看来大家不明白USP10的可怕之处啊。

社区服务
高级搜索
猴岛论坛综合游戏交流反恐精英Online看来大家不明白USP10的可怕之处啊。
发帖 回复
正序阅读 最近浏览的帖子最近浏览的版块
15个回复

看来大家不明白USP10的可怕之处啊。

楼层直达
龙虎斗

ZxID:8088337

等级: 大校
大河酱,掌中萌虎
举报 只看楼主 使用道具 楼主   发表于: 2010-02-09 0
— 本帖被 ┌.相厷” 从 CSOL辅助工具 移动到本区(2010-02-09) —
以前我中过。。当时用的好像是蒙蒙。垃圾挂。。中了USP10.DLL。我重装了系统都没用。。这里我引用下百度知道。【病毒可能
  2009年2月4日起,大量网友发现自己的电脑突然间慢如“老牛”,硬盘中同时出现了很多莫名其妙的“usp10.dll”文件,即便重装系统也无济于事。原来,这是一头名为“犇牛”的恶性木马突然爆发的结果。
  360安全中心向记者紧急发布公告,称“犇牛”木马下载器已袭击了数十万台电脑,并能导致大部分安全软件失效,用户采用重装系统等常规手段也无法解决。
  根据大批受害用户的反映,感染“犇牛”下载器的电脑系统速度会明显变慢,部分用户的电脑感染“犇牛”后还会出现弹出大量广告网页、杀毒软件遭强制卸载、“QQ医生”显示为“叉号”无法正常使用等各种症状,并会自动下载大量木马病毒。受害用户除非将所有硬盘分区全盘格式化,否则即便重装系统后“犇牛”仍能踏蹄重来。
  据360安全专家石晓虹博士介绍,“犇牛”采用了特别技术,在系统重装后仍能“复活”,完全不同于其它恶性木马常用的“复活”方式,使普通用户很难用以往的系统重装方式来“自救”;此外,"犇牛"还使用了一个名为“安软杀手”的帮凶对主流杀软进行卸载和破坏,屏蔽安全厂商的网站,致使受害用户无法通过登录安全网站或下载安全软件获得帮助。
  USP10.dll病毒原理:
   正常的USP10.dll是字符显示脚本应用程序接口相关文件,存在于C:\WINDOWS\system32\USP10.dll,也有可能存在于C:\WINDOWS\system32\dllcache\USP10.dll。
  usp10.dll木马病毒则是利用window系统目录优先权来启动。
  首先来说说这个目录优先权,windows系统在执行一个文件时,首先会在“当前目录”查找所要执行的文件,如果当前目录不存在这个文件,就会到windows\system32\下去查找,如果还是不存在,就会到windows\目录下去查找,如果还是不存在就会在环境变量PATH中的目录下去查找,这个就是windows目录优先权。
  这里还要告诉大家是,一个exe文件执行会调用系统不少的DLL。
  了解了这个目录优先权和exe应用程序执行时会调用系统dll后,不少朋友可能都已经想到了,这个USP10.dll为什么会把自身大量复制到每个可执行文件同目录下,为什么会取名为USP10.dll?对,复制自身就是让可执行文件在执行的时候抢占目录优先权,而命名为USP10.dll是因为在windows\system32\也有个USP10.dll,很多应用程序启动时都会调用这个dll,这就是这个USP10.dll病毒的启动原理了。[1]
  USP10.dll病毒行为
  1 释放usp10.dll挟持常用软件
  遍历非系统所在目录的所有驱动器,凡发现目录中存在exe后缀的文件,则将%windir%\tasks\1文件拷贝过去,命名为usp10.dll。牢牢抓住普通用户的使用习惯,导致即使重装系统病毒还会重新启动
  2 调用TerminateProcess 结束安全软件的驻留进程,列表如下
  kavstart.exe kissvc.exe kmailmon.exe kpfw32.exe kpfwsvc.exe kwatch.exe
  ccenter.exe ras.exe rstray.exe rsagent.exe ravtask.exe ravstub.exe
  ravmon.exe ravmond.exe avp.exe 360safebox.exe 360Safe.exe Thunder5.exe
  rfwmain.exe rfwstub.exe rfwsrv.exe
  3 添加对迅雷的映像劫持使迅雷无法启动,具体如下:
  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
  \Image File Execution Options\Thunder5.exe
  "Debugger" REG_SZ "svchost.exe"
  4 调用360保险箱卸载参数卸载360保险箱。并通过修改注册表关闭360监控
  5 创建线程关闭冰刃之类的安全软件窗口和更改显示隐藏文件
  若当前窗口的class为"AfxControlBar42s",则向此窗口发送WM_CLOSE消息,并模拟键盘的回车键。
  修改以下注册表键值,来不显示隐藏文件
  HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
  "Hidden" REG_DWORD 0
  "SuperHidden" REG_DWORD 0
  "ShowSuperHidden" REG_DWORD 0
  6 释放病毒启动,并尝试直接替换输入法程序ctfmon.exe
  7 下载大量盗号木马病毒到用户电脑 [2]
  病毒自救
  中毒后计算机里的数据并不完全没救。中毒后不要抱有侥幸心理,不要认为电脑还可以接着用,由于它是下载器,标志着时间越久,它下载下来的病毒和木马就会越多,所以得病后需及时就医。
  重装系统是最好的办法,重装完成后,不要碰触其他分区。先打开我的电脑,把隐藏文件和系统文件显示出来,从他人电脑上下载杀毒软件和最新病毒库离线升级包,拷贝到本机安装在C盘里,把杀毒软件升级到最新病毒库,对其他分区进行全盘扫描。一般病毒会被查杀。查杀完成前不要使用电脑做其他事。清理完病毒后即可正常使用。
  Lizin补充:
  任务管理器出现一些数字进程,比如601081 40058 11358 58254 后面也不带.exe的,就与usp10.dll有关联了,请大家注意点。
  usp10.dll会进入Program Files ,或添加到其它程序里面,破坏程序结构。比如:登录QQ,若你设了记住密码,它会帮你清除所有密码....
  截图
  
  补充部分:很多因使用GHOST恢复系统的朋友,在系统恢复之后,由于桌面会调用D盘backup或者其他地方的备份桌面地址、以及D盘的一些数据(例如深度、雨林的D盘QQ),因此在恢复系统之后,如果再次中毒,请先清空桌面,或者把桌面备份到其他地方,保持桌面的整洁,并且不要使用任何exe文件。
  然后下载卡巴杀毒

那个【伤如此显眼】我不知道你是和居心,,在文件里放这个,,
大河
nsiii

ZxID:5976136

等级: 上尉
举报 只看该作者 15楼  发表于: 2010-02-09 0
。。我也中过这病毒
↖↑泡鈕↑↗

ZxID:7346215

等级: 中校
        &n

举报 只看该作者 14楼  发表于: 2010-02-09 0
围观。。。












灵魂者一号

ZxID:10564176

等级: 中尉
没啥呢
举报 只看该作者 13楼  发表于: 2010-02-09 0
蒙蒙死妈妈
[img]C:\Documents and Settings\Administrator\桌面\新建文件夹[/img}]
jfx010

ZxID:6998604

等级: 大尉
举报 只看该作者 12楼  发表于: 2010-02-09 0
我就中过 好像是GE带的 那个病毒很贱 把每个压缩包里都放一个 我用专杀一杀 系统都瘫痪了
as2328246

ZxID:6952897

等级: 中将
我愚蠢的敌人啊,仇恨我吧,憎恨我吧,然后丑陋地苟活下去,不断地逃避,不断地逃避,苟且偷生。 ..
举报 只看该作者 11楼  发表于: 2010-02-09 0
绝对可行,骗子死全家。
as2328246

ZxID:6952897

等级: 中将
我愚蠢的敌人啊,仇恨我吧,憎恨我吧,然后丑陋地苟活下去,不断地逃避,不断地逃避,苟且偷生。 ..
举报 只看该作者 10楼  发表于: 2010-02-09 0
大家都别怕,我前几天才中了,我下了一个专杀工具,直接over掉它,谁说的专杀工具没用?笑话。看下面我的图。
→栤♀葑℃

ZxID:8060419

等级: 少将
盗我头像者~带我问候你母亲

举报 只看该作者 9楼  发表于: 2010-02-09 0
没中过- -貌似系统文件USP10.DLL我也删了
轩我爱你!!!!!!!!!!!!!!!!!!!!!!!!总有一天我要把你搞上床!!!!!!!!!!!!!!!!!!!!!!
yyd7788

ZxID:9835924

等级: 少尉
举报 只看该作者 8楼  发表于: 2010-02-09 0
貌似我刚中了= =
我日
依然小风

ZxID:6727454

等级: 贵宾
配偶: 挚爱小风
举报 只看该作者 7楼  发表于: 2010-02-09 0
话说我连LPK.DLL 和USP10.DLL 一共查出来61个
412789361

ZxID:7981481

等级: 中尉
—盗我头像木有小JJ—
举报 只看该作者 6楼  发表于: 2010-02-09 0
围观LZ。。
ShadowHider

ZxID:10151070

等级: 中将
挂了的头像、更能说明老衲的个性

举报 只看该作者 5楼  发表于: 2010-02-09 0
确实  专杀工具没用  我直接格式磁盘了
lrf3238170

ZxID:1232887

等级: 大尉
举报 只看该作者 4楼  发表于: 2010-02-09 0
好强
616765167

ZxID:6399621

等级: 少校
没G还有什莫意思对吗?猴子们?

举报 只看该作者 地板   发表于: 2010-02-09 0
B血啊我最无视创造毒的垃圾了!
4481033

ZxID:10556878

等级: 上将
永远的小坏蛋

举报 只看该作者 板凳   发表于: 2010-02-09 0
板凳  也要
4481033

ZxID:10556878

等级: 上将
永远的小坏蛋

举报 只看该作者 沙发   发表于: 2010-02-09 0
哇  沙发
« 返回列表
发帖 回复