用KV2008殺除未知病毒指南和實踐

gao0907

用KV2008殺除未知病毒指南和實踐
如今都注重殺軟的防御能力和自身與病毒周旋對抗的能力。當然未知病毒的檢出率高的好處顯而易見，比較省事，最適合怕麻煩或不熟悉電腦的用戶（不過有時對付誤報也不省事）。現(xiàn)在的殺軟風格百花齊放，各有側(cè)重，各有長短，選一款適合自己和自己機子的吧，比來比去沒意思，以自己電腦的最終安全為最終目標~~~

    下面來測試一下，正好昨天隨便搜集了100個左右KV2008檢測不出的病毒，其中有個卡飯最新的測試包含279個，KV殺了197個（截止到20日紅傘273、卡7高啟發(fā)236、NOD32-164、Sophos 257、熊貓161、BD186、蜘蛛191、McAfee個人版176。。。。NOD32檢出164個，你們是相信這個還是相信VB100呢？或者都不相信？該怎么分析呢？呵呵）KV殺剩的88個+幾個最新的零碎共100個（今天KV升級后殺了3個零碎，其中有個AUTO.EXE。目前不到100個了），如圖：


測試方法：運行，出現(xiàn)主動防御提示后，一般動作（如運行程序，創(chuàng)建文件等不易判斷的動作）放行；危險動作（如提示注入XXXX進程）攔截操作。然后用KV檢測清除(不借助其他任何工具)。現(xiàn)在KV的主動防御提示比07有進步，有些危險動作的提示語比較嚴厲，不熟悉電腦的用戶嚇也嚇的點禁止了，但我建議點結(jié)束進程，呵呵~~

有一類病毒，或免殺或加殼，掃不出，但一運行即被秒殺，這一類我個人認為和直接檢出無本質(zhì)的區(qū)別。如這幾個

無法運行,因為剛運行就被殺了

這個剛釋放文件就被殺了


呵呵,仔細比較一下這兩個提示??

一釋放就被殺
對于這些,開始沒檢出有什么呢?
再運行一個

允許,但沒有其他動作,看進程,危險度55%,不是好東西,但卻找不到生成的123.EXE(隱藏屬性),用KV系統(tǒng)檢測里的隱藏文件檢測也找不到,要把123的進程結(jié)束后才能找出來(這個功能需要加強?)


KV的進程查看器幫助找出了可疑,在系統(tǒng)文件夾中生成隱藏屬性文件的基本都是病毒行為.

來個AUTO病毒

運行fast.exe,會有2~3個創(chuàng)建文件的動作,允許~~

接下來,出現(xiàn)注入系統(tǒng)進程的提示

注意:非常危險!KV的提示框提示建議"總是禁止",但從我?guī)状蔚膶嵺`表明,禁止是不夠的,應(yīng)該建議結(jié)束進程,以此病毒為例,如果結(jié)束進程,一切恢復(fù)平靜.如果禁止,才有了下面的故事(這個病毒后來我又試二次,結(jié)果卻不太一樣,一次在提示注入系統(tǒng)進程時點的禁止,卻成功了;一次允許,接下來的故事反倒沒有如下的多,沒創(chuàng)建那么多AUTORUN,也沒讓我點到手酸,后來看進程,可疑進程只有一個了,可疑度卻達到了100%）




省了N多圖,不停的創(chuàng)建,點到手酸,一邊創(chuàng)建,KV一邊殺,殺了無數(shù)的AUTORUN,病毒終于排泄完了(其實就是拼命的建D971A7BE.EXE這個文件,卻建不起),檢查一下

每個盤下有AUTO.EXE,無法顯示隱藏文件,開始清除



KV的未知病毒掃描確實是反毒的利器,加入樣本庫后再殺,病毒文件基本肅清,用系統(tǒng)診斷把病毒的一個服務(wù)找到并刪除,清理一下垃圾,完畢