kv使用心得

gao0907

kv使用心得
今天才注意到的一個(gè),據(jù)說(shuō)一運(yùn)行就結(jié)束微點(diǎn)、卡巴和瑞星的進(jìn)程，所以就優(yōu)先試試咯先來(lái)認(rèn)識(shí)一下，就是這個(gè)N人，運(yùn)行完成任務(wù)后會(huì)自殺

果然，一運(yùn)行，任務(wù)欄的紅K馬上不見(jiàn)了，同時(shí)發(fā)現(xiàn)無(wú)法顯示隱藏的系統(tǒng)文件了，但可以顯示隱藏的文件夾，用來(lái)迷惑新手還是可以的



無(wú)法殺毒，也看不見(jiàn)病毒文件，你也許會(huì)想起第三方工具了，但平時(shí)喜歡出風(fēng)頭混個(gè)臉熟的家伙象冰刃、SRENG現(xiàn)在保證昏迷中。。。。看看進(jìn)程里kvsrvxp.exe還在不在，只要kvsrvxp.exe在，KV就沒(méi)死，只要KV沒(méi)死，呵呵，不就是外殼沒(méi)了嗎？劍還在就行。。。。。。

進(jìn)入KV的安裝文件夾，運(yùn)行KVMonXP.kxp啟動(dòng)KV任務(wù)欄圖標(biāo)，剛恢復(fù)即被病毒結(jié)束。再試運(yùn)行kvxp.kxp，出現(xiàn)

這個(gè)KV的幫助文檔一閃而過(guò)，接著出現(xiàn)kvxp.kxp遇到問(wèn)題需要關(guān)閉的提示，也是一閃而過(guò)。 意料之中，接著依次找到并運(yùn)行KvpViewer.exe（進(jìn)程查看）、kvdetect.exe（未知掃描）、KVSysCheck.exe（系統(tǒng)診斷）、KVIETools.exe（安全助手）。如果你原來(lái)沒(méi)有開(kāi)啟BOOTSCAN，那么還可以找到并運(yùn)行SetupLd.exe（設(shè)置）~~掃描結(jié)果如下

注意，LSASS。EXE和SMSS。EXE的用戶(hù)名不是SYSTEM，是病毒創(chuàng)建的，那個(gè)IE的進(jìn)程也是病毒啟動(dòng)的，而且如果用KV安全助手還可以?huà)叱鲞@個(gè)IE進(jìn)程的命令行，指向http://w.c0mo.com/r.htm      發(fā)現(xiàn)這個(gè)了，還不斷網(wǎng)？這是常識(shí)，先斷網(wǎng)再殺毒。

未知掃描出來(lái)后你也可以暫時(shí)不去清除，但一定記得先把掃出來(lái)的東西確認(rèn)是毒的加入樣本庫(kù)（很重要）

病毒刪除了所有啟動(dòng)項(xiàng)。。。


還有個(gè)比較流行的東西

接下來(lái)就好辦了，先結(jié)束病毒進(jìn)程，在進(jìn)程查看里點(diǎn)選“結(jié)束進(jìn)程并加入黑名單”，有趣的事情出現(xiàn)了，病毒和KV出現(xiàn)了創(chuàng)建和阻止的拉鋸，拉鋸中KV生氣的把新創(chuàng)建的病毒進(jìn)程的危險(xiǎn)度從97%提高到了100%，我?guī)土薑V一把，用系統(tǒng)診斷把病毒的隱藏文件刪掉了（不幫的話(huà)KV最后好象也能贏）。

結(jié)束病毒進(jìn)程后，進(jìn)入KV的文件夾運(yùn)行KVMonXP.kxp，熟悉的任務(wù)欄紅K又回來(lái)了，剩下的就是簡(jiǎn)單勞動(dòng)了，未知掃描，加入樣本庫(kù)，結(jié)束進(jìn)程，掃描樣本庫(kù)，殺樣本，系統(tǒng)診斷，進(jìn)程、服務(wù)、驅(qū)動(dòng)、隱藏文件和注冊(cè)表掃描、安全助手掃描等等等，最好重復(fù)檢查一下，特別是未知掃描和隱藏文件掃描，多掃幾次，因?yàn)橛袝r(shí)刪掉部分病毒文件后才掃的出另一部分。

  最后說(shuō)明一下，這是個(gè)文件感染型的病毒，感染后程序圖標(biāo)會(huì)變色，被感染的程序基本都是安全類(lèi)的小工具，還有壓縮工具和一部分需要連網(wǎng)的程序，幸好感染的不是系統(tǒng)文件。KV無(wú)法修復(fù)這次病毒對(duì)隱藏系統(tǒng)文件的選項(xiàng)的修改（好象是修改了訪(fǎng)問(wèn)權(quán)限？），需要平時(shí)的注冊(cè)表備份，你備份了嗎？
  KV的自我保護(hù)還是很強(qiáng)的，但希望KV的工程師能分析一下病毒結(jié)束KV的手段，在自我保護(hù)或主動(dòng)防御上再進(jìn)一步。病毒刪除了KV的啟動(dòng)項(xiàng)，我這次沒(méi)用自定義規(guī)則，所以不知針對(duì)此項(xiàng)自定義是否有效。看卡飯里的報(bào)告，有寫(xiě)入"啟動(dòng)"文件夾的動(dòng)作，但我測(cè)試時(shí)沒(méi)有，才想起我系統(tǒng)監(jiān)控里唯一保留的自定義規(guī)則就是禁止寫(xiě)入"啟動(dòng)"文件夾，本意是用來(lái)對(duì)付某些不自覺(jué)的正常軟件的，因?yàn)椴《居眠@個(gè)是比較弱智的。結(jié)果小人沒(méi)來(lái)，小偷到來(lái)了。看來(lái)這個(gè)自定義規(guī)則還是有效的，其他的不知如何。。。。另外，KV的服務(wù)器模式和嚴(yán)厲模式對(duì)付此毒無(wú)效，因?yàn)橐婚_(kāi)始就。。。。。。
  不管怎么樣，病毒清理完了，用KV的機(jī)子哪有那么容易掛的，你說(shuō)是吧？

  補(bǔ)充：挺喜歡這個(gè)毒的，因?yàn)樗�不是很亂來(lái)，不全盤(pán)感染文件，只是按需來(lái)選擇性感染，如安全工具，WINRAR，連網(wǎng)的程序，后來(lái)用自定義規(guī)則又試了一下，禁止創(chuàng)建自動(dòng)播放文件，禁止修改文件夾訪(fǎng)問(wèn)權(quán)限（特別是用命令行）等等（還沒(méi)試禁止病毒刪除啟動(dòng)項(xiàng)的規(guī)則），再次運(yùn)行，文件不再被病毒隱身，手動(dòng)清除的過(guò)程明顯輕松，結(jié)論，KV的防御規(guī)則在這種情況下還是有效的~~加上KV已把毒全部入庫(kù)，再次查殺就簡(jiǎn)單多了，把進(jìn)程禁止把殺毒界面恢復(fù)后殺毒即可，感染的文件可清除~~~結(jié)論，1、對(duì)于普通用戶(hù)，裝個(gè)防火墻還是有必要的，殺毒后在沒(méi)有清除被感染的文件時(shí)可以發(fā)揮作用，除非你知道哪些被感染了卸載重新安裝。2、自定義些規(guī)則或安裝規(guī)則包可以最大限度的保證安全。3、可疑文件上報(bào)后，官方積極快速反應(yīng)非常重要，特別是對(duì)付感染文件型的病毒~~