6,849
社区成员
发帖
与我相关
我的任务
分享XP 如何删除不存在的文件 kdaya.exe?
几周前的误操作导致....疑似病毒
故障表现如下:
1. 注册表中多出存在相关项/键值'kdaya.exe'
2. 试图从注册表中删除相关项/键值'kdaya.exe',但会立即恢复
3. 通过msoncifg发现,该文件存储于%system%\windows\system32\kdaya.exe
4. 资源管理器无法找到该文件,%system%\windows\system32\kdaya.exe
5. WINRAR无法找到该文件,%system%\windows\system32\kdaya.exe
6. 安全模式下无法找到该文件,%system%\windows\system32\kdaya.exe
7. 系统分区下,无法创建该文件: 譬如创建记事本文件,并重命名为kdaya.exe,则提示"无法命名文本文档,指定文件与现有文件重名。请指定另一文件名"
8. 其他分区下,无法创建该文件:第一次重命名为kdaya.exe时,当前分区所有文件消失,隐藏文件均消失;第二次创建时结果同上
9. 鼠标单击状态经常被识别为双击状态;
10.经常无故弹出广告,来自‘mtn5.goole.ws’
彻底解决后,对本帖最有帮助的回复将赠送200分,其余回复着适当加分! 感谢大家协助!
故障表现如下:
1. 注册表中多出存在相关项/键值'kdaya.exe'
2. 试图从注册表中删除相关项/键值'kdaya.exe',但会立即恢复
3. 通过msoncifg发现,该文件存储于%system%\windows\system32\kdaya.exe
4. 资源管理器无法找到该文件,%system%\windows\system32\kdaya.exe
5. WINRAR无法找到该文件,%system%\windows\system32\kdaya.exe
6. 安全模式下无法找到该文件,%system%\windows\system32\kdaya.exe
7. 系统分区下,无法创建该文件: 譬如创建记事本文件,并重命名为kdaya.exe,则提示"无法命名文本文档,指定文件与现有文件重名。请指定另一文件名"
8. 其他分区下,无法创建该文件:第一次重命名为kdaya.exe时,当前分区所有文件消失,隐藏文件均消失;第二次创建时结果同上
9. 鼠标单击状态经常被识别为双击状态;
10.经常无故弹出广告,来自‘mtn5.goole.ws’
彻底解决后,对本帖最有帮助的回复将赠送200分,其余回复着适当加分! 感谢大家协助!
...全文
请发表友善的回复…
发表回复
prcgolf 2008-11-21
- 打赏
- 举报
http://hi.baidu.com/egomoo/blog/item/0bcd9211024c7e78ca80c4c2.html
试试这个
试试这个
Forever_Young 2008-11-18
- 打赏
- 举报
[Quote=引用 11 楼 ccnp_Server 的回复:]
没用,在当事系统认为,该文件根本不存在。但也无法创建新的文件,我不理解创建目录…
[/Quote]
在同一目录下,如果存在同名的文件夹,肯定是不会再允许创建同名的文件了,他这种情况明显是后台创建此文件执行后删掉
没用,在当事系统认为,该文件根本不存在。但也无法创建新的文件,我不理解创建目录…
[/Quote]
在同一目录下,如果存在同名的文件夹,肯定是不会再允许创建同名的文件了,他这种情况明显是后台创建此文件执行后删掉
ccnp_Server 2008-11-18
- 打赏
- 举报
[Quote=引用 10 楼 ljc007 的回复:]
建议8楼的代码 del 命令加个 /f /a 开关
BatchFile code@echo off
del /q /f /a c:\windows\system32\kdaya.exe
md c:\windows\system32\kdaya.exe
md c:\windows\system32\kdaya.exe\kk..\
如果该思路行不通,建议不要在原来的windows系统中继续操作,试试矮人DOS或者PE光盘之类的路线。
[/Quote]
没用,在当事系统认为,该文件根本不存在。但也无法创建新的文件,我不理解创建目录KDAYA.EXE的目的是?PE估计也悬,DOS没试,但值得一试!不过机会暂时没了,昨天换到03用IceSword把文件干掉了,观察中!
建议8楼的代码 del 命令加个 /f /a 开关
BatchFile code@echo off
del /q /f /a c:\windows\system32\kdaya.exe
md c:\windows\system32\kdaya.exe
md c:\windows\system32\kdaya.exe\kk..\
如果该思路行不通,建议不要在原来的windows系统中继续操作,试试矮人DOS或者PE光盘之类的路线。
[/Quote]
没用,在当事系统认为,该文件根本不存在。但也无法创建新的文件,我不理解创建目录KDAYA.EXE的目的是?PE估计也悬,DOS没试,但值得一试!不过机会暂时没了,昨天换到03用IceSword把文件干掉了,观察中!
ljc007 2008-11-18
- 打赏
- 举报
建议8楼的代码 del 命令加个 /f /a 开关
[code=BatchFile]@echo off
del /q /f /a c:\windows\system32\kdaya.exe
md c:\windows\system32\kdaya.exe
md c:\windows\system32\kdaya.exe\kk..\[/code]
如果该思路行不通,建议不要在原来的windows系统中继续操作,试试矮人DOS或者PE光盘之类的路线。
[code=BatchFile]@echo off
del /q /f /a c:\windows\system32\kdaya.exe
md c:\windows\system32\kdaya.exe
md c:\windows\system32\kdaya.exe\kk..\[/code]
如果该思路行不通,建议不要在原来的windows系统中继续操作,试试矮人DOS或者PE光盘之类的路线。
yeah920 2008-11-18
- 打赏
- 举报
学习了.
Forever_Young 2008-11-18
- 打赏
- 举报
在手动操作干不赢HOOK的情况下,可以采取迂回的办法,使用下面的批处理生成一个同名的文件夹试试把这玩意顶住,然后重启再去处理后台的
[code=BatchFile]
@echo off
del /q c:\windows\system32\kdaya.exe
md c:\windows\system32\kdaya.exe
md c:\windows\system32\kdaya.exe\kk..\
[/code]
[code=BatchFile]
@echo off
del /q c:\windows\system32\kdaya.exe
md c:\windows\system32\kdaya.exe
md c:\windows\system32\kdaya.exe\kk..\
[/code]
scz123 2008-11-18
- 打赏
- 举报
先要进行HOOK清理,结束隐藏进程,删除驱动文件,设置不要使用管理员帐号登录,重启后再删除可执行文件
zhm8818 2008-11-17
- 打赏
- 举报
晕死,在你另一个贴里忘了一点,清楚不不必要的系统隐藏服务和莫名其妙的驱动加载项。工作量很大的哦。
icesword是个好东东,但是如果2者都抢占了系统核心的话,能否删除是个未知数。君不见该文件在安全模式下都无法看见么?
以前的灰鸽子也是采用了api拦劫技术让自己在正常模式下看不件,但是在安全模式下就现了原形,而你这个貌似更厉害点。
icesword是个好东东,但是如果2者都抢占了系统核心的话,能否删除是个未知数。君不见该文件在安全模式下都无法看见么?
以前的灰鸽子也是采用了api拦劫技术让自己在正常模式下看不件,但是在安全模式下就现了原形,而你这个貌似更厉害点。
Liv2005 2008-11-17
- 打赏
- 举报
是什么原理的话。。。就是因为他们同样都用了核心驱动。。。从用户态进入了核心态(参考操作系统相关书籍)。。。IceSword或是DarkSpy都是国人开发的很好用的anti-rootkit工具。。。用他们可以查看隐藏的文件和相关注册表信息。。。。。。你那个删掉了又出现。。是因为有其它守护进程和相关驱动在运行。。。要先确认所有的异常文件。。。然后尽量同时清理掉。。。
mjjzg 2008-11-17
- 打赏
- 举报
UP
ccnp_Server 2008-11-17
- 打赏
- 举报
[Quote=引用 1 楼 scz123 的回复:]
有驱动保护
可以利用RKU、ICESWORD等安全工具进行HOOK清理,然后删除隐藏的文件(ICESWORD)
[/Quote]
很感谢你的回复,已经通过你提供的ICESWORD找到KDAYA.EXE,但是删除后会立即恢复...
想了解一下,是什么原理可以通过这个工具发现这个文件?
50分,以表感谢!
有驱动保护
可以利用RKU、ICESWORD等安全工具进行HOOK清理,然后删除隐藏的文件(ICESWORD)
[/Quote]
很感谢你的回复,已经通过你提供的ICESWORD找到KDAYA.EXE,但是删除后会立即恢复...
想了解一下,是什么原理可以通过这个工具发现这个文件?
50分,以表感谢!
ccnp_Server 2008-11-17
- 打赏
- 举报
注册表各位置:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\C:\WINDOWS\system32\kdaya.exe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"command"="C:\\WINDOWS\\system32\\kdaya.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C:\\WINDOWS\\system32\\kdaya.exe"="C:\\WINDOWS\\system32\\kdaya.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\360Disabled]
"C:\\WINDOWS\\system32\\kdaya.exe"="rem C:\\WINDOWS\\system32\\kdaya.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="kdaya.exe"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion]
"kdaya.exe"=hex:73,65,00,00,23,30,6a,67,09,7c,72,0f,1f,1b,2a,0b,19,1b,e2,d5,f5,\
bb,80,e2,eb,ea,91,a1,81,fc,bd,86,ad,25,00,00,00
[HKEY_USERS\S-1-5-21-1935655697-1177238915-725345543-500\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\WINDOWS\\system32\\kdaya.exe"="kdaya"
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion]
"kdaya.exe"=hex:73,65,00,00,23,30,6a,67,09,7c,72,0f,1f,1b,2a,0b,19,1b,e2,d5,f5,\
bb,80,e2,eb,ea,91,a1,81,fc,bd,86,ad,25,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\C:\WINDOWS\system32\kdaya.exe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"command"="C:\\WINDOWS\\system32\\kdaya.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C:\\WINDOWS\\system32\\kdaya.exe"="C:\\WINDOWS\\system32\\kdaya.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\360Disabled]
"C:\\WINDOWS\\system32\\kdaya.exe"="rem C:\\WINDOWS\\system32\\kdaya.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="kdaya.exe"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion]
"kdaya.exe"=hex:73,65,00,00,23,30,6a,67,09,7c,72,0f,1f,1b,2a,0b,19,1b,e2,d5,f5,\
bb,80,e2,eb,ea,91,a1,81,fc,bd,86,ad,25,00,00,00
[HKEY_USERS\S-1-5-21-1935655697-1177238915-725345543-500\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\WINDOWS\\system32\\kdaya.exe"="kdaya"
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion]
"kdaya.exe"=hex:73,65,00,00,23,30,6a,67,09,7c,72,0f,1f,1b,2a,0b,19,1b,e2,d5,f5,\
bb,80,e2,eb,ea,91,a1,81,fc,bd,86,ad,25,00,00,00
scz123 2008-11-17
- 打赏
- 举报
有驱动保护
可以利用RKU、ICESWORD等安全工具进行HOOK清理,然后删除隐藏的文件(ICESWORD)
可以利用RKU、ICESWORD等安全工具进行HOOK清理,然后删除隐藏的文件(ICESWORD)
