usp10.dll

猫癣病毒,“usp10.dll猫癣病毒”(又名犇牛),是2009新年伊始就掀起的一场病毒危机的电脑病毒,主要通过网页“挂马”的形式传播病毒,猫癣、犇牛都是人们给这个病毒起的名字。 “猫癣病毒”的中毒症状是用户的电脑变得越来越慢,有时系统还会提示“虚拟内存不足”,输入法也神秘的失踪。

USP10.dll是字符显示脚本应用程序接口相关文件 ,存在于C:\WINDOWS\system32\USP10.dll,也有可能存在于C:\WINDOWS\system32\dllcache\USP10.dll。

文件道路: C:\WINDOWS\system32 \ usp10.dll

文件日期: 2002-08-29 14:00:00

文件大小: 339.456字节

检查和文件hashes

CRC32: 9DA76CA6

MD5: 06E2 217D 2AF7 50D6 69C8 AACE DD28 090B

SHA1: 7B9A 2876 45A6 A25B 8867 0229 49FE D6E6 816F 6A32

公司名称: Microsoft Corporation

文件描述:UniscribeUnicode script processor

文件操作系统: Windows NT, Windows 2000, Windows XP, Windows 2003

文件类型: Dynamic Link Library (DLL)

文件版本: 1.409.2600.1106

内部名:Uniscribe

法律版权: Microsoft Corporation. All rights reserved.

原始的文件名:Uniscribe

产品名称: Microsoft(R)UniscribeUnicode script processor

产品版本: 1.409.2600.1106

用途:usp10.dll是字符显示脚本应用程序接口相关文件。也可能为病毒

系统dll文件:是

安全等级(0-5):0

间谍软件:否

广告软件:否

virus(病毒):否

木马:否

软件大小:167KB

软件星级:2.5

软件语言:中文简体

开 发 商:HOMEPAGE

软件类别:国产软件

软件授权:免费版本

更新时间:2010-01-0714:48:38

应用平台:XP/2K/Vista/9x

“潜行者”病毒以感染Windows系统文件usp10.dll作为跳板,绕过杀毒软件及网游保护系统。一旦受感染的系统文件被网络游戏加载到内存,便会加载各种流行网游盗号木马(特征是扩展名为drv),盗取《天龙八部》,《剑网三》,《地下城与勇士》,《穿越火线》等流行网游的账号。同时,也会使游戏过程中频繁卡机。

“系统文件替换病毒”的出现,意味着网游盗号产业进一步细化分工,可以为了绕过安全软件和网游保护而制作一种独立病毒。在过去,木马为了侵入网游,必须在启动项中进行加载,所以安全软件可以通过启动项检查发现是否有木马进入系统。而像“usp10.dll病毒”这种通过感染usp10.dll文件,从而将木马加载进网游进程的形势,可以绕过大多数安全软件的检测。这也是“系统文件感染病毒” 没有被主流杀软查杀的原因。

系统文件usp10.dll出错,是由于木马病毒、或不小心下载了流氓软件被感染所致。而该文件又是系统/程序正常运行的前提条件,所以一旦不幸被感染,通常会伴随下几种情况:

1、桌面图标无法删除(淘宝、小游戏、电影等等,重启同样不能正常删除)

2、网络游戏打不开(DNF,穿越火线,魔兽世界等等) 。

3、电脑无故蓝屏。

4、电脑没声音。

5、桌面无法显示。

6、主页被修改为网址导航 。

7、内存占用率增高,系统提示内存不足。

市面上的大多数安全软件对带有流氓软件性质的病毒都无法清理干净,或查杀后造成系统找不到lpk.dll文件,导致运行游戏时弹出系统文件丢失对话框。

一.使用360杀毒进行全盘扫描能够清除该病毒,修复系统文件。

二.尝试运行"sfc /scannow",检查一下系统文件

如果在windows\system32目录之外发现usp10.dll,则很可能是病毒文件:

usp10.dll很多应用程序运行时会调用,调用的优先级为:

1.应用程序的安装目录;2:当前的工作目录;3:系统目录;4:路径变量set path=所指的路径。

其目的就是当你运行某个EXE程序时,会按以上优先级调用usp10.dll,使得病毒文件先于系统文件执行,并且很可能导致有关应用程序运行错误。

这时,建议运行反病毒软件查杀病毒,或者在技术论坛发贴求助。

注:建议用 “lpk-usp10感染病毒专杀工具” 查杀,将执行程序快捷方式到桌面,重启后直接查杀,以免触发病毒。

三、如果您的系统提示“没有找到usp10.dll”或者“缺少usp10.dll”等类似错误信息,请把usp10.dll下载到本机

四、直接拷贝该文件到系统目录里:

1、Windows 95/98/Me系统,则复制到C:\Windows\System目录下。

2、Windows NT/2000系统,则复制到C:\WINNTS\ystem32目录下。

3、Windows XP系统,则复制到C:\Windows\System32目录下。

五、然后打开“开始-运行-输入regsvr32 usp10.dll”,回车即可解决错误提示

2009年2月4日起,大量网友发现自己的电脑突然间慢如“老牛”,硬盘中同时出现了很多莫名其妙的“usp10.dll”文件,即便重装系统也无济于事。原来,这是一头名为“犇牛”的恶性木马突然爆发的结果。

360安全中心向记者紧急发布公告,称“犇牛”木马下载器已袭击了数十万台电脑,并能导致大部分安全软件失效,用户采用重装系统等常规手段也无法解决。

根据大批受害用户的反映,感染“犇牛”下载器的电脑系统速度会明显变慢,部分用户的电脑感染“犇牛”后还会出现弹出大量广告网页、杀毒软件遭强制卸载、“QQ医生”显示为“叉号”无法正常使用等各种症状,并会自动下载大量木马病毒。受害用户除非将所有硬盘分区全盘格式化,否则即便重装系统后“犇牛”仍能踏蹄重来。

据360安全专家石晓虹博士介绍,“犇牛”采用了特别技术,在系统重装后仍能“复活”,完全不同于其它恶性木马常用的“复活”方式,使普通用户很难用以往的系统重装方式来“自救”;此外,"犇牛"还使用了一个名为“安软杀手”的帮凶对主流杀软进行卸载和破坏,屏蔽安全厂商的网站,致使受害用户无法通过登录安全网站或下载安全软件获得帮助。

正常的USP10.dll是字符显示脚本应用程序接口相关文件,存在于C:\WINDOWS\system32\USP10.dll。

usp10.dll木马病毒则是利用window系统目录优先权来启动。

首先来说说这个目录优先权,windows系统在执行一个文件时,首先会在“当前目录”查找所要执行的文件,如果当前目录不存在这个文件,就会到windows\system32\下去查找,如果还是不存在,就会到windows\目录下去查找,如果还是不存在就会在环境变量PATH中的目录下去查找,这个就是windows目录优先权。

这里还要告诉大家是,一个exe文件执行会调用系统不少的DLL。

了解了这个目录优先权和exe应用程序执行时会调用系统dll后,不少朋友可能都已经想到了,这个USP10.dll为什么会把自身大量复制到每个可执行文件同目录下,为什么会取名为USP10.dll对,复制自身就是让可执行文件在执行的时候抢占目录优先权,而命名为USP10.dll是因为在windows\system32\也有个USP10.dll,很多应用程序启动时都会调用这个dll,这就是这个USP10.dll病毒的启动原理了。

1 释放usp10.dll挟持常用软件

遍历非系统所在目录的所有驱动器,凡发现目录中存在exe后缀的文件,则将%windir%\tasks\1文件拷贝过去,命名为usp10.dll。牢牢抓住普通用户的使用习惯,导致即使重装系统病毒还会重新启动

2 调用TerminateProcess 结束安全软件的驻留进程,列表如下

kavstart.exekissvc.exekmailmon.exe kpfw32.exe kpfwsvc.exe kwatch.exe

ccenter.exeras.exerstray.exe rsagent.exe ravtask.exe ravstub.exe

ravmon.exe ravmond.exeavp.exe360safebox.exe 360Safe.exeThunder5.exe

rfwmain.exerfwstub.exerfwsrv.exe

3 添加对迅雷的映像劫持使迅雷无法启动,具体如下:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion

\Image File Execution Options\Thunder5.exe

"Debugger" REG_SZ "svchost.exe"

4 调用360保险箱卸载参数卸载360保险箱。并通过修改注册表关闭360监控

5 创建线程关闭冰刃之类的安全软件窗口和更改显示隐藏文件

若当前窗口的class为"AfxControlBar42s",则向此窗口发送WM_CLOSE消息,并模拟键盘的回车键。

修改以下注册表键值,来不显示隐藏文件

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

"Hidden" REG_DWORD 0

"SuperHidden" REG_DWORD 0

"ShowSuperHidden" REG_DWORD 0

6 释放病毒启动,并尝试直接替换输入法程序ctfmon.exe

7 下载大量盗号木马病毒到用户电脑

中毒后计算机里的数据并不完全没救。中毒后不要抱有侥幸心理,不要认为电脑还可以接着用,由于它是下载器,标志着时间越久,它下载下来的病毒和木马就会越多,所以得病后需及时就医。

重装系统是最好的办法,重装完成后,不要碰触其他分区。先打开我的电脑,把隐藏文件和系统文件显示出来,从他人电脑上下载杀毒软件和最新病毒库离线升级包,拷贝到本机安装在C盘里,把杀毒软件升级到最新病毒库,对其他分区进行全盘扫描。一般病毒会被查杀。查杀完成前不要使用电脑做其他事。清理完病毒后即可正常使用。

安装了麦咖啡的机器可以建立以下策略 以达到系统不能新建USP10.DLL病毒 策略如下:

要排除的进程:C:\WINDOWS\system32\usp10.dll (可不填)

要阻止的文件:**/**/usp10.dll

最后 勾上正在创建新文件 确定后应用即可

任务管理器出现一些数字进程,比如601081 40058 11358 58254 后面也不带.exe的,就与usp10.dll有关联了,请大家注意点。

usp10.dll会进入Program Files ,或添加到其它程序里面,破坏程序结构。比如:登录QQ,若你设了记住密码,它会帮你清除所有密码等。

截图

补充部分:很多因使用GHOST恢复系统的朋友,在系统恢复之后,由于桌面会调用盗版盘backup或者其他地方的备份桌面地址、以及盗版盘的一些数据(例如深度、雨林木风的QQ),因此在恢复系统之后,如果再次中毒,请先清空桌面,或者把桌面备份到其他地方,保持桌面的整洁,并且不要使用任何后缀名为exe文件。

然后下载卡巴斯基、360安全卫士等安全软件保护系统。

开始 - 运行 - 输入 cmd 点确定

输入 cd \ (C盘内) 要想出去C盘 就输入 这种 比如去D盘 就 输入 D: 回车

输入 CD \之后 输入 attrib -r -a -s -h /s /d usp10.dll 回车

然后再输入 attrib -r -a -s -h /s /dlpk.dll

弄完之后 再输入 del /p /f /s usp10.dll 看好路径 如果是windows\system32之内 是不需要删除的

del /p /f /slpk.dll如果是windows\system32之内 是不需要删除的

把所有盘 都弄一遍 要是出WINDOWS内 也需要删除的 要是提示 拒绝访问 打开我的电脑 输入哪个路径 回车进去 然后开启杀软 扫描那个文件 就行了

要是 不放心 然后 你在 每个磁盘 都来一次文件搜索 看看

要是对自己的技术认为不过关的 就只弄attrib 那个命令 然后 在每个磁盘搜索文件 就行了 搜索 usp10.dll和lpk.dll要是杀软提示有病毒 那就可以直接删除 要是不提示 可以 在上面右键 扫描

文件一般为

时间 : 2004-8-14 1:00 大小为:156kb (这个是usp10.dll的)

相关词汇