猫癣病毒,“usp10.dll猫癣病毒”(又名犇牛),是2009新年伊始就掀起的一场病毒危机的
电脑病毒,主要通过网页“挂马”的形式传播病毒,猫癣、犇牛都是人们给这个病毒起的名字。 “猫癣病毒”的中毒症状是用户的电脑变得越来越慢,有时系统还会提示“虚拟内存不足”,输入法也神秘的失踪。
基本信息
文件日期: 2002-08-29 14:00:00
检查和文件hashes
CRC32: 9DA76CA6
MD5: 06E2 217D 2AF7 50D6 69C8 AACE DD28 090B
SHA1: 7B9A 2876 45A6 A25B 8867 0229 49FE D6E6 816F 6A32
版本资源
公司名称: Microsoft Corporation
文件描述:
UniscribeUnicode script processor
文件操作系统: Windows NT, Windows 2000, Windows XP, Windows 2003
文件类型: Dynamic Link Library (DLL)
内部名:Uniscribe
法律版权: Microsoft Corporation. All rights reserved.
产品名称: Microsoft(R)UniscribeUnicode script processor
产品版本: 1.409.2600.1106
用途:usp10.dll是
字符显示脚本应用程序接口相关文件。也可能为病毒
系统dll文件:是
安全等级(0-5):0
间谍软件:否
广告软件:否
virus(病毒):否
木马:否
软件信息
软件大小:167KB
软件星级:2.5
开 发 商:HOMEPAGE
软件类别:国产软件
软件授权:免费版本
更新时间:2010-01-0714:48:38
应用平台:XP/2K/Vista/9x
安全相关
“潜行者”病毒以感染Windows系统文件usp10.dll作为跳板,绕过杀毒软件及网游保护系统。一旦受感染的系统文件被网络游戏加载到内存,便会加载各种流行网游盗号木马(特征是扩展名为drv),盗取《天龙八部》,《剑网三》,《
地下城与勇士》,《穿越火线》等流行网游的账号。同时,也会使游戏过程中频繁卡机。
“系统文件替换病毒”的出现,意味着网游盗号产业进一步细化分工,可以为了绕过安全软件和网游保护而制作一种独立病毒。在过去,木马为了侵入网游,必须在启动项中进行加载,所以安全软件可以通过启动项检查发现是否有木马进入系统。而像“usp10.dll病毒”这种通过感染usp10.dll文件,从而将木马加载进网游进程的形势,可以绕过大多数安全软件的检测。这也是“系统文件感染病毒” 没有被主流杀软查杀的原因。
出错危害
系统文件usp10.dll出错,是由于木马病毒、或不小心下载了
流氓软件被感染所致。而该文件又是系统/程序正常运行的前提条件,所以一旦不幸被感染,通常会伴随下几种情况:
1、桌面图标无法删除(淘宝、小游戏、电影等等,重启同样不能正常删除)
2、网络游戏打不开(DNF,穿越火线,魔兽世界等等) 。
3、电脑无故蓝屏。
4、电脑没声音。
5、桌面无法显示。
市面上的大多数安全软件对带有
流氓软件性质的病毒都无法清理干净,或查杀后造成系统找不到
lpk.dll文件,导致运行游戏时弹出系统文件丢失对话框。
解决方案
一.使用360杀毒进行全盘扫描能够清除该病毒,修复系统文件。
usp10.dll很多应用程序运行时会调用,调用的优先级为:
1.应用程序的
安装目录;2:当前的工作目录;3:系统目录;4:路径变量set path=所指的路径。
其目的就是当你运行某个EXE程序时,会按以上优先级调用usp10.dll,使得病毒文件先于系统文件执行,并且很可能导致有关应用程序运行错误。
这时,建议运行反病毒软件查杀病毒,或者在技术论坛发贴求助。
注:建议用 “lpk-usp10感染病毒
专杀工具” 查杀,将执行程序快捷方式到桌面,重启后直接查杀,以免触发病毒。
三、如果您的系统提示“没有找到usp10.dll”或者“缺少usp10.dll”等类似错误信息,请把usp10.dll下载到本机
四、直接拷贝该文件到系统目录里:
五、然后打开“开始-运行-输入regsvr32 usp10.dll”,回车即可解决错误提示
病毒可能
2009年2月4日起,大量网友发现自己的电脑突然间慢如“老牛”,硬盘中同时出现了很多莫名其妙的“usp10.dll”文件,即便重装系统也无济于事。原来,这是一头名为“犇牛”的恶性木马突然爆发的结果。
360安全中心向记者紧急发布公告,称“犇牛”
木马下载器已袭击了数十万台电脑,并能导致大部分安全软件失效,用户采用重装系统等常规手段也无法解决。
根据大批受害用户的反映,感染“犇牛”下载器的
电脑系统速度会明显变慢,部分用户的电脑感染“犇牛”后还会出现弹出大量广告网页、杀毒软件遭强制
卸载、“QQ医生”显示为“叉号”无法正常使用等各种症状,并会自动下载大量木马病毒。受害用户除非将所有
硬盘分区全盘格式化,否则即便重装系统后“犇牛”仍能踏蹄重来。
据360安全专家
石晓虹博士介绍,“犇牛”采用了特别技术,在
系统重装卸载和破坏,屏蔽安全厂商的网站,致使受害用户无法通过登录安全网站或下载安全软件获得帮助。
病毒原理
正常的USP10.dll是字符显示脚本
应用程序接口usp10.dll木马病毒则是利用window系统目录优先权来启动。
环境变量PATH中的目录下去查找,这个就是windows目录优先权。
这里还要告诉大家是,一个exe文件执行会调用系统不少的DLL。
了解了这个目录优先权和exe应用程序执行时会调用系统dll后,不少朋友可能都已经想到了,这个USP10.dll为什么会把自身大量复制到每个
可执行文件病毒行为
1 释放usp10.dll挟持常用软件
2 调用TerminateProcess 结束安全软件的驻留进程,列表如下
kavstart.exe
kissvc.exekmailmon.exe kpfw32.exe kpfwsvc.exe kwatch.exe
ccenter.exe
ras.exerstray.exe rsagent.exe ravtask.exe ravstub.exe
ravmon.exe ravmond.exe
avp.exe360safebox.exe 360Safe.exe
Thunder5.exe3 添加对
迅雷的
映像劫持使迅雷无法启动,具体如下:
4 调用
360保险箱卸载参数卸载360保险箱。并通过修改注册表关闭360监控
5 创建线程关闭冰刃之类的安全软件窗口和更改显示隐藏文件
6 释放病毒启动,并尝试直接替换输入法程序ctfmon.exe
7 下载大量盗号木马病毒到用户电脑
病毒自救
自救
中毒后计算机里的数据并不完全没救。中毒后不要抱有侥幸心理,不要认为电脑还可以接着用,由于它是下载器,标志着时间越久,它下载下来的病毒和木马就会越多,所以得病后需及时就医。
重装系统是最好的办法,重装完成后,不要碰触其他分区。先打开我的电脑,把隐藏文件和系统文件显示出来,从他人电脑上下载杀毒软件和最新病毒库离线升级包,拷贝到本机安装在C盘里,把杀毒软件升级到最新病毒库,对其他分区进行全盘扫描。一般病毒会被查杀。查杀完成前不要使用电脑做其他事。清理完病毒后即可正常使用。
安装了麦咖啡的机器可以建立以下策略 以达到系统不能新建USP10.DLL病毒 策略如下:
包含进程
要阻止的文件:**/**/usp10.dll
最后 勾上正在创建新文件 确定后应用即可
补充信息
任务管理器出现一些数字进程,比如601081 40058 11358 58254 后面也不带.exe的,就与usp10.dll有关联了,请大家注意点。
usp10.dll会进入Program Files ,或添加到其它程序里面,破坏程序结构。比如:登录QQ,若你设了记住密码,它会帮你清除所有密码等。
补充部分:很多因使用GHOST恢复系统的朋友,在系统恢复之后,由于桌面会调用盗版盘backup或者其他地方的备份桌面地址、以及盗版盘的一些数据(例如深度、
雨林木风的QQ),因此在恢复系统之后,如果再次中毒,请先清空桌面,或者把桌面备份到其他地方,保持桌面的整洁,并且不要使用任何后缀名为exe文件。
然后下载
卡巴斯基、
360安全卫士等安全软件保护系统。
DOS杀毒
开始 - 运行 - 输入 cmd 点确定
输入 CD \u4e4b后 输入 attrib -r -a -s -h /s /d usp10.dll 回车
然后再输入 attrib -r -a -s -h /s /d
lpk.dll把所有盘 都弄一遍 要是出WINDOWS内 也需要删除的 要是提示 拒绝访问 打开我的电脑 输入哪个路径 回车进去 然后开启杀软 扫描那个文件 就行了
要是 不放心 然后 你在 每个磁盘 都来一次文件搜索 看看
要是对自己的技术认为不过关的 就只弄attrib 那个命令 然后 在每个磁盘搜索文件 就行了 搜索 usp10.dll和
lpk.dll要是杀软提示有病毒 那就可以直接删除 要是不提示 可以 在上面右键 扫描
文件一般为
时间 : 2004-8-14 1:00 大小为:156kb (这个是usp10.dll的)