昨天L君说他的电脑中毒了，卡巴斯基杀毒软件也停摆了，呼天抢地网络也上不去了。我只要拔刀相助，前去剿灭“逆贼”，但这次真是遇到“牛年最犇牛的毒”了。

一、症状记录如下：

1、开机进入桌面缓慢，杀毒软件被自动关闭；
2、打开“我的电脑”，运行exe程序，提示应用程序错误；
3、发现文件夹下大小为为0k的USP10.DLL隐藏文件；
4、“任务管理器”中有多个6位数形如117452.exe的程序运行；
5、“运行”——“Msconfig”——“启动”项中有十几个不明身份的自启动程序。
6、运行“优化大师”，去除那些不明启动项，结果失败！
7、安装360安全卫士和顽固木马专杀，扫描发现C盘D盘E盘F盘多数文件夹都有USP10.DLL。
8、Ghost恢复了XP系统，结果发现只要一运行exe程序，病毒就会自我复制。

二、查杀方法：

1、我的电脑——工具——文件夹选项——查看——勾选“不缓存缩略图”，这样就不会生成thumbs.db ，确保文件不会染毒。
2、重启系统，按F8进入安全模式，用Everything搜索工具搜索删除所有盘下所有目录下的 thumbs.db 和 USP10.DLL(包含隐藏文件)；其中在C:\WINDOWS\system32和C:\WINDOWS\ServicePackFiles\i386及C:\WINDOWS\system32\dllcache中的 USP10.DLL 不要删除，否则系统重启会蓝屏。（一个在C:\windows下的usp10.dll不能直接删除，我们需要先将其改名为usp10.old，改完之后重新搜索，搜到后删除即可。）
2、如果不成功，请重装系统或一键Ghost恢复，切忌装完系统后不要运行电脑上其它盘文件，下载安装德国红伞Avira AntiVir Premium 8汉化中文版，装在C盘，杀毒。（小红伞 Avira AntiVir Premium 半年KEY申请）

三、病毒原理：

此木马利用了系统进入目录都会读取 thumbs.db 的原理来执行恶意代码，在Windows目录下生成usp10.dll，因很多程序执行时都会调用系统的 usp10.dll，调用的顺序->当前目录->Path指定目录。然后就会调用到Windows下的usp10.dll，然后再各执行程序的当前目录生成usp10.dll.就这样一直“繁殖”下去。