求助 - 整個系統的語言顯示好像都有被病毒或木馬入侵的跡象

[october_pc]

API HOOK
RVA 錯誤： LoadLibraryA (危險等級: 高, 被下麵模組所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA 錯誤： LoadLibraryExA (危險等級: 高, 被下麵模組所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA 錯誤： LoadLibraryExW (危險等級: 高, 被下麵模組所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA 錯誤： LoadLibraryW (危險等級: 高, 被下麵模組所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA 錯誤： GetProcAddress (危險等級: 高, 被下麵模組所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
----------------------------------------------------------------------
有問題的是上面這個 kilf.sys
這是個假的卡巴斯基檔案,會置換掉卡巴真的檔案
趨勢的ICEEAN清的掉,清掉後重開機時
卡巴自動更新會自動在裝回正確的
上個月才剛清一台電腦中這隻病毒

[wulom]

引用:

作者: october_pc

API HOOK
RVA 錯誤： LoadLibraryA (危險等級: 高, 被下麵模組所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA 錯誤： LoadLibraryExA (危險等級: 高, 被下麵模組所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA 錯誤： LoadLibraryExW (危險等級: 高, 被下麵模組所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA 錯誤： LoadLibraryW (危險等級: 高, 被下麵模組所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA 錯誤： GetProcAddress (危險等級: 高, 被下麵模組所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
----------------------------------------------------------------------
有問題的是上面這個 kilf.sys
這是個假的卡巴斯基檔案,會置換掉卡巴真的檔案
趨勢的ICEEAN清的掉,清掉後重開機時
卡巴自動更新會自動在裝回正確的
上個月才剛清一台電腦中這隻病毒

october大大您好，謝謝您再度的為我電腦上使用的障礙指點迷津。

我安裝了您說的趨勢的那個軟體，使用途中，掃到約75%時，就卡死住了，系統是沒有因此當掉，但不管放置多久，甚至數個小時，就變成沒有回應了。再試了幾次也是一樣會卡死…而沒有辦法解開那團難纏的病毒。

引用:

作者: plunderer

病毒不管新舊, 都能解決的, 重點是方法

上述步驟 1 只要能刪除 "註冊表" 值就行了
步驟 2 比較關鍵, 要以 安全模式登入windows 再以卡巴掃描, 才能刪除
其實你有卡巴了, 其他掃木馬軟體就多餘了

klif.sys 暫時別管它, 那不一定有問題

若卡巴在安全模式下無法掃描, 上述列出那些有問題的檔案在安全模式下也應該能直接手動刪除

若安全模式下還是不能做任何事, 那就用 winpe 光碟(必備, 修復系統很有用)開機, 再以光碟內的防毒軟體掃描硬碟

事實上你的問題不大, 只是處理的程序比較複雜, 要用上的工具軟體也比較多, 在論壇上沒辦法一步一步教你

依您所述步驟照做結果如下：
1.那些異常的註冊表如果要做任何的修改或刪除，均會出現「無法刪除」、「死當」、或「強制關閉該防毒程式的」任一種情形，等於是那一團壞檔案至今仍是完整的存在於c槽中，無法動其一根汗毛。

2.我欲以安全模式進入windows，不論是選擇單純的安全模式、或是含指令、含網路功能的安全模式，按確定後，電腦像dos模式那樣自動執行一些程序後的五秒鐘內，就一定會跳入英文藍底白字的死當畫面裡。試了很多次都一樣。現在那台電腦已經變成完全無法開機了，只能暫時用另一台電腦上網…

到這樣田地，厲害的前輩先進們不知還有無其它可嘗試的解決辦法？

[plunderer]

1
用 Wsyscheck
http://mafia.myweb.hinet.net/file/Wsyscheck.zip
"Tools" => "Fix Boot Safe Mod" 修復安全模式
重新開機, 看能不能進入安全模式

2, 若還是不能進入安全模式, 就用 XueTr
http://mafia.myweb.hinet.net/file/XueTr.7z
"文件" 列表中, 找出欲刪除的檔案, 按右鍵, "強制刪除"

P.S
這兩個都是強效工具, 若不清楚用途, 切勿使用其他功能

[wulom]

引用:

作者: plunderer

1
用 Wsyscheck
http://mafia.myweb.hinet.net/file/Wsyscheck.zip
"Tools" => "Fix Boot Safe Mod" 修復安全模式
重新開機, 看能不能進入安全模式

2, 若還是不能進入安全模式, 就用 XueTr
http://mafia.myweb.hinet.net/file/XueTr.7z
"文件" 列表中, 找出欲刪除的檔案, 按右鍵, "強制刪除"

P.S
這兩個都是強效工具, 若不清楚用途, 切勿使用其他功能

但我目前該台電腦一開機就會進入藍底白字死當，完全無法啟動windows進到桌面，請問我該如何使那台電腦能夠執行這兩個程式呢？ 謝謝.

[plunderer]

那只能用 winpe 光碟開機了
http://www.duote.com/soft/8624.html
簡體中文的 PE 系統功能比較齊全, 問題也較少

下載後燒成光碟, 把電腦 bios 設成 CD-ROM 開機就行了

[wulom]

引用:

作者: plunderer

那只能用 winpe 光碟開機了
http://www.duote.com/soft/8624.html
簡體中文的 PE 系統功能比較齊全, 問題也較少

下載後燒成光碟, 把電腦 bios 設成 CD-ROM 開機就行了

多謝plunderer前輩指引一個那麼小巧可迅速燒錄的winpe載點。
我下載並燒錄後，是可以用光碟進去系統了。不過努力了數個小時，暫時還無法破解這個病毒。

順利進去系統後，有把您提供的Wsyscheck及XueTr都傳送至該電腦欲開啟，但不知是病毒問題、相容問題、還是語系的問題，我解壓縮Wsyscheck時，雖然有跑到100%好像即將要開啟程式的狀態，但仍是就此沒有任何反應而無法開啟程式。XueTr開啟時則是顯示「加載驅動失敗」的字樣，然後開出一個空殼子的操作版面，就是每個選項文字都存在，但點進去每個欄目都是空白的。我發現此模式下很多的應用程式似乎無法成功開啟或開啟不完全，不曉得是什麼原因。

另外在winpe系統中仍是無法開啟我的卡巴7.0。不過可以開啟"System Repair Engineer"，在啟動專案的註冊表裡，看到了那幾個中毒的註冊檔，但不知為何數量只顯示主要的六、七個而已。不像之前全部刪不掉的有數十個。不過在winpe裡依舊無法更動或刪除那些中毒的註冊檔。

後來我用該winpe裡內附的卡巴6.0進行全機掃毒，掃了四、五個小時才掃完，竟然說沒掃到半隻毒。我又從另一台電腦下載了簡體中文的卡巴8.0試用版傳送到該台中毒的電腦，想說最新版的應該掃得出毒，清不清得掉得要碰碰運氣，結果安裝時，程式跑到48%就卡死不動了。

附帶一提，在那台中毒的電腦昨天最後一次關機之前，為了能確實執行安全模式，我有在[ 執行 ]的部份輸入msconfig，然後選Boot.ini，然後再將SAFENOOT打勾，才關機的。原本以為可以再以安全模式進入掃毒後再改回來，想不到從此若正常開機就一定會進入那個藍底白字的死當畫面。

引用:

作者: october_pc

YAHOO搜尋引擎找Malwarebytes這個免費軟體
先清掉API HOOK的問題在看安全模式能進嗎
這個軟體還不盡完善但還夠用
安裝完更新後可能會變亂碼
到右上第3格改成正體中文在掃描
可能要清2次...怪怪的
有些查到的API HOOK機碼要第2次才清的掉
清完後再用ICLEAN看看能動嗎

建議您註冊史萊姆...有很多資源能用

回覆october大大，我在winpe下安裝奇摩搜尋抓到的Malwarebytes(共3.43MB)，安裝到最後卻出現"沒有找到MSVBVM60.DLL，因而程序未能啟動"的字樣。所以不能順利安裝，不曉得是什麼原因。另外我也十分樂意註冊史萊姆這個好站，最近便會撥空完成，感謝您告知有這個管道。

所以如上述內容總歸納一下，現在是可以用winpe光碟開機了。可是無法執行一半以上的程式、仍無法解除該病毒的毒性、以及無法以安全模式進入系統。請問前輩們我應該再做什麼樣的設定、或是嘗試哪些軟體程式才可能可以改善這個情境呢？

[plunderer]

winpe 是受限制的系統, 且是在光碟上, 本來就很多程式無法執行及安裝
再者, winpe 下執行 Wsyscheck, XueTr, System Repair Engineer 等系統工具是沒有意義的, 因為此時並非處於原來硬碟中的作業系統下, 系統工具是找不出問題的

用 winpe 開機, 主要目的是刪除原本硬碟中無法刪除的檔案:
<C:\WINDOWS\fonts\xbpCfXnG6wUVF.fon> []
<C:\WINDOWS\fonts\wQ7KbaNZKMe5G4qZ.fon> []
<C:\WINDOWS\fonts\A97CRaCB.fon> []
<C:\WINDOWS\fonts\uXUsF2RrQy.fon> []
<C:\WINDOWS\fonts\tY5UFS434YYd.fon> []
<C:\WINDOWS\fonts\MqppW9KYn.fon> []
<C:\WINDOWS\system32\GsfMwDWD3.dll> []
<C:\WINDOWS\system32\EN7hzSreCat8.dll> []
<C:\WINDOWS\system32\ybM7kf9heVHDx.dll> []
<C:\WINDOWS\system32\qB5BKZy7vR5m.dll> []
<C:\WINDOWS\system32\A0C86020.dll> []
<C:\WINDOWS\system32\dktXFYbT3G.dll> []
<C:\WINDOWS\system32\xg4hAPNygs29.dll> []
<C:\WINDOWS\system32\76B9BA7A.dll> []
<C:\WINDOWS\system32\dhDhwS7fFW.dll> []
<C:\WINDOWS\system32\skcfujQ5EDN.dll> []
<C:\WINDOWS\system32\RhdwE8NYdbqQ.dll> []
<C:\WINDOWS\system32\122B901E.dll> []

注意: 因為是用PE光碟開機, 所以 C: 是指光碟, 而原來硬碟中所有的磁碟代號都會後移

[october_pc]

那你只好用WINPE看能把系統碟的boot.ini打開編輯
把savemode拿掉

[october_pc]

引用:

作者: wulom

但我目前該台電腦一開機就會進入藍底白字死當，完全無法啟動windows進到桌面，請問我該如何使那台電腦能夠執行這兩個程式呢？ 謝謝.

YAHOO搜尋引擎找Malwarebytes這個免費軟體
先清掉API HOOK的問題在看安全模式能進嗎
這個軟體還不盡完善但還夠用
安裝完更新後可能會變亂碼
到右上第3格改成正體中文在掃描
可能要清2次...怪怪的
有些查到的API HOOK機碼要第2次才清的掉
清完後再用ICLEAN看看能動嗎

建議您註冊史萊姆...有很多資源能用