lpk.dll病毒的現象和手工處理lpk.dll病相信大家并不陌生，此類病毒已經流行有一段時間了，對應的也可以從網上搜索下到，這足以表明該病毒的廣泛性及危險性文該病毒進行了行為分析向呈現了手動處理的全過程。專家指出：并不是所有文件都是病毒。正常系統(tǒng)中本身就會存在lpk.dll文，它是的語言包，位于和C:\WINDOWS\system32\dllcache目錄下。lpk.dll病的典型特征是感染存在可執(zhí)行文件的目錄，并隱藏自身，刪除后又再生成，當同目錄中的exe文件運行時，就會被Windows動態(tài)鏈接，從而激活病毒，進而導致不能徹底除。所以當發(fā)現磁盤很多文件夾中都存在lpk.dll文時么本可以肯定您的計算機已經中招了。lpk.dll病是個惡意后門病毒，計算機染毒后會在后臺下載更多惡意程序，可造成用戶機器被程控制、資料被盜等狀況。很多用戶在發(fā)現電腦中招后會習慣性地重裝系統(tǒng)，但重裝系統(tǒng)并不能清除非系盤目錄下的lpk.dll文，因此當運行其他盤符目錄下的可執(zhí)行文件時又會激活病毒，再次全盤感染，人十分頭疼。病現1)通文件夾選項的設置顯示出所有隱藏文件，包括文件，然后全盤搜索lpk.dll，時會發(fā)現很多目錄下都存在lpk.dll文，大小一致，屬性為隱藏。圖1：病毒現象：全盤搜索發(fā)現多目錄下存在有文，且大小一致，屬性為隱藏。注意：全盤搜索lpk.dll時注勾選“搜索隱藏的文件和文件夾”，如下圖所示：圖2：搜索時需勾選“搜索隱藏文件和文件夾”選項2)C:\DocumentsandSettings\Administrator\LocalSettings\Temp目下生成許多tmp格式的文件小致名一定規(guī)律文件后綴來看些文件似乎是臨時文件其是PE格，并不是普通的tmp文。圖3：毒現象：眾多有明明規(guī)范的tmp式文件，且大小一致。3)使XueTr查系統(tǒng)進程，很多進程下加載了lpk.dll。圖4：病毒現象：很多進程下都載了lpk.dll處方1)把前搜索到的lpk.dll文全部刪(包括C:\WINDOWS\system32和C:\WINDOWS\system32\dllcache目錄。刪除C:\DocumentsandSettings\Administrator\LocalSettings\Temp目下大小為36KB的hrlXX.tmp文件。2)某刪時會出現系統(tǒng)報錯，如下圖。圖5：刪除某些lpk.dll文時報錯，是因為該病毒文件已經被激活調用。

這是由于病毒文件已經被激活調用，普通方式無法直接刪除。這時通過可看到刪除報錯的lpk.dll正在系統(tǒng)正在運行進程下，逐一找到正加載的lpk.dll，右鍵選中將其刪除。圖6：對于這些已經被激活調用lpk.dll可使用工具將其從進程中刪除。3)在XueTr逐檢查系統(tǒng)進的過程中，發(fā)現其中一個進下加載了一個十分可疑的模塊文件hra33.dll，且數字簽名。圖7：某個svchost進下加載可疑模塊。右鍵選中查看模塊文件屬性，可以看到該文件大小也是43KB與lpk.dll相，創(chuàng)建日期也與lpk.dll一。另外有沒有覺得這個文件名很熟悉？再回想一下會發(fā)現該文件命名與t目錄下hrlXX.tmp文命名方式有異曲工之處。綜上所述，已經可以確定該文件與lpk.dll性相同，直接用XueTr刪。圖8：細查看該模塊詳細信息，可確定其為病毒文件。4)上刪除操作完成后，再全盤搜索一次，會發(fā)現剛剛刪除的lpk.dll病文件又出現了，真是“陰魂不散”。很明顯系統(tǒng)中還存在殘余病毒體不斷釋放文，還需要進一步檢查將其徹底清除。通過XueTr檢系統(tǒng)當前服，發(fā)現一個很可疑的服務，對應的映像文件kkwgks.exe無數簽名。圖9：再次檢查系統(tǒng)服務，可發(fā)這個服務對應的文件沒有數字簽名。查看kkwgks.exe文件屬性發(fā)現該文件創(chuàng)建時間與lpk.dll一，且文件大小與Temp目下的hrlXX.tmp文相同，十分可疑直接將其刪除。圖10：具體查看該程序，可發(fā)現該文件為病毒。5)刪文即結束了病毒服務需要執(zhí)行上面步驟的除操作再次釋放的lpk.dll等件全部清除，然重啟電腦再全盤搜索檢查一遍，原來的病毒文件都不復存在了。病行分經過了上面的手動處理過程后，可以逆向思維簡單分析一下病毒行為如下。1)病運行后會把自己拷貝到系統(tǒng)system32目下以隨機數命(就是上面的，并創(chuàng)建一個名為Nationalgnf的服。2)新服務啟動后，利用特殊手段讓病毒映像替換，程中看到的還是svchost.exe，乎沒有什么異樣，但此時病毒已經將自己隱藏在svchost.exe里運，病毒在這完成的功能包括：a.完病毒所有的后門任務;b.在統(tǒng)system32目錄生hraXX.dll(XX生成的隨機);c.在統(tǒng)臨時文件目錄下不斷釋放hrlXX.tmp(XX是生的隨機)這的hrlXX.tmp文件其實是下kkwgks.exe文件備份常危險用是恢復system32下被刪除的exe病文;

d.在在可執(zhí)行文件的目錄下生成假的lpk.dll，性為隱藏，當同目錄下的exe運行時會自動加載，激活病毒?？偨涍^上述分析處理的過程，相信大家對于lpk.dll病已經有了一定的了解。雖然這類病毒變種較多、感染性強、危險性高，但若是真遇上了也不必驚慌，網上可以搜索到它的專殺工具，多數件也已將其入庫，只要借助合適的工具，通過合理的途徑，不難解.以為次