每次开机都出现这个木马程序 Backdoor.Win32.Hupigon.bxs

分类: 电脑/网络 >>反病毒

问题描述:

在安全模式下扫描没有出现

解析:

backdoor.win32. 顾名思义即“灰鸽子后门木马”，制作者把此木马的终端文件制作成一个大小仅为270-280k的自释放安装的压缩包，而恶意散布者则通常将其夹在某些文件、电影或程序的压缩包内以达到掩盖的目的，这样的“大压缩包”通常形式也是一个【自释放压缩包】，但它与一般的自释放压缩包不同在于——散步者在压缩包的〖注释〗里加入了这样几行命令参数：

下面的注释包含自解压脚本命令

Setup=XXX.exe

Silent=1

Overwrite=1

（XXX表示“灰鸽子”木马真实文件的伪装名称，通常会是诸如“某某软件名”、“ *** 密码”等等诱惑性名称，大家务必自省自制！！！）

注意：就是这样几行脚本命令，使得你在警惕性不高的情况下、随意自解压【大压缩包】的同时，真正的“灰鸽子”木马注入文件即“XXX.exe”将在电脑后台以完全静默方式完成“注入”！！！——之所以你察觉不到它注入的过程，就是“Silent=1”这条命令产生的效果。于是，“灰鸽子”木马便这样悄然地进驻你的电脑 里。

从这个注入过程的分析，大家可以看出，防止“Backdoor.GPigeon.uac”即“灰鸽子”木马进驻电脑的最主动措施是大家自己平日里使用电脑时多访问正当、有益的网站或网页，即便为了获取软件注册工具（当然我还是希望大家尊重知识产权，积极付费使用正当软件）也要到诸如“华军”、“太平洋”等大站去，不要轻易相信网络上由不明身份的小网页、黑网页提供的所谓“软件注册机”，更不要相信所谓的“成人资讯网站免费会员帐号/破解密码”之类的网络垃圾信息。

一旦Backdoor.GPigeon.uac被注入你的电脑，一般情况下最近的各种杀毒软件是能够截杀它，但是不能完全、彻底地清除木马的“毒根”，究其原是因为“灰鸽子”的的*.exe文件不能被各杀毒软件查到——“灰鸽子”不属于定时发作型木马，只在每次电脑启动到系统正常这一段很短的时间内发作，主文件被注册成一个服务，每次正常启动将释放*.dll和*_hook.dll病毒体，把他们注入像explorer.exe,iexplore.exe,csrss.exe,lsass.exe等系统进程，因此各种杀毒软件可以查出并及时截杀，但总不能找到“毒根”。有的朋友常会误认为安全模式下可以用杀毒软件杀掉它，但事实上是安全模式下不启动服务，因此所有的*.exe没有被激活，当然病毒体也不例外，那么它注入病毒体的过程也不发作，而多数杀毒软件引擎以病毒运行特征为监视手段，没了“注入”这一特征性动作，杀毒软件又从何发现病毒呢？所以安全模式下多数杀毒软件也不能捉到病毒。

但这并不意味着无法根本、彻底地清除“毒根”，在此以我个人的一次清除过程为例给大家推荐一种方式，彻底地清除“灰鸽子”：

1）启动电脑前先完全断开网络，并安装一套最新的“木马克星”（我安装的是V5.50版本）

2）正常启动电脑，正常后运行“木马克星”，程序将会在系统内找到Backdoor.GPigeon.uac木马的可疑文件，我这次发现的是在c:\windows文件夹下的“win32.exe”文件,木马克星会提醒你是否删除此文件，结果是不能被删除，为什么呢？我就在“文件夹选项”的“查看”面板中勾选“显示系统文件夹内容”、“显示所有文件及文件夹”两个选项，按“确定”按钮。电脑内的所有文件就能完全显示，我再访问c:\windows文件夹，果然在其中找到“win32.exe”文件——文件图标是一个很普通、很不起眼的图标，它被设置成“指读”、“系统”、“存档”文件而起掩饰作用。我尝试直接将其删除，结果仍是无法删除，提示是“系统正在使用，文件处于保护状态”。

3）重启电脑，并按F8进入安全模式，再进入该文件，这时大家将能看到“win32.exe”文件的真实面目——它正是那个大小为260-280k的文件的复本，仍是一个自释放型压缩包，也就是它，每次电脑启动时它均会将内含的病毒注入explorer.exe,iexplore.exe,csrss.exe,lsass.exe等系统进程。最后，当然是删除此文件！

4）再次重启，在安全模式下，点“运行”，输入“regedit”,进入注册表，在“查找”项内输入病毒文件名，这里是“win32.exe”，经过搜索，将所有相关的注册表键值删除。

5）重启电脑，在正常情况下，运行“木马克星”，扫描结果是：无可疑木马。结果证明了我们采取的手段没有错。

另外，对于使用瑞星杀毒软件的朋友，通常在中毒之后，在完全断开网络的情况下启动电脑，如果您打开了瑞星的“开机扫描”功能，那么瑞星是能够截杀被注入后的病毒的，但也同样需要经过上述手法彻底清除病毒。而且在彻底清除后，再次断网启动，您会发现病毒没有了，截杀病毒的通报也不会出现了！

这样杀杀：下载一个360木马专杀大全，一个360安全卫士到硬盘里，开机进入“安全模式”，运行360木马专杀大全的superkiller.exe，查杀结束，如果提示重新启动，启动再次进入“安全模式”，安装360安全卫士，执行清理恶评插件-查杀流行木马，提示重启则重启进入系统，升级杀毒软件，全盘杀毒。运行360，执行修复系统和软件漏洞。记住一定要先使用木马专杀大全杀一遍才安装360安全卫士，不然360安全卫士可能启动不了。开机多按几下F8就可看见进入安全模式的界面，把光标移动到安全模式上，按回车就可以了。

Backdoor:Win32/Farfli.BG!MTB 是一种恶意软件，是一种具有后门功能的木马病毒。这种病毒可能会以伪装成合法的程序或者通过其他的安全漏洞等方式进入受感染的计算机系统，然后会在后台开启一个远程控制端口，通过这个端口向远程主机发送命令，从而控制受感染的计算机系统，甚至获取受感染计算机系统的敏感信息。

Backdoor:Win32/Farfli.BG!MTB 通常通过网络钓鱼、恶意软件下载网站、电子邮件附件、P2P 网络等途径传播。一旦受感染，该病毒会在后台运行，以防止被发现，同时会记录键盘 *** 作、窃取个人账号、密码等敏感信息。

为了防止 Backdoor:Win32/Farfli.BG!MTB 病毒的感染，建议用户保持 *** 作系统和其他软件的更新，不要随意下载和安装不明来源的软件，不要打开来自不明来源的电子邮件附件，使用可信的安全软件进行定期扫描和清除感染病毒，确保计算机系统和个人信息的安全。

要删除 Backdoor:Win32/Farfli.BG!MTB 病毒，您可以尝试以下步骤：

1.使用杀毒软件进行扫描和清除。使用受信任的杀毒软件，如 Windows Defender、Norton Antivirus、Kaspersky Antivirus 等进行计算机系统的全面扫描，并将检测到的病毒进行清除。

2.使用专门的病毒清除工具进行清除。您可以使用 Malwarebytes Anti-Malware、AdwCleaner、HitmanPro 等专门的病毒清除工具进行扫描和清除。

3.手动删除病毒。如果您是专业用户并且具有一定的计算机技能，可以尝试手动删除病毒。首先，您需要在安全模式下启动计算机系统，以便访问和删除系统文件。然后，您可以使用注册表编辑器删除与病毒相关的注册表项，删除与病毒相关的文件和文件夹。

请注意，手动删除病毒可能会有一定的风险和复杂性，如果您不熟悉 *** 作系统或不确定如何进行 *** 作，请勿尝试手动删除病毒，以免造成系统故障或数据丢失。建议您使用杀毒软件或专门的病毒清除工具进行扫描和清除。

---