瑞星卡卡安全论坛

昨天杀毒时杀到“病毒（Backdoor.Gpigeon.tgz）”，瑞星提示已经清除成功，我重启后再杀发现还是有该病毒，瑞星再次提示清除成功，我没有再杀，不过感觉病毒还是没有被清除，我用的瑞星的版本是：17.53.02
如果有哪位高手知道是怎么回事的话请给我指点指点，谢谢

【回复“樱风幻灭”的帖子】
还有，我的机器不知道为什么，开机时很慢，用的时windowsXP系统，在登陆帐号进入之后，有好长一段时间屏幕只有桌面的背景图片，而桌面上的图标却一个都没有显示，大概要过一分多钟后才会显示出来，不知道是为什么。因为我用正版瑞星杀毒之后，只杀到一个“病毒”（Backdoor.Gpigeon.tgz），请问是不是就是这个病毒才使我的电脑开机如此之慢的啊？有没什么办法恢复的啊？因为这样让人很不爽，大家应该都能体会的。
希望有人告诉我，感激不尽

怎么没人告诉我啊？电脑速度真的很慢

希望哪位高手看到，帮小弟解决一下

HJ日志

【回复“独孤豪侠”的帖子】
什么日志？？我是菜鸟，不明白

引用:

【樱风幻灭的贴子】【回复“樱风幻灭”的帖子】 还有，我的机器不知道为什么，开机时很慢，用的时windowsXP系统，在登陆帐号进入之后，有好长一段时间屏幕只有桌面的背景图片，而桌面上的图标却一个都没有显示，大概要过一分多钟后才会显示出来，不知道是为什么。因为我用正版瑞星杀毒之后，只杀到一个“病毒”（Backdoor.Gpigeon.tgz），请问是不是就是这个病毒才使我的电脑开机如此之慢的啊？有没什么办法恢复的啊？因为这样让人很不爽，大家应该都能体会的。 希望有人告诉我，感激不尽 ...........................

你这种现象和我上次中的一个灰鸽子一样,开机只有背景,没有图标,要等瑞星启动后才会看见图标,
你用http://forum.ikaka.com/topic.asp?board=28&artid=6979213一楼附件里的工具扫个日志上来看看.

【回复“神无”的帖子】
是这个东西吗？
当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\rising\Rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\rising\Rfw\RfwMain.exe
C:\WINDOWS\VM_STI.EXE
C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\WINDOWS\System32\ezSP_Px.exe
C:\PROGRA~1\RISING\RAV\RAVMON.EXE
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\RISING\RAV\Rav.exe
E:\Tencent\TT\TTraveler.exe
C:\Documents and Settings\cc\桌面\2535952005811174944\HijackThis1991zww.exe


看了版主baohe的帖子【关于查杀“灰鸽子2005”的一点建议】之后觉得应该再加上这个，也不知道自己做的对不对，到底还是不太懂这些难懂的东西呀
O23 - NT 服务: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - NT 服务: Human Interface Device WanGS - www.huigezi.net - C:\WINDOWS\system32.exe
O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - C:\Program Files\rising\Rfw\rfwsrv.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
O23 - NT 服务: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\COMMON~1\SONYSH~1\AVLib\Sptisrv.exe

这个是我在开机杀毒时扫描的，当时杀毒已经杀到一半，那个病毒（Backdoor.Gpigeon.tgz）提示清除成功。不过每次杀毒它都提示清除成功的，然后每次重启开机后再杀还是有的，真的是怎么杀也杀不掉，郁闷的。
我也看了论坛上介绍这个病毒相关的帖子，好像说要手动杀毒的，光用杀毒软件是杀不掉的，可以我是菜鸟，怎么以看不明白该怎么弄，非常苦恼呢。

4楼和6楼的兄弟，看到的话再帮我解释一下，感激

O23 - NT 服务: Human Interface Device WanGS - www.huigezi.net - C:\WINDOWS\system32.exe
把这个服务禁掉，删除system32.exe这个文件

【回复“ztq506”的帖子】
谢谢指点

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\rising\Rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\rising\Rfw\RfwMain.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\VM_STI.EXE
C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\WINDOWS\System32\ezSP_Px.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe
C:\WINDOWS\System32\ctfmon.exe
E:\Tencent\TT\TTraveler.exe
C:\WINDOWS\System32\conime.exe
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\Program Files\rising\rav\RavMon.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\rundll32.exe
C:\Documents and Settings\cc\桌面\2535952005811174944\HijackThis1991zww.exe


O23 - NT 服务: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - NT 服务: Human Interface Device WanGS - Unknown owner - C:\WINDOWS\system32.exe
O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - C:\Program Files\rising\Rfw\rfwsrv.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
O23 - NT 服务: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\COMMON~1\SONYSH~1\AVLib\Sptisrv.exe

请大家帮我看看，这样的日志还有问题吗？病毒有没有清除干净，谢谢

O23 - NT 服务: Human Interface Device WanGS - Unknown owner - C:\WINDOWS\system32.exe
鸽子
请到瑞星首页下载专杀工具.
http://it.rising.com.cn/service/technology/Ravgpk_Download.htm

O23 - NT 服务: Human Interface Device WanGS - Unknown owner - C:\WINDOWS\system32.exe灰鸽子.
建议到安全模式下操作,重启一直按F8,选择安全模式启动,清空IE临时文件夹,运行regedit确定,定位到HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES删除注册表左面菜单键值Human Interface Device WanGS ,整个删除.显示系统和隐藏文件,在\WINDOWS文件夹下搜索system32.exe、.system32dll、system32_hook.dll以及system32Key.dll找到几个删几个,不一定能全找到.注意\WINDOWS下有个system32文件夹不要删了,你要找的是文件.重启到正常模式,再扫个日志上来看看

附件: 52209820051117190157.bmp

可是我已经下载了“灰鸽子专杀工具”和升级了最新版的瑞星杀毒，杀了之后都没有病毒了已经，但是日志还是和上面一样，有O23 - NT 服务: Human Interface Device WanGS - Unknown owner - C:\WINDOWS\system32.exe
那这又是什么问题，该如何解决？谢谢

【回复“ztq506”的帖子】
还有，10楼说的禁用服务和删除文件怎么搞，请教！！

请看14楼

引用:

【神无的贴子】O23 - NT 服务: Human Interface Device WanGS - Unknown owner - C:\WINDOWS\system32.exe灰鸽子. 建议到安全模式下操作,重启一直按F8,选择安全模式启动,清空IE临时文件夹,运行regedit确定,定位到HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES删除注册表左面菜单键值Human Interface Device WanGS ,整个删除.显示系统和隐藏文件,在\WINDOWS文件夹下搜索system32.exe、.system32dll、system32_hook.dll以及system32Key.dll找到几个删几个,不一定能全找到.注意\WINDOWS下有个system32文件夹不要删了,你要找的是文件.重启到正常模式,再扫个日志上来看看 ...........................

不好意思，请问在正常模式下直接到注册表里删除HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES左面菜单键值Human Interface Device WanGS 行不行啊？

我在正常模式下运行注册表找到14楼说的那个注册表里的东西如图

附件: 28074720051117224452.jpg

我在正常模式下运行注册表找到14楼说的那个注册表里的东西如图1

附件: 28074720051117224925.jpg

注册表截图2

附件: 28074720051117225116.jpg

根据14所说的，不过我是在正常模式下，在C盘WINDOWS下搜索system32.exe结果如图：

附件: 28074720051117225521.jpg

只要能删除,在那删都一样,有些在正常模式不能删除,只能到安全模式下删.

现在杀软还报毒吗?

根据14楼的指点，只不过我是在正常模式下操作的，因为我前面说过灰鸽子专杀和最新瑞星杀毒已经杀不出毒，病毒为0，可是日志中始终还是有你们说的灰鸽子那个服务项，所以搞不清除了都，头晕了，虽然电脑无大的异常，但是在浏览网页是经常会死机一样的卡住，然后开任务管理器，浏览器对CPU使用率几乎100％，这个是不是还跟灰鸽子病毒有关啊？请教

已经不报毒了，那个在C盘WINDOWS下搜索出来的2个文件都删除吗？可是我没有像“神无”兄弟说的那样进安全模式，而且那个文件夹选项中“隐藏受保护的操作系统文件（推荐）”的这个勾我也没去掉，这样会有影响吗？会不会还有其他的system32文件没搜索到呢？
非常感谢“神无”兄弟对我的帮助！

引用:

【神无的贴子】只要能删除,在那删都一样,有些在正常模式不能删除,只能到安全模式下删. ...........................

不好意思，刚才在写回帖，没看到你回的这个贴，你的意思是：进那个模式都一样是吧，只要能删除就OK是这样的吧！
谢谢，多少明白了一些，总算长了点见识

C盘WINDOWS下的system32应用程序好像删不掉，看来要进安全模式删了