Kvmon.exe远程控制清除指南

Simen.Resh@d

作者：孤独更可靠

文件名称：Kvmon.exe
文件大小：412829 byte
AV命名：
金山毒霸（Win32.Troj.Unknown.a.412826）
AVG（Generic9.AQHK）
安博士V3（Win-Trojan/Hupigon.Gen）
加壳方式：未
编写语言：Delphi
文件MD5：a79d8dddadc172915a3603700f00df8c
病毒类型：远程控制
行为分析：
1、
释放病毒文件：
C:\WINDOWS\Kvmon.dll
361984 字节
C:\WINDOWS\Kvmon.exe
412829 字节
2、
修改注册表，开机启动：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
(注册表值) Userinit
REG_SZ, "C:\WINDOWS\system32\userinit.exe,"
修改为REG_SZ, "C:\windows\system32\userinit.exe,C:\windows\Kvmon.exe –ini
3、
启动IE进程，并把Kvmon.dll注入其中。
4、
添加注册表：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup
(注册表值) Beizhu = REG_SZ, "上线"
(注册表值) Info = REG_SZ, "http://www.5311×0.com/vip/6880579/ip.txt>46821973>上线>远程上线主机>25>0>1080>guest>123456>"
5、
读取上述注册表键，反弹连接外部，接受黑客控制。
6、
全部释放完毕，调用cmd.exe删除旧文件。
解决方法：
1、
打开任务管理器，结束可见的IE进程（iexplore.exe），后断开网络连接。
2、
开始-运行-regedit.exe
打开注册表到：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
(注册表值) Userinit
点击修改，修改为：C:\WINDOWS\system32\userinit.exe,
注意逗号不能省略，如果是2000/NT系统的话，则是：C:\WINnt\system32\userinit.exe,
3、
删除文件：
C:\WINDOWS\Kvmon.dll
361984 字节
C:\WINDOWS\Kvmon.exe
412829 字节







[ 本帖最后由 Simen.Resh@d 于 2008-3-1 13:54 编辑 ]

Fhy

我要中了毒，一般都直接GHOST

SiMen.BoBi

GHOST不太稳定`而且也有些GHOST光盘自带病毒..

GeminiG

多学点...技术...
今天才做的机器~~