远程登录或本地登录后，系统提示即将关机并倒计时后关机重启

故障现象：有几台服务器在本地登录或本地登录后，系统提示即将关机并倒计时后关机重启；

 

故障分析：在进入系统后，马上不停使用“shutdown -a”停止“shutdown”命令的关机，经过检查，发现“.exe”的文件关联方式被修改为“12345”，在将“Sreng”工具软件的执行程序更改为“.com”后，进行了修复，并清除了系统中的病毒文件；但在重新使用本地或远程连接时还是会导致系统重新启动，在网上找了资料，发现未安装TCP/IP相关补丁KB941644，在安装了此补丁后，其中两台服务器故障解除；还有一台服务器还是会重启，用工具“SysinternalsSuite工具箱”中的“Autoruns.exe”工具检查发现在系统“Alluser”配置目录下的“程序 ― >启动”中有一个批处理文件，在其中使用“shutdown  �C r -1”命令设置了重启，因此，不管是本地登录还是网络登录此服务器，都会先执行“Alluser”配置目录中的这个批处理命令，导致登录后就重启服务器，清除了此文件后，故障解除。

 

故障总结：在几年前有RPC漏洞导致病毒攻击系统引起重启的现象，而现在又有TCP/IP相关漏洞导致病毒攻击后系统重启的现象，因此，系统补丁的安装很重要，需要特别重视；“Shutdown”命令是系统提供的一个正常的关机程序，而一些恶意程序会利用它来进行破坏，而此文件是正常的系统文件，因此防病毒软件不会提示，会导致故障很难判断原因，当我们遇到自动关机故障时，可以从这方面来考虑。