大家好！
画面录影 https://youtu.be/Lno3wajm1Lw
最近几天电脑疯狂自动进关机程序(非断电型关机。
事件检视器里有看到NT Authority\System 无理由要求关机，
原本怀疑是疾风病毒，
但没有跳出倒数视窗。
进安全模式是完全没事的，
但一进正常系统，
不管有没有登入，等20秒左右之后都会关机。
而且没办法还原，
而且没办法还原，
因为系统保护打不开，
进系统视窗也看不到系统保护的选项。
用了几个antimalware扫过有出现登陆值被修改，
像是disable.taskmgr之类的。
想先请各位隔空抓药一下，
睡起来再po扫毒结果给各位，
感谢防毒版！
目前用了emsisoft antimalware跟malwarebytes
http://i.imgur.com/uYzqOvy.jpg
（OS跟Office皆为学校大量授权的正版...）
http://i.imgur.com/ccvaZR1.jpg
只有这两次有扫出毒
后来都没出现
但重开机依然会被关机

A方案:一般开启>输入shutdown -a，如显示已取消关机进入B方案B方案:安全模式>启动>是否有未知程序?删除:B方案C方案:安全模式>开启任务管理器>发现未知任务>删除C方案:安全模式>开启任务管理器>发现未知任务>删除

作业系统版本？(虽然不用说也知道是XP啦)

应该是有东西在开机后启动，然后触发关机病毒查杀、木马蠕虫之类的扫一扫看看

使用 Zemana 与 HitmanPro 来扫描试试看。

跑一份gsi和combofix log来，然后拔网络线观察一天看是否还会自行关机。如果还是会关 那我想你重灌后开始请教硬件板吧欧抱歉没看到一开始的影片 。麻烦下载mwav更新至最新后在安全模式下扫描并附上扫描纪录

看国外网友的相关文章 看起来像是病毒malwarebytes帮你删了一个木马下载器javaa.exe

会不会只是单纯的POWER 按钮弹性疲乏？

拔网络尽快重灌系统吧

把主机板上的reset 跳脚拔掉看还会不会这样

用TDSSKiller之类的工具扫看有没有Rootkits

先谢谢大家 现在在用tdsskiller跟myav扫 应该都要花个十几小时 明天再把记录丢上来！硬件问题应该是排除了吧 因为有很多登陆值跟系统功能被窜改了

要不要考虑干脆重灌，比较快又干净。

刚刚备份重要的档案了 反正刚好要换ssd就顺便重灌囉真的是徒劳好几天XDD

结论是重灌没错但请不要只天真的想说覆蓋安装c就好不管你之前有无资料分割都建议你全部搬走后全部重新分割并且使用原版片重灌系统 如果板子支援uefi就直接用gtp安装sad内的系统了而之所以要你提供纪录只是要知道到底有那些途径与你到底干了那些手贱的事才会被埋木马

D大这样回不怕被吉吗?

不懂D大有什么好被吉的

公开说人家手贱(这算贬义词) 有公然侮辱的疑虑不过也要看对方要不要追究然后吉也不一定会成功啦

楼上真的想太多了

XD 我每次在公司帮user 看电脑我都说"人品问题"还有手贱

楼上那是比较熟吧

我是觉得有点太凶啦...不过ptt就这样啊ㄎㄎ最近在忙期中 有空会把报告丢上来

kmservice.exe(riskware.tool.ck) 原po你...

Kms启动器很多。只是会不会选而已。会选用的一般没事。不会用的,也有遇过给他zs载点还是按到加密发作了是不是手贱呢？ㄎㄜㄎㄜ

噢查了一下那是office吗 我是在系办借的os跟office绝对不可能是谜版啊...你又回手贱真的有点烦 虽然你好像在帮忙就没有要理你了还硬要回 刷存在感吗XD

那个是破解器吧?所以你的确使用习惯不佳(手贱)没错啊.

学校提供的大量授权office也是给kms启动 有啥问题？又不是kms的都是破解器

谢谢楼上XD 乱开枪我也是无法了

不对 如果是系统指令启动 根本不需要启动器服务 也不会被报是风险软件谁和你说接的光盘授权绝对合法了？ 正常的做法是自己去计算机中心的软件下载区用校网登入学号与密码然后来取得原始安装光盘的映像 如果要校内授权还要直接使用kms的服务指令。多数校外启动还要vpn且一天只准启动一次。好假设你真的都是这样做 那我请问你在不需要任何kms机的光盘中为何会被防毒软件找到档案呢？再来关于你的java.exe 如果你去搜寻了相关资讯 应该会发现他的默认报告就是木马一类的工具。既然不是误判的话 那就一定是你的随身碟或是你在使用某些软件的操作按到或被区网其他电脑埋了。那我请问你现在不检讨原因怎中的难道要等到你的隔离区爆了再来解决吗我个人对手贱 定义很简单,只要不是你装完系统断网下会自己浮现的问题 就都是人为问题。既然是自己要被骗的那就别和我瞎扯那些543了为何我敢肯定你是发作后才要装要清毒的。emsi几乎是你第一次执行样本只要是明确有问题几乎当下就会拦截 或自动隔离。假设你的电脑上干净的 如果你一开始就有安装任套防毒或所谓反恶意软件 你的kmsserve.exe应该也早被扫到清掉的才对。

闲聊：木马如果一直要人强制关机 好像就没意义我记得学校很少提供win7旗舰版？是不是拿错片了？建议从学校资源下载 然后定期kms启动大多数学校也是走kms只是没听过会被防毒误报的微软kms 那对企业很重要很难得遇到防毒误报防毒侦测为riskware.tool.ck常见回报来源为cracks and keygens程式报告中看出几类:木马 恶意广告/软件 riskware.tools.ck通常如何招惹来的 google找关键字 应该对你资安观念稍微有帮助

我们学校电脑开机都会显示KMS欸XD

其实现在的问题已经不重要勒，因为实际木马并没有被抓出。.用emsi做亡羊的扫描根本并没有意义。

不想重灌就去弄支趋势/卡巴救援碟从USB开机扫重灌的话，去计中下载ISO或借DVD 别再用系办迷版了...

啊就是淡江大学大量授权啊 一直谜版

会这样说就是因为校园授权不会有KMS crack在背后跑...而且淡大授权软件清单WIN7没有Ultimate,只有Professional喔

楼主要不要和我赌，你自己在坚持这样装法也一样会出事m01那我就回过一样个案例勒。你说你系统软件正常的。好反正你哦应该也重灌过了。麻烦你一样再用那些工具在扫描一次。如果一样在被报毒那结果应该很明显勒。如果扫描出来是干净了。那你之前确实有感染应该也不用辩解要证实很简单就是再装一次在测试一次 装完扫描一样报毒那没啥好谈 光盘有误源头不正确。扫出来干净的。呵呵那好玩了 你的Java's kmsserve哪来的晚一点再来回答你干净重灌后要怎办。防毒软件要怎选。