Kvmon.exe远程控制病毒清除指南

AV命名:

金山毒霸(Win32.Troj.Unknown.a.412826)

AVG(Generic9.AQHK)

安博士V3(Win-Trojan/Hupigon.Gen)

加壳方式:未

编写语言:Delphi

文件MD5:a79d8dddadc172915a3603700f00df8c

病毒类型:远程控制

行为分析:

1、  释放病毒文件:

C:\WINDOWS\Kvmon.dll  361984 字节

C:\WINDOWS\Kvmon.exe  412829 字节

2、  修改注册表,开机启动:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

(注册表值) Userinit

REG_SZ, "C:\WINDOWS\system32\userinit.exe,"

修改为REG_SZ, "C:\windows\system32\userinit.exe,C:\windows\Kvmon.exe –ini

3、  启动IE进程,并把Kvmon.dll注入其中。

4、  添加注册表:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup

(注册表值) Beizhu = REG_SZ, "上线"

(注册表值) Info = REG_SZ, "http://www.5311×0.com/vip/6880579/ip.txt>46821973>上线>远程上线主机>25>0>1080>guest>123456>"

5、  读取上述注册表键,反弹连接外部,接受黑客控制。

6、  全部释放完毕,调用cmd.exe删除旧文件。

解决方法:

1、  打开任务管理器,结束可见的IE进程(iexplore.exe),后断开网络连接。

2、  开始-运行-regedit.exe  打开注册表到:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

(注册表值) Userinit

点击修改,修改为:C:\WINDOWS\system32\userinit.exe,

注意逗号不能省略,如果是2000/NT系统的话,则是:C:\WINnt\system32\userinit.exe,

3、  删除文件:

C:\WINDOWS\Kvmon.dll  361984 字节

C:\WINDOWS\Kvmon.exe  412829 字节

(0)

相关推荐

  • centos 6.6 安装 KVM 虚拟机的方法

    KVM是指基于Linux内核的虚拟机(Kernel-base Virtual Machine),增加到Linux内核是Linux发展的一个重要里程碑,这也是第一个整合到Linux主线内核的虚拟化技术.在KVM模型中,每一个虚拟机都是一个由Linux调度程序管理的标准进程,你可以在用户空间启动客户机操作系统,一个普通的Linux进程有两种运行模式:内核和用户,KVM增加了第三种模式:客户模式(有自己的内核和用户模式). 1 KVM虚拟机的管理工具 准确的来说,KVM仅仅是Linux内核的一个模块,

  • WinFormA9.exe、kvmxcis.exe、cilpnoi.exe、duvadvm.exe“飘雪变种“的清除技巧

    "飘雪变种lz"(Win32.Troj.Dropper.lz.21920)这是一个飘雪变种.该病毒会产生随机的病毒文件,分别产生在%systemdir%.%drivers%.%temp%下. 通过生成的病毒文件,从网络上下载隐蔽软件.当用户再次启动机器时,桌面会消失,因为病毒进程在禁止系统 的某些进程启动. "禁闭杀软114688"(Worm.Delf.114688)该病毒是蠕虫病毒,当用户运行后,病毒会通过互联网悄然的下载大量病毒到系统盘的主要 目录下,包括%wi

  • 详细介绍kvm虚拟机静态和动态迁移(图文介绍)

    本文主要介绍了kvm虚拟机静态和动态迁移,具体如下: 一.kvm虚拟机静态迁移 1.静态迁移就是虚拟机在关机状态下,拷贝虚拟机虚拟磁盘文件与配置文件到目标虚拟主机中,实现的迁移. (1)虚拟主机各自使用本地存储存放虚拟机磁盘文件 本文实现基于本地磁盘存储虚拟机磁盘文件的迁移方式, (2)虚拟主机之间使用共享存储存放虚拟机磁盘文件 该方式只是在目标虚拟主机上重新定义虚拟机就可以了. 2.静态迁移过程如下 (1)确定虚拟机关闭状态 (2)准备迁移oeltest02虚拟机,查看该虚拟机配置的磁盘文件

  • Linux KVM的QCOW2 和 ROW的详解及区别介绍

     QCOW2和ROW 区别 kvm虚拟机中需要选择磁盘镜像的格式,通常的选择有两种,一种是raw镜像格式,一种是qcow2格式. raw格式是原始镜像,会直接当作一个块设备给虚拟机来使用,至于文件里面的空洞,则是由宿主机的文件系统来管理的,Linux下的文件系统可以很好的支持空洞的特性,所以,如果你创建了一个100G的raw格式的文件,ls看的时候,可以看到这个文件是100G的,但是用du 来看,这个文件会很小. qcow2是kvm支持的磁盘镜像格式,我们创建一个100G的qcow2磁盘之后,无

  • KVM虚拟化(一)——KVM虚拟机的介绍与简单使用

    一.架构及介绍 KVM(Kernel-based Virtual Machine)它由 Quramnet 开发,该公司于 2008年被 Red Hat 收购: 自Linux 2.6.20后整合到内核,该内核模块使得 Linux 变成了一个 Hypervisor层: 它依托于CPU虚拟化指令集,性能.安全性.兼容性.稳定性表现很好,每个虚拟化操作系统表现为单个系统进程,与Linux安全模块selinux安全模块很好结合: 官方网站为http://www.linux-kvm.org/page/Mai

  • kvm安装和删除虚拟机的方法

    什么是 KVM ? KVM 是指基于 Linux 内核的虚拟机(Kernel-based Virtual Machine). 2006 年 10 月,由以色列的Qumranet 组织开发的一种新的"虚拟机"实现方案. 2007 年 2 月发布的 Linux 2.6.20 内核第一次包含了 KVM .增加 KVM 到 Linux 内核是 Linux 发展的一个重要里程碑,这也是第一个整合到 Linux 主线内核的虚拟化技术. KVM 在标准的 Linux 内核中增加了虚拟技术,从而我们可

  • KVM虚拟化技术之virt-manager使用及KVM虚拟化平台网络模型介绍

    一.使用virt-manager创建和管理虚拟机 1.使用VNC Viewer连接进入虚拟化平台主机 2.打开终端输入virt-manager命令启动virt-manager虚拟机管理界面 #virt-manager 3.通过virt-manager安装CentOS 6.6的虚拟机 点击如图所示图标新建虚拟机: 选择PXE引导,我的网络内存在一个系统自动化部署服务器: 选择操作系统类型和版本: 设置内存和CPU个数: 设置硬盘大小,这里采用动态扩展磁盘空间方式: 忽略这个错误,由于是虚拟磁盘,不

  • KVM虚拟机的创建、管理与迁移介绍

    虚拟机迁移技术为服务器虚拟化提供了便捷的方法.尽管商业的虚拟软件功能比较强大,但是开源虚拟机如 Linux 内核虚拟机 KVM 和 XEN 发展迅速,迁移技术日趋完善.  一.安装guest虚拟机 1.直接通过virt-manager安装.管理虚拟机(略) 2.通过命令行安装guest虚拟机 qemu-img create -f qcow2 /images/centos6.3-x86_64.img 10G chown qemu:qemu /images/centos6.3-x86_64.img

  • KVM虚拟化技术之使用Qemu-kvm创建和管理虚拟机的方法

    一.KVM简介 KVM(名称来自英语:Kernel-basedVirtual Machine的缩写,即基于内核的虚拟机),是一种用于Linux内核中的虚拟化基础设施,可以将Linux内核转化为一个hypervisor.KVM在2007年2月被导入Linux 2.6.20核心中,以可加载核心模块的方式被移植到FreeBSD及illumos上. KVM在具备Intel VT或AMD-V功能的x86平台上运行.它也被移植到S/390,PowerPC与IA-64平台上.在Linux内核3.9版中,加入A

  • KVM虚拟机技术学习总结

    最近在学习KVM,进程不算太快,近期整理了一下KVM虚拟机技术学习笔记,现在就分享给大家,也给大家做个参考.有需要的朋友可以来了解一下. KVM虚拟机的管理主要是通过virsh命令对虚拟机进行管理. 1.  查看KVM虚拟机配置文件及运行状态 (1) KVM虚拟机默认配置文件位置: /etc/libvirt/qemu/ autostart目录是配置kvm虚拟机开机自启动目录. (2) virsh命令帮助 # virsh -help 或直接virsh命令和,再执行子命令.如下所示. [root@n

随机推荐