C:\WINDOWS\system32\algsrvs.exe
C:\WINDOWS\system32\msfun80.exe
C:\WINDOWS\system32\msime82.exe
C:\WINDOWS\ufdata2000.log

2.删除注册表
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[IMJPMIG8.2]msime82.exe{0x00}{0x00}{0x00}.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[MsServer]msfun80.exe{0x00}{0x00}{0x00}.

3.恢复显示所有的文件项
开始=>运行=>regedit
找到HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL
删除 CheckedValue 键值 然后单击右键"新建" - "Dword值"，并命名为CheckedValue,然后修改它的键值为1

4.右键=>打开进入每个盘符 依次删除每个盘符里的文件
AUTORUN.INF
fun.xls.exe
最后要清空回收站和垃圾文件注册列表