作者jindidi0704 (精滴滴)
看板AntiVirus
標題[求救] 自動進入關機程序 無倒數
時間Sun Nov 5 05:26:06 2017
大家好!
畫面錄影
https://youtu.be/Lno3wajm1Lw
最近幾天電腦瘋狂自動進關機程序(非斷電型關機。
事件檢視器裡有看到NT Authority\System 無理由要求關機,
原本懷疑是疾風病毒,
但沒有跳出倒數視窗。
進安全模式是完全沒事的,
但一進正常系統,
不管有沒有登入,等20秒左右之後都會關機。
而且沒辦法還原,
而且沒辦法還原,
因為系統保護打不開,
進系統視窗也看不到系統保護的選項。
用了幾個antimalware掃過有出現登陸值被修改,
像是disable.taskmgr之類的。
想先請各位隔空抓藥一下,
睡起來再po掃毒結果給各位,
感謝防毒版!
目前用了emsisoft antimalware跟malwarebytes
http://i.imgur.com/uYzqOvy.jpg
(OS跟Office皆為學校大量授權的正版...)
http://i.imgur.com/ccvaZR1.jpg
只有這兩次有掃出毒
後來都沒出現
但重開機依然會被關機
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 49.219.176.34
※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1509830769.A.215.html
1F:推 ton200168: A方案:一般開啟>輸入shutdown -a,如顯示已取消關機進11/05 08:49
2F:→ ton200168: 入B方案11/05 08:49
3F:→ ton200168: B方案:安全模式>啟動>是否有未知程序?刪除:B方案11/05 08:49
4F:→ ton200168: C方案:安全模式>開啟任務管理器>發現未知任務>刪除11/05 08:49
5F:→ ton200168: C方案:安全模式>開啟任務管理器>發現未知任務>刪除11/05 08:49
謝謝ton大
A方案無法取消 還是會直接進關機程序
C方案目前沒看到未知或可疑任務
6F:推 skycat2216: 作業系統版本?(雖然不用說也知道是XP啦)11/05 09:13
抱歉沒有附上XD 是windows7 x64 旗艦版
※ 編輯: jindidi0704 (49.219.179.123), 11/05/2017 12:13:11
7F:→ Klauhal: 應該是有東西在開機後啟動,然後觸發關機11/05 13:21
8F:→ Klauhal: 病毒查殺、木馬蠕蟲之類的掃一掃看看11/05 13:23
※ 編輯: jindidi0704 (49.219.179.123), 11/05/2017 15:39:17
9F:→ KevinYu0504: 使用 Zemana 與 HitmanPro 來掃描試試看。11/05 15:47
10F:推 DINJIAPC: 跑一份gsi和combofix log來,然後拔網路線觀察一天看是11/05 19:06
11F:→ DINJIAPC: 否還會自行關機。如果還是會關 那我想你重灌後開始請教11/05 19:06
12F:→ DINJIAPC: 硬體板吧11/05 19:06
13F:→ DINJIAPC: 歐抱歉沒看到一開始的影片 。麻煩下載mwav更新至最新後11/05 19:28
14F:→ DINJIAPC: 在安全模式下掃描並附上掃描紀錄11/05 19:28
15F:→ fatstan: 看國外網友的相關文章 看起來像是病毒11/05 19:32
16F:→ fatstan: malwarebytes幫你刪了一個木馬下載器javaa.exe 11/05 19:37
17F:→ wenjie0810: 會不會只是單純的POWER 按鈕彈性疲乏? 11/05 19:42
18F:推 DINJIAPC: 拔網路盡快重灌系統吧 11/05 20:00
19F:→ HELLDIVER: 把主機板上的reset 跳腳拔掉看還會不會這樣 11/05 20:16
20F:→ fatstan: 用TDSSKiller之類的工具掃看有沒有Rootkits 11/05 21:02
21F:→ jindidi0704: 先謝謝大家 現在在用tdsskiller跟myav掃 應該都要花 11/05 21:26
22F:→ jindidi0704: 個十幾小時 明天再把記錄丟上來!11/05 21:26
23F:→ jindidi0704: 硬體問題應該是排除了吧 因為有很多登陸值跟系統功11/05 21:26
24F:→ jindidi0704: 能被竄改了11/05 21:26
25F:→ KevinYu0504: 要不要考慮乾脆重灌,比較快又乾淨。 11/05 22:36
26F:→ jindidi0704: 剛剛備份重要的檔案了 反正剛好要換ssd就順便重灌囉11/06 00:16
27F:→ jindidi0704: 真的是徒勞好幾天XDD11/06 00:16
28F:推 DINJIAPC: 結論是重灌沒錯但請不要只天真的想說覆蓋安裝c就好 11/06 00:25
29F:→ DINJIAPC: 不管你之前有無資料分割都建議你全部搬走後全部重新分 11/06 00:27
30F:→ DINJIAPC: 割並且使用原版片重灌系統 如果板子支援uefi就直接用g11/06 00:27
31F:→ DINJIAPC: tp安裝sad內的系統了11/06 00:27
32F:→ DINJIAPC: 而之所以要你提供紀錄只是要知道到底有那些途徑與你到11/06 00:29
33F:→ DINJIAPC: 底幹了那些手賤的事才會被埋木馬11/06 00:29
34F:→ fatstan: D大這樣回不怕被吉嗎?11/06 12:31
35F:推 trumpete: 不懂D大有什麼好被吉的11/06 15:15
36F:→ fatstan: 公開說人家手賤(這算貶義詞) 有公然侮辱的疑慮11/06 16:48
37F:→ fatstan: 不過也要看對方要不要追究11/06 16:49
38F:→ fatstan: 然後吉也不一定會成功啦 11/06 16:54
39F:→ share8426: 樓上真的想太多了 11/06 17:44
40F:推 trumpete: XD 我每次在公司幫user 看電腦我都說"人品問題"還有手賤 11/06 17:54
41F:→ fatstan: 樓上那是比較熟吧 11/06 18:22
42F:→ jindidi0704: 我是覺得有點太兇啦...不過ptt就這樣啊ㄎㄎ 11/06 18:41
43F:→ jindidi0704: 最近在忙期中 有空會把報告丟上來 11/06 18:43
44F:→ dennisxkimo: kmservice.exe(riskware.tool.ck) 原po你...11/07 17:44
45F:推 DINJIAPC: Kms啓動器很多。只是會不會選而已。會選用的一般沒事。11/08 00:13
46F:→ DINJIAPC: 不會用的,也有遇過給他zs載點還是按到加密發作了11/08 00:13
47F:→ DINJIAPC: 是不是手賤呢?ㄎㄜㄎㄜ 11/08 00:14
48F:→ jindidi0704: 噢查了一下那是office嗎 我是在系辦借的os跟office11/08 03:01
49F:→ jindidi0704: 絕對不可能是謎版啊...11/08 03:01
50F:→ jindidi0704: 你又回手賤真的有點煩 雖然你好像在幫忙 11/08 03:02
51F:→ jindidi0704: 就沒有要理你了還硬要回 刷存在感嗎XD 11/08 03:10
52F:噓 jorden2895: 那個是破解器吧?所以你的確使用習慣不佳(手賤)沒錯啊.11/08 07:01
53F:推 waterblue85: 學校提供的大量授權office也是給kms啟動 有啥問題?11/08 08:19
54F:→ waterblue85: 又不是kms的都是破解器11/08 08:20
55F:→ jindidi0704: 謝謝樓上XD 亂開槍我也是無法了11/08 17:15
※ 編輯: jindidi0704 (115.82.179.28), 11/08/2017 17:17:31
56F:推 DINJIAPC: 不對 如果是系統指令啟動 根本不需要啓動器服務 也不會 11/08 22:36
57F:→ DINJIAPC: 被報是風險軟體 11/08 22:36
58F:推 DINJIAPC: 誰和你說接的光碟授權絕對合法了? 正常的做法是自己去 11/08 22:45
59F:→ DINJIAPC: 計算機中心的軟體下載區用校網登入學號與密碼然後來取 11/08 22:45
60F:→ DINJIAPC: 得原始安裝光碟的映像 如果要校內授權還要直接使用kms 11/08 22:45
61F:→ DINJIAPC: 的服務指令。多數校外啟動還要vpn且一天只准啟動一次。 11/08 22:45
62F:→ DINJIAPC: 好假設你真的都是這樣做 那我請問你在不需要任何kms機 11/08 22:45
63F:→ DINJIAPC: 的光碟中為何會被防毒軟體找到檔案呢? 11/08 22:45
64F:推 DINJIAPC: 再來關於你的java.exe 如果你去搜尋了相關資訊 應該會 11/08 23:01
65F:→ DINJIAPC: 發現他的預設報告就是木馬一類的工具。既然不是誤判的 11/08 23:01
66F:→ DINJIAPC: 話 那就一定是你的隨身碟或是你在使用某些軟體的操作按 11/08 23:01
67F:→ DINJIAPC: 到或被區網其他電腦埋了。那我請問你現在不檢討原因怎 11/08 23:01
68F:→ DINJIAPC: 中的難道要等到你的隔離區爆了再來解決嗎 11/08 23:01
69F:推 DINJIAPC: 我個人對手賤 定義很簡單,只要不是你裝完系統斷網下會 11/08 23:08
70F:→ DINJIAPC: 自己浮現的問題 就都是人為問題。既然是自己要被騙的 11/08 23:08
71F:→ DINJIAPC: 那就別和我瞎扯那些543了 11/08 23:08
72F:推 DINJIAPC: 為何我敢肯定你是發作後才要裝要清毒的。emsi幾乎是你 11/08 23:42
73F:→ DINJIAPC: 第一次執行樣本只要是明確有問題幾乎當下就會攔截 或自 11/08 23:42
74F:→ DINJIAPC: 動隔離。假設你的電腦上乾淨的 如果你一開始就有安裝任 11/08 23:42
75F:→ DINJIAPC: 套防毒或所謂反惡意軟體 你的kmsserve.exe應該也早被掃 11/08 23:42
76F:→ DINJIAPC: 到清掉的才對。 11/08 23:42
77F:→ dennisxkimo: 閒聊:木馬如果一直要人強制關機 好像就沒意義 11/09 22:46
78F:→ dennisxkimo: 我記得學校很少提供win7旗艦版?是不是拿錯片了? 11/09 22:49
79F:→ dennisxkimo: 建議從學校資源下載 然後定期kms啟動大多數學校也是 11/09 22:51
80F:→ dennisxkimo: 走kms 11/09 22:51
81F:→ dennisxkimo: 只是沒聽過會被防毒誤報的微軟kms 那對企業很重要 11/09 22:53
82F:→ dennisxkimo: 很難得遇到防毒誤報 11/09 22:53
83F:→ dennisxkimo: 防毒偵測為riskware.tool.ck常見回報來源為cracks an 11/09 23:06
84F:→ dennisxkimo: d keygens程式 11/09 23:06
85F:→ dennisxkimo: 報告中看出幾類:木馬 惡意廣告/軟體 riskware.tools 11/09 23:19
86F:→ dennisxkimo: .ck 11/09 23:19
87F:→ dennisxkimo: 通常如何招惹來的 google找關鍵字 應該對你資安觀 11/09 23:21
88F:→ dennisxkimo: 念稍微有幫助 11/09 23:21
89F:推 Hakan: 我們學校電腦開機都會顯示KMS欸XD 11/10 02:54
90F:→ DINJIAPC: 其實現在的問題已經不重要勒,因為實際木馬並沒有被抓 11/10 03:56
91F:→ DINJIAPC: 出。.用emsi做亡羊的掃描根本並沒有意義。 11/10 03:56
92F:→ Segal: 不想重灌就去弄支趨勢/卡巴救援碟從USB開機掃 11/10 14:21
93F:→ Segal: 重灌的話,去計中下載ISO或借DVD 別再用系辦迷版了... 11/10 14:22
94F:→ jindidi0704: 啊就是淡江大學大量授權啊 一直謎版 11/11 04:52
95F:→ Segal: 會這樣說就是因為校園授權不會有KMS crack在背後跑... 11/11 20:10
96F:→ Segal: 而且淡大授權軟體清單WIN7沒有Ultimate,只有Professional喔 11/11 20:11
97F:推 DINJIAPC: 樓主要不要和我賭,你自己在堅持這樣裝法也一樣會出事 11/12 20:13
98F:→ DINJIAPC: m01那我就回過一樣個案例勒。你說你系統軟體正常的。好 11/12 20:17
99F:→ DINJIAPC: 反正你哦應該也重灌過了。麻煩你一樣再用那些工具在掃 11/12 20:17
100F:→ DINJIAPC: 描一次。如果一樣在被報毒那結果應該很明顯勒。如果掃 11/12 20:17
101F:→ DINJIAPC: 描出來是乾淨了。那你之前確實有感染應該也不用辯解 11/12 20:17
102F:推 DINJIAPC: 要證實很簡單就是再裝一次在測試一次 裝完掃描一樣報毒 11/12 20:21
103F:→ DINJIAPC: 那沒啥好談 光碟有誤源頭不正確。掃出來乾淨的。呵呵 11/12 20:21
104F:→ DINJIAPC: 那好玩了 你的Java's kmsserve哪來的 11/12 20:21
105F:→ DINJIAPC: 晚一點再來回答你乾淨重灌後要怎辦。防毒軟體要怎選。 11/12 20:38