文件名稱:Kvmon.exe
文件大小:412829 byte 一款遠程控制病毒
AV命名:
金山毒霸(Win32.Troj.Unknown.a.412826)
AVG(Generic9.AQHK)
安博士V3(Win-Trojan/Hupigon.Gen)
加殼方式:未
編寫語言:Delphi
文件MD5:a79d8dddadc172915a3603700f00df8c
病毒類型:遠程控制
行爲分析:
1、 釋放病毒文件:
C:\WINDOWS\Kvmon.dll 361984 字節
C:\WINDOWS\Kvmon.exe 412829 字節
2、 修改註冊表,開機啓動:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
(註冊表值) Userinit
REG_SZ, "C:\WINDOWS\system32\userinit.exe,"
修改爲REG_SZ, "C:\windows\system32\userinit.exe,C:\windows\Kvmon.exe –ini
3、 啓動IE進程,並把Kvmon.dll注入其中。
4、 添加註冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup
(註冊表值) Beizhu = REG_SZ, "上線"
(註冊表值) Info = REG_SZ, "http://www.5311×0.com/vip/6880579/ip.txt>46821973>上線>遠程上線主機>25>0>1080>guest>123456>"
5、 讀取上述註冊表鍵,反彈連接外部,接受黑客控制。
6、 全部釋放完畢,調用cmd.exe刪除舊文件。
解決方法:
1、 打開任務管理器,結束可見的IE進程(iexplore.exe),後斷開網絡連接。
2、 開始-運行-regedit.exe 打開註冊表到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
(註冊表值) Userinit
點擊修改,修改爲:C:\WINDOWS\system32\userinit.exe,
注意逗號不能省略,如果是2000/NT系統的話,則是:C:\WINnt\system32\userinit.exe,
3、 刪除文件:
C:\WINDOWS\Kvmon.dll 361984 字節
C:\WINDOWS\Kvmon.exe 412829 字節
Kvmon.exe遠程控制病毒清除指南
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章
各種遠程軟件
zhangzhiyin
2019-02-23 00:15:03
解密後綴phobos勒索病毒 解密成功
染血的精靈
2019-02-24 13:35:07
華爲3COM交換機防病毒策略
god9394
2019-02-24 13:04:19
詳細瞭解查殺病毒的技巧
lichenjing9
2019-02-23 14:06:52
新型病毒可躲過殺毒軟件 已感染7.5萬臺PC
jkxuser
2019-02-23 13:49:04
域內有個病毒,是由X軟件生成的,怎麼刪除?
Hack38
2019-02-23 13:22:24
ARP病毒的分析與防治
fengyinbo923
2019-02-23 13:16:22
txplatform.exe分析及病毒解決
smallCrab2009
2019-02-23 13:10:47
用winhex恢復被“生成與原文件夾相同名字的exe文件“病毒破壞的數據
傾角45度半
2019-02-23 00:23:45
針對企業無線局域網的一些簡單要求與建議~
xuqinyu521
2019-02-23 00:21:17
史上最牛的10大計算機病毒
喜歡寧靜
2019-02-23 00:13:16
【原創:讓我們一起踏上***的征途】——第二課 病毒在我電腦裏幹了什麼?
sinauc
2019-02-22 23:45:19
mravsc32.exe簡單分析(魔波病毒)
孤獨更可靠
2019-02-22 23:37:07