感染以后会在启动项里面发现运行Spoolsv.exe的启动项,有“广州傲讯公司”或“傲讯浏览器” 每次进入windows会有NTservice的对话框。
以winxp为例,假设系统盘为c:。
1 重启进入DOS(可以从winxp安装光盘启动),
使用deltree命令删除以下文件夹(如果存在)
C:\WINDOWS\system32\msibm
C:\WINDOWS\system32\spoolsv
C:\WINDOWS\system32\bakcfs
C:\WINDOWS\system32\msicn
以及文件(如果存在)
C:\windows\system32\spoolsv.exe
C:\WINDOWS\system32\wmpdrm.dll
2 重启按F8进入安全模式
桌面右键点击我的电脑,选择“管理”,点击“服务和应用程序”-“服务”,右键点击NTservice,选择“属性”,修改启动类型为“禁用”。运行C:\WINDOWS\regedit.exe,查找含有spoolsv.exe的注册表项目(好象有两项),删除之。
再次重启即可。
