Kvmon.exe远程控制病毒清除指南
AV命名:
金山毒霸(Win32.Troj.Unknown.a.412826)
AVG(Generic9.AQHK)
安博士V3(Win-Trojan/Hupigon.Gen)
加壳方式:未
编写语言:Delphi
文件MD5:a79d8dddadc172915a3603700f00df8c
病毒类型:远程控制
行为分析:
1、 释放病毒文件:
C:\WINDOWS\Kvmon.dll 361984 字节
C:\WINDOWS\Kvmon.exe 412829 字节
2、 修改注册表,开机启动:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
(注册表值) Userinit
REG_SZ, "C:\WINDOWS\system32\userinit.exe,"
修改为REG_SZ, "C:\windows\system32\userinit.exe,C:\windows\Kvmon.exe –ini
3、 启动IE进程,并把Kvmon.dll注入其中。
4、 添加注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup
(注册表值) Beizhu = REG_SZ, "上线"
(注册表值) Info = REG_SZ, "http://www.5311×0.com/vip/6880579/ip.txt>46821973>上线>远程上线主机>25>0>1080>guest>123456>"
5、 读取上述注册表键,反弹连接外部,接受黑客控制。
6、 全部释放完毕,调用cmd.exe删除旧文件。
解决方法:
1、 打开任务管理器,结束可见的IE进程(iexplore.exe),后断开网络连接。
2、 开始-运行-regedit.exe 打开注册表到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
(注册表值) Userinit
点击修改,修改为:C:\WINDOWS\system32\userinit.exe,
注意逗号不能省略,如果是2000/NT系统的话,则是:C:\WINnt\system32\userinit.exe,
3、 删除文件:
C:\WINDOWS\Kvmon.dll 361984 字节
C:\WINDOWS\Kvmon.exe 412829 字节
相关推荐
-
KVM虚拟化技术之使用Qemu-kvm创建和管理虚拟机的方法
一.KVM简介 KVM(名称来自英语:Kernel-basedVirtual Machine的缩写,即基于内核的虚拟机),是一种用于Linux内核中的虚拟化基础设施,可以将Linux内核转化为一个hypervisor.KVM在2007年2月被导入Linux 2.6.20核心中,以可加载核心模块的方式被移植到FreeBSD及illumos上. KVM在具备Intel VT或AMD-V功能的x86平台上运行.它也被移植到S/390,PowerPC与IA-64平台上.在Linux内核3.9版中,加入A
-
centos 6.6 安装 KVM 虚拟机的方法
KVM是指基于Linux内核的虚拟机(Kernel-base Virtual Machine),增加到Linux内核是Linux发展的一个重要里程碑,这也是第一个整合到Linux主线内核的虚拟化技术.在KVM模型中,每一个虚拟机都是一个由Linux调度程序管理的标准进程,你可以在用户空间启动客户机操作系统,一个普通的Linux进程有两种运行模式:内核和用户,KVM增加了第三种模式:客户模式(有自己的内核和用户模式). 1 KVM虚拟机的管理工具 准确的来说,KVM仅仅是Linux内核的一个模块,
-
详细介绍kvm虚拟机静态和动态迁移(图文介绍)
本文主要介绍了kvm虚拟机静态和动态迁移,具体如下: 一.kvm虚拟机静态迁移 1.静态迁移就是虚拟机在关机状态下,拷贝虚拟机虚拟磁盘文件与配置文件到目标虚拟主机中,实现的迁移. (1)虚拟主机各自使用本地存储存放虚拟机磁盘文件 本文实现基于本地磁盘存储虚拟机磁盘文件的迁移方式, (2)虚拟主机之间使用共享存储存放虚拟机磁盘文件 该方式只是在目标虚拟主机上重新定义虚拟机就可以了. 2.静态迁移过程如下 (1)确定虚拟机关闭状态 (2)准备迁移oeltest02虚拟机,查看该虚拟机配置的磁盘文件
-
KVM虚拟化技术之virt-manager使用及KVM虚拟化平台网络模型介绍
一.使用virt-manager创建和管理虚拟机 1.使用VNC Viewer连接进入虚拟化平台主机 2.打开终端输入virt-manager命令启动virt-manager虚拟机管理界面 #virt-manager 3.通过virt-manager安装CentOS 6.6的虚拟机 点击如图所示图标新建虚拟机: 选择PXE引导,我的网络内存在一个系统自动化部署服务器: 选择操作系统类型和版本: 设置内存和CPU个数: 设置硬盘大小,这里采用动态扩展磁盘空间方式: 忽略这个错误,由于是虚拟磁盘,不
-
kvm安装和删除虚拟机的方法
什么是 KVM ? KVM 是指基于 Linux 内核的虚拟机(Kernel-based Virtual Machine). 2006 年 10 月,由以色列的Qumranet 组织开发的一种新的"虚拟机"实现方案. 2007 年 2 月发布的 Linux 2.6.20 内核第一次包含了 KVM .增加 KVM 到 Linux 内核是 Linux 发展的一个重要里程碑,这也是第一个整合到 Linux 主线内核的虚拟化技术. KVM 在标准的 Linux 内核中增加了虚拟技术,从而我们可
-
KVM虚拟机技术学习总结
最近在学习KVM,进程不算太快,近期整理了一下KVM虚拟机技术学习笔记,现在就分享给大家,也给大家做个参考.有需要的朋友可以来了解一下. KVM虚拟机的管理主要是通过virsh命令对虚拟机进行管理. 1. 查看KVM虚拟机配置文件及运行状态 (1) KVM虚拟机默认配置文件位置: /etc/libvirt/qemu/ autostart目录是配置kvm虚拟机开机自启动目录. (2) virsh命令帮助 # virsh -help 或直接virsh命令和,再执行子命令.如下所示. [root@n
-
Linux KVM的QCOW2 和 ROW的详解及区别介绍
QCOW2和ROW 区别 kvm虚拟机中需要选择磁盘镜像的格式,通常的选择有两种,一种是raw镜像格式,一种是qcow2格式. raw格式是原始镜像,会直接当作一个块设备给虚拟机来使用,至于文件里面的空洞,则是由宿主机的文件系统来管理的,Linux下的文件系统可以很好的支持空洞的特性,所以,如果你创建了一个100G的raw格式的文件,ls看的时候,可以看到这个文件是100G的,但是用du 来看,这个文件会很小. qcow2是kvm支持的磁盘镜像格式,我们创建一个100G的qcow2磁盘之后,无
-
KVM虚拟化(一)——KVM虚拟机的介绍与简单使用
一.架构及介绍 KVM(Kernel-based Virtual Machine)它由 Quramnet 开发,该公司于 2008年被 Red Hat 收购: 自Linux 2.6.20后整合到内核,该内核模块使得 Linux 变成了一个 Hypervisor层: 它依托于CPU虚拟化指令集,性能.安全性.兼容性.稳定性表现很好,每个虚拟化操作系统表现为单个系统进程,与Linux安全模块selinux安全模块很好结合: 官方网站为http://www.linux-kvm.org/page/Mai
-
KVM虚拟机的创建、管理与迁移介绍
虚拟机迁移技术为服务器虚拟化提供了便捷的方法.尽管商业的虚拟软件功能比较强大,但是开源虚拟机如 Linux 内核虚拟机 KVM 和 XEN 发展迅速,迁移技术日趋完善. 一.安装guest虚拟机 1.直接通过virt-manager安装.管理虚拟机(略) 2.通过命令行安装guest虚拟机 qemu-img create -f qcow2 /images/centos6.3-x86_64.img 10G chown qemu:qemu /images/centos6.3-x86_64.img
-
WinFormA9.exe、kvmxcis.exe、cilpnoi.exe、duvadvm.exe“飘雪变种“的清除技巧
"飘雪变种lz"(Win32.Troj.Dropper.lz.21920)这是一个飘雪变种.该病毒会产生随机的病毒文件,分别产生在%systemdir%.%drivers%.%temp%下. 通过生成的病毒文件,从网络上下载隐蔽软件.当用户再次启动机器时,桌面会消失,因为病毒进程在禁止系统 的某些进程启动. "禁闭杀软114688"(Worm.Delf.114688)该病毒是蠕虫病毒,当用户运行后,病毒会通过互联网悄然的下载大量病毒到系统盘的主要 目录下,包括%wi