论坛: 病毒专区 标题: W32.Femot.Worm如何清除!! 复制本贴地址    
作者: langxing [langxing]    论坛用户   登录
开机后就被发现,但杀毒有找不到!
Scan type:  Realtime Protection Scan
Event:  Virus Found!
Virus name: W32.Femot.Worm
File:  G:\WINNT\System32\scardsvr32.exe
Location:  Quarantine
Action taken:  Clean failed : Quarantine succeeded : Access denied
Date found: Fri Aug 06 23:57:13 2004

开机,还缺少svch0_st.exe,不知是啥东西?????
这个病毒怎么才可以清除阿!!??????

地主 发表时间: 04-08-08 00:04

回复: kailangq [kailangq]   版主   登录
1.手工清除方法:
1、 结束病毒进程SCARDSVR32.EXE,删除病毒文件。
2、 清除以上提到的注册表键值
3、 清除服务:
如果使Windows2000/XP系统,用注册表编辑器REGEDIT.EXE编辑主键 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SCardDrv 中的以下键的键值(以下“=”号前的为对应的键,“=”后的为键值,“()”中的值是十进制的显示结果,“()”前面的是16进制显示结果)
ImagePath = %SystemRoot%\system32\ScardSvr.exe
ErrorControl = 00000000 (0)
Start = 00000003 (3)
Type = 00000020(32)
如果是Windows NT系统直接删除以上键值即可。
4、 删除帐号tsinternetuser或者修改其密码。

B1层 发表时间: 04-08-08 01:05

回复: lqfrla [lqfrla]   论坛用户   登录

病毒名称:Win32.Mofei.B 
别名:W32.Femot.Worm  (Symantec),  Win32/Mofei.B.Worm,  WORM_MOFEI.B  (Trend)   
种类:Win32   
类型:蠕虫   

疯狂度:低   
破坏性:中 
普及度:低 

方法1. 
进安全模式,用专杀工具杀毒 
http://sc.kill.com.cn/maindoc/virus/download/clnmofei.zip  


方法2. 
w32.femot.worm手动删除步骤 


以norton为例子。 
norton的专杀工具为: 
http://bbs1.nju.edu.cn/file/w32.femot.worm.rar  

特性 
  Win32.Mofei.B是一种通过局域网传播的蠕虫病毒。蠕虫程序采用UPX压缩,文件大小为32,354字节。蠕虫拷贝自己的副本文件以及一个DLL库文件到%Windows%\System32下,  DLL文件名为SCARDSVR32.DLL,也采用UPX压缩,大小为20,480字节。此DLL文件包含了蠕虫主要的复制进程,且隐藏在进程LSASS.EXE和EXPLORER.EXE中。所以,系统重新启动时可能会要求移除病毒。 

  在WIN2000系统里,蠕虫替换一个名为"Smart  Card  Helper"的服务。需要注意的是,原系统文件名为"scardsvr.exe": 

HKLM\SYSTEM\CurrentControlSet\Services\SCardDrv\ImagePath, 
with  value  "%Windows%\System32\scardsvr32.exe  -v" 

  蠕虫通过135和139端口来扫描网络。一旦发现目标机器,便试图拷贝自己到System32\scardsvr32.exe下。并在Windows%\System32目录下生成一个日志文件MoFei.DAT,用来记录搜索过的IP地址。 

下列IP地址段中,蠕虫会随机搜索地址进行扫描: 

local  subnet  (255.255.0.0) 
150.184.0.1  to  150.184.255.254 
164.100.0.0  to  164.100.255.255 
199.37.0.1  -  199.37.255.254 

此蠕虫也具有木马的特性,会开启后门,允许远程控制被感染机器。此后门有以下一些功能: 

查看帮助信息   
查看版本   
终止程序   
更改密码   
改变端口   
访问资源管理器 

访问当前目录 

修改文件夹 

文件列表 

删除文件 

建立文件夹 

删除文件夹 

执行DOS命令 

从互联网上下载文件 

绑定一个端口 

关闭绑定   

--------------------------------------------------------------- 

 

手动删除步骤如下: 

1、升级norton病毒库      www.xjtushare.com 

2、先找到并停止病毒开启的服务 

a、在你电脑的左下角,点击“开始”,再点击“运行” 
b、输入services.msc,然后点ok 
c、找到并选择这个服务“Smart  Card  Helper” 
d、双击这个服务,就会跳出一个属性窗口。 
e、点击“停止”(如果运行的话) 
f、然后更改“启动类型”为“手动” 
g、点击“ok”,然后关闭服务窗口 
h、重起电脑。 

3、扫描硬盘并删除中毒文件。 
运行norton,然后选择扫描全硬盘,如果发现中毒的文件,点击删除。 
运行资源管理器,然后找到这两个文件,点击删除。 
Mofei.cfg    MoFei.ver 

4、删除病毒在注册表中的键值 

a、Click  Start,  and  then  click  Run.  (The  Run  dialog  box  appears.) 
a、在你电脑的左下角,点击“开始”,再点击“运行” 
Type  regedit 
b、输入regedit,然后点击ok。registry  editor  就会打开。 

c、在  Windows  95/98/ME,  找到这些键值: 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 


在右边的窗口里,删除这些键值: 

"NavAgent32"="%Windows%\System32\navpw32.exe  -v" 


如果是  Windows  NT/2000/XP,  导航到下面这个键值: 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SCardDrv 

在右边的窗口里,设置键值的镜像目录为: 


%SystemRoot%\System32\SCardSvr.exe(%SystemRoot%是指你的系统目录,比如winnt) 


d、退出注册表编辑器 

B2层 发表时间: 04-08-08 08:26

回复: langxing [langxing]   论坛用户   登录
我试试看看,
谢谢了!




B3层 发表时间: 04-08-09 19:19

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号