第一步:打开组策略
打开“开始菜单”中的“运行”程序,在其中输入“gpedit.msc”单击确定,进入组策略。
第二步:在组策略中删除所有具有可以更改系统时间的用户名。
进入组策略后,在左侧的树形菜单中逐级依次进入“计算机配置、windows设置、安全设置、本地策略、用户权利指派”,然后再右边窗口中找到“更改系统时间”,双击后会弹出“系统时间选项 属性”对话框,在对话框中所罗列的所有用户名全部删除。
第三步:全部删除后,单击确定并重新启动计算机就OK了!
这些都做完之后,你就可以在任务栏中双击时间,或者在控制面板中选择“时间或日期”,或在DOS中试图修改时间,但是都会被告知没有权限修改时间。从而能得出我们所做的努力是成功的。
其实这种方法也不是真正意义上的查杀,而仅仅是一种应付的对策。
方法二:
kriahqe.exe vftabxk进程里多了两个 机子所有的杀毒软件不能运行,进安全模式蓝屏 时间自动变到
1980 或者2080年
这类病毒修改系统时间,目的是杀毒软件失效。
清除这类病毒,步骤较为复杂。
建议在其它安装金山毒 霸的机器上升级杀毒软件,创建应急U盘,然后在你的机器上使用应急U盘启动,执行KAVDX杀毒。
如果你没有应急U盘,或者U盘启动系统失败。把硬盘拆下来,挂在别的机器上做从盘,启动另一台机器上的杀毒软件扫描你的硬盘是个办法。注意别用双击磁盘的方式打开文件。只需要启动杀毒 软件,在扫描目标里把这块新的硬盘各分区加进去就可以。
手工查杀方法,我慢慢写一个。
请看一下这个批处理,病毒一般用IEFO劫持来阻止杀毒软件运行,我们来个以其人之道还治其人之身。编辑下面这样一个批处理
@echo off
echo Windows Registry Editor Version 5.00>ssm.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\syssafe.EXE] >>ssm.reg
echo "Debugger"="kriahqe.exe" >>ssm.reg
regedit /s ssm.reg &del /q ssm.reg
echo "Debugger"="vftabxk" >>ssm.reg
regedit /s ssm.reg &del /q ssm.reg
注意:
"Debugger"="vftabxk" =号后面的引号中,输入你发现的可疑程序完整名字。有多少 就复制几行。
这个批处理,就是让这些病毒程序在重启后不能运行。
做到这一点后,你可以尝试运行杀毒软件的在线升级,然后试一下命令行杀毒。金山毒霸命令行杀毒只需要执行安装目录下的KAVDX.exe。
病毒处理完毕后,建议搜索这regedit.exe,尝试改一下文件名,比如reg.exe,双击后运行。浏览到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,在下面的分枝中找与杀毒 软件,系统管理工具相关的注册表子键,找到后,单击右键,删除。你的系统就恢复正常了。
总之,这种修复操作足够麻烦,请小心操作。
现介绍其中一种较简单地解决的方法。其达到目的的方式就是让任何人没有权限更改这台计算机的系统时间。
第一步:打开组策略
打开“开始菜单”中的“运行”程序,在其中输入“gpedit.msc”单击确定,进入组策略。
第二步:在组策略中删除所有具有可以更改系统时间的用户名。
进入组策略后,在左侧的树形菜单中逐级依次进入“计算机配置、windows设置、安全设置、本地策略、用户权利指派”,然后再右边窗口中找到“更改系统时间”,双击后会弹出“系统时间选项 属性”对话框,在对话框中所罗列的所有用户名全部删除。
第三步:全部删除后,单击确定并重新启动计算机就OK了!
这些都做完之后,你就可以在任务栏中双击时间,或者在控制面板中选择“时间或日期”,或在DOS中试图修改时间,但是都会被告知没有权限修改时间。从而能得出我们所做的努力是成功的。
其实这种方法也不是真正意义上的查杀,而仅仅是一种应付的对策。
方法二:
kriahqe.exe vftabxk进程里多了两个 机子所有的杀毒软件不能运行,进安全模式蓝屏 时间自动变到
1980 或者2080年
这类病毒修改系统时间,目的是杀毒软件失效。
清除这类病毒,步骤较为复杂。
建议在其它安装金山毒 霸的机器上升级杀毒软件,创建应急U盘,然后在你的机器上使用应急U盘启动,执行KAVDX杀毒。
如果你没有应急U盘,或者U盘启动系统失败。把硬盘拆下来,挂在别的机器上做从盘,启动另一台机器上的杀毒软件扫描你的硬盘是个办法。注意别用双击磁盘的方式打开文件。只需要启动杀毒 软件,在扫描目标里把这块新的硬盘各分区加进去就可以。
手工查杀方法,我慢慢写一个。
请看一下这个批处理,病毒一般用IEFO劫持来阻止杀毒软件运行,我们来个以其人之道还治其人之身。编辑下面这样一个批处理
@echo off
echo Windows Registry Editor Version 5.00>ssm.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\syssafe.EXE] >>ssm.reg
echo "Debugger"="kriahqe.exe" >>ssm.reg
regedit /s ssm.reg &del /q ssm.reg
echo "Debugger"="vftabxk" >>ssm.reg
regedit /s ssm.reg &del /q ssm.reg
注意:
"Debugger"="vftabxk" =号后面的引号中,输入你发现的可疑程序完整名字。有多少 就复制几行。
这个批处理,就是让这些病毒程序在重启后不能运行。
做到这一点后,你可以尝试运行杀毒软件的在线升级,然后试一下命令行杀毒。金山毒霸命令行杀毒只需要执行安装目录下的KAVDX.exe。
病毒处理完毕后,建议搜索这regedit.exe,尝试改一下文件名,比如reg.exe,双击后运行。浏览到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,在下面的分枝中找与杀毒 软件,系统管理工具相关的注册表子键,找到后,单击右键,删除。你的系统就恢复正常了。
总之,这种修复操作足够麻烦,请小心操作。
现介绍其中一种较简单地解决的方法。其达到目的的方式就是让任何人没有权限更改这台计算机的系统时间。
第一步:打开组策略
打开“开始菜单”中的“运行”程序,在其中输入“gpedit.msc”单击确定,进入组策略。
第二步:在组策略中删除所有具有可以更改系统时间的用户名。
进入组策略后,在左侧的树形菜单中逐级依次进入“计算机配置、windows设置、安全设置、本地策略、用户权利指派”,然后再右边窗口中找到“更改系统时间”,双击后会弹出“系统时间选项 属性”对话框,在对话框中所罗列的所有用户名全部删除。
第三步:全部删除后,单击确定并重新启动计算机就OK了!
这些都做完之后,你就可以在任务栏中双击时间,或者在控制面板中选择“时间或日期”,或在DOS中试图修改时间,但是都会被告知没有权限修改时间。从而能得出我们所做的努力是成功的。
其实这种方法也不是真正意义上的查杀,而仅仅是一种应付的对策。
方法二:
kriahqe.exe vftabxk进程里多了两个 机子所有的杀毒软件不能运行,进安全模式蓝屏 时间自动变到
1980 或者2080年
这类病毒修改系统时间,目的是杀毒软件失效。
清除这类病毒,步骤较为复杂。
建议在其它安装金山毒 霸的机器上升级杀毒软件,创建应急U盘,然后在你的机器上使用应急U盘启动,执行KAVDX杀毒。
如果你没有应急U盘,或者U盘启动系统失败。把硬盘拆下来,挂在别的机器上做从盘,启动另一台机器上的杀毒软件扫描你的硬盘是个办法。注意别用双击磁盘的方式打开文件。只需要启动杀毒 软件,在扫描目标里把这块新的硬盘各分区加进去就可以。
手工查杀方法,我慢慢写一个。
请看一下这个批处理,病毒一般用IEFO劫持来阻止杀毒软件运行,我们来个以其人之道还治其人之身。编辑下面这样一个批处理
@echo off
echo Windows Registry Editor Version 5.00>ssm.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\syssafe.EXE] >>ssm.reg
echo "Debugger"="kriahqe.exe" >>ssm.reg
regedit /s ssm.reg &del /q ssm.reg
echo "Debugger"="vftabxk" >>ssm.reg
regedit /s ssm.reg &del /q ssm.reg
注意:
"Debugger"="vftabxk" =号后面的引号中,输入你发现的可疑程序完整名字。有多少 就复制几行。
这个批处理,就是让这些病毒程序在重启后不能运行。
做到这一点后,你可以尝试运行杀毒软件的在线升级,然后试一下命令行杀毒。金山毒霸命令行杀毒只需要执行安装目录下的KAVDX.exe。
病毒处理完毕后,建议搜索这regedit.exe,尝试改一下文件名,比如reg.exe,双击后运行。浏览到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,在下面的分枝中找与杀毒 软件,系统管理工具相关的注册表子键,找到后,单击右键,删除。你的系统就恢复正常了。
总之,这种修复操作足够麻烦,请小心操作。
方法三;
病毒特征:
这种病毒属于复合类型病毒,具有病毒和木马的多重特性。系统感染该病毒后,会出现系统时间被修改的情况,同时该病毒会自动下载很多其他木马和流氓软件,并且修改用户HOSTS文件,导致网络域名解析出现问题使用户的防毒软件无法正常升级。
病毒会在%System32%文件夹下随机生成三组文件名由7-8位数字或字母组合的EXE文件和DLL文件,如:09594627.exe、 09594627.dll;4329a1c7.exe、4329a1c7.dll等。在系统临时文件夹中也有病毒的TMP文件。这些文件会加载进入系统驱动进程,建立起系统服务。同时该病毒DLL文件会关联Explorer进程,直接删除不了。
病毒还会在其他盘符下生成rising.exe、msdos.exe、autorun.inf等文件。
处理方法:
1、 关闭系统还原。
2、 重启电脑进入安全模式。
开启系统隐藏文件查看功能,如果出现查看功能无法开启的情况,请将ckeckedvalue的值由0改为1即可。
注册表修改路径:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL] "CheckedValue"=dword:00000001。
3、 打开系统服务,禁止三项病毒服务进程。这三项服务进程名和病毒文件名一样,注释也是文件名。利用第三方工具,如:procexp.exe将相关病毒进程终止。(这个MSRUNDLL.EXE也结束掉)
4、 进入注册表仔细搜索病毒项,将三项病毒注册表信息全部删干净。对于提示删除不了的项目,可以右击改项,选取“权限”,将“everyone”权限设为“完全控制”,然后删除。
5、 将%System32%文件夹下的病毒文件删除。注意:DLL文件如果直接删除不了的话请借助“冰刃”来删。将其他盘符下的病毒文件删除。
6、 重起电脑,用防毒软件全面扫描。
方法四:
防止卡巴不能用的处理方法(针对一些修改系统时间的木马病毒)
最近网上盛传一种终止卡巴防护的代码,更有甚者在病毒中添加了此功能,就是更改系统时间,而其确实也能终止xp下kav的防护,不过可能无法终止当设置权限为不允许更改系统时间时的kav…………
普通脚本代码:
@echo off
set date=%date%
date 1981-01-12
ping -n 45 localhost > nul
date %date%
其实这是由于卡巴斯基会为了防止盗版,实时检测系统日期,以判断软件是否已经超过授权的使用期限。当发现软件许可过期时会立即关闭所有的监控,同时主程序也无法扫描病毒,并且需要用户输入新的序列号。所以这是没办法的事
卡巴的反盗版功能也是他的缺陷,
解决方法:
自己修改下电脑的权限就可以了
- 上一篇:centos安全设置篇
- 下一篇:防御DDoS攻击的八大方法