kdeak.exe -- 杀不掉的新病毒 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 kdeak.exe -- 杀不掉的新病毒

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

[已解决] kdeak.exe -- 杀不掉的新病毒

fdjkfdjk 初生襁褓狮帖子:5 注册: 2008-10-25 来自:	发表于： 2008-10-25 23:25 \| 只看楼主短消息资料字号：小中大 1楼 kdeak.exe -- 杀不掉的新病毒此病毒会修改注册表： [\HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache] 类型：String [Value Name] C:\WINDOWS\system32\kdeak.exe [Value Data] 此值被我清空，不记得了 [\HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 类型：String [Value Name] C:\WINDOWS\system32\kdeak.exe [Value Data] C:\WINDOWS\system32\kdeak.exe [\HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 类型：String [Value Name] System [Value Data] kdeak.exe [\HKEY_USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion] 类型：Binary [Value Name] kdeak.exe [Value Data] 此值被我清空，不记得了 [\HKEY_USER\S-1-5-18\Software\Microsoft\Windows\CurrentVersion] 类型：Binary [Value Name] kdeak.exe [Value Data] 此值被我清空，不记得了同时还会修改 [\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{25CD3DF5-8170-48BA-9790-326CCC14042D}] 类型：String [Value Name] DhcpNameServer 和 NameServer [Value Data] 85.255.112.21;85.255.112.134 [\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{25CD3DF5-8170-48BA-9790-326CCC14042D}] 类型：String [Value Name] DhcpNameServer 和 NameServer [Value Data] 85.255.112.21;85.255.112.134 这样我的DNS服务器就被改成了85.255.112.21 但是在C:\WINDOWS\system32\目录下找不到kdeak.exe，并且在C:\WINDOWS\和C:\WINDOWS\system32\目录下找不到可疑的新建文件请大虾相助！用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.0.3) Gecko/2008092417 Firefox/3.0.3 fdjkfdjk 最后编辑于 2008-10-26 00:24:18
fdjkfdjk 初生襁褓狮帖子:5 注册: 2008-10-25 来自:	分享到：

aaccbbdd 卡卡巡查帖子:45933 注册: 2007-11-17 来自:蜀山仙剑派	发表于： 2008-10-25 23:26 \| 短消息资料字号：小中大 2楼回复：kdeak.exe -- 杀不掉的新病毒解决问题需要配合 1.扫日志前建议清理助手清理系统 http://www.arswp.com/download.html 升级清理助手，全盘扫描，只清理高危险项目,其他项目请自己判断同时观察清理助手是否报告系统文件被替换。如清理无效 2.扫日志前关闭无用进程，如QQ，迅雷及播放器程序 3.到官方下载SReng 下载地址 http://www.kztechs.com/sreng/download.html SREng/智能扫描等扫描完成,保存日志(LOG格式) PS：如主程序SREng.exe无法运行,导致无法扫描日志将主程序改名为小狮子.bat 或小狮子.scr 4.为了对病毒准确定位和判断，找出替换文件的病毒，必须同时上传金山清理专家日志下载金山清理专家 http://www.duba.net/qing/ 金山清理专家-在线系统诊断（隐藏安全项）-导出诊断报告-（全选）-导出报告 5.2份日志/报告以附件上传（点击我回的贴的右下角的“引用”，然后就应该知道怎么以附件发了），贴到反病毒/反流氓软件论坛**.已发帖请跟贴，勿另开新帖。如以上工具不能打开或正常运行，短消息call我
aaccbbdd 卡卡巡查帖子:45933 注册: 2007-11-17 来自:蜀山仙剑派

凯尔特魔法拙长孩提狮帖子:87 注册: 2008-07-15 来自:HACK星	发表于： 2008-10-25 23:30 \| 短消息资料字号：小中大 3楼回复: kdeak.exe -- 杀不掉的新病毒在注册表中找到这几个键值并清除： HKLM\SOFTWARE\~\Winlogon\ "System"="kdeak.exe" HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{FEEAD34A-FB16-4E3E-A944-9BA38F5DAEEB} "nameserver"="85.255.114.7,85.255.112.174" HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{6797D951-6951-4C84-9D93-6CEF9DFC1149} "DhcpNameServer"="85.255.114.7,85.255.112.174" 不行的话，用黄山IE修复专家或者windows清理助手清理下~然后刷新DNS缓存，重启计算机即可。~
凯尔特魔法拙长孩提狮帖子:87 注册: 2008-07-15 来自:HACK星

fdjkfdjk 初生襁褓狮帖子:5 注册: 2008-10-25 来自:	发表于： 2008-10-25 23:32 \| 只看楼主短消息资料字号：小中大 4楼回复：kdeak.exe -- 杀不掉的新病毒用诺顿扫描无数次，都没有发现此病毒用360木马专杀大全查杀多次，依然无效以上都是在安全模式下执行的感谢楼上回帖，现在DNS总是被改，无法浏览网页，只好通过另一台机器发贴求助此外，每次将注册表中的键值删除，很快就会被重建我试一下金山清理专家，尽快导出报告
fdjkfdjk 初生襁褓狮帖子:5 注册: 2008-10-25 来自:

fdjkfdjk 初生襁褓狮帖子:5 注册: 2008-10-25 来自:	发表于： 2008-10-25 23:35 \| 只看楼主短消息资料字号：小中大 5楼回复: kdeak.exe -- 杀不掉的新病毒引用: 原帖由凯尔特魔法于 2008-10-25 23:30:00 发表在注册表中找到这几个键值并清除： HKLM\SOFTWARE\~\Winlogon\ "System"="kdeak.exe" HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{FEEAD34A-FB16-4E3E-A944-9BA38F 我通过google仅搜到此一条记录，前两天照此执行后，不影响正常使用，以为只是恶意软件没有在意，今天再删除这些注册表键值不管用了，很快就会被重建。。。
fdjkfdjk 初生襁褓狮帖子:5 注册: 2008-10-25 来自:

aaccbbdd 卡卡巡查帖子:45933 注册: 2007-11-17 来自:蜀山仙剑派	发表于： 2008-10-25 23:36 \| 短消息资料字号：小中大 6楼回复 4F fdjkfdjk 的帖子金山清理专家清理下系统再发报告
aaccbbdd 卡卡巡查帖子:45933 注册: 2007-11-17 来自:蜀山仙剑派

fdjkfdjk 初生襁褓狮帖子:5 注册: 2008-10-25 来自:	发表于： 2008-10-25 23:46 \| 只看楼主短消息资料字号：小中大 7楼回复: kdeak.exe -- 杀不掉的新病毒引用: 原帖由 aaccbbdd 于 2008-10-25 23:26:00 发表解决问题需要配合 1.扫日志前建议清理助手清理系统 http://www.arswp.com/download.html 升级清理助手，全盘扫描，只清理高危险项目,其他项目请自己判断同时观察清理助手是否报告系统文件被替换。如清理无效 2.扫日志前关闭无用进程，如QQ，迅雷及播放器程序附件是金山的报告附件: 文件名:Report.txt 下载次数:184 文件类型:text/plain 文件大小: 上传时间:2008-10-25 23:46:07 描述:txt
fdjkfdjk 初生襁褓狮帖子:5 注册: 2008-10-25 来自:

aaccbbdd 卡卡巡查帖子:45933 注册: 2007-11-17 来自:蜀山仙剑派	发表于： 2008-10-25 23:55 \| 短消息资料字号：小中大 8楼回复：kdeak.exe -- 杀不掉的新病毒 [C:\WINDOWS\system32\kdeak.exe] <C:\WINDOWS\system32\kdeak.exe> 文件路径: C:\WINDOWS\system32\kdeak.exe [文件无法访问] ，貌似就这一个吧操作前强烈要求先断网 1.建议使用XDelBox删除以下文件：(Xdelbox1.8下载地址： http://www.dodudou.com/down/index.php?dirpath=./01.%D4%AD%B4%B4%C8%ED%BC%FE&order=0）使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除(不论文件是否存在，继续操作重启删除 )，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。 C:\WINDOWS\system32\kdeak.exe 金山清理专家-在线系统诊断隐藏安全项修复： [C:\WINDOWS\system32\kdeak.exe] <C:\WINDOWS\system32\kdeak.exe> 文件路径: C:\WINDOWS\system32\kdeak.exe [文件无法访问] 本帖被评分 1 次本帖被评分 1 次
aaccbbdd 卡卡巡查帖子:45933 注册: 2007-11-17 来自:蜀山仙剑派

凯尔特魔法拙长孩提狮帖子:87 注册: 2008-07-15 来自:HACK星	发表于： 2008-10-26 00:04 \| 短消息资料字号：小中大 9楼回复: kdeak.exe -- 杀不掉的新病毒另外，C:\WINDOWS\system32\kdeak.exe 极有可能是被特殊手段隐藏了，例如Rootkit，如果找不到的话，就用“冰刃”的文件查找功能找到，然后删除~
凯尔特魔法拙长孩提狮帖子:87 注册: 2008-07-15 来自:HACK星

fdjkfdjk 初生襁褓狮帖子:5 注册: 2008-10-25 来自:	发表于： 2008-10-26 00:14 \| 只看楼主短消息资料字号：小中大 10楼回复: kdeak.exe -- 杀不掉的新病毒引用: 原帖由 aaccbbdd 于 2008-10-25 23:55:00 发表 [C:\WINDOWS\system32\kdeak.exe] <C:\WINDOWS\system32\kdeak.exe> 文件路径: C:\WINDOWS\system32\kdeak.exe [文件无法访问] ，貌似就这一个吧操作前强烈要求先断网 1.建议使用XDelBox删除以下文件：(Xdelb 按照此法操作成功，强烈感谢aaccbbdd！！！同时也感谢凯尔特魔法的热心帮助 fdjkfdjk 最后编辑于 2008-10-26 00:17:41
fdjkfdjk 初生襁褓狮帖子:5 注册: 2008-10-25 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT