日期总是1980－4－1这个怎么办啊？（已经解决）

我公司好多电脑的日期都变成了1980－4－1，还都查出了灰鸽子，我用了几种专杀工具都不能彻底清除，手动杀毒也试了，不理想，大家有什么好办法？而且这个1980－4－1这个病毒怎么处理啊
  

应该和熊猫没关系。同时硬盘里并没有不明的exe文件。首先，我发现控制面板里的“日期和时间”居然与internet时间服务器同步，我马上禁止了此选项，然后更改日期与时间，重起后，没有再回到1980年，接着我下载了瑞星杀毒（免费版）查杀了两个木马，具体名字忘记了（一高兴没记），之后就没有在出现问题。

[ 本帖最后由 gylddn 于 2007-3-22 20:57 编辑 ]

你有没有用瑞星07的试试啊!!!

公司不舍的买正版软件啊，哭。。。。。。。

你可以去下载啊,,最新版的...也不用升级了呀!

灰鸽子?瑞星网站就有专杀

我给你发两个过来.

顶啦，这些东西都很讨厌的，百杀不掉啊

非常感谢，灰鸽子弄死了，日期还是改不过来，郁闷。。。。

楼主中的可能是1980病毒吧.去网上搜索一下这方面的文章看看.

我的也是这样的,怎办?

九楼的朋友请教你一下:1980病毒用什么工具杀?

经过N个小时的捣鼓,说明6楼的说法有点问题,我用了你推荐的灰鸽子没管用,没效果.
但有朋友说是中了熊猫烧香的毒了,你可以试试,我正准备试呢

楼主的程序图标变成了熊猫的图片了吗?我可是按照楼主说的去给他找的.

原帖由 蒋汉 于 2007-1-26 15:18 发表
我的也是这样的,怎办?

你可以去这里看看:http://hi.baidu.com/mopery/blog/item/5b599f10aa349801203f2e3a.html

谢了！！！！！！！！！！

下来看看也。。。。。。。。。。

谢谢

具体写个分析..
运行样本生成文件
C:\WINDOWS\Listsas.txt
C:\WINDOWS\saslogww.txt
C:\WINDOWS\*.exe
X:\*.exe
X:\Autorun.inf

X=C D E F H .... *=大小写字母随机命名

修改注册表
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,c:\WINDOWS\*.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000

生成注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=hex:95,00,00,00

访问网站
http://www.sinavip.net/A.asp?Id=5540850987
http://www.lcsm.cn/nami.htm

Listsas.txt
内容为
4002http://www.sinavip.net/k1.rar
4003http://www.sinavip.net/ma.rar
30"http://www.lcsm.cn/nami.htm"
31"http://www.jing88.com/1ndex.asp"
31"http://www.ishici.com"

listsas.txt 与 服务器上 http://www.sinavip.net/list.txt 同步..
内容一样..

系统时间被更改.. 年份被更改为 1980 年..这样能导致一些软件无法使用..

连网下载
C:\WINDOWS\003.exe
C:\WINDOWS\002.exe
同时生成
C:\WINDOWS\002.txt
C:\WINDOWS\003.txt

处理方法安全模式操作)
删除文件
C:\WINDOWS\002.exe
C:\WINDOWS\002.txt
C:\WINDOWS\003.exe
C:\WINDOWS\003.txt
C:\WINDOWS\Listsas.txt
C:\WINDOWS\saslogww.txt
C:\WINDOWS\*.exe
X:\*.EXE
X:\Autorun.inf

修复注册表..
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
CheckedValue 编辑改成 1

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Userinit 编辑改为 C:\WINDOWS\system32\userinit.exe, 2000系统改为 C:\WINNT\system32

\userinit.exe,

删除注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=hex:95,00,00,00

该病毒是一个下载木马，并且会重新设置系统时间为1980年4月23日，运行该病毒会下载并执行一个灰鸽子病毒。中灰鸽子后，你的系统就会被人远程控制。

1、生成的文件C:sxs2.exe,并将其属性设置为隐藏。
2、添加系统启动项，确保每次开机病毒程序自动执行。
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
"sxs2" = "c:sxs2.exe"
3、隐藏所有隐藏文件，使管理员不能查看隐藏的系统文件。
HKLMSoftwareMicrosoftWindowsCurrentVersion
ExplorerAdvancedFolderHiddenSHOWALL
"checkedvalue" = "0x00000001"
4、从以下路径下载安装灰鸽子
http://drsunbo.go2.icpcn.***/network.exe
5、在其它分区生成autorun.inf配置文件，即使你不堪忍受，重装系统，也会在下次双击其它磁盘时，重新启动病毒。
----------------------------------
[autorun]
open=sxs2.exe
shellexecute=sxs2.exe
shellAutocommand=sxs2.exe
---------------------------------
手动清除病毒时，先在进程中查找并结束sxs2.exe、network.exe进程，搜索硬盘上的sxs2.exe、network.exe文件，找到后全部删除。按下面的作法修改注册表以恢复隐藏文件的显示。
运行regedit，打开注册表编辑器
浏览到
HKEY_LOCAL_MACHINESoftwareMicrosoftwindows
CurrentVersionexplorerAdvancedFolderHiddenSHOWALL
删除病毒创建的CheckedValue键，单击右键 新建??Dword值??命名为CheckedValue，然后修改它的键值为1，为十六进制，按确定后，刷新并退出注册表，这样就可以选择显示所有隐藏文件和显示系统文件了。

如果对系统不是很熟悉的话，可以找比较有把握的朋友来帮忙解决，或者安装相关杀毒软件升级后进行查杀，建议用国产杀毒软件好，比较国产软件才最了解国内情况，比如金山毒霸2007就可以完全查杀这个病毒，另外，到shadu.duba.net使用在线杀毒也可以干掉这个病毒。

用nod 32杀毒软件试一试