各位大哥,最近几天我开机的时候瑞星都会出一个框框说我中了木马而且还说已经把它杀掉了.我用瑞星杀毒,也没说中病毒.可等我第二天再开机,那个框框有跳出来了,我晕.一样的办法用瑞星去杀,还是没病毒. 第三天,第四天还是这样.人都被这个木马搞疯了.哪位大哥知道原因和解决的办法???帮帮忙啊！！！
以下附上我的日志，请帮我看看到底哪里中毒了，谢谢了！！

HijackThis_zww汉化版扫描日志 V1.99.1
保存于      10:05:09, 日期 2005-10-1
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
d:\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
d:\rising\rfw\RfwMain.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\taskswitch.exe
D:\RISING\RAV\RAVTIMER.EXE
D:\RISING\RAV\RAVMON.EXE
D:\RISING\RAV\CCENTER.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\CTFMON.EXE
D:\RISING\RAV\Ravmond.exe
D:\RISING\RAV\RavStub.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
D:\Tencent\QQ.exe
D:\Tencent\TIMPlatform.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\HijackThis1991汉化版\HijackThis1991zww.exe

O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\Tencent\QQIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\FlashGet\jccatch.dll
O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\FlashGet\fgiebar.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - 启动项HKLM\\Run: [RfwMain] "D:\Rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [RavTimer] D:\RISING\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] D:\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - D:\Tencent\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 使用Kugoo下载 - D:\KuGoo2\KugooDownX.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - D:\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - D:\FlashGet\jc_all.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\Tencent\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\Tencent\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\Tencent\SendMMS.htm
O9 - 浏览器额外的按钮: 番茄花园 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://tomatolei.com (file missing)
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\Tencent\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\Tencent\QQ.EXE
O9 - 浏览器额外的按钮: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\FlashGet\flashget.exe
O9 - 浏览器额外的“工具”菜单项: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\FlashGet\flashget.exe
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\Tencent\QQIEHelper.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\Tencent\QQIEHelper.dll
O14 - IERESET.INF: START_PAGE_URL=http://tomatolei.com
O23 - NT 服务: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - NT 服务: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - NT 服务: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exe
O23 - NT 服务: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - d:\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - D:\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\RISING\RAV\Ravmond.exe

不好意思，我的HijackThis V1.99.1是汉化版！

O23 - NT 服务: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\G_Server.exe是灰鸽子。
现将灰鸽子2005的手工查杀方法总结如下，供朋友们参考。
灰鸽子2005的特点是“三个隐藏”——隐藏进程、隐藏服务、隐藏病毒文件。灰鸽子2005感染系统后，将自身注册为系统服务，并在同一目录下生成一组（3个）隐藏的病毒文件；病毒文件名可变，但有一定规律。目前为止，我见过的病毒文件均在%WinDir%下；病毒文件名可以是以下三组之一：
1、 G_Server.exe，G_Server.dll，G_Server_Hook.dll
2、 IExplorer.exe，IExplorer.dll,，IExplorer_Hook.dll
3、 Winlogon.exe，Winlogon.dll，Winlogon_Hook.dll
病毒文件名的命名规律是：X.exe，X.dll，X_Hook.dll，其中“X”指文件名的变化部分。在WINDOWS模式下，三个病毒文件均为隐藏文件。在“文件夹选项”的“查看”面板中勾选“显示系统文件夹内容”、“显示所有文件及文件夹”两个选项后，在安全模式下才能看到病毒文件。

手工查杀灰鸽子2005的关键是找到病毒注册的系统服务名及病毒文件X.exe所在位置。用HijackThis 1.99.0扫日志即可达到此目的（见附图）。HijackThis 1.99.0的下载地址：http://forum.ikaka.com/download.asp?id=5188960。这步操作在普通WINDOWS模式下即可完成，不一定非在“安全模式”下完成。



确定并记下病毒服务名称后，即可重启系统至安全模式，打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\ SYSTEM\ CURRENT CONTROLSET\ SERVICES \ 病毒服务名称（如：“GrayPigeonServer”），将其删除。




在“安全模式”下，在“文件夹选项”的“查看”面板中勾选“显示系统文件夹内容”、“显示所有文件及文件夹”两个选项，按“确定”按钮。根据HijackThis日志中提示的病毒文件所在路径，找到病毒文件，删除之。重启系统，手工杀毒即告完成。

此外C:\WINNT\system32\regsvc.exe是“远程注册表操作”（一个系统服务），建议关闭它。