|
| 关于wincup.exe与aukld.exe的分析 |
| 来源:网络 时间:2006-8-18 |
|
前几天分析了c:\windows\wincup\wincup.exe ...这俩天又跑出个同名的文件夹..路径为c:\windows\temp\wincup\wincup.exe和c:\windows\temp\aukld\aukld.exe 前俩天卡巴就报了..瑞星好象昨天才报..病毒名:trojan.dl.adload.io和trojan.dl.adload.ip ...
这俩天关于此求助的人也多了..今天拿到样本就分析..
运行wincup.exe ..释放文件aucup和extern.ini .. 还有~de5.tmp (文件名中的数字会不同)..创建服务o23 - nt 服务: aucup - unknown owner - c:\windows\temp\wincup\wincup.exe ... 访问网络..
运行aukld.exe ..释放文件inskld和~de5.tmp(文件中的数字会不同) ...创建服务o23 - nt 服务: aukld - unknown owner - c:\windows\temp\aukld\aukld.exe ..访问网络..
访问网络后..下载winkalendar ...hijackthis的021项会体现出来..o21 - ssodl: systime - {724c75f1-b757-408d-a50a-4cf99da35d73} - c:\progra~1\winkld\winkld.dll ...此项可能出现也有可能不出现...
【解决】
结束进程
c:\windows\wincup\wincup.exe(可能会有我这一俩次测试都出现这项..)
开始-控制面板-添加与删除程序
卸载winkalendar,winwrcup,vision communicate ....(有的会没有..)
开始-控制面板-管理工具-服务
禁用掉 aucup , aukld , winwrcup ,jmediaservice 这四个服务..(有的会没有..)
开始-运行-regedit
注册表
展开
hkey_local_machine\system\currentcontrolset\services\
hkey_local_machine\system\controlset001\services\
hkey_local_machine\system\controlset002\services\
删除aucup , aukld , jmediaservice , winwrcup 这四个文件夹...(这三处地方仔细检查..有的有..有的没有..)
展开
hkey_local_machine\system\currentcontrolset\enum\root\
hkey_local_machine\system\controlset001\enum\root\
hkey_local_machine\system\controlset002\enum\root\
删除legacy_aukld , legacy_aucup , legacy_jmediaservice , legacy_winwrcup这四个文件夹...(同上..仔细找找..必须使用icesword来删除..)
展开
hkey_classes_root\clsid\
删除{724c75f1-b757-408d-a50a-4cf99da35d73} 这文件夹...(有可能没有这项..)
重启后删除..
c:\windows\temp\wincup
c:\windows\temp\aukld
c:\progra~1\winkld
c:\windows\temp\inskld(文件夹内是同时释放的一个.exe文件)
c:\windows\temp\inscup(文件夹内是同时释放的一个.exe文件)
c:\windows\wincup
------------------------------------------------------------------------
删除注册表的时候还是得借助 icesword 来删除..
下载地址:http://forum.ikaka.com/topic.asp?board=28&artid=6979213(二楼)
------------------------------------------------------------------------
这俩文件访问网络时..如果防火墙阻止了不会生成c:\progra~1\winkld ..
------------------------------------------------------------------------
这俩个文件与c:\windows\wincup\wincup.exe 有关系..还有彩信助手...
建议在处理完后用超级兔子清理王安全模式卸载一下...
超级兔子下载地址:http://www.pctutu.com/srmsdown.asp
c:\windows\wincup\wincup.exe 详细参考:http://forum.ikaka.com/topic.asp?board=28&artid=8120559
-------------------------------------------------------------------------
在此感谢 阳光(newcenturymoon) 的补充..
再做个补充:c:\progra~1\winkld 是微软的日历..如果有需要的朋友不必卸载...
|
|
|
|
|
