1、这个帖子没谈usp10.dll的防御问题。
2、设想与现实是有差距的。使用瑞星2009的这个木马行为防御编辑器实现具体设想时尤其如此。你应该给出实际例子（哪怕是一个例子）证实你的设想成立。

病毒运行后在c:\windows\system32生成ykzkjy.dll和key文件还有一个1字节的信息配置文件就可以指定详细位置来防御病毒，在行为防御规则上增加了监视该文件夹下生成此文件的动作，关闭了文件监控运行病毒，病毒还真没增加文件和注入注册表，各位可以试试，如果不行我在试试其他方法（虽然现在已经能查杀此病毒了哦）

貌似刚才最后回复的那个帖子 点引用的时候 不小心给删除咯 ~

删我帖    老moon你..........      我是要叫你编个规则出来搞这病毒 我编不出

刚问了 类似这样的病毒 目前通过API拦截确实拦截不到
主要是因为 services.exe启动的svchost.exe
服务也是以dll做服务的
这个问题 节后会升级解决

你这么说 木马行为拦截的库是会升级的了?

一直在升级 解决问题~~

发现运行该病毒生成的文件名是随机的，gjjorm.dll，郁闷，上传附件

================================
服务
[ovtjkk / ovtjkk][Running/Auto Start]
  <C:\WINDOWS\system32\svchost.exe -k ovtjkk-->%SystemRoot%\System32\gjjorm.dll><N/A>

病毒驱动被成功安装。
==============================
正在运行的进程
[PID: 1364 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [c:\windows\system32\gjjorm.dll]  [N/A, ]
[PID: 2372 / SYSTEM][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.5512 (xpsp.080413-2111)]
    [c:\windows\system32\gjjorm.dll]  [N/A, ]
[PID: 684 / Administrator][C:\WINDOWS\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.5512 (xpsp.080413-2105)]
    [c:\windows\system32\gjjorm.dll]  [N/A, ]
[PID: 1968 / Administrator][C:\WINDOWS\system32\ctfmon.exe]  [Microsoft Corporation, 5.1.2600.5512 (xpsp.080413-2105)]
    [c:\windows\system32\gjjorm.dll]  [N/A, ]
[PID: 836 / Administrator][D:\Program Files\China Mobile\Fetion\VmDotNet\v2.0.50727\FetionVM.exe]  [China Mobile, 1.0.0.0]
    [c:\windows\system32\gjjorm.dll]  [N/A, ]
[PID: 2624 / Administrator][D:\Program Files\TheWorld 2.0\TheWorld.exe]  [Phoenix Studio, 2, 4, 0, 2]
    [c:\windows\system32\gjjorm.dll]  [N/A, ]
[PID: 2280 / Administrator][D:\Program Files\Tencent\QQ\QQ.exe]  [TENCENT, 8,0,1300,1881]
    [c:\windows\system32\gjjorm.dll]  [N/A, ]

病毒DLL文件成功插入系统核心进程（WINLOGON.EXE、SVCHOST.EXE）、系统正常进程以及一些应用程序的进程。
=============================