遭遇流氓软件 CPUSH
2007-08-01 23:05
1221 查看
遭遇流氓软件 CPUSH
endurer 原创
2007-08-01 第1版
刚才一位网友说他的电脑中了病毒,瑞星清除后重启电脑又出现了,让偶通过QQ远程协助。
检查瑞星的杀毒记录,原来是 CPUSH 这个流氓软件。
运行瑞星卡卡安全助手,使用[基本功能]里的[查杀恶意及流氓软件],果然报告发现 CPUSH,点击[立即清除]按钮……
再检查开机启动项,发现还残留有 CPUSH 的启动项,像去年的sohu游戏,也是表面让用户卸载了,但又设置了开机启动项,从而在下次系统启动时又自动安装……
下载 pe_xscan 扫描 log 并分析,发现如下可疑项:
/---
pe_xscan 07-07-24 by Purple Endurer
2007-8-1 21:46:23
Windows XP Service Pack 2(5.1.2600)
管理员用户组
C:/WINDOWS/Explorer.EXE * 1432 | 2004-8-17 12:0:0 | Microsoft(R) Windows(R) Operating System | 6.00.2900.2180 | Windows Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | explorer | EXPLORER.EXE
C:/WINDOWS/system32/cpasevcl1.dll | 2007-4-23 9:45:18 | cpasevcl 动态链接库 | 1, 0, 0, 4 | cpasevcl 动态链接库 | 版权所有 (C) 2006 | 1, 0, 0, 4| ?| ? | cpasevcl | cpasevcl.dll
C:/WINDOWS/system32/cpasevcl.dll | 2007-4-23 9:45:18 | cpasevcl 动态链接库 | 1, 0, 0, 4 | cpasevcl 动态链接库 | 版权所有 (C) 2006 | 1, 0, 0, 4| ?| ? | cpasevcl | cpasevcl.dll
O3 - IE工具栏: 快捷工具条3.1.5 - ?{BE830FD4-E393-417F-9F4B-CC70ABB3384C} -
O4 - HKLM/../Run: [NvCplDaemons] C:/Program Files/Common Files/ad2180.exe
O4 - HKLM/../Run: [svpecld] C:/WINDOWS/system32/svpecld.exe
O4 - HKLM/../RunOnce: [CPushSetup] "C:/WINDOWS/system32/regsvr32.exe" /s "C:/Program Files/Common Files/CPUSH/cpush.dll"
O23 - 服务: EagleNT (EagleNT) - C:/WINDOWS/system32/drivers/EagleNT.sys(手动)
O23 - 服务: npkycryp (npkycryp) - C:/WINDOWS/system32/npkycryp.sys(手动)
---/
其中
O4 - HKLM/../Run: [NvCplDaemons] C:/Program Files/Common Files/ad2180.exe
的启动名挺有迷惑众性的,不看对应的文件的话,很可能会以为是一个与NVIDIA显卡有关的东东。
cpasevcl1.dll、cpasevcl.dll 和 svpecld.exe 似乎和 星空极速 有关,在瑞星卡卡安全助手里取消了它的启动项,不一会 svpecld.exe 的这个启动项要被重写……
到 http://endurer.ys168.com 下载 autodel,把
C:/Program Files/Common Files/ad2180.exe
C:/WINDOWS/system32/svpecld.exe
C:/Program Files/Common Files/CPUSH/cpush.dll
加入待删文件列表,然后点击[下次启动时删除]按钮,瑞星瑞星注册表监控提示时选择允许。
让网友重启电脑再扫描,不再发现病毒了……
endurer 原创
2007-08-01 第1版
刚才一位网友说他的电脑中了病毒,瑞星清除后重启电脑又出现了,让偶通过QQ远程协助。
检查瑞星的杀毒记录,原来是 CPUSH 这个流氓软件。
运行瑞星卡卡安全助手,使用[基本功能]里的[查杀恶意及流氓软件],果然报告发现 CPUSH,点击[立即清除]按钮……
再检查开机启动项,发现还残留有 CPUSH 的启动项,像去年的sohu游戏,也是表面让用户卸载了,但又设置了开机启动项,从而在下次系统启动时又自动安装……
下载 pe_xscan 扫描 log 并分析,发现如下可疑项:
/---
pe_xscan 07-07-24 by Purple Endurer
2007-8-1 21:46:23
Windows XP Service Pack 2(5.1.2600)
管理员用户组
C:/WINDOWS/Explorer.EXE * 1432 | 2004-8-17 12:0:0 | Microsoft(R) Windows(R) Operating System | 6.00.2900.2180 | Windows Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | explorer | EXPLORER.EXE
C:/WINDOWS/system32/cpasevcl1.dll | 2007-4-23 9:45:18 | cpasevcl 动态链接库 | 1, 0, 0, 4 | cpasevcl 动态链接库 | 版权所有 (C) 2006 | 1, 0, 0, 4| ?| ? | cpasevcl | cpasevcl.dll
C:/WINDOWS/system32/cpasevcl.dll | 2007-4-23 9:45:18 | cpasevcl 动态链接库 | 1, 0, 0, 4 | cpasevcl 动态链接库 | 版权所有 (C) 2006 | 1, 0, 0, 4| ?| ? | cpasevcl | cpasevcl.dll
O3 - IE工具栏: 快捷工具条3.1.5 - ?{BE830FD4-E393-417F-9F4B-CC70ABB3384C} -
O4 - HKLM/../Run: [NvCplDaemons] C:/Program Files/Common Files/ad2180.exe
O4 - HKLM/../Run: [svpecld] C:/WINDOWS/system32/svpecld.exe
O4 - HKLM/../RunOnce: [CPushSetup] "C:/WINDOWS/system32/regsvr32.exe" /s "C:/Program Files/Common Files/CPUSH/cpush.dll"
O23 - 服务: EagleNT (EagleNT) - C:/WINDOWS/system32/drivers/EagleNT.sys(手动)
O23 - 服务: npkycryp (npkycryp) - C:/WINDOWS/system32/npkycryp.sys(手动)
---/
其中
O4 - HKLM/../Run: [NvCplDaemons] C:/Program Files/Common Files/ad2180.exe
的启动名挺有迷惑众性的,不看对应的文件的话,很可能会以为是一个与NVIDIA显卡有关的东东。
cpasevcl1.dll、cpasevcl.dll 和 svpecld.exe 似乎和 星空极速 有关,在瑞星卡卡安全助手里取消了它的启动项,不一会 svpecld.exe 的这个启动项要被重写……
到 http://endurer.ys168.com 下载 autodel,把
C:/Program Files/Common Files/ad2180.exe
C:/WINDOWS/system32/svpecld.exe
C:/Program Files/Common Files/CPUSH/cpush.dll
加入待删文件列表,然后点击[下次启动时删除]按钮,瑞星瑞星注册表监控提示时选择允许。
让网友重启电脑再扫描,不再发现病毒了……
相关文章推荐
- 大量用户遭遇8749流氓软件攻击(解决办法)
- 遭遇流氓软件
- 遭遇流氓软件
- 十年编程感悟:软件开发遭遇政治流氓
- 遭遇一个破坏力强的流氓软件
- 流氓软件出身的360,什么时候能脱离匪气?
- 淘宝软件自启动的流氓问题
- 金山网盾3.5实战流氓软件
- “方便一下,你就知道”原是流氓软件山寨百度
- PAIP.一些流氓软件的流氓营销方法.txt
- 周鸿祎推出反流氓软件 宣称3721流氓
- 近期常见流氓广告软件、病毒插件宣判清除大会!
- 愤怒了,这些该死的流氓软件!
- 愤怒,魔法兔子V10 最新版是个垃圾兼流氓软件
- [CSDN 视频--新闻分析第四期]:开源心态、流氓软件、第三代搜索
- 流氓软件“实名制” 午夜影院乔装正规军 推荐
- 网友奉献 十大流氓软件完全卸载方案
- 由265的收购事件想起流氓软件
- 木马 + 流氓软件 + 垃圾软件 玩死 Win 2000 pro~
- 莫名其妙的中了流氓软件