[讨论]：开机发现时间变成了2080年，why？

warnetman

开机后发现诺顿异常
仔细检查后发现原来是系统时间变成了2080年（郁闷）
请问时间怎么会这样啊  *-*b

nxw

最初由 warnetman 发布
[B]开机后发现诺顿异常
仔细检查后发现原来是系统时间变成了2080年（郁闷）
请问时间怎么会这样啊  *-*b [/B]

查查病毒，改成现在的时间，再重启试试！

njluotao

首先先查毒。

libanghai

可能是CMOS电池问题吧

warnetman

忘了说了，在出现时间异常后，我用诺顿8.0查过，有w32.valla.2048，查2遍后，复查未发现病毒。其后太平了一天，现在又出这问题了。

nxw

怀疑是劳拉(Win32.Xorala)病毒
请看详细内容 ：
病毒概况:病毒类型：系统病毒
传播方式：文件/网络
感染对象：PE格式文件
依赖系统: WIN9X//NT/2000/XP
病毒别名：W32.Valla.2048（Norton）、W32/Valla.b(Mcafee)
病毒的详细讲解（以下大部分内容适用于所有的系统类病毒）：
一、 该病毒是系统类病毒。
瑞星的命名规则是WIN32平台的系统类病毒的病毒名前缀为：“W32”或“Win32”,DOS的系统类病毒是没有病毒名前缀的。系统类病毒就是可以感染系统文件（或可执行文件/或PE格式文件）的病毒，在DOS操作系统下就是感染.EXE、.COM等类型的文件，在WINDOWS平台下就是感染.EXE、.DLL等类型的文件。
二、 该病毒只感染文件。

　　只感染文件的意思是，该病毒本身没有独立的病毒体，它只是一段代码，它需要一个宿主文件做为自己的寄生体，这种特性非常类似于自然界的病毒。当这类病毒感染文件时，往往是将自身的代码植入被感染文件的体内，一般有四种方式：一是植入被感染文件的尾部，然后修改文件的程序入口指针，指之指向尾部的病毒体，这样，被感染文件运行时就会先执行病毒代码。二是植入被感染文件的中部，同样是修改程序入口指针，使之指向病毒代码。三是植入被感染文件的头部，这样不用修改程序入口指针，被感染文件运行时会直接执行病毒代码。四就是CIH病毒使用的方法，将病毒代码分散存储到被感染文件的各个节中，这样被感染文件将不会变大。
　　“劳拉”病毒就是将自己放入被感染文件的尾部，准确地说，它不是利用将自身代码植入最后一个文件节（节是WINDOWS文件格式中的特定术语，是文件存储的逻辑的单位，每个节都有不同的作用，如代码节中存储的是程序的代码，数据节存储是程序的数据）,然后将“节”扩大的通用感染方法，而在被感染文件尾部重新建一个新节，该节的名字是：“XOR”，节的内容是：
-= XOR 2009 Valhalla =- Assembled 1997 ..
Activated 07.2002 - devoted for peace and harmony in universe against war,racism, terrorism and cruel brutality .. Remember .. Life is the most important thing - not money .. It's time for a revolution NOW

　　这种节的信息，一般的用户是无法看到的，需要借助一些查看文件结构的工具才能看到。但对于一般用户来说，即使是看到该节也是没有用的，因为系统类病毒是靠修改程序的入口指针来运行的，因此在将病毒节摘除的同时还需要将程序的入口指针改回，有时还需要重新计算程序的校验和，因此手工清除该病毒几乎不可能。
三、 该病毒的感染步骤。
系统病毒的一般是通过用户点击第一个带毒的程序文件开始的。当用户点击该程序文件后，隐藏在程序文件体内的病毒代码则最先得到执行，它执行后便会驻留内存，在内存中开辟一块空间，该空间在关机前是不会被其它程序覆盖的，然后病毒就会监控文件的操作，一旦有读文件的操作，病毒便取得控制权，然后将自身代码加入另一个程序文件的体内，完成一次感染。
而病毒为了增加其隐蔽性，一般会在内存中放一个互斥量，避免病毒重复进入内存，而在被感染的目标文件体内放一个感染变量，以保证只感染目标文件一次。这样病毒的每一次感染，用户几乎是无法查觉的。
四、 该病毒会使大量占用资源，使系统变慢。
　　一般的系统病毒是不会造成系统变慢的，因为编写这类病毒的目的就是能大面积的感染而不被用户觉察，因此这类病毒只感染目标程序一次，也只进行进入内存一次。而劳拉病毒的编写时有缺陷，每一被感染的程序文件启动时，病毒就会被激活一次然后感染其它程序文件，由于WINDOWS系统同时运行的可程序文件数以千计，导致大量感染了该病毒的系统会变得异常缓慢。
病毒的详细解决方案：
一、 用瑞星杀毒软件2003最新版清除该病毒。
从产品与技术角度来讲，瑞星2003版由于集成了“共享杀毒”功能，该功能是瑞星独有的专利技术，意思是在WINDOWS环境下，象EXPLORER这样的被系统利用的文件，用户是无法手工删除的，删除时系统会提示该文件正在被使用，无法删除的信息，即使在这种情况下，如果该文件感染了病毒，瑞星杀毒软件2003版也可将该文件中的病毒清除掉，而无需重启计算机或到DOS环境下进行杀毒。
因此，只要将瑞星杀毒软件2003版升级到最新版就可以在WINDOWS环境下彻底清除该病毒，而不用到安全模式或在DOS下杀毒。
注意：如果有些病毒瑞星报出却清除不掉，则有可能是瑞星病毒查杀代码有一些问题，一般用户再等一、两个版本就可以了。
二、 为了保险起见，最好扫描两次系统。

　　任何一款杀毒软件都有漏报的问题，这其中可能是因为实时监控与文件扫描引擎之间存在着同步问题，因此为了保证用户系统的安全，当用瑞星最新版清除完病毒后，再扫描一下系统，看是否还有病毒存在。
三、 打开实时监控。
在清除病毒的同时打开实时监控，或直接打开实时监控然后再进行病毒的清除，是正确的杀毒方法，因为有许多的病毒都有网络特性，当你的计算机连网时，即使是完全清除了您计算机上的病毒，但随着网络的连通，病毒仍然会沿着网线继续进入到您的计算机中，造成清除完病毒后还有的现象。
而实时监控则解决了这一问题，实时监控可以随时监控本系统的文件，一旦发现有病毒闯入，则会直接将病毒拦截。
瑞星2003版的内存监控尤为重要。它是直接监控内存，也是瑞星独有的专利技术。由于有些病毒不形成文件，只在内存之间进行传播，象“红色代码”病毒，这时文件监控就失效，而内存监控则能很好地拦截该类型的病毒。
因此，打开实时监控是必要的。
四、 用瑞星DOS版清除病毒。
虽然瑞星WINDOWS版的杀毒软件有“共享杀毒”的技术，但由于种种原因，还会有一些文件型的病毒无法清除，虽然这一情况已经不多见。但当出现这种情况后，最好就是用瑞星的DOS版杀毒软件进行清除。
瑞星的DOS版的杀毒软件采用的是“DOS32”的编程技术，可以在DOS下直接支持NTFS格式分区的文件读写，因此对WIN2000　NTFS的用户来说非常方便，但需要注意的一点是，要用瑞星制作的软盘进行启动才行，而不要采用用户自制启动盘的方法
还有一点要注意的是，在使用瑞星DOS版清除病毒时，最好能先将软盘中的瑞星DOS版升级到最新的DOS版，这样才能更好地清除病毒。
制作瑞星最新DOS版的步骤是，先将瑞星WINDOWS版升级到最新版本，然后再利用瑞星提供的“制作瑞星安装盘”功能来升级自己的瑞星DOS版。

xiuzhu289

这种病毒够狠，，，呵呵，，但愿我别中了。。。^_^，，，也劝大家小心。。其实楼主你可以确定是中毒了，，因为，，如果CMOS被放电的话，，时间会回到原来的起始值。。没别的原因了。。或者你的电脑被黑客攻击了？？？这种几率很小。。^_^

warnetman

小小劳拉，我早就搞定了。诺顿网站上的介绍很清楚的！现在我是时间被改啊，今天启动后更夸张，时间跳到2165年，老天，那个时候，我的灰都找不到了。

nxw

恢复系统时间信息
找到[HKEY_CURRENT_USER\Control Panel\International]，将子键"sLongDate"改为"yyyy'年'M'月'd'日'"。

warnetman

又发现点古怪，时间只有在每次关机断开电源，再启动的时候，时间设置才会改掉。热启动的时候，时间无变化的。

hs_f

那就可能是主板电池没电乐，换块电池试试。