碰到真正的流氓软件了

kkshow

最近机器里中了名符其实的流氓软件，用了安全卫士，超级兔子，优化大师流氓软件清除，WINDOWS清理助手，DR.WEB，卡巴，都解决不了~

中招症状：启动项自动加载WANSO.lnk     机器启动后进程里多了rundll32.exe进程     C:\Program Files\Common Files里生成名为WANSO的文件夹，内有文件Player.dll和SoBar.dll，并且删除后会自动恢复，启动项也一样。 现在开机速度巨慢，打开文件的速度也巨慢

以前用安全卫生扫描过一次，并且查出来过，清除后并没有起到效果，但从此安全卫士再也查不出来了。
用WINDOWS清理助手还可以查出来，在清理过程中提示‘需要进行驱动级清理，请点击确定重启机器’ 重启之后流氓仍在。
用DR.web和卡巴扫描电脑都没有发现问题

请高手指教，二楼附上hijackthis的扫描结果
图片为WINDOWS清理助手扫描结果

kkshow

Logfile of HijackThis v1.99.1
Scan saved at 11:45:51, on 2007-1-29
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\nvsvc32.exe
D:\downloads\cureit.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX0\_start.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX0\cureit.exe
C:\WINDOWS\system32\wuauclt.exe
D:\downloads\HijackThis.exe

O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - d:\Program Files\Thunder Network\Thunder\ComDlls\XunLeiBHO_007.dll
O4 - HKLM\..\Run: [kav] "D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: WanSo.lnk = ?
O8 - Extra context menu item: &使用迅雷下载 - d:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - d:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - D:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://D:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: 添加到QQ自定义面板 - D:\Program Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - D:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\Program Files\Tencent\QQ\SendMMS.htm
O8 - Extra context menu item: 用比特精灵下载(&B) - D:\Program Files\BitSpirit\bsurl.htm
O9 - Extra button: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - d:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - Extra 'Tools' menuitem: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - d:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - Extra button: Web反病毒保护 - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/wind ... e.cab?1169957537312
O17 - HKLM\System\CCS\Services\Tcpip\..\{68BAE552-62CA-4465-8075-29AD0323C4C8}: NameServer = 202.102.154.3,202.102.152.3
O17 - HKLM\System\CCS\Services\Tcpip\..\{72AC402C-1828-4F40-A874-2224DF10893B}: NameServer = 202.102.154.3 202.102.152.3
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: 卡巴斯基反病毒6.0 (AVP) - Unknown owner - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

xxl

请安装微点主动防御软件
http://www.micropoint.com.cn/

zxljyx

lz真是知音，我和你一样，搞了几天都没用。最后用小红伞解决了 ，在c盘里杀出很多东东，卡巴扫不出一个，大蜘蛛扫不到一个，还有什么驱逐舰。。几乎用遍了，360，清理助手，超级巡警也没用

kkshow

今天到安全模式把相关文件和相关注册表删除，重启机器，好了~
结果今天晚上又出来了。。。。。。。。。。。
去用小红伞试试去，极度郁闷了

zxljyx

小红伞杀了两天了，启动里还没出现，WANSO的文件夹也没出来，

xiangzhaozhao

下载winsockfix进行修复即可，如果是驱动程序劫持下载icesword查看，并在注册表中删除或修改键值。