中毒!(again?)

電腦再次中毒,eeepc再度受害lol...把經過記錄下來作為memo

週末在用eeepc覺得有點遲緩,在想不知道哪裡有問題,先把系統整理一下作個備份再來處理
不過整理系統的時候發現,每次刪除目錄都會詢問某個系統檔案要刪除是否確定,開始不以為意,但是重複出現了幾次就覺得不是很對勁...
結果把整個HD一翻,所有的目錄都有這個檔案,一看就知道不太妙orz
lpk-dll.JPG
所有的檔案日期都是12,13號...仔細回想,忽然想到12號有把測SSD速度的工具裝在記憶卡上面拿去某人的電腦作測試,一看時間也差不多吻合
看來答案差不多出來了:記憶卡拿去那台電腦跑→記憶卡中獎!→之後沒有察覺又拿去eeepc用→全系統中獎!
沒想到居然讓一個木馬在我電腦裡活了一週,真是毫無警覺心...要反省orz

查了一下google,這lpk.dll似乎是keylogger的木馬,中獎之後會把所有含有exe執行檔的目錄放一個lpk.dll,等到該執行檔啟動時作dll injection,所以搜尋到的lpk.dll如果那個目錄有程式在執行就會出現拒絕刪除,用unlocker可以看到那個dll被同一個目錄裡的執行程序咬住
就算沒有被咬住的dll,只要刪除之後又會自動重新生成,因為那個木馬已經把自己run成service常駐在系統裡,檔案是system32底下的ggmogq.exe和hra33.dll,進去registry把相關的service停掉之後,所有的lpk.dll就順利清除...
幸好這個木馬沒有修改執行檔本身,所以沒留下啥後遺症(應該吧

實際上這個木馬並不是什麼新的病毒,用目前大部分的防毒也抓的到
lpk-dll-2.JPG lpk-dll-3.JPG
為什麼還會中獎,只能說:因為是eeepc...orz
不想即時掃毒拖慢速度+耗損SSD,所以這台eeepc經過多次中毒依然沒有把防毒打開lol
不過倒是有把日常使用的帳號權限降低了,只是中毒的檔案,用來測試SSD速度的工具要在admin權限下跑....所以還是orz
trackbackTrackback: http://blog.snow-sugar.net/trackback.php?tbID=985&extra=9e4e90
taggedTags: EeePC orz
Comments: 3 |Trackback: 0 | Read: 5181 | Print | Download
add nookmarks Bookmarks
Share to:Google BookmarksYahoo! My WebWindows LiveDiggDel.icio.usfacebookfacebookredditslashdotfurltechnoratiMyShare樂多網路書籤UDN共享書籤HemiDemi貼到funPLivedoor ClipFC2 BookmarkHatena::Bookmark百度搜藏
referers Link from
  以下連結並未逐一檢查,點選前請自行留意右方評價!
109 Yahoo search: hra33.dll
104 Yahoo search: HRA33.DLL
48 Yahoo search: hra33
12 Yahoo search: hra33.dll
6 http://www.baidu.com/s?wd=ggmogq.exe&word=ggmo...
comment letten [ 2011/03/25 08:10 | Reply | Edit Delete View ]
中毒真的很討厭 也只好把一些service 關一關

eeepc 1000h 現役中的小筆電!!
comment Aniki [ 2011/06/14 17:10 | Reply | Edit Delete View ]
不好意思 請問lpk.dll這病毒要怎徹底清除? 看不太懂抱歉~
>>reply小光 [ Replied on 2011/06/15 22:07 Home | Edit Delete ]
         avatars 要先把病毒的系統服務關閉之後才能刪除
  • 1 
pannya
Write New Comment
Name:(*) Password:
Website: Email:
Validation:(*) Validation Image [Reload] Option:
Content:(*)