【紧急求助】开机每次提示winlogo.exe调用内存有问题！！！！

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【紧急求助】开机每次提示winlogo.exe调用内存有问题！！！！

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 1 页

跳转页

【紧急求助】开机每次提示winlogo.exe调用内存有问题！！！！

xxx134134 初生襁褓狮帖子:4 注册: 2005-12-08 来自:	发表于： 2005-12-08 10:45 \| 只看楼主短消息资料字号：小中大 1楼【紧急求助】开机每次提示winlogo.exe调用内存有问题！！！！问题如下：在开机时出现winlogo.exe应用程序错误：“0x7c9318d0”指令引用的“0x00000000”内存。该内存不能为“written”,要终止程序，请单击确定。请问这是什么问题？是不是传说中的灰鸽子啊？？？用灰鸽子手动杀毒方法，在安全模式下找到3个文件：comie.exe,comie.dll,comie_hook.dll,在注册表中找到相应项，全删除后开机问题依旧。求各路大虾帮忙，不胜感激中~~~~~~~~~~ 2005-12-09 10:27:27
xxx134134 初生襁褓狮帖子:4 注册: 2005-12-08 来自:	分享到：

BlackStone 叱咤花甲狮帖子:2616 注册: 2005-09-27 来自:	发表于： 2005-12-08 11:12 \| 短消息资料字号：小中大 2楼用Autoruns保存一个日志发上来日志保存方法:选择File->Save菜单项保存日志时注意选择Options->Hide Microsoft Entries菜单项(设置了这项后点工具栏的刷新按钮) 工具的下载、使用参考http://forum.ikaka.com/topic.asp?board=28&artid=7318038
BlackStone 叱咤花甲狮帖子:2616 注册: 2005-09-27 来自:

影子110 叱咤花甲狮帖子:4210 注册: 2005-04-10 来自:怀黯	发表于： 2005-12-08 11:15 \| 短消息资料字号：小中大 3楼用HijackThis扫个日志上来~~~ HijackThis V1.99.1汉化版下载及英文原版下载地址（二楼） http://forum.ikaka.com/topic.asp?board=67&artid=5188931 （winlogo.exe这个可能是木马吧）
影子110 叱咤花甲狮帖子:4210 注册: 2005-04-10 来自:怀黯

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2005-12-08 11:42 \| 短消息资料字号：小中大 4楼【回复“xxx134134”的帖子】这是以前杀的一个后门。不知道与你中的是否相同。以下内容仅供参考： ———————————————————— winlogo.exe（卡巴斯基报Backdoor.Win32.Delf.aeo）的查杀： 1、这个后门插入iexplore.exe进程运行。因此，必须现在进程列表中找到iexplore.exe，结束之。 2、删除c:\windows\文件夹中的winlogo.exe。 3、清理注册表：打开注册表编辑器，依次点击HKEY_LOCAL_MACHINE、SYSTEM、CurrentControlSet、ervices 删除左栏中的task。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

xxx134134 初生襁褓狮帖子:4 注册: 2005-12-08 来自:	发表于： 2005-12-08 12:30 \| 只看楼主短消息资料字号：小中大 5楼谢谢先，日志文件上传好像有点问题，直接发上来吧。日志文件如下： HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run + advapi32 Internet Service Center ISC c:\windows\downloaded program files\_is_0518\_is_isc.dll + HT File not found: rem + IMSCMig File not found: rem + PHIME2002A File not found: rem + PHIME2002ASync File not found: rem + WindowsUpdate File not found: rem C:\Documents and Settings\user\「开始」菜单\程序\启动 + 腾讯通.lnk Tencent d:\program files\tencent\rtx\rtxc.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Run + KvXP KvXP Control Module Jiangmin Co.Ltd c:\program files\kv2005\kvxp.kxp HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved + Display Panning CPL Extension File not found: deskpan.dll + HyperTerminal Icon Ext HyperTerminal Applet Library Hilgraeve, Inc. c:\windows\system32\hticons.dll + Shell Extensions for RealOne Player RealPlayer Shell Extensions RealNetworks, Inc. c:\program files\real\realplayer\rpshell.dll + WinRAR shell extension c:\program files\winrar\rarext.dll + Yahoo!Photo yPhtb Yahoo! China c:\program files\yahoo!\assistant\assist\yphtb.dll + 粉碎文件 Wiper 动态链接库 c:\program files\yahoo!\assistant\assist\ywiper.dll HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects + AntiFish Class yangling.dll Yahoo. c:\program files\yahoo!\assistant\assist\yangling.dll + BandIE Class BaiduBar Module Baidu.com, Inc. c:\program files\baidu\bar\baidubar.dll + BrowseHelper Class Shell Plugin JiangMin Lmt c:\program files\kv2005\kvshell_1.dll + DragSearch BHO DragSearch c:\program files\yahoo!\assistant\assist\ydragsearch.dll + EyeOnBrowser Class WebPlug Module c:\windows\downloaded program files\_is_0518\_is_webh.dll + IEHlprObj Class File not found: C:\Program Files\Xplus\GETIE.dll + QQBrowserHelperObject Class QQIEHelper Module 深圳市腾讯计算机系统有限公司 c:\program files\tencent\qq\qqiehelper.dll + ThunderIEHelper Class xunleibho BHO c:\windows\system32\xunleibho_v8.dll + Yahoo!Photo yPhtb Yahoo! China c:\program files\yahoo!\assistant\assist\yphtb.dll + 雅虎助手 ToolBar Yahoo! c:\program files\yahoo!\assistant\assist\yasbar.dll HKLM\Software\Microsoft\Internet Explorer\Toolbar + VirusDoctor Shell Plugin JiangMin Lmt c:\program files\kv2005\kvshell_1.dll + 雅虎助手 ToolBar Yahoo! c:\program files\yahoo!\assistant\assist\yasbar.dll HKLM\Software\Microsoft\Internet Explorer\Extensions + Yahoo 1G电邮 File not found: http://cn.mail.yahoo.com/promo/rd1 + 情景聊天 File not found: http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/ + 寻宝乐趣多 File not found: http://hot.3721.com/rd/shop_btn.htm Task Scheduler + DDD_Install_Program.job File not found: C:\DOCUME~1\user\LOCALS~1\Temp\remotesetup.exe HKLM\System\CurrentControlSet\Services + .Net Boot Service c:\windows\system32\big5_gb2312.exe + Internet 为家庭和小型办公网络提供网络地址转换、寻址和名称解析管理信息。 c:\windows\system32\ravext\winlogo.exe + KVSrvXP KV Service (Build 720) JiangMin New Tech Ltd. c:\program files\kv2005\kvsrvxp.exe + KVWSC KVWSC Application Jiangmin Co.Ltd c:\program files\kv2005\kvwsc.exe + ntrtscan Trend Micro Inc. c:\program files\trend micro\officescan client\ntrtscan.exe + PDSched PDSched Module Raxco Software, Inc. c:\program files\raxco\perfectdisk\pdsched.exe + tmlisten Trend Micro Inc. c:\program files\trend micro\officescan client\tmlisten.exe + windows 系统文件 c:\windows\windows.exe HKLM\System\CurrentControlSet\Services + KRegEx Trojan and Registry Monitor Jiangmin Co. c:\windows\system32\drivers\kregex.sys + KSysCall KSysCall Service Jiangmin Co. Ltd. c:\program files\kv2005\ksyscall.sys + KVDP KV2005 device driver for WinNT Beijing Jiangmin New Sci.&Tec. Co.Ltd. c:\program files\kv2005\kvdp.sys + Ptilink Direct Parallel Link Driver Parallel Technologies, Inc. c:\windows\system32\drivers\ptilink.sys + rtl8139 Realtek RTL8139 NDIS 5.0 Driver Realtek Semiconductor Corporation c:\windows\system32\drivers\rtl8139.sys + Secdrv SafeDisc driver c:\windows\system32\drivers\secdrv.sys + SiS315 SiS Compatible Super VGA Driver Silicon Integrated Systems Corporation c:\windows\system32\drivers\sisgrp.sys + SiS7012 SiS 7012 Audio Device WDM Driver Silicon Integrated Systems Corporation c:\windows\system32\drivers\sis7012.sys + sisagp SiS NT AGP Filter Silicon Integrated Systems Corporation c:\windows\system32\drivers\sisagp.sys + TAX20002 UsbIc HSIC System Application Co., Ltd c:\windows\system32\drivers\tax20002.sys + TmFilter Post Filter For XP Trend Micro Inc. c:\program files\trend micro\officescan client\tmxpflt.sys + TmPreFilter Pre-Filter For XP Trend Micro Inc. c:\program files\trend micro\officescan client\tmpreflt.sys + VSApiNt VsapiNT Trend Micro Inc. c:\program files\trend micro\officescan client\vsapint.sys + Ycwyyyqh File not found: C:\WINDOWS\system32\drivers\Ycwyyyqh.sys HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute + PDBoot.exe PerfectDisk Boot Time Defragmentation Raxco Software, Inc. c:\windows\system32\pdboot.exe HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9 + MSAFD Tcpip [RAW/IP] KVWspXP JiangMin Ltd. c:\windows\system32\kvwspxp.dll + MSAFD Tcpip [TCP/IP] KVWspXP JiangMin Ltd. c:\windows\system32\kvwspxp.dll + MSAFD Tcpip [UDP/IP] KVWspXP JiangMin Ltd. c:\windows\system32\kvwspxp.dll
xxx134134 初生襁褓狮帖子:4 注册: 2005-12-08 来自:

BlackStone 叱咤花甲狮帖子:2616 注册: 2005-09-27 来自:	发表于： 2005-12-08 12:42 \| 短消息资料字号：小中大 6楼 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run + advapi32 Internet Service Center ISC c:\windows\downloaded program files\_is_0518\_is_isc.dll HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects + EyeOnBrowser Class WebPlug Module c:\windows\downloaded program files\_is_0518\_is_webh.dll HKLM\System\CurrentControlSet\Services + .Net Boot Service c:\windows\system32\big5_gb2312.exe + Internet 为家庭和小型办公网络提供网络地址转换、寻址和名称解析管理信息。 c:\windows\system32\ravext\winlogo.exe + windows 系统文件 c:\windows\windows.exe HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute + PDBoot.exe PerfectDisk Boot Time Defragmentation Raxco Software, Inc. c:\windows\system32\pdboot.exe 删除启动项重启删除c:\windows\system32\pdboot.exe；c:\windows\downloaded program files\_is_0518\_is_isc.dll；c:\windows\downloaded program files\_is_0518\_is_webh.dll；c:\windows\system32\big5_gb2312.exe；c:\windows\system32\ravext\winlogo.exe；c:\windows\windows.exe试试注意操作步骤
BlackStone 叱咤花甲狮帖子:2616 注册: 2005-09-27 来自:

初生襁褓狮

帖子:4
注册: 2005-12-08
来自:

发表于： 2005-12-08 12:55 | 只看楼主 短消息资料

字号：小中大 7楼

引用:

【BlackStone的贴子】HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
+ advapi32 Internet Service Center ISC c:\windows\downloaded program files\_is_0518\_is_isc.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper s
+ EyeOnBrowser Class WebPlug Module c:\windows\downloaded program files\_is_0518\_is_webh.dll

HKLM\System\CurrentControlSet\Services
+ .Net Boot Service c:\windows\system32\big5_gb2312.exe
+ Internet 为家庭和小型办公网络提供网络地址转换、寻址和名称解析管理信息。 c:\windows\system32\ravext\winlogo.exe
+ windows 系统文件 c:\windows\windows.exe

HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
+ PDBoot.exe PerfectDisk Boot Time Defragmentation Raxco Software, Inc. c:\windows\system32\pdboot.exe

删除启动项
重启
删除c:\windows\system32\pdboot.exe；c:\windows\downloaded program files\_is_0518\_is_isc.dll；c:\windows\downloaded program files\_is_0518\_is_webh.dll；c:\windows\system32\big5_gb2312.exe；c:\windows\system32\ravext\winlogo.exe；c:\windows\windows.exe试试

注意操作步骤
...........................

十分感谢BlackStone的大力帮助，先试一下~~~~~~~~~~

xxx134134 初生襁褓狮帖子:4 注册: 2005-12-08 来自:	发表于： 2005-12-09 10:27 \| 只看楼主短消息资料字号：小中大 8楼这个问题解决了，谢谢~~~~~~
xxx134134 初生襁褓狮帖子:4 注册: 2005-12-08 来自:

<<上一主题|下一主题>>

1 / 1 页

跳转页

xxx134134 初生襁褓狮帖子:4 注册: 2005-12-08 来自:	发表于： 2005-12-08 10:45 \| 只看楼主短消息资料字号：小中大 1楼【紧急求助】开机每次提示winlogo.exe调用内存有问题！！！！问题如下：在开机时出现winlogo.exe应用程序错误：“0x7c9318d0”指令引用的“0x00000000”内存。该内存不能为“written”,要终止程序，请单击确定。请问这是什么问题？是不是传说中的灰鸽子啊？？？用灰鸽子手动杀毒方法，在安全模式下找到3个文件：comie.exe,comie.dll,comie_hook.dll,在注册表中找到相应项，全删除后开机问题依旧。求各路大虾帮忙，不胜感激中~~~~~~~~~~ 2005-12-09 10:27:27
xxx134134 初生襁褓狮帖子:4 注册: 2005-12-08 来自:	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【紧急求助】开机每次提示winlogo.exe调用内存有问题！！！！

【紧急求助】开机每次提示winlogo.exe调用内存有问题！！！！

【紧急求助】开机每次提示winlogo.exe调用内存有问题！！！！

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛【紧急求助】开机每次提示winlogo.exe调用内存有问题！！！！