1)把之前搜索到的lpk.dll文件全部删除(不包括C:WINDOWSsystem32和C:WINDOWSsystem32dllcache目录)。删除C:DocumentsandSettingsAdministratorLocalSettingsTemp目录下大小为36KB的hrlXX.tmp文件。
2)某些lpk.dll删除时会出现系统报错
这是由于
病毒文件已经被激活调用,普通方式无法直接删除。这时通过XueTr可以看到删除报错的lpk.dll正挂在系统正在运行的进程下,逐一找到正加载的lpk.dll,右键选中将其删除。
3)在用XueTr逐一检查系统进程的过程中,发现其中一个svchost.exe进程下加载了一个十分可疑的模块文件hra33.dll,且无数字签名。 右键选中查看模块文件属性,可以看到该文件大小也是43KB,与lpk.dll相同,创建日期也与lpk.dll一致。另外有没有觉得这个文件名很熟悉?再回想一下会发现该文件命名与temp目录下的hrlXX.tmp文件命名方式有异曲同工之处。综上所述,已经可以确定该文件与lpk.dll性质相同,直接用XueTr删之。中 华 考 试 网
4)上述删除操作完成后,再全盘搜索一次,会发现刚刚删除的lpk.dll病毒文件又出现了,真是"阴魂不散"。很明显系统中还存在残余病毒体不断释放lpk.dll文件,还需要进一步检查将其彻底清除。通过XueTr检查系统当前服务,发现一个很可疑的服务,对应的映像文件kkwgks.exe无数字签名。
查看kkwgks.exe文件属性发现该文件创建时间与lpk.dll一致,且文件大小与Temp目录下的hrlXX.tmp文件相同,十分可疑,直接将其删除。
