也许你突然会发现自己干净的系统进程列表里突然出现了一个klwtblfs.exe进程,很多时候又无法结束此进程。直接的说,此进程危害不大,与卡巴斯基相关。
klwtblfs.exe这个进程和浏览器的卡巴斯基组件有关,FireFox 或IE都有见到。安装卡巴之后,FireFox工具栏的最右边有个卡巴斯基的图标,打开菜单“工具”-“附加组件”,会显示“Kaspersky URL Advisor”组件已经开启,此时任务管理器中会有klwtblfs.exe进程。如果在Firefox的菜单“工具”-“附加组件”中禁止或卸载 “Kaspersky URL Advisor”,重启Firefox,任务管理器中不会再有klwtblfs.exe。
对于IE浏览器,运行IE如果启动FilterBHO Class也会有klwtblfs.exe进程。卡巴斯基2010在IE浏览器中有4个插件,klwtblfs.exe进程和FilterBHO Class插件有关,其它3个无所谓。只要启用FilterBHO Class插件,klwtblfs.exe进程就会出现。wWw.ItcomPUTeR.Com.cN
运行Chrome、Opera也任务管理器中也不会klwtblfs.exe进程。 klwtblfs.exe进程从卡巴斯基2010才有的,卡巴斯基2009及以前的版本应该是没有这个进程的,目前只限Firefox或IE才会有,基于IE内核的浏览器也不会有这个进程。
如何清除KL木马
读者来信:我的电脑被幕后黑手操纵了,每次打开IE都会弹出软件安装窗口,接着就开始运行自动化的安装过程。在打开IE的时候,还会弹出XP防火墙的提示窗口。我怀疑是最近闪存盘病毒,可是右键单击盘符却没有发现Auto之类的命令。www.sq120.com推荐文章
重新安装系统后,我仍然无法清除该病毒。每次都无法双击或者右键单击打开D盘。请问《电脑报》的安全专家,是什么幽灵控制了我的电脑?我应该怎么办?
安全专家:根据读者来信反映的情况,我们知道这是目前猖狂作案的KL木马下载器在搞鬼。相比起普通的闪存病毒,其侵害手段更加隐秘,一般电脑初学者无法通过重装来清除。
感染该病毒后,病毒会插入IE进程和Explorer进程来下载流氓软件,XP防火墙会弹出是否连接的窗口。显而易见,病毒是以DLL的形式插入进程来进行破坏的,而病毒的初始程序是可执行文件。
该病毒运行后会尝试感染EXE可执行文件。某些文件特别是一些软件的安装包、电子书等,被该病毒感染后会出现错误,无法正常使用。
采用常规的闪存盘病毒的清理方法,并不能完全清除KL木马下载器。KL木马下载器并不在右键菜单添加“Auto”命令,这会麻痹部分用户,其实该病毒在双击打开磁盘分区时就运行了,病毒就隐藏在分区的RECYCLER目录即回收站下,而病毒的autorun.inf文件的技术含量也大为提高。
从病毒代码中,我们发现右键菜单的“打开”和“资源管理器”命令其实是执行病毒程序,默认的双击的结果也是运行病毒。难怪用户无法发现病毒在自动运行,这也是多次重装后仍然让病毒逍遥法外的重要原因。
KL木马下载器全面清除方案
方案一:菜鸟清除法
首先,重装系统,完成后不要打开任何磁盘直接进入“我的电脑”,选择“工具→文件夹选项”命令,点击“查看”选项,在“隐藏文件和文件夹”下选择“显示所有文件和文件夹”选项,这样就可以让隐藏的病毒文件现身了。
然后,右击“我的电脑”选择“资源管理器”命令,在打开的资源管理器中检查非系统盘符下的RECYCLER(是隐藏属性)中是否有Autosetup.exe,如果有的话就进行删除,接着回到根目录删除autorun.inf文件。
一定要仔细检查所有盘符下的该目录,做到彻底清除病毒文件。最后再安装杀毒软件,修复被病毒感染的文件。
方案二:高手歼灭法
第一步:重启系统,按F8进入安全模式。使用《超级巡警》终止病毒创建的进程Services.exe、inini.exe、meecall.exe、UUSeePlayer.exe。然后删除下载的流氓软件安装包和病毒进程的文件(如C:\windows\services.exe)。
第二步:使用《冰刃》删除盘符下的autorun.inf文件、Autosetup.exe文件。这样就可以防止再次运行病毒了。
第三步:打开System Repair Engineer,进入“启动项目”选项,可以看到很多非法启动项目。选中meecall、swg、KernelFaultCheck、OSSelectReinstal、Windowsupdate、SmCtrlDrv、IdnSvr、tzc02,0,tzchange.exe /F Pacific SA Standard Time /S 10 6 2 23 59 59 999 /E 3 6 2 23 59 59 999 /G、IFEo[Explorer.exe]等删除。
还要记得删除启动程序目录下的相关文件,然后进入“系统修复”选项,选择“浏览器加载项”删除流氓软件的BHO、Activex等项目。
第四步:重新启动系统发现已经恢复正常了。不过,你会发现双击或者右键单击打开感染过病毒的盘符,会出现查找病毒文件而无法正常进入的情况,这是因为病毒自动运行的信息还在注册表里。
我们需要打开注册表编辑器进行修复,进入“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f39bd44e-53b7-11dc-8145-806d6172696f}”项,删除下面的shell子项即可恢复正常了(如图)。
预防技巧
KL木马下载器是一种闪存盘病毒,用户可以安装《U盘病毒免疫器》(下载地址:http://www.cpcw.com/bzsoft/)之类的安全工具进行预防。此外,我们还需要经常给系统打补丁,用《卡卡上网助手》的IE防漏墙功能来防范木马程序的自动运行。
From:http://www.itcomputer.com.cn/Article/Security/201309/1239.html