此病毒完全是一个恶搞系统的病毒 症状如下: 1.修改系统管理员密码 2.破坏显示隐藏文件 3.劫持regedit等系统重要组件 4.把桌面的颜色改为黑色 5.鼠标左右键颠倒
File: svchost.exe Size: 16384 bytes MD5: 997BC73908AF02DBDE0E3DB5DD22232E SHA1: 93474257FF4809102928A728E85D256CE6D07A03 CRC32: 0FB59CF3 病毒名称:Joke.Win32.BlackScr.a(瑞星)
生成如下文件 C:\Program Files\ winlogon.exe 【注意这个是个空格+winlogon.exe 不要删错了!】 C:\Program Files\cmd.exe C:\Program Files\regedit.exe 每个磁盘分区下生成一个 autorun.inf和一个svchost.exe
修改注册表
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue 值为0x00000001 破坏显示隐藏文件
添加注册表项目 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\cmd.exe指向C:\Program Files\cmd.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\regedit.exe 指向C:\Program Files\regedit.exe
劫持了cmd 和regedit
增加键HKLM\SYSTEM\MicroSoft\U7070
增加HKLM\SOFTWARE\Classes\*\shell\刷新(&F)\command\ 指向C:\Program
Files\ winlogon.exe 这个键值具体含义不懂 是不是刷新就自动运行病毒?还请各位指教
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 下面添加 LegalNoticeCaption,Scharz Adler Notice: LegalNoticeText (不过虚拟机里未实现)
内容:
1.以此病毒纪念7.7事变70周年!
2.振兴中华,从我做起! 坚决抵制盗版!
3.盗版猖獗,危害国家! 爱国者不用盗版!
4.请使用正版Windows! Windows是最优秀的操作系统!
5.请使用正版杀毒软件!
6.请订阅<<电脑报>>学习计算机使用技巧!减少中毒概率!
Scharz Adler , Silent Hunter!
其他行为: 使用net user "Administrator" FREEDOM 命令为Administrator账户添加
FREEDOM的 密码 颠倒鼠标左右键 屏幕变黑
解决方法:
可能此时你的鼠标比较不适应,而且屏幕可能一片黑色,凑活点吧
操作步骤:
1.鼠标左键单击桌面 属性 外观 色彩方案 下拉箭头里随便选一个 然后点击应用
过一小会儿 桌面就回来了
2.然后打开控制面板 切换到经典菜单
鼠标>鼠标键配置>拔切换主要和次要按钮的钩去掉
3.下载Icesword这个工具(可到down.45its.com下载)
选择左下角文件 按钮 删除如下文件
C:\Program Files\ winlogon.exe C:\Program Files\cmd.exe C:\Program Files\regedit.exe 删除每个磁盘分区下的autorun.inf和svchost.exe 还是利用Icesword这个工具 注册表 展开HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths 删除cmd.exe和regedit.exe的子键
4.把下面的代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Advanced\Folder\Hidden\SHOWALL] "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Adv
anced" "Text"="@shell32.dll,-30500" "Type"="radio" "CheckedValue"=dword:00000001 "ValueName"="Hidden" "DefaultValue"=dword:00000002 "HKeyRoot"=dword:80000001 "HelpID"="shell.hlp#51105" |
双击1.reg把这个注册表项导入
至于windows密码的问题 如果你在不知道他修改成什么密码的时候 可以到电脑软硬件应用网查找密码找回教程。修改回去就行了。
|