作者jindidi0704 (精滴滴)
看板AntiVirus
标题[求救] 自动进入关机程序 无倒数
时间Sun Nov 5 05:26:06 2017
大家好!
画面录影
https://youtu.be/Lno3wajm1Lw
最近几天电脑疯狂自动进关机程序(非断电型关机。
事件检视器里有看到NT Authority\System 无理由要求关机,
原本怀疑是疾风病毒,
但没有跳出倒数视窗。
进安全模式是完全没事的,
但一进正常系统,
不管有没有登入,等20秒左右之後都会关机。
而且没办法还原,
而且没办法还原,
因为系统保护打不开,
进系统视窗也看不到系统保护的选项。
用了几个antimalware扫过有出现登陆值被修改,
像是disable.taskmgr之类的。
想先请各位隔空抓药一下,
睡起来再po扫毒结果给各位,
感谢防毒版!
目前用了emsisoft antimalware跟malwarebytes
http://i.imgur.com/uYzqOvy.jpg
(OS跟Office皆为学校大量授权的正版...)
http://i.imgur.com/ccvaZR1.jpg
只有这两次有扫出毒
後来都没出现
但重开机依然会被关机
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 49.219.176.34
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1509830769.A.215.html
1F:推 ton200168: A方案:一般开启>输入shutdown -a,如显示已取消关机进11/05 08:49
2F:→ ton200168: 入B方案11/05 08:49
3F:→ ton200168: B方案:安全模式>启动>是否有未知程序?删除:B方案11/05 08:49
4F:→ ton200168: C方案:安全模式>开启任务管理器>发现未知任务>删除11/05 08:49
5F:→ ton200168: C方案:安全模式>开启任务管理器>发现未知任务>删除11/05 08:49
谢谢ton大
A方案无法取消 还是会直接进关机程序
C方案目前没看到未知或可疑任务
6F:推 skycat2216: 作业系统版本?(虽然不用说也知道是XP啦)11/05 09:13
抱歉没有附上XD 是windows7 x64 旗舰版
※ 编辑: jindidi0704 (49.219.179.123), 11/05/2017 12:13:11
7F:→ Klauhal: 应该是有东西在开机後启动,然後触发关机11/05 13:21
8F:→ Klauhal: 病毒查杀、木马蠕虫之类的扫一扫看看11/05 13:23
※ 编辑: jindidi0704 (49.219.179.123), 11/05/2017 15:39:17
9F:→ KevinYu0504: 使用 Zemana 与 HitmanPro 来扫描试试看。11/05 15:47
10F:推 DINJIAPC: 跑一份gsi和combofix log来,然後拔网路线观察一天看是11/05 19:06
11F:→ DINJIAPC: 否还会自行关机。如果还是会关 那我想你重灌後开始请教11/05 19:06
12F:→ DINJIAPC: 硬体板吧11/05 19:06
13F:→ DINJIAPC: 欧抱歉没看到一开始的影片 。麻烦下载mwav更新至最新後11/05 19:28
14F:→ DINJIAPC: 在安全模式下扫描并附上扫描纪录11/05 19:28
15F:→ fatstan: 看国外网友的相关文章 看起来像是病毒11/05 19:32
16F:→ fatstan: malwarebytes帮你删了一个木马下载器javaa.exe 11/05 19:37
17F:→ wenjie0810: 会不会只是单纯的POWER 按钮弹性疲乏? 11/05 19:42
18F:推 DINJIAPC: 拔网路尽快重灌系统吧 11/05 20:00
19F:→ HELLDIVER: 把主机板上的reset 跳脚拔掉看还会不会这样 11/05 20:16
20F:→ fatstan: 用TDSSKiller之类的工具扫看有没有Rootkits 11/05 21:02
21F:→ jindidi0704: 先谢谢大家 现在在用tdsskiller跟myav扫 应该都要花 11/05 21:26
22F:→ jindidi0704: 个十几小时 明天再把记录丢上来!11/05 21:26
23F:→ jindidi0704: 硬体问题应该是排除了吧 因为有很多登陆值跟系统功11/05 21:26
24F:→ jindidi0704: 能被窜改了11/05 21:26
25F:→ KevinYu0504: 要不要考虑乾脆重灌,比较快又乾净。 11/05 22:36
26F:→ jindidi0704: 刚刚备份重要的档案了 反正刚好要换ssd就顺便重灌罗11/06 00:16
27F:→ jindidi0704: 真的是徒劳好几天XDD11/06 00:16
28F:推 DINJIAPC: 结论是重灌没错但请不要只天真的想说覆盖安装c就好 11/06 00:25
29F:→ DINJIAPC: 不管你之前有无资料分割都建议你全部搬走後全部重新分 11/06 00:27
30F:→ DINJIAPC: 割并且使用原版片重灌系统 如果板子支援uefi就直接用g11/06 00:27
31F:→ DINJIAPC: tp安装sad内的系统了11/06 00:27
32F:→ DINJIAPC: 而之所以要你提供纪录只是要知道到底有那些途径与你到11/06 00:29
33F:→ DINJIAPC: 底干了那些手贱的事才会被埋木马11/06 00:29
34F:→ fatstan: D大这样回不怕被吉吗?11/06 12:31
35F:推 trumpete: 不懂D大有什麽好被吉的11/06 15:15
36F:→ fatstan: 公开说人家手贱(这算贬义词) 有公然侮辱的疑虑11/06 16:48
37F:→ fatstan: 不过也要看对方要不要追究11/06 16:49
38F:→ fatstan: 然後吉也不一定会成功啦 11/06 16:54
39F:→ share8426: 楼上真的想太多了 11/06 17:44
40F:推 trumpete: XD 我每次在公司帮user 看电脑我都说"人品问题"还有手贱 11/06 17:54
41F:→ fatstan: 楼上那是比较熟吧 11/06 18:22
42F:→ jindidi0704: 我是觉得有点太凶啦...不过ptt就这样啊ㄎㄎ 11/06 18:41
43F:→ jindidi0704: 最近在忙期中 有空会把报告丢上来 11/06 18:43
44F:→ dennisxkimo: kmservice.exe(riskware.tool.ck) 原po你...11/07 17:44
45F:推 DINJIAPC: Kms啓动器很多。只是会不会选而已。会选用的一般没事。11/08 00:13
46F:→ DINJIAPC: 不会用的,也有遇过给他zs载点还是按到加密发作了11/08 00:13
47F:→ DINJIAPC: 是不是手贱呢?ㄎㄜㄎㄜ 11/08 00:14
48F:→ jindidi0704: 噢查了一下那是office吗 我是在系办借的os跟office11/08 03:01
49F:→ jindidi0704: 绝对不可能是谜版啊...11/08 03:01
50F:→ jindidi0704: 你又回手贱真的有点烦 虽然你好像在帮忙 11/08 03:02
51F:→ jindidi0704: 就没有要理你了还硬要回 刷存在感吗XD 11/08 03:10
52F:嘘 jorden2895: 那个是破解器吧?所以你的确使用习惯不佳(手贱)没错啊.11/08 07:01
53F:推 waterblue85: 学校提供的大量授权office也是给kms启动 有啥问题?11/08 08:19
54F:→ waterblue85: 又不是kms的都是破解器11/08 08:20
55F:→ jindidi0704: 谢谢楼上XD 乱开枪我也是无法了11/08 17:15
※ 编辑: jindidi0704 (115.82.179.28), 11/08/2017 17:17:31
56F:推 DINJIAPC: 不对 如果是系统指令启动 根本不需要啓动器服务 也不会 11/08 22:36
57F:→ DINJIAPC: 被报是风险软体 11/08 22:36
58F:推 DINJIAPC: 谁和你说接的光碟授权绝对合法了? 正常的做法是自己去 11/08 22:45
59F:→ DINJIAPC: 计算机中心的软体下载区用校网登入学号与密码然後来取 11/08 22:45
60F:→ DINJIAPC: 得原始安装光碟的映像 如果要校内授权还要直接使用kms 11/08 22:45
61F:→ DINJIAPC: 的服务指令。多数校外启动还要vpn且一天只准启动一次。 11/08 22:45
62F:→ DINJIAPC: 好假设你真的都是这样做 那我请问你在不需要任何kms机 11/08 22:45
63F:→ DINJIAPC: 的光碟中为何会被防毒软体找到档案呢? 11/08 22:45
64F:推 DINJIAPC: 再来关於你的java.exe 如果你去搜寻了相关资讯 应该会 11/08 23:01
65F:→ DINJIAPC: 发现他的预设报告就是木马一类的工具。既然不是误判的 11/08 23:01
66F:→ DINJIAPC: 话 那就一定是你的随身碟或是你在使用某些软体的操作按 11/08 23:01
67F:→ DINJIAPC: 到或被区网其他电脑埋了。那我请问你现在不检讨原因怎 11/08 23:01
68F:→ DINJIAPC: 中的难道要等到你的隔离区爆了再来解决吗 11/08 23:01
69F:推 DINJIAPC: 我个人对手贱 定义很简单,只要不是你装完系统断网下会 11/08 23:08
70F:→ DINJIAPC: 自己浮现的问题 就都是人为问题。既然是自己要被骗的 11/08 23:08
71F:→ DINJIAPC: 那就别和我瞎扯那些543了 11/08 23:08
72F:推 DINJIAPC: 为何我敢肯定你是发作後才要装要清毒的。emsi几乎是你 11/08 23:42
73F:→ DINJIAPC: 第一次执行样本只要是明确有问题几乎当下就会拦截 或自 11/08 23:42
74F:→ DINJIAPC: 动隔离。假设你的电脑上乾净的 如果你一开始就有安装任 11/08 23:42
75F:→ DINJIAPC: 套防毒或所谓反恶意软体 你的kmsserve.exe应该也早被扫 11/08 23:42
76F:→ DINJIAPC: 到清掉的才对。 11/08 23:42
77F:→ dennisxkimo: 闲聊:木马如果一直要人强制关机 好像就没意义 11/09 22:46
78F:→ dennisxkimo: 我记得学校很少提供win7旗舰版?是不是拿错片了? 11/09 22:49
79F:→ dennisxkimo: 建议从学校资源下载 然後定期kms启动大多数学校也是 11/09 22:51
80F:→ dennisxkimo: 走kms 11/09 22:51
81F:→ dennisxkimo: 只是没听过会被防毒误报的微软kms 那对企业很重要 11/09 22:53
82F:→ dennisxkimo: 很难得遇到防毒误报 11/09 22:53
83F:→ dennisxkimo: 防毒侦测为riskware.tool.ck常见回报来源为cracks an 11/09 23:06
84F:→ dennisxkimo: d keygens程式 11/09 23:06
85F:→ dennisxkimo: 报告中看出几类:木马 恶意广告/软体 riskware.tools 11/09 23:19
86F:→ dennisxkimo: .ck 11/09 23:19
87F:→ dennisxkimo: 通常如何招惹来的 google找关键字 应该对你资安观 11/09 23:21
88F:→ dennisxkimo: 念稍微有帮助 11/09 23:21
89F:推 Hakan: 我们学校电脑开机都会显示KMS欸XD 11/10 02:54
90F:→ DINJIAPC: 其实现在的问题已经不重要勒,因为实际木马并没有被抓 11/10 03:56
91F:→ DINJIAPC: 出。.用emsi做亡羊的扫描根本并没有意义。 11/10 03:56
92F:→ Segal: 不想重灌就去弄支趋势/卡巴救援碟从USB开机扫 11/10 14:21
93F:→ Segal: 重灌的话,去计中下载ISO或借DVD 别再用系办迷版了... 11/10 14:22
94F:→ jindidi0704: 啊就是淡江大学大量授权啊 一直谜版 11/11 04:52
95F:→ Segal: 会这样说就是因为校园授权不会有KMS crack在背後跑... 11/11 20:10
96F:→ Segal: 而且淡大授权软体清单WIN7没有Ultimate,只有Professional喔 11/11 20:11
97F:推 DINJIAPC: 楼主要不要和我赌,你自己在坚持这样装法也一样会出事 11/12 20:13
98F:→ DINJIAPC: m01那我就回过一样个案例勒。你说你系统软体正常的。好 11/12 20:17
99F:→ DINJIAPC: 反正你哦应该也重灌过了。麻烦你一样再用那些工具在扫 11/12 20:17
100F:→ DINJIAPC: 描一次。如果一样在被报毒那结果应该很明显勒。如果扫 11/12 20:17
101F:→ DINJIAPC: 描出来是乾净了。那你之前确实有感染应该也不用辩解 11/12 20:17
102F:推 DINJIAPC: 要证实很简单就是再装一次在测试一次 装完扫描一样报毒 11/12 20:21
103F:→ DINJIAPC: 那没啥好谈 光碟有误源头不正确。扫出来乾净的。呵呵 11/12 20:21
104F:→ DINJIAPC: 那好玩了 你的Java's kmsserve哪来的 11/12 20:21
105F:→ DINJIAPC: 晚一点再来回答你乾净重灌後要怎办。防毒软体要怎选。 11/12 20:38