噓 fatstan: 先看置底求救文吧 然後連抓什麼軟體都沒講是要別人通靈? 06/27 06:58
→ Klauhal: 心電感應修電腦 06/27 08:10
→ ross800127: 觀落陰 06/27 08:14
推 xjp004123: 他是想讓大家看看.tmp 檔案吧 06/27 08:25
推 Kreen: 聽靈建議重灌。 06/27 09:16
→ crossworld: 會試試看重灌! 06/27 10:55
→ crossworld: 我是抓painter的試用版 好像是因為用到不是官網的 06/27 10:55
→ crossworld: 他現在還是繼續在幫我裝一堆東西 06/27 10:55
→ sa12e3: 一個試用軟體就能重灌也是服了... 06/27 11:03
→ crossworld: 哀哀 06/27 11:27
→ crossworld: 而且這兩個tmp好像也沒什麼特別意義 06/27 11:27
→ crossworld: 不知從何找病原 06/27 11:27
→ deadwood: 安全模式開機呢?裝了軟體後怪怪的這是基本的第一步吧 06/27 11:49
→ crossworld: 有在安全模式掃毒過 沒什麼效果 06/27 11:56
→ deadwood: 那兩個檔案是執行檔,很明顯地你中了惡意程式,掃不到 06/27 13:12
→ deadwood: 毒就換個軟體再掃,不然整機重灌最快 06/27 13:13
→ deadwood: 還有啊,要抓"免費試用版"為何特意到官網以外的地方抓? 06/27 13:14
→ deadwood: 現在你知道免費最貴了吧 06/27 13:14
→ crossworld: 因為官網不知為何抓不了 06/27 14:50
→ crossworld: 精華區的掃完有抓到一些毒 可是這個現象還是在 06/27 14:51
→ crossworld: 我再繼續試試 真的不行就重灌了 06/27 14:51
→ fatstan: 可以給個下載網址嗎? 06/27 18:31
→ fatstan: 想測一下裝了什麼東西 06/27 18:37
→ crossworld: 我已經不知道是哪個了耶 因為當時是亂找的 06/27 20:31
→ crossworld: 這是在沒有手動關掉那兩個tmp 直接開管理員 06/27 20:32
→ crossworld: 一開管理員 CPU 就降回正常值,然後關掉又回100 06/27 20:32
→ crossworld: 請問這張圖可以看出什麼嗎? 06/27 20:32
→ gwofeng: 今天裝的軟體裝完立刻忘記自己裝了什麼? 06/27 20:43
→ crossworld: 裝Painter呀 可是不確定是哪載的 06/27 20:45
→ gwofeng: 瀏覽器都有下載位置的紀錄可以查 06/27 20:46
→ crossworld: 已經都弄掉了 因為還有Chrome被綁架和不能用的問題 06/27 20:47
→ crossworld: 一直跳一個xc000000b還什麼的錯誤訊息 06/27 20:48
→ crossworld: 後來是刪掉cookie、暫存、和抓了DLL suit才好 06/27 20:49
→ crossworld: 喔對 還有出現過 rundll32 無法運行 06/27 20:50
→ crossworld: 這個應該也是被DLL suit 修好 06/27 20:50
→ gwofeng: 抓下來的安裝檔呢 答案應該是一起刪掉了 06/27 20:51
→ crossworld: 沒想要留過耶 06/27 20:52
→ crossworld: 怕有毒當然就刪了 06/27 20:53
→ fatstan: 先把g8和ge開頭的那兩個程序結束 06/27 20:54
→ crossworld: 我等下重開試試,我現在用ASC把那兩個tmp關掉 06/27 20:56
→ crossworld: 所以那兩個程序現在也不見了 06/27 20:57
→ crossworld: 請問然後呢 06/27 20:57
→ fatstan: 然後去找已安裝的程式 把不認識的反安裝 06/27 20:57
→ crossworld: 好,我重開試試看 06/27 20:59
→ fatstan: 然後還要檢查開機啟動項目 抓ccleaner免安裝版的就可以查 06/27 20:59
→ crossworld: ccleaner我有裝 06/27 20:59
→ fatstan: 看有沒有什麼怪怪的項目 刪掉後重開 06/27 21:07
→ crossworld: 這是CCLEANR看到的啟動,好像沒有特別的 06/27 21:21
推 APM99: 花一小時備份資料+重灌不就搞定了 06/27 21:24
→ crossworld: 是沒錯XD 備份是備份了 可是還是會有點怕+想能不重灌 06/27 21:25
→ crossworld: 最好XD 真的無法的話等我論文寫到個段落就來重灌 06/27 21:26
→ crossworld: 現在怕會出事 哀哀 06/27 21:26
→ fatstan: 所以重開後情況有改變嗎 06/27 21:31
→ crossworld: 有比較好,沒有常駐100% 可是那兩個還是在 06/27 21:36
→ crossworld: 有時候還是會跳回去100 06/27 21:36
→ crossworld: 我覺得好很多了 感謝大大! 06/27 21:41
→ crossworld: 後面我再繼續努力XDDD 06/27 21:41
推 gwofeng: 看他桌面這樣子 重灌至少花個半天抓軟體重裝跟設定 06/27 21:58
→ crossworld: 這也是很擔心的一點.... 06/27 22:10
→ crossworld: 不過現在這樣不會卡在100% 感覺問題有稍微解決一點 06/27 22:11
→ crossworld: 只是問題根本還是沒找到 我會繼續試試 06/27 22:11
→ crossworld: 很感謝各位花時間幫忙 06/27 22:11
→ crossworld: 後來有試著到那兩個g什麼的來源資料夾硬刪,可是就算 06/27 23:44
→ crossworld: 刪了下次重開機還是會出現,可能是一樣黨名,也可能換 06/27 23:45
→ crossworld: 個類似的 無法全刪 06/27 23:45
→ crossworld: 而且每次重開機都會在D巢做一個新的Windos.old資料夾 06/27 23:45
推 gwofeng: 沒辦法提供樣本的話,就先備份資料等防毒軟體公司更新病 06/28 00:29
→ gwofeng: 毒碼吧 06/28 00:29
→ fatstan: 抓Hijackthis掃報表並上傳吧 06/28 06:44
推 DINJIAPC: 你知道啥叫kaspersky virus remove tool嗎 06/28 08:30
→ crossworld: 我今天做完實驗都來試試這些方法,感謝上面三位! 06/28 10:50
→ crossworld: 卡巴斯基的有用過 不過我等下看看有沒有update好了 06/28 10:51
→ erik777: 6/30前免費體驗 XD 06/28 11:14
推 DINJIAPC: Hitmanpro用用吧 06/28 12:20
→ crossworld: 原來有人遇到跟我一樣的問題 而且也沒人解決 06/28 16:12
→ fatstan: 不知道是不是只有兩個 因為你截圖只有看到一部份的執行 06/28 16:30
→ fatstan: 程序 06/28 16:30
→ fatstan: 所以才需要跑報表上傳 06/28 16:31
→ crossworld: 好的 我會做 06/28 16:32
→ crossworld: 處理程序通常只有兩個 可是temp資料夾裡面會有三個 06/28 16:32
→ crossworld: 刪掉之後重開機就是變成用類似的名字再出現 ge什麼的 06/28 16:33
→ crossworld: 而且到處都是Windows.old實在太可怕了 哈哈... 06/28 16:33
→ crossworld: 現在是這樣子 名字已經跟之前的截圖不同了 06/28 16:35
→ crossworld: 這是? 06/28 16:46
→ fatstan: host檔被偷改了 06/28 19:11
→ fatstan: 按圖片中的路徑找HOST檔 用筆記本開 改回預設值 06/28 19:21
→ crossworld: 我直接把User那邊的全鉤 這樣可以嗎? 06/28 19:24
→ fatstan: 你說的是哪邊 我沒跟上進度 06/28 19:29
→ crossworld: 我開了 Host 把上半部改成網路說的預設值 06/28 19:33
→ crossworld: 然後按右鍵把Users的使用權限都勾了 06/28 19:35
→ crossworld: 我這樣改算是回到預設值了嗎?還是要把筆記本下面的 06/28 19:35
→ crossworld: 全都刪掉? 06/28 19:35
→ fatstan: 不是預設的可以砍掉 怕的話先另存新檔再改 06/28 19:36
→ gwofeng: 你現在是用盜版AVAST嗎? 感覺那是停掉驗證或更新 06/28 19:38
→ fatstan: 預設值去微軟官網找就有 看是什麼系統 06/28 19:38
→ gwofeng: 我記得預設是什麼東西沒有xd 06/28 19:39
→ gwofeng: ^都 06/28 19:39
→ fatstan: 就只有範例而已 06/28 19:40
→ crossworld: 我應該是沒用AVAST才對@@ 06/28 19:41
→ crossworld: 所以我可以全刪是嗎 06/28 19:41
→ crossworld: 我現在的防毒就只有ASC 06/28 19:41
推 APM99: 為啥你host看起來下面還有一百行左右.. 06/28 19:42
→ crossworld: 超多的 我也不知道 06/28 19:43
→ crossworld: 我第一次開這個檔案 06/28 19:43
→ fatstan: 建議是去官網看範例 不然我不知道格式不一樣會有什麼問題 06/28 19:43
→ gwofeng: 如果是惡意軟體改的 那應該是防毒更新全被停掉吧 06/28 19:44
→ fatstan: 基本上是被偷加上去的 只是不知道是什麼軟體 06/28 19:44
→ gwofeng: 從127.0.0.1 LOCALHOST開始全砍吧 06/28 19:45
→ gwofeng: 砍完重開機再看看會不會又被加回去 06/28 19:46
→ crossworld: 我看了一下下面全都是Avast相關 06/28 19:47
→ crossworld: 可是我去應用程式移除那邊真的是沒看Avast 06/28 19:47
→ crossworld: 這是什麼現象 06/28 19:47
→ crossworld: 好,我整個刪掉 06/28 19:47
→ crossworld: 全是這種 06/28 19:48
→ gwofeng: 砍 就對了 06/28 19:49
→ fatstan: 看看能不能跑報表了 06/28 19:49
→ fatstan: 對了 你說的ASC該不會是你桌面上的那個吧? 06/28 19:51
→ crossworld: Host沒被改回來 報表可以跑了 06/28 19:55
→ gwofeng: Advanced SystemCare Ultimate??? 難怪都掃不到毒 06/28 19:55
→ crossworld: 對呀 Advanced System Care 06/28 19:55
→ crossworld: 我只是當作清垃圾的工具啦 這次有抓了各種的了 06/28 19:56
→ crossworld: panda 趨勢 卡巴斯基 微軟 都有試過 06/28 19:56
→ crossworld: 可是開機100CPU還是繼續 06/28 19:56
→ fatstan: 他不是防毒軟體阿 而且軟體公司IObit你可以搜尋他的評價 06/28 19:57
→ crossworld: 我知道 我有看過版上評價 都說跟360和金山一樣 06/28 19:58
→ crossworld: 不過我用起來沒特別好用 但也沒被這個軟體綁架過 06/28 19:58
→ crossworld: 所以想說還好 加加減當清垃圾的用 06/28 19:58
→ fatstan: 好吧 那我不多說了 還有那兩個檔案應該是假檔 06/28 19:59
→ fatstan: 用來吸引注意力的 應該還有真正的病毒檔在執行 06/28 20:00
→ crossworld: 這次之後我至少會去裝個趨勢Orz 06/28 20:00
→ crossworld: 太煩了 06/28 20:00
→ crossworld: 應該是 就是找不到毒源 06/28 20:01
→ crossworld: 我現在是擔心會被盜什麼帳號 不然那兩個假黨可以硬關 06/28 20:01
→ fatstan: 下面有一篇Zemana AntiMalware Premium 先抓來試試 06/28 20:02
→ fatstan: 報表跑完記得上傳阿 06/28 20:03
→ crossworld: 有丟到官網檢測 06/28 20:04
→ crossworld: 正常來說我把打叉的在程式中按Fix後再跑一次 06/28 20:05
→ crossworld: 他應該會消失是嘛 06/28 20:05
→ gwofeng: Windows鍵 + R 輸入 perfmon /res 06/28 20:05
→ fatstan: 可以存下來找個網路空間放在把網址貼來這邊... 06/28 20:05
→ gwofeng: 關聯控制代碼輸入 C:\Windows\Temp 06/28 20:05
→ crossworld: 好 06/28 20:05
→ gwofeng: 然後像這張截圖上來 06/28 20:06
→ fatstan: 他只修正他找到的問題 不一定可以解決你的問題 06/28 20:07
→ crossworld: 等我試試 06/28 20:09
→ crossworld: 什麼都沒有@@ 06/28 20:10
→ crossworld: 是因為我強制關掉它了嗎?所以我要重開機再試? 06/28 20:10
推 gwofeng: 對~讓他常駐 06/28 20:11
→ crossworld: 好 我等下重開機 06/28 20:12
→ crossworld: 剛剛有一次重開機那兩個.tmp和old資料夾沒出來耶 06/28 20:21
→ crossworld: 可是在重開一次後又是100% 06/28 20:21
→ crossworld: 這是可以看出什麼@@ 06/28 20:24
→ crossworld: 硬碟也會有一個類似的檔案再跑 06/28 20:25
→ crossworld: 而且我發現我不先關掉那兩個程序的話沒辦法刪 06/28 20:28
→ crossworld: 掉那個出現的Windows.old資料夾 06/28 20:29
→ gwofeng: 直接打勾他 看會跑出甚麼關聯程式 06/28 20:31
→ crossworld: 這次開機他又不見了 我再重開機一次 06/28 20:35
→ crossworld: 結果重開機兩次後都沒出現@@ 06/28 20:42
→ crossworld: 搞不清楚中間做了哪個步驟變成這樣子 06/28 20:42
→ crossworld: 等之後有出現了時候我再看看 06/28 20:43
→ crossworld: 感謝大家花這麼多時間 太謝謝惹 希望不會再發作XDD 06/28 20:43
→ crossworld: 我等下去抓剛剛F大提的 06/28 20:43
→ gwofeng: 被我嚇跑了 賀可喜可 06/28 20:44
→ crossworld: 不給看關聯程式XDD 06/28 20:46
→ crossworld: 結果剛剛又出現了XD 而且點下去沒看到關聯程式Y 06/28 21:08
→ crossworld: 我決定明天再抓防毒試試看,然後準備開機片 06/28 21:08
→ crossworld: 這東西略難搞XD 06/28 21:09
推 masterliy: 被挖礦了吧ㄏ 06/29 19:18
推 liaojyunci: 前幾天也是中了這個g***.tmp惡意程式 07/05 10:38
→ liaojyunci: 最後是用 21036 Zemana 掃描出惡意程式 參考看看 07/05 10:40