用卡巴2009的杀灭方法http://bbs.youhua.com/viewthread.php?tid=88075
不知道在那感染的USP10.DLL这个病毒,很郁闷,重新装了系统几次也不能解决,后来发现原来是所有的本地EXE都被感染了,即使重新安装系统,装完系统一动本地电脑上的EXE文件,就会发作。我以为是所有可执行文件被感染,马上对EXE文件就行分析,后来折腾了2天,又是杀毒,又是分析,都没有效果,最后得到结论如下:
1。如果感染了朋友,请重新安装系统,装完系统配好网卡,直接上网下载德国红伞,安装。记着装完系统后不要动自己电脑上其它盘文件,直接把德国红伞下载到刚装系统的盘,一般是C盘,直接安装杀软。
2。装完杀软后,
进入安全模式.
搜索/删除 所有盘下所有目录下 的 thumbs.db(包含隐藏文件-点击更多高级选项->勾选搜索搜索隐藏的文件和文件夹)
搜索/删除 所有盘下所有目录下 的大小约为38KB的 usp10.dll(包含隐藏文件).**其他400K/500K的是系统的文件.不要删除。因为usp10.dll有变种,并不都是38K,搜索到后,你查看下文件的生成日期,很容易判断是病毒还是系统文件。这里说的38K,是我电脑上感染的症状。
完成.重新正常开机
最后终于明白此病毒感染原理如下,只要你注意规范操作,很容易清除掉
此木马使用的利用了系统进入目录都会读取thumbs.db的机会来执行恶意代码,在Windows目录下生成usp10.dll,因为很多程序执行时都会调用系统的usp10.dll.调用的顺序->当前目录->Path指定目录.然后就会调用到Windows下的usp10.dll,然后再各执行程序的当前目录生成usp10.dll.就这样一直COPY下去.暂时还不知是否有修改到Exe文件.
我郁闷了几天才搞好(还好没重装系统,就算重装了.如果在其他盘有被感染的thumbs.db,一样中招,所以我已经在 资源管理器->工具->文件夹选项->查看->勾选[不缓存缩略图],这样就不会生成thumbs.db).希望对大家有帮助.。
说到这里,都没有用到杀软,为什么要装杀软呢,为了防止你一不小心没有操作对,又感染病毒。我确定过红伞对此病毒有抵抗力,其它的杀软都没有什么用,包括诺盾,瑞星,卡巴目前为止免杀,因为一般的病毒现在都对主流杀软做了免杀,所以我门要安装不常用的大牌杀软,就是德国红伞了。
首先,必须要进入安全模式下拿到Admin的权限。
打开搜索(桌面空白处F3键进入),再从“工具”--“文件夹选项”--“查看”--把“隐藏受保护的操作系统文件(推荐)”关闭以及选择“显示所有文件和文件夹”。之后在搜索栏填入“usp10.dll”全盘符搜索。记住,C:/Windows/system32下的usp10.dll和C:/windows/system32/dllcache下的usp10.dll不是病毒,其余文件夹的全都是。
搜索完毕之后可以全部删除了。但是,在这里要说明的是,一个在C:/windows下的usp10.dll不能以原名删除,可以选择改变其名称,后缀随便是什么。改完之后重新搜索你刚才改的名字,搜到后删除即可。
回到windows界面下,试着再搜索,如果又找到,再继续回到安全模式下删除。如果找不到了,那就是删掉了。当然也不排除还潜在机器里,毕竟usp10.dll被破坏了,等待专杀工具吧。