瑞星卡卡安全论坛

前几天分析了C:\WINDOWS\wincup\wincup.exe ...这俩天又跑出个同名的文件夹..路径为C:\WINDOWS\Temp\wincup\wincup.exe和C:\WINDOWS\Temp\aukld\aukld.exe  前俩天卡巴就报了..瑞星好象昨天才报..病毒名:Trojan.DL.adload.io和Trojan.DL.adload.ip ...
这俩天关于此求助的人也多了..今天拿到样本就分析..

运行wincup.exe ..释放文件aucup和extern.ini .. 还有~de5.tmp (文件名中的数字会不同)..创建服务O23 - NT 服务: aucup - Unknown owner - C:\WINDOWS\Temp\wincup\wincup.exe ... 访问网络..

运行aukld.exe ..释放文件inskld和~de5.tmp(文件中的数字会不同) ...创建服务O23 - NT 服务: aukld - Unknown owner - C:\WINDOWS\Temp\aukld\aukld.exe ..访问网络..

访问网络后..下载WinKalendar ...HijackThis的021项会体现出来..O21 - SSODL: SysTime - {724C75F1-B757-408D-A50A-4CF99DA35D73} - C:\PROGRA~1\WinKld\WinKld.dll ...此项可能出现也有可能不出现...

【解决】
结束进程
C:\WINDOWS\wincup\wincup.exe(可能会有我这一俩次测试都出现这项..)

开始-控制面板-添加与删除程序
卸载WinKalendar,winwrcup,vision communicate ....(有的会没有..)

开始-控制面板-管理工具-服务
禁用掉 aucup , aukld , WinWrCup ，JMediaService  这四个服务..(有的会没有..)

开始-运行-regedit
注册表
展开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\
删除aucup , aukld , JMediaService , WinWrCup 这四个文件夹...(这三处地方仔细检查..有的有..有的没有..)

展开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\
删除LEGACY_AUKLD , LEGACY_AUCUP , LEGACY_JMEDIASERVICE , LEGACY_WINWRCUP这四个文件夹...(同上..仔细找找..必须使用Icesword来删除..)

展开
HKEY_CLASSES_ROOT\CLSID\
删除{724C75F1-B757-408D-A50A-4CF99DA35D73} 这文件夹...(有可能没有这项..)


重启后删除..
C:\WINDOWS\Temp\wincup
C:\WINDOWS\Temp\aukld
C:\PROGRA~1\WinKld
C:\WINDOWS\Temp\inskld(文件夹内是同时释放的一个.exe文件)
C:\WINDOWS\Temp\inscup(文件夹内是同时释放的一个.exe文件)
C:\WINDOWS\wincup
------------------------------------------------------------------------
删除注册表的时候还是得借助 Icesword 来删除..
下载地址:http://forum.ikaka.com/topic.asp?board=28&artid=6979213(二楼)
------------------------------------------------------------------------

这俩文件访问网络时..如果防火墙阻止了不会生成C:\PROGRA~1\WinKld ..

------------------------------------------------------------------------
这俩个文件与C:\WINDOWS\wincup\wincup.exe 有关系..还有彩信助手...
建议在处理完后用超级兔子清理王安全模式卸载一下...
超级兔子下载地址:http://www.pctutu.com/srmsdown.asp

C:\WINDOWS\wincup\wincup.exe 详细参考:http://forum.ikaka.com/topic.asp?board=28&artid=8120559
-------------------------------------------------------------------------
在此感谢 阳光(newcenturymoon) 的补充..
再做个补充:C:\PROGRA~1\WinKld 是微软的日历..如果有需要的朋友不必卸载...

学习~~~~~~~~~

閤法軟件流氓行為,,嘎嘎

跟VIP 太象...
叫他VIP 二代 绝对够...

支持一下..
阿姨学习了.

引用:

【叶子MM的贴子】支持一下.. 阿姨学习了. ...........................

你是mopery的阿姨？

引用:

【baohe的贴子】 你是mopery的阿姨？ ...........................

猫叔 见笑..全群都喊他阿姨...

引用:

【叶子MM的贴子】支持一下.. 阿姨学习了. ...........................

哈.阿姨也来学习来啦..........

引用:

【mopery的贴子】 猫叔 见笑..全群都喊他阿姨... ...........................

阿姨自己都不怕老

猫叔,,你晕了吧..
我是岁数大了,简称阿姨...

好久没来，又上新东西了，学习了．

mopery朋友，非常感谢你

我电脑上的已经清楚了~

555555不会啊，楼主上面说的东西，一个都没找到。。。。

我的也是呀！发现病毒，瑞星杀掉！关机重起又出来！楼主的帖子我看了，可是照上面说的方法！我是一个也没找到呀，怎么回事呢？是不是先发现病毒不删除，然后释放出来再按照楼主的做法是吗？

呵呵，收藏了，M的功力见长呀

非常感谢楼主，我电脑中了，有空要杀一下。

引用:

【mopery的贴子】 猫叔 见笑..全群都喊他阿姨... ...........................

是啊，~~~~~~~~~~~~除了我
以后我也叫呀

没用,一天变一次,Trojan.DL.Agent.hoh \Trojan.DTrojan.DL.Adload.ioL.Adload.ip\Trojan.DL.Adload.iy

引用:

【非洲北极熊的贴子】没用,一天变一次,Trojan.DL.Agent.hoh \Trojan.DTrojan.DL.Adload.ioL.Adload.ip\Trojan.DL.Adload.iy ...........................

建议扫个日志...病毒名都不一样..(自己开帖..)

楼主说的病毒,在发作时确实是生成在C:\WINDOWS\Temp中。
照您的方法只在添加删除中找到了WinKalendar并卸载。
然后删除了C:\WINDOWS\Temp\wincup
C:\WINDOWS\Temp\aukld
C:\PROGRA~1\WinKld
C:\WINDOWS\Temp\inskld(文件夹内是同时释放的一个.exe文件)
C:\WINDOWS\Temp\inscup(文件夹内是同时释放的一个.exe文件)这些文件。
问题：关于在注册表中找并没有发现aucup和aukld 、LEGACY_AUKLD和LEGACY_AUCU。

  然后重起病毒会再次出现，我认为病毒还是隐藏在服务里面。只是我看不出。
这是每次监控提示的消息：
删除成功    2006-07-14 05:47    文件监控    C:\WINDOWS\TEMP\wincup    wincup.exe   
删除成功    2006-07-14 06:22    文件监控    C:\WINDOWS\TEMP\wincup    wincup.exe   
删除成功    2006-07-14 06:28    文件监控    C:\WINDOWS\TEMP\wincup    wincup.exe   
删除成功    2006-07-14 17:25    文件监控    C:\WINDOWS\TEMP\wincup    wincup.exe   
删除成功    2006-07-14 21:09    文件监控    C:\WINDOWS\TEMP\wincup    wincup.exe   
删除成功    2006-07-14 22:18    文件监控    C:\WINDOWS\TEMP\wincup    wincup.exe   
删除成功    2006-07-14 22:19    文件监控    C:\WINDOWS\TEMP\wincup    wincup.exe   
删除成功    2006-07-14 23:54    文件监控    C:\WINDOWS\TEMP\wincup    wincup.exe   
删除成功    2006-07-14 23:54    文件监控    C:\WINDOWS\TEMP\wincup    wincup.exe   
删除成功    2006-07-15 03:58    文件监控    C:\WINDOWS\TEMP\wincup    wincup.exe   
删除成功    2006-07-15 17:39    文件监控    C:\WINDOWS\TEMP\wincup    wincup.exe   
删除成功    2006-07-15 17:44    文件监控    C:\WINDOWS\TEMP\wincup    wincup.exe   
删除成功    2006-07-16 07:04    文件监控    C:\WINDOWS\TEMP\wincup    wincup.exe   
删除成功    2006-07-16 07:08    文件监控    C:\WINDOWS\TEMP\wincup    wincup.exe   
删除成功    2006-07-16 16:58    文件监控    C:\WINDOWS\TEMP\wincup    wincup.exe   
删除成功    2006-07-16 17:41    文件监控    C:\WINDOWS\TEMP\wincup    wincup.exe


以下是服务项：   



附件: 6629392006716181519.jpg

接上

附件: 6629392006716182033.jpg

接上

附件: 6629392006716182247.jpg

WinKalenda?
微软农历？
还是冒充的微软农历？

引用:

【不言放弃的贴子】WinKalenda? 微软农历？ 还是冒充的微软农历？ ...........................

其实看一下它的支持信息就能辨认出来了...

引用:

【mopery的贴子】 其实看一下它的支持信息就能辨认出来了... ...........................

没有样本
再说也好久没有测试病毒样本了

这个病毒非常怪异...
我也不知道怎么说..
可能与C:\WINDOWS\wincup\wincup.exe 有关联...

我也碰到了，杀来杀去都没用，LZ能不能再详解一下，谢谢了

经过无数次的试验,发现:
在添加删除中卸载winkld.
当然还要在楼主最后提到的删除temp文件目录下的
C:\WINDOWS\Temp\wincup
C:\WINDOWS\Temp\aukld
C:\PROGRA~1\WinKld
C:\WINDOWS\Temp\inskld(文件夹内是同时释放的一个.exe文件)
C:\WINDOWS\Temp\inscup(文件夹内是同时释放的一个.exe文件)
随后如下图所示:关闭服务项.到现在没有病毒出现!!!

附件: 6629392006716224547.jpg

【回复“非洲北极熊”的帖子】

此病毒没此服务..所以你停用了可能会影响其他软件...

这病毒十分怪异 ..有的人没服务..有的人又有...
有的还没完全感染...

我的杀来杀去都不管用啊，还是有，望各位高手指教小弟！