这个东西带毒,叫USP10.dll 又叫 ‘ 犇牛 ’ 大家注意了。
注意了啊。。。。。大家速度查杀下,我说那个发强T怎么哪么缺德啊。
————————————————————————————————以下犇牛的介绍———————————————————————————
usp10.dll (1.409.2600.1106)编辑本段包含在软件
名字: Windows XP Home Edition, Deutsch 信息链接: 文件细节 文件道路: C:\WINDOWS\system32 \ usp10.dll 文件日期: 2002-08-29 14:00:00 版本: 1.409.2600.1106 文件大小: 339.456 字节 检查和和文件hashes CRC32: 9DA76CA6 MD5: 06E2 217D 2AF7 50D6 69C8 AACE DD28 090B SHA1: 7B9A 2876 45A6 A25B 8867 0229 49FE D6E6 816F 6A32编辑本段版本资源信息
公司名称: Microsoft Corporation 文件描述: Uniscribe Unicode script processor 文件操作系统: Windows NT, Windows 2000, Windows XP, Windows 2003 文件类型: Dynamic Link Library (DLL) 文件版本: 1.409.2600.1106 内部名: Uniscribe 法律版权: Microsoft Corporation. All rights reserved. 原始的文件名: Uniscribe 产品名称: Microsoft(R) Uniscribe Unicode script processor 产品版本: 1.409.2600.1106 用途:usp10.dll是字符显示脚本应用程序接口相关文件。也可能为病毒 安全等级 (0-5): 0 (N/A无危险 5最危险) 间谍软件: 可能 广告软件: 否 病毒: 可能 木马: 可能 系统进程:可能 应用程序: 否 后台程序: 否 使用访问: 否 访问互联网: 否编辑本段基本信息
软件大小:167KB 软件星级:2.5 软件语言:中文简体 开 发 商:HOMEPAGE 软件类别:国产软件 软件授权:免费版本 更新时间:2010-01-0714:48:38 应用平台:XP/2K/Vista/9x[1]编辑本段安全相关
“潜行者”病毒以感染Windows系统文件usp10.dll作为跳板,绕过杀毒软件及网游保护系统。一旦受感染的系统文件被网络游戏加载到内存,便会加载各种流行网游盗号木马(特征是扩展名为drv),盗取《天龙八部》,《剑网三》,《地下城与勇士》,《穿越火线》等流行网游的账号。同时,也会使游戏过程中频繁卡机。 “系统文件替换病毒”的出现,意味着网游盗号产业进一步细化分工,可以为了绕过安全软件和网游保护而制作一种独立病毒。在过去,木马为了侵入网游,必须在启动项中进行加载,所以安全软件可以通过启动项检查发现是否有木马进入系统。而像“usp10.dll病毒”这种通过感染usp10.dll文件,从而将木马加载进网游进程的形势,可以绕过大多数安全软件的检测。这也是“系统文件感染病毒” 至今没有被主流杀软查杀的原因。
系统usp10.dll错误会带来什么危害?
系统文件usp10.dll出错,是由于木马病毒、或不小心下载了流氓软件被感染所致。而该文件又是系统/程序正常运行的前提条件,所以一旦不幸被感染,通常会伴随下几种情况:
usp10.dll出错后系统提示错误
1、桌面图标无法删除(淘宝、小游戏、电影等等,重启同样不能正常删除) 2、网络游戏打不开(DNF,穿越火线,魔兽世界等等) 。 3、电脑无故蓝屏。 4、电脑没声音。 5、桌面无法显示。 6、主页被修改为网址导航 。 7、内存占用率增高,系统提示内存不足。 现在市面上的大多数安全软件对带有流氓软件性质的病毒都无法清理干净,或查杀后造成系统找不到lpk.dll文件,导致运行游戏时弹出系统文件丢失对话框。
解决方案
多数杀毒软件对“潜行者”病毒无法查杀,或查杀后造成系统找不到usp10.dll文件,导致运行网游时弹出系统文件丢失提示。 一.使用可牛免费杀毒进行全盘扫描能够完美清除该病毒,修复系统文件。 二.如果因其他杀软查杀,导致电脑出现usp10.dll文件丢失,可以使用可牛系统文件修复工具进行系统文件完美修复。 1.下载一个可牛免费杀毒系统文件修复工具,下载方法(百度里搜索‘可牛免费杀毒系统文件修复工具’ ) 2.下载以后,可牛免费杀毒系统文件修复工具,点开始修复。 3.可牛免费杀毒系统文件修复工具会智能扫描系统文件,自动寻找与操作系统相匹配的系统文件进行修复。 三.尝试运行"sfc /scannow",检查一下系统文件 如果在windows\system32目录之外发现usp10.dll,则很可能是病毒文件: usp10.dll很多应用程序运行时会调用,调用的优先级为: 1.应用程序的安装目录;2:当前的工作目录;3:系统目录;4:路径变量set path=所指的路径。 其目的就是当你运行某个EXE程序时,会按以上优先级调用usp10.dll,使得病毒文件先于系统文件执行,并且很可能导致有关应用程序运行错误。 这时,建议运行反病毒软件查杀病毒,或者在技术论坛发贴求助。 注:建议用 “lpk-usp10感染病毒专杀工具” 查杀,将执行程序快捷方式到桌面,重启后直接查杀,以免触发病毒。编辑本段系统缺少usp10.dll解决方案
一、如果您的系统提示“没有找到usp10.dll”或者“缺少usp10.dll”等类似错误信息,请把usp10.dll下载到本机 二、直接拷贝该文件到系统目录里: 1、Windows 95/98/Me系统,则复制到C:\Windows\System目录下。 2、Windows NT/2000系统,则复制到C:\WINNTS\ystem32目录下。 3、Windows XP系统,则复制到C:\Windows\System32目录下。 三、然后打开“开始-运行-输入regsvr32 usp10.dll”,回车即可解决错误提示!编辑本段病毒可能
2009年2月4日起,大量网友发现自己的电脑突然间慢如“老牛”,硬盘中同时出现了很多莫名其妙的“usp10.dll”文件,即便重装系统也无济于事。原来,这是一头名为“犇牛”的恶性木马突然爆发的结果。 360安全中心向记者紧急发布公告,称“犇牛”木马下载器已袭击了数十万台电脑,并能导致大部分安全软件失效,用户采用重装系统等常规手段也无法解决。 根据大批受害用户的反映,感染“犇牛”下载器的电脑系统速度会明显变慢,部分用户的电脑感染“犇牛”后还会出现弹出大量广告网页、杀毒软件遭强制卸载、“QQ医生”显示为“叉号”无法正常使用等各种症状,并会自动下载大量木马病毒。受害用户除非将所有硬盘分区全盘格式化,否则即便重装系统后“犇牛”仍能踏蹄重来。 据360安全专家石晓虹博士介绍,“犇牛”采用了特别技术,在系统重装后仍能“复活”,完全不同于其它恶性木马常用的“复活”方式,使普通用户很难用以往的系统重装方式来“自救”;此外,"犇牛"还使用了一个名为“安软杀手”的帮凶对主流杀软进行卸载和破坏,屏蔽安全厂商的网站,致使受害用户无法通过登录安全网站或下载安全软件获得帮助。 USP10.dll病毒原理: 正常的USP10.dll是字符显示脚本应用程序接口相关文件,存在于C:\WINDOWS\system32\USP10.dll,也有可能存在于C:\WINDOWS\system32\dllcache\USP10.dll。 usp10.dll木马病毒则是利用window系统目录优先权来启动。 首先来说说这个目录优先权,windows系统在执行一个文件时,首先会在“当前目录”查找所要执行的文件,如果当前目录不存在这个文件,就会到windows\system32\下去查找,如果还是不存在,就会到windows\目录下去查找,如果还是不存在就会在环境变量PATH中的目录下去查找,这个就是windows目录优先权。 这里还要告诉大家是,一个exe文件执行会调用系统不少的DLL。 了解了这个目录优先权和exe应用程序执行时会调用系统dll后,不少朋友可能都已经想到了,这个USP10.dll为什么会把自身大量复制到每个可执行文件同目录下,为什么会取名为USP10.dll?对,复制自身就是让可执行文件在执行的时候抢占目录优先权,而命名为USP10.dll是因为在windows\system32\也有个USP10.dll,很多应用程序启动时都会调用这个dll,这就是这个USP10.dll病毒的启动原理了。编辑本段USP10.dll病毒行为
1 释放usp10.dll挟持常用软件 遍历非系统所在目录的所有驱动器,凡发现目录中存在exe后缀的文件,则将%windir%\tasks\1文件拷贝过去,命名为usp10.dll。牢牢抓住普通用户的使用习惯,导致即使重装系统病毒还会重新启动 2 调用TerminateProcess 结束安全软件的驻留进程,列表如下 kavstart.exe kissvc.exe kmailmon.exe kpfw32.exe kpfwsvc.exe kwatch.exe ccenter.exe ras.exe rstray.exe rsagent.exe ravtask.exe ravstub.exe ravmon.exe ravmond.exe avp.exe 360safebox.exe 360Safe.exe Thunder5.exe rfwmain.exe rfwstub.exe rfwsrv.exe 3 添加对迅雷的映像劫持使迅雷无法启动,具体如下: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion \Image File Execution Options\Thunder5.exe "Debugger" REG_SZ "svchost.exe" 4 调用360保险箱卸载参数卸载360保险箱。并通过修改注册表关闭360监控 5 创建线程关闭冰刃之类的安全软件窗口和更改显示隐藏文件 若当前窗口的class为"AfxControlBar42s",则向此窗口发送WM_CLOSE消息,并模拟键盘的回车键。 修改以下注册表键值,来不显示隐藏文件 HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced "Hidden" REG_DWORD 0 "SuperHidden" REG_DWORD 0 "ShowSuperHidden" REG_DWORD 0 6 释放病毒启动,并尝试直接替换输入法程序ctfmon.exe 7 下载大量盗号木马病毒到用户电脑编辑本段病毒自救
自救
中毒后计算机里的数据并不完全没救。中毒后不要抱有侥幸心理,不要认为电脑还可以接着用,由于它是下载器,标志着时间越久,它下载下来的病毒和木马就会越多,所以得病后需及时就医。 重装系统是最好的办法,重装完成后,不要碰触其他分区。先打开我的电脑,把隐藏文件和系统文件显示出来,从他人电脑上下载杀毒软件和最新病毒库离线升级包,拷贝到本机安装在C盘里,把杀毒软件升级到最新病毒库,对其他分区进行全盘扫描。一般病毒会被查杀。查杀完成前不要使用电脑做其他事。清理完病毒后即可正常使用。 安装了麦咖啡的机器可以建立以下策略 以达到系统不能新建USP10.DLL病毒 策略如下:
要包含的进程
要排除的进程:C:\WINDOWS\system32\usp10.dll (可不填) 要阻止的文件:**/**/usp10.dll 最后 勾上正在创建新文件 确定后应用即可
