hkcmd.exe_alcmtr.exe_百度糯米推送关不了(2)

ServiceType=0x10

StartType=2

ServiceBinary=%11%\ineters.exe

ErrorControl=0

并且安装该服务

使得原先的helpsvc（帮助中心）服务的映像文件被替换为病毒%SystemRoot%\system32\ineters.exe

删除如下安全软件的启动项目

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\360Safetray

HKEY_LOCALMACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KavStart

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KavPFW

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vptray

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\runeip

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RfwMain

在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\下面添加映像劫持项目

RavStub.exe

RavMON.exe

RfwMain.exe

rfwsrv.exe

McAgent.exe

mctskshd.exe

mcupdmgr.exe

rtvscan.exe

DefWatch.exe

ccSetMgr.exe

ccEvtMgr.exe

ccSetApp.exe

nod32kui.exe

nod32krn.exe

KWatch.exe

KPfwSvc.exe

KMaiMon.exe

KStart.exe

KVWSC.exe

kvsrvxp.exe

PFW.exe

连接网络下载其他病毒

下载地址如下

*.cn/tthh3/gx.jpg

*.cn/tthh3/qq.jpg

*.cn/tthh3/omin.jpg

*.cn/tthh3/crt.jpg

*.cn/tthh3/f1.jpg

*.cn/tthh3/f2.jpg

*.cn/tthh3/f3.jpg

（实质上均为exe文件，但部分链接已失效）

连接获得被感染机器的ip地址

并且通过route.exe print命令获得默认网关地址

将其一并写入c:\ip.txt中

之后可能利用这些信息进行arp欺骗等操作...

下载的几个病毒里面有蠕虫病毒，该蠕虫病毒可以扫描附近网段内的135端口..(

具体该病毒的行为没怎么看)

下载完毕后 扫描的sreng日志如下

启动项目

注册表

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-28451-2.html