瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 【推荐】关于"wincup.exe"与"aukld.exe"的分析...(修改)
巧克力恶霸 - 2006-7-18 12:54:00
我在查杀的过程中没有发现有winkalendar可以卸载,而且查杀时许多项我都跳过了,我查得很仔细,都没有。不知道要不要紧。看日志应该是干净了。。。。偶水平差,废话比较多。偶实在是不敢用mopery 那个彻底中毒的方法。因为我之前服务项里就只有J打头的那个。
冰冷的板凳 - 2006-7-18 13:00:00
引用:
【巧克力恶霸的贴子】我在查杀的过程中没有发现有winkalendar可以卸载,而且查杀时许多项我都跳过了,我查得很仔细,都没有。不知道要不要紧。看日志应该是干净了。。。。偶水平差,废话比较多。偶实在是不敢用mopery 那个彻底中毒的方法。因为我之前服务项里就只有J打头的那个。
...........................
这就可以了~winkalendar这个插件只是显示日期 星期几和天气的~功能不错也很美观~只用在
开始-控制面板-性能和维护-管理工具-服务
禁用掉aucup和aukld 以及JMediaService(这个一定要禁用)和StdService以及WinWrCup - MsWinCup
就可以了,没有的跳过
巧克力恶霸 - 2006-7-18 13:03:00
额。。。我只能禁用JMediaService.其它都没有所以跳过啦。当初就感觉删得好少。。。挣扎着要不要去全面感染。。。
冰冷的板凳 - 2006-7-18 13:11:00
我是全面感染了一遍,但是效果比没有全面感染还要麻烦~所以不建议全面感染~当然,如果全面感染,那么你要删除的东西就多了,比如注册表里本来没有的,一经全面感染就有了~只是步骤上的烦琐而已,并没有什么危害~可以说这个病毒不算是病毒,也并不是这个病毒在7月10号发作的~而是机器上也许早就有了,只不过瑞星还没有升级到把它定义为病毒的时候而已~7月10日瑞星升级了,升级之后才会提示发现这个病毒~其实这个病毒对机器是没有危害的~
巧克力恶霸 - 2006-7-18 13:23:00
感激涕零。。。
sinaapirl - 2006-7-18 14:34:00
非常感谢
我就是这个病毒这两天捆饶着我
现在总算解决了
十分感谢
angelMM - 2006-7-18 22:40:00
支持啊,虽然我已经解决了!
我还是来学习学习
☆☆妖姬☆☆ - 2006-7-19 14:23:00
我要把文章打印出来,呵呵
天涯孤星 - 2006-7-19 18:02:00
jxddht - 2006-7-19 21:50:00
没那么烦吧,根源就是MSNMES
①輩孓恋着妳 - 2006-7-20 16:54:00
lihai
→★蓝魔之泪 - 2006-7-21 11:32:00
专业啊!以后一定多来学习学习!
宝宝心情 - 2006-7-21 12:10:00
哎呀,謝謝樓主~我電還真中了這個招.....

loujun66 - 2006-7-21 15:04:00
板主,请您帮忙,我的电脑开了QQ就黑屏是怎么了?


jackycyn - 2006-7-23 21:59:00
哈哈,这个病毒我中过,不过我自己解决了!

大家有这个木马杀客,很好用的!

http://dx.mmsk.cn/setup.rar
汐花絮莳 - 2006-7-25 0:36:00
我的电脑中了 可是好长 我忙的晕头转向了 感觉得用笔写下来呀~~~
小忍SM - 2006-7-26 22:14:00
原来是这样啊
幸福123456 - 2006-7-27 10:48:00
我是新来的,是那种很菜的菜鸟,我想向你们请教些问题,希望可以帮我.1.如果开的瑞星正版防火墙 电脑要是中了病毒 是否可以阻止病毒再系统内运行.2.我一般都打开如腾讯  163等一些正规网站 文件很少去接别人的 前几天查病毒系统还没有 为什么过几天用瑞星有时候旧会检查出不少病毒.3.如果用瑞星整个系统都杀完毒,提示电脑没有病毒了,如果我在去使用网上银行是否一定很安全,因为我有时候会出现上述2的情况.4.我昨天早晨遇到了这样的情况,我进入我的电脑的我的桌面后.系统就自动谈到注销页面,这样连续了好几次,有几次更奇怪,我明明你上网都会开瑞星防火墙,他竟然提示我是否真要关闭防火墙,我当然点拒绝,可防火墙还是自己关闭了,然后还提示*****用户要通过远程控制我的电脑,问我是否同意,我点的拒绝,通过上述的奇怪现象是否我的电脑遭到了黑客的侵入,通过朋友的方法,我点开我的电脑-系统属性-远程 把其中允许用户远程连接到此计算机 关掉了,还需要怎么做,才会更加安全些.
  目前我心理想到的旧这些问题,希望论坛的高手GG门多多帮助我.谢谢!我是菜鸟希望高手GG们不要笑话我提出的一些问题!
╭⒉⒋κshen - 2006-7-29 20:31:00
jj
请多关照新手上路 - 2006-7-31 12:16:00
我的情况有点不一样怎么办?请指点.
HijackThis_815汉化版扫描日志 V1.99.1
保存于      12:07:07, 日期 2006-07-31
操作系统:  Windows XP SP2 (WinNT 5.01.2600)
浏览器:    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程:         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\Program Files\Rising\Rav\Ravmond.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Rising\Rav\RavStub.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Rising\Rav\RavTask.exe
C:\Program Files\Rising\Rav\Ravmon.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
F:\新建文件夹 (4)\MagicSet\SRIECLI.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
F:\新建文件夹\HijackThis1991汉化版\HijackThis1991zww.exe

O2 - BHO: 超级兔子上网精灵 - {7369D35A-5B70-4A5B-B789-B25FE09B4AF3} - F:\新建文~4\MAGICSET\haokanbar.dll
O3 - IE工具栏增项: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\KakaTool.dll
O3 - IE工具栏增项: 超级兔子上网精灵 - {43869BB3-22FD-4F15-9B46-238106BA2F4E} - F:\新建文~4\MAGICSET\haokanbar.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - 启动项HKLM\\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - 启动项HKLM\\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - 启动项HKLM\\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - 启动项HKLM\\Run: [QuickTime Task] "d:\幸福瞬间\qttask.exe" -atboottime
O4 - 启动项HKLM\\Run: [JrRClean] F:\网络提速圣手V6.3绿色版\网络提速圣手V6.3绿色版.asp\200641115045909\JrAdv.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Super Rabbit IEPro] F:\新建文件夹 (4)\MagicSet\SRIECLI.EXE /LOAD
O4 - Startup: 划词搜索.lnk = F:\program flies\HuaCi\huaci\zsearch.exe
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - D:\QQ文件\QQ2006\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\QQ文件\QQ2006\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\QQ文件\QQ2006\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\QQ文件\QQ2006\SendMMS.htm
O9 - 浏览器额外的按钮: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - F:\浩方平台\浩方对战平台\GameClient.exe
O9 - 浏览器额外的按钮: 中文上网 - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll (file missing)
O9 - 浏览器额外的“工具”菜单项: 中文上网 - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll (file missing)
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\QQ文件\QQ2006\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\QQ文件\QQ2006\QQ.EXE
O9 - 浏览器额外的按钮: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\WINDOWS\system32\shdocvw.dll
O9 - 浏览器额外的“工具”菜单项: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\WINDOWS\system32\shdocvw.dll
O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 浏览器额外的“工具”菜单项: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 浏览器额外的按钮: 访问瑞星网站 - {FF2DE7A6-ECB1-4CBC-9C0E-D92A9E66E444} - http://www.rising.com.cn/?u=RSTB (file missing)
O9 - 浏览器额外的按钮: 访问卡卡社区 - {FF2DE7A6-ECB1-4CBC-9C0E-D92A9E66E445} - http://www.ikaka.com/?u=RSTB (file missing)
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\cdnns.dll' missing
O11 - Options group: [CDNCLIENT]  中文上网
O16 - DPF: {0400AC1C-EEF0-4638-A501-31D5A0DC2002} (VTPlug3 Class) - http://s5.liaoliao.com:1995/VTrans.cab
O16 - DPF: {6924091F-CD97-41E1-B1D4-D9079409D413} (IMCv1 Control) - http://s5.liaoliao.com:1995/talk.cab
O16 - DPF: {AB89C9BF-9250-473B-BE49-D34F615CB678} (Chaos Filter) - http://download.mysee.com/Chaos.cab
O21 - SSODL: SysTime - {724C75F1-B757-408D-A50A-4CF99DA35D73} - C:\PROGRA~1\winkld\winkld.dll
O23 - NT 服务: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - NT 服务: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe
O23 - NT 服务: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

mopery - 2006-7-31 13:02:00
【回复“请多关照新手上路”的帖子】

并没有中..如果你要卸载掉微软的日历也行..
另类唰漂移 - 2006-7-31 14:12:00
楼上的..
    帮帮忙..急..
请多关照新手上路 - 2006-7-31 19:13:00
【回复"mopery”的帖子】
并没有中..如果你要卸载掉微软的日历也行..


O21 - SSODL: SysTime - {724C75F1-B757-408D-A50A-4CF99DA35D73} - C:\PROGRA~1\winkld\winkld.dll这项呢?
mopery - 2006-7-31 19:47:00
引用:
【请多关照新手上路的贴子】【回复"mopery”的帖子】
并没有中..如果你要卸载掉微软的日历也行..


O21 - SSODL: SysTime - {724C75F1-B757-408D-A50A-4CF99DA35D73} - C:\PROGRA~1\winkld\winkld.dll这项呢?
...........................


此项就是微软日历..
请多关照新手上路 - 2006-8-1 12:14:00
谢谢楼主!
但是有的说我中了
病毒特性:
一、VIPTray 会注册成系统服务。

服务描述为:
提供基于 Internet explorer 的网络内容。如果此服务被终止,将会失去这些功能和内容。如果此服务被禁用,其他依赖此服务的网络内容将无法正常运行。

二、修改注册表

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

修改键值system 为 C:\%windows\%system32\friendly.exe ZNKwcxv=

创建BHO
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

DLL名称为 WinDefendor.dll

三、生成的文件有:

C:\%windows\%system32\VIPTray.exe
C:\%windows\%system32\WinDefendor.dll
C:\%windows\%system32\friendly.exe

他叫我这么办.清除方法:

步骤1 启动计算机按F8键进入安全模式, 然后删除掉这三个文件

C:\%windows\%system32\VIPTray.exe
C:\%windows\%system32\WinDefendor.dll
C:\%windows\%system32\friendly.exe

步骤2 修复注册表键值(修改之前请务必备份注册表)

1)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

修改键值System 为 空(即将键值System指向的数值数据删除)

2)删除注册表中与WinDefendor.dll相关的键值。

步骤3 重新启动计算机
你看他说的对吗?
冰河仙剑 - 2006-8-1 23:03:00
原来是这么回事!!
我也中过,可是当时我的病毒防火墙版本太....太高(众人倒…… -_-b!),再加上我的反病毒知识不错!(好像有点自夸了!),就给拦截下来了!!当时,我还没看到这篇文章,自己就给杀了!也可能是我中的很浅吧?!因为毕竟我没让wincup aukld等程序访问网络!
lovepig520 - 2006-8-4 17:12:00
谁帮我看一下日志哦,中毒了.....
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>  [Microsoft Corporation]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <RavTask><"d:\Program Files\Rising\Rav\RavTask.exe" -system>  [Beijing Rising Technology Co., Ltd.]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    <RavStub><"d:\Program Files\Rising\Rav\ravstub.exe" /RUNONCE>  [Beijing Rising Technology Co., Ltd.]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <CheckFaultKernel><C:\WINDOWS\system32\mswdm.exe>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><EXPLORER.EXE>  [Microsoft Corporation]
    <Userinit><userinit.exe,C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\mief.exe>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><KB49400M.LOG>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <UIHost><logonui.exe>  [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{32CD708B-60A7-4C00-9377-D73EAA495F0F}><C:\WINDOWS\system32\RavExt.dll>  [Beijing Rising Technology Co., Ltd.]
    <{894674F7-191B-4DB3-8655-1788037A099E}><C:\Program Files\Internet Explorer\WinHook.sys>  []
    <{99F1D023-7CEB-4586-80F7-BB1A98DB7602}><C:\Program Files\Internet Explorer\IEXPLORE.Sys>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <stdup><>  []
    <Vision><>  []
    <DelayRun><C:\WINDOWS\system32\716d2e20.dll>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
    <WinlogonNotify: igfxcui><igfxdev.dll>  [Intel Corporation]

==================================
启动文件夹
服务
[Rising Proxy  Service / RfwProxySrv]
  <d:\program files\rising\rfw\rfwproxy.exe><Beijing Rising Technology Co., Ltd.>
[Rising Personal Firewall Service / RfwService]
  <d:\program files\rising\rfw\rfwsrv.exe><Beijing Rising Technology Co., Ltd.>
[Rising Process Communication Center / RsCCenter]
  <"d:\Program Files\Rising\Rav\CCenter.exe"><Beijing Rising Technology Co., Ltd.>
[RsRavMon Service / RsRavMon]
  <"d:\Program Files\Rising\Rav\Ravmond.exe"><Beijing Rising Technology Co., Ltd.>
bszxtkf - 2006-8-5 6:02:00
现象:每当打开一个文件夹,就会在此文件夹下产生两个exe文件,但是图标却是文本文件的,文件名每次不一样是随机的。
用瑞星查,查不出来。网络上没有这方面的先例。没办法我格式了C盘,重装了操作系统。可是一打开D呀E呀F呀盘,还是有这样的问题,没法办啊!
请高手指点一二!谢谢了!

幻幻天空 - 2006-8-5 6:48:00
学习了,非常感谢楼主!~~`
fateless - 2006-8-5 16:32:00
谢谢阿拉
1234
查看完整版本: 【推荐】关于"wincup.exe"与"aukld.exe"的分析...(修改)
© 2000 - 2026 Rising Corp. Ltd.