我也先说说..
这病毒编写上有问题..

windows xp sp2 下运行 会出现无法完全运行 ..其他windows xp 版本没试..

无法运行 我也就没测试过.. 只能用看的..可能会错误 ..本来不写病毒动作帖了.. 今天破例在写次..

释放文件
C:\ctfmon.exe
%windir%\system32\dllcache\ctfmon.exe

C D E F G H I J K L M N O P Q R S T U V O W X Y Z 盘符下释放文件
autorun.inf 和 ha.exe 

autorun.inf 内容为
[AUTORUN]
ICON=ha.exe
OPEN=ha.exe
Shellexecute=ha.exe

C D E F G H I J K L M N O P Q R S T U V O W X Y Z 盘符下搜索 *.*gho  删除..

使用外部命令net stop cryptsvc企图关闭Cryptographic Services服务

每隔1秒将本体复制到%windir%\system32\drivers\IsDrv120.sys
设置为只读、隐藏属性，达到让IceSword无法正常释放驱动的目的

每隔0.03秒检查窗口名为IceSword的程序，发现锁定鼠标在L100 R100的位置并且使用RtlAdjustPrivilege SE_SHUTDOWN_PRIVILEGE取得关机的最优先权，直接关机

%windir%\system32\drivers\cdrom.sys
我不知道这动作是干嘛? 要干掉光驱?

修改系统时间至1993年3月31日

结束进程
iexplore.exe
System Repair Engineer
WinSpeed
KWatch.exe
notepad.exe
NOTEPAD.EXE
cmd.exe
IceSword.exe

关闭 瑞星卡卡上网安全助手3.2

修改注册表
[SYSTEM\ControlSet001\Services\CryptSvc]
"Start"="00000004"

[Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"="00000002"

删除注册表
[SYSTEM\ControlSet001\Services\CryptSvc]
[SYSTEM\CurrentControlSet\Services\CryptSvc]
[SYSTEM\ControlSet001\Services\kwatch3]
[SYSTEM\ControlSet001\Services\kwatchsvc]
[SYSTEM\CurrentControlSet\Services\kwatch3]
[SYSTEM\CurrentControlSet\Services\kwatchsvc]
[SYSTEM\ControlSet001\Services\RsRavMon]
[SYSTEM\CurrentControlSet\Services\RsRavMon]
[SYSTEM\ControlSet001\Services\RSPPSYS]
[SYSTEM\CurrentControlSet\Services\RSPPSYS]
[SYSTEM\ControlSet001\Services\AVP]
[SYSTEM\CurrentControlSet\Services\AVP]

病毒体内留下字体

嘿嘿~~~霖，想我了没？？我想死你了！！！
第一次用VB写,有些烂,请勿见怪,谢谢!


以上有部分内容是 xzcvxczvawae 提供.有些我也没办法看到..毕竟无法运行..

还有就是我想问问 xzcvxczvawae  你是不是叫 Lizhenming ?

引用:

【xzcvxczvawae的贴子】那人给了我一些代码，但不知道是不是那个人写的 ………………

没修改?

那问问.. 你杂能看到我看不到的东西?