这是一个使用VB编写的病毒。可以通过U盘等移动存储传播。修改可执行文件图标,映像劫持杀毒软件...
( o( ]0 d- `: C7 \
9 n, X: b# M) j& {$ k0 _
1.病毒启动后,释放如下文件或者副本
# j8 B. s8 t" n0 |' m%systemroot%\system32\soleboy.exe
! d' ~: ?3 x! p
%systemroot%\system32\soleboy.txt
' t& x; H# a/ I8 K- y$ R0 r3 G8 N, }" x
各个分区根目录下生成soleboy.exe和autorun.inf达到随移动存储传播的目的。
: S/ M. V5 j6 ^7 e2 c; @7 x+ J! ?8 i1 s3 C! p2 j: o) G8 n# w( G( C3 t
2.试图结束一些安全工具的进程
# A! M3 h# [- U/ I/ k
比如procexp.exe
/ E8 w! e1 u1 I( NU盘病毒免疫器
" h: t& M3 @, E$ Davgnt.exe
) i, N( [* W# k" XPsview.exe
8 v: Z" Q! t: L e9 QPowerRmv.exe
* J+ d+ q3 |# J+ r
ToolsLoader.exe
: E9 K1 n( Z9 z+ z0 b& ~
FrameworkService.exe
5 I) V, C9 Z4 S: A" P1 C7 `( b7 w...
* e) l' S. Q$ H8 ]
& D0 M" @* m$ A3 K& q k9 W* ~3.映像劫持如下杀毒软件和安全工具:
+ z8 `3 g4 l7 h# w0 S% b3 _360Safe.exe
' c- W: B9 W! }5 j; o3 Y360tray.exe
: k8 ~% N- A) c! |1 g; f# |ACAAS.exe
# l' K$ V6 o8 [( C) p% r' @" Y, N
ACAEGMgr.exe
! H3 _! r' f! F8 t: ?4 H$ e7 h# E
ACAIS.exe
( w, [. X8 s& v. @& ]4 L: wACALS.exe
2 O$ z9 b; f5 @0 h; }+ N- D, sAC
ASP.exe
" L; O9 g) `/ ]$ I, N6 M1 }# \
ACenter.exe
. Q( s' m6 V$ {8 Q( x
AFMain.exe
4 B% s& i% ^/ }; @0 g5 t
AGB6.EXE
+ e( n" w c, z4 H- eAGBKrnl.exe
# r3 N) P9 T% y- A6 f( `% B6 r
AhnSD.exe
9 q# Z- O& a8 r& K3 H1 n
AhnSDsv.exe
/ H; D& c/ `* Q% I" GAluSchedulerSvc.exe
0 y! }( c) D; q, u3 P* r% W/ Y$ B
AScheduleService.exe
5 ^9 ?2 h/ s! q: Q
AST.exe
7 F5 J* I5 b6 V$ eavcenter.exe
% R* @$ ^. h* e0 P1 p7 v
avgnt.exe
, \6 f) `. Q5 o, v: n5 w
avguard.exe
5 S- y: B- M: m4 f
CCenter.exe
% \8 w Y8 {+ T- J, b1 `9 e, ?ccSvcHst.exe
0 x& S5 K* _& a. _/ B
FilMsg.exe
! ?) h5 J/ S0 Q ~% H# o: p: j
FrameworkService.exe
, w7 q* e4 q( K( g: p& K
KASMain.exe
5 x) O" f0 p/ v8 X# a7 dKAV32.exe
+ Y& F( X. R- K
KVIETools.exe
, d# c0 ^* f; m, x. x2 @' \
kvsrvxp.exe
. c; E7 n1 @8 C: G. U) NKWatch.exe
0 E6 B& h3 F9 \ omcconsol.exe
8 D3 s# t2 i( a( w% f" x
Mcshield.exe
: P0 t' A' w( Y# R. z% M
MPMain.exe
y( C9 K6 z7 `5 l1 s3 k% S. g, c% B. s% I, P
MPMon.exe
& z" F- E0 w6 A/ a0 l) e6 e( E1 t
MPSVC.exe
+ J0 O4 W1 s: T: V! I9 `MPSVC1.exe
1 E' d5 Q8 e. Q) J! nMPSVC2.exe
4 |# z- d- R G: F5 J( g5 Y
MSProxy.ahn
2 b( e; N4 M8 X; i/ W0 DnaPrdMgr.exe
2 A; G5 H ]7 E6 H! N) N# t, p
nod32krn.exe
$ D1 W1 N, M% K. f* X; L1 Gnod32kui.exe
2 t W: S5 u% nPCCIOMON.EXE
8 Z6 z# O: h. {/ ?) h4 F/ LPCCVScan.exe
. `- ?1 x/ e3 Y4 D2 D* o4 HPCMAIN.EXE
9 J! r+ q( @4 v* M& ~% v. W3 APowerRmv.exe
0 \3 ~' L H0 Gpsview.exe
7 p5 V2 a( I" s8 L0 S) Q) MRav.exe
- B7 a. X7 b1 D3 u6 d! P& `" S- URavMonD.exe
0 T n! `, u6 V/ {$ W: {' ]" W! m
sched.exe
) S0 H0 g. z, C' ~
sessmgr.exe
+ u+ _% R/ z- E# [9 Pshstat.exe
/ {( k" _) i/ v/ y: @( Z5 L
SnipeSword.exe
) |2 K8 V1 Q, STRIALMSG.exe
6 j; s; m& s( L- |4 {: ATwister.exe
8 e, L7 L. X* C/ l1 v
vcn.exe
9 Z& _' o$ r2 `8 g3 D: d' zvcs.exe
0 s- n4 ?$ I) ?* G9 n8 ^vcw.exe
. U) A# Y$ p$ F4 a4 C* }
VsTskMgr.exe
8 O9 H5 I* _1 p3 {- q, j劫持到%systemroot%\system32\soleboy.exe
/ c* F1 A7 D" b' c5 g
" C- x% i' f( T8 z3 Y: N; c) u0 u9 ]
4.添加注册表启动项目HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\soleboy: "%systemroot%\system32\soleboy.exe"达到开机启动自身的目的
0 w# a, s: x Q2 ~: X; [+ t! U3 H
5 Z3 H6 E; s( r1 {% r: B
5.修改com和exe文件的文件关联指向soleboy.exe
2 Y+ z8 n) b$ M$ A
HKLM\SOFTWARE\Classes\comfile\shell\open\command\: "soleboy.exe "%1" %*"
9 h! O# v" |2 n: C" DHKLM\SOFTWARE\Classes\exefile\shell\open\command\: "soleboy.exe "%1" %*"
[: |3 b; Z, _. a. A
$ y* _3 s6 c; o5 X& _# Y! L9 S
6.修改exe的图标关联 指向soleboy.exe,使得所有exe图标变成小狗图案。
b% r: \. H, S0 w4 |& THKEY_CLASSES_ROOT\exefile\DefaultIcon: "soleboy.exe"
3 n- }. I/ t3 x
7 \( v! R' J" m0 Z9 m8 U5 Y 142c678d3e15bd03b31bbac0.jpg (90.64 KB)
+ [+ }# }7 Z" i1 i
: h0 H9 T- f" F; q3 x2008-4-3 09:29
& L# h2 a+ t. p9 C7 F; A
7 O8 h/ U5 y* v& P2 f" L3 y2 @# U$ k |7.查找带有如下字样的窗口,找到后利用sendmessage函数发送WM_CLOSE命令关闭窗口
3 ?& L8 F U: k2 q9 {+ \瑞星反病毒资讯网 [信息安全 源自瑞星] - Windows Internet Explorer
, \" d- c. {3 R" U, T
Windows 任务管理器
& r6 \3 Z- M; K% {! h. W: T+ `
注册表编辑器
" t5 ?* r, }. s7 N/ X. ]4 {) X
江民进程查看器
1 J3 `% F( j" ~3 R' y欢迎光临江民科技[
网络安全,选择江民] - Windows Internet Explorer
/ K$ {* ^1 `4 {; W
金山毒霸信息安全网-免费
下载杀毒软件 - Windows Internet Explorer
: T5 M. d! a# T
卡巴斯基实验室: 反病毒软件,反间谍
程序,垃圾邮件过滤 - Windows Internet Explorer
7 ?, {- E5 B+ s' a
360安全卫士-Windows Internet Explorer
. o/ ^2 U5 k8 z# p3 F1 n* y' d" H
防病毒、反间谍软件、端点安全、备份、存储和遵从解决方案-赛门铁克公司-Windows Internet Explorer
5 m" @& G: R7 \2 K3 O* [6 X大型企业 - 趋势科技
中国 - Windows Internet Explorer
0 g0 ]% I8 ^, f$ P东方微点 - Windows Internet Explorer
; T# l4 [1 A9 r
...
+ r; U$ [& E, H3 |' w6 g, X; Y8 ?3 q3 k- U- u7 X
8 删除%systemroot%\system32\taskkill.exe
1 N! |" }- ^/ |0 \. A
- s; l" l, w. y4 j) k$ i9.作者在soleboy.txt中写道:
- S Q6 H" f* u7 K) t/ [# x
2 b% ]& K U* w7 c* mI want to go to university.
: H1 \0 f" b# t5 D! }& t3 ~8 cI think Jiangmin Antivirus Software is the best security software!
v9 A, D1 t1 C" gDon't worry ,I won't destroy your data.
; g1 F9 g, X0 A& v8 R6 g' l
' {/ Q r9 U( L% P- W. a: o解决方法:
0 V7 ]; h5 L% p! P5 w& l下载sreng,Icesword
% L0 H B& E V0 Gsreng:
http://www.skycn.com/soft/23312.html#download- s' B1 `# F# [5 V, a/ R
Icesword:
http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip
) r9 m. Q6 W7 \6 ^3 ^' T! J# g9 M2 \2 J2 Z* ~& d [' j
已经安装winrar的请打开winrar的安装路径 找到winrar.exe 把他改名为winrar.bat双击运行
( Z8 T0 a4 b1 A! p! r
, U& u3 d* M+ o! Z& e1 c3 [然后单击winrar菜单栏“文件”按钮 打开压缩文件
- O* n1 d- `# i/ _
07f2f3118a7bf2d7a7ef3fb1.jpg (64.26 KB)
" e: p$ K% W7 j) U9 v* q
4 k, _* Z1 W& a2008-4-3 09:29
% U4 p( F8 x/ F! \$ K6 j
0 t" |+ Z5 i. G* i! D3 |+ S2 a1 f, d9 C
分别解压sreng和Icesword
1 o5 {; P2 `- u z- V
+ X+ [ @: l* _
1.把Icesword.exe改名为1.bat运行
4 v9 B9 _& q6 |( H打开Icesword-进程
. f, r8 W+ J# h1 W8 L结束soleboy.exe进程
- [* a2 ~ ^& A Y
- f; Y6 ^; K' G& U1 y5 `: @; v2 T
& T4 k2 Y- `7 {6 K5 C4 H 556a57a90d4f4bed1e17a2cf.jpg (131.99 KB)
" k* }& I' k5 }& ~) X# I/ I: x6 h, t' a; H7 y' [6 \
2008-4-3 09:29
" Z6 X f0 @" ]4 K$ ^! {* x* ?; F
2.同样方法解压sreng
) e8 H3 g# Y$ `- x0 e: q8 e2 ~
把srengps.exe改名为 2.bat运行
4 Z+ g: a1 G2 f- |* x4 V8 N0 h- h7 W/ L& o启动项目 注册表
' i4 U- F- E: g5 m+ @删除如下项目
- s0 x' f9 Z; z6 F. d; i
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
H& D2 }7 w% d! W; f
[Soleboy]
( W0 W% R2 r2 u* _! t3 P9 ]
并删除所有红色的IFEO项目
6 g3 M6 Z0 V# q
" ] D4 i! O6 u' R! ]' w. X+ C
d261311fdd5155d9a78669b8.jpg (102.16 KB)
% i6 @3 l3 Z( ?3 V; [9 N
& X3 a& U3 n/ M" }0 |: s
2008-4-3 09:29
. T, h1 B ]1 V0 T6 b8 @
8 D: x7 T5 i+ R" l/ P
系统修复 文件关联 点击“修复”按钮
. C, F3 P( D3 A* b3 |9 O8 M
' w6 s+ F& M) g
3.开始 运行 输入regedit
# D& I# s$ `) c3 P# U
展开HKEY_CLASSES_ROOT\exefile\DefaultIcon 修改该项数据为"%1" (不包括引号)可爱的“小狗上学”病毒!!!
+ U- A5 m! D; ^$ k可爱的“小狗上学”病毒2008-03-29 16:18作者:清新阳光 (
http://hi.baidu.com/newcenturysun)
/ l* @) N$ ^8 w# p, F: q* y
日期:2008/03/29 (转载请保留此声明)
' a" F" k) l! _3 i) a
样本来自网友qcqyt,在此表示感谢
% T! k9 `- ]) q- G) L2 c这是一个使用VB编写的病毒。可以通过U盘等移动存储传播。修改可执行文件图标,映像劫持杀毒软件...
* s8 R+ t3 w% a a7 ?. Z3 F1.病毒启动后,释放如下文件或者副本
8 Q5 h* }% p; m$ ^# V. B0 I
%systemroot%\system32\soleboy.exe
; c- I6 Y0 `* U%systemroot%\system32\soleboy.txt
, x9 T- m( b$ D. |9 g各个分区根目录下生成soleboy.exe和autorun.inf达到随移动存储传播的目的。
% l9 k* |1 `. p4 V
2.试图结束一些安全工具的进程
8 E% p' u" L* c$ @+ Q: t( Z: V比如procexp.exe
4 {% \2 W$ e+ n8 T- x& j$ HU盘病毒免疫器
& F# m* Y$ c2 r5 O. }' t: d
avgnt.exe
% z8 z4 Y U, s! NPsview.exe
" H! a: V) T/ s) q& n# @. R+ SPowerRmv.exe
1 E( I' c( E$ [7 n, l
ToolsLoader.exe
6 e" n/ \5 y" |FrameworkService.exe
. z; L8 ^5 ~$ P4 E
...
: K" o/ R, o6 W: Y* S3.映像劫持如下杀毒软件和安全工具:
8 u g# S* H1 B6 _# A: n) F4 h360Safe.exe
$ a0 b6 d4 b+ O P" l
360tray.exe
0 Z* S8 ]6 c' S! c. I
ACAAS.exe
W& t# p% d% RACAEGMgr.exe
2 T1 k: E3 V2 U$ {) B; q* vACAIS.exe
% |( h! ]4 g2 h# B; Y" |/ _
ACALS.exe
k9 L" E1 `8 S8 @
ACASP.exe
. V" V. D' ?* J4 C1 V# @/ RACenter.exe
7 {2 v. T2 U0 V: H
AFMain.exe
+ g% U' ?9 F uAGB6.EXE
- z/ w$ v3 N. X; ~, L, x! B) V
AGBKrnl.exe
& I L6 k1 H( a. ]' v
AhnSD.exe
; T2 _! d% K' VAhnSDsv.exe
/ _! K' {1 ~9 g* C. c
AluSchedulerSvc.exe
6 C+ r: u& }; x+ b" O% w% \" zAScheduleService.exe
- O0 [. V- s) j1 jAST.exe
\" I5 e& e& A- ]; navcenter.exe
' A9 z, s; {7 M& n4 j! u) A7 {
avgnt.exe
+ Y# D4 |7 p; K' [3 _
avguard.exe
4 _( \ H7 y2 [7 M
CCenter.exe
/ j; ~: C/ E3 a1 V i( N) D& t* T. g
ccSvcHst.exe
0 [* t. y' a: E2 J; ?3 DFilMsg.exe
1 u% s. W2 f: n s" |* S. [1 `
FrameworkService.exe
, f+ s% S) [4 S
KASMain.exe
' q( k. ~1 y, E" ^; p' }KAV32.exe
# g& Z5 `) n8 w6 ZKVIETools.exe
# K% Q9 C8 q4 `" z" Rkvsrvxp.exe
) u3 V, p+ S8 A0 O# \KWatch.exe
$ ^$ c2 d8 j7 m, j5 ^+ Kmcconsol.exe
9 O- H9 S- G% O; `( jMcshield.exe
2 E/ K: r p! {; k5 r
MPMain.exe
7 g8 a; [4 v. y: XMPMon.exe
9 K# a5 `3 L2 v# d) N: IMPSVC.exe
, S4 @. ~" Z0 C4 j. T9 G% P$ ~
MPSVC1.exe
7 C' k6 _/ o# w9 ?0 Z$ HMPSVC2.exe
) U+ O, q$ }; H2 }5 I& _
MSProxy.ahn
% {! A, r" }7 @* @8 o4 i1 ~9 E
naPrdMgr.exe
7 K& |% X7 i" D+ v4 U
nod32krn.exe
: m& y5 m7 F) ]7 g! B6 Qnod32kui.exe
) ~, x9 X5 z/ @3 C$ S% nPCCIOMON.EXE
& p) o- m" L+ [8 b; h# ?
PCCVScan.exe
! A1 t0 Q. \$ j7 Z
PCMAIN.EXE
, p2 ]- e+ |* h# H* p6 H6 k. I
PowerRmv.exe
. _ ~6 s- t& }) J# }7 H0 n$ H
psview.exe
1 n+ ~ d: C0 i5 D! g
Rav.exe
* z# v' t: N* I7 k) `5 c* h9 sRavMonD.exe
( Y% d. i& p! M7 @& e: \, j5 u Y
sched.exe
5 I8 @: r5 e" Fsessmgr.exe
2 k d" M9 Z$ c8 M! P [, ^, [shstat.exe
& F9 L1 W, a" d' U& ?0 `! w
SnipeSword.exe
3 l$ o/ V+ ^9 A& s7 LTRIALMSG.exe
* b0 F" _! B( f" S( O1 oTwister.exe
/ W( p3 a& O- n. X) [) Wvcn.exe
" Z$ p! n4 ~& k$ n) h |7 m# z
vcs.exe
% c) t% _- o4 _0 }
vcw.exe
* }* F' A% O2 ^3 v( V# F
VsTskMgr.exe
) Z; j$ [% x1 X! [6 ^9 h劫持到%systemroot%\system32\soleboy.exe
+ e2 K! [9 p A/ D6 a
4.添加注册表启动项目HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\soleboy: "%systemroot%\system32\soleboy.exe"达到开机启动自身的目的
- e4 O% U. J. E5.修改com和exe文件的文件关联指向soleboy.exe
& t0 q+ \7 r) X! h; t# H+ w! S9 B
HKLM\SOFTWARE\Classes\comfile\shell\open\command\: "soleboy.exe "%1" %*"
3 e( r' l6 f7 m3 y+ V2 R: H6 |0 \HKLM\SOFTWARE\Classes\exefile\shell\open\command\: "soleboy.exe "%1" %*"
& e- ?- W8 ~; r( ^% O1 ~4 W3 P% t6.修改exe的图标关联 指向soleboy.exe,使得所有exe图标变成小狗图案。
$ i- P. i7 I3 X* Z: ]
HKEY_CLASSES_ROOT\exefile\DefaultIcon: "soleboy.exe"
3 C3 d5 L+ d7 O' ~
1 U; j7 [5 e( C. _
( f4 c( P9 ?2 v' M
8 ~& H& W" O5 Z9 w, z; J
7 a( X# M4 J& i/ J% a0 S0 l# e: c( a* u
142c678d3e15bd03b31bbac0.jpg (90.64 KB)
% ~1 Z- n# `4 C% _9 u# W' A) j; |2 A
2008-4-3 09:29
# V3 V, x$ @) N, k
7.查找带有如下字样的窗口,找到后利用sendmessage函数发送WM_CLOSE命令关闭窗口
, t* `- D' E6 K- V
瑞星反病毒资讯网 [信息安全 源自瑞星] - Windows Internet Explorer
$ z, V/ U# ?9 G& X2 U* w$ d$ n: yWindows 任务管理器
$ G6 h$ }; K4 _) ?4 L' R$ H注册表编辑器
; K8 F2 N: H6 A! M江民进程查看器
0 D1 Y) E% J& K& o X欢迎光临江民科技[网络安全,选择江民] - Windows Internet Explorer
+ U' R! g9 M" z/ `
金山毒霸信息安全网-免费下载杀毒软件 - Windows Internet Explorer
/ H/ C0 r- }# j8 ~) U; T
卡巴斯基实验室: 反病毒软件,反间谍程序,垃圾邮件过滤 - Windows Internet Explorer
! N* w$ o4 G) }+ s& G: }- v6 P360安全卫士-Windows Internet Explorer
$ p. j* T7 q. ?+ H, z% F# x
防病毒、反间谍软件、端点安全、备份、存储和遵从解决方案-赛门铁克公司-Windows Internet Explorer
, w" [5 x3 ^6 g" {7 L0 A大型企业 - 趋势科技 中国 - Windows Internet Explorer
: c3 [- D: _ a/ _1 c
东方微点 - Windows Internet Explorer
& M7 x9 W) w3 Y/ E& H! E- q5 t0 V...
" p+ U2 _1 j) A, }) t6 \, d; x
8 删除%systemroot%\system32\taskkill.exe
! S) w* b9 d% L1 C! _9 B9 X1 ?9.作者在soleboy.txt中写道:
$ h8 O. @ l* n2 m* K
I want to go to university.
; y, L- ^. Z4 _ D2 R. c
I think Jiangmin Antivirus Software is the best security software!
* z! u; ~; {$ m+ }) U5 nDon't worry ,I won't destroy your data.
0 T& x3 `) @( s6 {; m
解决方法:
% m# Z T9 c9 P: V9 v$ H" T
下载sreng,Icesword
/ |' T! _# f4 k2 @, l2 j5 z; H* {8 m
sreng:
http://www.skycn.com/soft/23312.html#download/ |) R* i% P0 D9 ^
Icesword:
http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip+ }% ~# p" W6 Q( J
已经安装winrar的请打开winrar的安装路径 找到winrar.exe 把他改名为winrar.bat双击运行
4 m1 U; d% z4 Y然后单击winrar菜单栏“文件”按钮 打开压缩文件
8 r7 A' p6 W5 i( z- E8 C% ]& y0 A( ^: y! {# L
. b) Q& y; d d
: |/ \6 X3 s$ W* w' G: O2 v
7 S- l3 B2 E" j, r07f2f3118a7bf2d7a7ef3fb1.jpg (64.26 KB)
1 O u( V1 M: h4 J% g
2008-4-3 09:29
z) T- |! |6 z1 u( v, j$ B
分别解压sreng和Icesword
, N3 i6 |" H& H M1.把Icesword.exe改名为1.bat运行
# O/ o( f3 g9 I# g$ B3 m; V
打开Icesword-进程
4 K+ D5 z( Q9 a5 g% E+ _; `
结束soleboy.exe进程
# _/ [+ ?3 \3 j
0 ~+ _, c0 o& f% }0 Q' s7 X
, V6 V* f6 m2 \) ]' k! t
6 J: Q5 W5 T, X4 ?2 {3 b: d2 v
% W: { l/ C+ u6 ?2 T7 Y( @ x
556a57a90d4f4bed1e17a2cf.jpg (131.99 KB)
. l6 l2 L6 q$ [
2008-4-3 09:29
8 {2 ]- k2 S* a5 m' K
2.同样方法解压sreng
4 \6 h n, S; v0 R9 K7 y6 _4 S把srengps.exe改名为 2.bat运行
9 D. V2 R2 Q N2 y0 I
启动项目 注册表
" w- g8 [' W5 c4 q; v X. \
删除如下项目
# o: A8 I: P' k7 f
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
( U4 k4 c) @5 `/ q" a, N[Soleboy]
2 p# A( |6 }1 m) Q: s并删除所有红色的IFEO项目
6 I5 I9 A( ?; Q! T0 P! H9 W
3 L! Z- m7 \, v6 S
1 N. O3 v2 A6 m) z, W8 E$ `. a" \8 z
0 u3 ?% u5 {5 P; Y. }
9 g; W7 E b9 y1 y7 _4 S1 cd261311fdd5155d9a78669b8.jpg (102.16 KB)
) t' A: f, y+ a3 h9 Q9 q3 J- i+ _2008-4-3 09:29
1 ?8 F; \ u; B( }6 y9 U系统修复 文件关联 点击“修复”按钮
A. k q: {2 l) i' Y3.开始 运行 输入regedit
; t2 X, G' b) `& L5 K3 E" K: S展开HKEY_CLASSES_ROOT\exefile\DefaultIcon 修改该项数据为"%1" (不包括引号)
