Kvmon.exe远程控制病毒清除指南_病毒查杀

AV命名:

金山毒霸(Win32.Troj.Unknown.a.412826)

AVG(Generic9.AQHK)

安博士V3(Win-Trojan/Hupigon.Gen)

加壳方式:未

编写语言:Delphi

文件MD5:a79d8dddadc172915a3603700f00df8c

病毒类型:远程控制

行为分析:

1、  释放病毒文件:

C:\WINDOWS\Kvmon.dll  361984 字节

C:\WINDOWS\Kvmon.exe  412829 字节

2、  修改注册表,开机启动:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

(注册表值) Userinit

REG_SZ, "C:\WINDOWS\system32\userinit.exe," 

修改为REG_SZ, "C:\windows\system32\userinit.exe,C:\windows\Kvmon.exe –ini

3、  启动IE进程,并把Kvmon.dll注入其中。

4、  添加注册表:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup

(注册表值) Beizhu = REG_SZ, "上线"

 (注册表值) Info = REG_SZ, "http://www.5311×0.com/vip/6880579/ip.txt>46821973>上线>远程上线主机>25>0>1080>guest>123456>"

5、  读取上述注册表键,反弹连接外部,接受黑客控制。

6、  全部释放完毕,调用cmd.exe删除旧文件。

解决方法:

1、  打开任务管理器,结束可见的IE进程(iexplore.exe),后断开网络连接。

2、  开始-运行-regedit.exe  打开注册表到:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

 (注册表值) Userinit

点击修改,修改为:C:\WINDOWS\system32\userinit.exe,

注意逗号不能省略,如果是2000/NT系统的话,则是:C:\WINnt\system32\userinit.exe,

3、  删除文件:

C:\WINDOWS\Kvmon.dll  361984 字节

C:\WINDOWS\Kvmon.exe  412829 字节

时间: 2024-07-31 07:52:29

Kvmon.exe远程控制病毒清除指南_病毒查杀的相关文章

SuperDown.EXE,ShellDown.exe等清除指南_病毒查杀

1. 杀毒前关闭系统还原(Win2000系统可以忽略):右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可.  清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点"删除文件"按钮 ,将 删除所有脱机内容 打勾,点确定删除.  关闭QQ等应用程序. 进入如下的操作前,请不要进行任何双击磁盘的操作.  所有的工具都放桌面上,切记.  2.用强制删除工具 PowerRMV 下载地址: http://post.baidu.

各分区根目录释放shell.exe,autorun.inf 的病毒清除方法_病毒查杀

病毒名:Trojan-psw.Win32.Magania.os 卡巴 Worm.Win32.Delf.ysa 瑞星  文件变化:  释放文件 C:\WINDOWS\system32\Shell.exe C:\WINDOWS\system32\Shell.pci C:\pass.dic 各分区根目录释放 shell.exe autorun.inf autorun.inf内容 [Autorun] OPEN=Shell.exe shellexecute=Shell.exe shell\Auto\com

cdsdf.exe,kl.exe,explorcr.exe等病毒清除方法_病毒查杀

一:问题和症状: 中病毒,其它的病毒文件都好杀.就C:\WINDOWS\system32\cdsdf.exe杀毒软件杀不掉.用PowerRmv杀灭后抑制再生成也没有用.请帮忙解决 二:分析解决: 1. 杀毒前关闭系统还原(Win2000系统可以忽略): 右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可.  清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点"删除文件"按钮 ,将 删除所有脱机内容 打勾,点确定删除

wincfgs.exe病毒清除方法_病毒查杀

病毒文件:wincfgs.exe (c:\windows\system32\wincfgs.exe) 病毒名称:Trojanspy.USBpy.a 介绍:该病毒主要通过U盘传播,带毒的U盘中存在一个autorun.inf自动安装文件和一个回收站类似的文件夹,里面有一个 autorun.exe主文件和一个回收站图标,都是加了一些属性的,并且autorun.exe在windows下是无法显示的,你可以在DOS中用 dir /a命令来看到.  中毒机器上,会在windows目录下产生一个记事本图标的K

Ntdll32.dll病毒清除方法_病毒查杀

准备工作: 下载Rootkit Unhooker 这个软件,需要利用其独特的Unhooker功能.清除步骤: 1.安装Rootkit Unhooker,并记住其安装目录.  2.打开任务管理器,结束进程explorer.exe 3.点任务管理器"文件"--"新建任务"--通过"浏览"打开Rootkit Unhooker: 4.点"SSDT Hooks Detector/Restorer"--找到"mspcidrv.s

机器狗病毒清除方法_病毒查杀

从07年底到现在,机器狗疯狂了好一段时间,对于网吧或机房,以及个人带来很严重的问题. 具体的sreng日志:本文摘略 1.首先将以下两个文件,分别更改名称: Quote: c:\windows\explorer.exe 更改为123.exe c:\windows\system32\userinit.exe更改为456.exe 2.从正常的机器,复制这两个文件,拷贝到对应的目录. 3.下载 "IFEO胁持修复工具": 解压后,运行.如果不行,请下载金山AV终结者专杀修复IFEO胁持. 断

开机CPU就是100%cmd.exe病毒进程清除方法_病毒查杀

发布时间:2007-02-09  中毒症状:      开机CPU就是100%,查进程,原来是cmd.exe 占用了绝大部分的CPU.关闭cmd.exe后,CPU实用率恢复正常.但是再次开机的时候,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU. 1.装了ewido 查杀木马,查出了几个感染目标,已删除.但是今 天早上开机,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU. 2.再装"木马清除专家2006",查杀,结果没有发现木马. 3.查system 3

fun.exe这个病毒在局域网如何有效的查杀

问题描述 fun.exe这个病毒在局域网如何有效的查杀 解决方案 解决方案二:http://download.csdn.net/detail/openeve/5017344fun.exedc.exesviq.exewin.exe专杀工具解决方案三:有用我去试试吧

关于最近出现logo1_.exe基本介绍和清除技巧_病毒查杀

其实呢,大家只需要装个最新的毒霸,基本就不会出现问题,如果你的电脑出现了问题,你一定用了瑞星了,瑞星在这方面的杀毒能力实在有限,建议大家去金山下个毒霸,我以前用瑞星就经常中毒,自从用了毒霸就没见过这样的情况.非广告啊关于 logo1_.exe基本介绍:病毒名称:worm@w32.looked 病毒别名:virus.win32.delf.62976 , w32/hllp.philis.j ,w32.looked  net-worm.win32.zorin.a 病毒型态:worm (网络蠕虫) 病毒