前几天分析了C:\WINDOWS\wincup\wincup.exe ...这俩天又跑出个同名的文件夹..路径为C:\WINDOWS\Temp\wincup\wincup.exe和C:\WINDOWS\Temp\aukld\aukld.exe  前俩天卡巴就报了..瑞星好象昨天才报..病毒名:Trojan.DL.adload.io和Trojan.DL.adload.ip ...
这俩天关于此求助的人也多了..今天拿到样本就分析..

运行wincup.exe ..释放文件aucup和extern.ini .. 还有~de5.tmp (文件名中的数字会不同)..创建服务O23 - NT 服务: aucup - Unknown owner - C:\WINDOWS\Temp\wincup\wincup.exe ... 访问网络..

运行aukld.exe ..释放文件inskld和~de5.tmp(文件中的数字会不同) ...创建服务O23 - NT 服务: aukld - Unknown owner - C:\WINDOWS\Temp\aukld\aukld.exe ..访问网络..

访问网络后..下载WinKalendar ...HijackThis的021项会体现出来..O21 - SSODL: SysTime - {724C75F1-B757-408D-A50A-4CF99DA35D73} - C:\PROGRA~1\WinKld\WinKld.dll ...此项可能出现也有可能不出现...

【解决】
结束进程
C:\WINDOWS\wincup\wincup.exe(可能会有我这一俩次测试都出现这项..)

开始-控制面板-添加与删除程序
卸载WinKalendar,winwrcup,vision communicate ....(有的会没有..)

开始-控制面板-管理工具-服务
禁用掉 aucup , aukld , WinWrCup ，JMediaService  这四个服务..(有的会没有..)

开始-运行-regedit
注册表
展开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\
删除aucup , aukld , JMediaService , WinWrCup 这四个文件夹...(这三处地方仔细检查..有的有..有的没有..)

展开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\
删除LEGACY_AUKLD , LEGACY_AUCUP , LEGACY_JMEDIASERVICE , LEGACY_WINWRCUP这四个文件夹...(同上..仔细找找..必须使用Icesword来删除..)

展开
HKEY_CLASSES_ROOT\CLSID\
删除{724C75F1-B757-408D-A50A-4CF99DA35D73} 这文件夹...(有可能没有这项..)


重启后删除..
C:\WINDOWS\Temp\wincup
C:\WINDOWS\Temp\aukld
C:\PROGRA~1\WinKld
C:\WINDOWS\Temp\inskld(文件夹内是同时释放的一个.exe文件)
C:\WINDOWS\Temp\inscup(文件夹内是同时释放的一个.exe文件)
C:\WINDOWS\wincup
------------------------------------------------------------------------
删除注册表的时候还是得借助 Icesword 来删除..
下载地址:http://forum.ikaka.com/topic.asp?board=28&artid=6979213(二楼)
------------------------------------------------------------------------

这俩文件访问网络时..如果防火墙阻止了不会生成C:\PROGRA~1\WinKld ..

------------------------------------------------------------------------
这俩个文件与C:\WINDOWS\wincup\wincup.exe 有关系..还有彩信助手...
建议在处理完后用超级兔子清理王安全模式卸载一下...
超级兔子下载地址:http://www.pctutu.com/srmsdown.asp

C:\WINDOWS\wincup\wincup.exe 详细参考:http://forum.ikaka.com/topic.asp?board=28&artid=8120559
-------------------------------------------------------------------------
在此感谢 阳光(newcenturymoon) 的补充..
再做个补充:C:\PROGRA~1\WinKld 是微软的日历..如果有需要的朋友不必卸载...

跟VIP 太象...
叫他VIP 二代 绝对够...

引用:

【baohe的贴子】 你是mopery的阿姨？ ...........................

猫叔 见笑..全群都喊他阿姨...

引用:

【非洲北极熊的贴子】没用,一天变一次,Trojan.DL.Agent.hoh \Trojan.DTrojan.DL.Adload.ioL.Adload.ip\Trojan.DL.Adload.iy ...........................

建议扫个日志...病毒名都不一样..(自己开帖..)

引用:

【不言放弃的贴子】WinKalenda? 微软农历？ 还是冒充的微软农历？ ...........................

其实看一下它的支持信息就能辨认出来了...

这个病毒非常怪异...
我也不知道怎么说..
可能与C:\WINDOWS\wincup\wincup.exe 有关联...

【回复“非洲北极熊”的帖子】

此病毒没此服务..所以你停用了可能会影响其他软件...

这病毒十分怪异 ..有的人没服务..有的人又有...
有的还没完全感染...

引用:

【kyyao的贴子】我的 C:\PROGRA~1没有这个文件夹怎么办？ ...........................

没有跳过...

引用:

【kyyao的贴子】 为什么我在C盘里面看不到PROGRA~1这个文件夹呢，而且按照楼主的方法杀了还有怎么办啊？ ...........................

麻烦打包(压缩)那样俩个 文件...发送到bin59420@yahoo.com.cn

引用:

【loveme167的贴子】关于"wincup.exe"彻底解决方法,中了这个病毒,可能会在电脑时间显示农历日历.是某网站宣传插件.遇到每次启动都产生C:\WINDOWS\TEMP\wincup\wincup.exe 的朋友是个很大的帮助. 1.先从控制面板卸装农历日历,或者打开 C:\PROGRA~1\WinKld 来卸装.重新启动电脑. 2.打开服务,我的电脑右键-管理-服务.禁用和停止JMediaService和StdService(主要是这个). 3.打开注册表. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 找JMediaService和StdService,全部删除. 4.用HijackThis修复有关C:\WINDOWS\SYSTEM32\stdup.dll,C:\PROGRA~1\MMSASS~1\ 项目. 5.删除下面文件. C:\Program Files\MMSAssist C:\WINDOWS\SYSTEM32\stdup.dll C:\WINDOWS\System32\STDSVER.DLL C:\Program Files\WinKld C:\WINDOWS\TEMP\wincup 以上步骤再结合楼主就比较全面,找不到跳过就是了.STDSVER.DLL是每次启动都产生wincup.exe问题所在. 问题解决了,记得顶我哦,你越顶我就越硬.当然是硬着头皮帮大家一起解决问题了. ...........................

JMediaService和StdService

晚上我会测试如果是真的我回复你...