【IT168 軟件資訊】“最近發現個奇怪的現象,我的係統時間總被改成1980年,改回來後電腦又自動改回去了。我問了朋友,說是主板電池沒電了,我買了新電池裝上也沒搞定,昨天竟然發現QQ被盜了。”用戶張先生無奈地表示。 金山毒霸反病毒專家戴光劍表示,最近類似張先生的遭遇比較多,病毒篡改係統時間,因為修改後的時間都是1980年,所以很多網友稱之為“1980病毒”。病毒調整係統時間的目的是關閉殺毒軟件的監控功能,然後在後台下載灰鴿子運行,這樣,你的機器就同時中了1980和灰鴿子兩個病毒。感染灰鴿子病毒後,遠程攻擊者就可以非常輕鬆地盜走用戶的QQ號。 據了解,1980病毒在網絡上已經流行一段時間,並已經導致了大量網友的電腦係統時間被篡改,論壇中關於該病毒的求助帖也比比皆是,但由於破壞性並沒有熊貓燒香等病毒那麽惡劣,所以網絡上並沒有相關的完整的解決方案,這樣給用戶的清除帶來了不少麻煩。 下麵是金山毒霸反病毒專家針對1980病毒的詳細分析報告以及解決方案,希望能夠對感染該病毒的用戶有所幫助! 病毒行為 該病毒是一個下載木馬,並且會重新設置係統時間為1980年4月23日,運行該病毒會下載並執行一個灰鴿子病毒。中灰鴿子後,你的係統就會被人遠程控製。 1、生成的文件C:\sxs2.exe,並將其屬性設置為隱藏。 2、添加係統啟動項,確保每次開機病毒程序自動執行。 HKCU\Software\Microsoft\Windows\CurrentVersion\Run"sxs2" = "c:\sxs2.exe" 3、隱藏所有隱藏文件,使管理員不能查看隱藏的係統文件。 HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL"checkedvalue" = "0x00000001" 4、下載安裝灰鴿子 5、在其它分區生成autorun.inf配置文件,即使你不堪忍受,重裝係統,也會在下次雙擊其它磁盤時,重新啟動病毒。 ---------------------------------- [autorun] open=sxs2.exe shellexecute=sxs2.exe shell\Auto\command=sxs2.exe --------------------------------- 手動清除病毒時,先在進程中查找並結束sxs2.exe、network.exe進程,搜索硬盤上的sxs2.exe、network.exe文件,找到後全部刪除。按下麵的作法修改注冊表以恢複隱藏文件的顯示。運行regedit,打開注冊表編輯器瀏覽到HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL刪除病毒創建的CheckedValue鍵,單擊右鍵 新建——Dword值——命名為CheckedValue,然後修改它的鍵值為1,為十六進製,按確定後,刷新並退出注冊表,這樣就可以選擇顯示所有隱藏文件和顯示係統文件了。 如果對係統不是很熟悉,建議安裝金山毒霸2007升級後查殺,也可以登錄shadu.duba.net使用在線殺毒解決掉。 |
最難纏的“1980病毒”完整解決方案
本文內容已被 [ n ] 在 2007-03-14 14:53:35 編輯過。如有問題,請報告版主或論壇管理刪除.