论坛 › 电脑数码 › Liprip木马清除方法（已验证可行）

丫e 发表于 2010-8-6 18:03:52

Liprip木马清除方法（已验证可行）

电脑中中木马liprip.dll后会在后台偷偷建一个iexploer进程，去网上下载其它木马和病毒等。它会在c:\windows\system32下复制两个文件：fsutk.dll和liprip.dll，更新的版本还会建一个lepkvv.dll，建立时间一般是2008-4-16的12：00，在带病毒的情况下（即使在安全模式下）直接删除fsutk.dll或liprip.dll，系统立即重启，重启后其仍然存在。

要删除它首先要停止它在内存中的运行，要停止它就要知道加载fsutk.dll或liprip.dll的进程；我用的工具是超级兔子(优化大师），在超级兔子的任务管理器中查看所有的模块，选中fsutk.dll或liprip.dll，就可知道调用它们的进程是什么进程了。
可以查到调用木马的进程为svchost.exe和explorer.exe，两个都是系统进程，正常情况下肯定就删不除木马了。这时要记住这个svchost.exe的PID号，explorer.exe的则不用记。看清这两个系统进程PID后就可以按照下面的步骤清除它们了：
1、在C盘根目录下任意建一个文本文件，将下面的代码复制到里面，保存后更改为cmd文件，如saliprip.cmd。
cd C:\WINDOWS\system32
del liprip.dll
del lepkvv.dll
del fsutk.dll
del iprep.exe
cd C:\WINDOWS\inf
del optkec.inf
del iplbk.inf
cd C:\WINDOWS\Help
del fkhfu.chi
cd c:\recycled
del qkf.dat
del ctv.dat
del lip.dat
del int.dat
cd C:\WINDOWS
del hfu.exe
del kentgo.log
cd C:\
regedit /s sliprip.reg
2、在C盘根目录下任意建一个文本文件，将下面的代码复制到里面，保存后一定要改名为sliprip.reg。
Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Iprip]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControSet\Services\Iprip]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BF50AC63-19DA-487E-AD4A-0B452D823B59}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BF50AC63-19DA-487E-AD4A-0B452D823B59}]
[-HKEY_CLASSES_ROOT\CLSID\{BF50AC63-19DA-487E-AD4A-0B452D823B59}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{BF50AC63-19DA-487E-AD4A-0B452D823B59}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BF50AC63-19DA-487E-AD4A-0B452D823B59}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BF50AC63-19DA-487-AD4A-0B452D823B59}]
[-HKEY_USERS\S-1-5-21-1275210071-746137067-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{BF50AC63-19DA-487E-AD4A-0B452D823B59}]
[-HKEY_USERS\S-1-5-21-1275210071-746137067-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BF50AC63-19DA-487E-AD4A-0B452D823B59}]

3、接下来在windows的任务管理器中分别选中前面记住PID的svchost.exe和explorer.exe，用右键功能菜单迅速结束这两个进程（桌面会不见的，只剩一个任务管理器），然后在任务管理器中按照 文件→新建任务→浏览→选中C盘根目录下的saliprip.cmd，确定运行后就杀完毒了；然后在任务管理器中按照 文件→新建任务→输入explorer.exe→确定后桌面就出来了。不过任务栏的颜色可能不正常，或某些软件运行起来不正常，这只要重启一下电脑就可以了。

whangang 发表于 2010-8-6 18:59:59

欢迎发表一些原创内容~！
多多益善{:9_297:}

兽兽 发表于 2010-8-7 09:16:34

顶~

丫e 发表于 2010-8-7 09:33:21

上面应该是iexplorer.exe

月上月 发表于 2010-10-9 11:11:19

多谢几位朋友跟帖支持，我出去买包烟 :)

丫e 发表于 2010-11-3 00:55:31

多谢几位朋友跟帖支持，我出去买包烟
月上月 发表于 2010-10-9 11:11 http://bbs.nhzj.com/images/common/back.gif


    同班有待

查看完整版本: Liprip木马清除方法（已验证可行）