时间被病毒改成2005年,系统服务多了一条怪异服务
=====================================================
病症:
[1]
C/D/E盘按鼠标右键显示第一项是“auto”,也就是根目录有autorun.inf文件,只要双击:鼠标auto程序就运行了。
忙了一阵,才弹出新窗口显示要进入的盘,并且系统年份会自动改成2005,证明双击auto运行了程序。
[2]无法显示隐藏文件,也就是看不到C/D/E盘下的隐藏程序文件了。
[3]系统启动程序没有什么异常,但系统服务多了一条怪异服务。
在地址栏输入autorun.inf,直接打开隐藏的autorun文件(我本来有autorun文件用来显示硬盘图标用的),果然多了一句:
[autorun]
icon=2.ICO(这是写的定义图标用的)
open=rising.exe
shellexecute=rising.exe
shell\Auto\command=rising.exe
删掉多出的几句,以及利用系统搜索,搜出隐藏文件删掉,重启后系统时间还是自动改成2005年,但双击盘符已经不会改时间,猜测是那条怪异服务的影响。
上网搜索rising.exe,搜索到了解决办法如下:
用强制删除工具 PowerRMV
分别填入下面的文件(包括完整的路径) ,勾选“抑止杀灭对象再次生成”,点:杀灭
【有找不到提示的请忽略错误继续】
C:\Autorun.inf
<BR>
C:\rising.exe
d:\Autorun.inf
<BR>
d:\rising.exe
e:\Autorun.inf
e:\rising.exe
C:\WINDOWS\system32\yoabvk87.dll
C:\WINDOWS\system32\baqha.dll
C:\WINDOWS\system32\jminso54.dll
C:\PROGRA~1\yykb\sslc.dll
C:\DOCUME~1\new\LOCALS~1\Temp\winlog0n.exe
C:\DOCUME~1\new\LOCALS~1\Temp\Servere.exe
C:\Progra~1\Eset\eexplore.exe
C:\DOCUME~1\new\LOCALS~1\Temp\iexpl0re.exe
C:\DOCUME~1\new\LOCALS~1\Temp\c0nime.exe
重启计算机 然后 按F8
选择进入安全模式执行如下:
SREng 智能扫描 动画:
http://www.ushi5.com/ruanj/Untitled15.htm
双击运行
SREng,选择 "智能扫描","扫描","保存报告",然后把扫描后的SREng.log这个文件(就是所谓的“日志”)把其中的内容
复制到粘贴板(CTRL+A全选, CTRL+C复制)。然后将日志粘贴到你该贴的地方。
注册表--启动项目类的删除: <BR>SREng主程序 点 “启动项目”
--注册表,找到有问题的(就是告诉你要删的那些),点“删除按钮” 。
注意如果以下3项需要修复,恢复如下的默认值:
(在SREng中 "启动项目" "注册表" 鼠标左键在对应要修复的项上单击, 然后点击"编辑" 修改对应"值"
如下即可)
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
shell
Explorer.exe
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon]<BR>Userinit&gt;&lt;C:\WINDOWS\system32\Userinit.exe,
NT系统相应的为:C:\WINNT\system32\Userinit.exe,逗号不可省略
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Windows]AppInit_DLLs
启动项目----启动文件夹
在SREng中:主界面点 "启动项目"
,点"启动文件夹"选项卡片,然后
鼠标左键在对应要修复的项上单击:然后点击"删除"
启动项目:
服务--Win32服务应用程序:
SREng主程序 点 “启动项目”
--服务里找“win32服务应用程序”(勾选隐藏已认证的微软项目),选中有问题的服务后,点“删除服务”,点“设置”按钮即可。
注意弹出的窗口中要点
“NO 否”才是确认删除服务。
文件关联:
在SREng中 "系统修复"----"文件关联":鼠标左键在对应要修复的项前勾选
然后点击"修复" SRENG 修复浏览器加载项(BHO)
在SREng中 "系统修复"
--"浏览器加载项" 鼠标左键在对应要修复的项上单击
然后点击"删除所选内容"
如何修复IE?<BR>运行SRENG,点“系统修复”--“Internet
Explorer”将左下角的 全部打勾选中,点“修复”按钮即可。修复前注意关闭IE。
启动项目--服务--驱动程序进入后,勾选“隐藏微软已经认证的项目”。然后点中你要删除的驱动,
点选右下角的删除服务,点“设置”按钮!!
重启机器即可。
系统修复---Windows Shell
(注SR2.3后将windows shell/IE 合在了一起,一并打钩修复也一样。)主界面-----点“系统修复”按钮,然后点选“Windows
Shell”选项卡片,打勾点“全选”,最后点“修复”按钮即可。
SREng
系统修复--winSock供应者点“重置所有内容为默认值”SREng修复文件关联
(EXE,TXT等打开方式)系统修复--文件关联,点全选,点“修复”按钮。(也可以只选择有问题的项)
只不过这次是选择:全选。
启动项目--注册表 的如下项删除
C:\DOCUME~1\new\LOCALS~1\Temp\Rar$EX00.069\USBCleaner6.0\usbmon.exe
如果是USBCLEANER
不要放临时目录 放D盘根目录下否则删
%systemroot%\system32\Rundll32.exe
"%systemroot%\system32\yoabvk87.dll",
%systemroot%\system32\Rundll32.exe
%systemroot%\system32\baqha.dll,DllUnregisterServer
%systemroot%\system32\Rundll32.exe
%systemroot%\system32\jminso54.dll,
[Microsoft Corporation]
C:\PROGRA~1\yykb\sslc.dll
C:\DOCUME~1\new\LOCALS~1\Temp\winlog0n.exe
C:\DOCUME~1\new\LOCALS~1\Temp\Servere.exe
C:\Progra~1\Eset\eexplore.exe
C:\DOCUME~1\new\LOCALS~1\Temp\iexpl0re.exe
C:\DOCUME~1\new\LOCALS~1\Temp\c0nime.exe
完事后修改系统时间为正常,恢复杀软的监控即可,照着做之后就正常了,但现在还是不能显示隐藏文件,估计跟注册表被修改了有关。
看一下麦咖啡的日志,发现可疑条:2007-5-2 20:19:25
会被行为阻挡规则阻挡(规则当前处于警告模式)
MY-TOMATO\zeroshiki WScript.exe C:\Documents
and
Settings\zeroshiki\Local Settings\Temp\pe.vbs
禁止从 Temp 文件夹执行脚本
已阻止的操作:读取 2007-5-2 20:19:26
会被行为阻挡规则阻挡(规则当前处于警告模式)
MY-TOMATO\zeroshiki
WScript.exe C:\Documents and
Settings\zeroshiki\Local Settings\Temp\pe.exe
禁止从 Temp
文件夹执行脚本,已阻止的操作:读取跟发现MSN上不去的时间吻合,记不起来当时碰到什么文件触发这些脚本的,...
安全起见,在麦咖啡里加强了几条规则,分别是禁止IE从temp里运行程序以及脚本,禁止所有远程文件操作,禁止在windows文件夹创建exe和dll文件,禁止在所有硬盘根目录创建exe,禁止修改所有autorun.inf文件,等。有需要安装东西的时候再临时取消某些规则。
这样哪怕病毒源还存在,麦咖啡也能确保它运行不了.修改系统时间的病毒虽有好多种,可不外乎还是从服务、进程、注册表,这三个方面来发挥其作用的,同样;我们也可从这三个方面去查找、发现问题、解决问题。不要简单地格盘、重做系统。
----------------------------------------------------------
运用一下360安全卫士的防改系统时间补丁后再杀毒。
下载:防改系统时间补丁
