怎样 Win32.Mofei.B病毒(W32.Femot.Worm 诺顿叫法)?

我用诺顿的W32.Femot.Worm 专门杀毒工具,杀毒,没有发现病毒,而实时检测系统却过一会就警告发现了该病毒,每次杀毒完成后,打开注册表HKLM\SYSTEM\CurrentControlSet\Services\SCardDrv\ImagePath,
with value "%Windows%\System32\scardsvr32.exe -v"
直接将该项删除,可是过一会诺顿实时检测系统报告发现病毒后,注册表中又自动给添加了上面的一项(Remote Registry Service 早就被禁用了,应该不是远程修改注册表的)。试过瑞星、金山的专杀工具,仍然无效。到底该怎样清除病毒啊
---------------------------------------------------------------

Win32.Mofei.B 蠕虫病毒 破坏性:中!

病毒名称:Win32.Mofei.B
别名:W32.Femot.Worm (Symantec), Win32/Mofei.B.Worm, WORM_MOFEI.B (Trend)
种类:Win32
类型:蠕虫

疯狂度:低
破坏性:中
普及度:低

特性
Win32.Mofei.B是一种通过局域网传播的蠕虫病毒。蠕虫程序采用UPX压缩,文件大小为32,354字节。蠕虫拷贝自己的副本文件以及一个DLL库文件到%Windows%\System32下, DLL文件名为SCARDSVR32.DLL,也采用UPX压缩,大小为20,480字节。此DLL文件包含了蠕虫主要的复制进程,且隐藏在进程LSASS.EXE和EXPLORER.EXE中。所以,系统重新启动时可能会要求移除病毒。

在WIN2000系统里,蠕虫替换一个名为"Smart Card Helper"的服务。需要注意的是,原系统文件名为"scardsvr.exe":

HKLM\SYSTEM\CurrentControlSet\Services\SCardDrv\ImagePath,
with value "%Windows%\System32\scardsvr32.exe -v"

蠕虫通过135和139端口来扫描网络。一旦发现目标机器,便试图拷贝自己到System32\scardsvr32.exe下。并在Windows%\System32目录下生成一个日志文件MoFei.DAT,用来记录搜索过的IP地址。

下列IP地址段中,蠕虫会随机搜索地址进行扫描:

local subnet (255.255.0.0)
150.184.0.1 to 150.184.255.254
164.100.0.0 to 164.100.255.255
199.37.0.1 - 199.37.255.254

此蠕虫也具有木马的特性,会开启后门,允许远程控制被感染机器。此后门有以下一些功能:

查看帮助信息
查看版本
终止程序
更改密码
改变端口
访问资源管理器

访问当前目录

修改文件夹

文件列表

删除文件

建立文件夹

删除文件夹

执行DOS命令

从互联网上下载文件

绑定一个端口

关闭绑定

---------------------------------------------------------------

方法1.
进安全模式,用专杀工具杀毒
http://sc.kill.com.cn/maindoc/virus/download/clnmofei.zip

方法2.
w32.femot.worm手动删除步骤

以norton为例子。
norton的专杀工具为:
http://bbs1.nju.edu.cn/file/w32.femot.worm.rar

手动删除步骤如下:

1、升级norton病毒库 www.xjtushare.com

2、先找到并停止病毒开启的服务

a、在你电脑的左下角,点击“开始”,再点击“运行”
b、输入services.msc,然后点ok
c、找到并选择这个服务“Smart Card Helper”
d、双击这个服务,就会跳出一个属性窗口。
e、点击“停止”(如果运行的话)
f、然后更改“启动类型”为“手动”
g、点击“ok”,然后关闭服务窗口
h、重起电脑。

3、扫描硬盘并删除中毒文件。
运行norton,然后选择扫描全硬盘,如果发现中毒的文件,点击删除。
运行资源管理器,然后找到这两个文件,点击删除。
Mofei.cfg MoFei.ver

4、删除病毒在注册表中的键值

a、Click Start, and then click Run. (The Run dialog box appears.)
a、在你电脑的左下角,点击“开始”,再点击“运行”
Type regedit
b、输入regedit,然后点击ok。registry editor 就会打开。

c、在 Windows 95/98/ME, 找到这些键值:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

在右边的窗口里,删除这些键值:

"NavAgent32"="%Windows%\System32\navpw32.exe -v"

如果是 Windows NT/2000/XP, 导航到下面这个键值:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SCardDrv

在右边的窗口里,设置键值的镜像目录为:

%SystemRoot%\System32\SCardSvr.exe(%SystemRoot%是指你的系统目录,比如winnt)

d、退出注册表编辑器

Published At
Categories with 服务器类
Tagged with
comments powered by Disqus