瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 【紧急求助】开机每次提示winlogo.exe调用内存有问题!!!!
xxx134134 - 2005-12-8 10:45:00
问题如下:
    在开机时出现winlogo.exe应用程序错误:“0x7c9318d0”指令引用的“0x00000000”内存。该内存不能为“written”,要终止程序,请单击确定。
    请问这是什么问题?是不是传说中的灰鸽子啊???用灰鸽子手动杀毒方法,在安全模式下找到3个文件:comie.exe,comie.dll,comie_hook.dll,在注册表中找到相应项,全删除后开机问题依旧。

    求各路大虾帮忙,不胜感激中~~~~~~~~~~

BlackStone - 2005-12-8 11:12:00
用Autoruns保存一个日志发上来
日志保存方法:选择File->Save菜单项
保存日志时注意选择Options->Hide Microsoft Entries菜单项(设置了这项后点工具栏的刷新按钮)

工具的下载、使用参考http://forum.ikaka.com/topic.asp?board=28&artid=7318038
影子110 - 2005-12-8 11:15:00
用HijackThis扫个日志上来~~~

HijackThis V1.99.1汉化版下载及英文原版下载地址(二楼)
http://forum.ikaka.com/topic.asp?board=67&artid=5188931

(winlogo.exe这个可能是木马吧)
baohe - 2005-12-8 11:42:00
【回复“xxx134134”的帖子】
这是以前杀的一个后门。不知道与你中的是否相同。以下内容仅供参考:
————————————————————
winlogo.exe(卡巴斯基报Backdoor.Win32.Delf.aeo)的查杀:

1、这个后门插入iexplore.exe进程运行。因此,必须现在进程列表中找到iexplore.exe,结束之。
2、删除c:\windows\文件夹中的winlogo.exe。
3、清理注册表:
打开注册表编辑器,依次点击HKEY_LOCAL_MACHINE、SYSTEM、CurrentControlSet、ervices
删除左栏中的task。
xxx134134 - 2005-12-8 12:30:00
谢谢先,日志文件上传好像有点问题,直接发上来吧。

日志文件如下:



HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run           

+ advapi32    Internet Service Center    ISC    c:\windows\downloaded program files\_is_0518\_is_isc.dll

+ HT            File not found: rem

+ IMSCMig            File not found: rem

+ PHIME2002A            File not found: rem

+ PHIME2002ASync            File not found: rem

+ WindowsUpdate            File not found: rem

C:\Documents and Settings\user\「开始」菜单\程序\启动           

+ 腾讯通.lnk        Tencent    d:\program files\tencent\rtx\rtxc.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run           

+ KvXP    KvXP Control Module     Jiangmin Co.Ltd    c:\program files\kv2005\kvxp.kxp

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved           

+ Display Panning CPL Extension            File not found: deskpan.dll

+ HyperTerminal Icon Ext    HyperTerminal Applet Library    Hilgraeve, Inc.    c:\windows\system32\hticons.dll

+ Shell Extensions for RealOne Player    RealPlayer Shell Extensions    RealNetworks, Inc.    c:\program files\real\realplayer\rpshell.dll

+ WinRAR shell extension            c:\program files\winrar\rarext.dll

+ Yahoo!Photo    yPhtb    Yahoo! China    c:\program files\yahoo!\assistant\assist\yphtb.dll

+ 粉碎文件    Wiper 动态链接库        c:\program files\yahoo!\assistant\assist\ywiper.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects           

+ AntiFish Class    yangling.dll    Yahoo.    c:\program files\yahoo!\assistant\assist\yangling.dll

+ BandIE Class    BaiduBar Module    Baidu.com, Inc.    c:\program files\baidu\bar\baidubar.dll

+ BrowseHelper Class    Shell Plugin    JiangMin Lmt    c:\program files\kv2005\kvshell_1.dll

+ DragSearch BHO    DragSearch        c:\program files\yahoo!\assistant\assist\ydragsearch.dll

+ EyeOnBrowser Class    WebPlug Module        c:\windows\downloaded program files\_is_0518\_is_webh.dll

+ IEHlprObj Class            File not found: C:\Program Files\Xplus\GETIE.dll

+ QQBrowserHelperObject Class    QQIEHelper Module    深圳市腾讯计算机系统有限公司    c:\program files\tencent\qq\qqiehelper.dll

+ ThunderIEHelper Class    xunleibho BHO        c:\windows\system32\xunleibho_v8.dll

+ Yahoo!Photo    yPhtb    Yahoo! China    c:\program files\yahoo!\assistant\assist\yphtb.dll

+ 雅虎助手    ToolBar    Yahoo!    c:\program files\yahoo!\assistant\assist\yasbar.dll

HKLM\Software\Microsoft\Internet Explorer\Toolbar           

+ VirusDoctor    Shell Plugin    JiangMin Lmt    c:\program files\kv2005\kvshell_1.dll

+ 雅虎助手    ToolBar    Yahoo!    c:\program files\yahoo!\assistant\assist\yasbar.dll

HKLM\Software\Microsoft\Internet Explorer\Extensions           

+ Yahoo 1G电邮            File not found: http://cn.mail.yahoo.com/promo/rd1

+ 情景聊天            File not found: http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/

+ 寻宝乐趣多            File not found: http://hot.3721.com/rd/shop_btn.htm

Task Scheduler           

+ DDD_Install_Program.job            File not found: C:\DOCUME~1\user\LOCALS~1\Temp\remotesetup.exe

HKLM\System\CurrentControlSet\Services           

+ .Net Boot Service            c:\windows\system32\big5_gb2312.exe

+ Internet    为家庭和小型办公网络提供网络地址转换、寻址和名称解析管理信息。        c:\windows\system32\ravext\winlogo.exe

+ KVSrvXP    KV Service (Build 720)    JiangMin New Tech Ltd.    c:\program files\kv2005\kvsrvxp.exe

+ KVWSC    KVWSC Application    Jiangmin Co.Ltd    c:\program files\kv2005\kvwsc.exe

+ ntrtscan        Trend Micro Inc.    c:\program files\trend micro\officescan client\ntrtscan.exe

+ PDSched    PDSched Module    Raxco Software, Inc.    c:\program files\raxco\perfectdisk\pdsched.exe

+ tmlisten        Trend Micro Inc.    c:\program files\trend micro\officescan client\tmlisten.exe

+ windows    系统文件        c:\windows\windows.exe

HKLM\System\CurrentControlSet\Services           

+ KRegEx    Trojan and Registry Monitor    Jiangmin Co.    c:\windows\system32\drivers\kregex.sys

+ KSysCall    KSysCall Service    Jiangmin Co. Ltd.    c:\program files\kv2005\ksyscall.sys

+ KVDP    KV2005 device driver for WinNT    Beijing Jiangmin New Sci.&Tec. Co.Ltd.    c:\program files\kv2005\kvdp.sys

+ Ptilink    Direct Parallel Link Driver    Parallel Technologies, Inc.    c:\windows\system32\drivers\ptilink.sys

+ rtl8139    Realtek RTL8139 NDIS 5.0 Driver    Realtek Semiconductor Corporation    c:\windows\system32\drivers\rtl8139.sys

+ Secdrv    SafeDisc driver        c:\windows\system32\drivers\secdrv.sys

+ SiS315    SiS Compatible Super VGA Driver    Silicon Integrated Systems Corporation    c:\windows\system32\drivers\sisgrp.sys

+ SiS7012    SiS 7012 Audio Device WDM Driver    Silicon Integrated Systems Corporation    c:\windows\system32\drivers\sis7012.sys

+ sisagp    SiS NT AGP Filter    Silicon Integrated Systems Corporation    c:\windows\system32\drivers\sisagp.sys

+ TAX20002    UsbIc    HSIC System Application Co., Ltd    c:\windows\system32\drivers\tax20002.sys

+ TmFilter    Post Filter For XP    Trend Micro Inc.    c:\program files\trend micro\officescan client\tmxpflt.sys

+ TmPreFilter    Pre-Filter For XP    Trend Micro Inc.    c:\program files\trend micro\officescan client\tmpreflt.sys

+ VSApiNt    VsapiNT     Trend Micro Inc.    c:\program files\trend micro\officescan client\vsapint.sys

+ Ycwyyyqh            File not found: C:\WINDOWS\system32\drivers\Ycwyyyqh.sys

HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute           

+ PDBoot.exe    PerfectDisk Boot Time Defragmentation    Raxco Software, Inc.    c:\windows\system32\pdboot.exe

HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9           

+ MSAFD Tcpip [RAW/IP]    KVWspXP    JiangMin Ltd.    c:\windows\system32\kvwspxp.dll

+ MSAFD Tcpip [TCP/IP]    KVWspXP    JiangMin Ltd.    c:\windows\system32\kvwspxp.dll

+ MSAFD Tcpip [UDP/IP]    KVWspXP    JiangMin Ltd.    c:\windows\system32\kvwspxp.dll

BlackStone - 2005-12-8 12:42:00
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ advapi32 Internet Service Center ISC c:\windows\downloaded program files\_is_0518\_is_isc.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
+ EyeOnBrowser Class WebPlug Module c:\windows\downloaded program files\_is_0518\_is_webh.dll

HKLM\System\CurrentControlSet\Services
+ .Net Boot Service c:\windows\system32\big5_gb2312.exe
+ Internet 为家庭和小型办公网络提供网络地址转换、寻址和名称解析管理信息。 c:\windows\system32\ravext\winlogo.exe
+ windows 系统文件 c:\windows\windows.exe

HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
+ PDBoot.exe PerfectDisk Boot Time Defragmentation Raxco Software, Inc. c:\windows\system32\pdboot.exe

删除启动项
重启
删除c:\windows\system32\pdboot.exe;c:\windows\downloaded program files\_is_0518\_is_isc.dll;c:\windows\downloaded program files\_is_0518\_is_webh.dll;c:\windows\system32\big5_gb2312.exe;c:\windows\system32\ravext\winlogo.exe;c:\windows\windows.exe试试

注意操作步骤
xxx134134 - 2005-12-8 12:55:00
引用:
【BlackStone的贴子】HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ advapi32 Internet Service Center ISC c:\windows\downloaded program files\_is_0518\_is_isc.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper s
+ EyeOnBrowser Class WebPlug Module c:\windows\downloaded program files\_is_0518\_is_webh.dll

HKLM\System\CurrentControlSet\Services
+ .Net Boot Service c:\windows\system32\big5_gb2312.exe
+ Internet 为家庭和小型办公网络提供网络地址转换、寻址和名称解析管理信息。 c:\windows\system32\ravext\winlogo.exe
+ windows 系统文件 c:\windows\windows.exe

HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
+ PDBoot.exe PerfectDisk Boot Time Defragmentation Raxco Software, Inc. c:\windows\system32\pdboot.exe

删除启动项
重启
删除c:\windows\system32\pdboot.exe;c:\windows\downloaded program files\_is_0518\_is_isc.dll;c:\windows\downloaded program files\_is_0518\_is_webh.dll;c:\windows\system32\big5_gb2312.exe;c:\windows\system32\ravext\winlogo.exe;c:\windows\windows.exe试试

注意操作步骤
...........................




十分感谢BlackStone的大力帮助,先试一下~~~~~~~~~~
xxx134134 - 2005-12-9 10:27:00
这个问题解决了,谢谢~~~~~~
1
查看完整版本: 【紧急求助】开机每次提示winlogo.exe调用内存有问题!!!!
© 2000 - 2026 Rising Corp. Ltd.