雪球目录网免费收录优秀网站,为了共同发展免费收录需做上本站友情链接,雪球目录网的工作人员才会审核收录,不做链接提交一律不审核,为了避免浪费时间:收录必看!!!
  • 收录网站:127
  • 快审网站:10
  • 待审网站:96
  • 文章:24556
当前位置:主页 > 新闻快讯 > “XP系统lpk.dll专杀做法”

“XP系统lpk.dll专杀做法”

发布时间:2021-06-17 18:27:02 阅读次数:

lpk.dll是什么病毒? xp计算机感染lpk.dll病毒时,系统内会生成多个lpk.dll文件。 这些文件大小相同,是隐藏文件。 如果您的计算机感染了lpk.dll病毒,请参阅以下内容:

lpk.dll病毒是目前流行的病毒,常规系统本身也存在lpk.dll文件,足以证明这种病毒的危险性。 系统本身的lpk.dll文件位于c:windows \系统32和c:windows \系统32\dllcache目录中。 以下编辑将介绍lpk.dll病毒的特别杀灭方法。

lpk.dll是什么病毒?

lpk.dll病毒的典型特征是感染可执行文件所在的目录,隐藏自身,删除后重新生成。 该目录中的exe文件运行后,lpk.dll将动态链接到windows,以激活病毒,从而无法完全删除病毒。

因此,如果发现磁盘上的许多文件夹中存在lpk.dll文件,则几乎可以肯定计算机已经被招募。 lpk.dll病毒是恶意的后门病毒,如果计算机感染病毒,后台会下载越来越多的恶意程序,可能会远程控制客户的机器或数据被盗。 许多客户在注意到电脑招募后,会习性地重新安装系统。 但是,重新安装系统无法清除非系统磁盘目录中的lpk.dll文件。 这是因为,如果运行其他驱动器盘符目录中的可执行文件,病毒会被激活,再次感染,头疼。

“XP系统lpk.dll专杀做法”

液化石油气病毒现象

1、在文件夹选项的设置中显示包括操作系统文件在内的所有隐藏文件,搜索lpk.dll,会发现很多目录下存在lpk.dll文件,大小一致,属性隐藏。

图1 )病毒现象)全面检索后发现,许多目录下存在lpk.dll文件,大小一致,属性不可见。

观察:搜索整个lpk.dll时,必须选中“搜索隐藏的文件和文件夹”复选框,如下图所示。

图2 :搜索时,需要选中搜索隐藏文件和文件夹的选项

2、c:\ documentsandsettings\administrator\local settings\temp目录下生成多个tmp样式的文件,大小一致,命名有一定的规则。 从文件的后缀来看,这些文件似乎是临时文件,但实际上是pe样式,不是普通的tmp文件。

图3 )病毒现象:明显规范化的tmp样式文件多,大小一致。

3、用xuetr查看系统进程explorer.exe等多个进程加载了lpk.dll。

图4 :病毒现象:很多进程都加载了lpk.dll。

lpk.dll病毒特别杀灭法

1、删除所有以前搜索的lpk.dll文件。 ( c:windows\system32和c:windows\system32 ) dllcache目录除外。 删除c:\文档和设置\管理员\本地设置\临时目录中大小为36kb的hrlxx.tmp文件。

2、删除部分lpk.dll时发生系统错误。 下图。

图5 :删除某些lpk.dll文件时发生错误。 这是因为病毒文件已经被激活了。

这是因为病毒文件已经被激活,无法通过常规方法直接删除。 在这种情况下,xuetr可以看到,报告了删除错误的lpk.dll挂在系统正在运行的进程下。 逐一找到正在加载的lpk.dll,然后右键单击将其删除。

图6 :可以使用工具从进程中删除活动调用的这些lpk.dll。

3、用xuetr逐一检查系统进程时,发现在svchost.exe进程的一个下面加载了非常可疑的模块文件hra33.dll,没有数字签名。

图svchost进程加载了可疑的dll模块。

在“显示模块文件特性”上单击鼠标右键,可以看到文件的大小与lpk.dll相同,为43kb,创建日期也与lpk.dll相同。 另外,你觉得这个文件名很熟悉吗? 再次回想起来,该文件的命名与temp目录下的hrlxx.tmp文件的命名方法有不同之处。 由此可知,该文件与lpk.dll性质相同,将通过xuetr直接删除。

“XP系统lpk.dll专杀做法”

图8 :仔细看看这个模块的详细新闻,就会明白这是病毒文件。

4、上述删除操作完成后,重新全面搜索,刚刚删除的lpk.dll病毒文件再次出现,真的很阴森。 很明显,系统中剩下的病毒体持续释放lpk.dll文件,要将其完全消除还需要进一步检查。 在xuetr中检查系统的当前服务时,发现了在对应的图像文件kkwgks.exe中没有数字签名的可疑服务。

“XP系统lpk.dll专杀做法”

图9 :再次检查系统服务,您会发现与该服务对应的文件没有数字签名。

如果查看kkwgks.exe文件的属性,会发现文件的创建时间与lpk.dll一致,文件大小与temp目录中的hrlxx.tmp文件相同,存在疑问,因此直接删除。

图10 :具体看一下这个程序,就会知道这个文件是病毒。

5、删除kkwgks.exe文件后病毒服务结束。 另外,需要执行上述步骤1-3的删除操作,清除所有再次释放的lpk.dll等文件后,重新启动计算机,再次检索并检查。 原始病毒文件将不复存在。

lpk.dll病毒行为的分解

经过上述手动解决程序后,可以用逆向思维简单地分解病毒行为。

1、病毒运行后,将自己复制到系统system32目录下,用随机数命名,上面的kkwgks.exe。 创建一个名为nationalgnf的服务。

2、新服务启动后,利用特殊手段将病毒映像替换为svchost.exe。 过程中看到的还是svchost.exe,好像没有什么异样,但这个时候病毒已经把自己藏在svchost.exe里执行了。 病毒在这里完成的功能如下。

(1)、完成病毒的所有后门任务;

) 2、在系统system32目录下生成HRA xx.dll ( xx是生成的随机名称);

) 3、系统的临时文件目录下的hrlxx.tmp文件( xx是生成的随机名称),这里的hrlxx.tmp文件其实是system32下的kkwgks.exe文件的备份,非常危险。 作用是恢复在system32下删除的exe病毒文件。

) 4、在可执行文件所在的目录下生成伪lpk.dll,属性隐藏,该目录下的exe执行后自动加载,激活病毒。

系统本身也有lpk.dll文件,但该文件不是隐藏文件,lpk.dll病毒是隐藏的,因此提供了更有效的识别方法。

本文:《“XP系统lpk.dll专杀做法”

免责声明:雪球目录网免费收录各个行业的优秀中文网站,提供网站分类目录检索与关键字搜索等服务,本篇文章是在网络上转载的,本站不为其真实性负责,只为传播网络信息为目的,非商业用途,如有异议请及时联系btr2031@163.com,本站的工作人员将予以删除。