引用:

【yingyue428的贴子】还有就是我没有下载农历的软件，不知道是咋回事？ ...........................

没有也没关系啊，只要按照上面的方法一样可以解决～如果想要农历的软件也行～有提示的～

引用:

【loveme167的贴子】关于"wincup.exe"彻底解决方法,中了这个病毒,可能会在电脑时间显示农历日历.是某网站宣传插件.遇到每次启动都产生C:\WINDOWS\TEMP\wincup\wincup.exe 的朋友是个很大的帮助. 1.先从控制面板卸装农历日历,或者打开 C:\PROGRA~1\WinKld 来卸装.重新启动电脑. 2.打开服务,我的电脑右键-管理-服务.禁用和停止JMediaService和StdService(主要是这个). 3.打开注册表. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 找JMediaService和StdService,全部删除. 4.用HijackThis修复有关C:\WINDOWS\SYSTEM32\stdup.dll,C:\PROGRA~1\MMSASS~1\ 项目. 5.删除下面文件. C:\Program Files\MMSAssist C:\WINDOWS\SYSTEM32\stdup.dll C:\WINDOWS\System32\STDSVER.DLL C:\Program Files\WinKld C:\WINDOWS\TEMP\wincup 以上步骤再结合楼主就比较全面,找不到跳过就是了.STDSVER.DLL是每次启动都产生wincup.exe问题所在. 问题解决了,记得顶我哦,你越顶我就越硬.当然是硬着头皮帮大家一起解决问题了. ...........................

JMediaService和StdService

晚上我会测试如果是真的我回复你...

我把论坛各位大虾的方法都试了一遍，还用防火墙把wincup等等……给禁止访问网络，相关文件夹几乎都删了，现在开机不报毒了，明天再看看过来报到情况。

顺便问一句mopery，你怎么这么晚还没睡啊？

【回复“kyyao”的帖子】

呵呵  我习惯了/...

我的机器中了以上病毒，瑞星可以查杀。但是当感染时，瑞星提示，要忽略病毒。然后我赶紧就查杀，不然就复制得多了。求助各位朋友帮忙啊！这个瑞星是不是不行啊！

致mopery和冰冷的板凳两位大虾。。希望你们两位已经起床了~小的我用http://forum.ikaka.com/topic.asp?board=28&artid=8122728&page=3里冰冷的板凳的第一种做法直接删除那些东西，并没有像mopery那样释放病毒彻底感染，而且在删除的时候只发现了JMediaService，LEGACY_AUKLD和LEGACY_AUCUP，加以全部删除。不知道我现在是不是已经把毒杀干净了呢？我现在的确没有病毒再显示了，但我不知道是防火墙的访问规则挡住了病毒的下载，还是真的杀干净了？


贴上我的扫描日志  因为是全英文的，不过基本还是看的懂得，麻烦大家了。
Logfile of HijackThis v1.99.1
Scan saved at 12:20:39, on 2006-7-18
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Rising\Rav\Ravmond.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
c:\program files\rising\rfw\rfwsrv.exe
C:\Program Files\Rising\Rav\RavStub.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\rising\rfw\RfwMain.exe
C:\Program Files\Rising\Rav\RavTask.exe
C:\Program Files\Rising\Rav\Ravmon.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
E:\ha_hijackthis_1991\HijackThis.exe

O2 - BHO: BandIE Class - {77FEF28E-EB96-44FF-B511-3185DEA48697} - C:\PROGRA~1\baidu\bar\baidubar.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: 百度超级搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:\PROGRA~1\baidu\bar\baidubar.dll
O3 - Toolbar: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\KakaTool.dll
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKLM\..\Run: [IMSCMIG40W] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40W\IMSCMIG.EXE /SetPreload /Log
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunOnce: [RavStub] "C:\Program Files\Rising\Rav\ravstub.exe" /RUNONCE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: 上传到QQ网络硬盘 - D:\Program Files\Tencent\qq\AddToNetDisk.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - D:\Program Files\Tencent\qq\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - D:\Program Files\Tencent\qq\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\Program Files\Tencent\qq\SendMMS.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.icbc.com.cn
O17 - HKLM\System\CCS\Services\Tcpip\..\{787074BE-7C6A-4715-B76A-B3AB5D8C53F1}: NameServer = 202.109.15.135 202.96.209.134
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe

只要杀干净了就好，不是你的放火墙阻挡的问题，我的机器就没有装放火墙～

引用:

【革命主义的贴子】我的机器中了以上病毒，瑞星可以查杀。但是当感染时，瑞星提示，要忽略病毒。然后我赶紧就查杀，不然就复制得多了。求助各位朋友帮忙啊！这个瑞星是不是不行啊！ ...........................

请用http://forum.ikaka.com/topic.asp?board=28&artid=8122728&page=3上面的方法解决，我已经综合了一下前面两位高手的方案～最好使用第一种方法，虽然稍微麻烦了一点，但是百分百能杀毒～

引用:

【yingyue428的贴子】还有就是我没有下载农历的软件，不知道是咋回事？ ...........................

因为以前中过浏览器插件MMSAssist.估计7月10日左右自动增加wincup.exe和安装农历.
中过浏览器插件MMSAssist,服务里应该有JMediaService.
没有运行wincup.exe,服务只有JMediaService和StdService.
运行wincup.exe.多了个服务WinWrCup.