清除病毒

 

罪魁祸首：mspmsnsv.dll  可自动下载病毒;

 

清除方案
 
  1、使用杀毒软件可彻底清除此病毒。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
推荐使用ATool管理工具。

 

（1）使用ATOOL管理工具，“进程管理”查找EXPLORER.exe病毒进程，结束病毒t322025.dll模块。

（2）强行删除病毒文件
%Temp%\~651b6c.~~~
%system32%\t322025.ini
%system32%\t322025.dll

 

 

-----------------------------------------------------------

 

摘自：http://softbbs.pconline.com.cn/8518433.html

 

 

 

 

 

 

 

 

 

 

 

杀毒经历mspmsnsv.dll----Trojan/Win32.Rodog.swa

在用电脑的时候，突然杀毒软件提示，有病毒……hxxp：//xzz.hkxs.com/5.exe被拦截，可能是 Win32/TrojanDownloader.Delf.OBZ木马的一个变种，就用赶紧用360查一下，用360的主要原因就是他的查杀速度快，果然，在杀的时候提示有一个木马：木马名称：Trojan/Win32.Rodog.swa，路径：c:\windows\system\mspmsnsv.dll。
终于让我遇到了一个病毒了~
用sreng2扫描出报告出来，发现还不是一个好解决的病毒。
【服务】
[Portable Media Serial Number Service / WmdmPmSN][Running/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system\mspmsnsv.dll><N/A>
【进程】
[PID: 184 / SYSTEM][C:\WINDOWS\System32\svchost.exe]
  [c:\windows\system\mspmsnsv.dll]  [N/A, ]
有点头疼，对于注入svchost.exe进程的dll文件还是不熟悉怎么弄。本着DIY的原则，打开冰刃。在服务那边停止病毒服务wmdmpmsn。
然后进入c:/windows/system下删除mspmsnsv.dll。记得先将可疑文件备份起来（压缩成压缩包就可以了）
然后打开注册表，查找关于mspmsnsv.dll的数值
Hkey_current_user/software/Microsoft/windows/currentversion/comdlg32/opensavemr/*在右边删除掉字符串值i
Hkey_current_user/software/Microsoft/windows/currentversion/comdlg32/opensavemr/dll在右边删除掉字符串值a
Hkey_current_user/software/notepad2/mru/find在有右边删除字符串0
Hkey_local_machine/ststem/controlset001/services/eventlog/application/wmdmpmsn在右边删除字符串eventmessagefile
Hkey_local_machine/ststem/controlset001/services/wmdmpmsn 删除整个项
Hkey_local_machine/ststem/controlset002/services/eventlog/application/wmdmpmsn在右边删除字符串（删的太快了，没记住名称，数据是C:\WINDOWS\system\mspmsnsv.dll就是了）
Hkey_local_machine/ststem/controlset002/services/wmdmpmsn/parameters在右边删除字符串servicedll
这样注册表中的数值就删除干净了
进程因服务已经关闭而自动结束，注册表也已经查找结束了。现在重新用360扫描一下，没有发现。重启一下电脑看用360后并没有发现病毒。

用WINMD5检查mspmsnsv.dll得到的是
77254c846f00a7bedd4bc1feba8b8d11 mspmsnsv.dll
大家用这个也检查一下
建立日期2008年4月24日, 8:07:13
修改日期2008年4月24日, 8:07:14 

---------------------------------------------------------------------

 

 

 

 

 

 

昨天搞了半天时间,才搞清楚这个玩意的真面目,我每次还原系统后升级病毒库杀毒,杀到5%左右瑞星就挂了,怪怪! 转而下了一个AVG,升级后杀毒,虽不像瑞星那样病毒没杀到自己先倒了,但总有杀不完的病毒,重启后杀毒又可以杀出一堆面目各异的病毒,却都能成功清除,停下来分析了一下,既然病毒都杀光了怎么重启或者停留一段时间后又会自动出现呢?所以下了一个结论:系统中肯定还有一个杀毒软件无法识别的毒瘤,尝试用诊断模式启动系统,然后逐一查看系统服务,没发现异常,再仔细看了一遍,发现楼主所说的Portable Media Serial Number Service,不是系统的东西让我产生了怀疑,但从它的描述以及启动感觉是一个合法服务,但还是搜索了一个这个名为WmdmPmSN的服务,果然是一个毒瘤,本身似乎没有破坏作用,但它有一个惊人的能力: 从病毒站下载病毒文件到本机!所以这也是杀毒软件会有杀不完的病毒的原因!!原因找到了,开始杀毒:
1. 断网,阻断病毒来源
2. 停止服务: Portable Media Serial Number Service
3. 删除服务文件: 用查找方法查找Windows目录,查找名为mspmsnsv.dll文件并全部删除(注: 显示隐藏文件和系统文件,然后定位到System32下的dllcache,这个下面可能还有一个mspmsnsv.dll,查找功能可能找不到,删除之,然后再重复一遍在Windows目录下查找mspmsnsv.dll,若再发现直接删除),至此服务文件清除
4. 剩下的工作就是清除服务的启动项,打开注册表编辑器定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root,找到LEGACY_WMDMPMSN,整个键删除掉,再定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services,找到WmdmPmSN,整个键删除,再定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application,找到WmdmPmSN整键删除
5. 用(4)的方法处理HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001 /2 /3...
6. 至此病毒的服务和启动项已经清除,可能还有部分地方有关联,定位到注册表的起始位置,搜索WmdmPmSN,找到后直接删除,注意:此时不能整项/键删除了,如果某键值中出现WmdmPmSN,直接编辑该键值,找到WmdmPmSN后删除,再用同样的方法查找处理mspmsnsv.dll,如果你不熟悉注册表操作,此步操作就不要做了,操作错误可能会导致系统挂掉,剩下的这些东西留着也没关系了,已经起不了作用了...
附注: 如果上述文件删除或者注册表项/键值删除时出现错误不能删除,可下载冰刃来解决
完!