样本来自baohe 我把他补充详细一点
此病毒完全是一个恶搞系统的病毒
症状如下：1.修改系统管理员密码
2.破坏显示隐藏文件
3.劫持regedit等系统重要组件
4.把桌面的颜色改为黑色
5.鼠标左右键颠倒

File: svchost.exe
Size: 16384 bytes
MD5: 997BC73908AF02DBDE0E3DB5DD22232E
SHA1: 93474257FF4809102928A728E85D256CE6D07A03
CRC32: 0FB59CF3
病毒名称：Joke.Win32.BlackScr.a（瑞星）

生成如下文件
C:\Program Files\ winlogon.exe
C:\Program Files\cmd.exe
C:\Program Files\regedit.exe
每个磁盘分区下生成一个 autorun.inf和一个svchost.exe

修改

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folde

r\Hidden\SHOWALL\CheckedValue 值为0x00000001
破坏显示隐藏文件

添加注册表项目
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\cmd.exe指向

C:\Program Files\cmd.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\regedit.exe
指向C:\Program Files\regedit.exe
劫持了cmd 和regedit

增加键HKLM\SYSTEM\MicroSoft\U7070

增加HKLM\SOFTWARE\Classes\*\shell\刷新(&F)\command\ 指向C:\Program

Files\ winlogon.exe 这个键值具体含义不懂 是不是刷新就自动运行病毒？还

请各位指教

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
下面添加
LegalNoticeCaption,Scharz Adler Notice:
LegalNoticeText    （不过虚拟机里未实现）
内容：

1.以此病毒纪念7.7事变70周年!

2.振兴中华,从我做起! 坚决抵制盗版!

3.盗版猖獗,危害国家! 爱国者不用盗版!

4.请使用正版Windows! Windows是最优秀的操作系统!

5.请使用正版杀毒软件!

6.请订阅<<电脑报>>学习计算机使用技巧!减少中毒概率!

Scharz Adler , Silent Hunter!

其他行为：
使用net user "Administrator" FREEDOM 命令为Administrator账户添加

FREEDOM的 密码
颠倒鼠标左右键
屏幕变黑

解决方法：
可能此时你的鼠标比较不适应，而且屏幕可能一片黑色，凑活点吧
操作步骤
1.鼠标左键单击桌面 属性
外观 色彩方案 下拉箭头里随便选一个 然后点击应用
过一小会儿 桌面就回来了

2.然后打开控制面板 切换到经典菜单
鼠标>鼠标键配置>拔切换主要和次要按钮的钩去掉

3.下载Icesword这个工具
http://www.onlinedown.net/soft/53325.htm
选择左下角文件 按钮 删除如下文件
C:\Program Files\ winlogon.exe
C:\Program Files\cmd.exe
C:\Program Files\regedit.exe
删除每个磁盘分区下的autorun.inf和svchost.exe
还是利用Icesword这个工具
注册表
展开HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths
删除cmd.exe和regedit.exe的子键

4.把下面的代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer

\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Adv

anced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

双击1.reg把这个注册表项导入

至于windows密码的问题 如果你在不知道他修改成什么密码的时候 只能用WinPE

光盘启动 然后用里面的密码修改工具修改了 推荐深山红叶系统工具盘 用其启

动计算机 进入PE系统 可以利用里面的密码修改工具Locksmith修改密码