lpk.dll病毒的现象和手工处理方法：病毒行为分析

　经过了上面的手动处理过程后，可以逆向思维简单分析一下病毒行为如下。
　　1）病毒运行后会把自己拷贝到系统system32目录下以随机数命名（就是上面的kkwgks.exe），并创建一个名为Nationalgnf的服务。
　　2）新的服务启动后，利用特殊手段让病毒映像替换svchost.exe，进程中看到的还是svchost.exe，似乎没有什么异样，但此时病毒已经将自己隐藏在svchost.exe里运行，病毒在这里完成的功能包括：
　　a.完成病毒所有的后门任务；
　　b.在系统system32目录下生成hraXX.dll（XX是生成的随机名）；
　　c.在系统临时文件目录下不断释放hrlXX.tmp文件（XX是生成的随机名），这里的hrlXX.tmp文件其实是system32下kkwgks.exe文件的备份，非常危险，作用是恢复system32下被删除的exe病毒文件；
　　d.在存在可执行文件的目录下生成假的lpk.dll，属性为隐藏，当同目录下的exe运行时会自动加载，激活病毒。