推 ton200168: A方案:一般開啟>輸入shutdown -a,如顯示已取消關機進11/05 08:49
→ ton200168: 入B方案11/05 08:49
→ ton200168: B方案:安全模式>啟動>是否有未知程序?刪除:B方案11/05 08:49
→ ton200168: C方案:安全模式>開啟任務管理器>發現未知任務>刪除11/05 08:49
→ ton200168: C方案:安全模式>開啟任務管理器>發現未知任務>刪除11/05 08:49
謝謝ton大
A方案無法取消 還是會直接進關機程序
C方案目前沒看到未知或可疑任務
推 skycat2216: 作業系統版本?(雖然不用說也知道是XP啦)11/05 09:13
抱歉沒有附上XD 是windows7 x64 旗艦版
※ 編輯: jindidi0704 (49.219.179.123), 11/05/2017 12:13:11
→ Klauhal: 應該是有東西在開機後啟動,然後觸發關機11/05 13:21
→ Klauhal: 病毒查殺、木馬蠕蟲之類的掃一掃看看11/05 13:23
※ 編輯: jindidi0704 (49.219.179.123), 11/05/2017 15:39:17
→ KevinYu0504: 使用 Zemana 與 HitmanPro 來掃描試試看。11/05 15:47
推 DINJIAPC: 跑一份gsi和combofix log來,然後拔網路線觀察一天看是11/05 19:06
→ DINJIAPC: 否還會自行關機。如果還是會關 那我想你重灌後開始請教11/05 19:06
→ DINJIAPC: 硬體板吧11/05 19:06
→ DINJIAPC: 歐抱歉沒看到一開始的影片 。麻煩下載mwav更新至最新後11/05 19:28
→ DINJIAPC: 在安全模式下掃描並附上掃描紀錄11/05 19:28
→ fatstan: 看國外網友的相關文章 看起來像是病毒11/05 19:32
→ fatstan: malwarebytes幫你刪了一個木馬下載器javaa.exe 11/05 19:37
→ wenjie0810: 會不會只是單純的POWER 按鈕彈性疲乏? 11/05 19:42
推 DINJIAPC: 拔網路盡快重灌系統吧 11/05 20:00
→ HELLDIVER: 把主機板上的reset 跳腳拔掉看還會不會這樣 11/05 20:16
→ fatstan: 用TDSSKiller之類的工具掃看有沒有Rootkits 11/05 21:02
→ jindidi0704: 先謝謝大家 現在在用tdsskiller跟myav掃 應該都要花 11/05 21:26
→ jindidi0704: 個十幾小時 明天再把記錄丟上來!11/05 21:26
→ jindidi0704: 硬體問題應該是排除了吧 因為有很多登陸值跟系統功11/05 21:26
→ jindidi0704: 能被竄改了11/05 21:26
→ KevinYu0504: 要不要考慮乾脆重灌,比較快又乾淨。 11/05 22:36
→ jindidi0704: 剛剛備份重要的檔案了 反正剛好要換ssd就順便重灌囉11/06 00:16
→ jindidi0704: 真的是徒勞好幾天XDD11/06 00:16
推 DINJIAPC: 結論是重灌沒錯但請不要只天真的想說覆蓋安裝c就好 11/06 00:25
→ DINJIAPC: 不管你之前有無資料分割都建議你全部搬走後全部重新分 11/06 00:27
→ DINJIAPC: 割並且使用原版片重灌系統 如果板子支援uefi就直接用g11/06 00:27
→ DINJIAPC: tp安裝sad內的系統了11/06 00:27
→ DINJIAPC: 而之所以要你提供紀錄只是要知道到底有那些途徑與你到11/06 00:29
→ DINJIAPC: 底幹了那些手賤的事才會被埋木馬11/06 00:29
→ fatstan: D大這樣回不怕被吉嗎?11/06 12:31
推 trumpete: 不懂D大有什麼好被吉的11/06 15:15
→ fatstan: 公開說人家手賤(這算貶義詞) 有公然侮辱的疑慮11/06 16:48
→ fatstan: 不過也要看對方要不要追究11/06 16:49
→ fatstan: 然後吉也不一定會成功啦 11/06 16:54
→ share8426: 樓上真的想太多了 11/06 17:44
推 trumpete: XD 我每次在公司幫user 看電腦我都說"人品問題"還有手賤 11/06 17:54
→ fatstan: 樓上那是比較熟吧 11/06 18:22
→ jindidi0704: 我是覺得有點太兇啦...不過ptt就這樣啊ㄎㄎ 11/06 18:41
→ jindidi0704: 最近在忙期中 有空會把報告丟上來 11/06 18:43
→ dennisxkimo: kmservice.exe(riskware.tool.ck) 原po你...11/07 17:44
推 DINJIAPC: Kms啓動器很多。只是會不會選而已。會選用的一般沒事。11/08 00:13
→ DINJIAPC: 不會用的,也有遇過給他zs載點還是按到加密發作了11/08 00:13
→ DINJIAPC: 是不是手賤呢?ㄎㄜㄎㄜ 11/08 00:14
→ jindidi0704: 噢查了一下那是office嗎 我是在系辦借的os跟office11/08 03:01
→ jindidi0704: 絕對不可能是謎版啊...11/08 03:01
→ jindidi0704: 你又回手賤真的有點煩 雖然你好像在幫忙 11/08 03:02
→ jindidi0704: 就沒有要理你了還硬要回 刷存在感嗎XD 11/08 03:10
噓 jorden2895: 那個是破解器吧?所以你的確使用習慣不佳(手賤)沒錯啊.11/08 07:01
推 waterblue85: 學校提供的大量授權office也是給kms啟動 有啥問題?11/08 08:19
→ waterblue85: 又不是kms的都是破解器11/08 08:20
→ jindidi0704: 謝謝樓上XD 亂開槍我也是無法了11/08 17:15
※ 編輯: jindidi0704 (115.82.179.28), 11/08/2017 17:17:31
推 DINJIAPC: 不對 如果是系統指令啟動 根本不需要啓動器服務 也不會 11/08 22:36
→ DINJIAPC: 被報是風險軟體 11/08 22:36
推 DINJIAPC: 誰和你說接的光碟授權絕對合法了? 正常的做法是自己去 11/08 22:45
→ DINJIAPC: 計算機中心的軟體下載區用校網登入學號與密碼然後來取 11/08 22:45
→ DINJIAPC: 得原始安裝光碟的映像 如果要校內授權還要直接使用kms 11/08 22:45
→ DINJIAPC: 的服務指令。多數校外啟動還要vpn且一天只准啟動一次。 11/08 22:45
→ DINJIAPC: 好假設你真的都是這樣做 那我請問你在不需要任何kms機 11/08 22:45
→ DINJIAPC: 的光碟中為何會被防毒軟體找到檔案呢? 11/08 22:45
推 DINJIAPC: 再來關於你的java.exe 如果你去搜尋了相關資訊 應該會 11/08 23:01
→ DINJIAPC: 發現他的預設報告就是木馬一類的工具。既然不是誤判的 11/08 23:01
→ DINJIAPC: 話 那就一定是你的隨身碟或是你在使用某些軟體的操作按 11/08 23:01
→ DINJIAPC: 到或被區網其他電腦埋了。那我請問你現在不檢討原因怎 11/08 23:01
→ DINJIAPC: 中的難道要等到你的隔離區爆了再來解決嗎 11/08 23:01
推 DINJIAPC: 我個人對手賤 定義很簡單,只要不是你裝完系統斷網下會 11/08 23:08
→ DINJIAPC: 自己浮現的問題 就都是人為問題。既然是自己要被騙的 11/08 23:08
→ DINJIAPC: 那就別和我瞎扯那些543了 11/08 23:08
推 DINJIAPC: 為何我敢肯定你是發作後才要裝要清毒的。emsi幾乎是你 11/08 23:42
→ DINJIAPC: 第一次執行樣本只要是明確有問題幾乎當下就會攔截 或自 11/08 23:42
→ DINJIAPC: 動隔離。假設你的電腦上乾淨的 如果你一開始就有安裝任 11/08 23:42
→ DINJIAPC: 套防毒或所謂反惡意軟體 你的kmsserve.exe應該也早被掃 11/08 23:42
→ DINJIAPC: 到清掉的才對。 11/08 23:42
→ dennisxkimo: 閒聊:木馬如果一直要人強制關機 好像就沒意義 11/09 22:46
→ dennisxkimo: 我記得學校很少提供win7旗艦版?是不是拿錯片了? 11/09 22:49
→ dennisxkimo: 建議從學校資源下載 然後定期kms啟動大多數學校也是 11/09 22:51
→ dennisxkimo: 走kms 11/09 22:51
→ dennisxkimo: 只是沒聽過會被防毒誤報的微軟kms 那對企業很重要 11/09 22:53
→ dennisxkimo: 很難得遇到防毒誤報 11/09 22:53
→ dennisxkimo: 防毒偵測為riskware.tool.ck常見回報來源為cracks an 11/09 23:06
→ dennisxkimo: d keygens程式 11/09 23:06
→ dennisxkimo: 報告中看出幾類:木馬 惡意廣告/軟體 riskware.tools 11/09 23:19
→ dennisxkimo: .ck 11/09 23:19
→ dennisxkimo: 通常如何招惹來的 google找關鍵字 應該對你資安觀 11/09 23:21
→ dennisxkimo: 念稍微有幫助 11/09 23:21
推 Hakan: 我們學校電腦開機都會顯示KMS欸XD 11/10 02:54
→ DINJIAPC: 其實現在的問題已經不重要勒,因為實際木馬並沒有被抓 11/10 03:56
→ DINJIAPC: 出。.用emsi做亡羊的掃描根本並沒有意義。 11/10 03:56
→ Segal: 不想重灌就去弄支趨勢/卡巴救援碟從USB開機掃 11/10 14:21
→ Segal: 重灌的話,去計中下載ISO或借DVD 別再用系辦迷版了... 11/10 14:22
→ jindidi0704: 啊就是淡江大學大量授權啊 一直謎版 11/11 04:52
→ Segal: 會這樣說就是因為校園授權不會有KMS crack在背後跑... 11/11 20:10
→ Segal: 而且淡大授權軟體清單WIN7沒有Ultimate,只有Professional喔 11/11 20:11
推 DINJIAPC: 樓主要不要和我賭,你自己在堅持這樣裝法也一樣會出事 11/12 20:13
→ DINJIAPC: m01那我就回過一樣個案例勒。你說你系統軟體正常的。好 11/12 20:17
→ DINJIAPC: 反正你哦應該也重灌過了。麻煩你一樣再用那些工具在掃 11/12 20:17
→ DINJIAPC: 描一次。如果一樣在被報毒那結果應該很明顯勒。如果掃 11/12 20:17
→ DINJIAPC: 描出來是乾淨了。那你之前確實有感染應該也不用辯解 11/12 20:17
推 DINJIAPC: 要證實很簡單就是再裝一次在測試一次 裝完掃描一樣報毒 11/12 20:21
→ DINJIAPC: 那沒啥好談 光碟有誤源頭不正確。掃出來乾淨的。呵呵 11/12 20:21
→ DINJIAPC: 那好玩了 你的Java's kmsserve哪來的 11/12 20:21
→ DINJIAPC: 晚一點再來回答你乾淨重灌後要怎辦。防毒軟體要怎選。 11/12 20:38