alcmtr.exe_stop:0x0000008e_tlc mlc slc(2)
电脑杂谈 发布时间:2017-01-24 07:21:23 来源:网络整理HKEY_LOCALMACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KavStart
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KavPFW
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vptray
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\runeip
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RfwMain
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\下面添加映像劫持项目
RavStub.exe
RavMON.exe
RfwMain.exe
rfwsrv.exe
McAgent.exe
mctskshd.exe
mcupdmgr.exe
rtvscan.exe
DefWatch.exe
ccSetMgr.exe
ccEvtMgr.exe
ccSetApp.exe
nod32kui.exe
nod32krn.exe
KWatch.exe
KPfwSvc.exe
KMaiMon.exe
KStart.exe
KVWSC.exe
kvsrvxp.exe
PFW.exe
连接网络下载其他病毒
下载地址如下
*.cn/tthh3/gx.jpg
*.cn/tthh3/qq.jpg
*.cn/tthh3/omin.jpg
*.cn/tthh3/crt.jpg
*.cn/tthh3/f1.jpg
*.cn/tthh3/f2.jpg
*.cn/tthh3/f3.jpg
(实质上均为exe文件,但部分链接已失效)
连接获得被感染机器的ip地址
并且通过route.exeprint命令获得默认网关地址
将其一并写入c:\ip.txt中
之后可能利用这些信息进行arp欺骗等操作...
下载的几个病毒里面有蠕虫病毒,该蠕虫病毒可以扫描附近网段内的135端口..(
具体该病毒的行为没怎么看)
下载完毕后扫描的sreng日志如下
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[1]
==================================
服务
[HelpandSupport/helpsvc][Stopped/AutoStart]
%WINDIR%
\PCHealth\HelpCtr\Binaries\pchsvc.dll>
增加的文件可能有
%SystemRoot%\system32\Alcmtr.exe
%SystemRoot%\system32\alcwzrd.exe
%SystemRoot%\system32\qoq.exe
本文来自电脑杂谈,转载请注明本文网址:
http://www.pc-fly.com/a/jisuanjixue/article-28450-2.html
电脑怎么只有c盘和d盘 电脑怎样建d盘和e盘
explorer.exe?taskmgr.exe是什么进程?drwtsn32.exe 遇到问题需要关闭。我们对此引起的不
新的解决方案:win7资源管理器停止重复工作的解决方案
发布论文的六个步骤,请收集以便将来使用.
接下来就是投资有风险了事