2011/01/29《桌機壞掉..》

已經將近一個月沒有上來寫日記了,每天固定會上來看看,不知道要寫些什麼,進入後台又默默的按了右上角的X,昨天電腦整理工作告一段落,決定靠著模糊的記憶寫下一月大雜燴,晚上寫到一半電腦又當積了,這次狀況跟以往不一樣,以往重新開機問題就可以迎刃而解,而這次電腦似乎真的躺下去了,最後靠一些基礎的硬體知識判定應該是硬體的問題,更慘的是這次壞的竟然不是螢幕線,如果是主機板或CPU的話就……(慘)

桌機不能用,總不能整天就背單字、看數學 感覺會瘋掉,所以這幾天決定要天天窩在房間陪伴那台RAM 256M近十年的筆電,那台筆店之前重灌完,結果發現隨身碟插上去連到網路就會自動建立upload.exe檔案、autorun.inf檔案,原本以為是自己不小心所以中毒了,不過仔細研究發現不然,好像是前陣子流行的鬼影病毒,我也挺納悶的為甚麼這台電腦會感染這東西,當然…嘗試網路上的工具最後都發現沒有根治的方法,因為桌機壞掉所以得有一段時間跟那台NoteBook相處,又不想跟病毒共存,因為之前感染的病毒不像普通病毒重灌就沒了,所以決定重新建立分割+重寫MBR,晚上花了兩個小時把XP裝完,插上網路線…隨身碟又跑出兩個檔案(冏),這時候我傻了,竟然重建分割+重灌+重寫MBR都沒用…,昨天晚上就拿著手殺病毒工具砍驅動、砍服務項、砍開機加載項,搞到兩點多才收兵去睡覺。

今天早上起床,在試了一下桌機還是沒反應,硬體部分我真的沒辦法(攤手),所以用老爸的筆電把檔案抓一抓再拿到房間那台老筆電去裝把CodeBlocks+Java+Python環境弄好,CodeBlocks是為了繼續修練C++,前陣子有去圖書館借Java的書,Python則是感覺挺簡潔的,摁…開始我的語言之路吧(笑)。至於那篇大雜燴可能就…(攤手)

  • ltzz

    博主,你太惨了…那256mb的笔记本居然还能用,奇迹也!希望博主的电脑早日康复,同时也祝博主春节快乐!
    —————————————————————————————————————–
    回覆『ltzz』:
    可以用阿,裝XP然後我把無效的啟動項目用Autorun關閉,現在待機狀態大約占用80M記憶體吧..(超低)

    今天早上開機試了一下,發現主機叫了兩聲,再重開機 疑?可以開耶,只是連線下去 打開TTPlayer 沒多久就…當機Orz…再重開機以為又不會叫了 很給面子的叫兩遍,再重開機一樣可以開,到了開機選單,決定這次開XP進去好了,登入XP之後直接當機 再重開機 就沒反應了,看來硬碟沒壞 螢幕線沒壞 沒意外壞的就是…主機板、CPU、顯卡、記憶體那些了..希望只是單純沒接好而已…(祈禱)如果是燒壞或者快壞掉真的就很麻煩了(擦汗)

    摁,也祝您新春愉快,祝福您新的一年平平安安 事事順心: )

    P.s.筆電沒有簡體中文輸入法,只好用繁體回了,不好意思。

  • http://playnet.twbbs.org 肉圓

    好倒楣…,怎麼剛好在寒假期間掛點,不過最近要過年了,要修也得等上一段時間= =,祝好運+新年快樂~~
    —————————————————————————————————————–
    回覆『肉圓』:
    其實早在兩年前就陸陸續續有問題了,它很給面子拉 又讓我多操了這麼久,不過這次感覺真的壞了..(嘆氣)
    要等我叔叔有空吧,這次如過要換內部零件應該也要一些時間,
    摁,也祝新春佳節愉快,祝福新的一年平平安安、事事順心: )

  • 無名人士

    通常當機有70%左右都是硬體問題

    在硬體問題裡當機有60%是CPU過熱…

    按電源鍵沒反應是指?

    機殼前的硬碟燈有亮嗎?
    —————————————————————————————————————–
    回覆『無名人士』:
    有@@,沒意外應該不是硬碟的問題,
    CPU過熱可能性也不太大…
    現在只能等待叔叔來了..有空似乎要去探索一下硬體知識…
    最後,預祝新春愉快,祝福新的一年平平安安、事事順心。

  • Flymia

    哈哈~兩個星期沒用電腦後,居然覺得鍵盤敲起來的感覺有點陌生呢(嘆)
    既然銘大沒靈感,那小的就趕緊把寫到一半的文章發表囉?(要是大掃除完還有精神的話~)
    —————————————————————————————————————–
    回覆『Flymia』:
    呵呵,很快會抓回感覺得,
    昨天晚上七點在GuestBook看到你的留言,趕緊上Web MSN,結果沒看到人,於是又下線了Orz..
    幹嘛叫我銘大Orz..明明專業領域都比我強好幾百倍(笑)
    好吧,前天還有一篇堆積在後台寫到一半的Plurk相關的文章(寫到一半電腦就當機重新啟動了..)
    雖然有點不想用筆電寫…不過早上嘗試將他完成吧(大絕招..接桌機螢幕+桌機鍵盤 這樣就可以仿彿桌機還活著一樣!!!)

  • 小弥

    真是杯具呢..
    不过咱还算好的了..虽然咱也同样属于硬件初心者….不过还是靠着自己一点点的摸索搞定了老家那台桌机呢..开机键+重启键同时下陷…
    好吧,只能短接跳线开机(笑)
    再加上老古董AGP2.0独显坏了..不断的蓝屏..一起来跟我傲娇呢..还真是淘气呢
    花了一个下午才搞定…不过还是蛮有成就感的呢
    鬼影病毒? 重建mbr后重灌系统后最好再来个全盘格式化吧..防止其他分区也有隐患…你那个随身碟也一起格式化掉吧..恩恩
    ——————————————————————————————————–
    回覆『小弥』:
    摁…看來我有空得去了解一下硬件知識了,感覺都在摸索軟體 硬件出問題反而只能等待救援…
    摁…自己搞電腦莫過於成功時候的成就感,那種感覺就跟考試考一百分差不多吧 而且又更勝,不過如果弄不好的話..感覺壓力會很大吧 會一直去想那個問題.. 想解法…,
    不確定是不是鬼影病毒,前幾個月重灌之後發現有問題有先用金山衛士掃描,金山衛士顯示為新鬼影病毒,至於重建mbr我有試過了,重建磁碟分割→重建mbr→重新格式化 病毒依然存在,所以我也嚇到了..(嘆),最後只好用XueTr去砍驅動、砍起動項、砍服務項,
    隨身碟不分確定沒問題,因為裡面病毒確定都被ESET給吞噬了… 而且插其他電腦都不會有感染的症狀,很明顯有那兩個檔案都是因為那台筆電的緣故..

  • 小弥

    最好用自己刻录的msdn光盘重灌原版系统..U盘还是不太安全
    ——————————————————————————————————–
    回覆『小弥』:
    我就是使用光盤安裝xD,不過我的這片是好幾年前叔叔給的,有精簡過,安全性沒問題,桌機也是都用這片重灌,不會有Virus的問題,所以問題應該還是出在電腦上了…
    P.s.不好意思,筆電Win7沒有裝簡體中文輸入法,所以只好用繁體中文回,還請多多包涵~

  • 路人甲

    我想問題應該出在隨身碟@@
    ——————————————————————————————————–
    回覆『路人甲』:
    隨身碟應該不怎麼可能,首先,隨身碟插別台電腦都不會產生那兩個檔案,昨天剛重灌完 將隨身碟插入該台筆電 馬上兩個檔案就跑出來,插到另外一台筆電去用ESET移除之後,就正常,重插也不會跑出,接著又換到那台256M記憶體的筆電去…馬上又跑出兩個檔案,且,可以很確定的是要在那台筆電連網的狀態下才會有那兩個檔案,加上剛重灌完那台電腦又有仿Windows啟動項,這次把焦點轉移到光碟上去,剛剛又對電腦執行重灌,晚一點會檢查是否為光碟的問題,不過光碟問題可能性也不大,因為桌機就是用該光碟重灌,無異。目前最有可能的就是256M記憶體筆電本身,接下來就是XP光碟,如果只是鬼影病毒 基本上重建mbr+磁碟分割區重建+格式化之後問題應該就可以迎刃而解,都重寫mbr了還有問題 那…Windows XP光碟應該…嫌疑很大 一切還是得等到重灌完之後二次檢查才知道。

    前天晚上進行手殺的時候,也有發現仿Windows系統啟動項目,等到桌機恢復應該就會檢查桌機XP系統是否有該起動項,如果桌機內的XP系統啟動項目也有該啟動項 那就有很大的證據表示…光碟原本就是加料版本…,那片光碟不是原版的就是了,有經過精簡過,因為前幾天桌機重灌完,想要嘗試看看taskkill指令發現無法使用,最後用遠端到網友電腦抓taskkill.exe問題才解決(夭壽 那片XP光碟我用了快五年……但願沒問題阿(祈禱))

  • 無名人士

    有CMOS的測試畫面出來嗎?
    ——————————————————————————————————–
    回覆『無名人士』:
    沒耶,螢幕表示「無訊號輸入」可是奇怪的是…今天早上開機可以打開,WinXP、Win7資料都正常,大約過了十分鐘就當機了Orz..(主機瘋狂逼逼叫)重開機之後開XP也可以順利進去 輸入密碼完直接當機 重開機就……又沒反應了。

  • 無名人士

    有BB聲嗎?

    如果兩個都沒有

    有可能是顯示卡的問題

    把顯示卡拔掉重插看看
    ——————————————————————————————————–
    回覆『無名人士』:
    現在開機不會叫了Orz..
    網友說顯卡壞掉的話主機還是會叫耶…(冏)

  • 無名人士

    你的主機板是?
    ———————————————————————
    回覆『無名人士』:
    P5LD2 SE
    問題剛剛晚上叔叔來過之後解決了,沒意外應該是CPU散熱的問題…灰塵大概三年以上沒清了,灰塵多到疊起來,散熱膏重途 還有顯示卡、記憶體的金手指重新插過,隻後開機就正常了,目前成功開機半小時以上,開機主機聲音也少很多
    感謝你的幫忙: )

  • 無名人士

    恩恩~

    以後要記得定期清理唷~
    ———————————————————————-
    回覆『無名人士』:
    摁 感謝: )

  • ltzz

    最好及时清理灰尘,我也遭遇过好几次因灰尘和散热不好导致的惨剧…
    ———————————————————————-
    回覆『ltzz』:
    我對電腦硬件實在是不太熟悉…所以只能用吸塵器吸外部…內部吸不到Orz..
    昨天叔叔把CPU風扇拔下來我整個嚇到..灰塵多到已經疊起來…

  • 小弥

    呵呵
    没事,反正我也看得懂繁体~
    最后再尝试下装个hips监测下吧…应该能监测到一些动作的..恩恩
    推荐md
    全开md监控, 插上你的随身碟, 断网
    看看有什么动作
    恩恩
    再不行我也没办法啦..>o<
    有样本么? 上传到卡饭造福下大家也好@@
    ——————————————————————-
    回覆『小弥』:
    對噢…我都沒有想到用HIPS抓行為…
    不過幾個禮拜前,還沒重灌的時候有用NPE掃過,掃到兩個驅動 其中一個是tcpip.sys,另外一個忘記了,光碟部分確定沒問題。
    現在找到觸發這支病毒的規則了,要聯網+隨身碟就可以觸發了,昨天晚上將NB拿去聯網,然後用隨身碟傳一下資料 就發現隨身碟上面被建立資料夾,暫時建立autorun.inf擋一下,至少自動腳本不會插上後就執行。
    Malware Defender之前有用過,感覺還不錯,後續版本就不支援繁體中文版本了有點可惜,等過完年在抓去筆電上面試試看(希望跑的動拉 256M內存而已..)。

  • 小弥

    找到母体就好办了>o<
    直接抓出来ko掉吧
    怀疑explorer.exe被注入了呢..
    ———————————————————————
    回覆『小弥』:
    這支病毒很難搞…那天試圖用MD找出生成autorun.inf、upload.exe的程序,可是…這支病毒有點難搞…我用MD追他的行為追了一個小時…結果他盡然不生成文件
    接著把MD移除 又正常運作了(囧)
    倒是…用MD追行為的過程中,發現了恐怖的秘密…電腦已經被感染到 cmd.exe、regedit、ftp.exe..等重要系統檔案在系統中都已經有分身了(那天看serivces.exe(仔細看喔 是ser"iv"ces.exe不是ser"vi"ces.exe)),不斷的調用 然後甚至會加載驅動(囧)只能說真是可惡…本來想先抓岀會在聯網狀況下插入USB自動生成autorin.inf/upload.exe的文件,想不到在MD執行的狀況下…竟然不生成了…真是麻煩…(確定沒有漏掉行為(一個一個仔細的檢查、看隨身碟就是沒有生成新的文件)然後把MD移除之後..那支病毒又很盡職的開始進行生成文件的工作…
    下次從生成serivces.exe這個假進程的程序開始著手好了,不過那台NB基本上也不能幹麻(256M內存而已..)連開個IE看html文件都快可以當掉…沒有特殊原因應該是都不會聯網…ˇ 那天追到最後 看到沒有視窗在跳出來了 整個傻眼…(擦汗)

  • 小弥

    额..这样啊
    照理说fd应该具备检测到创建文件这样的行为呀…除非这货的作者也在用md并且能够检测都md的进程而不释出病毒文件…
    这样的话不妨试试其他hips..
    比如EQ啊~
    我想啊
    创建可疑文件 一般来说还是必须要先创建进程 创建进程就属于ad的范畴了….只要抓可以进程基本可以抓住很多母体的..你看看生成的那个serivces.exe是由什么文件释出的..或者这货本身就是个母体..找出路径抓出来ko (>0<)
    或者试试hips区的那个无毒空间 貌似不错
    ——————————————————————
    回覆『小弥』:
    等我有動力或者真的受不了的時候吧,因為那台筆記本最主要還是拿來編譯一些程式或者拿來紀錄一些東西等離線行為而已…。

  • 小弥

    慢慢玩吧
    也不错 熟悉下工具的应用神马的~
    ———————————————————————
    回覆『小弥』:
    呵呵,這支真的很難搞,連很多重要驅動(.sys)都被感染,NPE只能查不能殺。

  • …Joe…

    小學弟 serivces.exe活動訊息如下 請服用^^
    http://www.newjian.com/upanbingdu/200807083477.html
    手動移除方法→ http://www.cheapfreevirusscan.com/s/serivces.exe.html
    ———————————————————————
    回覆『…Joe…』:
    呵呵 這麼好搞的話 就不用煩惱這麼久了…
    這次病毒很難搞醬子,serivces.exe也不是主體(有被我kill掉..然後做免疫…隨身碟照樣產生autorun.inf、update.exe),不過serivces.exe行為也很複雜就是了。
    這次病毒連Norton Power Eraser這種專門針對應變的都只能偵測無法處理了…重寫mbr也無效,可能真的得等我有動力的時候在去找產生serivces.exe的兇手。
    不過還是謝謝你喔,新年快樂: )

  • 小弥

    npe是只能查出并删除而无法修复啦
    ———————————————————————
    回覆『小弥』:
    NPE顯示無法處理..(嘆氣…)
    好像是很重要的驅動元件被感染…我有砍過那個文件,砍了直接藍屏 重開機就無法連線,修復WinSock也沒有用…從其他電腦複製同樣的.sys也無效…(那時候好像用XueTr卸載驅動..)

  • 小弥

    铭为何不试试重新灌上msdn原版系统映像呢?
    虽然以前你这个系统用过很多遍, 但是也并不表示就没有带毒呀~
    重灌msdn版的话会自动重建mbr那段引导内容的, so不妨一试呢
    ———————————————————————-
    回覆『小弥』:
    MSDN原版鏡像我到時候在去抓抓看好了,
    基本上我個人是認為光碟沒問題拉,不過這片光碟檔案有動過..也就是說任何可能都有發生
    可是這又會發生一個情況,如果有問題的話桌機應該也會有事情(同一片光碟灌出來的系統),當初自己真該死,把正版的光碟放在書包,上學的時候沒事也不知道帶去幹麻,結果上課翻一下書包就發現變成一堆碎片,於是家裡最後一片正版系統光牒(也是唯一一片)就掰掰了…

  • 小弥

    还要记得校验哈希值哟~