刚才一位网友说他的电脑中了病毒,瑞星清除后重启电脑又出现了,让偶通过QQ远程协助。
检查瑞星的杀毒记录,原来是 CPUSH 这个流氓软件。
运行瑞星卡卡安全助手,使用[基本功能]里的[查杀恶意及流氓软件],果然报告发现 CPUSH,点击[立即清除]按钮……
再检查开机启动项,发现还残留有 CPUSH 的启动项,像去年的sohu游戏,也是表面让用户卸载了,但又设置了开机启动项,从而在下次系统启动时又自动安装……
下载 pe_xscan 扫描 log 并分析,发现如下可疑项:
/--- pe_xscan 07-07-24 by Purple Endurer 2007-8-1 21:46:23 Windows XP Service Pack 2(5.1.2600) 管理员用户组 C:/WINDOWS/Explorer.EXE * 1432 | 2004-8-17 12:0:0 | Microsoft(R) Windows(R) Operating System | 6.00.2900.2180 | Windows Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | explorer | EXPLORER.EXE C:/WINDOWS/system32/cpasevcl1.dll | 2007-4-23 9:45:18 | cpasevcl 动态链接库 | 1, 0, 0, 4 | cpasevcl 动态链接库 | 版权所有 (C) 2006 | 1, 0, 0, 4| ?| ? | cpasevcl | cpasevcl.dll C:/WINDOWS/system32/cpasevcl.dll | 2007-4-23 9:45:18 | cpasevcl 动态链接库 | 1, 0, 0, 4 | cpasevcl 动态链接库 | 版权所有 (C) 2006 | 1, 0, 0, 4| ?| ? | cpasevcl | cpasevcl.dll O3 - IE工具栏: 快捷工具条3.1.5 - ?{BE830FD4-E393-417F-9F4B-CC70ABB3384C} - O4 - HKLM/../Run: [NvCplDaemons] C:/Program Files/Common Files/ad2180.exe O4 - HKLM/../Run: [svpecld] C:/WINDOWS/system32/svpecld.exe O4 - HKLM/../RunOnce: [CPushSetup] "C:/WINDOWS/system32/regsvr32.exe" /s "C:/Program Files/Common Files/CPUSH/cpush.dll" O23 - 服务: EagleNT (EagleNT) - C:/WINDOWS/system32/drivers/EagleNT.sys(手动) O23 - ----------------------------------- ©著作权归作者所有:来自51CTO博客作者PurpleEndurer的原创作品,请联系作者获取转载授权,否则将追究法律责任 遭遇流氓软件 CPUSH https://blog.51cto.com/endurer/5900030
其中
O4 - HKLM/../Run: [NvCplDaemons] C:/Program Files/Common Files/ad2180.exe
的启动名挺有迷惑众性的,不看对应的文件的话,很可能会以为是一个与NVIDIA显卡有关的东东。
cpasevcl1.dll、cpasevcl.dll 和 svpecld.exe 似乎和 星空极速 有关,在瑞星卡卡安全助手里取消了它的启动项,不一会 svpecld.exe 的这个启动项要被重写……
