%system%文件夹中的wuauclt.exe是WINDOWS 自动更新的客户端。然而，今天说的这个wuauclt.exe非%system%文件夹中的那个wuauclt.exe，位于%windows%文件夹中。

    wuauclt.exe病毒工作原理

    连接网络时，运行这个wuauclt.exe，它通过80端口访问61.128.196.671创建下列文件：

    C:windowswuauclt.exe

    C:windowsbbyb.exe

    C:windowsbbybs.exe

    C:windowsbbyb.dll

    C:windowsies.dll

    C:windowsnoruns.reg（将其中内容导入注册表后，此文件被自动删除。）

    在系统分区以外的所有分区根目录以及U盘根目录下创建sxs.exe和autorun.inf。

    其中C:windowsbbyb.dll动态插入应用程序进程。

    C:windowswuauclt.exe删除注册表中瑞星、KV、卡巴斯基以及雅虎助手的启动项和服务项。有意思的是，它还删除一个流行木马NTdhcp.exe的启动项。

    添加的注册表启动项为：

    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \Microsoft

    查杀方法：

    结束C:windowswuauclt.exe进程。

    该进程结束后，U盘中的sxs.exe和autorun.inf可直接删除。删除后，将U盘拔出。

    然后，删除下列文件：

    C:windowswuauclt.exe

    C:windowsbbyb.exe

    C:windowsbbybs.exe

    C:windowsbbyb.dll

    C:windowsies.dll

    删除其启动项。

    拒之门外!“流行”的魔兽盗号木马防范

    教你练就"火眼金睛" 周密防范邮件病毒入侵

    电脑中毒后的一些表现及其中毒诊断

    全球十大计算机病毒排名 CIH病毒居首