最近分析了一个lpk的病毒，

链接  http://bbs.pediy.com/thread-217841.htm

但感觉还不过瘾，于是手痒写了这个C语言版本的专杀工具。

行为不多说了，杀毒思路

1．结束服务：Ghijkl Nopqrstu Wxy，删除服务对应的exe文件。

2．删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ Ghijkl Nopqrstu Wxy下面的所有键值。

3．删除C:\windows\system32\hra33.dll

4．删除除开C:\WINDOWS\system32和C:WINDOWS\system\dllcache这二个目录下的lpk.dll文件,该目录下的文件是正常文件。

主要过程如下：

        TCHAR szServerName[] = L"Ghijkl Nopqrstu Wxy";
	if (!DelServer(szServerName)) //删除服务
	{
		//	goto OVER;
	}
	TCHAR szRegName[] = L"SYSTEM\\CurrentControlSet\\services";
	HKEY hKey = HKEY_LOCAL_MACHINE;
	if (!DelRegedit(hKey, szRegName))  //删除注册表
	{
		//	goto OVER;
	}
	TCHAR szPath[] = L"C:\\windows\\system32\\hra33.dll";
	DelFile(szPath);  //删除hra33.dll文件
	puts("开始全盘查杀");
	TotalKillName();   //全盘查杀，每一个硬盘开启一个线程，可以查杀压缩包中的lpk.dll文件

其中压缩包查杀，有借鉴病毒感染压缩包的思路。俗话说师夷长技以制夷么。

最后感悟：原来DOS命令比API好用。从DOS命令执行返回字符串判断结果是一个非常实用的技能，具体代码源文件中有。

水平有限，欢迎指点。

编译环境WIN7 SP1 32位 VS2013

[课程]Android-CTF解题方法汇总！