系统时间自动被改为2005的病毒查杀体会

jackyshel

这是我2天前刚中过的病毒。用杀毒软件卡巴斯基KIS6.0.0.307扫描提示为Backdoor.Win32.Agent.ahj。现将整个杀毒体会写一下，供各位参考。
它的存在会在所有硬盘分区的根目录生成autorun.inf 和rising.exe文件，但这两个文件并非病毒的根源。由于系统重启后会自动将系统时间改至2005年，所以可以导致卡巴斯基立马处于需激活状态而失效，但你可以手动改为正确时间，卡巴斯基杀毒软件又可以回来。当时用瑞星杀毒软件并未能报告rising.exe 是病毒。病毒的根源位于系统盘Windows\System32\下，840E4FA0.DLL文件才是元凶，当时扫描检测发现所有的系统进程都受感染。了解了病毒特征后，我用光盘启动PE，删除autorun.inf 、rising.exe、840E4FA0.DLL文件，重启后正常。
后感：我当时中该病毒的时候，感觉它来势确实很凶，卡巴斯基的主动防御都没办法对付。还真以为是卡巴斯基的Key失效呢，在偶然上论坛时发现时间不对，改回来后卡巴斯基突然报病毒后才知道了真正的原因。

ALLEN^_^

^_^ 好了就对 ^_^

meo87

去服务里面把那个840E4FA0的选项禁用就没事了

yue352961

我也中了,没办法重新装了系统.

jackyshel

我是看见有人也中了，就写出了我的体会，这段时间这个病毒很盛，缘于能绕过卡巴的自动防御。

rover

也是这个毒吧
http://www.ibmnb.com/thread-529658-1-4.html

jeffhu888

我太阳，就是前两天中了，删除此病毒时居然顺带删除了N多我的文件。气晕了。我的电脑没有840E4FA0.DLL文件，在DOS下查也没用DIR /S也没找到。但现在系统时间还是自动改为2005年，奇怪？？？？

[ 本帖最后由 jeffhu888 于 2007-5-8 22:51 编辑 ]

zbcoin

赞成
meo87
" 去服务里面把那个840E4FA0的选项禁用就没事了 "

昨天我中的该病毒也是不断的修改系统时间，可能是该病毒的变种，我在服务里禁用的是FB000E3A就正常了。

liuhao969

QUOTE:

原帖由 meo87 于 2007-5-7 22:26 发表
去服务里面把那个840E4FA0的选项禁用就没事了

怎么服务里没有这个选项?