首页
论坛
课程
招聘
怪才
雪    币: 175
活跃值: 活跃值 (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
8
回帖
40
粉丝
0

[原创]Delphi编写的LPK.DLL专杀,可清理RAR

2011-7-22 17:36 15445

[原创]Delphi编写的LPK.DLL专杀,可清理RAR

2011-7-22 17:36
15445
病毒背景:
它是一种杀毒软件很难清除的一种木马,会随着系统启动而启动,会自动生成文件到系统目录或是程序目录,有可能还会在RAR文件目录中生成,一般杀毒软件查杀到RAR里面有此文件会提示删除文件而导致客户的文件丢失。如果发现电脑中几乎所有的目录都存在lpk.dll,甚至压缩包中也存在,则极有可能中了利用操作系统自动加载lpk的蠕虫(而且是木马)。

大部分杀毒软件没法完美的处理RAR中病毒,(据说瑞星可以,但是速度很慢,不知道是不是采用的解压方法)

为了应急对付LPK.DLL的大量感染或者说是挽救大量的RAR,熬夜写了这样一个东西(如果清理不干净,稍不留神会再次激活)

软件仅能删除LPK.DLL(不会误删),可以删除带有系统、只读属性的,也可以删除RAR里(不管是在RAR根目录下还是里面的文件夹里)

采用体积匹配,应该能对付一些变种。
附源代码以及lpk.dll样本,本来想用unrar.dll来处理RAR,不过来不及了。

有什么建议留言就好。
上传的附件:
最新回复 (20)
fireworld
雪    币: 206
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
7
回帖
321
粉丝
0
fireworld 活跃值 2011-7-26 15:43
2
0
支持usp10.dll清理吗?
怪才
雪    币: 175
活跃值: 活跃值 (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
8
回帖
40
粉丝
0
怪才 活跃值 1 2011-7-27 10:50
3
0
你自己加上去就可以啦,有源代码,
            if Match(FilePath + FileRec.Name, MaskList) then
            begin
              ce:=FilePath + FileRec.Name;
              Form1.lbl3.Caption := ce;
              Application.ProcessMessages;
                if LowerCase(RightStr(ce,9)) = 'usp10.dll' then
                begin
                  Form1.mmo1.Lines.Add('发现usp10.dll:' + ce);
                  SetFileAttributes(PChar(ce),0);
                  if (filerec.Size>30000) and (filerec.Size<48000) then//这儿你看一下文件大小,自己改一下,为了对付变种,看一下它的体积区间,单位是字节
                  if WinExecAndWait32('cmd /c del /f "' + ce +'"', SW_HIDE)=0
                  then
                  begin
                  Form1.mmo1.Lines.Add('删除:' + ce);
                  Inc(sum);
                  end;

                end;
                if LowerCase(RightStr(ce,3)) = 'rar' then
                begin
                  Form1.mmo1.Lines.Add('发现RAR文件:' + ce);
                  Form1.mmo1.Lines.Add('分析' + ce);
                  WinExecAndWait32('cmd /c rar.exe vb "' + ce +
                    '" >TEMP.TXT', SW_HIDE);
                  system.Assign(p, 'TEMP.TXT');
                  system.Reset(p);
                  repeat
                    Readln(p, s);

                    l := Length(s);
                    if (l > 8) and (LowerCase(RightStr(s, 9)) = 'usp10.dll') then
                    begin
                      Form1.mmo1.Lines.Add('发现USP10.DLL文件:' + s);
                      if WinExecAndWait32('rar.exe d -sm30000 -sl48000 "' +
                        ce + '" "' + s + '"', SW_HIDE) = 0 then//注意体积 -sm后跟的是最小体积,-sl后是最大体积
                        begin
                        Form1.mmo1.Lines.Add('已清理:' + s);
                        Inc(sum);
                        end;
当然,重点就是RAR的清理。
雪yaojun
雪    币: 229
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
23
回帖
596
粉丝
0
雪yaojun 活跃值 2011-7-27 13:43
4
0
哪位翻译成C++??我的rar里面面全它。。。没时间去清理。
panti
雪    币: 1602
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
18
回帖
255
粉丝
0
panti 活跃值 2011-7-28 03:18
5
0
以前也写过一个专杀,同好,支持楼主!
xulay
雪    币: 232
活跃值: 活跃值 (10)
能力值: ( LV4,RANK:50 )
在线值:
发帖
6
回帖
58
粉丝
0
xulay 活跃值 1 2011-8-1 09:30
6
0
没有暂停,停止,中止是个问题。
怪才
雪    币: 175
活跃值: 活跃值 (10)
能力值: ( LV5,RANK:60 )
在线值:
发帖
8
回帖
40
粉丝
0
怪才 活跃值 1 2011-8-2 22:09
7
0
应急用的,主要是当时所有的RAR全有了LPK.DLL,一不小心就……,而且杀软不停地删除RAR文件,所以尽快处理RAR文件,所以做的粗了点。
猪头三
雪    币: 102
活跃值: 活跃值 (10)
能力值: ( LV10,RANK:170 )
在线值:
发帖
23
回帖
96
粉丝
0
猪头三 活跃值 3 2011-8-3 10:25
8
0
大力支持 怪才的作品~
邓韬
雪    币: 49
活跃值: 活跃值 (11)
能力值: ( LV12,RANK:520 )
在线值:
发帖
280
回帖
1680
粉丝
0
邓韬 活跃值 9 2011-8-3 10:54
9
0
我**,正正需要!
邓韬
雪    币: 49
活跃值: 活跃值 (11)
能力值: ( LV12,RANK:520 )
在线值:
发帖
280
回帖
1680
粉丝
0
邓韬 活跃值 9 2011-8-3 10:55
10
0
RAR应该可以使用命令行处理吧
邓韬
雪    币: 49
活跃值: 活跃值 (11)
能力值: ( LV12,RANK:520 )
在线值:
发帖
280
回帖
1680
粉丝
0
邓韬 活跃值 9 2011-8-3 11:00
11
0
哇,三哥在上面!!!!!!!!!!!!1
猪头三
雪    币: 102
活跃值: 活跃值 (10)
能力值: ( LV10,RANK:170 )
在线值:
发帖
23
回帖
96
粉丝
0
猪头三 活跃值 3 2011-8-3 16:38
12
0
呵呵,低调低调~ 特地来支持朋友的技术贴,~
私仇之路
雪    币: 75
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
2
回帖
346
粉丝
0
私仇之路 活跃值 2011-8-3 17:36
13
0
下载学习一下,看看解压RAR的方法。
kagayaki
雪    币: 308
活跃值: 活跃值 (31)
能力值: ( LV3,RANK:20 )
在线值:
发帖
164
回帖
1081
粉丝
0
kagayaki 活跃值 2011-8-15 07:07
14
0
支持一下................
yixinemail
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
0
回帖
1
粉丝
0
yixinemail 活跃值 2011-9-21 17:29
15
0
谢谢,正在手工删除RAR里有病毒
antnts
雪    币: 259
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
0
回帖
59
粉丝
0
antnts 活跃值 2011-9-23 13:46
16
0
原理一样的。都是系统动态链接库劫持。改下代码就能实现了。。
fazir
雪    币: 263
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
1
回帖
23
粉丝
0
fazir 活跃值 2011-9-24 14:46
17
0
救急用,谢谢!
cruiyong
雪    币: 201
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
0
回帖
9
粉丝
0
cruiyong 活跃值 2011-9-24 18:35
18
0
我的电脑现在中了这个病毒,看合不合适我。
cruiyong
雪    币: 201
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
0
回帖
9
粉丝
0
cruiyong 活跃值 2011-9-24 18:42
19
0
加了密码的RAR是否可以跳过,你现在这个程序遇到加了密码的RAR会停在那里。
hehaohw
雪    币: 73
活跃值: 活跃值 (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
15
回帖
88
粉丝
0
hehaohw 活跃值 2011-10-30 22:37
20
0
非常感谢,我中用了很多专杀,杀了之后过几天有来了,要呢重新启动后有出现了,犯人啊,你这个杀彻底,好东西,谢谢
hehaohw
雪    币: 73
活跃值: 活跃值 (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
15
回帖
88
粉丝
0
hehaohw 活跃值 2011-11-8 11:01
21
0
请求版主
遇到加了密码的RAR会卡死,把加了密码的rar绕过。
我中了这个烦人病毒,版主很给力。谢谢!
游客
登录 | 注册 方可回帖
返回