【原创】解决“hxxp://web.9983.com”的方法---兼答“pustus”

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【原创】解决“hxxp://web.9983.com”的方法---兼答“pustus”

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 2 页

跳转页

【原创】解决“hxxp://web.9983.com”的方法---兼答“pustus”

花落花又开社区嘉宾帖子:6782 注册: 2005-04-16 来自:	发表于： 2005-10-15 16:36 \| 只看楼主短消息资料字号：小中大 1楼【原创】解决“hxxp://web.9983.com”的方法---兼答“pustus” 首先运行样本KV报：TrojanDownloader.Small.arh hijackthis1.99.1版日志可见: O23 - Service: Windows Audio Services (winAudSer) - Unknown owner - C:\WINNT\system32\Winms.exe 先写几句感言：非常痛恨这样的病毒，一运行后就跳出hxxp://web.9983.com，汗！先把注册表改回来吧。下面说说清理步骤： 1.停止Windows Audio services服务：开始--控制面版--管理工具--服务--找到Windows Audio services属性--改成已禁用（注意服务名是Windows Audio services而不是Windows Audio） 2.重启电脑后删除： %SystemRoot%\system32\nt_g_dll.dll %SystemRoot%\system32\nt_plus_dll.dll %SystemRoot%\system32\winms.exe （见图） 3.打开注册表：开始--运行--“regedit”（不含引号）找到以下： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\删除整个“winAudSer”分支 4.最后通过注册表修复工具修复IE页面地址（主要是手动太麻烦了），可以到我的空间下载“RegClean” 空间地址：http://free.ys168.com/?konce 附件: 文件名:48423020051015171947.JPG 下载次数:0 文件类型:image/pjpeg 文件大小: 上传时间:2005-10-15 16:36:05 描述: 2005-12-19 23:49:16
花落花又开社区嘉宾帖子:6782 注册: 2005-04-16 来自:	分享到：

从头爱你锋芒艾服狮帖子:1791 注册: 2005-06-17 来自:	发表于： 2005-10-15 19:16 \| 短消息资料字号：小中大 2楼支持以下斑竹`` ``` 这里很喜欢```
从头爱你锋芒艾服狮帖子:1791 注册: 2005-06-17 来自:

pustus 初生襁褓狮帖子:25 注册: 2005-07-30 来自:	发表于： 2005-10-15 19:35 \| 短消息资料字号：小中大 3楼谢谢！我现在终于完全将它干掉了！
pustus 初生襁褓狮帖子:25 注册: 2005-07-30 来自:

拙长孩提狮

帖子:147
注册: 2005-09-27
来自:

发表于： 2005-10-16 08:01 | 短消息资料

字号：小中大 4楼

引用:

O23 - Service: Windows Audio Services (winAudSer) - Unknown owner - C:\WINNT\system32\Winms.exe

下面说说清理步骤：

1.停止Windows Audio services服务：开始--控制面版--管理工具--服务--找到Windows Audio services属性--改成已禁用
（注意服务名是Windows Audio services而不是Windows Audio）

3.打开注册表：开始--运行--“regedit”（不含引号）
找到以下：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\删除整个“winAudSer”分支

...........................

请问版主,通过HijackThis修复
O23 - Service: Windows Audio Services (winAudSer) - Unknown owner - C:\WINNT\system32\Winms.exe
是否可以达到和您上面说的那两步操作的相同效果?就是能够把这个服务删除和删除注册表中的相关项?

至尊宝66 初生襁褓狮帖子:2 注册: 2005-10-14 来自:	发表于： 2005-10-16 10:28 \| 短消息资料字号：小中大 5楼谢谢您，电脑又正常了！支持您的大公无私的行为！！
至尊宝66 初生襁褓狮帖子:2 注册: 2005-10-14 来自:

社区嘉宾

帖子:6782
注册: 2005-04-16
来自:

发表于： 2005-10-16 17:18 | 只看楼主 短消息资料

字号：小中大 6楼

引用:

【LeafyBoY的贴子】请问版主,通过HijackThis修复
O23 - Service: Windows Audio Services (winAudSer) - Unknown owner - C:\WINNT\system32\Winms.exe
是否可以达到和您上面说的那两步操作的相同效果?就是能够把这个服务删除和删除注册表中的相关项?

...........................

hijackthis对023项的作用并不是很好,修复此项并没用.

晨起笛初生襁褓狮帖子:45 注册: 2005-09-28 来自:	发表于： 2005-10-16 22:25 \| 短消息资料字号：小中大 7楼一个字爽啊！！！
晨起笛初生襁褓狮帖子:45 注册: 2005-09-28 来自:

雨燕飞叱咤花甲狮帖子:2160 注册: 2005-02-18 来自:	发表于： 2005-10-17 14:31 \| 短消息资料字号：小中大 8楼受教了。
雨燕飞叱咤花甲狮帖子:2160 注册: 2005-02-18 来自:

影子110 叱咤花甲狮帖子:4210 注册: 2005-04-10 来自:怀黯	发表于： 2005-10-18 10:51 \| 短消息资料字号：小中大 9楼呵呵，，学习~~~~~~~
影子110 叱咤花甲狮帖子:4210 注册: 2005-04-10 来自:怀黯

chenlei1982 初生襁褓狮帖子:17 注册: 2004-06-23 来自:	发表于： 2005-10-20 15:36 \| 短消息资料字号：小中大 10楼感激ing 我这几天正被这东西弄得晕头转向的咧
chenlei1982 初生襁褓狮帖子:17 注册: 2004-06-23 来自:

<<上一主题|下一主题>>

1 / 2 页

跳转页

花落花又开社区嘉宾帖子:6782 注册: 2005-04-16 来自:	发表于： 2005-10-15 16:36 \| 只看楼主短消息资料字号：小中大 1楼【原创】解决“hxxp://web.9983.com”的方法---兼答“pustus” 首先运行样本KV报：TrojanDownloader.Small.arh hijackthis1.99.1版日志可见: O23 - Service: Windows Audio Services (winAudSer) - Unknown owner - C:\WINNT\system32\Winms.exe 先写几句感言：非常痛恨这样的病毒，一运行后就跳出hxxp://web.9983.com，汗！先把注册表改回来吧。下面说说清理步骤： 1.停止Windows Audio services服务：开始--控制面版--管理工具--服务--找到Windows Audio services属性--改成已禁用（注意服务名是Windows Audio services而不是Windows Audio） 2.重启电脑后删除： %SystemRoot%\system32\nt_g_dll.dll %SystemRoot%\system32\nt_plus_dll.dll %SystemRoot%\system32\winms.exe （见图） 3.打开注册表：开始--运行--“regedit”（不含引号）找到以下： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\删除整个“winAudSer”分支 4.最后通过注册表修复工具修复IE页面地址（主要是手动太麻烦了），可以到我的空间下载“RegClean” 空间地址：http://free.ys168.com/?konce 附件: 文件名:48423020051015171947.JPG 下载次数:0 文件类型:image/pjpeg 文件大小: 上传时间:2005-10-15 16:36:05 描述: 2005-12-19 23:49:16
花落花又开社区嘉宾帖子:6782 注册: 2005-04-16 来自:	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【原创】解决“hxxp://web.9983.com”的方法---兼答“pustus”

【原创】解决“hxxp://web.9983.com”的方法---兼答“pustus”

【原创】解决“hxxp://web.9983.com”的方法---兼答“pustus”

附件:

文件名:48423020051015171947.JPG 下载次数:0 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(27652); 上传时间:2005-10-15 16:36:05 描述:

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛【原创】解决“hxxp://web.9983.com”的方法---兼答“pustus”

文件名:48423020051015171947.JPG

下载次数:0

文件类型:image/pjpeg

文件大小:

上传时间:2005-10-15 16:36:05

描述: