箱根周游券包括:101577.exe是什么进程？？？

木马程序的可能性比较大.

没见过，可能是木马或者什么的峭好说

Trojan-Downloader.Win32.Adload.ci分析
病毒名称： Trojan-Downloader.Win32.Adload.ci
病毒类型： 木马类
文件 MD5： bed1b615302f8958068824f7bbc1f51e
公开范围： 完全公开
危害等级： 中等
文件长度： 140,800 字节
感染系统： Win9X以上版本
开发工具： Borland Delphi 6.0 - 7.0
加壳类型： PECompact 2.x -> Jeremy Collake
命名对照： Symentec[无]
Mcafee[无]

病毒描述：
该病毒运行后，建立文件夹%\System32%\microsoft和%\Program Files%\pcast。并在pcast文件夹下释放两个文件分别为download.ini和updat.exe.而后病毒会访问2**.100.33.13，下载病毒文件到%Documents and Settings\Administrator\Local Settings\Temp%，并会打开计划任务，添加一个名为DM_Install_Program.jobdmremotesetup的任务。执行路径为%\documents and settings\当前用户名\localsettings\temp\\101577.exe，该病毒对用户有一定危害。

行为分析：
1、释放文件夹及相关文件：

%\System32\%microsoft\Protect\S-1-5-18\User
\76d00f4a-dc1c-481e-86be-5c4366c95531
%\System32\%microsoft\Protect\S-1-5-18\User\Preferred
%\System32\%microsoft\Crypto
%\System32\%microsoft\Protect
%\Program Files\%pcast\PodcastbarMini\ownload.ini
%\Program Files\%pcast\PodcastbarMini\updat.exe
%Documents and Settings\Administrator
\Local Settings\Temp%\1.exe
%Documents and Settings\Administrator
\Local Settings\Temp%\101577.exe

2、新建注册表项：

HKEY_LOCAL_MACHINE\SOFTWARE\sharehelper\Install\OEMURL
值: 字符串: "http://ulink4.dudu.com/setup/iebar.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\SharedAccess\Parameters\FirewallPolicy\StandardProfile
\AuthorizedApplications\List
值: 字符串: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\101577.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications
\List\%\Program Files\pcast\PodcastbarMini\%update.exe"
值: 字符串: "C:\Program Files\pcast\PodcastbarMini\update.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\
值: 字符串: "%\DOCUME~1\当前用户名\LOCALS~1\Temp\101577.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\
值: 字符串: "%\Program Files\pcast\PodcastbarMini\update.exe

3、病毒运行后连接下列地址：

6*.183.15.233
2**.100.33.13

4、病毒运行后添加一项计划任务：

描述 发行商 映象路径
DM_Install_Program.jobdmremotesetup 1000 Oaks %\documents and settings\当前用户名\local settings\temp\101577.exe

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。

--------------------------------------------------------------------------------
清除方案 ：
手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 关闭病毒进程
(2) 删除病毒文件：

%\System32\%microsoft\Protect\S-1-5-18\User
\76d00f4a-dc1c-481e-86be-5c4366c95531
%\System32\%microsoft\Protect\S-1-5-18\User\Preferred
%\System32\%microsoft\Crypto
%\System32\%microsoft\Protect
%\Program Files\%pcast\PodcastbarMini\ownload.ini
%\Program Files\%pcast\PodcastbarMini\updat.exe
%Documents and Settings\Administrator\Local Settings\Temp%\1.exe
%Documents and Settings\Administrator\Local Settings\Temp%\101577.exe

(3) 删除病毒添加的计划任务。
(4) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_LOCAL_MACHINE\SOFTWARE\sharehelper\Install\OEMURL
值: 字符串: "http://ulink4.dudu.com/setup/iebar.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
值: 字符串: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\101577.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications
\List\%\Program Files\pcast\PodcastbarMini\%update.exe"
值: 字符串: "C:\Program Files\pcast\PodcastbarMini\update.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\
值: 字符串: "%\DOCUME~1\当前用户名\LOCALS~1\Temp\101577.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\
值: 字符串: "%\Program Files\pcast\PodcastbarMini\update.exe