瑞星卡卡安全论坛

我用这个杀毒软件提示如图.说什么中了病毒.然后点击那个DELETE SPYWARE.有弹出一个框框说什么不能删这个SPYWARE.叫我到官方主页下载专杀工具.
  但是我用瑞星正版.16.XX.XX版的杀毒.报没有病毒.因为我不知道什么升级的ID,所以没有升级,于是我用瑞星的在线查毒,搞完后也报没有病毒.

  我该怎么办啊?系统里面是不是真的有SPYWARE?
  请各位高手指教!

附件: 535465200572212755.jpg

查杀到的是上网助手的网络实名
是可以卸载的

国外杀软一般把上网助手当作间谍软件看待

这个是什么杀软
看着功能好强大哟

补充一点.系统的CPU使用率总是100%,这张是那个杀毒软件提示的.

附件: 535465200572215406.jpg

有时候还蓝屏就像死机了一样,但屏幕上的不是Windows System Busy
,有Trojan的字样.

我用MSCONFIG,禁用了全部项目,但开机后,CPU的使用率还是100%

楼搂上这位仁兄,病毒是绝对有的.看看我的进程拉!
intmonp.exe
shnlog.exe
popuper.exe
msole32.exe
intmon.exe
如果恩看到这些进程之后,还说我电脑没有病毒.那么也太...
但是为什么瑞星在线查毒查不出来呢?
请问各位高手我要怎么解毒啊?

附件: 535465200572222526.jpg

楼主中了特洛伊病毒Win32.Puper Family
那些都是木马

病毒特性：
Win32.Puper是一族特洛伊木马病毒，它会篡改被感染机器IE浏览器的主页及默认搜索页面地址。同时还监控被感染机器所访问的网站。

感染方式：
运行时，蠕虫会在系统目录%System%中复制下列病毒副本文件：
HHK.DLL          用来给木马进行标识注册的DLL库文件
intmonp.exe      也可能一些变种生成的文件是intmon.exe
hp< xxxx > .tmp  为Win32.Startpage.QE 

注：< xxxx >是四位随机产生的十六进制数值。例如：hpAB3E.tmp。
    % System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。

Win32.Puper会在注册表中添加下面的键值，以便每次IE浏览器（"explorer.exe"）启动时木马会自动执行：
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer\paint.exe = "shnlog.exe"

"intmonp.exe"文件通常伴随着"popuper.exe"文件。这些文件都用来反复登陆以防被终止。如果在系统中没有找到"intmonp.exe"文件，"popuper.exe" 也会生成"intmonp.exe"文件。它也会设置以下键值，以便在"explorer.exe"启动时运行它：
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer\notepad2.exe = "popuper.exe"

这个键值也被特洛伊所监控。如果它被修改，特洛伊会重新设置这个键值。

特洛伊还会设置以下键值，以便将hp.tmp作为Browser Helper Object (BHO)安装在系统上：
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}\(Default) = ""
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objecta\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}\(Default) = ""
HKLM\Software\Classes\CLSID\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}\InprocServer32\(default) = %system%\hp.tmp
HKLM\Software\Classes\CLSID\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}\InprocServer32\ThreadingModel = "Apartment"
HKLM\Software\Classes\CLSID\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}\ProgID\(Default) = "VMHomepage.1"
HKLM\Software\Classes\CLSID\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}\Programmable\(Default) = " "
HKLM\Software\Classes\CLSID\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}\VersionIndependentProgID\{Default) = "VMHomepage"
HKLM\Software\Classes\CLSID\VMHomepage\CurVer = "VMHomepage.1"
HKLM\Software\Classes\CLSID\VMHomepage\CLSID = "{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}"
HKLM\Software\Classes\CLSID\VMHomepage.1\CLSID = "{cf673b59-8e6f-4a0b-b1b9-3224d24f6800}"


危害
改变系统设置
木马会修改下列注册表键值，以修改用户IE主页、搜索页面和Search Bar:
HKCU\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
HKCU\Software\Microsoft\Internet Explorer\Main\Local Page
HKCU\Software\Microsoft\Internet Explorer\Main\Start Page
HKCU\Software\Microsoft\Internet Explorer\Main\Search bar
HKCU\Software\Microsoft\Internet Explorer\Main\Use Search Asst
HKCU\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
HKCU\Software\Microsoft\Internet Explorer\Main\Search Page
HKCU\Software\Microsoft\Internet Explorer\Search URL\(Default)
HKCU\Software\Microsoft\Internet Explorer\Search
HKCU\Software\Microsoft\Internet Explorer\CustomizeSearch

监控互联网活动
除了启动文件"intmonp.exe"之外，"popuper.exe"还用来监视用户使用IE所访问过的站点。它会周期性的把这些信息记录在文件"sites.ini"中（文件所在目录和木马被执行时所在的目录为同一目录）

移除BHO（Browser Helper Objects）
木马会通过删除下面这个注册表键值下的所有子键值来删除系统中的所有BHO(Browser Helper Objects):
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

也包括所有参考文件用到的默认键值。

其他信息
木马修改下面这个注册表键值以便可以使用Browser Helper Objects:
HKCU\Software\Microsoft\Internet Explorer\main\Enable Browser Extensions = "yes"

谢谢楼上的资料啊,但是,我想知道怎么彻底的手工删除.难道没有人知道吗?

建议楼主安装专业的杀马软件查杀一下
比如
EWIDO
木马防线

我在网上搜索了一下
发现Psguard<你桌面上的快捷方式>和vitirusGold是间谍程序啊

AntivirusGold是一个间谍程序
详情请参考
http://www.kill.com.cn/security_serve/security_Spyware/1744.asp

我还认为是反间谍软件呢

个人认为
楼主桌面上的这三个快捷方式应该都是木马

不好意思问一下
这三个是自己安装的吗

附件: 364052200572265000.JPG

楼主桌面上用psguard spyware这个快捷方式
这个也是木马
详情参考http://www.kill.com.cn/vir/muma/middle/1838.asp