AV命名： 金山毒霸（Win32.Troj.Unknown.a.412826） AVG（Generic9.AQHK） 安博士V3（Win-Trojan/Hupigon.Gen） 加壳方式：未 编写语言：Delphi 文件MD5：a79d8dddadc172915a3603700f00df8c 病毒类型：远程控制 行为分析： 1、  释放病毒文件： C:\WINDOWS\Kvmon.dll  361984 字节 C:\WINDOWS\Kvmon.exe  412829 字节 2、  修改注册表，开机启动： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (注册表值) Userinit REG_SZ, "C:\WINDOWS\system32\userinit.exe,"  修改为REG_SZ, "C:\windows\system32\userinit.exe,C:\windows\Kvmon.exe –ini 3、  启动IE进程，并把Kvmon.dll注入其中。 4、  添加注册表： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup (注册表值) Beizhu = REG_SZ, "上线"  (注册表值) Info = REG_SZ, "http://www.5311×0.com/vip/6880579/ip.txt>46821973>上线>远程上线主机>25>0>1080>guest>123456>" 5、  读取上述注册表键，反弹连接外部，接受黑客控制。 6、  全部释放完毕，调用cmd.exe删除旧文件。 解决方法： 1、  打开任务管理器，结束可见的IE进程（iexplore.exe），后断开网络连接。 2、  开始-运行-regedit.exe  打开注册表到： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon  (注册表值) Userinit 点击修改，修改为：C:\WINDOWS\system32\userinit.exe, 注意逗号不能省略，如果是2000/NT系统的话，则是：C:\WINnt\system32\userinit.exe, 3、  删除文件： C:\WINDOWS\Kvmon.dll  361984 字节 C:\WINDOWS\Kvmon.exe  412829 字节