大连理工大学论坛

 找回密码
 注册(开放注册)
搜索
查看: 3382|回复: 0

[其它] kv使用心得

[复制链接]
发表于 2008-4-25 13:24:24 | 显示全部楼层 |阅读模式
kv使用心得
今天才注意到的一个,据说一运行就结束微点、卡巴和瑞星的进程,所以就优先试试咯先来认识一下,就是这个N人,运行完成任务后会自杀

果然,一运行,任务栏的红K马上不见了,同时发现无法显示隐藏的系统文件了,但可以显示隐藏的文件夹,用来迷惑新手还是可以的



无法杀毒,也看不见病毒文件,你也许会想起第三方工具了,但平时喜欢出风头混个脸熟的家伙象冰刃、SRENG现在保证昏迷中。。。。看看进程里kvsrvxp.exe还在不在,只要kvsrvxp.exe在,KV就没死,只要KV没死,呵呵,不就是外壳没了吗?剑还在就行。。。。。。

进入KV的安装文件夹,运行KVMonXP.kxp启动KV任务栏图标,刚恢复即被病毒结束。再试运行kvxp.kxp,出现

这个KV的帮助文档一闪而过,接着出现kvxp.kxp遇到问题需要关闭的提示,也是一闪而过。 意料之中,接着依次找到并运行KvpViewer.exe(进程查看)、kvdetect.exe(未知扫描)、KVSysCheck.exe(系统诊断)、KVIETools.exe(安全助手)。如果你原来没有开启BOOTSCAN,那么还可以找到并运行SetupLd.exe(设置)~~扫描结果如下

注意,LSASS。EXE和SMSS。EXE的用户名不是SYSTEM,是病毒创建的,那个IE的进程也是病毒启动的,而且如果用KV安全助手还可以扫出这个IE进程的命令行,指向http://w.c0mo.com/r.htm      发现这个了,还不断网?这是常识,先断网再杀毒。

未知扫描出来后你也可以暂时不去清除,但一定记得先把扫出来的东西确认是毒的加入样本库(很重要)

病毒删除了所有启动项。。。


还有个比较流行的东西

接下来就好办了,先结束病毒进程,在进程查看里点选“结束进程并加入黑名单”,有趣的事情出现了,病毒和KV出现了创建和阻止的拉锯,拉锯中KV生气的把新创建的病毒进程的危险度从97%提高到了100%,我帮了KV一把,用系统诊断把病毒的隐藏文件删掉了(不帮的话KV最后好象也能赢)。

结束病毒进程后,进入KV的文件夹运行KVMonXP.kxp,熟悉的任务栏红K又回来了,剩下的就是简单劳动了,未知扫描,加入样本库,结束进程,扫描样本库,杀样本,系统诊断,进程、服务、驱动、隐藏文件和注册表扫描、安全助手扫描等等等,最好重复检查一下,特别是未知扫描和隐藏文件扫描,多扫几次,因为有时删掉部分病毒文件后才扫的出另一部分。

  最后说明一下,这是个文件感染型的病毒,感染后程序图标会变色,被感染的程序基本都是安全类的小工具,还有压缩工具和一部分需要连网的程序,幸好感染的不是系统文件。KV无法修复这次病毒对隐藏系统文件的选项的修改(好象是修改了访问权限?),需要平时的注册表备份,你备份了吗?
  KV的自我保护还是很强的,但希望KV的工程师能分析一下病毒结束KV的手段,在自我保护或主动防御上再进一步。病毒删除了KV的启动项,我这次没用自定义规则,所以不知针对此项自定义是否有效。看卡饭里的报告,有写入"启动"文件夹的动作,但我测试时没有,才想起我系统监控里唯一保留的自定义规则就是禁止写入"启动"文件夹,本意是用来对付某些不自觉的正常软件的,因为病毒用这个是比较弱智的。结果小人没来,小偷到来了。看来这个自定义规则还是有效的,其他的不知如何。。。。另外,KV的服务器模式和严厉模式对付此毒无效,因为一开始就。。。。。。
  不管怎么样,病毒清理完了,用KV的机子哪有那么容易挂的,你说是吧?

  补充:挺喜欢这个毒的,因为他不是很乱来,不全盘感染文件,只是按需来选择性感染,如安全工具,WINRAR,连网的程序,后来用自定义规则又试了一下,禁止创建自动播放文件,禁止修改文件夹访问权限(特别是用命令行)等等(还没试禁止病毒删除启动项的规则),再次运行,文件不再被病毒隐身,手动清除的过程明显轻松,结论,KV的防御规则在这种情况下还是有效的~~加上KV已把毒全部入库,再次查杀就简单多了,把进程禁止把杀毒界面恢复后杀毒即可,感染的文件可清除~~~结论,1、对于普通用户,装个防火墙还是有必要的,杀毒后在没有清除被感染的文件时可以发挥作用,除非你知道哪些被感染了卸载重新安装。2、自定义些规则或安装规则包可以最大限度的保证安全。3、可疑文件上报后,官方积极快速反应非常重要,特别是对付感染文件型的病毒~~
您需要登录后才可以回帖 登录 | 注册(开放注册)

本版积分规则

手机访问本页请
扫描左边二维码
         本网站声明
本网站所有内容为网友上传,若存在版权问题或是相关责任请联系站长!
站长联系QQ:7123767   myubbs.com
         站长微信:7123767
请扫描右边二维码
www.myubbs.com

小黑屋|手机版|Archiver|大连理工大学论坛 ( 苏ICP备06050851号 )

GMT+8, 2024-3-29 17:08 , Processed in 0.819602 second(s), 15 queries .

Powered by 高考信息网 X3.3

© 2001-2013 大学排名

快速回复 返回顶部 返回列表