locked
1.電腦60秒倒數自動重開機. 2.刪除services.exe後幾乎無法使用......救命啊!! RRS feed

  • 問題

  • 昨天晚上都用的好好的.
    結果今天打開電腦,
    一進入桌面就跳出一個小視窗顯示1分鐘後自動重新開機.
    試了好幾次都一樣.

    後來我看到小視窗寫是因為
    C:\WINDOWS\system32\services.exe
    就把這個程式刪了.

    結果更慘,
    開機後顯示無法順利啟動windows.

    然後我選上一次成功啟動,
    是可以進桌面了,
    但還是幾乎不能用.
    連開檔案總管都要半小時.

    去資源回收筒想把services.exe還原也丟不回去.

    各位大大救命啊!!

    2009年5月13日 上午 03:18

解答

  • HI:
    你可以先用卡巴斯基的試用版
    http://www.kaspersky.com.tw/KL-Downloads/ProductDownloads.htm
    你的HD Tune顯示硬碟應該沒甚麼問題

    1.Trojan-Spy.Win32.Agent.amdz
    請檢查以下路徑
    C:\Documents and Settings\Administrator\「開始」功能表\程式集\啟動
    C:\Documents and Settings\All Users\「開始」功能表\程式集\啟動
    下是否有userinit.exe,有的話請刪除
    C:\WINDOWS\system32\drivers
    下是否有services.exe,有的話請刪除,你之前是刪到正常的services.exe
    C:\Documents and Settings\Administrator
    下是否有svchost.exe,有的話請刪除
    "開始"→"執行"→regedit
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    以上2個位置檢查有沒有userinit.exe、services.exe、svchost.exe,有的話請刪除
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers
    如果有C:\Documents and Settings\Administrator\svchost.exe或C:\WINDOWS\system32\drivers\services.exe請刪除
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    右邊Userinit的值應該只有"C:\WINDOWS\system32\userinit.exe,",請刪除多餘的
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatibility
    刪除右邊的AppCompatCache,然後新增一個一模一樣AppCompatCache為名的二進位值
    "控制台"→"排定的工作",如果有C:\WINDOWS\system32\drivers\services.exe的排程請刪除

    2.Rootkit.Win32.Agent.ikz
    C:\WINDOWS\system32\drivers刪除以下這些檔案
    ati64si.sys、fips32cup.sys、i386si.sys、netsik.sys、nicsk32.sys、systemntmi.sys


    謝謝

     

    • 已標示為解答 咕咕 2009年5月14日 下午 04:06
    2009年5月13日 下午 10:20

所有回覆

  • HI:
    從BIOS調光碟開機,放入XP安裝光碟開機
    然後按R進入修復主控台,輸入以下指令
    copy C:\Windows\system32\dllcache\services.exe C:\Windows\system32\services.exe
    如果C:\Windows\system32\dllcache底下沒有services.exe,請使用一個和你這台XP相同版本,Service Pack版本也相同的光碟開機
    expand X:\I386\services.ex_ C:\Windows\system32\services.exe
    X為你光碟機代號
    還有進入Windows後,如果出現倒數,"開始"→"執行"→"shutdown -a"
    然後檢查是不是有中毒,
    看你出現這麼多問題,請先把目前這顆硬碟移除,找一顆替代的硬碟,暫時把Windows灌在另一顆上面,先使用一個星期看有沒有這些狀況

    謝謝

    2009年5月13日 上午 03:31
  • 請樓主參考IronMouse 的建議或者就直接重灌吧!
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    2009年5月13日 上午 03:44
    版主
  • 病毒利用Services.exe這個系統檔來啟動自身,
    因此若病毒產生例外錯誤等等狀況時,亦或是自身控制關機程序時
    就會顯示Services.exe 例外。

    而您卻刪除了這個重要系統檔案
    Windows自然不能順利啟動。

    而幾乎不能用的情況
    很可能是病毒佔據了您的CPU使用率。
    因此導致整台電腦運行緩慢

    若可以正常進桌面,
    請先進行掃毒的動作。


    微軟全球最有價值專家(Microsoft Most Valuable Professional) 朱泰銓 Lansea.Chu
    2009年5月13日 上午 04:36
  • 各位好:
    按R進入修復後,

    出現
    1.C:\WINDOWS
    你想要登入哪一個安裝

    但我輸入C,
    卻顯示
    無效的選擇

    所以也無法照IronMouse大的指導輸入
    copy C:\Windows\system32\dllcache\services.exe C:\Windows\system32\services.exe

    另我光碟是很久以前買的,
    安裝後再更新為SP3版,所以光碟版本跟電腦的不同.

    最後請問,
    在資源回收筒下有看到被刪除的services.exe
    但想還原卻不成功,怎麼會這樣呢?

    如果我將硬碟拔下來到另一台電腦,可以複製回去嗎?
    謝謝.
    2009年5月13日 上午 06:15
  • 你可以拔下來裝到另一台電腦上作複製,
    或者用類似WinPE 的光碟開機進去後,
    把檔案拷貝回去修復。

    不過以你的狀況來說,
    我還是建議砍掉重練比較快,
    因為我上星期才在公司收到外點寄回來的中毒電腦,
    狀況除了不會自動重開外,其餘特徵都跟你的描述很類似,
    考量解毒會花太多時間,我就選擇直接重灌了。
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    2009年5月13日 上午 07:02
    版主
  • 您好:

    有想過是否中毒,
    查到疾風病毒也是會60秒倒數重開機.
    但疾風是會出現藍底白字,
    我的沒有,是跳出小視窗.

    另原本前一天晚上都用的好好的.
    結果第二天一打開電腦就這樣了,
    事先毫無徵狀?....

    2009年5月13日 上午 07:09
  • HI:
    出現
    1.C:\WINDOWS
    你想要登入哪一個安裝

    這邊是要輸入1,再按Enter,請注意不要用九宮格數字鍵那邊輸入

    謝謝

    2009年5月13日 上午 07:11
  • 各位好:

    按R進入修復後,
    我在
    C:\WINDOWS>
    後面輸入IronMouse大的指導的這一串文字,
    copy C:\Windows\system32\dllcache\services.exe C:\Windows\system32\services.exe

    然後就出現
    "已複製一個檔案"

    下面又是
    C:\WINDOWS>

    請問接下來應該要輸入什麼,或如何離開?
    謝謝.
    2009年5月13日 上午 07:47
  • 輸入exit後按enter就會重新開機
    重新開機後在看看有沒有改善囉
    2009年5月13日 上午 08:17
  • 各位好:

    已經可以順利啟動了.很謝謝大家幫忙解決第一個問題.

    但,在安全模式下不會跳出60秒倒數重開機小視窗,
    一般正常模式下就會.

    另,目前60秒完後也不會關機又重開,而是當掉.
    若輸入shutdown -a,小視窗會消失,但也是60秒到了一樣當掉,
    也就無法檢查是不是有中毒.
    這樣仍然在無法使用狀態.......


    p.s.
    請問除了中毒,是否還有其他的可能性,
    爬了一下文說可能是記憶體或電源的問題,
    那請問要如何確認呢?
    謝謝.
    2009年5月13日 上午 08:28
  • 補充一下:

    目前即使正常啟動,
    右下方工具列輸入法的那一塊,
    會變成像安全模式時一樣的灰色.

    然後上面說
    輸入shutdown -a,小視窗會消失,但也是60秒到了一樣當掉,
    連工作管理員都打不開...
    2009年5月13日 上午 08:31
  • 各位好:

    目前使用
    安全模式(含網路功能)

    看起來可以順利操作,
    但一般正常啟動就會跳出60秒倒數重開機小視窗.

    另,用Norton沒有掃到毒.

    已經好太多了,非常謝謝大家!!
    不過還是很希望能用到正常windows.....
    2009年5月13日 上午 09:11
  • 基本上中毒的機率最大
    Norton掃不到的話再裝別套..像是卡巴斯基來掃毒看看(先將norton移除在裝別的防毒)

    另外..你的系統有持續在進行Windows Update嗎?
    2009年5月13日 上午 09:18
  • HI:
    請用memtest86或memtest86+來檢查記憶體
    http://www.memtest86.com/
    http://www.memtest.org/
    作成開機片或開機光碟,然後從裝置開機後,預設不會停,一直讓它執行幾小時,記憶體越大要跑越多時間,看有沒有出現錯誤,詳細使用方法,Google一下應該很多
    還有請使用HD Tune檢查一下硬碟
    http://www.hdtune.com/

    謝謝

    2009年5月13日 上午 09:27
  • 回覆兩位大大:


    Vincent Lin大
    1.一直都有進行Windows Update ^^
    2.因為還沒去買,所以先用卡巴線上掃毒
       C:\WINDOWS\system32\drivers 這個資料夾有掃到兩個病毒:
       Trojan-Spy.Win32.Agent.amdz、Rootkit.Win32.Agent.ikz 
       請問這些檔先不管它,等明後天買來正式版再處理,還是應該先刪除?


    IronMouse
    1.memtest86因為在掃毒所以這個還沒弄,未來跑完後再請您指導.
    2.HD Tune:已檢查.但請問要看什麼資料呢?
       有一個Health是顯示OK.
       這台電腦已買近3年,有一個地方是顯示跑了6000小時.
       ERROR SCAN 都是綠色方塊,是指正常無壞軌嗎?


    謝謝熱心幫忙的各位大人~
    2009年5月13日 下午 04:58
  • HI:
    你可以先用卡巴斯基的試用版
    http://www.kaspersky.com.tw/KL-Downloads/ProductDownloads.htm
    你的HD Tune顯示硬碟應該沒甚麼問題

    1.Trojan-Spy.Win32.Agent.amdz
    請檢查以下路徑
    C:\Documents and Settings\Administrator\「開始」功能表\程式集\啟動
    C:\Documents and Settings\All Users\「開始」功能表\程式集\啟動
    下是否有userinit.exe,有的話請刪除
    C:\WINDOWS\system32\drivers
    下是否有services.exe,有的話請刪除,你之前是刪到正常的services.exe
    C:\Documents and Settings\Administrator
    下是否有svchost.exe,有的話請刪除
    "開始"→"執行"→regedit
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    以上2個位置檢查有沒有userinit.exe、services.exe、svchost.exe,有的話請刪除
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers
    如果有C:\Documents and Settings\Administrator\svchost.exe或C:\WINDOWS\system32\drivers\services.exe請刪除
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    右邊Userinit的值應該只有"C:\WINDOWS\system32\userinit.exe,",請刪除多餘的
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatibility
    刪除右邊的AppCompatCache,然後新增一個一模一樣AppCompatCache為名的二進位值
    "控制台"→"排定的工作",如果有C:\WINDOWS\system32\drivers\services.exe的排程請刪除

    2.Rootkit.Win32.Agent.ikz
    C:\WINDOWS\system32\drivers刪除以下這些檔案
    ati64si.sys、fips32cup.sys、i386si.sys、netsik.sys、nicsk32.sys、systemntmi.sys


    謝謝

     

    • 已標示為解答 咕咕 2009年5月14日 下午 04:06
    2009年5月13日 下午 10:20
  • 各位好:

    不好意思隔這麼久才回覆,
    因為今天等防毒軟體掃毒過後才上來回.

    首先非常謝謝IronMouse及其他大大,
    配合I大的指導及卡巴,現在已經可以進入一般正常的windows,
    不會60秒倒數重開機了.
    在這裡拜謝!!(跪)

    只是好像還有一些問題,麻煩各位有空的話再幫我看一下:

    1.I大原文:
    >HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers
    >如果有C:\Documents and Settings\Administrator\svchost.exe或C:\WINDOWS\system32\drivers\services.exe請刪除

    請問:上面兩個已刪除.還有四個分別如下,也需要刪嗎?
    C:\Documents and Settings\Administrator\「開始」功能表\程式集\啟動\userinit.exe
    C:\Documents and Settings\使用者名稱\「開始」功能表\程式集\啟動\userinit.exe
    C:\Documents and Settings\使用者名稱\svchost.exe
    C:\Documents and Settings\LocalService\svchost.exe


    2.I大原文:
    >Rootkit.Win32.Agent.ikz 
    >C:\WINDOWS\system32\drivers刪除以下這些檔案
       ati64si.sys、fips32cup.sys、i386si.sys、netsik.sys、nicsk32.sys、systemntmi.sys

    請問:列出的全已刪除,但這三個檔案沒有,有關係嗎 i386si.sys、netsik.sys、nicsk32.sys?


    3.可以用後還是不放心,爬了一下文跑到事件檢視器去看,發現有顯示兩個錯誤:
       Task Scheduler 服務無法啟動
       WDelMgr20 服務無法啟動

    請問:不知道這兩個是做什麼的? 無法啟動有關係嗎?


    最後再次謝謝 * * ~  * *\(^0^)/** * * ~* *

    2009年5月14日 下午 04:05
  • HI:
    那4個都要刪除
    沒有你說的那3個檔案沒關係,原本就不該有

    謝謝

    2009年5月14日 下午 04:12
  • 您好:
    謝謝您.已刪除了.


    不好意思,還有最後一個問題:

    Task Scheduler 服務無法啟動
    有關係嗎?

    我到系統管理工具去看,
    它是寫 
    執行檔所在路徑:
    C:\WINDOWS\system32\drivers\services.exe

    不知是否因昨天掃毒刪除此檔案的關係.
    如果不要緊我就不理它了,
    但還是跟您確定一下比較安心.
    謝謝.

    2009年5月14日 下午 06:44
  • HI:
    那是錯誤的路徑
    到別台正常電腦下,"開始"→"執行"→"regedit",匯出以下位置機碼
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule
    然後到這台電腦,先把原本Services下的Schedule機碼刪除,再執行reg檔匯入

    謝謝

    2009年5月14日 下午 11:18
  • 您好.
    Schedule下還有好幾個資料夾及好幾個檔案/機碼(?)
    請問是全部刪除嗎?
    謝謝.
    2009年5月15日 上午 07:01
  • HI:
    對,刪除Schedule全部,包含其下的Enum、Parameters、Security

    謝謝

    2009年5月15日 上午 09:27
  • 您好:
    已經借到一台電腦匯出reg檔了,
    很謝謝您多次的耐心回答.


    不好意思,可以再請問一個問題嗎:

    WDelMgr20 服務無法啟動,又是什麼呢?

    已爬文,網
    路上有人說是因為安裝過FinalData的關係,以前的確曾安裝過但現在已刪除.

    如果不要緊我就不理它了,
    但還是跟您確定一下比較安心.
    謝謝.
    2009年5月15日 下午 09:09
  • HI:
    "我的電腦"右鍵"管理"→"服務"
    找到WDelMgr20這項服務,"執行檔所在路徑"應該是在C:\WINDOWS\System32\drivers\WDelMgr20.exe,把"啟動類型"改成"已停用"
    如果你要移除值這樣服務,記下"服務名稱","開始"→"執行"→"regedit"到以下位置
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
    找到那項服務名稱的機碼,整個刪除(資料夾圖示的,資料夾名稱是那個服務名稱)

    謝謝

    2009年5月16日 上午 12:53
  • 您好:

    測試過後發現果然不會再出現無法啟動了.
    謝謝您一連串細心的回答 ^_^
    2009年5月16日 下午 03:44