关于USP10.dll木马群的一个问题 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛关于USP10.dll木马群的一个问题

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

[求助] 关于USP10.dll木马群的一个问题

Shadowleaf 初生襁褓狮帖子:6 注册: 2009-02-03 来自:	发表于： 2009-02-04 11:38 \| 只看楼主短消息资料字号：小中大 1楼关于USP10.dll木马群的一个问题我看到一个该木马群介绍里提到病毒会产生下列文件： C:\windows\fonts\ComRes.dll 　　C:\WINDOWS\Fonts\ctm01025.fon 　　C:\WINDOWS\Fonts\ctm01025.ttf 　　C:\WINDOWS\Fonts\ctm04004.fon 　　C:\WINDOWS\Fonts\ctm04004.ttf 　　C:\WINDOWS\Fonts\ctm07015.fon 　　C:\WINDOWS\Fonts\ctm07015.ttf 　　C:\WINDOWS\Fonts\ctm09003.fon 　　C:\WINDOWS\Fonts\ctm09003.ttf 　　C:\WINDOWS\Fonts\ctm11008.fon 　　C:\WINDOWS\Fonts\ctm11008.ttf 　　C:\WINDOWS\Fonts\ctm12004.fon 　　C:\WINDOWS\Fonts\ctm12004.ttf 　　c:\programfiles\internetexplorer\powernent.onz 但是我看到大家的查杀方式里都没提到要删除这些文件。这些文件是不是该删除的呢？用户系统信息：Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; CIBA)
Shadowleaf 初生襁褓狮帖子:6 注册: 2009-02-03 来自:	分享到：

pigboy 卡卡反病毒小组帖子:3784 注册: 2007-02-22 来自:	发表于： 2009-02-04 11:57 \| 短消息资料字号：小中大 2楼回复：关于USP10.dll木马群的一个问题 .ttf、.FON是字体文件后缀不过字体文件好象是没有数字的三楼版主的解释更合理些 pigboy 最后编辑于 2009-02-04 15:02:59
pigboy 卡卡反病毒小组帖子:3784 注册: 2007-02-22 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2009-02-04 14:10 \| 短消息资料字号：小中大 3楼回复 1F Shadowleaf 的帖子并不是每个中毒的电脑内这类病毒文件全部运行起来所以靠SRENG日志看系统情况时可能看不到，也可能求助的电脑内没有这全部文件所以只删除几个或一个也没有不需要没有的的情况下，也要求助的反复折腾因为求助的在没有文件的情况下，你还要他去删除什么文件他就会极度怀疑建议的有严重问题你应该能理解吧？本帖被评分 1 次本帖被评分 1 次
天月来了版主帖子:76904 注册: 2007-02-06 来自:

kevin920 自信弱冠狮帖子:490 注册: 2009-01-20 来自:	发表于： 2009-02-04 14:16 \| 短消息资料字号：小中大 4楼回复：关于USP10.dll木马群的一个问题此病毒会在C盘windows目录以及非系统盘根目录和所有含.exe程序的文件夹内注入一个大约7~40kb左右的usp10.dll文件，并改为系统和隐藏属性。一旦注入成功，运行任何一个非系统盘的软件或程序，就会自动加载同目录内的这个usp10.dll文件。连接网络的状态下，此病毒下载明目繁多的“随机数字”名（无后缀）病毒程序到当前用户临时文件夹Temp中。这些程序加载后，在%system%目录下逐一释放病毒dll（很多）。此病毒利用了系统进入有图片目录都会读取thumbs.db的机会来执行恶意代码，在Windows目录下生成usp10.dll，因为很多程序执行时都会调用系统的usp10.dll。调用的顺序->当前目录->Path指定目录，然后就会调用到Windows下的usp10.dll，然后在各执行程序的当前目录生成usp10.dll，就这样一直COPY下去。此病毒还会在QQ目录下生成psapi.dll。 USP10.dll本身是字符显示脚本应用程序接口相关文件。存在于C:\WINDOWS\system32\USP10.dll和C:\WINDOWS\system32\dllcache\USP10.dll。这两个文件是系统文件，大约400~500k左右，生成日期不会是新近日期，和病毒很好区分。
kevin920 自信弱冠狮帖子:490 注册: 2009-01-20 来自:

文物2 横据古稀狮帖子:9389 注册: 2004-04-07 来自:	发表于： 2009-02-04 14:45 \| 短消息资料字号：小中大 5楼回复：关于USP10.dll木马群的一个问题这些是字库文件，没问题－－对个人来讲，统计，仪器，高速的计算机可以让人们得到大量充裕的时间。这个社会中，更不可缺的是具备现代化的管理经验。
文物2 横据古稀狮帖子:9389 注册: 2004-04-07 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2009-02-04 14:53 \| 短消息资料字号：小中大 6楼回复 5F 文物2 的帖子没问题吗？？？是不是有些软件的字库文件名里包含类似的07015什么的数字名？？？你见过
天月来了版主帖子:76904 注册: 2007-02-06 来自:

Shadowleaf 初生襁褓狮帖子:6 注册: 2009-02-03 来自:	发表于： 2009-02-04 15:29 \| 只看楼主短消息资料字号：小中大 7楼回复：关于USP10.dll木马群的一个问题情况是这样的我上传了我的SRE日志大家给我的建议了都没包括有删除上述那几个文件但是我进行搜索时又搜索到了那几个隐藏文件存在系统中
Shadowleaf 初生襁褓狮帖子:6 注册: 2009-02-03 来自:

文物2 横据古稀狮帖子:9389 注册: 2004-04-07 来自:	发表于： 2009-02-04 15:30 \| 短消息资料字号：小中大 8楼回复 6F 天月来了的帖子你说的有道理，但是字库文件终究是字库文件，字库文件能作什么呢－－对个人来讲，统计，仪器，高速的计算机可以让人们得到大量充裕的时间。这个社会中，更不可缺的是具备现代化的管理经验。
文物2 横据古稀狮帖子:9389 注册: 2004-04-07 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2009-02-04 15:37 \| 短消息资料字号：小中大 9楼回复 8F 文物2 的帖子只是放在那，并在注册表内加个启动而已放那完全只是因为各家小软件都有清空临时文件夹以及监控系统目录的功能放在那，基本没什么软件监控那位置的你见过什么安全软件监控那里
天月来了版主帖子:76904 注册: 2007-02-06 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2009-02-04 15:38 \| 短消息资料字号：小中大 10楼回复 7F Shadowleaf 的帖子你这问题简单因为系统日志进程里没见到那几个运行呗更没见到启动项所以就算你不删除他们，也是个死文件而已随便你删还是不删了
天月来了版主帖子:76904 注册: 2007-02-06 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT