USP10.dll病毒详解与查杀攻略(转载自麦田守望者 关注网络安全和IT资讯的专业博客网站)

社区服务
高级搜索
猴岛论坛综合游戏交流反恐精英OnlineCSOL辅助工具USP10.dll病毒详解与查杀攻略(转载自麦田守望者 关注网络安全和IT资讯的专业博客网站)
发帖 回复
正序阅读 最近浏览的帖子最近浏览的版块
0个回复

USP10.dll病毒详解与查杀攻略(转载自麦田守望者 关注网络安全和IT资讯的专业博客网站)

楼层直达
站着尿尿的人

ZxID:1603537

等级: 准尉
终结者削死你
举报 只看楼主 使用道具 楼主   发表于: 2010-01-31 0
  认识USP10.dll:
  USP是Unicode Scripts Processor的简称,意思就是“Unicode文字系统处理器”。它是微软开发的Windows作业系统为正确演示Unicode文字而开发的组件,系统的核心即一个名为USP10.DLL的DLL。它从Windows 2000开始连同Windows一起捆绑,Win 9x的用户在更新至Internet Explorer 5.0之后,系统亦会安装有本组件。USP的当前最新版本是随同Windows Server 2008 RTM、Windows Vista SP1等所附带的1.626.6001.18000。
  USP主要包括以下的部件:
  1.把文字从输入次序重排成为显示次序
  2.把文字按前文后理作出适当的变换
  3.按文字显示的方向作出字元的替换  
  虽然Uniscribe从Windows 2000开始随系统提供,但不同版本的Uniscribe对各地不同的文字有不同的支持:最初的版本只支持泰语、越南语,之后到希伯来语和阿拉伯语。从Windows XP开始支援几个主要的南亚文字及亚述语,但僧加罗语、高棉语、缅甸语及各种使用蒙古文字的语言,由于他们的具体编码方式在Windows XP推出时还未落实,因此未能正式支持。现时不少为这些语言而设计的软体,在USP10.dll未更新之前,都不能正确操作。
  总结一下:
  DLL文件:usp10或者usp10.dll
  DLL名称:Uniscribe Unicode script processor
  描述:usp10.dll是字符显示脚本应用程序接口相关文件。
  属于:Uniscribe
  系统 DLL文件:是
  常见错误:File Not Found, Missing File, Exception Errors
  USP10.dll病毒原理:
  正常的USP10.dll是字符显示脚本应用程序接口相关文件,存在于C:\WINDOWS\system32\USP10.dll,也有可能存在于C:\WINDOWS\system32\dllcache\USP10.dll。
  usp10.dll木马病毒则是利用window系统目录优先权来启动。
  首先来说说这个目录优先权,windows系统在执行一个文件时,首先会在“当前目录”查找所要执行的文件,如果当前目录不存在这个文件,就会到windows\system32\下去查找,如果还是不存在,就会到windows\目录下去查找,如果还是不存在就会在环境变量PATH中的目录下去查找,这个就是windows目录优先权。
  这里还要告诉大家是,一个exe文件执行会调用系统不少的DLL。
  了解了这个目录优先权和exe应用程序执行时会调用系统dll后,不少朋友可能都已经想到了,这个USP10.dll为什么会把自身大量复制到每个可执行文件同目录下,为什么会取名为USP10.dll?对,复制自身就是让可执行文件在执行的时候抢占目录优先权,而命名为USP10.dll是因为在windows\system32\也有个USP10.dll,很多应用程序启动时都会调用这个dll,这就是这个USP10.dll病毒的启动原理了。
  USP10.dll病毒手动查杀:
  首先打开“我的电脑”,选择菜单栏“工具”下的“文件夹选项”,去掉“隐藏受保护的操作系统文件(推荐)”前边的勾,再勾选“显示所有文件和文件夹”。这样做是因为这个USP10.dll病毒把自身修改为系统文件和隐藏文件,正常情况下是看不到的。
  USP10.dll病毒会感染系统里所有exe文件,并且把自身复制到被感染exe文件的当前目录。
  所以大家需要到安全模式去删除病毒,在安全模式下,病毒还是会驻留在某些系统进程里,这里不用害怕,我们来一步步消灭这可恶的病毒。
  在开始菜单选择“搜索”,点击“所有文件和文件夹”,在“全部或部分文件名”里写上“usp10.dll”,然后直接点“搜索”,系统会搜索出所有盘符下的USP10.dll病毒。
  注意:C:\WINDOWS\system32\USP10.dll和C:\WINDOWS\system32\dllcache\USP10.dll目录文件的不是病毒,其他的都是,等把所有usp10.dll搜索出来后,就删除掉。C:\WINDOWS\USP10.dll可能一时删不了,这个也是病毒,只是还有进程在使用他,我们可以先给他改个名字,重命名一下,只要不是usp10.dll就可以,然后重新启动,再回到C:\WINDOWS\把你刚改的名字的病毒删掉就可以了。当然可以借助冰刃(http://www.2000xg.com/article.asp?id=567)工具。
  这里我总结下:C:\WINDOWS\system32\USP10.dll和C:\WINDOWS\system32\dllcache\USP10.dll不能删,其他usp10.dll都删除,C:\WINDOWS\USP10.dll可能一时删不了,重命名后删除。
  如果您还觉得不放心,可以在注册表查询USP10.dll,删除可疑项目。
  注意:此方法有个缺陷,即病毒虽然被查杀,但系统文件也已经遭到破坏。所以推荐下边的查杀方法。
  来自瑞星卡卡安全论坛的查杀方法:
  1、http://bbs.ikaka.com/showtopic-8592261.aspx
  2、http://bbs.ikaka.com/showtopic-8589597.aspx
  按照相关指示进行操作,步骤比较简单,大家都可以看懂,我就不赘述了。
  总结:目前此病毒还在进一步的蔓延,而各安全厂商也没有给出专杀工具,作为我们普通网民,就需要多费点脑力体力,尽量保护我们的电脑!祝大家好运!
« 返回列表
发帖 回复