瑞星卡卡安全论坛

正版瑞星杀了，过段时间又冒出来，真是烦啊。斑竹帮忙呀！谢谢！
病毒名：AdWare.Win32.Cpush.v ， 路径：C:\Program Files\Common Files\CPUSH ，文件：cpush.tmp

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon)


附件: 854738200811865242.txt

I:\盘是哪个盘

本地磁盘？？？

还有这个文件C:\WINDOWS\system32\tphklock.dll

看看是什么？

有些东西不是很能确定的，自己判断一下。

http://dl.filseclab.com/down/powerrmv.zip
这里下载费尔木马强力清除助手,勾选“抑制文件再生”删除下面文件。

C:\WINDOWS\system32\c44b1.exe
\system32\drivers\ADProt.sys
C:\WINDOWS\system32\drivers\mxdispdr.sys
C:\Program Files\Common Files\CPUSH\cpush.dll
C:\WINDOWS\system32\FBHOHelper3.dll
C:\WINDOWS\system32\9c41.dll
C:\WINDOWS\system32\msplrct.dll
C:\WINDOWS\system32\contmenu.dll
C:\WINDOWS\system32\9c41.dll
C:\WINDOWS\system32\c44b1.exe
I:\Autorun.inf
I:\EXPLORER.EXE

重启电脑：
——————————————————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面项删除
==================================
服务
[ms_2fax / ms_2fax][Running/Auto Start]
  <C:\WINDOWS\system32\c44b1.exe><Microsoft Corporation>
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除
==================================
驱动程序
[ADProt / ADProt][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\ADProt.sys><N/A>
[mxdispdr / mxdispdr][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\mxdispdr.sys><N/A>
—————————————————————————————
在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除
==================================
浏览器加载项
[CAdLogic Object]
  {11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\CPUSH\cpush.dll, N/A>
[]
  {3D898C55-74CC-4B7C-B5F1-45913F388899} <C:\WINDOWS\system32\FBHOHelper3.dll, FBHO Corp>
[Invoke Class]
  {5FB8C5D4-929F-4870-89E2-7E3EE26EE701} <C:\WINDOWS\system32\9c41.dll, >
[CAdLogic Object]
  {11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\CPUSH\cpush.dll, N/A>
[]
  {3D898C55-74CC-4B7C-B5F1-45913F388899} <C:\WINDOWS\system32\FBHOHelper3.dll, FBHO Corp>
[Invoke Class]
  {5FB8C5D4-929F-4870-89E2-7E3EE26EE701} <C:\WINDOWS\system32\9c41.dll, >
————————————————————————————————————
再重启电脑，升级杀毒软件至最新版本全盘杀毒。

楼主可将可疑文件上报瑞星分析解决！

C:\Program Files\Common Files\CPUSH
里面应该有个unist.exe的文件 运行一下 他就自行卸载了

引用:

【天月来了的贴子】I:\盘是哪个盘 本地磁盘？？？ 还有这个文件C:\WINDOWS\system32\tphklock.dll 看看是什么？ ………………

I:\盘是我外挂的硬盘。

tphklock.dll 这个文件怎么啦？ 我不会看哦。

引用:

【newcenturymoon的贴子】C:\Program Files\Common Files\CPUSH 里面应该有个unist.exe的文件 运行一下 他就自行卸载了 ………………

C:\Program Files\Common Files\CPUSH 下的那个uninst.exe运行了，但还是不行，过段时间还是会出来。病毒也还是在。

现在病毒还是不断冒出来，瑞星根本就不能彻底清除，真是垃圾！

以下过程将用到SREng、PowerRmv，如果您不熟悉这两款工具的使用方法，请参考下列链接：
SREng详细操作方法： http://hi.baidu.com/peaset/blog/item/3114a7fb17dd19224e4aeadf.html
PowerRmv详细操作方法： http://hi.baidu.com/peaset/blog/item/e1daf0dd126fb5eb77c63816.html
======================================================

以下是病毒清除步骤：

1、用PowerRmv删除以下文件(没有则跳过)：

rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup
C:\WINDOWS\system32\ibmpmsvc.exe
System32\QCONSVC.EXE
"C:\Program Files\WinPcap\rpcapd.exe" -d -f "C:\Program Files\WinPcap\rpcapd.ini"
System32\TPHDEXLG.EXE
\SystemRoot\system32\drivers\ADProt.sys
System32\drivers\IBMBLDID.SYS
\??\C:\WINDOWS\system32\drivers\mxdispdr.sys
\??\C:\Program Files\Tencent\QQ\npkycryp.sys
\??\C:\WINDOWS\system32\drivers\klif.sys
I:\autorun.inf
I:\

2、用SREng删除以下【注册表】项(没有则跳过)：

<New.net Startup>

3、用SREng删除【所有启动文件夹】内容(没有则跳过)

4、用SREng删除以下【服务】项(没有则跳过)：

[IBM PM Service / IBMPMSVC]
[QCONSVC / QCONSVC]
[Remote Packet Capture Protocol v.0 (experimental) / rpcapd]
[IBM HDD APS Logging Service / TPHDEXLGSVC]

5、用SREng删除以下【驱动程序】项(没有则跳过)：

[ADProt / ADProt]
[IBMTPCHK / IBMTPCHK]
[mxdispdr / mxdispdr]
[npkycryp / npkycryp]
[TSP / TSP]

6、用SREng删除以下【浏览器加载项】项(没有则跳过)：

[CAdLogic Object]
[AcroIEToolbarHelper Class]
[新浪UC]
[Adobe PDF]
[CAdLogic Object]
[Adobe PDF]
[AcroIEToolbarHelper Class]
[&Download by NetAnts]
[Download &All by NetAnts]
[加入天涯网藏]
[导出到 Microsoft Excel(&x)]
[导出当前页到超星阅览器(&A)]
[导出选中部分到超星阅览器(&S)]
[设为 Messenger Live 头像]

7、用SREng修复【文件关联】项

最后,重新启动计算机.Tored祝您好运!