瑞星卡卡安全论坛

首先运行样本KV报：TrojanDownloader.Small.arh
hijackthis1.99.1版日志可见:
O23 - Service: Windows Audio Services (winAudSer) - Unknown owner - C:\WINNT\system32\Winms.exe

先写几句感言：非常痛恨这样的病毒，一运行后就跳出hxxp://web.9983.com，汗！先把注册表改回来吧。

下面说说清理步骤：

1.停止Windows Audio services服务：开始--控制面版--管理工具--服务--找到Windows Audio services属性--改成已禁用
（注意服务名是Windows Audio services而不是Windows Audio）

2.重启电脑后删除：
%SystemRoot%\system32\nt_g_dll.dll
%SystemRoot%\system32\nt_plus_dll.dll
%SystemRoot%\system32\winms.exe
（见图）


3.打开注册表：开始--运行--“regedit”（不含引号）
找到以下：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\删除整个“winAudSer”分支

4.最后通过注册表修复工具修复IE页面地址（主要是手动太麻烦了），可以到我的空间下载“RegClean”
空间地址：http://free.ys168.com/?konce



附件: 48423020051015171947.JPG

支持以下斑竹``
```
这里很喜欢```

谢谢！

我现在终于完全将它干掉了！

引用:

O23 - Service: Windows Audio Services (winAudSer) - Unknown owner - C:\WINNT\system32\Winms.exe 下面说说清理步骤： 1.停止Windows Audio services服务：开始--控制面版--管理工具--服务--找到Windows Audio services属性--改成已禁用 （注意服务名是Windows Audio services而不是Windows Audio） 3.打开注册表：开始--运行--“regedit”（不含引号） 找到以下： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\删除整个“winAudSer”分支 ...........................

请问版主,通过HijackThis修复
O23 - Service: Windows Audio Services (winAudSer) - Unknown owner - C:\WINNT\system32\Winms.exe
是否可以达到和您上面说的那两步操作的相同效果?就是能够把这个服务删除和删除注册表中的相关项?

谢谢您 ，电脑又正常了！支持您的大公无私的行为！！

引用:

【LeafyBoY的贴子】请问版主,通过HijackThis修复 O23 - Service: Windows Audio Services (winAudSer) - Unknown owner - C:\WINNT\system32\Winms.exe 是否可以达到和您上面说的那两步操作的相同效果?就是能够把这个服务删除和删除注册表中的相关项? ...........................

hijackthis对023项的作用并不是很好,修复此项并没用.

一个字爽啊！！！

受教了。

呵呵，，学习~~~~~~~

感激ing
我这几天正被这东西弄得晕头转向的咧

谢谢了卡卡社区真好

我深受9983.com之苦，它是很多很多黄网的总连接。今天终于把它清除了，多谢大侠！！！