【推荐】关于"wincup.exe"的分析... bbs.ikaka.com

mopery - 2006-7-11 23:05:00

O23 - NT 服务: WinWrCup - MsWinCup - C:\WINDOWS\wincup\wincup.exe
这几天经常看到这项..前几天拿到样本一直没去试...今天有空咯就试试...

样本放在其他盘..运行后..C:\WINDOWS\wincup生成文件...创建服务..wincup.exe访问网络...C:\WINDOWS\wincup里面是.ini文件和一个wincup.exe.
.ini里有个连接 http://update2.borlander.cn/cup/wincup.cab 转到这网站后下载一个wincup.cab ..里面是一个 wincup.exe ..

【解决】
开始-控制面板-性能和维护-管理工具-服务
禁用掉WinWrCup - MsWinCup

开始-运行-regedit
注册表
展开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Uninstall\
删除WinWrCup 文件夹..

展开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\
删除 LEGACY_WINWRCUP 文件夹..

删除
C:\WINDOWS\wincup

------------------------------------------------------------------------
删除注册表时要借助Icesword ...
http://forum.ikaka.com/topic.asp?board=28&artid=6979213二楼下载..正常模式与安全模式都可删除..但要借助Icesword来删除注册表的项...

独孤豪侠 - 2006-7-11 23:14:00

不错.......

710207 - 2006-7-12 8:54:00

果然不是好东西......

baohe - 2006-7-12 9:02:00

好像是“世界杯”的桌面广告程序

710207 - 2006-7-12 9:08:00

引用:

【baohe的贴子】好像是“世界杯”的桌面广告程序
...........................

百度知道里有人说是世界杯的桌面广告,有人说是木马病毒......

独孤豪侠 - 2006-7-12 9:19:00

不过从它的行为来看就是一木马行为......
未经用户允许就从网上下载东西.......

710207 - 2006-7-12 9:20:00

引用:

【独孤豪侠的贴子】不过从它的行为来看就是一木马行为......
未经用户允许就从网上下载东西.......
...........................

这种东西就该灭掉......

闪电风暴 - 2006-7-12 9:43:00

这两天关于这个问题的人数多了

太愚弱智 - 2006-7-12 9:59:00

哈哈偶电脑里就有这玩意真该死的...晚上回去听楼主的去消灭她.........

大连蓝天 - 2006-7-12 12:22:00

不错，学习

lijinyuan - 2006-7-12 15:08:00

是该学习一下了

ygcnncgy - 2006-7-12 15:52:00

刚操作完。困扰了好长时间。顶！！！！！！！！！

ygcnncgy - 2006-7-12 15:55:00

我的注册表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
里面没有相应的文件夹。
请问搂主，还存在问题吗？

mopery - 2006-7-12 16:00:00

引用:

【ygcnncgy的贴子】我的注册表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
里面没有相应的文件夹。
请问搂主，还存在问题吗？
...........................

仔细检查一下..如果确实没有就跳过...
最后全注册表搜索一次...

ygcnncgy - 2006-7-12 16:10:00

真的没有了，终于放心了。
谢谢。
多问一句：这个东西究竟是干什么的？

mopery - 2006-7-12 16:16:00

引用:

【ygcnncgy的贴子】真的没有了，终于放心了。
谢谢。
多问一句：这个东西究竟是干什么的？
...........................

看三楼...baohe斑竹回复的..

8803390 - 2006-7-12 16:17:00

引用:

【mopery的贴子】

仔细检查一下..如果确实没有就跳过...
最后全注册表搜索一次...
...........................

请问一下老大，全注册表搜索一下IceSword里面有这个功能吗？还是一个个文件夹的张开搜索？如果IceSword里面有这个功能那就太好了！

mopery - 2006-7-12 16:24:00

【回复“8803390”的帖子】
IS貌似不能搜索..
你可以开始-运行-regedit
然后点一下我的电脑(注册表中的)-编辑-查找

ygcnncgy - 2006-7-12 16:44:00

真的没了

小明酷拽 - 2006-7-12 22:19:00

支持!!!!!!! 很好!

yanmings - 2006-7-12 23:13:00

收藏，支持M

oo123oo3 - 2006-7-13 0:29:00

是该学习一下了

飘摇2003 - 2006-7-13 16:34:00

哈哈~~好长时间没来"爱卡"了,呵呵,没想到,爱卡有这么大的变化啊~~!支持,好贴 ~~!

叶·幽思 - 2006-7-13 21:34:00

我刚刚转了LZ的帖子

mopery - 2006-7-13 21:47:00

引用:

【叶·幽思的贴子】我刚刚转了LZ的帖子
...........................

没明白..

独孤豪侠 - 2006-7-13 21:57:00

刚刚把你的贴子转到其它网站了~~~~~~

newcenturymoon - 2006-7-14 12:56:00

报给瑞星两次瑞星断然说他不是病毒好像瑞星对于广告程序熟视无睹

叶·幽思 - 2006-7-14 14:58:00

引用:

【mopery的贴子】

没明白..
...........................

看看这个: http://forum.ikaka.com/topic.asp?board=67&artid=8121373 3楼的哈!

royfewe - 2006-7-14 19:40:00

请问楼主:我的病毒是在以下路径
c:\windows\temp\wincup\wincup.exe
c:\windows\temp\aukld\aukld.exe
注册表没有楼主列出的那些文件夹,请问该怎么删除?谢谢

mopery - 2006-7-14 19:52:00

c:\windows\temp\wincup\wincup.exe
c:\windows\temp\aukld\aukld.exe
安全模式删掉这俩文件..

瑞星卡卡安全论坛