紧急求救!!!!backdoor.PcClient.kc !!!急急急!!!
我的电脑关机速度慢,至少要两分钟才能关掉,每次开机有两个相同的病毒, 病毒名称:Backdoor.PcClient.kc路径:svchost.exe>>c:\windows\system32\bnfofyrb.dll 病毒名称:Backdoor.PcClient.kc路径 :iexplore.exe>>C:WINDOWS\System32\bnfofyrb.dll 是怎么回事?病毒怎样才能彻底清除?请赐教!!!!!!!!! 用瑞星杀,说是已经清楚,但是开机后还是有!!! 还有,机器老是重起,不知道怎么办了!!!!!!!!
为了一劳永逸,还是装个超级兔子吧,有很多功能:查杀木马、系统优化、ie修复、系统检测、系统备份,非常好用。
实在汗,楼上几位不会看病毒名字吧?写的PcClient说是灰鸽子?用unlocker删除c:\windows\system32\bnfofyrb. \System32\bnfofyrb.dll,然后用autoruns删除启动项即可。
这是灰鸽子的最新变种吧。。步骤如下:如果楼主感染的是bnfofyrb。dll文件(用瑞星扫描内存可以看到是感染了什么文件。),操作如下: 1:进入安全模式 2:打开我的电脑--工具--文件夹选项--查看,取消 隐藏受保护的操作系统文件 并且 显示所有文件和文件夹 3:在windows文件夹下查找bnfofyrb。
dll文件(这是这个变种的特点,好像一般的灰鸽子都是一个*hook。dll的文件) 4:打开注册表(运行regedit。exe),打开KEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES 找到bnfofyrb组,把这个组全部删除 5:回到c:\windows\system32下(因为我搜到的bnfofyrb。
dll文件在这个目录下,依此类推),把所有文件名为bnfofyrb的文件全部删除,一般有三个 此刻,杀毒成功!别忘了把文件夹选项恢复。 。
最近电脑总是很慢,电脑启动后初期没什么异常,找开几个软件运行后问题就出现了,浏览器每打开一个链接,就要修改注册表首页(这已经是非正常现象了,非常烦人!),偶尔还会出现兰屏,提示硬件异常,须重新启动,其他的倒是没有发现什么症状。打开瑞星开始一查,信息报告两个文件感染了Backdoor。
PcClient。kc病毒。因平时对病毒关注并不多,于是查了一下资料,Backdoor。PcClient。kc是一个木马程序。其正式名称就是最近大红大紫的灰鸽子!这只是其中一个比较少见的变种,因为在瑞星的最新病毒库里面看到Backdoor。PcClient。
kc这个名字并不多,kb,kd,kh什么都有N多条!就是没有Kc。用瑞星实施杀毒后,重启病毒依然存在,百思不得其解,于是找来一些木马专杀的软件轮番查杀,折腾了二小时,病状依旧,这时我才感到这种木马的特殊性。于是想亲自动手看看Backdoor。
PcClient。kc的本领,怎么入手呢,只能先从能查到它的瑞星开始了,用瑞星正版杀内存,得到两个文件,都是感染了一个vxgngjvn。dll的文件。但是去找这个文件又找不到,这就是灰鸽子的特点。 查找了瑞星网站关于灰鸽子的介绍,灰鸽子木马分两部分:客户端和服务端。
种植者操纵着客户端,利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server。exe,然后黑客通过各种渠道传播这个木马(俗称种木马或者开后门)。种木马的手段有很多,比如,黑客可以将它与一张图片绑定,然后假冒成一个羞涩的MM通过QQ把木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用IE漏洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载…… G_Server。
exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Winnt目录),然后再从体内释放G_Server。dll和G_Server_Hook。dll到windows目录下。G_Server。
exe、G_Server。dll和G_Server_Hook。dll三个文件相互配合组成了灰鸽子服务端,有些灰鸽子会多释放出一个名为G_ServerKey。dll的文件用来记录键盘操作。注意,G_Server。exe这个名称并不固定,它是可以定制的,比如在我的这次感染中服务端文件名为vxgngjvn。
exe时,生成的文件就是vxgngjvn。exe、vxgngjvn。dll和vxgngjvn。dll。 Windows目录下的G_Server。exe文件将自己注册成服务(9X系统写注册表启动项),每次开机都能自动运行,运行后启动G_Server。
dll和G_Server_Hook。dll并自动退出。G_Server。dll文件实现后门功能,与控制端客户端进行通信;G_Server_Hook。dll则通过拦截API调用来隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。
随着灰鸽子服务端文件的设置不同,G_Server_Hook。dll有时候附在Explorer。exe的进程空间中,有时候则是附在所有进程中。 为此,经过分析,我开始对入侵我爱机的小鸽子正式宣战了。首先,为了不让这只鸽子以服务端形式提前进入启动,开机时我利用了安全模式,这样windows不会启动非必要的服务程序,也就是说鸽子不会被启动“放飞”。
之后在系统盘windows目录里找找看,是否有以vxgngjvn为主文件名的文件(哦,对了,由于灰鸽子的文件本身具有隐藏属性,先要把我的电脑的浏览属性更改一下,不然受保护的文件是看不到的,具本就是打开我的电脑--工具--文件夹选项--查看,取消隐藏受保护的操作系统文件,并且显示所有文件和文件夹),果然,一下找到五个。
其中一个是文本文件,兴致所至打开看了看,果真是这些天来我机器上所有的键盘操作记录哦。根据windows自身的工作原理,服务项一定会在注册表里的服务中留下工作组,于是去查看了一下注册表(打开注册表,运行regedit。exe,打开KEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES)找到vxgngjvn组(嘿嘿,果然在这,看你还往哪跑!),毫不留情的彻底把此组删掉。
之后再次回到我的电脑查找以vxgngjvn为文件名的文件,哈哈,也别躲了,一并把它们粉碎! OK,搞定,文件夹属性恢复后,重新启动电脑,再一次用瑞星和木马专杀软件查找vxgngjvn,嘿嘿,一点也没了哦!看你这只死鸽子还能做鬼不,呵呵。 高兴之余想了想,由于灰鸽子拦截了API调用,在正常模式下木马程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显示所有隐藏文件”也看不到它们。
此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。在网上查了查,有不少的网友在各论坛中都因中了Backdoor。PcClient。kc病毒而求援,而又因目前各种杀毒软件无法做到根除Backdoor。PcClient。
kc病毒,所以,手动查找和清除Backdoor。PcClient。kc病毒可能是一种有效的方法。Backdoor。PcClient。kc病毒还在不停的变种,还有些人为了避开杀毒软件的查杀故意给灰鸽子加上各种不同的壳,加入一些新的隐藏方法、防删除手段,手工检测和清除它的难度也会越来越大。
同时,随着灰鸽子新版本的不断推出,当你确定机器中了灰鸽子木马而用本文所述的方法又检测不到时,最好找有经验的朋友帮忙解决。 好了,到次一晚上的心血没白费,希望这次我亲身的经历能给朋友们带来一点启示和帮助哦。呵呵。 。
这可能是灰鸽子的变种,您可以到瑞星、金山、江民等网站下载灰鸽子专杀工具,先杀毒试试。 如果无法解决,按照下面手工清除: 1、重启,开机,按F8进入安全模式 2、打开我的电脑->工具->文件夹选项->查看,取消“隐藏受保护的操作系统文件”,并且选择“显示所有文件和文件夹”; 3、在windows文件夹下查找bnfofyrb。
dll文件(这是这个变种的特点,好像一般的灰鸽子都是一个*hook。dll的文件) 4、打开注册表(运行regedit。exe),打开KEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES找到bnfofyrb组,把这个组全部删除 5、回到windows\system32下,把所有文件名为bnfofyrb的文件全部删除,一般有三个,一个是dll文件,一个txt(记录了自感染木马起的所有键盘操作)。
此刻,杀毒成功!别忘了把文件夹选项恢复。 -,'''╭⌒╮⌒╮。 ╱????''。''。 爱问才知道,不问不知道! ︱田︱田田| '',,。
爱问就会红,敢答才会赢! ╬╬╬╬╬╬╬╬╬╬╬╬╬╬╬╬╬╬ 。
朋友,上网冲浪必备的东西你知道么? 其他的俺就不懂了,我只学到怎么点.希望新浪高手快点进来吧.
我的共享资料里面有金山毒霸 免费全功能升级更新使用 你可以试试
答:宽带猫不能传输电话信号,你只能重新拉一根线。详情>>
答:可能是盗版的使用KV2005详情>>
答:你只需要重起电脑,点击F8进入安全模式,选择Administrator用户进入,你在控制面板里的用户管理里,就可以任意更改你的管理员密码详情>>
