故障现象
近日,笔者接到单位同事的电话,说新购买不久的电脑(与网络隔离)运行很慢,而且在安装本单位保密系统的安装过程中,电脑近乎死机,落到了“老态龙钟”的地步。于是,过去看到,有一个安装保密系统软件的窗口显示“正在加载程序”,等了好一阵子都没有反应,移动鼠标点击其他程序图标,几乎没有反应,键盘上的灯也正常。

排除过程
询问了一下电脑里是否有资料后,采取了最简单直接的方法,重新通过ghost安装盘恢复了windows XP系统,安装了最新病毒库的瑞星杀毒软件,把整个电脑硬盘都扫描了一遍,没有发现可疑。继续通过U盘安装保密系统,又出现如前的故障,系统几乎死机。
既然系统是新安装的,那么可能难道是U盘上的病毒?先对U盘用瑞星进行杀毒,没有发现情况。于是修改“文件夹选项”,显示所以文件和文件夹以及文件扩展名,打开U盘目录,发现保密系统安装文件夹里面多了一个莫名的隐藏文件“LPK.DLL”,难道就是这个文件作怪?因笔者对保密系统的组成文件比较熟悉,带着这个疑问,先做了备份,试着删除了U盘上所有的不明隐藏文件“LPK.DLL”和“USP10.DLL”,再安装保密系统,顺利完成,故障得到解决。

故障分析
因对这两个文件不熟悉,带着问题求助Google。正常的LPK.DLL是Windows XP的Language Pack语言包补丁文件,大小为18.5KB(18,944 字节),位于\WINDOWS\system32目录下;USP10.DLL是字符显示脚本应用程序接口相关文件,位于\WINDOWS\system32\和%root%\WINDOWS\system32\dllcache\两个目录下。大量产生这两个文件的是叫做一种“潜行者”的病毒作怪,它感染Windows系统文件USP10.DLL作为跳板,绕过杀毒软件及网游保护系统。一旦受感染的系统文件被网络游戏加载到内存,便会加载各种流行网游盗号木马。而且中毒后电脑很慢,硬盘中同时出现很多莫名其妙的USP10.DLL以及LPK.DLL文件。
该木马病毒是利用window系统目录优先权(windows系统在执行一个文件时,首先会在“当前目录”查找所要执行的文件,如果当前目录不存在这个文件,就会到windows\system32\下去查找,如果还是不存在,就会到windows\目录下去查找,如果还是不存在就会在环境变量PATH中的目录下去查找,这就是windows目录优先权)来启动,病毒会伪装成USP10.DLL,把自身大量复制到每个可执行文件同目录下,让可执行文件在执行的时候抢占目录优先权,很多应用程序启动时都会调用这个DLL。因此,即使在系统重装后仍能“复活”,完全不同于其它恶性木马常用的“复活”方式,使普通用户很难用以往的系统重装方式来“自救”,因此,受害用户除非将所有硬盘分区全盘格式化,否则即便重装系统后仍能踏蹄重来。

解决方法
多数杀毒软件对“潜行者”病毒无法查杀,或查杀后造成系统找不到usp10.dll文件。了解了病毒的情况后,可以对症下药。网上有专杀工具,那比较机械,会把正常的USP10.DLL和LPK.DLL文件删除,导致系统出错。其实这个病毒我们完全可以手动去清除,安全快捷。
1、通过进入安全模式处理。搜索usp10.dll和lpk.dll。除C:\WINDOWS\system32 \ 目录下的不删除,那是系统正常的dll文件,其他的全都删除。删除的时候如果提示文件正在使用,就先使用运行regsvr32 /u usp.dll或是regsvr32 /u lpk.dll卸载dll后再删除。
2、通过光盘启动WINPE环境处理。直接在我的电脑中搜索USP10.DLL和LPK.DLL,保留C:\WINDOWS\system32\和C:\WINDOWS\system32\dllcache\两个目录下的文件,其他的全为病毒文件,全部删除。

文章如转载,请注明转载自:http://www.5iadmin.com/post/844.html