主题：【原创】一个灰鸽子WSWINDS变种的手动清除方法

这几天，几台电脑的Mcafee都报告C:\Windows\System32\WSWINDS.DAT特洛伊木马，甚至在一台从不上网的服务器都有发现这个告警。

经过检查，发现C:\Windows\System32\目录下还有一个同名文件WSWINDS.COM，它会生成一个wswinds的服务。

但是此文件删除后不久又重生，屡杀不绝。肯定还是有个影子文件在后台。

经过一番查找，终于发现罪魁祸首，做了个批处理简单搞定。

鉴别方法：
只要确定C:\Windows\System\目录下有MSPMSNSV.DLL，则可以肯定该电脑有此木马。
该木马替换了一个系统合法服务"WmdmPmSN”的ServiceDll，
原合法服务动态链接文件为C:\WINDOWS\system32\mspmsnsv.dll
被替换后键值为C:\WINDOWS\system\mspmsnsv.dll

它就是这个木马的影子，定期的还原wswinds.com，然后释放木马出来。
不过忘记保留木马备份了，还没分析这个木马到底干吗的。只确定了是灰鸽子的一个变种。

具体操作

打开注册表

开始-运行- regedit.exe -搜索system\mspmsnsv.dll 将其修改为system32\mspmsnsv.dll

然后重新启动

再然后 我的电脑-C盘-搜索C:\WINDOWS\system\mspmsnsv.dll这个文件 删除掉 就可以了！

转载请注明 转自 聆听社区 多谢！