lpk.dll病毒的现象和手工处理_第1页
lpk.dll病毒的现象和手工处理_第2页
lpk.dll病毒的现象和手工处理_第3页
lpk.dll病毒的现象和手工处理_第4页
lpk.dll病毒的现象和手工处理_第5页
已阅读5页,还剩3页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、Ipk.dll病毒的现象和手工处理lpk.dll病毒相信大家并不陌生,此类病毒已经流行有一段时间了,对应的专杀工具也可以从网上搜索下载到,这足以表明该病毒的广泛性及危险性。本文对该病毒进行了行为分析,并向您呈现了手动处理的 全部过程。瑞星专家指出:并不是所有 lpk.dll文件都是病毒。正常系统中本身就会存在lpk.dll 文件,它是微软操作系统的语言包,位于C:WINDOWSsystem32和 C:WINDOWSsystem32dllcache 目录下。lpk.dll病毒的典型特征是感染存在可执行文件的目录,并隐藏自身,删除后又再生成,当同目录中的exe文件运行时,lpk.dll 就会被 W

2、indows动态链接,从而激活病毒,进而导致不能彻底清除。所以当发现磁盘很多文件夹中都存在lpk.dll 文件时,那么基本可以肯定您的计算机已经中招了。lpk.dll病毒是个恶意后门病毒,计算机染毒后会在后台下载更多恶意程序,可造成用户机器被远程控制、资料被盗等状况。很多用户在发现电脑中招后会习惯性地重装系统,但重装系统并不能清除非系统盘目录 下的lpk.dll文件,因此当运行其他盘符目录下的可执行文件时又会激活病毒,再次全盘感染,令人十分头疼。病毒现象1)通过文件夹选项的设置显示出所有隐藏文件,包括操作系统文件,然后全盘搜索lpk.dll ,这时会发现很多目录下都存在lpk.dll文件,大小

3、一致,属性为隐藏。图1:病毒现象:全盘搜索发现很多目录下存在有LPK.dll文件,且大小一致,属性为隐藏。>jg旺矗沁球刻町二& I工匚區分天尔耳口JS團S)盘熱野图2:搜索时需勾选“搜索隐藏的文件和文件夹”选项2)C:Docume nts and Setti ngsAdmi nistrator'Local Sett in gs'Temp目录下生成许多 tmp 格式的文件,大小一致,命名有一定规律。从文件后缀来看,这些文件似乎是临时文件,但其实是PE格式,并不是普通的tmp文件。 Te-Pt";f& 伐nhi嚟 stn(3劈©)工n业)

4、艸朗I川0m t O 1 丿 ” sws 區3tttc QJ個粉空梓多 <>痔滙个口伴耳去再釧 T.IU英秦畑伴占甘F8I朋if KB口|测日申M VS-H年XTrtiBriuUB 叩 dkrLlC pm t jJlulIF i»p Ttlr k>f13hrU>_r LI f hjf近5卜 iuS l片 f kr Li inp T? hJfLS k»F 芒 Kjrl9,卜 WhrL 口 " pffiKBKBlEKBisBXB涓XB陶ffiJl拒灼XB IB 3 TJ 3 .J T ZfT* EF如 tsr如 ST MffTW如 “F丈常 7

5、HF H世MF卫样 HF文許 mF如:TV丈伴 nr:m7WF如Tar卫科 nr:m m戈祥 lUF丈片 "F如HP玄样 裤文件iHUBKH Mim-6 ii h Kli-T-M 14 IS 201t-T*28 H S3 2QII-T-Z9 H 5£ 20H 呻产5 H I S 2011十5 IT : 15 2011-6 B;«3 2011-9-5 IT 15 £0! 1-5 16 06t< <4201l-»-ll H OE zoirau h 05 3111-8-31 J1 tl5 Z0ll-a-3! 14 K 201(-9-1 1

6、1 ;W 2DII-fl-l 11 06 zoii-a-i n u2CII-9-1 11工Hm sjfaBvn * aJU-0-6 H IISOLE24 14 l« 30U-7-2S K 50 £0J;-7-2» 列 K KLl-? n is aon-a-5 ii ism u seii-fl-s n:u価 o&JCliXT-名 M 44 2011-8-31 14 OS 2011-0-31 11 OS St3IL3-A-iL 34 K set I'®-J L U OS ggiiw U W 0CI1M-1 H 00 aou->i ti

7、<b申1- T I 520! Mh£ £01i-9-6图3 :病毒现象:众多有明明规范的tmp格式文件,且大小一致。3)使用XueTr查看系统进程,explorer.exe等很多进程下加载了lpk.dll谓證1逓諒血M |內情怖1咖 | nflfft i琢esfPi廉劳耳工iwe« rMil1承桃逗f ETWCISS1尽椚诵1-1二钊 «!4«2CJBOWbh讥«4-bcvsttriiCW”iT 卄二|审种沖沁414iweideC MI nMt5»y11 32.tK4仰內阿爭泗icrvi#f<Cor>

8、71;r«ii»IMOtMOnetvwa二#«c frnnistriTtt32iAti #£«心那血Carp«rh41 irn <-* vx*-gf kvtlyi “m C*E «-*<he±MHr»dfe CT41 «flC4rf ¥7*11 0iobOBnC Frffrva Ft I VEi i i nj KrTi'i F i Mnu Ihf63&C >JL 113015t »32M s k xe ««06203455

9、9 l CT S:&EtfiExrpir hti «rI4L«01亦血 S0S3MI| 1刘盘lOaStPBf&TO1 !?44Iftia-eFtcirn n-t»ZC TIJDCVS syi X vbSE nr in h«MlfcCTfiiaftCnrto“ 41404e kitcm人町沙盏*亠BlCT«S.-&£tfyCKT 七 2 i11?.1LSt神曹工;We*,lj iTpllchionmo沖厅口口 Flit 1*51 ildail41150蚀皿D*SJ m<U isn( Inli中n0 0 4

10、C TTHRTAtlI_32 dll0x02170000diDOOODKMjiWvu-«a日o咋aC Frajr-h* JL1 = tiLhPAF*w l血.OiUMoanMucsnwntAlQuDOtfiettO1OOQflSOQd鼬"1峠7rg即si l逹理:IWtsa: Q, &用H帀巧MT语風:zh期r«r.轴订醉就:印口,图4:病毒现象:很多进程下都加载了lpk.dll 。处理方法1)把之前搜索到的lpk.dll文件全部删除(不包括C:WINDOWSsystem32和C:WINDOWSsystem32dllcache 目录)。删除C:Docume

11、 nts and Setti ngsAdmi nistrator'Local Sett in gs'Temp目录下大小为 36KB 的 hrlXX.tmp 文件。2)某些lpk.dll删除时会出现系统报错,如下图。图5:删除某些lpk.dll文件时会报错,是因为该病毒文件已经被激活调用。这是由于病毒文件已经被激活调用,普通方式无法直接删除。这时通过XueTr可以看到删除报错lpk.dll,右键选中将其删除。的lpk.dll正挂在系统正在运行的进程下,逐一找到正加载的O' qhijvjv«dpo蓋*叭OWd 和 I Hfcw? I Bflftw?:11 1边勰心

12、理*艷曲wo蛊爭Minitt1V14c:讳】和I彌C'IlTTMi WfcSWiq.wijvi exC TIMM6B0C Afro J636C TLiaISU1 常C:lJKtx僧说C:1IKB54CCtlACM£ AlimE甜班I p* I,討讦厚 丰工貝虻氏 p»ffs_ I aiwr , i寧 F T1-.1 1 X- 1 i 1nnnnnnn14茁ie(wUClisao1訂电 17<l Hi1504阳虫a攵碎芋箋占就爾辰幷耀疋位対用i摩丈并 瓷"弭往玄幷曜惟OiSLmiBO*i<rwlXWuTfllffto,etiw?0Mi<rG

13、iv*RQiWJSlQicr a»fl018500039<T Q¥«f1C-firarviV 1 pCiatEE 1556Eiiij!< Eiiinr InfQiSamssBOsBffiSHlOi&eVi<T Q-KtftlCT«iri«r i&lia貝心忡冲-C*rj<>r*U-Nao* Q-E«t lC眸r爭匝ImpOi61£?EK£ a emfXOaBlEQCa- ,0 aw.«t IC«rhLihu<»曲心;社伞出宗內9C I

14、Fraw FiltililjA(KSlKvcf«ll HlC 1町1001留认*7点厲HlC IRrocrv Pi l*TiikUXrur hk% 4X1C Frcrw Pl1*ilLi ei au'tftSjLS lLI-u i. 411.OkOmUKO OAnrotKO Mjcncom hoatfiOHnDKQQOiSWOBtijihf &kiiii( IhforBiti4&T Q 0 *owanntnowu*【z»o is c(MMdesxMOOtfOOOOXMO!? iitu &ii inf IMwdX血 .T” U g 3: g I

15、*彌理:豈用區衆可访用草甥: J (wflrw二V I /"V圏赠 <UttZcom图6:对于这些已经被激活调用的lpk.dll,可使用工具将其从进程中删除。3) 在用XueTr逐一检查系统进程的过程中,发现其中一个svchost.exe进程下加载了一个十分可 疑的模块文件hra33.dll,且无数字签名。追再 葩就砂 R4-|丹技怕子;is用?E输刊护 I旺睥齐 工悴 庭卯I甲看|円誇珥 本工曰T电*s耶.胸m I炖龍空 丄宀p珞aI3wiLctU|bB miiM8汩C*W>4vv* Fil*fcWw*MKrir«崎 Mt1 聲坤 1212C-Wect新订*.

16、5*1 iMISx1*4*TWEES |I gffrRQWBIEI5DM>-»百札 IjhcOsSiCraKN1-VtijiM kiiftlM tW"ChPt «1« F 筒 I 蛙电C:TllfiCTStfrKl TVtha H «!OUillBESAlETTE 们尸 EVTG4nnnnrnn« A s A A A VllKnOlk-tril«理Ifrvrlh窈 11 «x. C: riBXVSiTril! HJZnrrho it «ia If: VffIBQOtShTy只«理1<

17、¥殆耳砒 «a c ; YflBtmrstMKiWfhU *st 锐1FKWWSI仃沪伽讥 mC - VWlK)OW£,iTjrs< «-b3 xnrclu st « t. "* VJKWTSTTit* SiYcba >1. «m VlKKfKir|FK <*«JC.ip e>-«l tv w C: VVIKSKm i M iWil mChr3IDBK)M>*BicroiMtriCrpmt oDnatBis-icroi*fiCwpsriiittOxfl冋阳馅-C»&

18、#163;-p4E-*ti40M9EE3BHKIkSTQMihC酣宇呻电“(Mil国咄甲-WacrwfiowatEm亠VhcntE'lCvrpwr .右 «嗣问爵阳-l 口 口、袖屯C'aipiX'Ll* m就tIzp:* t.t i «QKOOroflacrewtiCrDtta 4.acTDif1? Cwprlti d硼毗:sinL町:卜兀T 讥世疑".jrlkr3oytimm(ht<WQCTW厂4a红翱其誚C-O-LJ.com图7 :某个svchost进程下加载了可疑 dll模块。右键选中查看模块文件属性,可以看到该文件大小也是4

19、3KB,与lpk.dll 相同,创建日期也与lpk.dll一致。另外有没有觉得这个文件名很熟悉?再回想一下会发现该文件命名与temp目录下的lpk.dll性质相同,直接用hrlXX.tmp文件命名方式有异曲同工之处。综上所述,已经可以确定该文件与XueTr删之。0|iu-«r. di i丈件齐也打幵硯注用raFFK*KWKKc.o a '«,«= TT1<4 n n i悒 om 祁 1£pJWSOIIT K 2?*£W4M IE Cl3011 如削截 15 la 21厂去出则厂FMtQp|图&仔细查看该模块详细信息,可确定

20、其为病毒文件。4)上述删除操作完成后,再全盘搜索一次,会发现刚刚删除的lpk.dll病毒文件又出现了,真是“阴魂不散”。很明显系统中还存在残余病毒体不断释放lpk.dll 文件,还需要进一步检查将其彻底清除。kkwgks.exe无数字签名。通过XueTr检查系统当前服务,发现一个很可疑的服务,对应的映像文件KTFriillir IbKP i5«f Vi (h Li» vhS«r*«r l>w 町i sflril*it a m LvOlv Kt V *4 «h<«rM«i.rv-<53KEJ5*r«

21、r旧 w ijxA liUHBl* Il *<迅tU皿a»iia#i±命牡已降itVtUSst 航占僧FljtFl qrP«3i聲«电Ft »t «c t + iS-t w 沪KutinESCt i 诲 CIHL«a*-iLi!-岭 irL*? tr专能*阳N富rS幅巳删E8'卜”“Ed iT.»J 巴屋曰 己碗師址 e»Lt ewii e»it 已目动 己啤止 己电岂 巴E动 n禅dTWXm目迭手逊F*LWfflTi*fitflitJ?fit'备 带 I*O iMe七件耳

22、4 usffDQ-«* n宓丄Art 刖HiE 1厂i十匚皿江*“ t KI< 1>严1«8»唸 i44« «>C TT HMTVsjrf11 M 1C VlLHP砒诗r>«能«kCLc TTWMrsumh« 匚 m loom crifw32' mk m l 抚 C WlJftt脯"厂艮一縊.和f . c -rn»rsF*t#i4C TIMPiZHTi1' ijrit-wSL'-li <i C T2 K)WSijFi1iiiE3'&#

23、39;-Eti I. <fi C m 冋昨3FHUWrd辑们 C TTMMTR iiE五'gTi口C VfiHtlRMFHY 応齐"讥 C ill IlWS '* iy-i I.卫 L : h IC W HT«WStc 'iTlIfEKTrS'.x尸也7工曲l讥 站-MFopMh Fk! MILSF 、和忖幵歸.,“rx*C* Ti EliltJXRTSX mJE1* 豊岬.irrlEr、n協:0聲冲W.* fe JblfiL,! . rIjnt 1»12也 ITLDijsit也 W睫匪兀和训 HP丨內商坤产啲I1旺席春:忑件手囁存叱量1 ifttc 宮口 dar«:nHBS-rfiEnK*图9:再次检查系统服务,可发现这个服务对应的文件没有数字签名。查看kkwgks.exe文件属性发现该文件创建时间与lpk.dll 致,且文件大小与 Temp目录下的hrlXX.tmp文件相同,十分可疑,直接将其删除。图10:具体查看该程序,可发现该文件为病毒。5)删除kkwgks.exe文件即结束了病毒服务,还需要执行上面步骤1-3的删除操作,把再次释放的lpk.dll等文件全部清除,然后重启电脑再全盘搜索检查一遍,原来的病毒文件都不复存在了。病毒行为分析经过了上面的手动处理过程后,可以

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论