@echo on
taskkill /im explorer.exe /f
taskkill /im wscript.exe /f
taskkill /im algsrvs.exe /f
start reg DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v IMJPMIG8.2 /f
start reg DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v MsServer /f
start reg DELETE
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden
\SHOWALL /v CheckedValue /f
start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v
ShowSuperHidden /t REG_DWORD /d 1 /f
start reg add
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden
\SHOWALL /v CheckedValue /t REG_DWORD /d 1 /f
start reg import kill.reg
del c:\autorun.* fun.xls.exe /f /q /as
del %SYSTEMROOT%\system32\autorun.* msime82.exe algsrvs.exe fun.xls.exe msfun80.exe /f /q
/as
del %temp%\~DF8785.tmp ~DFD1D6.tmp ~DFA4C3 ~DFC86B.tmp /f /q /as
del %systemroot%\ufdata2000.log
del d:\autorun.* fun.xls.exe /f /q /as
del e:\autorun.* fun.xls.exe /f /q /as
del f:\autorun.* fun.xls.exe /f /q /as
del g:\autorun.* fun.xls.exe /f /q /as
del h:\autorun.* fun.xls.exe /f /q /as
del i:\autorun.* fun.xls.exe /f /q /as
del j:\autorun.* fun.xls.exe /f /q /as
del k:\autorun.* fun.xls.exe /f /q /as
del l:\autorun.* fun.xls.exe /f /q /as
start explorer.exe
> >

============================================================================

fun.xls.exe 是 tel.xls.exe 的变种

症状:

1.鼠标右键点盘符出现"Auto"字样
2.无法显示隐藏文件

杀毒方法：(切记：在操作过程中使用“右键->打开”，不可双击。)

1.结束注册表中的fun.xls.exe的进程（建议选中fun.xls.exe->右键->转到进程，查找到“algsrvs.exe” 单击它，再选择“结束进程”）

2.删除文件：

    C:\WINDOWS\system32\algsrvs.exe
    C:\WINDOWS\system32\msfun80.exe
    C:\WINDOWS\system32\msime82.exe
    C:\WINDOWS\ufdata2000.log
3.删除注册表中的所有包含：fun.xls.exe的键值。用搜索!!
4.修改注册表
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
    删除原来的[CheckedValue] 项，并新建同名dword项。改键值为1。
5. 工具->文件夹选项->查看，选中“显示所有文件和文件”夹并取消选中“隐藏受保护的操作系统文件”
6. 删除每个盘符下的隐藏文件：
      autorun.inf
      fun.xls.exe
7.重起电脑!

fun.xls.exe技术分析、查杀及批处理清除

大家经常用U盘, 也许就和我一样,遇到过这种叫fun.xls.exe的技术.
fun.xle.exe是一种叫做U盘技术tel.xls.exe的变种，会在电脑里注入文件,这个技术目前应该有四个变种.用记事本打开autorun是如下代码：
[autorun]
open=fun.xls.exe
shellexecute=fun.xls.exe
shell\Auto\command=fun.xls.exe
shell=Auto
[VVflagRun]
aabb=kdkfjdkfk1
这个技术瑞星暂不能查杀，我试了下用最新的卡巴可以杀掉，网上有人用国产的江民杀好象也能杀掉，笔者没有测试。


fun.xle.exe技术分析，这是笔者从网上找的
系统症状
每次双击盘符出现一个新窗口
鼠标右键点盘符出现"Auto"字样
无法显示隐藏文件
样本分析
注册表中添加
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[IMJPMIG8.2]msime82.exe{0x00}{0x00}{0x00}.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[MsServer]msfun80.exe{0x00}{0x00}{0x00}.
修改注册表
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
[CheckedValue] 被清空..
释放文件
C:\Documents and Settings\mopery\Local Settings\Temp\~DFA4C3.tmp
C:\Documents and Settings\mopery\Local Settings\Temp\~DFC86B.tmp
C:\WINDOWS\system32\algsrvs.exe
C:\WINDOWS\system32\msfun80.exe
C:\WINDOWS\system32\msime82.exe
C:\WINDOWS\ufdata2000.log
每个盘符下释放
autorun.inf
fun.xls.exe
autorun.inf文件内容
[autorun]
open=fun.xls.exe
shellexecute=fun.xls.exe
shell\Auto\command=fun.xls.exe
shell=Auto
[VVflagRun]
aabb=kdkfjdkfk1
解决方法
1.安全模式下.删除文件
C:\Documents and Settings\mopery\Local Settings\Temp\~DFA4C3.tmp
C:\Documents and Settings\mopery\Local Settings\Temp\~DFC86B.tmp
C:\WINDOWS\system32\algsrvs.exe
C:\WINDOWS\system32\msfun80.exe
C:\WINDOWS\system32\msime82.exe
C:\WINDOWS\ufdata2000.log
2.删除注册表
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[IMJPMIG8.2]msime82.exe{0x00}{0x00}{0x00}.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
[MsServer]msfun80.exe{0x00}{0x00}{0x00}.
3.恢复显示所有的文件项
开始=>运行=>regedit
找到HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL
删除 CheckedValue 键值 然后单击右键"新建" - "Dword值"，并命名为CheckedValue,然后修改它的键值为1
4.右键=>打开进入每个盘符 依次删除每个盘符里的文件
autorun.inf
fun.xls.exe

autorun.inf fun.xls.exe的批文件清除方法
1.将下面这段代码保存为1.bat (保存类型要在显示后缀名情况下才能修改！在窗口-工具-文件夹-查看-高级设置-隐藏已知文件类型的扩展名（勾去掉）)双击即可   研究了一个晚上请多多支持啦
@echo on
taskkill /im explorer.exe /f
taskkill /im wscript.exe /f
taskkill /im algsrvs.exe /f
start reg DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v IMJPMIG8.2 /f
start reg DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v MsServer /f
start reg DELETE
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden
\SHOWALL /v CheckedValue /f
start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v
ShowSuperHidden /t REG_DWORD /d 1 /f
start reg add
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden
\SHOWALL /v CheckedValue /t REG_DWORD /d 1 /f
start reg import kill.reg
del c:\autorun.* fun.xls.exe /f /q /as
del %SYSTEMROOT%\system32\autorun.* msime82.exe algsrvs.exe fun.xls.exe msfun80.exe /f /q
/as
del %temp%\~DF8785.tmp ~DFD1D6.tmp ~DFA4C3 ~DFC86B.tmp /f /q /as
del %systemroot%\ufdata2000.log
del d:\autorun.* fun.xls.exe /f /q /as
del e:\autorun.* fun.xls.exe /f /q /as
del f:\autorun.* fun.xls.exe /f /q /as
del g:\autorun.* fun.xls.exe /f /q /as
del h:\autorun.* fun.xls.exe /f /q /as
del i:\autorun.* fun.xls.exe /f /q /as
del j:\autorun.* fun.xls.exe /f /q /as
del k:\autorun.* fun.xls.exe /f /q /as
del l:\autorun.* fun.xls.exe /f /q /as
start explorer.exe

2.下面这段是我刚刚修改的,没有成功的同志可以试一试!这个比较高级,有点长...呵呵
不能显示隐藏文件,和删除ratorun fun.xls.exe 技术都行!

@echo off
title autorun专杀工具
color 9A
echo 欢迎使用米拉落草的青楼autorun专杀工具！
echo ------------------------
echo 如果你的光驱中有光盘请先弹出然后继续！
:n
echo 您要继续吗？输入y整机杀毒开始，输入u只杀u盘，输入n退出！
:retry
set /p c=请输入您的选择（y/u/n）：
if "%c%"=="y" goto s
if "%c%"=="u" goto b
if "%c%"=="n" goto t
goto retry
:b
set /p a=请输入你要查杀的盘符(e f g...):
if "%a%"=="e" goto e
if "%a%"=="f" goto f
if "%a%"=="g" goto g
if "%a%"=="h" goto h
if "%a%"=="i" goto i
if "%a%"=="j" goto j
if "%a%"=="k" goto k
if "%a%"=="l" goto l
echo 输入错误!请重新输入!&&goto b
:s
taskkill /im explorer.exe /f
taskkill /im wscript.exe /f
taskkill /im algsrvs.exe /f
start reg DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v IMJPMIG8.2 /f
start reg DELETE HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v MsServer /f
start reg DELETE HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /f
start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f
start reg add HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 1 /f
start reg import kill.reg
attrib c:\fun.xls.exe -h -r -a -s
attrib c:\autorun.* -h -r -a -s
del c:\autorun.* c:fun.xls.exe /f
attrib %SYSTEMROOT%\system32\fun.xls.exe -h -r -a -s
attrib %SYSTEMROOT%\system32\autorun.* -h -r -a -s
del %SYSTEMROOT%\system32\autorun.* %SYSTEMROOT%\system32\msime82.exe %SYSTEMROOT%\system32\algsrvs.exe %SYSTEMROOT%\system32\fun.xls.exe %SYSTEMROOT%\system32\msfun80.exe /f
del %temp%\~DF8785.tmp %temp%\~DFD1D6.tmp %temp%\~DFA4C3 %temp%\~DFC86B.tmp /f /q /as
del %systemroot%\ufdata2000.log /f
attrib d:\fun.xls.exe -h -r -a -s
attrib d:\autorun.* -h -r -a -s
del d:\autorun.* d:\fun.xls.exe /f
attrib e:\fun.xls.exe -h -r -a -s
attrib e:\autorun.* -h -r -a -s
del e:\autorun.* e:\fun.xls.exe /f
attrib f:\fun.xls.exe -h -r -a -s
attrib f:\autorun.* -h -r -a -s
del f:\autorun.* f:\fun.xls.exe /f
attrib g:\fun.xls.exe -h -r -a -s
attrib g:\autorun.* -h -r -a -s
del g:\autorun.* g:\fun.xls.exe /f
attrib h:\fun.xls.exe -h -r -a -s
attrib h:\autorun.* -h -r -a -s
del h:\autorun.* h:\fun.xls.exe /f
attrib i:\fun.xls.exe -h -r -a -s
attrib i:\autorun.* -h -r -a -s
del i:\autorun.* i:\fun.xls.exe /f
attrib j:\fun.xls.exe -h -r -a -s
attrib j:\autorun.* -h -r -a -s
del j:\autorun.* j:\fun.xls.exe /f
attrib k:\fun.xls.exe -h -r -a -s
attrib k:\autorun.* -h -r -a -s
del k:\autorun.* k:\fun.xls.exe /f
attrib l:\fun.xls.exe -h -r -a -s
attrib l:\autorun.* -h -r -a -s
del l:\autorun.* l:\fun.xls.exe /f
start explorer.exe
cls
if exist c:\autorun.reg echo 技术没有清除！&&goto n
if exist c:\fun.xls.exe echo 技术没有清除！&&goto n
echo 杀毒成功！感谢您的支持！米拉之落真诚帮您杀毒！
set /p d=现在重新启动系统确定吗？（y/n）:
if "%d%"=="y" shutdown -r -t 0
exit
if "%d%"=="n"
echo   按任意键退出。
pause
exit
:t
echo 多谢您的支持！按任意键退出。
pause
exit
:e
attrib e:\fun.xls.exe -h -r -a -s
attrib e:\autorun.* -h -r -a -s
cls
if not exist e:\autorun.* echo 您的u盘没有技术！&&goto t
del e:\autorun.* e:\fun.xls.exe /f
cls
if exist e:\autorun.reg echo 技术没有清除！&&goto n
if exist e:\fun.xls.exe echo 技术没有清除！&&goto n
goto m
:f
attrib f:\fun.xls.exe -h -r -a -s
attrib f:\autorun.* -h -r -a -s
cls
if not exist f:\autorun.* echo 您的u盘没有技术！&&goto t
del f:\autorun.* f:\fun.xls.exe /f
cls
if exist f:\autorun.reg echo 技术没有清除！&&goto n
if exist f:\fun.xls.exe echo 技术没有清除！&&goto n
goto m
:h
attrib h:\fun.xls.exe -h -r -a -s
attrib h:\autorun.* -h -r -a -s
cls
if not exist h:\autorun.* echo 您的u盘没有技术！&&goto t
del h:\autorun.* h:\fun.xls.exe /f
cls
if exist h:\autorun.reg echo 技术没有清除！&&goto n
if exist h:\fun.xls.exe echo 技术没有清除！&&goto n
goto m
:i
attrib i:\fun.xls.exe -h -r -a -s
attrib i:\autorun.* -h -r -a -s
cls
if not exist i:\autorun.* echo 您的u盘没有技术！&&goto t
del i:\autorun.* i:\fun.xls.exe /f
cls
if exist i:\autorun.reg echo 技术没有清除！&&goto n
if exist i:\fun.xls.exe echo 技术没有清除！&&goto n
goto m
:j
attrib j:\fun.xls.exe -h -r -a -s
attrib j:\autorun.* -h -r -a -s
cls
if not exist j:\autorun.* echo 您的u盘没有技术！&&goto t
del j:\autorun.* j:\fun.xls.exe /f
cls
if exist j:\autorun.reg echo 技术没有清除！&&goto n
if exist j:\fun.xls.exe echo 技术没有清除！&&goto n
goto m
:k
attrib k:\fun.xls.exe -h -r -a -s
attrib k:\autorun.* -h -r -a -s
cls
if not exist k:\autorun.* echo 您的u盘没有技术！&&goto t
del k:\autorun.* k:\fun.xls.exe /f
cls
if exist k:\autorun.reg echo 技术没有清除！&&goto n
if exist k:\fun.xls.exe echo 技术没有清除！&&goto n
goto m
:l
attrib l:\fun.xls.exe -h -r -a -s
attrib l:\autorun.* -h -r -a -s
cls
if not exist l:\autorun.* echo 您的u盘没有技术！&&goto t
del l:\autorun.* l:\fun.xls.exe /f
cls
if exist l:\autorun.reg echo 技术没有清除！&&goto n
if exist l:\fun.xls.exe echo 技术没有清除！&&goto n
goto m
:m
cls
echo 杀毒成功，请重新弹出后在插入您的u盘！按任意键退出。谢谢你的支持！
pause
exit