“最近發(fā)現(xiàn)個奇怪的現(xiàn)象，我的系統(tǒng)時間總被改成1980年，改回來后電腦又自動改回去了。我問了朋友，說是主板電池沒電了，我買了新電池裝上也沒搞定，昨天竟然發(fā)現(xiàn)QQ被盜了?！庇脩魪埾壬鸁o奈地表示。

　　金山毒霸反病毒專家戴光劍表示，最近類似張先生的遭遇比較多，病毒篡改系統(tǒng)時間，因為修改后的時間都是1980年，所以很多網(wǎng)友稱之為“1980病毒”。病毒調(diào)整系統(tǒng)時間的目的是關(guān)閉殺毒軟件的監(jiān)控功能，然后在后臺下載灰鴿子運行，這樣，你的機器就同時中了1980和灰鴿子兩個病毒。感染灰鴿子病毒后，遠程攻擊者就可以非常輕松地盜走用戶的QQ號。

　　據(jù)了解，1980病毒在網(wǎng)絡(luò)上已經(jīng)流行一段時間，并已經(jīng)導致了大量網(wǎng)友的電腦系統(tǒng)時間被篡改，論壇中關(guān)于該病毒的求助帖也比比皆是，但由于破壞性并沒有熊貓燒香等病毒那么惡劣，所以網(wǎng)絡(luò)上并沒有相關(guān)的完整的解決方案，這樣給用戶的清除帶來了不少麻煩，下面是金山毒霸反病毒專家針對1980病毒的詳細分析報告以及解決方案，希望能夠?qū)Ω腥驹摬《镜挠脩粲兴鶐椭?

　　病毒行為:

　　該病毒是一個下載木馬，并且會重新設(shè)置系統(tǒng)時間為1980年4月23日，運行該病毒會下載并執(zhí)行一個灰鴿子病毒。中灰鴿子后，你的系統(tǒng)就會被人遠程控制。

　　1、生成的文件C:/sxs2.exe,并將其屬性設(shè)置為隱藏。

　　2、添加系統(tǒng)啟動項，確保每次開機病毒程序自動執(zhí)行。

　　HKCU/Software/Microsoft/Windows/CurrentVersion/Run

　　"sxs2" = "c:/sxs2.exe"

　　3、隱藏所有隱藏文件，使管理員不能查看隱藏的系統(tǒng)文件。

　　HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL

　　"checkedvalue" = "0x00000001"

　　4、從以下路徑下載安裝灰鴿子

　　http://drsunbo.go2.icpcn.***/network.exe

　　5、在其它分區(qū)生成autorun.inf配置文件，即使你不堪忍受，重裝系統(tǒng)，也會在下次雙擊其它磁盤時，重新啟動病毒。

　　----------------------------------

　　[autorun]

　　open=sxs2.exe

　　shellexecute=sxs2.exe

　　shell/Auto/command=sxs2.exe

　　---------------------------------

　　手動清除病毒時，先在進程中查找并結(jié)束sxs2.exe、network.exe進程，搜索硬盤上的sxs2.exe、network.exe文件，找到后全部刪除。按下面的作法修改注冊表以恢復(fù)隱藏文件的顯示。

　　運行regedit，打開注冊表編輯器

　　瀏覽到

HKEY_LOCAL_MACHINE/Software/Microsoft/windows/CurrentVersion/explorer/Advanced/Folder/Hidden/SHOWALL

　　刪除病毒創(chuàng)建的CheckedValue鍵，單擊右鍵 新建——Dword值——命名為CheckedValue，然后修改它的鍵值為1，為十六進制，按確定后，刷新并退出注冊表，這樣就可以選擇顯示所有隱藏文件和顯示系統(tǒng)文件了。

　　如果對系統(tǒng)不是很熟悉，建議安裝金山毒霸2007升級后查殺，也可以登錄shadu.duba.net使用在線殺毒解決掉。

最新評論