亲爱的读者,你好!综合小编来为大家讲解下lpk病毒手动清除,了解lpk.dll是什么病毒以及lpk.dll病毒专杀方法”这个话题的讨论,为读者答疑解惑,以下内容是本小编对于此话题的观点:
lpk.dll病毒的典型特征是感染可执行文件所在的目录,隐藏自身,删除后再生。当运行目录中的exe文件时,lpk.dll会被Windows动态链接,从而激活病毒,导致无法彻底清除。
所以当你发现磁盘上的许多文件夹里都有lpk.dll的文件时,你基本上可以确定你的电脑被骗了。Lpk.dll病毒是一种恶意后门病毒。电脑被感染后,会在后台下载更多恶意程序,可能导致用户机器被远程控制,数据被盗。很多用户在电脑中发现窍门后会习惯性重装系统,但是重装系统无法清除非系统盘目录下的lpk.dll文件,所以在运行其他磁盘驱动器目录下的可执行文件时,会激活病毒,再次完全感染,非常头疼。
Lpk.dll病毒现象
1)通过文件夹选项的设置,显示所有隐藏文件,包括操作系统文件,然后完全搜索lpk.dll。这时候你会发现很多目录下都有lpk.dll文件,大小相同,属性为hidden。
图1:病毒现象:整个搜索发现很多目录下都有LPK.dll文件,大小相同,隐藏属性。
注意:在搜索lpk.dll时,选中“搜索隐藏的文件和文件夹”,如下图所示:
图2:搜索时选中“搜索隐藏文件和文件夹”选项。
2) C:在documentsandsettingsadministrator localsettingtemp目录下生成很多tmp格式的文件,大小相同,命名规则。从文件后缀来看,这些文件看似是临时文件,其实是PE格式,不是普通的tmp文件。
图3:病毒现象:有很多tmp格式的文件,规格明显,大小相同。
3)使用XueTr查看系统进程,explorer.exe等很多进程都加载了lpk.dll。
图4:病毒现象:lpk.dll在许多进程中被加载。
Lpk.dll病毒杀灭方法
1)删除所有之前搜索到的lpk.dll文件(不包括C:WINDOWSsystem32和C:windows system 32 lll cache目录)。删除c:documentsandsettingsadministrator localsettingtemp目录中的36KB hrlXX.tmp文件。
2)删除某些lpk.dll时,会出现系统错误,如下图所示。
图5:当删除一些lpk.dll文件时,你会得到一个错误,因为病毒文件已经被激活和调用。
这是因为病毒文件已经被激活,无法用普通方式直接删除。这时,你可以看到报告删除错误的lpk.dll挂在系统的运行进程下。逐个找到正在加载的lpk.dll,点击右键删除。
图6:对于这些已经被激活的lpk.dll,您可以使用工具将它们从流程中删除。
3)在用XueTr逐一检查系统进程的过程中,发现其中一个svchost.exe进程下加载了一个非常可疑的模块文件hra33.dll,并且没有数字签名。
图7:在一个svchost进程下加载了一个可疑的dll模块。
右键查看该模块的文件属性,可以看到文件大小也是43KB,与lpk.dll相同,创建日期与lpk.dll相同。另外,你觉得这个文件名熟悉吗?回过头来看,你会发现这个文件的命名和temp目录下的hrlXX.tmp文件的命名很相似。综上所述,已经确认该文件与lpk.dll具有相同的性质,所以可以用XueTr直接删除。
图8:仔细看这个模块的细节,可以确定是一个病毒文件。
4)上述删除操作完成后,再次搜索整个文件,你会发现新删除的lpk.dll病毒文件又出现了,真是见鬼了。显然,系统中仍有残留的病毒体不断释放lpk.dll文件,需要进一步检查才能彻底清除。通过XueTr检查系统的当前服务,发现一个非常可疑的服务,对应的图像文件kkwgks.exe没有数字签名。
图9:再次检查系统服务,可以发现该服务对应的文件没有数字签名。
查看kkwgks.exe文件的属性,发现该文件的创建时间与lpk.dll相同,文件大小与Temp目录下的hrlXX.tmp文件相同,非常可疑。直接删除。
图10:仔细查看程序,我们可以发现该文件是一个病毒。
5)删除kkwgks.exe文件结束病毒服务,需要执行上述步骤1-3中的删除操作,将再次发布的lpk.dll等文件全部删除,然后重启电脑再次搜索检查。原始病毒文件已不存在。
病毒行为分析
经过上面的手工处理,可以简单的逆向思维分析病毒行为如下。
1)病毒运行后,会将自身复制到系统system32目录下,并用随机数命名(也就是上面的kkwgks.exe),创建一个名为Nationalgnf的服务。
2)新服务启动后,svchost.exe通过特殊方式被病毒镜像取代。你在这个过程中看到的仍然是svchost.exe,这似乎没什么不寻常的。但这时,病毒已经把自己隐藏在了svchost.exe,它在这里的功能包括:
A.完成病毒的所有后门任务;
B.在系统system32目录下生成hraxx.dll(xx是生成的随机名);
C.连续释放系统临时文件目录下的hrlXX.tmp文件(XX是生成的随机名)。这里的hrlXX.tmp文件其实是system32下kkwgks.exe文件的备份,非常危险,用来恢复system32下被删除的exe病毒文件;