前幾天分析了C:\WINDOWS\wincup\wincup.exe ...這倆天又跑出個同名的文件夾..路徑為C:\WINDOWS\Temp\wincup\wincup.exe和C:\WINDOWS\Temp\aukld\aukld.exe 前倆天卡巴就報(bào)了..瑞星好象昨天才報(bào)..病毒名:Trojan.DL.adload.io和Trojan.DL.adload.ip ...
這倆天關(guān)于此求助的人也多了..今天拿到樣本就分析..

運(yùn)行wincup.exe ..釋放文件aucup和extern.ini .. 還有~de5.tmp (文件名中的數(shù)字會不同)..創(chuàng)建服務(wù)O23 - NT 服務(wù): aucup - Unknown owner - C:\WINDOWS\Temp\wincup\wincup.exe ... 訪問網(wǎng)絡(luò)..

運(yùn)行aukld.exe ..釋放文件inskld和~de5.tmp(文件中的數(shù)字會不同) ...創(chuàng)建服務(wù)O23 - NT 服務(wù): aukld - Unknown owner - C:\WINDOWS\Temp\aukld\aukld.exe ..訪問網(wǎng)絡(luò)..

訪問網(wǎng)絡(luò)后..下載WinKalendar ...HijackThis的021項(xiàng)會體現(xiàn)出來..O21 - SSODL: SysTime - {724C75F1-B757-408D-A50A-4CF99DA35D73} - C:\PROGRA~1\WinKld\WinKld.dll ...此項(xiàng)可能出現(xiàn)也有可能不出現(xiàn)...

【解決】
結(jié)束進(jìn)程
C:\WINDOWS\wincup\wincup.exe(可能會有我這一倆次測試都出現(xiàn)這項(xiàng)..)

開始-控制面板-添加與刪除程序
卸載WinKalendar,winwrcup,vision communicate ....(有的會沒有..)

開始-控制面板-管理工具-服務(wù)
禁用掉 aucup , aukld , WinWrCup ，JMediaService 這四個服務(wù)..(有的會沒有..)

開始-運(yùn)行-regedit
注冊表
展開
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\
刪除aucup , aukld , JMediaService , WinWrCup 這四個文件夾...(這三處地方仔細(xì)檢查..有的有..有的沒有..)

展開
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\
刪除LEGACY_AUKLD , LEGACY_AUCUP , LEGACY_JMEDIASERVICE , LEGACY_WINWRCUP這四個文件夾...(同上..仔細(xì)找找..必須使用Icesword來刪除..)

展開
HKEY_CLASSES_ROOT\CLSID\
刪除{724C75F1-B757-408D-A50A-4CF99DA35D73} 這文件夾...(有可能沒有這項(xiàng)..)


重啟后刪除..
C:\WINDOWS\Temp\wincup
C:\WINDOWS\Temp\aukld
C:\PROGRA~1\WinKld
C:\WINDOWS\Temp\inskld(文件夾內(nèi)是同時釋放的一個.exe文件)
C:\WINDOWS\Temp\inscup(文件夾內(nèi)是同時釋放的一個.exe文件)
C:\WINDOWS\wincup
------------------------------------------------------------------------
刪除注冊表的時候還是得借助 Icesword 來刪除..
下載地址:http://forum.ikaka.com/topic.asp?board=28&artid=6979213(二樓)
------------------------------------------------------------------------

這倆文件訪問網(wǎng)絡(luò)時..如果防火墻阻止了不會生成C:\PROGRA~1\WinKld ..

------------------------------------------------------------------------
這倆個文件與C:\WINDOWS\wincup\wincup.exe 有關(guān)系..還有彩信助手...
建議在處理完后用超級兔子清理王安全模式卸載一下...
超級兔子下載地址:http://www.pctutu.com/srmsdown.asp

C:\WINDOWS\wincup\wincup.exe 詳細(xì)參考:http://forum.ikaka.com/topic.asp?board=28&artid=8120559
-------------------------------------------------------------------------
在此感謝 陽光(newcenturymoon) 的補(bǔ)充..
再做個補(bǔ)充:C:\PROGRA~1\WinKld 是微軟的日歷..如果有需要的朋友不必卸載...