kv使用心得

gao0907

kv使用心得
今天才注意到的一個,據(jù)說一運行就結束微點、卡巴和瑞星的進程，所以就優(yōu)先試試咯先來認識一下，就是這個N人，運行完成任務后會自殺

果然，一運行，任務欄的紅K馬上不見了，同時發(fā)現(xiàn)無法顯示隱藏的系統(tǒng)文件了，但可以顯示隱藏的文件夾，用來迷惑新手還是可以的



無法殺毒，也看不見病毒文件，你也許會想起第三方工具了，但平時喜歡出風頭混個臉熟的家伙象冰刃、SRENG現(xiàn)在保證昏迷中。。。。看看進程里kvsrvxp.exe還在不在，只要kvsrvxp.exe在，KV就沒死，只要KV沒死，呵呵，不就是外殼沒了嗎？劍還在就行。。。。。。

進入KV的安裝文件夾，運行KVMonXP.kxp啟動KV任務欄圖標，剛恢復即被病毒結束。再試運行kvxp.kxp，出現(xiàn)

這個KV的幫助文檔一閃而過，接著出現(xiàn)kvxp.kxp遇到問題需要關閉的提示，也是一閃而過。 意料之中，接著依次找到并運行KvpViewer.exe（進程查看）、kvdetect.exe（未知掃描）、KVSysCheck.exe（系統(tǒng)診斷）、KVIETools.exe（安全助手）。如果你原來沒有開啟BOOTSCAN，那么還可以找到并運行SetupLd.exe（設置）~~掃描結果如下

注意，LSASS。EXE和SMSS。EXE的用戶名不是SYSTEM，是病毒創(chuàng)建的，那個IE的進程也是病毒啟動的，而且如果用KV安全助手還可以掃出這個IE進程的命令行，指向http://w.c0mo.com/r.htm      發(fā)現(xiàn)這個了，還不斷網？這是常識，先斷網再殺毒。

未知掃描出來后你也可以暫時不去清除，但一定記得先把掃出來的東西確認是毒的加入樣本庫（很重要）

病毒刪除了所有啟動項。。。


還有個比較流行的東西

接下來就好辦了，先結束病毒進程，在進程查看里點選“結束進程并加入黑名單”，有趣的事情出現(xiàn)了，病毒和KV出現(xiàn)了創(chuàng)建和阻止的拉鋸，拉鋸中KV生氣的把新創(chuàng)建的病毒進程的危險度從97%提高到了100%，我?guī)土薑V一把，用系統(tǒng)診斷把病毒的隱藏文件刪掉了（不幫的話KV最后好象也能贏）。

結束病毒進程后，進入KV的文件夾運行KVMonXP.kxp，熟悉的任務欄紅K又回來了，剩下的就是簡單勞動了，未知掃描，加入樣本庫，結束進程，掃描樣本庫，殺樣本，系統(tǒng)診斷，進程、服務、驅動、隱藏文件和注冊表掃描、安全助手掃描等等等，最好重復檢查一下，特別是未知掃描和隱藏文件掃描，多掃幾次，因為有時刪掉部分病毒文件后才掃的出另一部分。

  最后說明一下，這是個文件感染型的病毒，感染后程序圖標會變色，被感染的程序基本都是安全類的小工具，還有壓縮工具和一部分需要連網的程序，幸好感染的不是系統(tǒng)文件。KV無法修復這次病毒對隱藏系統(tǒng)文件的選項的修改（好象是修改了訪問權限？），需要平時的注冊表備份，你備份了嗎？
  KV的自我保護還是很強的，但希望KV的工程師能分析一下病毒結束KV的手段，在自我保護或主動防御上再進一步。病毒刪除了KV的啟動項，我這次沒用自定義規(guī)則，所以不知針對此項自定義是否有效。看卡飯里的報告，有寫入"啟動"文件夾的動作，但我測試時沒有，才想起我系統(tǒng)監(jiān)控里唯一保留的自定義規(guī)則就是禁止寫入"啟動"文件夾，本意是用來對付某些不自覺的正常軟件的，因為病毒用這個是比較弱智的。結果小人沒來，小偷到來了。看來這個自定義規(guī)則還是有效的，其他的不知如何。。。。另外，KV的服務器模式和嚴厲模式對付此毒無效，因為一開始就。。。。。。
  不管怎么樣，病毒清理完了，用KV的機子哪有那么容易掛的，你說是吧？

  補充：挺喜歡這個毒的，因為他不是很亂來，不全盤感染文件，只是按需來選擇性感染，如安全工具，WINRAR，連網的程序，后來用自定義規(guī)則又試了一下，禁止創(chuàng)建自動播放文件，禁止修改文件夾訪問權限（特別是用命令行）等等（還沒試禁止病毒刪除啟動項的規(guī)則），再次運行，文件不再被病毒隱身，手動清除的過程明顯輕松，結論，KV的防御規(guī)則在這種情況下還是有效的~~加上KV已把毒全部入庫，再次查殺就簡單多了，把進程禁止把殺毒界面恢復后殺毒即可，感染的文件可清除~~~結論，1、對于普通用戶，裝個防火墻還是有必要的，殺毒后在沒有清除被感染的文件時可以發(fā)揮作用，除非你知道哪些被感染了卸載重新安裝。2、自定義些規(guī)則或安裝規(guī)則包可以最大限度的保證安全。3、可疑文件上報后，官方積極快速反應非常重要，特別是對付感染文件型的病毒~~