远程登录或本地登录后,系统提示即将关机并倒计时后关机重启

故障现象:有几台服务器在本地登录或本地登录后,系统提示即将关机并倒计时后关机重启;
 
故障分析:在进入系统后,马上不停使用“shutdown -a”停止“shutdown”命令的关机,经过检查,发现“.exe”的文件关联方式被修改为“12345”,在将“Sreng”工具软件的执行程序更改为“.com”后,进行了修复,并清除了系统中的病毒文件;但在重新使用本地或远程连接时还是会导致系统重新启动,在网上找了资料,发现未安装TCP/IP相关补丁KB941644,在安装了此补丁后,其中两台服务器故障解除;还有一台服务器还是会重启,用工具“SysinternalsSuite工具箱”中的“Autoruns.exe”工具检查发现在系统“Alluser”配置目录下的“程序 >启动”中有一个批处理文件,在其中使用“shutdown  �C r -1”命令设置了重启,因此,不管是本地登录还是网络登录此服务器,都会先执行“Alluser”配置目录中的这个批处理命令,导致登录后就重启服务器,清除了此文件后,故障解除。
 
故障总结:在几年前有RPC漏洞导致病毒攻击系统引起重启的现象,而现在又有TCP/IP相关漏洞导致病毒攻击后系统重启的现象,因此,系统补丁的安装很重要,需要特别重视;“Shutdown”命令是系统提供的一个正常的关机程序,而一些恶意程序会利用它来进行破坏,而此文件是正常的系统文件,因此防病毒软件不会提示,会导致故障很难判断原因,当我们遇到自动关机故障时,可以从这方面来考虑。

你可能感兴趣的:(职场,倒计时,休闲,关机重启)