【推荐】关于"wincup.exe"的分析...

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【推荐】关于"wincup.exe"的分析...

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 1 页

跳转页

mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	发表于： 2006-07-11 23:05 \| 显示全部短消息资料字号：小中大 1楼【推荐】关于"wincup.exe"的分析... O23 - NT 服务: WinWrCup - MsWinCup - C:\WINDOWS\wincup\wincup.exe 这几天经常看到这项..前几天拿到样本一直没去试...今天有空咯就试试... 样本放在其他盘..运行后..C:\WINDOWS\wincup生成文件...创建服务..wincup.exe访问网络...C:\WINDOWS\wincup里面是.ini文件和一个wincup.exe. .ini里有个连接 http://update2.borlander.cn/cup/wincup.cab 转到这网站后下载一个wincup.cab ..里面是一个 wincup.exe .. 【解决】开始-控制面板-性能和维护-管理工具-服务禁用掉WinWrCup - MsWinCup 开始-运行-regedit 注册表展开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Uninstall\ 删除WinWrCup 文件夹.. 展开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\ HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\ 删除 LEGACY_WINWRCUP 文件夹.. 删除 C:\WINDOWS\wincup ------------------------------------------------------------------------ 删除注册表时要借助Icesword ... http://forum.ikaka.com/topic.asp?board=28&artid=6979213二楼下载..正常模式与安全模式都可删除..但要借助Icesword来删除注册表的项... 2006-09-18 21:13:08
mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	分享到：

卡卡技术团队

帖子:17737
注册: 2005-12-06
来自:New York

发表于： 2006-07-12 16:00 | 显示全部 短消息资料

字号：小中大 2楼

引用:

【ygcnncgy的贴子】我的注册表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
里面没有相应的文件夹。
请问搂主，还存在问题吗？
...........................

仔细检查一下..如果确实没有就跳过...
最后全注册表搜索一次...

卡卡技术团队

帖子:17737
注册: 2005-12-06
来自:New York

发表于： 2006-07-12 16:16 | 显示全部 短消息资料

字号：小中大 3楼

引用:

【ygcnncgy的贴子】真的没有了，终于放心了。
谢谢。
多问一句：这个东西究竟是干什么的？
...........................

看三楼...baohe斑竹回复的..

mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	发表于： 2006-07-12 16:24 \| 显示全部短消息资料字号：小中大 4楼【回复“8803390”的帖子】 IS貌似不能搜索.. 你可以开始-运行-regedit 然后点一下我的电脑(注册表中的)-编辑-查找
mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York

卡卡技术团队

帖子:17737
注册: 2005-12-06
来自:New York

发表于： 2006-07-13 21:47 | 显示全部 短消息资料

字号：小中大 5楼

引用:

【叶·幽思的贴子】我刚刚转了LZ的帖子
...........................

没明白..

mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	发表于： 2006-07-14 19:52 \| 显示全部短消息资料字号：小中大 6楼 c:\windows\temp\wincup\wincup.exe c:\windows\temp\aukld\aukld.exe 安全模式删掉这俩文件..
mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York

mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	发表于： 2006-07-16 17:47 \| 显示全部短消息资料字号：小中大 7楼【回复“非妳吥可”的帖子】修复 F2 - REG:system.ini: UserInit=userinit.exe,C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\fafbce.exe O2 - BHO: (no name) - {669751ED-D558-49AE-B01A-3B374CC7910E} - C:\WINDOWS\system32\ssup.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll (file missing) O4 - HKLM\..\Run: [zmuy9s5p] RunDll32 "C:\WINDOWS\Downlo~1\zmuy9s5p.dll",Run O4 - HKLM\..\Run: [jiuwl2ig] RunDll32 "C:\WINDOWS\Downlo~1\jiuwl2ig.dll",Run O21 - SSODL: SysTime - {724C75F1-B757-408D-A50A-4CF99DA35D73} - C:\PROGRA~1\WinKld\WinKld.dll 删除 C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\fafbce.exe C:\WINDOWS\system32\ssup.dll C:\WINDOWS\Downlo~1\zmuy9s5p.dll C:\WINDOWS\Downlo~1\jiuwl2ig.dll C:\PROGRA~1\WinKld 安全模式用超级兔子清理王卸载一下流氓软件..
mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York

mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	发表于： 2006-07-16 17:48 \| 显示全部短消息资料字号：小中大 8楼【回复“郭郭gg”的帖子】修复 O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL (file missing) O2 - BHO: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll O3 - IE工具栏增项: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O8 - IE右键菜单中的新增项目: >> 彩信发送 << - res://C:\PROGRA~1\MMSASS~1\Mmsass~1.dll/mms.htm O8 - IE右键菜单中的新增项目: >>彩信发送<< - res://C:\PROGRA~1\MMSASS~1\mmsass~1.dll/mms.htm O9 - 浏览器额外的按钮: (no name) - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll O9 - 浏览器额外的“工具”菜单项: 彩E精灵设置 - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll O21 - SSODL: SysTime - {724C75F1-B757-408D-A50A-4CF99DA35D73} - C:\PROGRA~1\WinKld\WinKld.dll O23 - NT 服务: aukld - Unknown owner - e:\MYDOCU~1\Temp\aukld1\aukld1.exe (file missing) 参考现在顶置的帖子...
mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York

<<上一主题|下一主题>>

1 / 1 页

跳转页

mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	发表于： 2006-07-11 23:05 \| 显示全部短消息资料字号：小中大 1楼【推荐】关于"wincup.exe"的分析... O23 - NT 服务: WinWrCup - MsWinCup - C:\WINDOWS\wincup\wincup.exe 这几天经常看到这项..前几天拿到样本一直没去试...今天有空咯就试试... 样本放在其他盘..运行后..C:\WINDOWS\wincup生成文件...创建服务..wincup.exe访问网络...C:\WINDOWS\wincup里面是.ini文件和一个wincup.exe. .ini里有个连接 http://update2.borlander.cn/cup/wincup.cab 转到这网站后下载一个wincup.cab ..里面是一个 wincup.exe .. 【解决】开始-控制面板-性能和维护-管理工具-服务禁用掉WinWrCup - MsWinCup 开始-运行-regedit 注册表展开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Uninstall\ 删除WinWrCup 文件夹.. 展开 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\ HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\ 删除 LEGACY_WINWRCUP 文件夹.. 删除 C:\WINDOWS\wincup ------------------------------------------------------------------------ 删除注册表时要借助Icesword ... http://forum.ikaka.com/topic.asp?board=28&artid=6979213二楼下载..正常模式与安全模式都可删除..但要借助Icesword来删除注册表的项... 2006-09-18 21:13:08
mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【推荐】关于"wincup.exe"的分析...

【推荐】关于"wincup.exe"的分析...

【推荐】关于"wincup.exe"的分析...

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛【推荐】关于"wincup.exe"的分析...