%system%文件夹【wén jiàn jiá】🔲中【zhōng】的wuauclt.exe是WINDOWS 自动更新的客【xīn de kè】户端【hù duān】。
然而【rán ér】🎣，今天说的这个🛎wuauclt.exe非%system%文件夹【wén jiàn jiá】🔲中【zhōng】的那😔个wuauclt.exe。这个位于%windows%文件夹【wén jiàn jiá】🔲中【zhōng】。
今天VirusTotal多引擎扫描结【sǎo miáo jié】果【guǒ】，只有4家报🛠，其中【zhōng】🔹3家报可🐚疑【yí】🙊；AntiVir的启发式报“恶意程🛬序【xù】。4家均未【jiā jun1 wèi】给出具体名称。
连接网【lián jiē wǎng】🎸络时🛩，运行这【yùn háng zhè】个wuauclt.exe，它通过80端口访💱问61.128.196.671创建下【chuàng jiàn xià】列文件：

C:\windows\wuauclt.exe
C:\windows\bbyb.exe
C:\windows\bbybs.exe
C:\windows\bbyb.dll
C:\windows\ies.dll
C:\windows\noruns.reg（将其中【jiāng qí zhōng】内容导入注册表后，此文件被自动删除。）
在系统🚷分区以外的所👵有分区【yǒu fèn qū】根目录【lù】🐅以及【yǐ jí】U盘根目录【lù】🐅下创建【xià chuàng jiàn】🎎sxs.exe和autorun.inf。
其中C:\windows\bbyb.dll动态插🤤入应用🐢程【chéng】🎩序进程【xù jìn chéng】🎩。

C:\windows\wuauclt.exe删除注【shān chú zhù】🆑册表中瑞星、KV、卡巴斯基以及【jī yǐ jí】雅虎助手的启【shǒu de qǐ】🧐动项和🐙服务项【fú wù xiàng】😙。有意思的是，它还删🚏除一个流行木【liú háng mù】💵马【mǎ】NTdhcp.exe的启动项。

添加的【tiān jiā de】注册表启动项【qǐ dòng xiàng】🖲为⏳：
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Microsoft

查杀：

结束C:\windows\wuauclt.exe进程【jìn chéng】💜。

该进程结束后🌯，U盘中的【pán zhōng de】〽sxs.exe和💵autorun.inf可直接【kě zhí jiē】删除。删除后♿，将U盘拔出。
然后【rán hòu】📈，删除下【shān chú xià】列文件：
C:\windows\wuauclt.exe
C:\windows\bbyb.exe
C:\windows\bbybs.exe
C:\windows\bbyb.dll
C:\windows\ies.dll
删除其【shān chú qí】启动项。