宁海在线

 找回密码
 立即注册

QQ登录

只需一步,快速开始

快捷登录

客服电话:0574-65520000
搜索
查看: 3947|回复: 5

[电脑] Liprip木马清除方法(已验证可行)

[复制链接]

77

主题

7195

帖子

-51

积分

Lv.0 乞丐

积分
-51
在线时间
1259 小时
QQ
发表于 2010-8-6 18:03:52 | 显示全部楼层 |阅读模式 | 来自浙江
电脑中中木马liprip.dll后会在后台偷偷建一个iexploer进程,去网上下载其它木马和病毒等。它会在c:\windows\system32下复制两个文件:fsutk.dll和liprip.dll,更新的版本还会建一个lepkvv.dll,建立时间一般是2008-4-16的12:00,在带病毒的情况下(即使在安全模式下)直接删除fsutk.dll或liprip.dll,系统立即重启,重启后其仍然存在。

要删除它首先要停止它在内存中的运行,要停止它就要知道加载fsutk.dll或liprip.dll的进程;我用的工具是超级兔子(优化大师),在超级兔子的任务管理器中查看所有的模块,选中fsutk.dll或liprip.dll,就可知道调用它们的进程是什么进程了。
可以查到调用木马的进程为svchost.exe和explorer.exe,两个都是系统进程,正常情况下肯定就删不除木马了。这时要记住这个svchost.exe的PID号,explorer.exe的则不用记。看清这两个系统进程PID后就可以按照下面的步骤清除它们了:
1、在C盘根目录下任意建一个文本文件,将下面的代码复制到里面,保存后更改为cmd文件,如saliprip.cmd。
cd C:\WINDOWS\system32
del liprip.dll
del lepkvv.dll
del fsutk.dll
del iprep.exe
cd C:\WINDOWS\inf
del optkec.inf
del iplbk.inf
cd C:\WINDOWS\Help
del fkhfu.chi
cd c:\recycled
del qkf.dat
del ctv.dat
del lip.dat
del int.dat
cd C:\WINDOWS
del hfu.exe
del kentgo.log
cd C:\
regedit /s sliprip.reg
2、在C盘根目录下任意建一个文本文件,将下面的代码复制到里面,保存后一定要改名为sliprip.reg。
Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Iprip]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControSet\Services\Iprip]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BF50AC63-19DA-487E-AD4A-0B452D823B59}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BF50AC63-19DA-487E-AD4A-0B452D823B59}]
[-HKEY_CLASSES_ROOT\CLSID\{BF50AC63-19DA-487E-AD4A-0B452D823B59}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{BF50AC63-19DA-487E-AD4A-0B452D823B59}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BF50AC63-19DA-487E-AD4A-0B452D823B59}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BF50AC63-19DA-487-AD4A-0B452D823B59}]
[-HKEY_USERS\S-1-5-21-1275210071-746137067-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{BF50AC63-19DA-487E-AD4A-0B452D823B59}]
[-HKEY_USERS\S-1-5-21-1275210071-746137067-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BF50AC63-19DA-487E-AD4A-0B452D823B59}]

3、接下来在windows的任务管理器中分别选中前面记住PID的svchost.exe和explorer.exe,用右键功能菜单迅速结束这两个进程(桌面会不见的,只剩一个任务管理器),然后在任务管理器中按照 文件→新建任务→浏览→选中C盘根目录下的saliprip.cmd,确定运行后就杀完毒了;然后在任务管理器中按照 文件→新建任务→输入explorer.exe→确定后桌面就出来了。不过任务栏的颜色可能不正常,或某些软件运行起来不正常,这只要重启一下电脑就可以了。

评分

参与人数 1积分 +10 收起 理由
whangang + 10 支持一下

查看全部评分

下载宁海在线客户端

62

主题

1万

帖子

7万

积分

历届版主

耍猴拳的熊猫

Rank: 26Rank: 26Rank: 26Rank: 26Rank: 26Rank: 26Rank: 26

积分
72927
在线时间
1844 小时
发表于 2010-8-6 18:59:59 | 显示全部楼层 | 来自浙江
欢迎发表一些原创内容~!
多多益善
回复 支持 反对

使用道具 举报

496

主题

3万

帖子

-2699

积分

超级版主

群号:195448209

积分
-2699
在线时间
7467 小时
发表于 2010-8-7 09:16:34 | 显示全部楼层 | 来自浙江
顶~
回复 支持 反对

使用道具 举报

77

主题

7195

帖子

-51

积分

Lv.0 乞丐

积分
-51
在线时间
1259 小时
QQ
 楼主| 发表于 2010-8-7 09:33:21 | 显示全部楼层 | 来自浙江
上面应该是iexplorer.exe
回复 支持 反对

使用道具 举报

21

主题

138

帖子

768

积分

Lv.3 平民

Rank: 3Rank: 3

积分
768
在线时间
836 小时
发表于 2010-10-9 11:11:19 | 显示全部楼层 | 来自河南
多谢几位朋友跟帖支持,我出去买包烟
回复 支持 反对

使用道具 举报

77

主题

7195

帖子

-51

积分

Lv.0 乞丐

积分
-51
在线时间
1259 小时
QQ
 楼主| 发表于 2010-11-3 00:55:31 | 显示全部楼层 | 来自浙江
多谢几位朋友跟帖支持,我出去买包烟
月上月 发表于 2010-10-9 11:11



    同班有待
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|客户端|浙公网安备案 33022602000116|宁海在线 ( 浙B2-20200368

关于我们|电话:0574-65520000 ,GMT+8, 2024-11-23 21:18 , Processed in 0.083381 second(s), 22 queries , Apc On.

Powered by Discuz! X3.4

© 2000-2015 NHZJ Inc.

违法和不良信息举报电话:13819844444  邮箱:admin@nhzj.com
 未成年人保护服务电话:13819844444  邮箱:admin@nhzj.com
快速回复 返回顶部 返回列表