大家好！
畫面錄影 https://youtu.be/Lno3wajm1Lw
最近幾天電腦瘋狂自動進關機程序(非斷電型關機。
事件檢視器裡有看到NT Authority\System 無理由要求關機，
原本懷疑是疾風病毒，
但沒有跳出倒數視窗。
進安全模式是完全沒事的，
但一進正常系統，
不管有沒有登入，等20秒左右之後都會關機。
而且沒辦法還原，
而且沒辦法還原，
因為系統保護打不開，
進系統視窗也看不到系統保護的選項。
用了幾個antimalware掃過有出現登陸值被修改，
像是disable.taskmgr之類的。
想先請各位隔空抓藥一下，
睡起來再po掃毒結果給各位，
感謝防毒版！
目前用了emsisoft antimalware跟malwarebytes
http://i.imgur.com/uYzqOvy.jpg
（OS跟Office皆為學校大量授權的正版...）
http://i.imgur.com/ccvaZR1.jpg
只有這兩次有掃出毒
後來都沒出現
但重開機依然會被關機

A方案:一般開啟>輸入shutdown -a，如顯示已取消關機進入B方案B方案:安全模式>啟動>是否有未知程序?刪除:B方案C方案:安全模式>開啟任務管理器>發現未知任務>刪除C方案:安全模式>開啟任務管理器>發現未知任務>刪除

作業系統版本？(雖然不用說也知道是XP啦)

應該是有東西在開機後啟動，然後觸發關機病毒查殺、木馬蠕蟲之類的掃一掃看看

使用 Zemana 與 HitmanPro 來掃描試試看。

跑一份gsi和combofix log來，然後拔網路線觀察一天看是否還會自行關機。如果還是會關 那我想你重灌後開始請教硬體板吧歐抱歉沒看到一開始的影片 。麻煩下載mwav更新至最新後在安全模式下掃描並附上掃描紀錄

看國外網友的相關文章 看起來像是病毒malwarebytes幫你刪了一個木馬下載器javaa.exe

會不會只是單純的POWER 按鈕彈性疲乏？

拔網路盡快重灌系統吧

把主機板上的reset 跳腳拔掉看還會不會這樣

用TDSSKiller之類的工具掃看有沒有Rootkits

先謝謝大家 現在在用tdsskiller跟myav掃 應該都要花個十幾小時 明天再把記錄丟上來！硬體問題應該是排除了吧 因為有很多登陸值跟系統功能被竄改了

要不要考慮乾脆重灌，比較快又乾淨。

剛剛備份重要的檔案了 反正剛好要換ssd就順便重灌囉真的是徒勞好幾天XDD

結論是重灌沒錯但請不要只天真的想說覆蓋安裝c就好不管你之前有無資料分割都建議你全部搬走後全部重新分割並且使用原版片重灌系統 如果板子支援uefi就直接用gtp安裝sad內的系統了而之所以要你提供紀錄只是要知道到底有那些途徑與你到底幹了那些手賤的事才會被埋木馬

D大這樣回不怕被吉嗎?

不懂D大有什麼好被吉的

公開說人家手賤(這算貶義詞) 有公然侮辱的疑慮不過也要看對方要不要追究然後吉也不一定會成功啦

樓上真的想太多了

XD 我每次在公司幫user 看電腦我都說"人品問題"還有手賤

樓上那是比較熟吧

我是覺得有點太兇啦...不過ptt就這樣啊ㄎㄎ最近在忙期中 有空會把報告丟上來

kmservice.exe(riskware.tool.ck) 原po你...

Kms啓動器很多。只是會不會選而已。會選用的一般沒事。不會用的,也有遇過給他zs載點還是按到加密發作了是不是手賤呢？ㄎㄜㄎㄜ

噢查了一下那是office嗎 我是在系辦借的os跟office絕對不可能是謎版啊...你又回手賤真的有點煩 雖然你好像在幫忙就沒有要理你了還硬要回 刷存在感嗎XD

那個是破解器吧?所以你的確使用習慣不佳(手賤)沒錯啊.

學校提供的大量授權office也是給kms啟動 有啥問題？又不是kms的都是破解器

謝謝樓上XD 亂開槍我也是無法了

不對 如果是系統指令啟動 根本不需要啓動器服務 也不會被報是風險軟體誰和你說接的光碟授權絕對合法了？ 正常的做法是自己去計算機中心的軟體下載區用校網登入學號與密碼然後來取得原始安裝光碟的映像 如果要校內授權還要直接使用kms的服務指令。多數校外啟動還要vpn且一天只准啟動一次。好假設你真的都是這樣做 那我請問你在不需要任何kms機的光碟中為何會被防毒軟體找到檔案呢？再來關於你的java.exe 如果你去搜尋了相關資訊 應該會發現他的預設報告就是木馬一類的工具。既然不是誤判的話 那就一定是你的隨身碟或是你在使用某些軟體的操作按到或被區網其他電腦埋了。那我請問你現在不檢討原因怎中的難道要等到你的隔離區爆了再來解決嗎我個人對手賤 定義很簡單,只要不是你裝完系統斷網下會自己浮現的問題 就都是人為問題。既然是自己要被騙的那就別和我瞎扯那些543了為何我敢肯定你是發作後才要裝要清毒的。emsi幾乎是你第一次執行樣本只要是明確有問題幾乎當下就會攔截 或自動隔離。假設你的電腦上乾淨的 如果你一開始就有安裝任套防毒或所謂反惡意軟體 你的kmsserve.exe應該也早被掃到清掉的才對。

閒聊：木馬如果一直要人強制關機 好像就沒意義我記得學校很少提供win7旗艦版？是不是拿錯片了？建議從學校資源下載 然後定期kms啟動大多數學校也是走kms只是沒聽過會被防毒誤報的微軟kms 那對企業很重要很難得遇到防毒誤報防毒偵測為riskware.tool.ck常見回報來源為cracks and keygens程式報告中看出幾類:木馬 惡意廣告/軟體 riskware.tools.ck通常如何招惹來的 google找關鍵字 應該對你資安觀念稍微有幫助

我們學校電腦開機都會顯示KMS欸XD

其實現在的問題已經不重要勒，因為實際木馬並沒有被抓出。.用emsi做亡羊的掃描根本並沒有意義。

不想重灌就去弄支趨勢/卡巴救援碟從USB開機掃重灌的話，去計中下載ISO或借DVD 別再用系辦迷版了...

啊就是淡江大學大量授權啊 一直謎版

會這樣說就是因為校園授權不會有KMS crack在背後跑...而且淡大授權軟體清單WIN7沒有Ultimate,只有Professional喔

樓主要不要和我賭，你自己在堅持這樣裝法也一樣會出事m01那我就回過一樣個案例勒。你說你系統軟體正常的。好反正你哦應該也重灌過了。麻煩你一樣再用那些工具在掃描一次。如果一樣在被報毒那結果應該很明顯勒。如果掃描出來是乾淨了。那你之前確實有感染應該也不用辯解要證實很簡單就是再裝一次在測試一次 裝完掃描一樣報毒那沒啥好談 光碟有誤源頭不正確。掃出來乾淨的。呵呵那好玩了 你的Java's kmsserve哪來的晚一點再來回答你乾淨重灌後要怎辦。防毒軟體要怎選。