设为首页收藏本站官方微博
开启辅助访问 切换到窄版

飘云阁

 找回密码
 加入我们

QQ登录

只需一步,快速开始

[x86]PYG官方Dll优雅破解补丁制作工具[x64]PYG官方DLL优雅破解补丁制作工具[x86]PYG官方Exe优雅破解补丁制作工具[x86/x64]Baymax Patch Tools
返回列表 发新帖
查看: 2366|回复: 2

[转贴] 玩笑程序“疯”字病毒

[复制链接]
不懂破解

该用户从未签到
发表于 2008-4-7 23:55:52 | 显示全部楼层 |阅读模式
作者:清新阳光                                                    ( http://hi.baidu.com/newcenturysun)
日期:2007/10/01                                                 (转载请保留此申明)

样本来自卡饭论坛

这是一个恶作剧程序,使用易语言编写,并无实质损害

File:感染.exe
Size: 761823 bytes
MD5: A86B8B4B74F965FD142133111FA3A0B4
SHA1: 52384D0DD8ADBB0B769286BD2554AE46CBEEF247
CRC32: CEAC920E
编写语言:易语言

运行后在%system32%下面生成两个图标文件
分别为
0401032.ico和0401128.ico
两个ico文件都是一个“疯”字
弹出一个对话框
“,,,,,,疯狂的熊猫在烧香,祝你跟你爱人永远在一起ing,,,,,,"



点击确定后
鼠标键盘被锁定 桌面中央处显示一个“疯狂的熊猫在烧香”的图片



其后疯狂通过修改以下注册表键值修改某些文件(文件夹,磁盘等)的图标

我的文档图标

修改HKU\Software\Microsoft\Windows"  class="t_tag">Windows\CurrentVersion\Explorer\CLSID\{450D8FBA-AD25-11D0-98A8-
0800361B1103}\DefaultIcon\的值为C:\WINDOWS\system32\0401032.ico

我的电脑图标

修改HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\{20D04FE0-3AEA-1069-A2D8-
08002B30309D}\DefaultIcon\的值为C:\WINDOWS\system32\0401032.ico

修改htm,ini,txt,gif,jpg等文件的图标

修改HKLM\SOFTWARE\Classes\htmlfile\DefaultIcon\: "C:\WINDOWS\system32\0401032.ico"
HKLM\SOFTWARE\Classes\inifile\DefaultIcon\: "C:\WINDOWS\system32\0401032.ico"
HKLM\SOFTWARE\Classes\txtfile\DefaultIcon\: "C:\WINDOWS\system32\0401032.ico"
HKLM\SOFTWARE\Classes\jpegfile\DefaultIcon\: "C:\WINDOWS\system32\0401032.ico"
HKLM\SOFTWARE\Classes\giffile\DefaultIcon\: "C:\WINDOWS\system32\0401032.ico"
在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\下创建子键Shell Icons

并分别设定字符串值1~40    并使数值数据为C:\WINDOWS\system32\0401032.ico

从而使得光驱 软驱 硬盘 文件夹等的图标变为0401032.ico

病毒体内有文字“ MADE BY E COMPILER - WUTAO”






清除及修复办法:

开始 运行输入regedit 打开注册表

修改HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\{450D8FBA-AD25-11D0-98A8-
0800361B1103}\DefaultIcon的值为%SystemRoot%\SYSTEM32\mydocs.dll,0

修改HKLM\SOFTWARE\Classes\htmlfile\DefaultIcon\的值为C:\Program Files\Internet
Explorer\iexplore.exe,1

修改HKLM\SOFTWARE\Classes\inifile\DefaultIcon\的值为%SystemRoot%\System32\shell32.dll,-151

修改HKLM\SOFTWARE\Classes\txtfile\DefaultIcon\的值为%SystemRoot%\system32\shell32.dll,-152

修改HKLM\SOFTWARE\Classes\jpegfile\DefaultIcon\的值为shimgvw.dll,3

修改HKLM\SOFTWARE\Classes\giffile\DefaultIcon\的值为shimgvw.dll,2

删除HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Icons整个子键

删除HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\{20D04FE0-3AEA-1069-A2D8-
08002B30309D}整个子键

重启计算机即可

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?加入我们

x
PYG19周年生日快乐!
回复

使用道具 举报

pkland

该用户从未签到
发表于 2008-6-14 19:46:00 | 显示全部楼层
看不懂  我还是不乱搞了
PYG19周年生日快乐!
回复 支持 反对

使用道具 举报

wtzjcg

该用户从未签到
发表于 2008-6-15 13:33:30 | 显示全部楼层
这个病毒看来很酷弄个玩玩/:001
PYG19周年生日快乐!
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

快速回复 返回顶部 返回列表