首页
社区
课程
招聘
[原创]Delphi编写的LPK.DLL专杀,可清理RAR
发表于: 2011-7-22 17:36 18163

[原创]Delphi编写的LPK.DLL专杀,可清理RAR

2011-7-22 17:36
18163

病毒背景:
它是一种杀毒软件很难清除的一种木马,会随着系统启动而启动,会自动生成文件到系统目录或是程序目录,有可能还会在RAR文件目录中生成,一般杀毒软件查杀到RAR里面有此文件会提示删除文件而导致客户的文件丢失。如果发现电脑中几乎所有的目录都存在lpk.dll,甚至压缩包中也存在,则极有可能中了利用操作系统自动加载lpk的蠕虫(而且是木马)。

大部分杀毒软件没法完美的处理RAR中病毒,(据说瑞星可以,但是速度很慢,不知道是不是采用的解压方法)

为了应急对付LPK.DLL的大量感染或者说是挽救大量的RAR,熬夜写了这样一个东西(如果清理不干净,稍不留神会再次激活)

软件仅能删除LPK.DLL(不会误删),可以删除带有系统、只读属性的,也可以删除RAR里(不管是在RAR根目录下还是里面的文件夹里)

采用体积匹配,应该能对付一些变种。
附源代码以及lpk.dll样本,本来想用unrar.dll来处理RAR,不过来不及了。

有什么建议留言就好。


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 7
支持
分享
最新回复 (20)
雪    币: 185
活跃值: (467)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
支持usp10.dll清理吗?
2011-7-26 15:43
0
雪    币: 190
活跃值: (42)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
3
你自己加上去就可以啦,有源代码,
            if Match(FilePath + FileRec.Name, MaskList) then
            begin
              ce:=FilePath + FileRec.Name;
              Form1.lbl3.Caption := ce;
              Application.ProcessMessages;
                if LowerCase(RightStr(ce,9)) = 'usp10.dll' then
                begin
                  Form1.mmo1.Lines.Add('发现usp10.dll:' + ce);
                  SetFileAttributes(PChar(ce),0);
                  if (filerec.Size>30000) and (filerec.Size<48000) then//这儿你看一下文件大小,自己改一下,为了对付变种,看一下它的体积区间,单位是字节
                  if WinExecAndWait32('cmd /c del /f "' + ce +'"', SW_HIDE)=0
                  then
                  begin
                  Form1.mmo1.Lines.Add('删除:' + ce);
                  Inc(sum);
                  end;

                end;
                if LowerCase(RightStr(ce,3)) = 'rar' then
                begin
                  Form1.mmo1.Lines.Add('发现RAR文件:' + ce);
                  Form1.mmo1.Lines.Add('分析' + ce);
                  WinExecAndWait32('cmd /c rar.exe vb "' + ce +
                    '" >TEMP.TXT', SW_HIDE);
                  system.Assign(p, 'TEMP.TXT');
                  system.Reset(p);
                  repeat
                    Readln(p, s);

                    l := Length(s);
                    if (l > 8) and (LowerCase(RightStr(s, 9)) = 'usp10.dll') then
                    begin
                      Form1.mmo1.Lines.Add('发现USP10.DLL文件:' + s);
                      if WinExecAndWait32('rar.exe d -sm30000 -sl48000 "' +
                        ce + '" "' + s + '"', SW_HIDE) = 0 then//注意体积 -sm后跟的是最小体积,-sl后是最大体积
                        begin
                        Form1.mmo1.Lines.Add('已清理:' + s);
                        Inc(sum);
                        end;
当然,重点就是RAR的清理。
2011-7-27 10:50
0
雪    币: 120
活跃值: (160)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
哪位翻译成C++??我的rar里面面全它。。。没时间去清理。
2011-7-27 13:43
0
雪    币: 1602
活跃值: (14)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
以前也写过一个专杀,同好,支持楼主!
2011-7-28 03:18
0
雪    币: 237
活跃值: (25)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
6
没有暂停,停止,中止是个问题。
2011-8-1 09:30
0
雪    币: 190
活跃值: (42)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
7
应急用的,主要是当时所有的RAR全有了LPK.DLL,一不小心就……,而且杀软不停地删除RAR文件,所以尽快处理RAR文件,所以做的粗了点。
2011-8-2 22:09
0
雪    币: 158
活跃值: (263)
能力值: ( LV10,RANK:170 )
在线值:
发帖
回帖
粉丝
8
大力支持 怪才的作品~
2011-8-3 10:25
0
雪    币: 278
活跃值: (709)
能力值: ( LV15,RANK:520 )
在线值:
发帖
回帖
粉丝
9
我**,正正需要!
2011-8-3 10:54
0
雪    币: 278
活跃值: (709)
能力值: ( LV15,RANK:520 )
在线值:
发帖
回帖
粉丝
10
RAR应该可以使用命令行处理吧
2011-8-3 10:55
0
雪    币: 278
活跃值: (709)
能力值: ( LV15,RANK:520 )
在线值:
发帖
回帖
粉丝
11
哇,三哥在上面!!!!!!!!!!!!1
2011-8-3 11:00
0
雪    币: 158
活跃值: (263)
能力值: ( LV10,RANK:170 )
在线值:
发帖
回帖
粉丝
12
呵呵,低调低调~ 特地来支持朋友的技术贴,~
2011-8-3 16:38
0
雪    币: 73
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
下载学习一下,看看解压RAR的方法。
2011-8-3 17:36
0
雪    币: 1216
活跃值: (5109)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
14
支持一下................
2011-8-15 07:07
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
谢谢,正在手工删除RAR里有病毒
2011-9-21 17:29
0
雪    币: 219
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
原理一样的。都是系统动态链接库劫持。改下代码就能实现了。。
2011-9-23 13:46
0
雪    币: 263
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
救急用,谢谢!
2011-9-24 14:46
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
我的电脑现在中了这个病毒,看合不合适我。
2011-9-24 18:35
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
加了密码的RAR是否可以跳过,你现在这个程序遇到加了密码的RAR会停在那里。
2011-9-24 18:42
0
雪    币: 23
活跃值: (198)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
非常感谢,我中用了很多专杀,杀了之后过几天有来了,要呢重新启动后有出现了,犯人啊,你这个杀彻底,好东西,谢谢
2011-10-30 22:37
0
雪    币: 23
活跃值: (198)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
请求版主
遇到加了密码的RAR会卡死,把加了密码的rar绕过。
我中了这个烦人病毒,版主很给力。谢谢!
2011-11-8 11:01
0
游客
登录 | 注册 方可回帖
返回
//