关于"wincup.exe"与"aukld.exe"的分析

　　前几天分析了C:\WINDOWS\wincup\wincup.exe ...这俩天又跑出个同名的文件夹..路径为C:\WINDOWS\Temp\wincup\wincup.exe和C:\WINDOWS\Temp\aukld\aukld.exe 前俩天卡巴就报了..瑞星好象昨天才报..病毒名:Trojan.DL.adload.io和Trojan.DL.adload.ip ...

　　这俩天关于此求助的人也多了..今天拿到样本就分析..

　　运行wincup.exe ..释放文件aucup和extern.ini .. 还有~de5.tmp (文件名中的数字会不同)..创建服务O23 - NT 服务: aucup - Unknown owner - C:\WINDOWS\Temp\wincup\wincup.exe ... 访问网络..

　　运行aukld.exe ..释放文件inskld和~de5.tmp(文件中的数字会不同) ...创建服务O23 - NT 服务: aukld - Unknown owner - C:\WINDOWS\Temp\aukld\aukld.exe ..访问网络..

　　访问网络后..下载WinKalendar ...HijackThis的021项会体现出来..O21 - SSODL: SysTime - {724C75F1-B757-408D-A50A-4CF99DA35D73} - C:\PROGRA~1\WinKld\WinKld.dll ...此项可能出现也有可能不出现...

　　【解决】

　　结束进程

　　C:\WINDOWS\wincup\wincup.exe(可能会有我这一俩次测试都出现这项..)

　　开始-控制面板-添加与删除程序

　　卸载WinKalendar,winwrcup,vision communicate ....(有的会没有..)

　　开始-控制面板-管理工具-服务

　　禁用掉 aucup , aukld , WinWrCup ，JMediaService 这四个服务..(有的会没有..)

　　开始-运行-regedit

　　注册表

　　展开

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\

　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\

　　删除aucup , aukld , JMediaService , WinWrCup 这四个文件夹...(这三处地方仔细检查..有的有..有的没有..)

　　展开

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\

　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\

　　HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\

　　删除LEGACY_AUKLD , LEGACY_AUCUP , LEGACY_JMEDIASERVICE , LEGACY_WINWRCUP这四个文件夹...(同上..仔细找找..必须使用Icesword来删除..)

　　展开wzme.howbk.com

　　HKEY_CLASSES_ROOT\CLSID\

　　删除{724C75F1-B757-408D-A50A-4CF99DA35D73} 这文件夹...(有可能没有这项..)

　　重启后删除..

　　C:\WINDOWS\Temp\wincup

　　C:\WINDOWS\Temp\aukld

　　C:\PROGRA~1\WinKld

　　C:\WINDOWS\Temp\inskld(文件夹内是同时释放的一个.exe文件)

　　C:\WINDOWS\Temp\inscup(文件夹内是同时释放的一个.exe文件)

　　C:\WINDOWS\wincup