故障表现如下:
1. 注册表中多出存在相关项/键值'kdaya.exe'
2. 试图从注册表中删除相关项/键值'kdaya.exe',但会立即恢复
3. 通过msoncifg发现,该文件存储于%system%\windows\system32\kdaya.exe
4. 资源管理器无法找到该文件,%system%\windows\system32\kdaya.exe
5. WINRAR无法找到该文件,%system%\windows\system32\kdaya.exe
6. 安全模式下无法找到该文件,%system%\windows\system32\kdaya.exe
7. 系统分区下,无法创建该文件: 譬如创建记事本文件,并重命名为kdaya.exe,则提示"无法命名文本文档,指定文件与现有文件重名。请指定另一文件名"
8. 其他分区下,无法创建该文件:第一次重命名为kdaya.exe时,当前分区所有文件消失,隐藏文件均消失;第二次创建时结果同上
9. 鼠标单击状态经常被识别为双击状态;
10.经常无故弹出广告,来自‘mtn5.goole.ws’
注册表各位置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\C:\WINDOWS\system32\kdaya.exe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"command"="C:\\WINDOWS\\system32\\kdaya.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C:\\WINDOWS\\system32\\kdaya.exe"="C:\\WINDOWS\\system32\\kdaya.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\360Disabled]
"C:\\WINDOWS\\system32\\kdaya.exe"="rem C:\\WINDOWS\\system32\\kdaya.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="kdaya.exe"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion]
"kdaya.exe"=hex:73,65,00,00,23,30,6a,67,09,7c,72,0f,1f,1b,2a,0b,19,1b,e2,d5,f5,\
bb,80,e2,eb,ea,91,a1,81,fc,bd,86,ad,25,00,00,00
[HKEY_USERS\S-1-5-21-1935655697-1177238915-725345543-500\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\WINDOWS\\system32\\kdaya.exe"="kdaya"
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion]
"kdaya.exe"=hex:73,65,00,00,23,30,6a,67,09,7c,72,0f,1f,1b,2a,0b,19,1b,e2,d5,f5,\
bb,80,e2,eb,ea,91,a1,81,fc,bd,86,ad,25,00,00,00
12 个解决方案
#1
楼主可以先试试IceSword寻找并删除文件kdaya.exe,再删除相关的注册表项
如果还是不行,可以使用WinPE光盘或U盘启动再进行删除操作
如果还是不行,可以使用WinPE光盘或U盘启动再进行删除操作
#2
没遇见过,顶一下,以表支持
#3
up...试试能不能恢复。。。
#4
1、进入dos系统能否删除?
2、可以尝试通过命令行把该文件权限设置为所有用户拒绝访问,行否?
3、把注册表相关位置权限设为所有权限为只读,包括system权限。
4、重启,然后通过命令行删除,行否?
5、删除后再次重启,看是否再次出现,如有,说明还有其他的守护进程,继续查找,如无则继续改回注册表权限,删除注册表信息
6、为以防万一,新建一个该文件名的文件,权限设为2的 权限,360扫描不出来就不要用那个扫了,自己慢慢查其他的细节问题
7、做好防护工作,系统运行一段时间后不再出现可以删除该文件名的文件。
8、第一此看见描述问题这么详尽的,我的方法也许行不通,但试一下无妨
2、可以尝试通过命令行把该文件权限设置为所有用户拒绝访问,行否?
3、把注册表相关位置权限设为所有权限为只读,包括system权限。
4、重启,然后通过命令行删除,行否?
5、删除后再次重启,看是否再次出现,如有,说明还有其他的守护进程,继续查找,如无则继续改回注册表权限,删除注册表信息
6、为以防万一,新建一个该文件名的文件,权限设为2的 权限,360扫描不出来就不要用那个扫了,自己慢慢查其他的细节问题
7、做好防护工作,系统运行一段时间后不再出现可以删除该文件名的文件。
8、第一此看见描述问题这么详尽的,我的方法也许行不通,但试一下无妨
#5
补充一点,先关闭系统上的自动运行功能!
#6
Rootkit。。。很明显了。。。。IceSword或是DarkSpy。。。不过没接触过的人恐怕会比较棘手。。。。
#7
其实吧,建议filemon and process mon把病毒锁定。regmon可以看注册表,三个工具结合,病毒还会不现身?
#8
filemon和regmon都已经被整合到了ProcessMonitor
下载地址:
http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx
不过嘛。。。对于核心驱动是否有效就不好说了。。。
#9
同意楼上的,不过procmon蛮消耗资源的,要合理配置
#10
或许可以简单点解决:
杀毒就像做手术,一个大手术可能分为几个小的。
在安全模式,H-L-M的RUN项把可疑的都去掉
然后用WINDOWS清理助手和360都清理一遍,不用都清理干净(如果可以最好)。
只是为后面的大手术做准备。
用AVG和卡巴的组合杀毒。
不行的话可以考虑各杀两遍。
到此,一般病毒就可以解决了。
如果是非”一般的“这时候你的系统估计也千疮百孔了
建议重做吧
杀毒就像做手术,一个大手术可能分为几个小的。
在安全模式,H-L-M的RUN项把可疑的都去掉
然后用WINDOWS清理助手和360都清理一遍,不用都清理干净(如果可以最好)。
只是为后面的大手术做准备。
用AVG和卡巴的组合杀毒。
不行的话可以考虑各杀两遍。
到此,一般病毒就可以解决了。
如果是非”一般的“这时候你的系统估计也千疮百孔了
建议重做吧
#11
昨天,已经通过IceSword发现该文件,且存在于本地磁盘多处位置;
通过该软件进行逐一删除,但唯独system32目录下kdaya.exe无法删除,且文件体积67kb,其余位置kdaya.exe均可通过IceSword删除,且文件体积0kb。
在注册表中多处位置存在相关键值kdaya.exe,其余位置均可删除,但在Currentversion\run\kdaya.exe无法顺利删除,表现为删除后立即恢复,与system32目录下文件表现一致;
最后尝试切换该宿主系统WIN03,并通过IceSword删除%XP%\windows\system32目录下文件,可以正常删除;
进入XP命令行安全模式,启动注册表编辑器,删除相关项/键值;
重新启动系统,检查,暂时正常,不过昨天没有启动IE,今天再观察一下,如果解决了,将结帖。感谢!
#12
有些病毒文件要是在知情或不知情的情況下﹐可以采用像WINPE這樣的工具直接進入到系統對SYSTEM32和注冊表中的可疑文件一一刪除﹐刪除后再利用殺毒軟件將遺留的文件清理一下。 有很多病毒可能會在服務里面生成啟動項﹐可以直接在正常模式下查看生成服務項的.EXE文件﹐進入安全模式刪除也行。
#1
楼主可以先试试IceSword寻找并删除文件kdaya.exe,再删除相关的注册表项
如果还是不行,可以使用WinPE光盘或U盘启动再进行删除操作
如果还是不行,可以使用WinPE光盘或U盘启动再进行删除操作
#2
没遇见过,顶一下,以表支持
#3
up...试试能不能恢复。。。
#4
1、进入dos系统能否删除?
2、可以尝试通过命令行把该文件权限设置为所有用户拒绝访问,行否?
3、把注册表相关位置权限设为所有权限为只读,包括system权限。
4、重启,然后通过命令行删除,行否?
5、删除后再次重启,看是否再次出现,如有,说明还有其他的守护进程,继续查找,如无则继续改回注册表权限,删除注册表信息
6、为以防万一,新建一个该文件名的文件,权限设为2的 权限,360扫描不出来就不要用那个扫了,自己慢慢查其他的细节问题
7、做好防护工作,系统运行一段时间后不再出现可以删除该文件名的文件。
8、第一此看见描述问题这么详尽的,我的方法也许行不通,但试一下无妨
2、可以尝试通过命令行把该文件权限设置为所有用户拒绝访问,行否?
3、把注册表相关位置权限设为所有权限为只读,包括system权限。
4、重启,然后通过命令行删除,行否?
5、删除后再次重启,看是否再次出现,如有,说明还有其他的守护进程,继续查找,如无则继续改回注册表权限,删除注册表信息
6、为以防万一,新建一个该文件名的文件,权限设为2的 权限,360扫描不出来就不要用那个扫了,自己慢慢查其他的细节问题
7、做好防护工作,系统运行一段时间后不再出现可以删除该文件名的文件。
8、第一此看见描述问题这么详尽的,我的方法也许行不通,但试一下无妨
#5
补充一点,先关闭系统上的自动运行功能!
#6
Rootkit。。。很明显了。。。。IceSword或是DarkSpy。。。不过没接触过的人恐怕会比较棘手。。。。
#7
其实吧,建议filemon and process mon把病毒锁定。regmon可以看注册表,三个工具结合,病毒还会不现身?
#8
filemon和regmon都已经被整合到了ProcessMonitor
下载地址:
http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx
不过嘛。。。对于核心驱动是否有效就不好说了。。。
#9
同意楼上的,不过procmon蛮消耗资源的,要合理配置
#10
或许可以简单点解决:
杀毒就像做手术,一个大手术可能分为几个小的。
在安全模式,H-L-M的RUN项把可疑的都去掉
然后用WINDOWS清理助手和360都清理一遍,不用都清理干净(如果可以最好)。
只是为后面的大手术做准备。
用AVG和卡巴的组合杀毒。
不行的话可以考虑各杀两遍。
到此,一般病毒就可以解决了。
如果是非”一般的“这时候你的系统估计也千疮百孔了
建议重做吧
杀毒就像做手术,一个大手术可能分为几个小的。
在安全模式,H-L-M的RUN项把可疑的都去掉
然后用WINDOWS清理助手和360都清理一遍,不用都清理干净(如果可以最好)。
只是为后面的大手术做准备。
用AVG和卡巴的组合杀毒。
不行的话可以考虑各杀两遍。
到此,一般病毒就可以解决了。
如果是非”一般的“这时候你的系统估计也千疮百孔了
建议重做吧
#11
昨天,已经通过IceSword发现该文件,且存在于本地磁盘多处位置;
通过该软件进行逐一删除,但唯独system32目录下kdaya.exe无法删除,且文件体积67kb,其余位置kdaya.exe均可通过IceSword删除,且文件体积0kb。
在注册表中多处位置存在相关键值kdaya.exe,其余位置均可删除,但在Currentversion\run\kdaya.exe无法顺利删除,表现为删除后立即恢复,与system32目录下文件表现一致;
最后尝试切换该宿主系统WIN03,并通过IceSword删除%XP%\windows\system32目录下文件,可以正常删除;
进入XP命令行安全模式,启动注册表编辑器,删除相关项/键值;
重新启动系统,检查,暂时正常,不过昨天没有启动IE,今天再观察一下,如果解决了,将结帖。感谢!
#12
有些病毒文件要是在知情或不知情的情況下﹐可以采用像WINPE這樣的工具直接進入到系統對SYSTEM32和注冊表中的可疑文件一一刪除﹐刪除后再利用殺毒軟件將遺留的文件清理一下。 有很多病毒可能會在服務里面生成啟動項﹐可以直接在正常模式下查看生成服務項的.EXE文件﹐進入安全模式刪除也行。