最難纏的“1980病毒”完整解決方案

　　【IT168 軟件資訊】“最近發現個奇怪的現象，我的係統時間總被改成1980年，改回來後電腦又自動改回去了。我問了朋友，說是主板電池沒電了，我買了新電池裝上也沒搞定，昨天竟然發現QQ被盜了。”用戶張先生無奈地表示。

　　金山毒霸反病毒專家戴光劍表示，最近類似張先生的遭遇比較多，病毒篡改係統時間，因為修改後的時間都是1980年，所以很多網友稱之為“1980病毒”。病毒調整係統時間的目的是關閉殺毒軟件的監控功能，然後在後台下載灰鴿子運行，這樣，你的機器就同時中了1980和灰鴿子兩個病毒。感染灰鴿子病毒後，遠程攻擊者就可以非常輕鬆地盜走用戶的QQ號。

　　據了解，1980病毒在網絡上已經流行一段時間，並已經導致了大量網友的電腦係統時間被篡改，論壇中關於該病毒的求助帖也比比皆是，但由於破壞性並沒有熊貓燒香等病毒那麽惡劣，所以網絡上並沒有相關的完整的解決方案，這樣給用戶的清除帶來了不少麻煩。

　　下麵是金山毒霸反病毒專家針對1980病毒的詳細分析報告以及解決方案，希望能夠對感染該病毒的用戶有所幫助！

　　病毒行為

　　該病毒是一個下載木馬，並且會重新設置係統時間為1980年4月23日，運行該病毒會下載並執行一個灰鴿子病毒。中灰鴿子後，你的係統就會被人遠程控製。

　　1、生成的文件C:\sxs2.exe,並將其屬性設置為隱藏。

　　2、添加係統啟動項，確保每次開機病毒程序自動執行。

　　HKCU\Software\Microsoft\Windows\CurrentVersion\Run"sxs2" = "c:\sxs2.exe"

　　3、隱藏所有隱藏文件，使管理員不能查看隱藏的係統文件。

　　HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL"checkedvalue" = "0x00000001"

　　4、下載安裝灰鴿子

　　5、在其它分區生成autorun.inf配置文件，即使你不堪忍受，重裝係統，也會在下次雙擊其它磁盤時，重新啟動病毒。

　　----------------------------------

　　[autorun]

　　open=sxs2.exe

　　shellexecute=sxs2.exe

　　shell\Auto\command=sxs2.exe

　　---------------------------------

　　手動清除病毒時，先在進程中查找並結束sxs2.exe、network.exe進程，搜索硬盤上的sxs2.exe、network.exe文件，找到後全部刪除。按下麵的作法修改注冊表以恢複隱藏文件的顯示。運行regedit，打開注冊表編輯器瀏覽到HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL刪除病毒創建的CheckedValue鍵，單擊右鍵 新建——Dword值——命名為CheckedValue，然後修改它的鍵值為1，為十六進製，按確定後，刷新並退出注冊表，這樣就可以選擇顯示所有隱藏文件和顯示係統文件了。

　　如果對係統不是很熟悉，建議安裝金山毒霸2007升級後查殺，也可以登錄shadu.duba.net使用在線殺毒解決掉。