Kvmon.exe遠程控制病毒清除指南

文件名稱：Kvmon.exe 文件大小：412829 byte 一款遠程控制病毒 AV命名：

金山毒霸（Win32.Troj.Unknown.a.412826）

AVG（Generic9.AQHK）

安博士V3（Win-Trojan/Hupigon.Gen）


加殼方式：未


編寫語言：Delphi


文件MD5：a79d8dddadc172915a3603700f00df8c


病毒類型：遠程控制


行爲分析：


1、  釋放病毒文件：


C:\WINDOWS\Kvmon.dll  361984 字節

C:\WINDOWS\Kvmon.exe  412829 字節


2、  修改註冊表，開機啓動：


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

(註冊表值) Userinit

REG_SZ, "C:\WINDOWS\system32\userinit.exe," 

修改爲REG_SZ, "C:\windows\system32\userinit.exe,C:\windows\Kvmon.exe –ini


3、  啓動IE進程，並把Kvmon.dll注入其中。


4、  添加註冊表：


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup

(註冊表值) Beizhu = REG_SZ, "上線"

 (註冊表值) Info = REG_SZ, "http://www.5311×0.com/vip/6880579/ip.txt>46821973>上線>遠程上線主機>25>0>1080>guest>123456>"


5、  讀取上述註冊表鍵，反彈連接外部，接受黑客控制。


6、  全部釋放完畢，調用cmd.exe刪除舊文件。


解決方法：


1、  打開任務管理器，結束可見的IE進程（iexplore.exe），後斷開網絡連接。


2、  開始-運行-regedit.exe  打開註冊表到：


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

 (註冊表值) Userinit


點擊修改，修改爲：C:\WINDOWS\system32\userinit.exe,


注意逗號不能省略，如果是2000/NT系統的話，則是：C:\WINnt\system32\userinit.exe,


3、  刪除文件：


C:\WINDOWS\Kvmon.dll  361984 字節

C:\WINDOWS\Kvmon.exe  412829 字節