alcmtr.exe_stop:0x0000008e_tlc mlc slc

此病毒利用了替换服务等方式启动自身，利用SoundMan.exe这样比较熟悉的程序迷惑人。并具有结束杀毒软件和下载病毒的功能。

病毒释放如下文件

%SystemRoot%\system32\ineters.exe

%SystemRoot%\system32\SoundMan.exe（伪SoundMan.exe，且图标与真实的SoundMan.exe相同）

%SystemRoot%\system32\tthh3.ini

所有文件的数字签名均为番茄花园

如果有新的可移动存储接入则写入auto.exe和autorun.inf文件

调用cmd通过netstop命令关闭多个服务

sharedaccess

KPfwSvc

KWatchsvc

McShield

NotronAntiVirusServer

结束如下进程

shstat.exe

runiep.exe

ras.exe

MPG4C32.exe

imsins.exe

Iparmor.exe

360safe.exe

360tray.exe

kmailmon.exe

kavstart.exe

avp.exe

ccenter.exe

修改

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder

\Hidden\SHOWALL\CheckedValue值为0x00000006屏蔽显示隐藏文件

删除如下文件（为了删除旧版本的病毒文件）

%SystemRoot%\system32\updeta.exe

%SystemRoot%\system32\ineters.exe

%SystemRoot%\system32\SoundMan.exe

%SystemRoot%\system32\ttzhh.ini

%SystemRoot%\system32\hz3.ini

%SystemRoot%\system32\hz2.ini

%SystemRoot%\system32\1035.ini

%SystemRoot%\system32\tthh.ini

%SystemRoot%\system32\tthh1.ini

%SystemRoot%\system32\tthh2.ini

%SystemRoot%\system32\alcwzrd.exe

%SystemRoot%\system32\notepd.exe

激活电脑中的guest账户

并且添加一个名为microsoft的账户

将如下信息写入%SystemRoot%\1.inf中

[Version]

Signature="$WINDOWSNT$"

[DefaultInstall.Services]

AddService=helpsvc,,My_AddService_Name

[My_AddService_Name]

DisplayName=HelpandSupport

Description=启用在此计算机上运行帮助和支持中心。如果停止服务，帮助和支

持中心将不可用。alcmtr.exe如果禁用服务，任何直接依赖于此服务的服务将无法启动。

ServiceType=0x10

StartType=2

ServiceBinary=%11%\ineters.exe

ErrorControl=0

并且安装该服务

使得原先的helpsvc（帮助中心）服务的映像文件被替换为病毒%SystemRoot%\system32\ineters.exe

删除如下安全软件的启动项目

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\360Safetray

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-28450-1.html