Kvmon.exe远程控制病毒清除指南

2014-01-11  来源:本站原创  分类:病毒查杀  人气:5 

文件名称:Kvmon.exe 文件大小:412829 byte 一款远程控制病毒

AV命名:

金山毒霸(Win32.Troj.Unknown.a.412826)

AVG(Generic9.AQHK)

安博士V3(Win-Trojan/Hupigon.Gen)

加壳方式:未

编写语言:Delphi

文件MD5:a79d8dddadc172915a3603700f00df8c

病毒类型:远程控制

行为分析:

1、 释放病毒文件:

C:\WINDOWS\Kvmon.dll 361984 字节

C:\WINDOWS\Kvmon.exe 412829 字节

2、 修改注册表,开机启动:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

(注册表值) Userinit

REG_SZ, "C:\WINDOWS\system32\userinit.exe,"

修改为REG_SZ, "C:\windows\system32\userinit.exe,C:\windows\Kvmon.exe ?ini

3、 启动IE进程,并把Kvmon.dll注入其中。

4、 添加注册表:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup

(注册表值) Beizhu = REG_SZ, "上线"

(注册表值) Info = REG_SZ, "http://www.5311×0.com/vip/6880579/ip.txt>46821973>上线>远程上线主机>25>0>1080>guest>123456>"

5、 读取上述注册表键,反弹连接外部,接受黑客控制。

6、 全部释放完毕,调用cmd.exe删除旧文件。

解决方法:

1、 打开任务管理器,结束可见的IE进程(iexplore.exe),后断开网络连接。

2、 开始-运行-regedit.exe 打开注册表到:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

(注册表值) Userinit

点击修改,修改为:C:\WINDOWS\system32\userinit.exe,

注意逗号不能省略,如果是2000/NT系统的话,则是:C:\WINnt\system32\userinit.exe,

3、 删除文件:

C:\WINDOWS\Kvmon.dll 361984 字节

C:\WINDOWS\Kvmon.exe 412829 字节

相关文章
  • Kvmon.exe远程控制病毒清除指南 2014-01-11

    文件名称:Kvmon.exe 文件大小:412829 byte 一款远程控制病毒 AV命名: 金山毒霸(Win32.Troj.Unknown.a.412826) AVG(Generic9.AQHK) 安博士V3(Win-Trojan/Hupigon.Gen) 加壳方式:未 编写语言:Delphi 文件MD5:a79d8dddadc172915a3603700f00df8c 病毒类型:远程控制 行为分析: 1. 释放病毒文件: C:\WINDOWS\Kvmon.dll 361984 字节 C:\W

  • cdsdf.exe,kl.exe,explorcr.exe等病毒清除方法 2014-10-15

    一:问题和症状: 中病毒,其它的病毒文件都好杀.就C:\WINDOWS\system32\cdsdf.exe杀毒软件杀不掉.用PowerRmv杀灭后抑制再生成也没有用.请帮忙解决 二:分析解决: 1. 杀毒前关闭系统还原(Win2000系统可以忽略): 右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可. 清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点"删除文件"按钮 ,将 删除所有脱机内容 打勾,点确定删除.

  • RAVFY.EXE,RAVWL.EXE,msdebug.dll,Servere.exe等的清除指南附SREng.EXE PowerRmv.com unlocker1.8.5.exe打 2015-03-24

    本文的眼:注意这几个文件名RAVFY.EXE,RAVWL.EXE,msdebug.dll相当有迷惑性 一.提问:http://zhidao.baidu.com/question/23973092.html 二.分析: 1. 杀毒前关闭系统还原(Win2000系统可以忽略):右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可. 清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点"删除文件"按钮 ,将 删除所有脱机内容

  • wincfgs.exe病毒清除方法 2014-08-31

    病毒文件:wincfgs.exe (c:\windows\system32\wincfgs.exe) 病毒名称:Trojanspy.USBpy.a 介绍:该病毒主要通过U盘传播,带毒的U盘中存在一个autorun.inf自动安装文件和一个回收站类似的文件夹,里面有一个 autorun.exe主文件和一个回收站图标,都是加了一些属性的,并且autorun.exe在windows下是无法显示的,你可以在DOS中用 dir /a命令来看到. 中毒机器上,会在windows目录下产生一个记事本图标的KB

  • Autorun 病毒清除工具bat代码 2013-12-14

    本程序运行后自动清除每个盘符下面的Autorun病毒,Echo本程序原理是基于读取每个盘符下的Autorun.inf相关字段 @Echo Off color 2f title Autorun 病毒清除工具-By Phexon Rem 杀进程 taskkill /F /IM SocksA.exe /IM SVOHOST.exe /IM AdobeR.exe /IM ravmone.exe /IM wincfgs.exe /IM doc.exe /IM rose.exe /IM sxs.exe /I

  • 批处理 Autorun 病毒清除工具 2014-01-01

    本程序运行后自动清除每个盘符下面的Autorun病毒本程序原理是基于读取每个盘符下的Autorun.inf相关字段 @Echo Off color 2f title Autorun 病毒清除工具-By Phexon Rem 杀进程 taskkill /F /IM SocksA.exe /IM SVOHOST.exe /IM AdobeR.exe /IM ravmone.exe /IM wincfgs.exe /IM doc.exe /IM rose.exe /IM sxs.exe /IM aut

  • 关于木马群cmdbcs.exe,wsttrs.exe,msccrt.exe,winform.exe,upxdnd.exe等的清除方法第1/2页 2014-01-26

    关于木马群cmdbcs.exe,wsttrs.exe,msccrt.exe,winform.exe,upxdnd.exe等的清除 Trojan.PSW.OnlineGames.XX相关病毒 最近很多人中了木马群cmdbcs.exe,wsttrs.exe,msccrt.exe,winform.exe,upxdnd.exe等 这个应该是通过木马下载器下载所致 这些基本上都是些盗号木马 一般sreng日志表现如下: 启动项目里 (不一定全) <wsttrs><C:\windows\wsttrs

  • php网页病毒清除类 2013-10-18

    这篇文章主要介绍了php网页病毒清除类,可实现针对网页病毒的简单清理功能,是非常实用的技巧,需要的朋友可以参考下 本文实例讲述了php网页病毒清除类.分享给大家供大家参考.具体如下: 相信很多人的网页经常被无故的在php,asp,html,js 等文件后台加上一些木马地址,造成了很大的困扰!我以前有个站就是这样,所以一恨之下写了这段代码,文章虽然有一点浪费资源了,但是总比我们手动清除要好吧,下面我为讲讲程序的清除病毒的原理吧. 首先们要读取 $checkFile 文件这个文章是判断一个文章 是否

  • logo_1.exe 变种病毒解决方案 2014-04-25

    logo_1.exe 变种病毒解决方案 附件解压后 把virus文件夹里面的文件复制到c:\windows\下面.放心.这些都是空文件.文件名和病毒名是一样的.但是都是0字节. 然后运行logo1virus.bat 给刚才放到c:\windows\下的那几个文件加上系统.隐藏.只读3个属性. 就这样.就可以预防威金病毒了.也就是说.即使你的机子中了威金病毒.也不可能发作.是100%不可能! 为了双保险.请进行下一步: 开始-运行 输入gpedit.msc 用户配置-管理模板-系统 不要运行指定的

  • 1sass.exe,winnet.sys,2pwsdor.sys,k87wovjoq.sys病毒清除 2013-10-04

    一同学求助.U盘中毒感染机器,导致打开"我的电脑"看不到任何磁盘分区,且系统卡到假死态. 首先,通过组策略关闭"自动播放"功能.插入U盘. 执行:开始--运行--浏览,找到对应的U盘分区,复制Icesword和sreng. 更改Icesword软件名称,更改名称为任意名称,双击,系统蓝屏自动重启.在BIOS画面卡住.按重启键依旧,则断开主机电源片刻,再开机能正常进入. sreng扫描日志,发现如下可疑内容: =============================

  • SysLoad3.exe木马病毒的分析及清除方法 2014-01-16

    使用前,请先断网,删除系统目录下的SysLoad3.exe以及1.exe,2.exe,...,7.exe,用IceSword删除临时目录下的那几个动态库.当任务管理器里没有iexplore.exe和notepad.exe的进程时,就可以运行这个恢复程序了. 特别注意:运行过程中,不要去运行其他程序,有可能你运行的那个程序就是带毒的!! [b]二:以下是分析和手动清除方法: 昨天下午加班回来,发现本本的行为相当诡异.看了看任务管理器,有几个Ie的进程和几个Notepad的进程有些可疑.然后看了看注

  • 各分区根目录释放shell.exe,autorun.inf 的病毒清除方法 2015-02-16

    病毒名:Trojan-psw.Win32.Magania.os 卡巴 Worm.Win32.Delf.ysa 瑞星 文件变化: 释放文件 C:\WINDOWS\system32\Shell.exe C:\WINDOWS\system32\Shell.pci C:\pass.dic 各分区根目录释放 shell.exe autorun.inf autorun.inf内容 [Autorun] OPEN=Shell.exe shellexecute=Shell.exe shell\Auto\comma

  • u盘病毒清除 Discovery.exe查杀方法 2014-01-06

    这是之前niu.exe病毒的最新变种,最近该病毒的新变种传播又有所抬头,希望大家注意. Quote: File: Discovery.exe Size: 74240 bytes Modified: 2008年2月2日, 0:03:34 MD5: 2DA55F2A36E852EE6FC96D34DD520979 SHA1: 44CE8F1C1A02591A88867F421C0C658B200D94C1 CRC32: E20E292D 1.病毒运行后,衍生如下副本及文件: Quote: %syst

  • SuperDown.EXE,ShellDown.exe等清除指南 2015-01-17

    1. 杀毒前关闭系统还原(Win2000系统可以忽略):右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可. 清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点"删除文件"按钮 ,将 删除所有脱机内容 打勾,点确定删除. 关闭QQ等应用程序. 进入如下的操作前,请不要进行任何双击磁盘的操作. 所有的工具都放桌面上,切记. 2.用强制删除工具 PowerRMV 下载地址: http://post.baidu.com/

  • 最新病毒变种sxs.exe及xeklsk.exe(柯南病毒)查杀方法 2013-11-28

    通过u盘传播的病毒sxs.exe威力向来很大,曾经n个计算机被他搞垮~~其变种也日益翻新,花样白出~~机房电脑又中毒了...各盘符下有隐藏的文件,图标是柯南头像的sxs.exe及autorun,病毒系统进xeklsk.exe. 通过文件夹选项不能显示隐藏文件. 经过反复查找,此病毒乃最新变种,网上给出查杀方法的很少~现提供如下,仅作参考: ---- 解决方案: ***提示:杀毒过程中注意盘符不要双击,点鼠标右键"打开"!*** 1.结束进程xeklsk.exe,sxs.exe及其他可疑

  • MY123病毒清除方法,专杀工具下载 2014-06-10

    近期爆发的恶性病毒?比上次普遍感染的"sxs.exe病毒"更夸张,并且已经从流氓软件的范畴变身为病毒了. 病毒现象: IE 浏览器首页无法改变,被修改为 www.my123.com , 或自动跳转到 7255 . 手动清除方法非常烦琐,并且目前依然不停有变种出来,所以一般用户还是尝试用专杀工具吧 MY123.com 病毒专杀工具 目前许多工具已经针对此病毒发布了最新的专杀工具,已经可以比较方便的删除它了,并且杀毒厂商也关注起来,病毒变种虽然变的快,相信专杀工具也出的不会太晚,请关注下面

  • 又一篇熊猫烧香病毒清除方法 2014-08-07

    1. 断开网络(必要) 2. 结束病毒进程 %System%\drivers\spoclsv.exe 3. 删除病毒文件: c:\windows\system32\drivers\spoclsv.exe 注意:打开C盘要右键-开打,否则仁兄就要功亏一篑,就要重复2的步骤! 4. 修改注册表设置,恢复"显示所有文件和文件夹"选项功能: [Copy to clipboard]CODE: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curre

  • Ntdll32.dll病毒清除方法 2015-01-08

    准备工作: 下载Rootkit Unhooker 这个软件,需要利用其独特的Unhooker功能. 清除步骤: 1.安装Rootkit Unhooker,并记住其安装目录. 2.打开任务管理器,结束进程explorer.exe 3.点任务管理器"文件"--"新建任务"--通过"浏览"打开Rootkit Unhooker: 4.点"SSDT Hooks Detector/Restorer"--找到"mspcidrv.s

  • 关于winasse.exe生成Win59.exe等病毒的解决方法 2015-02-01

    卡巴已经提示了一早上,一开始卡巴还有"删除"的项目,到后来就只有"恢复"和"跳过"了,这个病毒,从win3.exe一直在变,只要你按跳过,20秒不到就弹出下一个组合.晕倒了啊... 有图片,这个是什么病毒怎么查杀?网上查了也没有一个解决方法.高手帮忙.谢 HijackThis_zww汉化版扫描日志 V1.99.1 保存于 11:01:38, 日期 2006-9-12 操作系统: Windows XP SP2 (WinNT 5.01.2600) 浏

  • rootkit.boot.mybios.a 位置 \DEVICE\HARDDISK0\DR0 病毒清除 2015-02-17

    昨天电脑卡巴斯基报病毒: 木马程序 rootkit.boot.mybios.a 位置:\DEVICE\HARDDISK0\DR0 看着很奇怪,不像是windows的路径. 使用卡巴的清除程序清除多次无效,进入安全模式查杀也无效,后来搜索看有人说是引导区病毒. 清除方法: 安装 Paragon Partition Manager ,启动以后 运行 update MBR,然后重启下就可以,卡巴也不会报病毒了. 我对这个不熟悉,方法是别人告诉我的.今天查网上很多人都中了这个病毒,所以写出来供大家参考.