作者crossworld (crossworld)
看板AntiVirus
標題[求救] 一開電腦 CPU 就直衝 100%
時間Tue Jun 27 02:33:00 2017
如題,今天不知怎麼了抓個免費軟體卻好像中了病毒
搞了半天這個 CPU 問題還是解決不了,雖然可以開機後關閉,
但還是無法解決根本原因,每次開機都會讓 CPU 直接卡在一百,那兩個 tmp 無法處理
https://i.imgur.com/bKVO8Qz.jpg
應該是有什麼病毒沒刪除?
拜託各位 help me.........
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 27.52.235.218
※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1498501983.A.911.html
1F:噓 fatstan: 先看置底求救文吧 然後連抓什麼軟體都沒講是要別人通靈? 06/27 06:58
2F:→ Klauhal: 心電感應修電腦 06/27 08:10
3F:→ ross800127: 觀落陰 06/27 08:14
4F:推 xjp004123: 他是想讓大家看看.tmp 檔案吧 06/27 08:25
5F:推 Kreen: 聽靈建議重灌。 06/27 09:16
6F:→ crossworld: 會試試看重灌! 06/27 10:55
7F:→ crossworld: 我是抓painter的試用版 好像是因為用到不是官網的 06/27 10:55
8F:→ crossworld: 他現在還是繼續在幫我裝一堆東西 06/27 10:55
9F:→ sa12e3: 一個試用軟體就能重灌也是服了... 06/27 11:03
10F:→ crossworld: 哀哀 06/27 11:27
11F:→ crossworld: 而且這兩個tmp好像也沒什麼特別意義 06/27 11:27
12F:→ crossworld: 不知從何找病原 06/27 11:27
13F:→ deadwood: 安全模式開機呢?裝了軟體後怪怪的這是基本的第一步吧 06/27 11:49
14F:→ crossworld: 有在安全模式掃毒過 沒什麼效果 06/27 11:56
15F:→ deadwood: 那兩個檔案是執行檔,很明顯地你中了惡意程式,掃不到 06/27 13:12
16F:→ deadwood: 毒就換個軟體再掃,不然整機重灌最快 06/27 13:13
17F:→ deadwood: 還有啊,要抓"免費試用版"為何特意到官網以外的地方抓? 06/27 13:14
18F:→ deadwood: 現在你知道免費最貴了吧 06/27 13:14
19F:→ crossworld: 因為官網不知為何抓不了 06/27 14:50
20F:→ crossworld: 的掃完有抓到一些毒 可是這個現象還是在 06/27 14:51
21F:→ crossworld: 我再繼續試試 真的不行就重灌了 06/27 14:51
22F:→ fatstan: 可以給個下載網址嗎? 06/27 18:31
23F:→ fatstan: 想測一下裝了什麼東西 06/27 18:37
24F:→ crossworld: 我已經不知道是哪個了耶 因為當時是亂找的 06/27 20:31
25F:→ crossworld: 這是在沒有手動關掉那兩個tmp 直接開管理員 06/27 20:32
27F:→ crossworld: 一開管理員 CPU 就降回正常值,然後關掉又回100 06/27 20:32
28F:→ crossworld: 請問這張圖可以看出什麼嗎? 06/27 20:32
29F:→ gwofeng: 今天裝的軟體裝完立刻忘記自己裝了什麼? 06/27 20:43
30F:→ crossworld: 裝Painter呀 可是不確定是哪載的 06/27 20:45
31F:→ gwofeng: 瀏覽器都有下載位置的紀錄可以查 06/27 20:46
32F:→ crossworld: 已經都弄掉了 因為還有Chrome被綁架和不能用的問題 06/27 20:47
33F:→ crossworld: 一直跳一個xc000000b還什麼的錯誤訊息 06/27 20:48
34F:→ crossworld: 後來是刪掉cookie、暫存、和抓了DLL suit才好 06/27 20:49
35F:→ crossworld: 喔對 還有出現過 rundll32 無法運行 06/27 20:50
36F:→ crossworld: 這個應該也是被DLL suit 修好 06/27 20:50
37F:→ gwofeng: 抓下來的安裝檔呢 答案應該是一起刪掉了 06/27 20:51
38F:→ crossworld: 沒想要留過耶 06/27 20:52
39F:→ crossworld: 怕有毒當然就刪了 06/27 20:53
40F:→ fatstan: 先把g8和ge開頭的那兩個程序結束 06/27 20:54
41F:→ crossworld: 我等下重開試試,我現在用ASC把那兩個tmp關掉 06/27 20:56
42F:→ crossworld: 所以那兩個程序現在也不見了 06/27 20:57
43F:→ crossworld: 請問然後呢 06/27 20:57
44F:→ fatstan: 然後去找已安裝的程式 把不認識的反安裝 06/27 20:57
45F:→ crossworld: 好,我重開試試看 06/27 20:59
46F:→ fatstan: 然後還要檢查開機啟動項目 抓ccleaner免安裝版的就可以查 06/27 20:59
47F:→ crossworld: ccleaner我有裝 06/27 20:59
48F:→ fatstan: 看有沒有什麼怪怪的項目 刪掉後重開 06/27 21:07
50F:→ crossworld: 這是CCLEANR看到的啟動,好像沒有特別的 06/27 21:21
51F:推 APM99: 花一小時備份資料+重灌不就搞定了 06/27 21:24
52F:→ crossworld: 是沒錯XD 備份是備份了 可是還是會有點怕+想能不重灌 06/27 21:25
53F:→ crossworld: 最好XD 真的無法的話等我論文寫到個段落就來重灌 06/27 21:26
54F:→ crossworld: 現在怕會出事 哀哀 06/27 21:26
55F:→ fatstan: 所以重開後情況有改變嗎 06/27 21:31
56F:→ crossworld: 有比較好,沒有常駐100% 可是那兩個還是在 06/27 21:36
57F:→ crossworld: 有時候還是會跳回去100 06/27 21:36
58F:→ crossworld: 我覺得好很多了 感謝大大! 06/27 21:41
59F:→ crossworld: 後面我再繼續努力XDDD 06/27 21:41
60F:推 gwofeng: 看他桌面這樣子 重灌至少花個半天抓軟體重裝跟設定 06/27 21:58
61F:→ crossworld: 這也是很擔心的一點.... 06/27 22:10
62F:→ crossworld: 不過現在這樣不會卡在100% 感覺問題有稍微解決一點 06/27 22:11
63F:→ crossworld: 只是問題根本還是沒找到 我會繼續試試 06/27 22:11
64F:→ crossworld: 很感謝各位花時間幫忙 06/27 22:11
65F:→ crossworld: 後來有試著到那兩個g什麼的來源資料夾硬刪,可是就算 06/27 23:44
66F:→ crossworld: 刪了下次重開機還是會出現,可能是一樣黨名,也可能換 06/27 23:45
67F:→ crossworld: 個類似的 無法全刪 06/27 23:45
68F:→ crossworld: 而且每次重開機都會在D巢做一個新的Windos.old資料夾 06/27 23:45
69F:推 gwofeng: 沒辦法提供樣本的話,就先備份資料等防毒軟體公司更新病 06/28 00:29
70F:→ gwofeng: 毒碼吧 06/28 00:29
71F:→ fatstan: 抓Hijackthis掃報表並上傳吧 06/28 06:44
72F:推 DINJIAPC: 你知道啥叫kaspersky virus remove tool嗎 06/28 08:30
73F:→ crossworld: 我今天做完實驗都來試試這些方法,感謝上面三位! 06/28 10:50
74F:→ crossworld: 卡巴斯基的有用過 不過我等下看看有沒有update好了 06/28 10:51
76F:→ erik777: 6/30前免費體驗 XD 06/28 11:14
77F:推 DINJIAPC: Hitmanpro用用吧 06/28 12:20
79F:→ crossworld: 原來有人遇到跟我一樣的問題 而且也沒人解決 06/28 16:12
80F:→ fatstan: 不知道是不是只有兩個 因為你截圖只有看到一部份的執行 06/28 16:30
81F:→ fatstan: 程序 06/28 16:30
82F:→ fatstan: 所以才需要跑報表上傳 06/28 16:31
83F:→ crossworld: 好的 我會做 06/28 16:32
84F:→ crossworld: 處理程序通常只有兩個 可是temp資料夾裡面會有三個 06/28 16:32
85F:→ crossworld: 刪掉之後重開機就是變成用類似的名字再出現 ge什麼的 06/28 16:33
86F:→ crossworld: 而且到處都是Windows.old實在太可怕了 哈哈... 06/28 16:33
88F:→ crossworld: 現在是這樣子 名字已經跟之前的截圖不同了 06/28 16:35
90F:→ crossworld: 這是? 06/28 16:46
91F:→ fatstan: host檔被偷改了 06/28 19:11
92F:→ fatstan: 按圖片中的路徑找HOST檔 用筆記本開 改回預設值 06/28 19:21
93F:→ crossworld: 我直接把User那邊的全鉤 這樣可以嗎? 06/28 19:24
94F:→ fatstan: 你說的是哪邊 我沒跟上進度 06/28 19:29
96F:→ crossworld: 我開了 Host 把上半部改成網路說的預設值 06/28 19:33
98F:→ crossworld: 然後按右鍵把Users的使用權限都勾了 06/28 19:35
99F:→ crossworld: 我這樣改算是回到預設值了嗎?還是要把筆記本下面的 06/28 19:35
100F:→ crossworld: 全都刪掉? 06/28 19:35
101F:→ fatstan: 不是預設的可以砍掉 怕的話先另存新檔再改 06/28 19:36
102F:→ gwofeng: 你現在是用盜版AVAST嗎? 感覺那是停掉驗證或更新 06/28 19:38
103F:→ fatstan: 預設值去微軟官網找就有 看是什麼系統 06/28 19:38
104F:→ gwofeng: 我記得預設是什麼東西沒有xd 06/28 19:39
105F:→ gwofeng: ^都 06/28 19:39
106F:→ fatstan: 就只有範例而已 06/28 19:40
107F:→ crossworld: 我應該是沒用AVAST才對@@ 06/28 19:41
108F:→ crossworld: 所以我可以全刪是嗎 06/28 19:41
109F:→ crossworld: 我現在的防毒就只有ASC 06/28 19:41
110F:推 APM99: 為啥你host看起來下面還有一百行左右.. 06/28 19:42
111F:→ crossworld: 超多的 我也不知道 06/28 19:43
112F:→ crossworld: 我第一次開這個檔案 06/28 19:43
113F:→ fatstan: 建議是去官網看範例 不然我不知道格式不一樣會有什麼問題 06/28 19:43
114F:→ gwofeng: 如果是惡意軟體改的 那應該是防毒更新全被停掉吧 06/28 19:44
115F:→ fatstan: 基本上是被偷加上去的 只是不知道是什麼軟體 06/28 19:44
116F:→ gwofeng: 從127.0.0.1 LOCALHOST開始全砍吧 06/28 19:45
117F:→ gwofeng: 砍完重開機再看看會不會又被加回去 06/28 19:46
118F:→ crossworld: 我看了一下下面全都是Avast相關 06/28 19:47
119F:→ crossworld: 可是我去應用程式移除那邊真的是沒看Avast 06/28 19:47
120F:→ crossworld: 這是什麼現象 06/28 19:47
121F:→ crossworld: 好,我整個刪掉 06/28 19:47
123F:→ crossworld: 全是這種 06/28 19:48
124F:→ gwofeng: 砍 就對了 06/28 19:49
125F:→ fatstan: 看看能不能跑報表了 06/28 19:49
126F:→ fatstan: 對了 你說的ASC該不會是你桌面上的那個吧? 06/28 19:51
127F:→ crossworld: Host沒被改回來 報表可以跑了 06/28 19:55
128F:→ gwofeng: Advanced SystemCare Ultimate??? 難怪都掃不到毒 06/28 19:55
129F:→ crossworld: 對呀 Advanced System Care 06/28 19:55
130F:→ crossworld: 我只是當作清垃圾的工具啦 這次有抓了各種的了 06/28 19:56
131F:→ crossworld: panda 趨勢 卡巴斯基 微軟 都有試過 06/28 19:56
132F:→ crossworld: 可是開機100CPU還是繼續 06/28 19:56
133F:→ fatstan: 他不是防毒軟體阿 而且軟體公司IObit你可以搜尋他的評價 06/28 19:57
135F:→ crossworld: 我知道 我有看過版上評價 都說跟360和金山一樣 06/28 19:58
136F:→ crossworld: 不過我用起來沒特別好用 但也沒被這個軟體綁架過 06/28 19:58
137F:→ crossworld: 所以想說還好 加加減當清垃圾的用 06/28 19:58
138F:→ fatstan: 好吧 那我不多說了 還有那兩個檔案應該是假檔 06/28 19:59
139F:→ fatstan: 用來吸引注意力的 應該還有真正的病毒檔在執行 06/28 20:00
140F:→ crossworld: 這次之後我至少會去裝個趨勢Orz 06/28 20:00
141F:→ crossworld: 太煩了 06/28 20:00
142F:→ crossworld: 應該是 就是找不到毒源 06/28 20:01
143F:→ crossworld: 我現在是擔心會被盜什麼帳號 不然那兩個假黨可以硬關 06/28 20:01
144F:→ fatstan: 下面有一篇Zemana AntiMalware Premium 先抓來試試 06/28 20:02
145F:→ fatstan: 報表跑完記得上傳阿 06/28 20:03
146F:→ crossworld: 有丟到官網檢測 06/28 20:04
147F:→ crossworld: 正常來說我把打叉的在程式中按Fix後再跑一次 06/28 20:05
148F:→ crossworld: 他應該會消失是嘛 06/28 20:05
149F:→ gwofeng: Windows鍵 + R 輸入 perfmon /res 06/28 20:05
151F:→ fatstan: 可以存下來找個網路空間放在把網址貼來這邊... 06/28 20:05
152F:→ gwofeng: 關聯控制代碼輸入 C:\Windows\Temp 06/28 20:05
153F:→ crossworld: 好 06/28 20:05
154F:→ gwofeng: 然後像這張截圖上來 06/28 20:06
155F:→ fatstan: 他只修正他找到的問題 不一定可以解決你的問題 06/28 20:07
157F:→ crossworld: 等我試試 06/28 20:09
158F:→ crossworld: 什麼都沒有@@ 06/28 20:10
159F:→ crossworld: 是因為我強制關掉它了嗎?所以我要重開機再試? 06/28 20:10
160F:推 gwofeng: 對~讓他常駐 06/28 20:11
161F:→ crossworld: 好 我等下重開機 06/28 20:12
162F:→ crossworld: 剛剛有一次重開機那兩個.tmp和old資料夾沒出來耶 06/28 20:21
163F:→ crossworld: 可是在重開一次後又是100% 06/28 20:21
165F:→ crossworld: 這是可以看出什麼@@ 06/28 20:24
167F:→ crossworld: 硬碟也會有一個類似的檔案再跑 06/28 20:25
168F:→ crossworld: 而且我發現我不先關掉那兩個程序的話沒辦法刪 06/28 20:28
169F:→ crossworld: 掉那個出現的Windows.old資料夾 06/28 20:29
170F:→ gwofeng: 直接打勾他 看會跑出甚麼關聯程式 06/28 20:31
171F:→ crossworld: 這次開機他又不見了 我再重開機一次 06/28 20:35
172F:→ crossworld: 結果重開機兩次後都沒出現@@ 06/28 20:42
173F:→ crossworld: 搞不清楚中間做了哪個步驟變成這樣子 06/28 20:42
174F:→ crossworld: 等之後有出現了時候我再看看 06/28 20:43
175F:→ crossworld: 感謝大家花這麼多時間 太謝謝惹 希望不會再發作XDD 06/28 20:43
176F:→ crossworld: 我等下去抓剛剛F大提的 06/28 20:43
177F:→ gwofeng: 被我嚇跑了 賀可喜可 06/28 20:44
178F:→ crossworld: 不給看關聯程式XDD 06/28 20:46
179F:→ crossworld: 結果剛剛又出現了XD 而且點下去沒看到關聯程式Y 06/28 21:08
180F:→ crossworld: 我決定明天再抓防毒試試看,然後準備開機片 06/28 21:08
181F:→ crossworld: 這東西略難搞XD 06/28 21:09
182F:推 masterliy: 被挖礦了吧ㄏ 06/29 19:18
183F:推 liaojyunci: 前幾天也是中了這個g***.tmp惡意程式 07/05 10:38
184F:→ liaojyunci: 最後是用 21036 Zemana 掃描出惡意程式 參考看看 07/05 10:40