mspmsnsv.dll[WSWinds]病毒的查杀
在用电脑的时候,突然杀毒软件提示,有病毒……被拦截,可能是 Win32/TrojanDownloader.Delf.OBZ木马的一个变种,就用赶紧用360查一下,用360的主要原因就是他的查杀速度快,果然,在杀的时候提示有一个木马:木马名称:Trojan/Win32.Rodog.swa,路径:c:\windows\system\mspmsnsv.dll。终于让我遇到了一个病毒了~
用sreng2扫描出报告出来,发现还不是一个好解决的病毒。
【服务】
[Portable Media Serial Number Service / WmdmPmSN][Running/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system\mspmsnsv.dll><N/A>
【进程】
[PID: 184 / SYSTEM][C:\WINDOWS\System32\svchost.exe]
[c:\windows\system\mspmsnsv.dll] [N/A, ]
有点头疼,对于注入svchost.exe进程的dll文件还是不熟悉怎么弄。本着DIY的原则,打开冰刃。在服务那边停止病毒服务wmdmpmsn。
然后进入c:/windows/system下删除mspmsnsv.dll。记得先将可疑文件备份起来(压缩成压缩包就可以了)
然后打开注册表,查找关于mspmsnsv.dll的数值
Hkey_current_user/software/Microsoft/windows/currentversion/comdlg32/opensavemr/*在右边删除掉字符串值i
Hkey_current_user/software/Microsoft/windows/currentversion/comdlg32/opensavemr/dll在右边删除掉字符串值a
Hkey_current_user/software/notepad2/mru/find在有右边删除字符串0
Hkey_local_machine/ststem/controlset001/services/eventlog/application/wmdmpmsn在右边删除字符串eventmessagefile
Hkey_local_machine/ststem/controlset001/services/wmdmpmsn 删除整个项
Hkey_local_machine/ststem/controlset002/services/eventlog/application/wmdmpmsn在右边删除字符串(删的太快了,没记住名称,数据是C:\WINDOWS\system\mspmsnsv.dll就是了)
Hkey_local_machine/ststem/controlset002/services/wmdmpmsn/parameters在右边删除字符串servicedll
这样注册表中的数值就删除干净了
进程因服务已经关闭而自动结束,注册表也已经查找结束了。现在重新用360扫描一下,没有发现。重启一下电脑看用360后并没有发现病毒。
用WINMD5检查mspmsnsv.dll得到的是
77254c846f00a7bedd4bc1feba8b8d11 mspmsnsv.dll
大家用这个也检查一下
建立日期2008年4月24日, 8:07:13
修改日期2008年4月24日, 8:07:14
此贴是转帖。
前几天偶遇到了这个病毒,最后手工清除掉了。
也是mspmsnsv.dll病毒,不过可能是变种吧,和上面文章写的不太一样。
由于不是自己的电脑,最后过程记不太清楚了。所以就找了这篇文章出来。 这是我找到的清除此病毒的批处理文件。
以下是CCF看到的内容:
这几天,几台电脑的Mcafee都报告C:\Windows\System32\WSWINDS.DAT特洛伊木马,甚至在一台从不上网的服务器都有发现这个告警。
经过检查,发现C:\Windows\System32\目录下还有一个同名文件WSWINDS.COM,它会生成一个wswinds的服务。
但是此文件删除后不久又重生,屡杀不绝。肯定还是有个影子文件在后台。
经过一番查找,终于发现罪魁祸首,做了个批处理简单搞定。
鉴别方法:
只要确定C:\Windows\System\目录下有MSPMSNSV.DLL,则可以肯定该电脑有此木马。
该木马替换了一个系统合法服务"WmdmPmSN”的ServiceDll,
原合法服务动态链接文件为C:\WINDOWS\system32\mspmsnsv.dll
被替换后键值为C:\WINDOWS\system\mspmsnsv.dll
它就是这个木马的影子,定期的还原wswinds.com,然后释放木马出来。
不过忘记保留木马备份了,还没分析这个木马到底干吗的。只确定了是灰鸽子的一个变种。 我也2号中的这个嘛。。唉
还说我没打补丁 我的也中招了,搞得我的IE都打不开了 我的也中招了,搞得我的IE都打不开了 偶以后就用小F了
现在是UBUNTU+小F
看还中不中,NND
中的烦了
看帖不顶不厚道~~我顶~~~~
[align=center][img]http://www.fjserver.com/admin/ding5.gif[/img][/align][size=7]看帖不顶不厚道~~我顶~~~~[/size]
[img]http://www.fjserver.com/admin/sigline.gif[/img]
[url=http://www.lianliankan123.cn/]连连看[/url][url=http://www.kingsoft-ciba.cn/]金山词霸[/url][url=http://www.kof97.net.cn/]拳皇[/url][url=http://office-download.org]office2003[/url][url=http://www.zu-ma.cn/]祖玛[/url]
页:
[1]