51CTO技术论坛_中国领先的IT技术社区 » 安全技术和产品应用 » 关于"wincup.exe"与"aukld.exe"的分析

mayihedaxiang 发表于 2006-8-25 20:18

关于"wincup.exe"与"aukld.exe"的分析

前几天分析了C:\WINDOWS\wincup\wincup.exe ...这俩天又跑出个同名的文件夹..路径为C:\WINDOWS\Temp\wincup\wincup.exe和C:\WINDOWS\Temp\aukld\aukld.exe 前俩天卡巴就报了..瑞星好象昨天才报..病毒名:Trojan.DL.adload.io和Trojan.DL.adload.ip ...
这俩天关于此求助的人也多了..今天拿到样本就分析..

运行wincup.exe ..释放文件aucup和extern.ini .. 还有~de5.tmp (文件名中的数字会不同)..创建服务O23 - NT 服务: aucup - Unknown owner - C:\WINDOWS\Temp\wincup\wincup.exe ... 访问网络..

运行aukld.exe ..释放文件inskld和~de5.tmp(文件中的数字会不同) ...创建服务O23 - NT 服务: aukld - Unknown owner - C:\WINDOWS\Temp\aukld\aukld.exe ..访问网络..

访问网络后..下载WinKalendar ...HijackThis的021项会体现出来..O21 - SSODL: SysTime - {724C75F1-B757-408D-A50A-4CF99DA35D73} - C:\PROGRA~1\WinKld\WinKld.dll ...此项可能出现也有可能不出现...

【解决】
结束进程
C:\WINDOWS\wincup\wincup.exe(可能会有我这一俩次测试都出现这项..)

开始-控制面板-添加与删除程序
卸载WinKalendar,winwrcup,vision communicate ....(有的会没有..)

开始-控制面板-管理工具-服务
禁用掉 aucup , aukld , WinWrCup ，JMediaService 这四个服务..(有的会没有..)

开始-运行-regedit
注册表
展开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\
删除aucup , aukld , JMediaService , WinWrCup 这四个文件夹...(这三处地方仔细检查..有的有..有的没有..)

展开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\
删除LEGACY_AUKLD , LEGACY_AUCUP , LEGACY_JMEDIASERVICE , LEGACY_WINWRCUP这四个文件夹...(同上..仔细找找..必须使用Icesword来删除..)

展开
HKEY_CLASSES_ROOT\CLSID\
删除{724C75F1-B757-408D-A50A-4CF99DA35D73} 这文件夹...(有可能没有这项..)

重启后删除..
C:\WINDOWS\Temp\wincup
C:\WINDOWS\Temp\aukld
C:\PROGRA~1\WinKld
C:\WINDOWS\Temp\inskld(文件夹内是同时释放的一个.exe文件)
C:\WINDOWS\Temp\inscup(文件夹内是同时释放的一个.exe文件)
C:\WINDOWS\wincup
------------------------------------------------------------------------
删除注册表的时候还是得借助 Icesword 来删除..
下载地址:[url=http://forum.ikaka.com/topic.asp?board=28&artid=6979213]http://forum.ikaka.com/topic.asp?board=28&artid=6979213[/url](二楼)
------------------------------------------------------------------------

这俩文件访问网络时..如果防火墙阻止了不会生成C:\PROGRA~1\WinKld ..

------------------------------------------------------------------------
这俩个文件与C:\WINDOWS\wincup\wincup.exe 有关系..还有彩信助手...
建议在处理完后用超级兔子清理王安全模式卸载一下...
超级兔子下载地址:[url=http://www.pctutu.com/srmsdown.asp]http://www.pctutu.com/srmsdown.asp[/url]

C:\WINDOWS\wincup\wincup.exe 详细参考:[url=http://forum.ikaka.com/topic.asp?board=28&artid=8120559]http://forum.ikaka.com/topic.asp?board=28&artid=8120559[/url]
-------------------------------------------------------------------------
在此感谢 阳光(newcenturymoon) 的补充..
再做个补充:C:\PROGRA~1\WinKld 是微软的日历..如果有需要的朋友不必卸载...

jj111335 发表于 2006-9-5 11:44

顶 沙发先站到

sos2z 发表于 2006-9-6 13:54

o  ooooooooooooo  呵呵　好样的

hexiao 发表于 2006-9-8 22:26

顶

lifediy07 发表于 2006-10-9 17:08

回复 #4 hexiao 的帖子

就是好

gph-rabbit 发表于 2006-11-6 23:02

不错，好东西啊。。。。。

david_rui 发表于 2006-11-24 13:50

谢了

anew 发表于 2006-12-14 18:45

不错
强
支持

hsdyh520123 发表于 2007-1-4 04:48

分析得挺专业的，不错啊，谢谢楼主！

300second 发表于 2007-1-4 11:57

不错啊，分析得挺专业的~~~

shuzelin 发表于 2007-1-5 00:47

去看下啊！[url]http://free.ys168.com/?shuzelin[/url]

string123 发表于 2007-1-8 14:17

好,

qiuwenhuifx 发表于 2007-1-12 23:15

牛,学习中

nox66 发表于 2007-1-15 19:39

学习ing ......

tomxuzi 发表于 2007-2-24 21:19

en  you jiandi!!!

Demonty1010 发表于 2007-2-25 14:45

好东西一定要支持

最爱曼联 发表于 2007-2-25 16:15

分析的不错
很详细、
楼主是干什么的啊

查看完整版本: 关于"wincup.exe"与"aukld.exe"的分析