貓癬病毒,“usp10.dll貓癬病毒”(又名犇牛),是2009新年伊始就掀起的一場病毒危機的電腦病毒,主要通過網頁“掛馬”的形式傳播病毒,貓癬、犇牛都是人們給這個病毒起的名字。 “貓癬病毒”的中毒症狀是用戶的電腦變得越來越慢,有時系統還會提示“虛擬記憶體不足”,輸入法也神秘的失蹤。
USP10.dll是字元顯示腳本應用程式接口相關檔案,存在於C:\WINDOWS\system32\USP10.dll,也有可能存在於C:\WINDOWS\system32\dllcache\USP10.dll。
基本介紹
- 中文名:
- 外文名: usp10.dll
- 信息連結:檔案細節
- 檔案日期:2002-08-29 14:00:00
- 版本: 1.409.2600.1106
基本信息,版本資源,基本信息,安全相關,出錯危害,解決方案,解決方案,病毒可能,病毒原理,病毒行為,病毒自救,自救,包含進程,補充,DOS防毒,
基本信息
檔案道路: C:\WINDOWS\system32 \ usp10.dll
檔案日期: 2002-08-29 14:00:00
檔案大小: 339.456位元組
檢查和檔案hashes
CRC32: 9DA76CA6
MD5: 06E2 217D 2AF7 50D6 69C8 AACE DD28 090B
SHA1: 7B9A 2876 45A6 A25B 8867 0229 49FE D6E6 816F 6A32
版本資源
公司名稱: Microsoft Corporation
檔案描述:UniscribeUnicode script processor
檔案作業系統: Windows NT, Windows 2000, Windows XP, Windows 2003
檔案類型: Dynamic Link Library (DLL)
檔案版本: 1.409.2600.1106
內部名:Uniscribe
法律著作權: Microsoft Corporation. All rights reserved.
原始的檔案名稱:Uniscribe
產品名稱: Microsoft(R)UniscribeUnicode script processor
產品版本: 1.409.2600.1106
用途:usp10.dll是字元顯示腳本應用程式接口相關檔案。也可能為病毒
系統dll檔案:是
安全等級(0-5):0
間諜軟體:否
廣告軟體:否
virus(病毒):否
木馬:否
基本信息
軟體大小:167KB
軟體星級:2.5
軟體語言:中文簡體
開 發 商:HOMEPAGE
軟體類別:國產軟體
軟體授權:免費版本
更新時間:2010-01-0714:48:38
套用平台:XP/2K/Vista/9x
安全相關
“系統檔案替換病毒”的出現,意味著網遊盜號產業進一步細化分工,可以為了繞過安全軟體和網遊保護而製作一種獨立病毒。在過去,木馬為了侵入網遊,必須在啟動項中進行載入,所以安全軟體可以通過啟動項檢查發現是否有木馬進入系統。而像“usp10.dll病毒”這種通過感染usp10.dll檔案,從而將木馬載入進網遊進程的形勢,可以繞過大多數安全軟體的檢測。這也是“系統檔案感染病毒” 至今沒有被主流殺軟查殺的原因。
出錯危害
系統檔案usp10.dll出錯,是由於木馬病毒、或不小心下載了流氓軟體被感染所致。而該檔案又是系統/程式正常運行的前提條件,所以一旦不幸被感染,通常會伴隨下幾種情況:
1、桌面圖示無法刪除(淘寶、小遊戲、電影等等,重啟同樣不能正常刪除)
usp10.dll出錯後系統提示錯誤
usp10.dll出錯後系統提示錯誤2、網路遊戲打不開(DNF,穿越火線,魔獸世界等等) 。
3、電腦無故藍屏。
4、電腦沒聲音。
5、桌面無法顯示。
6、主頁被修改為網址導航 。
解決方案
一.使用360防毒進行全盤掃描能夠完美清除該病毒,修復系統檔案。
二.嘗試運行"sfc /scannow",檢查一下系統檔案
如果在windows\system32目錄之外發現usp10.dll,則很可能是病毒檔案:
usp10.dll很多應用程式運行時會調用,調用的優先權為:
1.應用程式的安裝目錄;2:當前的工作目錄;3:系統目錄;4:路徑變數set path=所指的路徑。
其目的就是當你運行某個EXE程式時,會按以上優先權調用usp10.dll,使得病毒檔案先於系統檔案執行,並且很可能導致有關應用程式運行錯誤。
這時,建議運行反病毒軟體查殺病毒,或者在技術論壇發貼求助。
註:建議用 “lpk-usp10感染病毒專殺工具” 查殺,將執行程式捷徑到桌面,重啟後直接查殺,以免觸發病毒。
解決方案
一、如果您的系統提示“沒有找到usp10.dll”或者“缺少usp10.dll”等類似錯誤信息,請把usp10.dll下載到本機
二、直接拷貝該檔案到系統目錄里:
1、Windows 95/98/Me系統,則複製到C:\Windows\System目錄下。
2、Windows NT/2000系統,則複製到C:\WINNTS\ystem32目錄下。
3、Windows XP系統,則複製到C:\Windows\System32目錄下。
三、然後打開“開始-運行-輸入regsvr32 usp10.dll”,回車即可解決錯誤提示!
病毒可能
2009年2月4日起,大量網友發現自己的電腦突然間慢如“老牛”,硬碟中同時出現了很多莫名其妙的“usp10.dll”檔案,即便重灌系統也無濟於事。原來,這是一頭名為“犇牛”的惡性木馬突然爆發的結果。
根據大批受害用戶的反映,感染“犇牛”下載器的電腦系統速度會明顯變慢,部分用戶的電腦感染“犇牛”後還會出現彈出大量廣告網頁、防毒軟體遭強制卸載、“QQ醫生”顯示為“叉號”無法正常使用等各種症狀,並會自動下載大量木馬病毒。受害用戶除非將所有硬碟分區全盤格式化,否則即便重灌系統後“犇牛”仍能踏蹄重來。
據360安全專家石曉虹博士介紹,“犇牛”採用了特別技術,在系統重裝後仍能“復活”,完全不同於其它惡性木馬常用的“復活”方式,使普通用戶很難用以往的系統重裝方式來“自救”;此外,"犇牛"還使用了一個名為“安軟殺手”的幫凶對主流殺軟進行卸載和破壞,禁止安全廠商的網站,致使受害用戶無法通過登錄安全網站或下載安全軟體獲得幫助。
病毒原理
正常的USP10.dll是字元顯示腳本應用程式接口相關檔案,存在於C:\WINDOWS\system32\USP10.dll,也有可能存在於C:\WINDOWS\system32\dllcache\USP10.dll。
usp10.dll木馬病毒則是利用window系統目錄優先權來啟動。
首先來說說這個目錄優先權,windows系統在執行一個檔案時,首先會在“當前目錄”查找所要執行的檔案,如果當前目錄不存在這個檔案,就會到windows\system32\下去查找,如果還是不存在,就會到windows\目錄下去查找,如果還是不存在就會在環境變數PATH中的目錄下去查找,這個就是windows目錄優先權。
這裡還要告訴大家是,一個exe檔案執行會調用系統不少的DLL。
了解了這個目錄優先權和exe應用程式執行時會調用系統dll後,不少朋友可能都已經想到了,這個USP10.dll為什麼會把自身大量複製到每個執行檔同目錄下,為什麼會取名為USP10.dll?對,複製自身就是讓執行檔在執行的時候搶占目錄優先權,而命名為USP10.dll是因為在windows\system32\也有個USP10.dll,很多應用程式啟動時都會調用這個dll,這就是這個USP10.dll病毒的啟動原理了。
病毒行為
1 釋放usp10.dll挾持常用軟體
遍歷非系統所在目錄的所有驅動器,凡發現目錄中存在exe後綴的檔案,則將%windir%\tasks\1檔案拷貝過去,命名為usp10.dll。牢牢抓住普通用戶的使用習慣,導致即使重灌系統病毒還會重新啟動
2 調用TerminateProcess 結束安全軟體的駐留進程,列表如下
kavstart.exekissvc.exekmailmon.exe kpfw32.exe kpfwsvc.exe kwatch.exe
ccenter.exeras.exerstray.exe rsagent.exe ravtask.exe ravstub.exe
ravmon.exe ravmond.exeavp.exe360safebox.exe 360Safe.exeThunder5.exe
rfwmain.exerfwstub.exerfwsrv.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\Image File Execution Options\Thunder5.exe
"Debugger" REG_SZ "svchost.exe"
5 創建執行緒關閉冰刃之類的安全軟體視窗和更改顯示隱藏檔案
若當前視窗的class為"AfxControlBar42s",則向此視窗傳送WM_CLOSE訊息,並模擬鍵盤的回車鍵。
修改以下註冊表鍵值,來不顯示隱藏檔案
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"Hidden" REG_DWORD 0
"SuperHidden" REG_DWORD 0
"ShowSuperHidden" REG_DWORD 0
6 釋放病毒啟動,並嘗試直接替換輸入法程式ctfmon.exe
7 下載大量盜號木馬病毒到用戶電腦
病毒自救
自救
中毒後計算機里的數據並不完全沒救。中毒後不要抱有僥倖心理,不要認為電腦還可以接著用,由於它是下載器,標誌著時間越久,它下載下來的病毒和木馬就會越多,所以得病後需及時就醫。
重裝系統是最好的辦法,重裝完成後,不要碰觸其他分區。先打開我的電腦,把隱藏檔案和系統檔案顯示出來,從他人電腦上下載防毒軟體和最新病毒庫離線升級包,拷貝到本機安裝在C糟里,把防毒軟體升級到最新病毒庫,對其他分區進行全盤掃描。一般病毒會被查殺。查殺完成前不要使用電腦做其他事。清理完病毒後即可正常使用。
安裝了麥咖啡的機器可以建立以下策略 以達到系統不能新建USP10.DLL病毒 策略如下:
包含進程
要排除的進程:C:\WINDOWS\system32\usp10.dll (可不填)
要阻止的檔案:**/**/usp10.dll
最後 勾上正在創建新檔案 確定後套用即可
補充
任務管理器出現一些數字進程,比如601081 40058 11358 58254 後面也不帶.exe的,就與usp10.dll有關聯了,請大家注意點。
usp10.dll會進入Program Files ,或添加到其它程式裡面,破壞程式結構。比如:登錄QQ,若你設了記住密碼,它會幫你清除所有密碼等。
補充部分:很多因使用GHOST恢復系統的朋友,在系統恢復之後,由於桌面會調用盜版盤backup或者其他地方的備份桌面地址、以及盜版盤的一些數據(例如深度、雨林木風的QQ),因此在恢復系統之後,如果再次中毒,請先清空桌面,或者把桌面備份到其他地方,保持桌面的整潔,並且不要使用任何後綴名為exe檔案。
DOS防毒
開始 - 運行 - 輸入 cmd 點確定
輸入 cd \ (C糟內) 要想出去C糟 就輸入 這種 比如去D糟 就 輸入 D: 回車
輸入 CD \之後 輸入 attrib -r -a -s -h /s /d usp10.dll 回車
然後再輸入 attrib -r -a -s -h /s /dlpk.dll
弄完之後 再輸入 del /p /f /s usp10.dll 看好路徑 如果是windows\system32之內 是不需要刪除的
del /p /f /slpk.dll如果是windows\system32之內 是不需要刪除的
把所有盤 都弄一遍 要是出現在 WINDOWS內 也需要刪除的 要是提示 拒絕訪問 打開我的電腦 輸入哪個路徑 回車進去 然後開啟殺軟 掃描那個檔案 就行了
要是 不放心 然後 你在 每個磁碟 都來一次檔案搜尋 看看
要是對自己的技術認為不過關的 就只弄attrib 那個命令 然後 在每個磁碟搜尋檔案 就行了 搜尋 usp10.dll和lpk.dll要是殺軟提示有病毒 那就可以直接刪除 要是不提示 可以 在上面右鍵 掃描
檔案一般為
時間 : 2004-8-14 1:00 大小為:156kb (這個是usp10.dll的)
