遭遇流氓软件 CPUSH

遭遇流氓软件 CPUSH

endurer 原创
2007-08-01 第1版

刚才一位网友说他的电脑中了病毒，瑞星清除后重启电脑又出现了，让偶通过QQ远程协助。

检查瑞星的杀毒记录，原来是 CPUSH 这个流氓软件。

运行瑞星卡卡安全助手，使用[基本功能]里的[查杀恶意及流氓软件]，果然报告发现 CPUSH，点击[立即清除]按钮……

再检查开机启动项，发现还残留有 CPUSH 的启动项，像去年的sohu游戏，也是表面让用户卸载了，但又设置了开机启动项，从而在下次系统启动时又自动安装……

下载 pe_xscan 扫描 log 并分析，发现如下可疑项：
/---
pe_xscan 07-07-24 by Purple Endurer
2007-8-1 21:46:23
Windows XP Service Pack 2(5.1.2600)
管理员用户组

C:/WINDOWS/Explorer.EXE * 1432 | 2004-8-17 12:0:0 | Microsoft(R) Windows(R) Operating System | 6.00.2900.2180 | Windows Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | explorer | EXPLORER.EXE
    C:/WINDOWS/system32/cpasevcl1.dll | 2007-4-23 9:45:18 | cpasevcl 动态链接库 | 1, 0, 0, 4 | cpasevcl 动态链接库 | 版权所有 (C) 2006 | 1, 0, 0, 4| ?| ? | cpasevcl | cpasevcl.dll
    C:/WINDOWS/system32/cpasevcl.dll | 2007-4-23 9:45:18 | cpasevcl 动态链接库 | 1, 0, 0, 4 | cpasevcl 动态链接库 | 版权所有 (C) 2006 | 1, 0, 0, 4| ?| ? | cpasevcl | cpasevcl.dll

O3 - IE工具栏: 快捷工具条3.1.5 - ?{BE830FD4-E393-417F-9F4B-CC70ABB3384C} -

O4 - HKLM/../Run: [NvCplDaemons] C:/Program Files/Common Files/ad2180.exe
O4 - HKLM/../Run: [svpecld] C:/WINDOWS/system32/svpecld.exe
O4 - HKLM/../RunOnce: [CPushSetup] "C:/WINDOWS/system32/regsvr32.exe" /s "C:/Program Files/Common Files/CPUSH/cpush.dll"

O23 - 服务: EagleNT (EagleNT) - C:/WINDOWS/system32/drivers/EagleNT.sys(手动)

O23 - 服务: npkycryp (npkycryp) - C:/WINDOWS/system32/npkycryp.sys(手动)
---/

其中

O4 - HKLM/../Run: [NvCplDaemons] C:/Program Files/Common Files/ad2180.exe

的启动名挺有迷惑众性的，不看对应的文件的话，很可能会以为是一个与NVIDIA显卡有关的东东。

cpasevcl1.dll、cpasevcl.dll 和 svpecld.exe 似乎和 星空极速 有关，在瑞星卡卡安全助手里取消了它的启动项，不一会 svpecld.exe 的这个启动项要被重写……

到 http://endurer.ys168.com 下载 autodel，把

C:/Program Files/Common Files/ad2180.exe
C:/WINDOWS/system32/svpecld.exe
C:/Program Files/Common Files/CPUSH/cpush.dll

加入待删文件列表，然后点击[下次启动时删除]按钮，瑞星瑞星注册表监控提示时选择允许。

让网友重启电脑再扫描，不再发现病毒了……