在任务管理器里，一个叫kavsvc.exe的文件

beatrice2006

在任务管理器里，一个叫kavsvc.exe的文件竟然cpu占有率高达90%，怎么办？这是一个什么文件？是中毒了吗？

beatrice2006

木马行为:
运行安装程序后,创建:
C:windowssystemkavsvc.exe
临时文件夹里一大堆小文件.
利用net 命令与services.exe创建一个服务:
在HijackThis日志里表现为:
O23 - Service: Distributed Link Tracking Clientr (dltc1) - Unknown owner - C:windowssystemkavsvc.exe

也创建了一个驱动:(Autoruns报)

HKLMSystemCurrentControlSetServices

+ dltc1 c:windowssystemkavsvc.exe

并试图访问网络.

清除方法:
结束C:windowssystemkavsvc.exe
开始-运行输入regedit,打开注册表编辑器，定位到HKEY_LOCAL_MACHINE SYSTEM CURRENTCONTROLSET SERVICES分支，删除左栏中的病毒服务名[dltc1]
重启系统,清空临时文件夹,并将
C:windowssystemkavsvc.exe
删除$郁闷$ 不知道怎么操作

beatrice2006

系统还原是关着着，来到安全模式下。第一步要做的是清除病毒文件，在C:\WINDOWS\system下果然找到了kavsvc.exe，删除成功。为防止有其他保护进程和文件，我仔细查看了Windows和system32下文件，还好，并没有。第二步，注册表清除。打开注册表，首先是查找 kavsvc.exe，由于和卡巴的进程同名，所以搜索后要注意一下路径，发现注册表值是C:\WINDOWS\system\kavsvc.exe的，一个不留。再次搜索Distributed Link Tracking Clientr，也全删。

九纹龙：这里有两个小技巧。第一个是在查看文件的时候，读者会问WINDOWS文件夹下有那么多文件，怎么查？不急，请按时间先排序，记住打开系统保护和隐藏文件。这时候就一目了然了，对于那些被隐藏的中招时间左右生成的特别是可执行的文件，特别注意。第二个是在删除注册表值时会出现无法删除的情况，这时候只要修改一下权限就能够删除了。

清理完全后，重启，发现C:\WINDOWS\system下已没有kavsvc.exe 文件，说明木马没有其他保护进程。再查看服务，Distributed Link Tracking Clientr也没有了。安全起见，再用ewido 查杀一遍，没有木马发现。OK，继续去找合金弹头4去了。

我在C:\WINDOWS\system下没找到kavsvc.exe。。。。$frage$ $郁闷$

[ 本帖最后由 beatrice2006 于 2007-5-25 20:02 编辑 ]

one

kavsvc.exe不是卡巴斯基antivirus服务吗$考虑$

ringty

原帖由 one 于 2007-5-25 22:03 发表
kavsvc.exe不是卡巴斯基antivirus服务吗$考虑$

$握手$ $握手$ $握手$
好像是的$考虑$

chickenlittle

如果这个文件是在windows\system下找到的，就一定是个木马了。
如果不是，大可不必担心，卡巴斯基的杀毒进程而已。不知道楼主电脑配置如何，这个东西看看开机占不了太多内存，要是发起威来，比较低端的CPU动不动就是90%以上，我也是吃不消才最后弃用他的。

[ 本帖最后由 chickenlittle 于 2007-6-18 08:06 编辑 ]

live

原帖由 chickenlittle 于 2007-6-17 18:50 发表
如果这个文件是在windows\system下找到的，就一定是个木马了。
如果不是，大可不必担心，卡巴斯基的杀毒进程而已。不知道楼主电脑配置如何，这个东西看看开机占不了太多内存，要是发起威来，比较低端的CPU动不 ...

关掉它的自动扫描功能就没问题了。

chickenlittle

原帖由 live 于 2007-6-18 20:12 发表


关掉它的自动扫描功能就没问题了。

你是指后台自动监控吧，也是个办法，不过杀毒软件的功能就去掉一大半了。关键是卡巴杀毒事无巨细，我装了Visual Studio 2005，里面n多CHM文件，只看见它把里面所有的htm文件一个个解压缩查毒，看得我那个汗流浃背$汗$