mspmsnsv.dll[WSWinds]病毒的查杀
在用电脑的时候,突然杀毒软件提示,有病毒……被拦截,可能是 Win32/TrojanDownloader.Delf.OBZ木马的一个变种,就用赶紧用360查一下,用360的主要原因就是他的查杀速度快,果然,在杀的时候提示有一个木马:木马名称:Trojan/Win32.Rodog.swa,路径:c:\windows\system\mspmsnsv.dll。
终于让我遇到了一个病毒了~
用sreng2扫描出报告出来,发现还不是一个好解决的病毒。
【服务】
[Portable Media Serial Number Service / WmdmPmSN][Running/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system\mspmsnsv.dll><N/A>
【进程】
[PID: 184 / SYSTEM][C:\WINDOWS\System32\svchost.exe]
[c:\windows\system\mspmsnsv.dll] [N/A, ]
有点头疼,对于注入svchost.exe进程的dll文件还是不熟悉怎么弄。本着DIY的原则,打开冰刃。在服务那边停止病毒服务wmdmpmsn。
然后进入c:/windows/system下删除mspmsnsv.dll。记得先将可疑文件备份起来(压缩成压缩包就可以了)
然后打开注册表,查找关于mspmsnsv.dll的数值
Hkey_current_user/software/Microsoft/windows/currentversion/comdlg32/opensavemr/*在右边删除掉字符串值i
Hkey_current_user/software/Microsoft/windows/currentversion/comdlg32/opensavemr/dll在右边删除掉字符串值a
Hkey_current_user/software/notepad2/mru/find在有右边删除字符串0
Hkey_local_machine/ststem/controlset001/services/eventlog/application/wmdmpmsn在右边删除字符串eventmessagefile
Hkey_local_machine/ststem/controlset001/services/wmdmpmsn 删除整个项
Hkey_local_machine/ststem/controlset002/services/eventlog/application/wmdmpmsn在右边删除字符串(删的太快了,没记住名称,数据是C:\WINDOWS\system\mspmsnsv.dll就是了)
Hkey_local_machine/ststem/controlset002/services/wmdmpmsn/parameters在右边删除字符串servicedll
这样注册表中的数值就删除干净了
进程因服务已经关闭而自动结束,注册表也已经查找结束了。现在重新用360扫描一下,没有发现。重启一下电脑看用360后并没有发现病毒。
用WINMD5检查mspmsnsv.dll得到的是
77254c846f00a7bedd4bc1feba8b8d11 mspmsnsv.dll
大家用这个也检查一下
建立日期2008年4月24日, 8:07:13
修改日期2008年4月24日, 8:07:14
此贴是转帖。
前几天偶遇到了这个病毒,最后手工清除掉了。
也是mspmsnsv.dll病毒,不过可能是变种吧,和上面文章写的不太一样。
由于不是自己的电脑,最后过程记不太清楚了。所以就找了这篇文章出来。
