查看: 2782|回复: 6
收起左侧

碰到真正的流氓软件了

[复制链接]
kkshow
头像被屏蔽
发表于 2007-1-29 12:05:38 | 显示全部楼层 |阅读模式
最近机器里中了名符其实的流氓软件,用了安全卫士,超级兔子,优化大师流氓软件清除,WINDOWS清理助手,DR.WEB,卡巴,都解决不了~

中招症状:启动项自动加载WANSO.lnk     机器启动后进程里多了rundll32.exe进程     C:\Program Files\Common Files里生成名为WANSO的文件夹,内有文件Player.dll和SoBar.dll,并且删除后会自动恢复,启动项也一样。 现在开机速度巨慢,打开文件的速度也巨慢

以前用安全卫生扫描过一次,并且查出来过,清除后并没有起到效果,但从此安全卫士再也查不出来了。
用WINDOWS清理助手还可以查出来,在清理过程中提示‘需要进行驱动级清理,请点击确定重启机器’ 重启之后流氓仍在。
用DR.web和卡巴扫描电脑都没有发现问题

请高手指教,二楼附上hijackthis的扫描结果
图片为WINDOWS清理助手扫描结果

WINDOWS清理助手扫描结果

WINDOWS清理助手扫描结果
kkshow
头像被屏蔽
 楼主| 发表于 2007-1-29 12:06:19 | 显示全部楼层
Logfile of HijackThis v1.99.1
Scan saved at 11:45:51, on 2007-1-29
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\nvsvc32.exe
D:\downloads\cureit.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX0\_start.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX0\cureit.exe
C:\WINDOWS\system32\wuauclt.exe
D:\downloads\HijackThis.exe

O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - d:\Program Files\Thunder Network\Thunder\ComDlls\XunLeiBHO_007.dll
O4 - HKLM\..\Run: [kav] "D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: WanSo.lnk = ?
O8 - Extra context menu item: &使用迅雷下载 - d:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - d:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - D:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://D:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: 添加到QQ自定义面板 - D:\Program Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - D:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\Program Files\Tencent\QQ\SendMMS.htm
O8 - Extra context menu item: 用比特精灵下载(&B) - D:\Program Files\BitSpirit\bsurl.htm
O9 - Extra button: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - d:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - Extra 'Tools' menuitem: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - d:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - Extra button: Web反病毒保护 - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/wind ... e.cab?1169957537312
O17 - HKLM\System\CCS\Services\Tcpip\..\{68BAE552-62CA-4465-8075-29AD0323C4C8}: NameServer = 202.102.154.3,202.102.152.3
O17 - HKLM\System\CCS\Services\Tcpip\..\{72AC402C-1828-4F40-A874-2224DF10893B}: NameServer = 202.102.154.3 202.102.152.3
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: 卡巴斯基反病毒6.0 (AVP) - Unknown owner - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
xxl
发表于 2007-1-29 12:59:51 | 显示全部楼层
请安装微点主动防御软件
http://www.micropoint.com.cn/
zxljyx
发表于 2007-1-29 23:23:49 | 显示全部楼层
lz真是知音,我和你一样,搞了几天都没用。最后用小红伞解决了 ,在c盘里杀出很多东东,卡巴扫不出一个,大蜘蛛扫不到一个,还有什么驱逐舰。。几乎用遍了,360,清理助手,超级巡警也没用
kkshow
头像被屏蔽
 楼主| 发表于 2007-1-30 01:25:55 | 显示全部楼层
今天到安全模式把相关文件和相关注册表删除,重启机器,好了~
结果今天晚上又出来了。。。。。。。。。。。
去用小红伞试试去,极度郁闷了
zxljyx
发表于 2007-1-30 04:22:45 | 显示全部楼层
小红伞杀了两天了,启动里还没出现,WANSO的文件夹也没出来,
xiangzhaozhao
发表于 2007-2-3 20:28:01 | 显示全部楼层
下载winsockfix进行修复即可,如果是驱动程序劫持下载icesword查看,并在注册表中删除或修改键值。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 16:00 , Processed in 0.163115 second(s), 25 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表