[原创]Delphi编写的LPK.DLL专杀，可清理RAR-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]Delphi编写的LPK.DLL专杀，可清理RAR

发表于: 2011-7-22 17:36 18172

[原创]Delphi编写的LPK.DLL专杀，可清理RAR

怪才

2011-7-22 17:36

18172

病毒背景：
它是一种杀毒软件很难清除的一种木马，会随着系统启动而启动，会自动生成文件到系统目录或是程序目录，有可能还会在RAR文件目录中生成，一般杀毒软件查杀到RAR里面有此文件会提示删除文件而导致客户的文件丢失。如果发现电脑中几乎所有的目录都存在lpk.dll，甚至压缩包中也存在，则极有可能中了利用操作系统自动加载lpk的蠕虫(而且是木马)。

大部分杀毒软件没法完美的处理RAR中病毒，（据说瑞星可以，但是速度很慢，不知道是不是采用的解压方法）

为了应急对付LPK.DLL的大量感染或者说是挽救大量的RAR，熬夜写了这样一个东西（如果清理不干净，稍不留神会再次激活）

软件仅能删除LPK.DLL（不会误删），可以删除带有系统、只读属性的，也可以删除RAR里（不管是在RAR根目录下还是里面的文件夹里）

采用体积匹配，应该能对付一些变种。
附源代码以及lpk.dll样本，本来想用unrar.dll来处理RAR，不过来不及了。

有什么建议留言就好。

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

LPK杀.rar （431.28kb，318次下载）

收藏・1

免费・7

支持

最新回复 (20)
fireworld 雪币： 185 活跃值： (477) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 334 粉丝 0 关注私信	fireworld 2 楼支持usp10.dll清理吗？ 2011-7-26 15:43 0
怪才雪币： 190 活跃值： (42) 能力值： ( LV5，RANK：60 ) 在线值：发帖 8 回帖 40 粉丝 1 关注私信	怪才 1 3 楼你自己加上去就可以啦，有源代码， if Match(FilePath + FileRec.Name, MaskList) then begin ce:=FilePath + FileRec.Name; Form1.lbl3.Caption := ce; Application.ProcessMessages; if LowerCase(RightStr(ce,9)) = 'usp10.dll' then begin Form1.mmo1.Lines.Add('发现usp10.dll:' + ce); SetFileAttributes(PChar(ce),0); if (filerec.Size>30000) and (filerec.Size<48000) then//这儿你看一下文件大小，自己改一下，为了对付变种，看一下它的体积区间，单位是字节 if WinExecAndWait32('cmd /c del /f "' + ce +'"', SW_HIDE)=0 then begin Form1.mmo1.Lines.Add('删除：' + ce); Inc(sum); end; end; if LowerCase(RightStr(ce,3)) = 'rar' then begin Form1.mmo1.Lines.Add('发现RAR文件:' + ce); Form1.mmo1.Lines.Add('分析' + ce); WinExecAndWait32('cmd /c rar.exe vb "' + ce + '" >TEMP.TXT', SW_HIDE); system.Assign(p, 'TEMP.TXT'); system.Reset(p); repeat Readln(p, s); l := Length(s); if (l > 8) and (LowerCase(RightStr(s, 9)) = 'usp10.dll') then begin Form1.mmo1.Lines.Add('发现USP10.DLL文件:' + s); if WinExecAndWait32('rar.exe d -sm30000 -sl48000 "' + ce + '" "' + s + '"', SW_HIDE) = 0 then//注意体积 -sm后跟的是最小体积，-sl后是最大体积 begin Form1.mmo1.Lines.Add('已清理:' + s); Inc(sum); end; 当然，重点就是RAR的清理。 2011-7-27 10:50 0
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 4 楼哪位翻译成C++？？我的rar里面面全它。。。没时间去清理。 2011-7-27 13:43 0
panti 雪币： 1602 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 254 粉丝 0 关注私信	panti 5 楼以前也写过一个专杀，同好，支持楼主！ 2011-7-28 03:18 0
xulay 雪币： 237 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 58 粉丝 0 关注私信	xulay 1 6 楼没有暂停，停止，中止是个问题。 2011-8-1 09:30 0
怪才雪币： 190 活跃值： (42) 能力值： ( LV5，RANK：60 ) 在线值：发帖 8 回帖 40 粉丝 1 关注私信	怪才 1 7 楼应急用的，主要是当时所有的RAR全有了LPK.DLL，一不小心就……，而且杀软不停地删除RAR文件，所以尽快处理RAR文件，所以做的粗了点。 2011-8-2 22:09 0
猪头三雪币： 158 活跃值： (263) 能力值： ( LV10，RANK：170 ) 在线值：发帖 23 回帖 100 粉丝 2 关注私信	猪头三 3 8 楼大力支持怪才的作品~ 2011-8-3 10:25 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 9 楼我**，正正需要！ 2011-8-3 10:54 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 10 楼 RAR应该可以使用命令行处理吧 2011-8-3 10:55 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 11 楼哇，三哥在上面！！！！！！！！！！！！1 2011-8-3 11:00 0
猪头三雪币： 158 活跃值： (263) 能力值： ( LV10，RANK：170 ) 在线值：发帖 23 回帖 100 粉丝 2 关注私信	猪头三 3 12 楼呵呵，低调低调~ 特地来支持朋友的技术贴，~ 2011-8-3 16:38 0
私仇之路雪币： 73 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 346 粉丝 0 关注私信	私仇之路 13 楼下载学习一下，看看解压RAR的方法。 2011-8-3 17:36 0
kagayaki 雪币： 1312 活跃值： (5164) 能力值： ( LV3，RANK：20 ) 在线值：发帖 174 回帖 1253 粉丝 25 关注私信	kagayaki 14 楼支持一下................ 2011-8-15 07:07 0
yixinemail 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	yixinemail 15 楼谢谢，正在手工删除RAR里有病毒 2011-9-21 17:29 0
antnts 雪币： 219 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 58 粉丝 0 关注私信	antnts 16 楼原理一样的。都是系统动态链接库劫持。改下代码就能实现了。。 2011-9-23 13:46 0
fazir 雪币： 263 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	fazir 17 楼救急用，谢谢！ 2011-9-24 14:46 0
cruiyong 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	cruiyong 18 楼我的电脑现在中了这个病毒，看合不合适我。 2011-9-24 18:35 0
cruiyong 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	cruiyong 19 楼加了密码的RAR是否可以跳过，你现在这个程序遇到加了密码的RAR会停在那里。 2011-9-24 18:42 0
hehaohw 雪币： 23 活跃值： (198) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 93 粉丝 0 关注私信	hehaohw 20 楼非常感谢，我中用了很多专杀，杀了之后过几天有来了，要呢重新启动后有出现了，犯人啊，你这个杀彻底，好东西，谢谢 2011-10-30 22:37 0
hehaohw 雪币： 23 活跃值： (198) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 93 粉丝 0 关注私信	hehaohw 21 楼请求版主遇到加了密码的RAR会卡死，把加了密码的rar绕过。我中了这个烦人病毒，版主很给力。谢谢！ 2011-11-8 11:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

怪才

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (20)
fireworld 雪币： 185 活跃值： (477) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 334 粉丝 0 关注私信	fireworld 2 楼支持usp10.dll清理吗？ 2011-7-26 15:43 0
怪才雪币： 190 活跃值： (42) 能力值： ( LV5，RANK：60 ) 在线值：发帖 8 回帖 40 粉丝 1 关注私信	怪才 1 3 楼你自己加上去就可以啦，有源代码， if Match(FilePath + FileRec.Name, MaskList) then begin ce:=FilePath + FileRec.Name; Form1.lbl3.Caption := ce; Application.ProcessMessages; if LowerCase(RightStr(ce,9)) = 'usp10.dll' then begin Form1.mmo1.Lines.Add('发现usp10.dll:' + ce); SetFileAttributes(PChar(ce),0); if (filerec.Size>30000) and (filerec.Size<48000) then//这儿你看一下文件大小，自己改一下，为了对付变种，看一下它的体积区间，单位是字节 if WinExecAndWait32('cmd /c del /f "' + ce +'"', SW_HIDE)=0 then begin Form1.mmo1.Lines.Add('删除：' + ce); Inc(sum); end; end; if LowerCase(RightStr(ce,3)) = 'rar' then begin Form1.mmo1.Lines.Add('发现RAR文件:' + ce); Form1.mmo1.Lines.Add('分析' + ce); WinExecAndWait32('cmd /c rar.exe vb "' + ce + '" >TEMP.TXT', SW_HIDE); system.Assign(p, 'TEMP.TXT'); system.Reset(p); repeat Readln(p, s); l := Length(s); if (l > 8) and (LowerCase(RightStr(s, 9)) = 'usp10.dll') then begin Form1.mmo1.Lines.Add('发现USP10.DLL文件:' + s); if WinExecAndWait32('rar.exe d -sm30000 -sl48000 "' + ce + '" "' + s + '"', SW_HIDE) = 0 then//注意体积 -sm后跟的是最小体积，-sl后是最大体积 begin Form1.mmo1.Lines.Add('已清理:' + s); Inc(sum); end; 当然，重点就是RAR的清理。 2011-7-27 10:50 0
雪yaojun 雪币： 120 活跃值： (160) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 593 粉丝 0 关注私信	雪yaojun 4 楼哪位翻译成C++？？我的rar里面面全它。。。没时间去清理。 2011-7-27 13:43 0
panti 雪币： 1602 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 254 粉丝 0 关注私信	panti 5 楼以前也写过一个专杀，同好，支持楼主！ 2011-7-28 03:18 0
xulay 雪币： 237 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 58 粉丝 0 关注私信	xulay 1 6 楼没有暂停，停止，中止是个问题。 2011-8-1 09:30 0
怪才雪币： 190 活跃值： (42) 能力值： ( LV5，RANK：60 ) 在线值：发帖 8 回帖 40 粉丝 1 关注私信	怪才 1 7 楼应急用的，主要是当时所有的RAR全有了LPK.DLL，一不小心就……，而且杀软不停地删除RAR文件，所以尽快处理RAR文件，所以做的粗了点。 2011-8-2 22:09 0
猪头三雪币： 158 活跃值： (263) 能力值： ( LV10，RANK：170 ) 在线值：发帖 23 回帖 100 粉丝 2 关注私信	猪头三 3 8 楼大力支持怪才的作品~ 2011-8-3 10:25 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 9 楼我**，正正需要！ 2011-8-3 10:54 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 10 楼 RAR应该可以使用命令行处理吧 2011-8-3 10:55 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 11 楼哇，三哥在上面！！！！！！！！！！！！1 2011-8-3 11:00 0
猪头三雪币： 158 活跃值： (263) 能力值： ( LV10，RANK：170 ) 在线值：发帖 23 回帖 100 粉丝 2 关注私信	猪头三 3 12 楼呵呵，低调低调~ 特地来支持朋友的技术贴，~ 2011-8-3 16:38 0
私仇之路雪币： 73 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 346 粉丝 0 关注私信	私仇之路 13 楼下载学习一下，看看解压RAR的方法。 2011-8-3 17:36 0
kagayaki 雪币： 1312 活跃值： (5164) 能力值： ( LV3，RANK：20 ) 在线值：发帖 174 回帖 1253 粉丝 25 关注私信	kagayaki 14 楼支持一下................ 2011-8-15 07:07 0
yixinemail 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	yixinemail 15 楼谢谢，正在手工删除RAR里有病毒 2011-9-21 17:29 0
antnts 雪币： 219 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 58 粉丝 0 关注私信	antnts 16 楼原理一样的。都是系统动态链接库劫持。改下代码就能实现了。。 2011-9-23 13:46 0
fazir 雪币： 263 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 23 粉丝 0 关注私信	fazir 17 楼救急用，谢谢！ 2011-9-24 14:46 0
cruiyong 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	cruiyong 18 楼我的电脑现在中了这个病毒，看合不合适我。 2011-9-24 18:35 0
cruiyong 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	cruiyong 19 楼加了密码的RAR是否可以跳过，你现在这个程序遇到加了密码的RAR会停在那里。 2011-9-24 18:42 0
hehaohw 雪币： 23 活跃值： (198) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 93 粉丝 0 关注私信	hehaohw 20 楼非常感谢，我中用了很多专杀，杀了之后过几天有来了，要呢重新启动后有出现了，犯人啊，你这个杀彻底，好东西，谢谢 2011-10-30 22:37 0
hehaohw 雪币： 23 活跃值： (198) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 93 粉丝 0 关注私信	hehaohw 21 楼请求版主遇到加了密码的RAR会卡死，把加了密码的rar绕过。我中了这个烦人病毒，版主很给力。谢谢！ 2011-11-8 11:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复