|
|
<BR>
<P> 前几天分析了C:\WINDOWS\wincup\wincup.exe ...这俩天又跑出个同名的文件夹..路径为C:\WINDOWS\Temp\wincup\wincup.exe和C:\WINDOWS\Temp\aukld\aukld.exe 前俩天卡巴就报了..瑞星好象昨天才报..病毒名:Trojan.DL.adload.io和Trojan.DL.adload.ip ...</P>
<P> 这俩天关于此求助的人也多了..今天拿到样本就分析..</P>
<P> 运行wincup.exe ..释放文件aucup和extern.ini .. 还有~de5.tmp (文件名中的数字会不同)..创建服务O23 - NT 服务: aucup - Unknown owner - C:\WINDOWS\Temp\wincup\wincup.exe ... 访问网络..</P>
<P> 运行aukld.exe ..释放文件inskld和~de5.tmp(文件中的数字会不同) ...创建服务O23 - NT 服务: aukld - Unknown owner - C:\WINDOWS\Temp\aukld\aukld.exe ..访问网络..</P>
<P> 访问网络后..下载WinKalendar ...HijackThis的021项会体现出来..O21 - SSODL: SysTime - {724C75F1-B757-408D-A50A-4CF99DA35D73} - C:\PROGRA~1\WinKld\WinKld.dll ...此项可能出现也有可能不出现...</P>
<P> 【解决】</P>
<P> 结束进程</P>
<P> C:\WINDOWS\wincup\wincup.exe(可能会有我这一俩次测试都出现这项..)</P>
<P> 开始-控制面板-添加与删除程序</P>
<P> 卸载WinKalendar,winwrcup,vision communicate ....(有的会没有..)</P>
<P> 开始-控制面板-管理工具-服务</P>
<P> 禁用掉 aucup , aukld , WinWrCup ,JMediaService 这四个服务..(有的会没有..)</P>
<P> 开始-运行-regedit</P>
<P> 注册表</P>
<P> 展开</P>
<P> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\</P>
<P> HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\</P>
<P> HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\</P>
<P> 删除aucup , aukld , JMediaService , WinWrCup 这四个文件夹...(这三处地方仔细检查..有的有..有的没有..)</P>
<P> 展开</P>
<P> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\</P>
<P> HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\</P>
<P> HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\</P>
<P> 删除LEGACY_AUKLD , LEGACY_AUCUP , LEGACY_JMEDIASERVICE , LEGACY_WINWRCUP这四个文件夹...(同上..仔细找找..必须使用Icesword来删除..)</P>
<P> 展开</P>
<P> HKEY_CLASSES_ROOT\CLSID\</P>
<P> 删除{724C75F1-B757-408D-A50A-4CF99DA35D73} 这文件夹...(有可能没有这项..)</P>
<P> 重启后删除..</P>
<P> C:\WINDOWS\Temp\wincup</P>
<P> C:\WINDOWS\Temp\aukld</P>
<P> C:\PROGRA~1\WinKld</P>
<P> C:\WINDOWS\Temp\inskld(文件夹内是同时释放的一个.exe文件)</P>
<P> C:\WINDOWS\Temp\inscup(文件夹内是同时释放的一个.exe文件)</P>
<P> C:\WINDOWS\wincup</P>
<P> ------------------------------------------------------------------------</P>
<P> 删除注册表的时候还是得借助 冰刃(IceSword) V1.18 简体中文版 来删除..</P>
<P> 下载地址:<U><FONT color=#0000ff>http://down.ddvip.com/view/11555756794566.html</FONT></U></P>
<P> ------------------------------------------------------------------------</P>
<P> 这俩文件访问网络时..如果防火墙阻止了不会生成C:\PROGRA~1\WinKld ..</P>
<P> ------------------------------------------------------------------------</P>
<P> 这俩个文件与C:\WINDOWS\wincup\wincup.exe 有关系..还有彩信助手...</P>
<P> 建议在处理完后用超级兔子清理王安全模式卸载一下...</P>
<P> 超级兔子下载地址:<U><FONT color=#0000ff>http://down.ddvip.com/view/1150035775595.html</FONT></U></P>
<P> C:\WINDOWS\wincup\wincup.exe</P>
<P> -------------------------------------------------------------------------</P>
<P> NT 服务: WinWrCup - MsWinCup - C:\WINDOWS\wincup\wincup.exe</P>
<P> 这几天经常看到这项..前几天拿到样本一直没去试...今天有空咯就试试...</P>
<P> 样本放在其他盘..运行后..C:\WINDOWS\wincup生成文件...创建服务..wincup.exe访问网络...C:\WINDOWS\wincup里面是.ini文件和一个wincup.exe.</P>
<P> .ini里有个连接 http://update2.borlander.cn/cup/wincup.cab 转到这网站后下载一个wincup.cab ..里面是一个 wincup.exe ..</P>
<P> 【解决】</P>
<P> 开始-控制面板-性能和维护-管理工具-服务</P>
<P> 禁用掉WinWrCup - MsWinCup</P>
<P> 开始-运行-regedit</P>
<P> 注册表</P>
<P> 展开</P>
<P> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\</P>
<P> HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\</P>
<P> HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\</P>
<P> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Uninstall\</P>
<P> 删除WinWrCup 文件夹..</P>
<P> 展开</P>
<P> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\</P>
<P> HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\</P>
<P>HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\</P>
<P> 删除 LEGACY_WINWRCUP 文件夹..</P>
<P> 删除</P>
<P> C:\WINDOWS\wincup</P>
<P> 再做个补充:C:\PROGRA~1\WinKld 是微软的日历..如果有需要的朋友不必卸载...</P> <BR>
|
|
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡