Logfile of HijackThis v1.99.1
Scan saved at 8:45:43, on 2006-4-27
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\dslagent.exe
C:\WINDOWS\VM_STI.EXE
C:\WINDOWS\System32\GSICON.EXE
C:\Program Files\Rising\Rav\RavTask.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\WINLOGON.EXE
E:\下载\hijackthis\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

R3 - URLSearchHook: (no name) - {BB936323-19FA-4521-BA29-ECA6A121BC78} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe 1
O2 - BHO: 上网助手 - {1B0E7716-898E-48cc-9690-4E338E8DE1D3} - C:\Program Files\3721\assist\assist.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: 上网助手 - {1B0E7716-898E-48cc-9690-4E338E8DE1D3} - C:\Program Files\3721\assist\assist.dll
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - HKLM\..\Run: [RavTimer] ; C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - HKLM\..\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE
O4 - HKLM\..\RunServices: [Torjan Program] C:\WINDOWS\WINLOGON.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] ; "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: 上传到QQ网络硬盘 - D:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - Extra context menu item: 使用网际快车下载 - D:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - D:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - D:\Program Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - D:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\Program Files\Tencent\QQ\SendMMS.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe
O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (CEditCtrl Object) - https://img.alipay.com/download/1007/aliedit.cab
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe

现在msconfig不能打开，用其他工具可以关闭启动项里面2个winlogon，但重启后还有，启动项里面还有个shell，我修改不了，而且指向是explorer.com,不是exe.瑞星现在也不能启动了，D盘打不开。

【回复“小惠湘”的帖子】
应该中了龙字传奇木马

参考
http://forum.ikaka.com/topic.asp?board=28&artid=7495863

又是你啊，谢谢了，我试试看。前几天中qq木马，qq被盗，好不容易才要回来，现在又中一个这样的东西。这个不是灰鸽子2005?

【回复“小惠湘”的帖子】
不是灰鸽子
但是一个恶意变态木马－－龙字传奇木马

不行啊，我照着上面的做，把那些删掉后，尤其是1.com这个文件，删了它，我所有的执行文件都不能运行了。特别变态的是还不让重装系统。没办法我只能从回收站把这个1又请回来，这次恢复“正常”。现在有没有专杀工具对付这个木马。瑞星好像对它一点办法都没有。还有我用专杀工具强制关闭winlogon，结果系统崩溃，是windows下面的这个winlogon

楼主是否没有先修复文件关联？

没有，我是先删文件，然后再去终止那个winlogon，结果就崩了，刚才还突然重启。

晕，那篇帖子不是讲得很清楚吗？
楼主应该是错把系统进程结束了，才会重启，要看清楚进程的路径。用Icesword来结束吧。下载Icesword后也要先把它后缀改为scr再运行。
结束进程后记得要用Regfix修复文件关联！要严格按照那个帖子的步骤来操作！

没看错啊，是大写的winlogon.刚才我试了，不管关真的还是假的都重启。

我现在下了一个ewido anti-malware,不知道效果如何，现在在扫描，还只扫了百分之17，就有74个文件有问题。