瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » USP10.DLL如何杀除
taro0401 - 2009-2-16 10:54:00
之前中了trojan.dl.script.vbs.agent.xiy,按照论坛的大大的方法杀除掉了...
但是重新启动后又发现很多USP10.DLL

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; MAXTHON 2.0)
帅哥阿福 - 2009-2-16 10:55:00
如果确认瑞星最新版本查杀后,仍旧存在,建议楼主扫SRENG日志发这论坛来
下载SRENG2.6版工具:http://www.kztechs.com/sreng/download.html
SRENG工具的扫描日志操作,看这贴2楼:http://bbs.ikaka.com/showtopic-8442813.aspx
Mr_DJ - 2009-2-16 11:06:00
首先,必须要进入安全模式下管理员权限登录系统。

    打开搜索(按F3键),再从“工具”->“文件夹选项”->“查看”->把“隐藏受保护的操作系统文件(推荐)”关闭以及选择“显示所有文件和文件夹”。

  之后在搜索栏填入“usp10.dll”全盘符搜索。记住,C:\Windows\system32下的usp10.dll 和C:\windows\system32\dllcache下的usp10.dll不是病毒,其余文件夹的全都是。

  搜索完毕之后可以全部删除了。但是,在这里要说明的是,一个在C:\windows下的usp10.dll不能以原名删除,可以选择改变其名称,后缀随便是什么。改完之后重新搜索你刚才改的名字,搜到后删除即可。

  回到windows界面下,试着再搜索,如果又找到,再继续回到安全模式下删除。如果找不到了,那就是删掉了。当然也不排除还潜在机器里,毕竟usp10.dll被破坏了
taro0401 - 2009-2-16 11:16:00
我描述一下情况,之前中过trojan.dl.script.vbs.agent.xiy
http://bbs.ikaka.com/showtopic-8597197.aspx这个是当时中毒发的帖子,按照里面大大的方法做了之后,.貌似情况有所好转,但现在出现了大批的USP10.DLL,而且查毒依然查处过一个trojan.dl.script.vbs.agent.xiy

附件: SREngLOG1.log
backway - 2009-2-16 11:29:00
D:\Program Files\Tencent\QQ\QQ.EXE自己安装的??
你说的usp10.dll在哪个目录里?


使用XDelBox(下载地址:http://bbs.ikaka.com/attachment.aspx?attachmentid=446806
删除以下文件:(使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择粘贴.在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储设备

c:\windows\46f4jop7x.exe
c:\windows\i2ljfj39.exe -any2g
c:\windows\b2xdigsrdw85.exe
c:\windows\46f4jop7x.exe
c:\windows\gzxqkatq.exe
c:\windows\hnevavlu7y4.exe
c:\windows\seotao\along.exe
c:\windows\seotao\xiang.dat

2.删除重启后使用SREng修复下面各项:

启动项目 -- 服务-- 驱动程序之如下项删除:
SREng-在"启动项目->服务->驱动程序中"选中"隐藏已认证的微软项目"然后删除下面名称的驱动程序(选中有问题的驱动后,点"删除服务",点“设置”按钮即可。注意弹出的窗口中要点 "否NO"才是确认删除服务)(不能删除的就禁用:启动类型改为disabled,点中修改启动类型,点设置):

[1M1PR / 1M1PR]    <C:\WINDOWS\I2LJFJ39.exe -ANY2G>
[S5XCAW / S5XCAW]    <C:\WINDOWS\B2XDIGSRDW85.exe -86UO7>
[GTFJT3S / GTFJT3S]    <C:\WINDOWS\46F4JOP7X.exe -WUEWKJ>
[Q91KY4 / Q91KY4]    <C:\WINDOWS\GZXQKATQ.exe -6074N>
[ZQCU89UC7BD4 / ZQCU89UC7BD4]    <C:\WINDOWS\HNEVAVLU7Y4.exe -T6XPZ2F6Q15>
[Network Service / Network Service]    <C:\WINDOWS\SEOTAO\along.exe>

    启动项目 -- 服务-- 驱动程序之如下项删除:
[yiqiku / yiqiku]    <\??\C:\WINDOWS\SEOTAO\xiang.dat>
taro0401 - 2009-2-16 11:30:00
QQ是自己装的.
usp10.dll我刚才用瑞星杀了一下,难道已经全部杀掉了?
backway - 2009-2-16 11:35:00
先把5L的处理下
之后搜索系统盘里的usp10.dll  看有没有 搜索时勾选高级选项里的隐藏文件与系统文件
taro0401 - 2009-2-16 12:13:00
搜索了,发现两个
C:\Program Files\Common Files\Microsoft Shared\OFFICE11\USP10.DLL
C:\WINDOWS\system32\usp10.dll
吉尔儿 - 2009-2-16 12:26:00
刚才确认了一下
一个是300多kb 一个是400多kb
taro0401 - 2009-2-16 12:34:00
C:\Program Files\Common Files\Microsoft Shared\OFFICE11\USP10.DLL              404K  03年的日期
C:\WINDOWS\system32\usp10.dll      397K, 04年 8月,这说明不是病毒吗??
taro0401 - 2009-2-16 12:38:00
怎么感觉病毒杀不完呢?重新启动之后运行瑞星又查出N多病毒
backway - 2009-2-16 12:46:00
照先前我说的那个做么?
那2个usp10.dll是系统文件
七月灬等待 - 2009-2-16 12:54:00
C:\Documents and Settings\用户名\Local Settings\Temp\Rar$EX00.453(不一定是这个)\backups
这个文件夹如果还在的话建议压缩下发下来。
再发个日志上来看看
七月灬等待 - 2009-2-16 12:59:00
瑞星的扫描报告能否发上来看下
怀疑是感染型病毒······
吉尔儿 - 2009-2-16 13:03:00
不是
不放心可以再上传日志
taro0401 - 2009-2-16 13:28:00
好的,我现在在安全模式下再杀一次,然后重新启动了扫描再传.从上周六到今天,每除里完一次病毒,重新启动后都会有新的病毒
taro0401 - 2009-2-16 13:29:00


引用:
原帖由 backway 于 2009-2-16 12:46:00 发表
照先前我说的那个做么?
那2个usp10.dll是系统文件

按你说的做了,usp10.dll病毒没有再出现了,不过有其他的;
taro0401 - 2009-2-16 13:42:00
始终有一个病毒trojan.dl.script.vbs.agent.xiy
文件名是run.vbs每次查毒肯定都有这个病毒
天月来了 - 2009-2-16 13:45:00
查看这文件正确路径,去创建同名文件夹去

还有用瑞星监控那位置下到底什么程序要创建那个run.vbs

去杀毒软件区找版主询问如何设置监控

我没法细细讲
taro0401 - 2009-2-16 13:46:00
这个是最新的扫描报告

附件: SREngLOG.log
天月来了 - 2009-2-16 13:53:00
任何其他人不许回贴

需要样本查看
taro0401 - 2009-2-16 13:57:00
什么样本查看?
我重新启动后查毒,再次查到这个病毒trojan.dl.script.vbs.agent.xiy
不过这次文件名又是A0006412.VBS
这个病毒下有很多病毒,我把这个文件一删,其他病毒就显示成父对象成功
天月来了 - 2009-2-16 13:57:00
==================================
驱动程序
[MHDRV / MHDRV][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\mhdrv.sys><SafeNet China Ltd.>

[RCMHDOG / RCMHDOG][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\rcmhdog.sys><Rainbow China Co., Ltd.>

[rgtadrv / rgtadrv][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\rgtadrv.sys><SafeNet China Ltd.>

[Rainbow China UMC Driver / UsbC][Running/Manual Start]
  <System32\Drivers\rcusbwdm.sys><Rainbow China Co. Ltd.>

这些是你的什么软件的驱动?????
天月来了 - 2009-2-16 14:00:00
下载文件批量提取工具提取下面文件
http://bbs.ikaka.com/attachment.aspx?attachmentid=486266

提取:
C:\WINDOWS\LK6PETS.exe
C:\WINDOWS\R45QQ.exe
C:\WINDOWS\XG0AUHVNFB.exe
C:\WINDOWS\SH5Y9O0.exe
C:\WINDOWS\C0YOX0D.exe
C:\WINDOWS\System32\pefezv.dll
C:\WINDOWS\FF2WP.exe
C:\WINDOWS\IQMAIDNVC02.exe
C:\WINDOWS\R45QQ.exe

不论提取结果如何,压缩发来看看
taro0401 - 2009-2-16 14:05:00


引用:
原帖由 天月来了 于 2009-2-16 13:57:00 发表
==================================
驱动程序
[MHDRV / MHDRV][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\mhdrv.sys><SafeNet China Ltd.>

[RCMHDOG / RCMHDOG][Running/Auto Sta......


电脑里装了一个销售软件的加密狗,有可能是那个加密狗的驱动
taro0401 - 2009-2-16 14:13:00
提取的时候显示提取失败,我把已经提取的文件打包了

附件: 桌面.rar
天月来了 - 2009-2-16 14:21:00
文件已看

可能强感染型病毒

目前avast可杀

愿意的话先手工操作试试

这里下载费尔木马强力清除助手,点选“抑制文件再生”删除下面文件。
http://bbs.ikaka.com/attachment.aspx?attachmentid=446804
删除:
C:\WINDOWS\LK6PETS.exe
C:\WINDOWS\R45QQ.exe
C:\WINDOWS\XG0AUHVNFB.exe
C:\WINDOWS\SH5Y9O0.exe
C:\WINDOWS\C0YOX0D.exe
C:\WINDOWS\System32\pefezv.dll
C:\WINDOWS\FF2WP.exe
C:\WINDOWS\IQMAIDNVC02.exe
C:\WINDOWS\R45QQ.exe

不论删除结果如何立即重启电脑,看情况如何。

重启电脑后,不要使用其他盘任何文件或程序

直接扫描新的SRENG日志来看
天月来了 - 2009-2-16 14:22:00
此毒和USP10.DLL已经没有任何关系了

系统日志没看到和USP10.DLL的木马群有关系的东西。
RisingCSC - 2009-2-16 14:23:00


引用:
原帖由 taro0401 于 2009-2-16 14:13:00 发表
提取的时候显示提取失败,我把已经提取的文件打包了



您所上报的文件已经收集,有结果会给您回复。
taro0401 - 2009-2-16 14:32:00
最新的日志

附件: SREngLOG.log
12
查看完整版本: USP10.DLL如何杀除
© 2000 - 2025 Rising Corp. Ltd.