|
|
发表于 2010-1-28 16:36:25
|显示全部楼层
usp10.dll是字符显示脚本应用程序接口相关文件。也可能为病毒
安全等级 (0-5) 0 (NA无危险 5最危险)
间谍软件 可能
广告软件 否
病毒 可能
木马 可能
系统进程 是
应用程序 否
后台程序 否
使用访问 否
访问互联网 否
解决方法:
尝试运行sfc scannow,检查一下系统文件
如果在windowssystem32目录之外发现usp10.dll,则很可能是病毒文件
usp10.dll很多应用程序运行时会调用,调用的优先级为:
1.应用程序的安装目录;2:当前的工作目录;3:系统目录;4:路径变量set path=所指的路径。
其目的就是当你运行某个EXE程序时,会按以上优先级调用usp10.dll,使得病毒文件先于系统文件执行,并且很可能导致有关应用程序运行错误。
这时,建议运行反病毒软件查杀病毒,或者在技术论坛发贴求助。
病毒可能
2009年2月4日起,大量网友发现自己的电脑突然间慢如“老牛”,硬盘中同时出现了很多莫名其妙的“usp10.dll”文件,即便重装系统也无济于事。原来,这是一头名为“犇牛”的恶性木马突然爆发的结果。
360安全中心向记者紧急发布公告,称“犇牛”木马下载器已袭击了数十万台电脑,并能导致大部分安全软件失效,用户采用重装系统等常规手段也无法解决。
根据大批受害用户的反映,感染“犇牛”下载器的电脑系统速度会明显变慢,部分用户的电脑感染“犇牛”后还会出现弹出大量广告网页、杀毒软件遭强制卸载、“QQ医生”显示为“叉号”无法正常使用等各种症状,并会自动下载大量木马病毒。受害用户除非将所有硬盘分区全盘格式化,否则即便重装系统后“犇牛”仍能踏蹄重来。
据360安全专家石晓虹博士介绍,“犇牛”采用了特别技术,在系统重装后仍能“复活”,完全不同于其它恶性木马常用的“复活”方式,使普通用户很难用以往的系统重装方式来“自救”;此外,犇牛还使用了一个名为“安软杀手”的帮凶对主流杀软进行卸载和破坏,屏蔽安全厂商的网站,致使受害用户无法通过登录安全网站或下载安全软件获得帮助。
USP10.dll病毒原理:
正常的USP10.dll是字符显示脚本应用程序接口相关文件,存在于CWINDOWSsystem32USP10.dll,也有可能存在于CWINDOWSsystem32dllcacheUSP10.dll。
usp10.dll木马病毒则是利用window系统目录优先权来启动。
首先来说说这个目录优先权,windows系统在执行一个文件时,首先会在“当前目录”查找所要执行的文件,如果当前目录不存在这个文件,就会到windowssystem32下去查找,如果还是不存在,就会到windows目录下去查找,如果还是不存在就会在环境变量PATH中的目录下去查找,这个就是windows目录优先权。
这里还要告诉大家是,一个exe文件执行会调用系统不少的DLL。
了解了这个目录优先权和exe应用程序执行时会调用系统dll后,不少朋友可能都已经想到了,这个USP10.dll为什么会把自身大量复制到每个可执行文件同目录下,为什么会取名为USP10.dll?对,复制自身就是让可执行文件在执行的时候抢占目录优先权,而命名为USP10.dll是因为在windowssystem32也有个USP10.dll,很多应用程序启动时都会调用这个dll,这就是这个USP10.dll病毒的启动原理了。[1]
USP10.dll病毒行为
1 释放usp10.dll挟持常用软件
遍历非系统所在目录的所有驱动器,凡发现目录中存在exe后缀的文件,则将%windir%tasks1文件拷贝过去,命名为usp10.dll。牢牢抓住普通用户的使用习惯,导致即使重装系统病毒还会重新启动
2 调用TerminateProcess 结束安全软件的驻留进程,列表如下
kavstart.exe kissvc.exe kmailmon.exe kpfw32.exe kpfwsvc.exe kwatch.exe
ccenter.exe ras.exe rstray.exe rsagent.exe ravtask.exe ravstub.exe
ravmon.exe ravmond.exe avp.exe 360safebox.exe 360Safe.exe Thunder5.exe
rfwmain.exe rfwstub.exe rfwsrv.exe
3 添加对迅雷的映像劫持使迅雷无法启动,具体如下:
HKLMSOFTWAREMicrosoftWindows NTCurrentVersion
Image File Execution OptionsThunder5.exe
Debugger REG_SZ svchost.exe
4 调用360保险箱卸载参数卸载360保险箱。并通过修改注册表关闭360监控
5 创建线程关闭冰刃之类的安全软件窗口和更改显示隐藏文件
若当前窗口的class为AfxControlBar42s,则向此窗口发送WM_CLOSE消息,并模拟键盘的回车键。
修改以下注册表键值,来不显示隐藏文件
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
Hidden REG_DWORD 0
SuperHidden REG_DWORD 0
ShowSuperHidden REG_DWORD 0
6 释放病毒启动,并尝试直接替换输入法程序ctfmon.exe
7 下载大量盗号木马病毒到用户电脑 [2]
病毒自救
中毒后计算机里的数据并不完全没救。中毒后不要抱有侥幸心理,不要认为电脑还可以接着用,由于它是下载器,标志着时间越久,它下载下来的病毒和木马就会越多,所以得病后需及时就医。
重装系统是最好的办法,重装完成后,不要碰触其他分区。先打开我的电脑,把隐藏文件和系统文件显示出来,从他人电脑上下载杀毒软件和最新病毒库离线升级包,拷贝到本机安装在C盘里,把杀毒软件升级到最新病毒库,对其他分区进行全盘扫描。一般病毒会被查杀。查杀完成前不要使用电脑做其他事。清理完病毒后即可正常使用。
注意:很多时候可能会误杀正常USP10。DLL,那么请到网上下载原版USP。DLL粘贴到cwindowssystem32目录下,重装系统后第一时间查杀病毒,对还存在的非SYSTEM32目录下USP10。DLL实行文件粉碎。如果不放心可以把正常的那个也粉碎了,换个网上下载的
lpk.dll The process Language Pack belongs to the software Microsoft® Windows® Operating System or Microsoft
描述lpk.dll位于 cwinddowssystem32.
已知档案大小就是22016字节(各92%发生)windows XP,18944字节. 属系统文件
档案不是windows核心档案.
因此技术安全等级是40%危险.
注意有些恶意程序伪装自己lpk.dll,尤其是如果他们是位于cwindows文件夹.
如果在磁盘内发现很多文件夹里有名为lpk.dll的文件,请速查毒
特征主要是在每个文件夹内都有。会使电脑变慢,以及自动下载盗号木马,重装系统依然存在!!
LPK.DLL解决方法同usp10.dll
usp10.DLL下载地址:httpwww.zhaodll.comdllsoftdown.aspsoftid=954
lpk.dll下载地址:httpwww.zhaodll.comdllsoftdown.aspsoftid=2041
病毒不杀还好,如果你杀了,那么QQ等一些软件就无法执行。这时候连上网都不行,所以请随时在电脑里保存一个无毒的DLL压缩包,全部杀光以后,将DLL压缩包文件复制到SYSTEM32目录。这样就免了重装系统之苦了,注意平时尽量不要停止杀毒软件的保护。 |
|
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡