在任务管理器里,一个叫kavsvc.exe的文件
在任务管理器里,一个叫kavsvc.exe的文件竟然cpu占有率高达90%,怎么办?这是一个什么文件?是中毒了吗?只是我在网上搜的,还是不会。。。。
木马行为:运行安装程序后,创建:
C:windowssystemkavsvc.exe
临时文件夹里一大堆小文件.
利用net 命令与services.exe创建一个服务:
在HijackThis日志里表现为:
O23 - Service: Distributed Link Tracking Clientr (dltc1) - Unknown owner - C:windowssystemkavsvc.exe
也创建了一个驱动:(Autoruns报)
HKLMSystemCurrentControlSetServices
+ dltc1 c:windowssystemkavsvc.exe
并试图访问网络.
清除方法:
结束C:windowssystemkavsvc.exe
开始-运行输入regedit,打开注册表编辑器,定位到HKEY_LOCAL_MACHINE SYSTEM CURRENTCONTROLSET SERVICES分支,删除左栏中的病毒服务名
重启系统,清空临时文件夹,并将
C:windowssystemkavsvc.exe
删除$郁闷$ 不知道怎么操作
还是不会。。。
系统还原是关着着,来到安全模式下。第一步要做的是清除病毒文件,在C:\WINDOWS\system下果然找到了kavsvc.exe,删除成功。为防止有其他保护进程和文件,我仔细查看了Windows和system32下文件,还好,并没有。第二步,注册表清除。打开注册表,首先是查找 kavsvc.exe,由于和卡巴的进程同名,所以搜索后要注意一下路径,发现注册表值是C:\WINDOWS\system\kavsvc.exe的,一个不留。再次搜索Distributed Link Tracking Clientr,也全删。九纹龙:这里有两个小技巧。第一个是在查看文件的时候,读者会问WINDOWS文件夹下有那么多文件,怎么查?不急,请按时间先排序,记住打开系统保护和隐藏文件。这时候就一目了然了,对于那些被隐藏的中招时间左右生成的特别是可执行的文件,特别注意。第二个是在删除注册表值时会出现无法删除的情况,这时候只要修改一下权限就能够删除了。
清理完全后,重启,发现C:\WINDOWS\system下已没有kavsvc.exe 文件,说明木马没有其他保护进程。再查看服务,Distributed Link Tracking Clientr也没有了。安全起见,再用ewido 查杀一遍,没有木马发现。OK,继续去找合金弹头4去了。
我在C:\WINDOWS\system下没找到kavsvc.exe。。。。$frage$ $郁闷$
[ 本帖最后由 beatrice2006 于 2007-5-25 20:02 编辑 ] kavsvc.exe不是卡巴斯基antivirus服务吗$考虑$ 原帖由 one 于 2007-5-25 22:03 发表 http://www.dolc.de/forum/images/common/back.gif
kavsvc.exe不是卡巴斯基antivirus服务吗$考虑$
$握手$ $握手$ $握手$
好像是的$考虑$ 如果这个文件是在windows\system下找到的,就一定是个木马了。
如果不是,大可不必担心,卡巴斯基的杀毒进程而已。不知道楼主电脑配置如何,这个东西看看开机占不了太多内存,要是发起威来,比较低端的CPU动不动就是90%以上,我也是吃不消才最后弃用他的。
[ 本帖最后由 chickenlittle 于 2007-6-18 08:06 编辑 ] 原帖由 chickenlittle 于 2007-6-17 18:50 发表 http://www.dolc.de/forum/images/common/back.gif
如果这个文件是在windows\system下找到的,就一定是个木马了。
如果不是,大可不必担心,卡巴斯基的杀毒进程而已。不知道楼主电脑配置如何,这个东西看看开机占不了太多内存,要是发起威来,比较低端的CPU动不 ...
关掉它的自动扫描功能就没问题了。 原帖由 live 于 2007-6-18 20:12 发表 http://www.dolc.de/forum/images/common/back.gif
关掉它的自动扫描功能就没问题了。
你是指后台自动监控吧,也是个办法,不过杀毒软件的功能就去掉一大半了。关键是卡巴杀毒事无巨细,我装了Visual Studio 2005,里面n多CHM文件,只看见它把里面所有的htm文件一个个解压缩查毒,看得我那个汗流浃背$汗$
页:
[1]