下载瑞星的 RavRbot(LPK.DLL)专杀工具。
注意:瑞星 LPK 专杀工具不能删除压缩包里的 lpk.dll 文件,可以使用 360 杀毒软件来查杀,并且不会误删文件,不过速度比较慢。
瑞星工具查杀方法
- 关闭所有正在运行的程序
- 打开瑞星 lpk.dll 专杀工具(先不查杀)
- 打开任务管理器,结束 「explorer.exe」 进程;查看并记录 2 同字母开头的可疑进程,结束此进程
- 使用瑞星 lpk.dll 专杀工具,多杀几遍
- 如果发现专杀工具有不能清除的 lpk.dll 文件,查看是哪个程序引起的,关闭或卸载相关的程序,然后重新查杀
- 删除 C:\WINDOWS\system32 下的 ccuwco.exe 或 kkwgks.exe 或 yykeym.exe 文件(具体的文件名为刚才在任务管理器中看到的名字)
- 删除 C:\Documents and Settings\Administrator\Local Settings\Temp 目录下所有的 hrXXX.tmp 文件(XXX 为随机数字,如 hr137.tmp)
- 重启系统后,再杀几遍
- 压缩包里也 lpk.dll 文件,上面的杀毒软件不能清除,可手动删除压缩包(或使用 360 杀毒将所有感染 lpk 的压缩包删除)
手工清除方法
- 关闭所有正在运行的程序
- 打开任务管理器,结束 「explorer.exe」 进程;查看并记录 2 同字母开头的可疑进程,结束此进程
- 搜索所有 lpk.dll 文件(勾选隐藏属性),全部删除(但不包括 C:\WINDOWS\system32 和 C:\WINDOWS\system32\dllcache 目录下的此文件)
- 删除 C:\Documents and Settings\Administrator\Local Settings\Temp 目录下大小为 36KB 的 hrXXX.tmp 文件(XXX 为随机数字,如 hr137.tmp)
- 删除 C:\WINDOWS\system32 的 ccuwco.exe 或 kkwgks.exe 或 yykeym.exe 文件(具体的文件名为刚才在任务管理器中看到的名字)
- 删除硬盘中所有的压缩包文件
注意:使用专杀工具查杀或者手工清除的时候不要使用 U 盘等外部设备,瑞星的专杀工具不会去扫瞄 U 盘,使用 U 盘的话可能会导致再次感染。
病毒介绍
lpk.dll 病毒的典型特征是感染存在可执行文件的目录及压缩包,并隐藏自身,删除后又再生成,当同目录中的 exe 文件运行时,lpk.dll 就会被 Windows 动态链接,从而激活病毒,进而导致不能彻底清除。重装系统并不能清除非系统盘目录下的 lpk.dll 文件,因此当运行其他盘符目录下的可执行文件时又会激活病毒,再次全盘感染。
但位于 C:\WINDOWS\system32 和 C:\WINDOWS\system32\dllcache 目录下的 lpk.dll 文件不是病毒,是微软操作系统的语言包。放心,上面的专杀工具不会误删除。