%system%文件夾中的（de）wuauclt.exe是WINDOWS 自動（dòng）更新的（de）客戶（hù）端。
然而，今天（tiān）說的這個wuauclt.exe非%system%文件夾中的那個wuauclt.exe。這個位於%windows%文件夾中。
今天VirusTotal多引擎掃描結果（guǒ），隻有4家報，其中3家報可疑（yí）；AntiVir的啟發式報“惡意程序。4家（jiā）均未給出具（jù）體名稱。
連接網絡時，運行這個wuauclt.exe，它通過80端口訪問61.128.196.671創建下列文件：

C:\windows\wuauclt.exe
C:\windows\bbyb.exe
C:\windows\bbybs.exe
C:\windows\bbyb.dll
C:\windows\ies.dll
C:\windows\noruns.reg（將其中內容導入注冊表後，此文件被自動刪除。）
在係統分區以外的所有分區根目錄以及U盤根目錄下（xià）創建sxs.exe和autorun.inf。
其中C:\windows\bbyb.dll動態插入應用程序（xù）進程。

C:\windows\wuauclt.exe刪除注冊表中瑞（ruì）星、KV、卡巴斯基以及雅虎助手（shǒu）的啟動項和服務項。有意思的是，它還刪除一個流行木馬NTdhcp.exe的啟動（dòng）項。

添加的注冊表啟動項為：
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
Microsoft

查殺：

結（jié）束C:\windows\wuauclt.exe進（jìn）程。

該進程結束後，U盤中的sxs.exe和（hé）autorun.inf可直接刪除。刪除後，將U盤拔出。
然後，刪除下列文件：
C:\windows\wuauclt.exe
C:\windows\bbyb.exe
C:\windows\bbybs.exe
C:\windows\bbyb.dll
C:\windows\ies.dll
刪除其啟動項。