1、Ipk.dll病毒的現象和手工處理lpk.dll病毒相信大家并不陌生，此類病毒已經流行有一段時間了，對應的專殺工具也可以從網上搜索下載到，這足以表明該病毒的廣泛性及危險性。本文對該病毒進行了行為分析，并向您呈現了手動處理的 全部過程。瑞星專家指出：并不是所有 lpk.dll文件都是病毒。正常系統中本身就會存在lpk.dll 文件，它是微軟操作系統的語言包，位于C:WINDOWSsystem32和 C:WINDOWSsystem32dllcache 目錄下。lpk.dll病毒的典型特征是感染存在可執行文件的目錄，并隱藏自身，刪除后又再生成，當同目錄中的exe文件運行時，lpk.dll 就會被 W

2、indows動態鏈接，從而激活病毒，進而導致不能徹底清除。所以當發現磁盤很多文件夾中都存在lpk.dll 文件時，那么基本可以肯定您的計算機已經中招了。lpk.dll病毒是個惡意后門病毒，計算機染毒后會在后臺下載更多惡意程序，可造成用戶機器被遠程控制、資料被盜等狀況。很多用戶在發現電腦中招后會習慣性地重裝系統，但重裝系統并不能清除非系統盤目錄 下的lpk.dll文件，因此當運行其他盤符目錄下的可執行文件時又會激活病毒，再次全盤感染，令人十分頭疼。病毒現象1）通過文件夾選項的設置顯示出所有隱藏文件，包括操作系統文件，然后全盤搜索lpk.dll ，這時會發現很多目錄下都存在lpk.dll文件，大小

3、一致，屬性為隱藏。圖1:病毒現象：全盤搜索發現很多目錄下存在有LPK.dll文件，且大小一致，屬性為隱藏。>jg旺矗沁球刻町二& I工匚區分天爾耳口JS團S）盤熱野圖2:搜索時需勾選“搜索隱藏的文件和文件夾”選項2）C:Docume nts and Setti ngsAdmi nistrator'Local Sett in gs'Temp目錄下生成許多 tmp 格式的文件，大小一致，命名有一定規律。從文件后綴來看，這些文件似乎是臨時文件，但其實是PE格式，并不是普通的tmp文件。 Te-Pt"；f& 伐nhi嚟 stn（3劈©）工n業）

4、艸朗I川0m t O 1 丿 ” sws 區3tttc QJ個粉空梓多 <>痔滙個口伴耳去再釧 T.IU英秦畑伴占甘F8I朋if KB口|測日申M VS-H年XTrtiBriuUB 叩 dkrLlC pm t jJlulIF i»p Ttlr k>f13hrU>_r LI f hjf近5卜 iuS l片 f kr Li inp T? hJfLS k»F 芒 Kjrl9，卜 WhrL 口 " pffiKBKBlEKBisBXB涓XB陶ffiJl拒灼XB IB 3 TJ 3 .J T ZfT* EF如 tsr如 ST MffTW如 “F丈常 7

5、HF H世MF衛樣 HF文許 mF如:TV丈伴 nr:m7WF如Tar衛科 nr:m m戈祥 lUF丈片 "F如HP玄樣 褲文件iHUBKH Mim-6 ii h Kli-T-M 14 IS 201t-T*28 H S3 2QII-T-Z9 H 5£ 20H 呻產5 H I S 2011十5 IT ： 15 2011-6 B；«3 2011-9-5 IT 15 £0! 1-5 16 06t< <4201l-»-ll H OE zoirau h 05 3111-8-31 J1 tl5 Z0ll-a-3! 14 K 201(-9-1 1

6、1 ；W 2DII-fl-l 11 06 zoii-a-i n u2CII-9-1 11工Hm sjfaBvn * aJU-0-6 H IISOLE24 14 l« 30U-7-2S K 50 £0J；-7-2» 列 K KLl-? n is aon-a-5 ii ism u seii-fl-s n：u価 o&JCliXT-名 M 44 2011-8-31 14 OS 2011-0-31 11 OS St3IL3-A-iL 34 K set I'®-J L U OS ggiiw U W 0CI1M-1 H 00 aou->i ti

7、<b申1- T I 520! Mh£ £01i-9-6圖3 :病毒現象：眾多有明明規范的tmp格式文件，且大小一致。3）使用XueTr查看系統進程，explorer.exe等很多進程下加載了lpk.dll謂證1逓諒血M |內情怖1咖 | nflfft i琢esfPi廉勞耳工iwe« rMil1承桃逗f ETWCISS1盡椚誦1-1二釗 «!4«2CJBOWbh譏«4-bcvsttriiCW”iT 卄二|審種沖沁414iweideC MI nMt5»y11 32.tK4仰內阿爭泗icrvi#f<Cor>

8、71;r«ii»IMOtMOnetvwa二#«c frnnistriTtt32iAti #£«心那血Carp«rh41 irn <-* vx*-gf kvtlyi “m C*E «-*<he±MHr»dfe CT41 «flC4rf ¥7*11 0iobOBnC Frffrva Ft I VEi i i nj KrTi'i F i Mnu Ihf63&C >JL 113015t »32M s k xe ««06203455

9、9 l CT S：&EtfiExrpir hti «rI4L«01亦血 S0S3MI| 1劉盤lOaStPBf&TO1 !?44Iftia-eFtcirn n-t»ZC TIJDCVS syi X vbSE nr in h«MlfcCTfiiaftCnrto“ 41404e kitcm人町沙盞*亠BlCT«S.-&£tfyCKT 七 2 i11?.1LSt神曹工；We*，lj iTpllchionmo沖廳口口 Flit 1*51 ildail41150蝕皿D*SJ m<U isn( Inli中n0 0 4

10、C TTHRTAtlI_32 dll0x02170000diDOOODKMjiWvu-«a日o咋aC Frajr-h* JL1 = tiLhPAF*w l血.OiUMoanMucsnwntAlQuDOtfiettO1OOQflSOQd鼬"1峠7rg即si l逹理：IWtsa： Q, &用H帀巧MT語風：zh期r«r.軸訂醉就：印口,圖4：病毒現象：很多進程下都加載了lpk.dll 。處理方法1）把之前搜索到的lpk.dll文件全部刪除（不包括C:WINDOWSsystem32和C:WINDOWSsystem32dllcache 目錄）。刪除C:Docume

11、 nts and Setti ngsAdmi nistrator'Local Sett in gs'Temp目錄下大小為 36KB 的 hrlXX.tmp 文件。2）某些lpk.dll刪除時會出現系統報錯，如下圖。圖5:刪除某些lpk.dll文件時會報錯，是因為該病毒文件已經被激活調用。這是由于病毒文件已經被激活調用，普通方式無法直接刪除。這時通過XueTr可以看到刪除報錯lpk.dll，右鍵選中將其刪除。的lpk.dll正掛在系統正在運行的進程下，逐一找到正加載的O' qhijvjv«dpo蓋*叭OWd 和 I Hfcw? I Bflftw?：11 1邊勰心

12、理*艷曲wo蠱爭Minitt1V14c:諱】和I彌C'IlTTMi WfcSWiq.wijvi exC TIMM6B0C Afro J636C TLiaISU1 常C:lJKtx僧說C:1IKB54CCtlACM£ AlimE甜班I p* I,討訐厚 豐工貝虻氏 p»ffs_ I aiwr , i寧 F T1-.1 1 X- 1 i 1nnnnnnn14茁ie(wUClisao1訂電 17<l Hi1504陽蟲a攵碎芋箋占就爾辰幷耀疋位対用i摩丈并 瓷"弭往玄幷曜惟OiSLmiBO*i<rwlXWuTfllffto,etiw?0Mi<rG

13、iv*RQiWJSlQicr a»fl018500039<T Q¥«f1C-firarviV 1 pCiatEE 1556Eiiij!< Eiiinr InfQiSamssBOsBffiSHlOi&eVi<T Q-KtftlCT«iri«r i&lia貝心忡沖-C*rj<>r*U-Nao* Q-E«t lC眸r爭匝ImpOi61£?EK£ a emfXOaBlEQCa- ,0 aw.«t IC«rhLihu<»曲心；社傘出宗內9C I

14、Fraw FiltililjA(KSlKvcf«ll HlC 1町1001留認*7點厲HlC IRrocrv Pi l*TiikUXrur hk% 4X1C Frcrw Pl1*ilLi ei au'tftSjLS lLI-u i. 411.OkOmUKO OAnrotKO Mjcncom hoatfiOHnDKQQOiSWOBtijihf &kiiii( IhforBiti4&T Q 0 *owanntnowu*【z»o is c(MMdesxMOOtfOOOOXMO!? iitu &ii inf IMwdX血 .T” U g 3: g I

15、*彌理：豈用區衆可訪用草甥： J (wflrw二V I /"V圏贈 <UttZcom圖6:對于這些已經被激活調用的lpk.dll，可使用工具將其從進程中刪除。3) 在用XueTr逐一檢查系統進程的過程中，發現其中一個svchost.exe進程下加載了一個十分可 疑的模塊文件hra33.dll，且無數字簽名。追再 葩就砂 R4-|丹技怕子；is用?E輸刊護 I旺睥齊 工悴 庭卯I甲看|円誇珥 本工曰T電*s耶.胸m I燉龍空 丄宀p珞aI3wiLctU|bB miiM8汩C*W>4vv* Fil*fcWw*MKrir«崎 Mt1 聲坤 1212C-Wect新訂*.

16、5*1 iMISx1*4*TWEES |I gffrRQWBIEI5DM>-»百札 IjhcOsSiCraKN1-VtijiM kiiftlM tW"ChPt «1« F 筒 I 蛙電C:TllfiCTStfrKl TVtha H «!OUillBESAlETTE 們尸 EVTG4nnnnrnn« A s A A A VllKnOlk-tril«理Ifrvrlh窈 11 «x. C: riBXVSiTril! HJZnrrho it «ia If: VffIBQOtShTy只«理1<

17、¥殆耳砒 «a c ； YflBtmrstMKiWfhU *st 銳1FKWWSI仃滬伽譏 mC - VWlK)OW£,iTjrs< «-b3 xnrclu st « t. "* VJKWTSTTit* SiYcba >1. «m VlKKfKir|FK <*«JC.ip e>-«l tv w C: VVIKSKm i M iWil mChr3IDBK)M>*BicroiMtriCrpmt oDnatBis-icroi*fiCwpsriiittOxfl冋陽餡-C»&

18、#163;-p4E-*ti40M9EE3BHKIkSTQMihC酣宇呻電“(Mil國咄甲-WacrwfiowatEm亠VhcntE'lCvrpwr .右 «嗣問爵陽-l 口 口、袖屯C'aipiX'Ll* m就tIzp：* t.t i «QKOOroflacrewtiCrDtta 4.acTDif1? Cwprlti d硼毗:sinL町:卜兀T 譏世疑".jrlkr3oytimm(ht<WQCTW廠4a紅翱其誚C-O-LJ.com圖7 :某個svchost進程下加載了可疑 dll模塊。右鍵選中查看模塊文件屬性，可以看到該文件大小也是4

19、3KB,與lpk.dll 相同，創建日期也與lpk.dll一致。另外有沒有覺得這個文件名很熟悉？再回想一下會發現該文件命名與temp目錄下的lpk.dll性質相同，直接用hrlXX.tmp文件命名方式有異曲同工之處。綜上所述，已經可以確定該文件與XueTr刪之。0|iu-«r. di i丈件齊也打幵硯注用raFFK*KWKKc.o a '«,«= TT1<4 n n i悒 om 祁 1£pJWSOIIT K 2?*£W4M IE Cl3011 如削截 15 la 21廠去出則廠FMtQp|圖&仔細查看該模塊詳細信息，可確定

20、其為病毒文件。4）上述刪除操作完成后，再全盤搜索一次，會發現剛剛刪除的lpk.dll病毒文件又出現了，真是“陰魂不散”。很明顯系統中還存在殘余病毒體不斷釋放lpk.dll 文件，還需要進一步檢查將其徹底清除。kkwgks.exe無數字簽名。通過XueTr檢查系統當前服務，發現一個很可疑的服務，對應的映像文件KTFriillir IbKP i5«f Vi (h Li» vhS«r*«r l>w 町i sflril*it a m LvOlv Kt V *4 «h<«rM«i.rv-<53KEJ5*r«

21、r舊 w ijxA liUHBl* Il *<迅tU皿a»iia#i±命牡已降itVtUSst 航占僧FljtFl qrP«3i聲«電Ft »t «c t + iS-t w 滬KutinESCt i 誨 CIHL«a*-iLi!-嶺 irL*? tr專能*陽N富rS幅巳刪E8'卜”“Ed iT.»J 巴屋曰 己碗師址 e»Lt ewii e»it 已目動 己啤止 己電豈 巴E動 n禪dTWXm目迭手遜F*LWfflTi*fitflitJ?fit'備 帶 I*O iMe七件耳

22、4 usffDQ-«* n宓丄Art 刖HiE 1廠i十匚皿江*“ t KI< 1>嚴1«8»唸 i44« «>C TT HMTVsjrf11 M 1C VlLHP砒詩r>«能«kCLc TTWMrsumh« 匚 m loom crifw32' mk m l 撫 C WlJftt脯"廠艮一縊.和f . c -rn»rsF*t#i4C TIMPiZHTi1' ijrit-wSL'-li <i C T2 K)WSijFi1iiiE3'&#

23、39;-Eti I. <fi C m 冋昨3FHUWrd輯們 C TTMMTR iiE五'gTi口C VfiHtlRMFHY 応齊"譏 C ill IlWS '* iy-i I.衛 L ： h IC W HT«WStc 'iTlIfEKTrS'.x尸也7工曲l譏 站-MFopMh Fk! MILSF 、和忖幵歸.,“rx*C* Ti EliltJXRTSX mJE1* 豊岬.irrlEr、n協：0聲沖W.* fe JblfiL，! . rIjnt 1»12也 ITLDijsit也 W睫匪兀和訓 HP丨內商坤產啲I1旺席春：忑件手囁存叱量1 ifttc 宮口 dar«：nHBS-rfiEnK*圖9:再次檢查系統服務，可發現這個服務對應的文件沒有數字簽名。查看kkwgks.exe文件屬性發現該文件創建時間與lpk.dll 致，且文件大小與 Temp目錄下的hrlXX.tmp文件相同，十分可疑，直接將其刪除。圖10:具體查看該程序，可發現該文件為病毒。5）刪除kkwgks.exe文件即結束了病毒服務，還需要執行上面步驟1-3的刪除操作，把再次釋放的lpk.dll等文件全部清除，然后重啟電腦再全盤搜索檢查一遍，原來的病毒文件都不復存在了。病毒行為分析經過了上面的手動處理過程后，可以