LPK病毒专杀工具C源代码

最新推荐文章于 2022-01-23 19:59:40 发布
最新推荐文章于 2022-01-23 19:59:40 发布
阅读量1.6k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/c_cold1988/article/details/72729693
版权
本文分享了一款使用C语言编写的LPK病毒专杀工具的源代码,详细介绍了其工作原理和关键代码段,帮助读者理解如何针对LPK病毒进行检测和清除。
摘要由CSDN通过智能技术生成
最近分析了一个lpk的病毒,链接  http://bbs.pediy.com/thread-217841.htm
但感觉还不过瘾,于是手痒写了这个C语言版本的专杀工具。
行为不多说了,杀毒思路1.结束服务:Ghijkl Nopqrstu Wxy,删除服务对应的exe文件。
2.删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ Ghijkl Nopqrstu Wxy下面的所有键值。
3.删除C:\windows\system32\hra33.dll
4.删除除开C:\WINDOWS\system32和C:WINDOWS\system\dllcache这二个目录下的lpk.dll文件,该目录下的文件是正常文件。
主要过程如下:


// ConsoleApplication1.cpp : 定义控制台应用程序的入口点。
//

#include "stdafx.h"
#include <windows.h>
#include <tchar.h>
#include <locale.h>
#include <Shlwapi.h>
#include <Shlobj.h>
#pragma comment(lib,"Shlwapi.lib")
//#pragma warning(disable: 4996)          

// 宽字符转换为多字符(Unicode --> ASCII)
#define  WCHAR_TO_CHAR(lpW_Char, lpChar) \
	WideCharToMultiByte(CP_ACP, NULL, lpW_Char, -1, lpChar, _countof(lpChar), NULL, FALSE);


// 多字符转换为宽字符(ASCII --> Unicode)
#define  CHAR_TO_WCHAR(lpChar, lpW_Char) \
	MultiByteToWideChar(CP_ACP, NULL, lpChar, -1, lpW_Char, _countof(lpW_Char));

//RAR命令
enum RAR_SHELL_TYPE
{
	FIND = 1,   //查找
	DELLPK, //解压缩
};



#define VIR_NAME L"lpk.dll"
#define NORMAL_FILE1 L"c:\\windows\\system32\\lpk.dll"
#define NORMAL_FILE2 L"c:\\windows\\system\\dllcache\\lpk.dll"


bool DelServer(TCHAR *szServerName); //删除服务,包含服务的EXE文件
bool ErrorPrompt();//错误信息
bool DelRegedit(HKEY szMainKey, TCHAR *szRegName);
bool DelFile(TCHAR *szPath);
bool TotalKillName();//全盘查杀 lpk.dll
DWORD WINAPI ThreadFun(LPVOID pM);  //每一个磁盘一个线程
void FindNowFile(TCHAR *szPath);    //扫描查杀
bool RarShellForLpk(TCHAR *CommandLine, DWORD dwShellType);// 判断压缩包中是否有lpk.exe
void CmdDelShell(TCHAR *szPath);



TCHAR szRarPath[MAX_PATH];  //RAR压缩软件路径
CRITICAL_SECTION g_critical
最低0.47元/天 解锁文章
c_cold1988
关注
lpk病毒专杀工具
04-20
lpk病毒专杀工具
LPKDLL专杀
03-05
lpk.dll专杀工具是一款用于该顽固文件专门查杀的工具lpk.dll专杀工具适用于查杀该种疑似病毒的文件,它可能会不停地自我复活,无法被正常操作彻底删除,这时候就要求助于这
lpk蠕虫病毒专杀工具
01-12
lpk专杀 lpk/ups10 专杀 lpk*.dll
lpk专杀工具
05-03
lpk专杀工具,最好用,最全,管用、最快的专杀工具lpk专杀工具,最好用,最全,管用、最快的专杀工具
瑞星lpk病毒专杀工具
02-12
lpk杀毒工具:随着网络技术的发展系统安全成了人们的需求职业,lpk病毒会导致软件不能正常启动等
LPK病毒
swordheart的博客
01-23 4502
LPK病毒 1、病毒简介 LPK病毒是指伪装成系统文件lpk.dll的木马病毒,受影响系统为微软Windows。LPK病毒通常会释放自身病毒lpk.dll到所有的进程文件夹中,由于Windows优先加载进程当前文件夹中的lpk.dll,导致了类似全盘感染的现象。 2、病毒危害 感染LPK病毒的主机通常性能会大大下降,可能有大量的病毒进程占用系统资源,主机上的安全软件、办公软件、游戏应用也有可能受影响而不可用。 LPK病毒的目的在于长期控制受害者主机,窃取用户重要信息(含个人银行账号、
lpk.dll专杀工具RavRbot和lpkKiller
05-11
lpkKiller是巨盾出品的...RavRbot是一款针对Backdoor.Win32.Rbot后门病毒的专用清除工具,而该病毒可以在有可执行文件的目录下生成LPK.DLL文件,当运行改文件的时间便会激活,导致不能彻底清除,而本工具便能很好的解决
LPK专杀C语言源码
04-20
/ ConsoleApplication1.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include <windows.h> #include <tchar.h> #include <locale.h> #include <Shlwapi.h> #include <Shlobj.h> #pragma comment(lib,"Shlwapi.lib") //#pragma warning(disable: 4996) // 宽字符转换为多字符(Unicode --> ASCII) #define WCHAR_TO_CHAR(lpW_Char, lpChar) \ WideCharToMultiByte(CP_ACP, NULL, lpW_Char, -1, lpChar, _countof(lpChar), NULL, FALSE); // 多字符转换为宽字符(ASCII --> Unicode) #define CHAR_TO_WCHAR(lpChar, lpW_Char) \ MultiByteToWideChar(CP_ACP, NULL, lpChar, -1, lpW_Char, _countof(lpW_Char)); //RAR命令 enum RAR_SHELL_TYPE { FIND = 1, //查找 DELLPK, //解压缩 }; #define VIR_NAME L"lpk.dll" #define NORMAL_FILE1 L"c:\\windows\\system32\\lpk.dll" #define NORMAL_FILE2 L"c:\\windows\\system\\dllcache\\lpk.dll" bool DelServer(TCHAR *szServerName); //删除服务,包含服务的EXE文件 bool ErrorPrompt();//错误信息 bool DelRegedit(HKEY szMainKey, TCHAR *szRegName); bool DelFile(TCHAR *szPath); bool TotalKillName();//全盘查杀 lpk.dll DWORD WINAPI ThreadFun(LPVOID pM); //每一个磁盘一个线程 void FindNowFile(TCHAR *szPath); //扫描查杀 bool RarShellForLpk(TCHAR *CommandLine, DWORD dwShellType);// 判断压缩包中是否有lpk.exe void CmdDelShell(TCHAR *szPath); TCHAR szRarPath[MAX_PATH]; //RAR压缩软件路径 CRITICAL_SECTION g_criticalSection; // 临界区 int _tmain(int argc, _TCHAR* argv[]) { _wsetlocale(LC_ALL, L"chs"); TCHAR szServerName[] = L"Ghijkl Nopqrstu Wxy"; if (!DelServer(szServerName)) //删除服务 { // goto OVER; } TCHAR szRegName[] = L"SYSTEM\\CurrentControlSet\\services"; HKEY hKey = HKEY_LOCAL_MACHINE; if (!DelRegedit(hKey, szRegName)) //删除注册表 { // goto OVER; } TCHAR szPath[] = L"C:\\windows\\system32\\hra33.dll"; DelFile(szPath); //删除hra33.dll文件 puts("开始全盘查杀"); TotalKillName(); //全盘查杀,每一个硬盘开启一个线程,可以查杀压缩包中的lpk.dll文件 OVER: system("pause"); return 0; } bool DelServer(TCHAR *szServerName) { // TODO: 在此添加命令处理程序代码 SC_HANDLE hSCM = OpenSCManager(NULL, NULL, SC_MANAGER_ALL_ACCESS); if (hSCM == NULL) { return ErrorPrompt(); } //TCHAR szServerName[] = L"iPod Service";//Ghijkl Nopqrstu Wxy SC_HANDLE hService = OpenService(hSCM, szServerName, SERVICE_ALL_ACCESS); if (hService == NULL) { CloseServiceHandle(hSCM); return ErrorPrompt(); } //获取服务配置信息,地址 QUERY_SERVICE_CONFIG SerInfo; DWORD dwSize = 8 * 1024; DWORD pcbBytesNeeded = 0; BOOL bQuersy = QueryServiceConfig(hService, &SerInfo;, dwSize, &pcbBytesNeeded;); SERVICE_STATUS status; ControlService(hService, SERVICE_CONTROL_STOP, &status;); BOOL bDelete = DeleteService(hService); CloseServiceHandle(hService); CloseServiceHandle(hSCM); if (bDelete && bQuersy) { CmdDelShell(SerInfo.lpBinaryPathName); puts("删除服务成功!"); return true; } else { return ErrorPrompt(); } } bool ErrorPrompt() { DWORD dwError = GetLastError(); LPTSTR lpMsgBuf = nullptr; //错误码翻译函数 FormatMessage(0x1300, NULL, dwError, 0x400, (LPTSTR)&lpMsgBuf;, 64, NULL); TCHAR szBuf[128] = { 0 }; wsprintf(szBuf, _T("出错! %s"), lpMsgBuf); LocalFree(lpMsgBuf); wprintf(L"%s\n", szBuf); return false; } bool DelRegedit(HKEY szMainKey, TCHAR *szRegName) { HKEY hResult = 0;//\\Ghijkl Nopqrstu Wxy LONG lReturn = RegOpenKeyEx(szMainKey, szRegName, NULL, KEY_ALL_ACCESS, &hResult;); if (lReturn != ERROR_SUCCESS) { return ErrorPrompt(); } lReturn = RegDeleteKey(hResult, L"Ghijkl Nopqrstu Wxy"); if (lReturn != ERROR_SUCCESS) { return ErrorPrompt(); } return true; } //删除文件 bool DelFile(TCHAR *szPath) { BOOL nRet = DeleteFile(szPath); if (nRet) return true; else return ErrorPrompt(); } bool TotalKillName() { TCHAR szDiskName[MAX_PATH] = { 0 }; GetLogicalDriveStrings(MAX_PATH, szDiskName); //获取RAR.exe执行路径 TCHAR szTmpRARPath[MAX_PATH] = { 0 }; DWORD dwSize = MAX_PATH; LONG nRet = SHRegGetValue(HKEY_CLASSES_ROOT, L"WinRAR\\shell\\open\\command", 0, 2, 0, &szTmpRARPath;, &dwSize;); PathRemoveFileSpec(szTmpRARPath); // 删除路径后面的文件名和’/’符号。该函数可以分析出一个文件的路径。 PathAppend(szTmpRARPath, L"rar.exe"); GetFileAttributes(szTmpRARPath);// 获取到压缩包rar.exe的路径 TCHAR seps[] = L"\""; TCHAR *token = NULL; TCHAR *next_token = NULL; token = _tcstok_s(szTmpRARPath, seps, &next;_token); GetShortPathName(token, szRarPath, MAX_PATH); // 初始化临界区 InitializeCriticalSection(&g_criticalSection); HANDLE phThreadArray[20]; DWORD dwDiskNum = 0; //磁盘数量 // HANDLE phThreadArray1[dwDiskNum]; for (int i = 0; i < szDiskName[i] != '\0'&&i < MAX_PATH; i++) { switch (GetDriveType(&szDiskName;[i])) { case DRIVE_REMOVABLE://移动硬盘 case DRIVE_FIXED: //硬盘 // case DRIVE_REMOTE://网络驱动器 // case DRIVE_CDROM: //CD-ROM驱动器 { /*TCHAR tmp[10] = { 0 }; _tcscpy_s(tmp, 10, &szDiskName;[i]);*/ phThreadArray[dwDiskNum] = CreateThread(NULL, 0, ThreadFun, (LPVOID)szDiskName[i], 0, NULL); dwDiskNum++; break; } default: break; } i += lstrlen(&szDiskName;[i]); } // 等待所有线程返回 WaitForMultipleObjects(dwDiskNum, phThreadArray, TRUE, -1); return true; } DWORD WINAPI ThreadFun(LPVOID lpThreadParameter) { // 进入临界区 EnterCriticalSection(&g_criticalSection); //printf("[%d] %c\n", GetThreadId(GetCurrentThread()), szDisk); TCHAR szPath[10] = { 0 }; szPath[0] = (TCHAR)lpThreadParameter; _tcscat_s(szPath, 10, L":"); wprintf(L"开始查杀 %s 盘\n", szPath); FindNowFile(szPath); // 离开临界区 LeaveCriticalSection(&g_criticalSection); return 0; } void FindNowFile(TCHAR *szPath) { WIN32_FIND_DATA stcFindData = { 0 }; TCHAR szSeach[MAX_PATH] = { 0 }; wsprintf(szSeach, L"%s\\*", szPath); HANDLE hFind = FindFirstFile(szSeach, &stcFindData;); if (hFind == INVALID_HANDLE_VALUE) { return; } do { // 判断当前找到的文件是否是当前或上层目录 if (wcscmp(stcFindData.cFileName, L".") == 0 || wcscmp(stcFindData.cFileName, L"..") == 0) { //如果是其中之一,就结束本次循环 continue; } // 判断文件是否是目录,确定插入文件大小 if (stcFindData.dwFileAttributes&FILE;_ATTRIBUTE_DIRECTORY)//目录 { TCHAR path[MAX_PATH] = { 0 }; swprintf_s(path, L"%s\\%s", szPath, stcFindData.cFileName); //wprintf(L"目录\n"); FindNowFile(path); } else//文件 { // printf("%s", stcFindData.cFileName); //组合完整路径 TCHAR szFullPath[600] = { 0 }; TCHAR szShortPath[600] = { 0 }; _tcscpy_s(szFullPath, 600, szPath); _tcscat_s(szFullPath, 600, L"\\"); _tcscat_s(szFullPath, 600, stcFindData.cFileName); //转化为短路径 GetShortPathName(szFullPath, szShortPath, MAX_PATH); LPWSTR strSuffix = PathFindExtension(stcFindData.cFileName); // 获取文件的后缀名 if (_tcscmp(stcFindData.cFileName, VIR_NAME) == 0) { //正常文件判断,这二个目录下为正常文件 if (_tcscmp(szFullPath, NORMAL_FILE1) == 0 || _tcscmp(szFullPath, NORMAL_FILE2) == 0) { continue; } CmdDelShell(szShortPath); /*BOOL nRet = DeleteFile(szFullPath); if (nRet) { wprintf(L"成功删除:%s\n", szFullPath); } else { wprintf(L"删除失败:%s\n", szFullPath); }*/ } //判断rar zip else if (_tcscmp(strSuffix, L".rar") == 0 || _tcscmp(strSuffix, L".zip") == 0) { //先判断压缩包中有无"lpk.dll" TCHAR CommandLine[600] = { 0 }; TCHAR Buffer[MAX_PATH] = { 0 }; // PathGetShortPath(szRarPath); GetTempPath(0x104u, Buffer); DWORD a = GetCurrentThreadId(); GetTempFileName(Buffer, L"IRAR", a, Buffer); wsprintfW(CommandLine, L"cmd /c %s vb \"%s\" lpk.dll|find /i \"lpk.dll\"", szRarPath, szShortPath, Buffer); bool nRet = RarShellForLpk(CommandLine, FIND);// 判断压缩包中是否有lpk.exe if (nRet) { wsprintfW(CommandLine, L"cmd /c %s d %s lpk.dll", szRarPath, szShortPath); nRet = RarShellForLpk(CommandLine, DELLPK); if (nRet) wprintf(L"清理压缩包中病毒成功:%s\n", szFullPath); else wprintf(L"清理压缩包中病毒失败:%s\n", szFullPath); } } } } while (FindNextFile(hFind, &stcFindData;)); return; } bool RarShellForLpk(TCHAR *CommandLine, DWORD dwShellType) { SECURITY_ATTRIBUTES sa; HANDLE hRead, hWrite; sa.nLength = sizeof(SECURITY_ATTRIBUTES); sa.lpSecurityDescriptor = NULL; sa.bInheritHandle = TRUE; if (!CreatePipe(&hRead;, &hWrite;, &sa;, 0)) { return ErrorPrompt(); } STARTUPINFO si = { sizeof(si) }; PROCESS_INFORMATION pi; si.hStdError = hWrite; si.hStdOutput = hWrite; si.wShowWindow = SW_HIDE; si.dwFlags = STARTF_USESHOWWINDOW | STARTF_USESTDHANDLES; if (!CreateProcess(NULL, CommandLine, NULL, NULL, TRUE, NULL, NULL, NULL, &si;, π)) { return ErrorPrompt(); } CloseHandle(hWrite); char buffer[4096]; memset(buffer, 0, 4096); DWORD byteRead; while (true) { if (ReadFile(hRead, buffer, 4095, &byteRead;, NULL) == NULL) { break; } } switch (dwShellType) { case FIND: { if (strcmp(buffer, "lpk.dll\r\n") == 0) return true; else return false; }break; case DELLPK: { char seps[] = "正在删除 lpk.dll\r\n完成"; char *token = NULL; char *next_token = NULL; token = strtok_s(buffer, seps, &next;_token); if (token != NULL) return true; else return false; }break; default: break; } } void CmdDelShell(TCHAR *szPath) { TCHAR szTDelShell[300] = { 0 }; wsprintf(szTDelShell, _T("del /s /q /f /ah %s"), szPath);//地址 char szADelShell[300] = { 0 }; WCHAR_TO_CHAR(szTDelShell, szADelShell); system(szADelShell); }
LPK病毒专杀
09-29
近期在各大知道社区,安全论坛看到较多网友被lpk.dll/usp10.dll犇牛下载器困扰。 因此,我们已经分析了RAR,ZIP压缩包的压缩算法,可以快速清除用户机器中感染的文件、压缩包。
lpk病毒查杀
12-19
lpk病毒查杀,清除全盘电脑中lpk病毒,包括压缩包内的病毒
LPK.DLL病毒专杀及源码
04-29
LPK.DLL 病毒专杀 最近移动硬盘无故中了LPK.DLL病毒,找了半天没有一个好的专杀,自动动手! 不能杀压缩包中的病毒! 附源码:
文件夹病毒专杀工具源代码
01-25
我自己编写的文件夹病毒专杀工具,那个文件夹病毒没有什么大的危害,只是会把文件属性改为系统隐藏,不知道的人以为东西丢失了,我也曾被病毒整过所以才想写这么个东西,当然我不是专业人士,一切从头开始,这个算是我的处女作,关于API入门的源代码,windows7,visual studio 2010下测试通过,希望对大家有所帮助
lpk.dll,usp10.dll感染病毒专杀工具
11-21
lpk.dll,usp10.dll感染病毒专杀工具
lpk.dll专杀工具,usp10.dll专杀工具
02-27
专门杀lpk.dll,usp10.dll感染文件的工具,可以修复被lpk.dll,usp10.dll病毒/木马感染的rar、zip压缩包文件。工具小巧灵活,真正的lpk专杀工具、usp10专杀工具。快到巨盾论坛下载去吧。 原帖地址:http://bbs.ggsafe.com/viewthread.php?tid=120 近期在各大知道社区、安全论坛看到较多网友被lpk.dll/usp10.dll犇牛下载器困扰。 因此,我们已经分析了RAR,ZIP压缩包的压缩算法,可以快速清除用户机器中感染的文件、压缩包。 中毒现象: 1.机器众多文件夹中存在lpk.dll或usp10.dll文件。 2.同时在RAR/ZIP压缩包中也存在lpk.dll/usp10.dll。 3.安全软件无法清除干净,重装系统后仍然存在等现象。 lpk usp10病毒恢复工具.rar (168.32 KB) 下载次数: 154 3 天前 15:48 使用方法: 1、运行专杀,会自动查找系统中usp10/lpk.dll病毒线程,发现后请用户手动选择挂起。 2、用户可以选择全盘扫描/指定盘符扫描。 3、对于查找到的dll病毒,会在备份在专杀目录下以木马MD5命名的文件夹中,在文件名前添加gg_(无任何危害),可以由用户可手动清除! 欢迎大家测试使用,如有任何BUG、建议和批评欢迎指出! 感谢您对巨盾的支持、我们会做的更好! 注:该专杀只用于清除系统中的usp10.dlllpk.dll,如机器中已经被种上其它木马,请使用巨盾查杀 更新记录: 2010年2月10日 修复崩溃bug一个,感谢by304的及时反馈 2010年01月25日 修复扫描崩溃的bug 2009年11月5日 修改某些RAR压缩包中dll无法准确识别的BUG 2009年8月13日 修改查杀提示dll数量为0的BUG,查杀完毕之后,将自动打开查杀日志。 请在使用之前仔细查看压缩包中readme.
lpk.dll killer专杀工具(不删除压缩文件仅删DLL).zip
04-02
lpkkiller专杀工具(不删除压缩文件仅删DLL),这个工具比其他软件强,360杀毒的时候,会把压缩包一起删除了,太可恨了,这个专杀工具,只剥离病毒,不删除我们有用的压缩文件
一个简单AutoRun病毒专杀源代码
weixin_33701564的博客
11-08 216
#include <iostream.h>#include <windows.h>BOOL DELU(){UINTrevtype;HANDLEhFile;DWORDdwread;int...
lpk.dll usp10.dll 感染病毒专杀工具 lpk usp10
weixin_30699831的博客
01-23 309
近期在各大知道社区,安全论坛看到较多网友被lpk.dll/usp10.dll犇牛下载器困扰。因此,我们已经分析了RAR,ZIP压缩包的压缩算法,可以快速清除用户机器中感染的文件、压缩包。中毒现象:1.机器众多文件夹中存在lpk.dll或usp10.dll文件。2.同时在RAR/ZIP压缩包中也存在lpk.dll/usp10.dll。3.安全软件无法清除干净,重装系统后仍然存在等现象。us...
有关lpk.dll病毒的清除方法
热门推荐
每天进步一点点就好
12-10 4万+
lpk.dll病毒是常见的病毒,感染之后很难清除,它会在整个系统中到处放置他的副本,同时有多种方式相互照应,必须全部清除才能清理干净。 以下为我试过的大致的清理步骤: 1. 打开我的电脑,在工具,文件夹选项,查看里面选择显示系统文件,这样便于看到隐藏的lpk.dll文件。 2. 下载一个专杀工具,我下载的是金山的专杀,ravrbot.exe 3. 直接运行杀毒,会提示有杀毒失败的
专杀工具源码 V1.5
张昆
03-26 544
-- coding:utf-8 --import glob import os import ctypes from _winreg import *currentpath1 = os.getcwd() currentpath2 = ‘现在程序所在的路径为 :’+ currentpath1 print currentpath2.decode(“utf-8”)f = glob.glob(‘C
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值