中了 usp10.dll 猫癣（犇牛）病毒！ 简易解的决方案！

 

中了猫癣，usp10.dll ！

 

 

中毒现象：

1. 打开任务管理器看有些奇怪进程：

 

 

 

 

2.杀毒软件无法启动或老是自动关闭.

 

 

3.搜索”usp10.dll”整个硬盘，看见有很多这个隐藏文件：

 

 

 

4. C:/Documents and Settings/(你的windows用户名)/Local Settings/temp文件夹里面有很多这些文件：

 

C:/Documents and Settings/(你的windows用户名)/Local Settings/Temporary Internet Files里面有这些文件：

 

病毒说明：

样本文件名（”[1]”不是文件名的一部分），所在路径，MD5：

 

 

 

 

 

(以下是转载自爱卡巴论坛的某个帖子,仅供参考)

usp10.dll以及wsock32.dll这两种病毒在非系统分区所有含.exe文件的文件夹中释放病毒程序usp10.dll或者wsock32.dll(具有隐藏和系统属性).由于Windows目录优先权原理,中招后重装系统者往往出现重装系统后还有病毒的情况.

目录优先权的含义是当用户在执行一个程序时,首先会在"当前目录"查找所需的Dll库文件,如果当前目录不存在这个文件,就会到系统目录下去查找(一般是windows/system32和windows目录),如果还是不存在就会在环境变量中的指定目录下去查找,这个就是windows目录优先权.由于usp10.dll是大量程序都需要调用的,用于支持多语言环境的库文件,正常的usp10.dl存在于WINDOWS/system32/usp10.dll,也存在于WINDOWS/system32/dllcache/usp10.dll,所以病毒把经过修改过的有害文件usp10.dll大量复制到每个可执行文件同目录下抢占目录优先权,应用程序启动时都会调用这个dll.

usp10.dll或者wscok32.dll被调用后会利用URLDownloadToFile函数连接网络下载数十个的"随机数字"名(无后缀)病毒程序到当前用户临时文件夹(Temp)中,或者下载以new1[1].exe,newads01[1].exe开头的木马,这些程序执行后,在Windows/system32目录下大量释放随机字母Dll,特殊的会释放anymie360.exe,anymie360.dll,PointDw.Boo,PowerDn.Rel,

ComRs.dll,CtmRes.dll,ctm09004.ttf,sadfasdf.jpg(下载配置文件)木马,进行游戏密码盗取活动.

手动解决方案：

既然知道了这个病毒的原理，那就根据它的原理来解决吧。 (本来以为这么简单不行，病毒还有可能修改注册表什么的，结果却非常有效，杀完后检查没什么事，用了几天没发作)

1.先确定主机开机后不能连接上网络（以免病毒自动下载），然后才可以开机。开机后尽量把可以关的程序和非系统进程都关掉（像杀软，qq什么的）.

2.打开任务管理器，关掉一些名字像随机7位数字或扩展名为tmp的奇怪进程(一般有1―2个).

3.按右键对我的电脑搜索’usp10.dll’,然后等待其完成搜索，注意不要还没搜索完就急着删除。

在搜索过程和搜索完之后，都千万不要访问任何硬盘文件或打开任何程序。搜索完，除了C:/ WINDOWS/system32/usp10.dll和C:/ WINDOWS/system32/dllcache/usp10.dll外(这两个是正常的)，其余全部删除。注意，若提示某个不能删除，则一定是还有某个程序在用它，因此要尽量关掉所有程序和非系统进程。

4. C:/Documents and Settings/(你的windows用户名)/Local Settings/temp目录下的所有随机7位数文件全部删掉，C:/Documents and Settings/(你的windows用户名)/Local Settings/Temporary Internet Files目录下的所有gr.exe,new1.exe,new2.exe之类的全部删掉,重启，ok.若不放心，还可以用金山系统急救箱和墨者病毒追踪助手协同清除由这个病毒下载的病毒，不过貌似没必要了。

(你也可以选一些系统文件对比它们前后的md5值看有没改变)