我的电脑关机速度慢,至少要两分钟才能关掉,每次开机有两个相同的病毒,病毒名称:Backdoor.PcClient.kc路径:svchost.exe>>c:\\windows\\system32\\bnfofyrb.dll病毒名称:Backdoor.PcClient.kc路径 :iexplore.exe>>C:WINDOWS\\System32\\bnfofyrb.dll是怎么回事?病毒怎样才能彻底清除?请赐教!!!!!!!!!用瑞星杀,说是已经清楚,但是开机后还是有!!!还有,机器老是重起,不知道怎么办了!!!!!!!!
我建议:用以下五种免费正版的软件的组合,你可把所有的病毒、黑客、恶意程序全部气死。要治理木马和病毒用杀毒软件AVAST。要治理流氓软件用安全卫士360(恶意软件始祖 原3721 开发的)。要防止弹出的广告用GOOGLE工具条。要制服恶意远程攻击用费尔防火墙。最后还是系统坏了,就用一键GHOST 10分钟恢复系统。一、正版、免费自动升级、杀毒能力强。注册可以用1年,1年后可以再注册继续用,不注册用3个月。avast杀毒软件下载:www.avast.com/eng/download-avast-home.html选择简体中文版 :(avast! 4 Home - Chinese (Simplified) version )) 建议用迅雷下载,很快,或在迅雷中选择新建,再把网址:files.avast.com/iavs4pro/setupchs.exe粘贴上也可以下载。注册在:66.98.172.73/i_kat_207.php?PHPSESSID=3d64578dccd9def87821a653a4b76087&lang=CHS#register-form安装后有一个是否在启动winsows之前进行扫描,选择是,碰到所有的病毒选择杀掉,你的电脑就干净了。二、然后再加一个防火墙,木马和病毒进不来,进来也出不去。费尔防火墙下载:http://download.pchome.net/php/tdownload2.php?sid=11757&url=/utility/antivirus/others/xfilter_cn_30.zip&svr=5&typ=0三、GOOGLE工具条,防止自动弹出的网页:toolbar.google.com/T4/intl/zh-CN/index.html四、一键GHOST,当系统崩溃时10 分钟自动还原系统:事前预防最重要。在刚刚安装好系统时和应用软件时,我用一键GHOST备份系统。系统崩溃了10分钟就修复。“一键GHOST”是在无毒状态(最好是刚安装系统和应用软件,无病毒)下对C盘(系统盘)进行备份。下载在:www.onlinedown.net/soft/33492.htm。五、安全卫士 http://dl.360safe.com/setup.exe杀毒软件不杀恶意软件,只有用安全卫士360。
提问者对答案的评价:
这可能是灰鸽子的变种,您可以到瑞星、金山、江民等网站下载灰鸽子专杀工具,先杀毒试试。 如果无法解决,按照下面手工清除:1、重启,开机,按F8进入安全模式2、打开我的电脑->工具->文件夹选项->查看,取消“隐藏受保护的操作系统文件”,并且选择“显示所有文件和文件夹”;3、在windows文件夹下查找bnfofyrb.dll文件(这是这个变种的特点,好像一般的灰鸽子都是一个*hook.dll的文件)4、打开注册表(运行regedit.exe),打开KEY_LOCAL_MACHINE\\SYSTEM\\CURRENTCONTROLSET\\SERVICES找到bnfofyrb组,把这个组全部删除5、回到windows\\system32下,把所有文件名为bnfofyrb的文件全部删除,一般有三个,一个是dll文件,一个txt(记录了自感染木马起的所有键盘操作)。此刻,杀毒成功!别忘了把文件夹选项恢复。 -,\'\'\'╭⌒╮⌒╮. ╱◥██◣\'\'.\'\'. 爱问才知道,不问不知道! ︱田︱田田| \'\',,.爱问就会红,敢答才会赢! ╬╬╬╬╬╬╬╬╬╬╬╬╬╬╬╬╬╬
最近电脑总是很慢,电脑启动后初期没什么异常,找开几个软件运行后问题就出现了,浏览器每打开一个链接,就要修改注册表首页(这已经是非正常现象了,非常烦人!),偶尔还会出现兰屏,提示硬件异常,须重新启动,其他的倒是没有发现什么症状。打开瑞星开始一查,信息报告两个文件感染了Backdoor.PcClient.kc病毒。因平时对病毒关注并不多,于是查了一下资料,Backdoor.PcClient.kc是一个木马程序。其正式名称就是最近大红大紫的灰鸽子!这只是其中一个比较少见的变种,因为在瑞星的最新病毒库里面看到Backdoor.PcClient.kc这个名字并不多,kb,kd,kh什么都有N多条!就是没有Kc。用瑞星实施杀毒后,重启病毒依然存在,百思不得其解,于是找来一些木马专杀的软件轮番查杀,折腾了二小时,病状依旧,这时我才感到这种木马的特殊性。于是想亲自动手看看Backdoor.PcClient.kc的本领,怎么入手呢,只能先从能查到它的瑞星开始了,用瑞星正版杀内存,得到两个文件,都是感染了一个vxgngjvn.dll的文件。但是去找这个文件又找不到,这就是灰鸽子的特点。 查找了瑞星网站关于灰鸽子的介绍,灰鸽子木马分两部分:客户端和服务端。种植者操纵着客户端,利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe,然后黑客通过各种渠道传播这个木马(俗称种木马或者开后门)。种木马的手段有很多,比如,黑客可以将它与一张图片绑定,然后假冒成一个羞涩的MM通过QQ把木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载…… G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意,G_Server.exe这个名称并不固定,它是可以定制的,比如在我的这次感染中服务端文件名为vxgngjvn.exe时,生成的文件就是vxgngjvn.exe、vxgngjvn.dll和vxgngjvn.dll。 Windows目录下的G_Server.exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll有时候附在Explorer.exe的进程空间中,有时候则是附在所有进程中。 为此,经过分析,我开始对入侵我爱机的小鸽子正式宣战了。首先,为了不让这只鸽子以服务端形式提前进入启动,开机时我利用了安全模式,这样windows不会启动非必要的服务程序,也就是说鸽子不会被启动“放飞”。之后在系统盘windows目录里找找看,是否有以vxgngjvn为主文件名的文件(哦,对了,由于灰鸽子的文件本身具有隐藏属性,先要把我的电脑的浏览属性更改一下,不然受保护的文件是看不到的,具本就是打开我的电脑--工具--文件夹选项--查看,取消隐藏受保护的操作系统文件,并且显示所有文件和文件夹),果然,一下找到五个。其中一个是文本文件,兴致所至打开看了看,果真是这些天来我机器上所有的键盘操作记录哦。根据windows自身的工作原理,服务项一定会在注册表里的服务中留下工作组,于是去查看了一下注册表(打开注册表,运行regedit.exe,打开KEY_LOCAL_MACHINE\\SYSTEM\\CURRENTCONTROLSET\\SERVICES)找到vxgngjvn组(嘿嘿,果然在这,看你还往哪跑!),毫不留情的彻底把此组删掉。之后再次回到我的电脑查找以vxgngjvn为文件名的文件,哈哈,也别躲了,一并把它们粉碎! OK,搞定,文件夹属性恢复后,重新启动电脑,再一次用瑞星和木马专杀软件查找vxgngjvn,嘿嘿,一点也没了哦!看你这只死鸽子还能做鬼不,呵呵。 高兴之余想了想,由于灰鸽子拦截了API调用,在正常模式下木马程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。在网上查了查,有不少的网友在各论坛中都因中了Backdoor.PcClient.kc病毒而求援,而又因目前各种杀毒软件无法做到根除Backdoor.PcClient.kc病毒,所以,手动查找和清除Backdoor.PcClient.kc病毒可能是一种有效的方法。Backdoor.PcClient.kc病毒还在不停的变种,还有些人为了避开杀毒软件的查杀故意给灰鸽子加上各种不同的壳,加入一些新的隐藏方法、防删除手段,手工检测和清除它的难度也会越来越大。同时,随着灰鸽子新版本的不断推出,当你确定机器中了灰鸽子木马而用本文所述的方法又检测不到时,最好找有经验的朋友帮忙解决。 好了,到次一晚上的心血没白费,希望这次我亲身的经历能给朋友们带来一点启示和帮助哦。呵呵。 http://tech.qq.com/a/20060331/000332.htm
这是灰鸽子的最新变种吧。。步骤如下:如果楼主感染的是bnfofyrb.dll文件(用瑞星扫描内存可以看到是感染了什么文件。),操作如下: 1:进入安全模式 2:打开我的电脑--工具--文件夹选项--查看,取消 隐藏受保护的操作系统文件 并且 显示所有文件和文件夹 3:在windows文件夹下查找bnfofyrb.dll文件(这是这个变种的特点,好像一般的灰鸽子都是一个*hook.dll的文件) 4:打开注册表(运行regedit.exe),打开KEY_LOCAL_MACHINE\\SYSTEM\\CURRENTCONTROLSET\\SERVICES 找到bnfofyrb组,把这个组全部删除 5:回到c:\\windows\\system32下(因为我搜到的bnfofyrb.dll文件在这个目录下,依此类推),把所有文件名为bnfofyrb的文件全部删除,一般有三个 此刻,杀毒成功!别忘了把文件夹选项恢复。
实在汗,楼上几位不会看病毒名字吧?写的PcClient说是灰鸽子?用unlocker删除c:\\windows\\system32\\bnfofyrb.dll C:WINDOWS\\System32\\bnfofyrb.dll,然后用autoruns删除启动项即可。
为了一劳永逸,还是装个超级兔子吧,有很多功能:查杀木马、系统优化、ie修复、系统检测、系统备份,非常好用。 |
