局域网内的mofeir病毒如何查杀

有啊，我的病毒还是没有杀掉，局域网内有很多的机器感染了   mofeir，我尝试了很多方法，杀掉之后，很快又感染了，我的做法是，专杀工具查杀，重新启动计算机，修改  
  localmachine_system_crruentcontrolset_service_scardrv下的imagepath的值改为空，  
  然后查杀病毒，重新启动计算机，把winnt   /system32下的，scardrv*.*   的文件都删空，把mofei.*的文件都删空，把服务选项里的smart   card   help改为手动，可是很快，这些计算机又被感染了，各位高手给招  
  问题点数：0、回复次数：15Top

1 楼xdgzs（邓文斌）回复于 2003-12-04 16:22:11 得分 0

杀毒的时候把网给断开否则的话会再次感染Top

2 楼piys（piys）回复于 2003-12-04 16:29:39 得分 0

断开网络连接！用瑞星的mofei病毒转杀工具！Top

3 楼ysqu（★★★★★）回复于 2003-12-04 16:55:56 得分 0

安装NORTON，用NORTON的转杀工具杀Top

4 楼sunwindj（开始）回复于 2003-12-04 17:38:14 得分 0

网内有一百台机器，要全部断掉么，还是杀一台，断一台，杀完了再上，还是全断，杀完了再上，几乎都感染了Top

5 楼ldcsdn（卓越之剑）回复于 2003-12-04 18:09:42 得分 0

最好是安装企业版的杀毒软件。Top

6 楼tycdwdzy（可可树）回复于 2003-12-04 22:05:43 得分 0

诺顿应该没有问题.Top

7 楼dragonreagon（北极乞儿）回复于 2003-12-04 22:23:13 得分 0

最好要一台一台的杀，然后一台一台的连上去，这个工作是比较重的，不过没择啊！  
   
  而且最好在安全模式下杀毒。Top

8 楼chenshx（freeboy）回复于 2003-12-04 22:32:34 得分 0

我所在的单位也感染了,没有办法阿~~~~~~~~~~~  
  我将单台计算机的网络断了,杀完后连上去后马上就感染了~~~~~~~  
  全部断开不可能阿,有好几百台机器阿,分布的也很散啊~~~  
   
  还有,我想问一下,mofei是不是有攻击Exchang2000的功能啊?Top

9 楼sunwindj（开始）回复于 2003-12-05 09:02:22 得分 0

大哥，我们单位也有exchange2000啊，   ，每天都要互相发邮件，经常是发给全体，怎么办啊，我现在十分的郁闷，有没有高手给个不用断网的办法啊，而且断了杀后，以后再感染怎么办，我发现我装瑞星   不起作用Top

10 楼sunwindj（开始）回复于 2003-12-08 13:45:22 得分 0

停掉server   服务就可以了Top

11 楼frankcooljun（明天~帅了）回复于 2003-12-08 15:12:59 得分 0

我们公司的也是这样`~  
  搞不搞就出现`~  
  我每次都只有       进入安全模式下   把scardsvr32*.*   全部删除~~  
  然后用KV2004杀  
  进入正常界面后     KV回自动发现回收站里面的病毒     然后杀掉``  
  不过   过一段时间后     却依然发现     `~  
  真麻烦`~Top

12 楼sungod8（琤) (Heros Ⅲ 凤凰）回复于 2003-12-08 15:16:33 得分 0

下载专杀工具:http://www.duba.net/download/3/48.shtml  
   
  安全模式杀毒Top

13 楼sunwindj（开始）回复于 2003-12-09 09:48:23 得分 0

必须要停掉   server服务或者所有的admin的用户密码要强健，否则没有办法的。，还要把scadvsr*.*   mofei.*的文件都删掉，注册表要改Top

14 楼fireizual（讪讪）回复于 2003-12-09 11:02:15 得分 0

制作DOS杀毒盘。在DOS方式下杀毒看看。Top

15 楼rayhua（农夫山泉）回复于 2003-12-09 16:30:14 得分 0

病毒名称：Wrom.Mofeir  
   
  　　病毒类型：蠕虫  
   
  　　危害级别：高  
   
  　　传播速度：中    
   
  　　技术特征：  
   
  　　   该病毒采用穷举密码的方法破解远端系统的密码，并以此进行传播。在受感染计算机上留下一个后门。病毒使用UPX进行压缩。  
   
  　　技术细节：  
   
  　　   病毒激活后会在系统目录下生成以下文件  
   
  　　   scardsvr32.exe    
   
  　　   scardsvr32.dll    
   
  　　   MoFei.DAT  
   
  　　   MoFei.MIS  
   
  　　   MoFei.VER  
   
  　　   MoFei.ID    
   
  　　   病毒使用的程序和动态链接库都采用了UPX进行压缩；  
   
  　　   病毒会在注册表里添加启动项：  
   
  　　   对于Win2000/WinXP  
   
  　　   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SCardDrv]ImagePath   =   %SystemRoot%\system32\ScardSvr.exe    
   
  　　   ErrorControl   =   dword:00000000  
   
  　　   Start   =   dword:00000003  
   
  　　   Type   =dword:   00000020  
   
  　　   对于Win9x  
   
  　　   [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]  
   
  　　   SCardSvr   =   %Windows%\System32\SCardSvr.Exe  
   
  　　   病毒会进行网络扫描，查找攻击目标，并用以下的密码表，穷举被攻击系统的超级用户密码；  
   
  　　   病毒自带密码表：  
   
  　　   <NULL>  
   
  　　   stgzs  
   
  　　   security  
   
  　　   super  
   
  　　   oracle  
   
  　　   secret  
   
  　　   root  
   
  　　   admin  
   
  　　   password  
   
  　　   passwd  
   
  　　   pass  
   
  　　   88888888  
   
  　　   888888  
   
  　　   00000000  
   
  　　   000000  
   
  　　   111  
   
  　　   11111  
   
  　　   111111  
   
  　　   111  
   
  　　   fan@ing*  
   
  　　   54321  
   
  　　   654321  
   
  　　   12345678  
   
  　　   1234567  
   
  　　   123456  
   
  　　   12345  
   
  　　   1234  
   
  　　   123  
   
  　　   12  
   
  　　病毒破解成功后，将自身复制到远端计算机的系统目录下，通过admin$自动执行；  
   
  　　病毒会在受感染的系统内添加一个名为tsinternetuser的管理员用户。这是病毒的最终行为：在受感染的系统里留下一后门;  
   
  　　病毒使用的监听端口有可能是：445、139、135；  
   
  　　病毒提供了远端控制命令，并可以执行“批处理文件”，MoFei.MIS就是这样的文件；    
   
  　　病毒完成添加后门以后，可能会从网上下载一个自毁程序，名为：sckiller，用于自我删除；  
   
  　　病毒具有自我更新能力。  
  Top

相关问题

• 病毒
• 密码
• 文件
• 系统
• 计算机
• 用户
• 杀毒
• 模式
• 网络
• mofei

• 帖主：sunwindj

• CSDN Blog
• 技术文档
• 代码下载
• 第二书店
• 读书频道