LPK.dll劫持者木馬清理解決方案(轉(zhuǎn)載) hrl**.tmp木馬清除

第一步：

由于“LPK劫持者”木馬在系統(tǒng)目錄下都惡意添加了“l(fā)pk.dll”劫持，造成了運行某些系統(tǒng)工具都有可能程序釋放“LPK劫持者”木馬。例如在 “C:\WINDOWS”系統(tǒng)目錄下就惡意添加了木馬動態(tài)鏈接庫程序“l(fā)pk.dll”，所以默認隨機啟動運行的“explorer.exe”就會重新釋 放“LPK劫持者”木馬，可以說“explorer.exe”反面上來講也就變成了“LPK劫持者”木馬的開機啟動項。系統(tǒng)程序“explorer.exe”只是一個例子，如果受害者的計算機設(shè)置了多款應(yīng)用軟件隨機自動運行，那么這些應(yīng)用軟件反面上來講就都成了“LPK劫持者”木馬的開機啟動項。

這怎么辦？不用怕，微軟提供了指定“DLL劫持”的防范措施。

開始菜單—–運行 輸入：“regedit.exe”（雙引號去掉），調(diào)出“注冊表編輯器”。依次展開至分支“HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control\Session Manager\KnownDLLs”，可以看到子項“KnownDLLs”分支下有多個系統(tǒng)動態(tài)鏈接庫程序。

?

鼠標右鍵子項“KnownDLLs”菜單中選擇“新建(N)”—–“字符串值(S)”，將其命名為“l(fā)pk”，“數(shù)值數(shù)據(jù)”設(shè)置為“l(fā)pk.dll”，確定。

?

退出“注冊表編輯器”，務(wù)必重啟一下計算機。

這樣，一些需要加載“l(fā)pk.dll”的應(yīng)用程序運行時會從系統(tǒng)目錄下查找“l(fā)pk.dll”并加載，而不再會因為 Windows 作系統(tǒng) DLL動態(tài)鏈接庫程序的加載順序從當前目錄下查找“l(fā)pk.dll”并加載了。

利用這個方法也可以防止其它“.dll”動態(tài)鏈接庫程序遭“DLL劫持”！例如2009年初發(fā)現(xiàn)的“貓癬”木馬同2010年末發(fā)現(xiàn)的“LPK劫持 者”木馬的行為一樣，只不過該木馬是全盤劫持動態(tài)鏈接庫程序“usp10.dll”，導(dǎo)致當初重裝系統(tǒng)也無法解決“貓癬”木馬。為了防止“貓癬”木馬通過 全盤劫持“usp10.dll”死灰復(fù)燃，可以在注冊表分支“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Control\Session Manager\KnownDLLs”下添加一個名稱為“usp10.dll”的鍵值項。

PS：采用內(nèi)核 Windows NT 5.1 系列的作系統(tǒng)默認情況下只有少數(shù)關(guān)鍵的“.dll”系統(tǒng)動態(tài)鏈接庫程序在此子項下，而自從 Windows Vista 作系統(tǒng)下采用 NT 6.1 內(nèi)核的 Windows 7.0 作系統(tǒng)下面此子項已經(jīng)相當齊全，所以在 Windows 7.0 作系統(tǒng)下發(fā)生“DLL劫持”的概率要比 Windows NT/2000/XP 作系統(tǒng)下要小很多。

如圖，這是 Windows 7.0 作系統(tǒng)的注冊表分支“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs”右側(cè)窗口截圖。

?

第二步：

按“Ctrl + Alt + Del”鍵調(diào)出“任務(wù)管理器”，在里面結(jié)束“fwpfsp.exe”（不存在就跳過此步驟）和“hrl*.tmp”一系列的木馬進程，“*”代表數(shù)字。

第三步：

使用《超級兔子》或者《Windows 優(yōu)化大師》清理系統(tǒng)臨時文件，主要目的是一鍵刪除“LPK劫持者”木馬在用戶臨時文件“C:\Documents and Settings\Administrator（受害者的用戶名）\Local Settings\Temp”目錄下創(chuàng)建的所有名稱為“hrl*.tmp”的一系列木馬程序，“*”代表數(shù)字。

刪除“C:\WINDOWS\system32”系統(tǒng)目錄下的木馬主體程序“fwpfsp.exe”。

刪除木馬服務(wù)項，開始菜單—–運行 輸入：“regedit.exe”（雙引號去掉），調(diào)出“注冊表編輯器”。依次展開至“HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Enum\Root”分支下面找到名稱為“LEGACY_NATIONALKDU”的子項，鼠標右鍵子項 “LEGACY_NATIONALKDU”菜單中選擇“刪除(D)”。這時，刪除子項“LEGACY_NATIONALKDU”會彈出“刪除項時出錯”的 對話框。

這是因為這個注冊表分支在“權(quán)限”上被限制了只能訪問而不能刪除的作。鼠標右鍵子項“LEGACY_NATIONALKDU”菜單中選擇“權(quán)限(P)…”。　

安全……把子項“LEGACY_NATIONALKDU”下面所有用戶權(quán)限的“完全控制”打上勾，確定，再刪除子項“LEGACY_NATIONALKDU”。

?

返 回注冊表五大預(yù)定義項，重新依次展開至“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services” 分支下面找到名稱為“Nationalkdu”的子項，鼠標右鍵子項“Nationalkdu”菜單中選擇“刪除(D)”。如圖，可以很清楚看到木馬服務(wù) 項“Nationalkdu”指向“C:\WINDOWS\system32”系統(tǒng)目錄下的木馬主體程序“fwpfsp.exe”。

1803859q116ed0_5835e2.jpg退出“注冊表編輯器”，務(wù)必重啟一下計算機。

第四步：

“LPK劫持者”木馬在每個應(yīng)用程序安裝目錄下都惡意添加創(chuàng)建的木馬動態(tài)鏈接庫程序“l(fā)pk.dll”，怎么辦？一個一個刪除豈不是太麻煩？干脆有人全盤格式化重裝系統(tǒng)了。

千萬不要全盤格式化重裝系統(tǒng)，使用一個DOS命令就能徹底地全盤刪除“LPK劫持者”木馬在全盤應(yīng)用程序安裝目錄下以及其子目錄下惡意添加創(chuàng)建的木馬動態(tài)鏈接庫程序“l(fā)pk.dll”。

開始菜單—-運行 輸入：“cmd.exe”（雙引號去掉），在“命令提示符”的黑色窗口里面輸入DOS命令：DEL /F /S /A /Q *:\lpk.dll

?

PS：“*”代表驅(qū)動器磁盤分區(qū)的盤符，上面的截圖是刪除“LPK劫持者”木馬在C盤所有文件夾目錄下惡意添加創(chuàng)建的“l(fā)pk.dll”，有幾個驅(qū)動器磁盤分區(qū) 就按照上述方法做幾次。例如刪除“LPK劫持者”木馬在D、E、F盤所有文件夾目錄下惡意添加創(chuàng)建的“l(fā)pk.dll”，可以分別輸入DOS命令“DEL /F /S /A /Q D:\lpk.dll”、“DEL /F /S /A /Q E:\lpk.dll”、“DEL /F /S /A /Q F:\lpk.dll”（雙引號去掉）。

“LPK劫持者”木馬并沒有惡意替換“C:\WINDOWS\system32”系統(tǒng)目錄下正常的系統(tǒng)動態(tài)鏈接庫程序“l(fā)pk.dll”，那么使用 DOS命令刪除會不會也把“C:\WINDOWS\system32”系統(tǒng)目錄下的正常的系統(tǒng)動態(tài)鏈接庫程序“l(fā)pk.dll”刪除掉呢？不用擔心，因為 系統(tǒng)動態(tài)鏈接庫程序“l(fā)pk.dll”是某些系統(tǒng)服務(wù)啟動后需要加載的重要文件之一，由于正在被這些系統(tǒng)服務(wù)調(diào)用運行中，所以刪除時會提示“拒絕訪問”。

?

第五步：

除了系統(tǒng)目錄下一些系統(tǒng)程序“.exe”未被“LPK劫持者”木馬破壞之外，其它被木馬破壞的“.exe”可執(zhí)行程序可以通過覆蓋重裝這些應(yīng)用軟件 即 可解決問題。目前還沒有一款殺毒軟件能把“LPK劫持者”木馬在“.exe”可執(zhí)行程序中注入的惡意代碼剝離出來，不知道《卡巴斯基》能不能恢復(fù)被破壞的 “.exe”可執(zhí)行程序，可以先試試。