具体参照下文
系统时间被修改了,KAV和360等都查不出病毒,机器重新启动时间又重新被篡改,篡改时间多见1990等。
修改系统时间并感染exe成为番茄花园的病毒(rising.exe)的处理(提供专杀下载)
破坏功能有:1.感染exe 并使得被感染的exe的公司等属性变为 番茄花园
2.感染html asp 等文件 插入恶意代码
3.通过双击磁盘启动
4.下载木马,盗取网游帐号
5.修改注册表 使系统无法显示隐藏文件
6.通过hook API 函数 导致任务管理器中 无法看见其进程
修改系统时间 随机把年份往前调 月,日不变
修改HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue:
值为 0x00000000
导致无法显示临时文件
解决办法:
安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
首先把系统日期 改回来
盘符 启动项目 注册表 删除如下项目
<upxdnd><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.exe>[]
<msccrt><C:\WINDOWS\msccrt.exe>[]
<cmdbs><C:\WINDOWS\cmdbs.exe>[]
<mppds><C:\WINDOWS\mppds.exe>[]
<Kvsc3><C:\WINDOWS\Kvsc3.exe>[]
<winform><C:\WINDOWS\winform.exe>[]
把下面的 代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
双击1.reg把这个注册表项导入
然后双击我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉。
右键 点击C盘 点击右键菜单中的“打开”打开C盘 (千万不要双击)(如图)
删除 如下文件
C:\rising.exe
C:\autorun.inf
C:\WINDOWS\system32\buchehuo.exe
C:\WINDOWS\system32\cmdbs.dll
C:\WINDOWS\cmdbs.exe
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\mppds.exe
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\msccrt.exe
C:\WINDOWS\system32\winform.dll
C:\WINDOWS\winform.exe
C:\WINDOWS\system32\winsock.exe
C:\WINDOWS\unspapik.txt
C:\WINDOWS\wiasevct.txt
C:\WINDOWS\wiasvctr.txt
C:\WINDOWS\ganran.txt
C:\WINDOWS\system32\139CA82A.DLL(随机的8个数字字母组合成的文件名)
C:\WINDOWS\system32\139CA82A.EXE(随机的8个数字字母组合成的文件名)
C:\WINDOWS\system32\K117815XXXXX.exe(XXXXX代表随机数字)
清空C:\Documents and Settings\用户名\Local Settings\Temp
右键 点击分别打开系统分区以外的分区 还是点击右键菜单中的“打开” (千万不要双击)
删除每个分区下面的autorun.inf和rising.exe文件
最后使用专杀 全盘杀毒
改变启动项 msconfig
威金熊猫番茄专杀下载
http://www.zjm.name/attachments/200706/5067593720.rar
先试试下面的方法:1,在“开始菜单”——“运行”(也可以用快捷键:win+r)里输入secpol.msc,打开组策略,依然选择“计算机配置——windows设置” ——安全设置——本地策略——用户权利指派——更改系统时间”(右边),然后双击(或者是右键单击,选择“属性”)打开“更新系统时间配置”属性对话框,把里面所有权限用户名全部删除,然后点击确定,重启计算机
2,下面我们来看看重启计算机以后,手动验证一下刚刚的设置是否生效:
A,在任务栏右下角双击时间和在控制面板里双击“时间和日期”选项系统都会弹出一个提示框:“你没有适当的特级权,所以无法更改系统时间”。
B,在命令提示符下去试试,在运行里输入cmd,打开命令提示符,输入date命令显示当前日期后,再输入新的时间:1980-2-3,然后回车,提示:“客户端没有所需权限”,也就是说,无法更改了
服务器时钟不同步时可能发生的一些问题包括:-网络认证失败-和系统中心数据保护管理器(SCDPM)代理的沟通问题-Exchange Server、Active Sync和Outlook Web Access(OWA)不可用在很多情况中,服务器时间同步问题来源于Kerberos协议,它有一个安全功能专门查看Kerberos票据上的时间戳,这主要是为了保护它们不会被重复使用。如果一张票据上的时间距离现在超过了五分钟,这张票据会遭到拒绝。因此,如果时钟五分钟内没有同步,Kerberos会开始出现故障。通常来讲,时间同步不会带来问题。例如,当Windows在活动目录(AD)环境中运行时,域内的所有计算机时钟都自动地与域控制器同步。但是,在域成员和工作组成员混合或是多个活动目录林存在的环境中,时钟同步就可能变成一个问题。举个更具体的例子,我自己网络中的所有生产服务器都进行了虚拟化。因为这个原因,我的虚拟化主机服务器中没有域成员,且所有的域控制器都是虚拟机。由于虚拟机根本没有启动,所以主机服务器不能和域控制器沟通的情况就不可能出现。如此一来,我选择让主机操作系统作为工作组成员。另外,我所有的虚拟化主机都运行Windows Server2008 R2上的Hyper-V.这些服务器中的一些集群运行Windows 2008R2的虚拟机,其它的集群那些仍然运行Windows Server2003的虚拟机。但是虽然运行Windows 2008 R2的来宾机好像和主机服务器的时钟保持了同步,运行Windows 2003的机器有可能无法和其余网络保持同步。那么,你要如何解决这个问题呢?解决方法会因为这台计算机是不是域成员而有所不同。但不管是何种情况,你需要指定一台服务器作为时间来源。它可以是你网络中的一台服务器或者你可以和国家标准与技术局(NIST)的原子钟进行同步。在工作组环境中,你可以通过打开Command Prompt窗口然后键入如下命令来将机器链到时间来源:W32tm/config/syncfromflags:manual/manualpeerlist:W32tm/config/update在这个例子中,你可以将替换成完全限定域名(FQDN)或是你想与之保持同步的服务器IP地址。你可以通过隔离每个有一个空间的地址来指定多个时间来源。在域环境中,使用组策略设置来指定时间来源情况会更好些。时钟相关的组策略设置可以在Group Policy Editor里看见,位置是:Computer Settings Administrative Templates System Windows Time Service.有三个不同的组策略设置可供你使用,包括:-Configure Windows NTP Client-让你可以将计算机时钟和外部时间来源进行同步。-Enable Windows NTP Client-允许计算机将时钟与其它Windows服务器进行同步。-Enable Windows NTP Server-允许服务器向Windows NTP客户端提供时间同步。注意,如果你打算和外部的时间来源进行同步,比如NIST,你就不能启用Windows NTP Client或是Windows NTP Server.使用外部时间来源时,你可能还要打开一些防火墙端口。Windows服务器为时间协议运用UDP端口123,它在默认情况下就该打开。但如果你想要使用NIST,你还要打开TCP端口13,TCP端口37和UDP端口37.正如你所见,保持Windows Server时钟间的同步十分重要。尽管时钟一般会自动同步,准备好面对需要手动同步时钟的情况还是必要的。欢迎分享,转载请注明来源:夏雨云
评论列表(0条)