玩笑程序“疯”字病毒 感染.exe 专杀方案
File:感染.exe
Size: 761823 bytes
MD5: A86B8B4B74F965FD142133111FA3A0B4
SHA1: 52384D0DD8ADBB0B769286BD2554AE46CBEEF247
CRC32: CEAC920E
编写语言:易语言
Size: 761823 bytes
MD5: A86B8B4B74F965FD142133111FA3A0B4
SHA1: 52384D0DD8ADBB0B769286BD2554AE46CBEEF247
CRC32: CEAC920E
编写语言:易语言
运行后在%system32%下面生成两个图标文件
分别为
0401032.ico和0401128.ico
分别为
0401032.ico和0401128.ico
两个ico文件都是一个“疯”字
弹出一个对话框
“,,,,,,疯狂的熊猫在烧香,祝你跟你爱人永远在一起ing,,,,,,"
“,,,,,,疯狂的熊猫在烧香,祝你跟你爱人永远在一起ing,,,,,,"
点击确定后
鼠标键盘被锁定 桌面中央处显示一个“疯狂的熊猫在烧香”的图片
鼠标键盘被锁定 桌面中央处显示一个“疯狂的熊猫在烧香”的图片
其后疯狂通过修改以下注册表键值修改某些文件(文件夹,磁盘等)的图标
我的文档图标
修改HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\{450D8FBA-AD25-11D0-98A8-
0800361B1103}\DefaultIcon\的值为C:\WINDOWS\system32\0401032.ico
我的电脑图标
修改HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\{20D04FE0-3AEA-1069-A2D8-
08002B30309D}\DefaultIcon\的值为C:\WINDOWS\system32\0401032.ico
我的文档图标
修改HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\{450D8FBA-AD25-11D0-98A8-
0800361B1103}\DefaultIcon\的值为C:\WINDOWS\system32\0401032.ico
我的电脑图标
修改HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\{20D04FE0-3AEA-1069-A2D8-
08002B30309D}\DefaultIcon\的值为C:\WINDOWS\system32\0401032.ico
修改htm,ini,txt,gif,jpg等文件的图标
修改HKLM\SOFTWARE\Classes\htmlfile\DefaultIcon\: "C:\WINDOWS\system32\0401032.ico"
HKLM\SOFTWARE\Classes\inifile\DefaultIcon\: "C:\WINDOWS\system32\0401032.ico"
HKLM\SOFTWARE\Classes\txtfile\DefaultIcon\: "C:\WINDOWS\system32\0401032.ico"
HKLM\SOFTWARE\Classes\jpegfile\DefaultIcon\: "C:\WINDOWS\system32\0401032.ico"
HKLM\SOFTWARE\Classes\giffile\DefaultIcon\: "C:\WINDOWS\system32\0401032.ico"
修改HKLM\SOFTWARE\Classes\htmlfile\DefaultIcon\: "C:\WINDOWS\system32\0401032.ico"
HKLM\SOFTWARE\Classes\inifile\DefaultIcon\: "C:\WINDOWS\system32\0401032.ico"
HKLM\SOFTWARE\Classes\txtfile\DefaultIcon\: "C:\WINDOWS\system32\0401032.ico"
HKLM\SOFTWARE\Classes\jpegfile\DefaultIcon\: "C:\WINDOWS\system32\0401032.ico"
HKLM\SOFTWARE\Classes\giffile\DefaultIcon\: "C:\WINDOWS\system32\0401032.ico"
在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\下创建子键Shell Icons
并分别设定字符串值1~40 并使数值数据为C:\WINDOWS\system32\0401032.ico
从而使得光驱 软驱 硬盘 文件夹等的图标变为0401032.ico
并分别设定字符串值1~40 并使数值数据为C:\WINDOWS\system32\0401032.ico
从而使得光驱 软驱 硬盘 文件夹等的图标变为0401032.ico
病毒体内有文字“ MADE BY E COMPILER - WUTAO”
清除及修复办法:
开始 运行输入regedit 打开注册表
修改HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\
{450D8FBA-AD25-11D0-98A8-0800361B1103}\DefaultIcon
的值为%SystemRoot%\SYSTEM32\mydocs.dll,0
修改HKLM\SOFTWARE\Classes\htmlfile\DefaultIcon\的值为C:\Program Files\Internet
Explorer\iexplore.exe,1
修改HKLM\SOFTWARE\Classes\inifile\DefaultIcon\的值为%SystemRoot%\System32\shell32.dll,-151
修改HKLM\SOFTWARE\Classes\txtfile\DefaultIcon\的值为%SystemRoot%\system32\shell32.dll,-152
修改HKLM\SOFTWARE\Classes\jpegfile\DefaultIcon\的值为shimgvw.dll,3
修改HKLM\SOFTWARE\Classes\giffile\DefaultIcon\的值为shimgvw.dll,2
删除HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Icons整个子键
删除HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\
{20D04FE0-3AEA-1069-A2D8-08002B30309D}
整个子键
重启计算机即可
以上文章转自:[url]http://secure.itdigger.com/2007/10/02/130831843.htm[/url]