网络安全

位置:IT落伍者 >> 网络安全 >> 浏览文章

系统时间自动被改到1980年怎么办


发布日期:2020年02月09日
 
系统时间自动被改到1980年怎么办

最近网上出现了一种病毒,电脑在感染这种病毒之后,系统时间会锁定在1980年。同时,1980病毒还下载灰鸽子木马来远程控制电脑。由于1980病毒集成了很多恶性病毒的特征,用户纷纷中招,而且要想完全清除非常困难。文章遭遇怀旧型病毒最近,张卫正碰到了令人心烦意乱的电脑问题。一开机,系统日期就被修改成了1980年,可是当他重新设置到当前时间后,再重启后系统时间还是被还原到1980年。他怀疑主板的电池用光了,可更换了主板的电池也无济于事。最后,他只得求助安全诊所。坐堂的裘医生还发现就诊者的电脑系统被强行安装了悠视网络电视和“手机铃声下载”的网页快捷方式,系统不停地弹出广告网页,IE主页被修改成了www.7255.com。根据以上症状,裘医生已经可以确诊:张卫正的电脑感染了1980病毒。1980病毒档案该病毒可以窜改系统时间,每次都修改到1980年,因此得名1980病毒。它不但破坏系统,而且还具有盗窃机密信息的能力。同时,它还具有通过移动存储设备传播的能力,可以在每个盘上生成autorun.inf文件。只要双击盘符,就将激活病毒。掀起病毒的盖头病毒会修改隐藏文件的注册表设置。导致用户无法查看隐藏文件。所以,我们要先修复注册表。打开注册表编辑器,进入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL子项,将右侧的ChekedValue键值改为0,并刷新注册表。TW.wiNGwIT.COM可以显示隐藏文件后,进入系统盘和其他盘,把隐藏的bMkzU.exe和Autorun.inf文件全部删除。痛击病毒主力接着,运行进程分析软件Process Explorer,我们发现“C:\windows\system3 2\7083854C.exe”进程和5个iexplore.exe进程,全部运行“kill process”命令予以终止(图1)。裘医生发现关闭了IE进程后,仍然有IE窗口弹出。因此,还需要进一步清理更深层次的病毒。力斩病毒余孽为了剿灭隐藏在系统暗处的病毒,裘医生打开超级巡警。进入到“进程管理”项目,在“iexplore”进程发现4fb0ntos.dll和40a6cfsb.dll应该是病毒下载木马病毒的文件,因此选中这两个文件,然后选择“删除标记模块文件”予以清除(图2)。这样该进程就无法下载病毒了,接着标记“iexplore”进程为“禁止进程创建”。不过,自行弹出窗口的元凶还是有待追查。裘医生继续切换到“服务管理”选项,这时有两个陌生的服务C:\Windows\system32\1882DE 9E.EXE和C:\Windows\system32 \24E38E8D.EXE引起了裘医生的关注。虽然服务处于停止状态,但是它们的启动方式还是出卖了它们。裘医生认定这是病毒启动“iexplore”进程的病毒文件,于是便删除服务和映像文件。最后到“IE设置”选项清空了主页。1980病毒不是等闲之辈,除了以上的隐匿启动方式,它还加载了自启动项。启动HiJackFree查看系统启动项目。进入“自动运行”项目,很快发现了名为“sdafdsafds”的C:\windows\temp\162.exe注册表启动项目,马上予以删除。再检查HKEY_LOCAL_Machine\software\microsoft\win dowsnt\currentversion\winlogon子项的userinit键值。我们发现该键值被修改成了C:\WINDOWS\system32\userinit.exe,c:\WINDOWS\1015.exe,rundll32.exeC:\windows\system32\winsys16_070212.dll start,很明显病毒希望通过该键值实现更加难以被察觉的启动方式(图3)。修改为默认的C:\WINDOWS\system32\us erinit.exe,然后删除了后面的病毒文件。重新启动电脑,这时不再有IE窗口弹出了。可是还是无法使用任务管理器,进入HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System子项,修改DisableTaskmgr键值为0,刷新后就可以使用任务管理器了。这时,系统时间没有被改回1980年了。因此,这次1980病毒的诊治宣告成功。防患于未然1980病毒可以通过移动存储设备传播,因此需要右键单击电脑的盘符来判断是否有病毒(有auto命令则说明有病毒)。使用移动存储设备时,不要直接插入使用,可以先按住Shift键来阻止自动启动以防感染病毒。最后,我们提醒大家,及时更新杀毒软件,并开启实时防护功能,可以在很大程度上防范病毒。

上一篇:如何破坏杀毒软件

下一篇:如何盗adsl账号