首先运行样本KV报：TrojanDownloader.Small.arh
hijackthis1.99.1版日志可见:
O23 - Service: Windows Audio Services (winAudSer) - Unknown owner - C:\WINNT\system32\Winms.exe

先写几句感言：非常痛恨这样的病毒，一运行后就跳出hxxp://web.9983.com，汗！先把注册表改回来吧。

下面说说清理步骤：

1.停止Windows Audio services服务：开始--控制面版--管理工具--服务--找到Windows Audio services属性--改成已禁用
（注意服务名是Windows Audio services而不是Windows Audio）

2.重启电脑后删除：
%SystemRoot%\system32\nt_g_dll.dll
%SystemRoot%\system32\nt_plus_dll.dll
%SystemRoot%\system32\winms.exe
（见图）


3.打开注册表：开始--运行--“regedit”（不含引号）
找到以下：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\删除整个“winAudSer”分支

4.最后通过注册表修复工具修复IE页面地址（主要是手动太麻烦了），可以到我的空间下载“RegClean”
空间地址：http://free.ys168.com/?konce

引用:

【LeafyBoY的贴子】请问版主,通过HijackThis修复 O23 - Service: Windows Audio Services (winAudSer) - Unknown owner - C:\WINNT\system32\Winms.exe 是否可以达到和您上面说的那两步操作的相同效果?就是能够把这个服务删除和删除注册表中的相关项? ...........................

hijackthis对023项的作用并不是很好,修复此项并没用.