winlogon出错-热键无法调用任务管理器-关机没有反应

bjtm429108

xp+sp2,开机自检，停留在蓝色的欢迎使用界面上，停住不动，这时候用alt+tab切换，能看到三个弹出窗口，其中两个是“runtime at ******”，另一个是“winlogon出错，该内存不能written什么的——————记不清了”（有时无法切换到这个对话框）。但我对“runtime at ******”对话框点确定时，系统会重新启动，偶尔也能进入系统，就能看到“winlogon出错，该内存不能written什么的”对话框，然后弹出如下图对话框，点击后系统会重新启动，不理他的话，系统可以继续用。

进入安全模式没有问题！

xp+sp2无法调用任务管理器--在“开始-运行”中可以调用，在任务栏中可以调用，在文件夹内直接运行任务管理器程序都可以正常调用，就是热键不能调用，三个按键单独使用都好使，困惑阿，而且“开始-关闭计算机”没有任何反应。

没有使用过桌面锁定软件和魔法兔子之类的系统优化软件

wangjay1980

插入你的安装盘，然后修复一下winlogon.exe

bjtm429108

插入光盘后，选那个选项？选安装--修复？

wangjay1980

运行CMD，打开命令提示符，然后输入sfc /scannow

bjtm429108

现在基本可以肯定是网络的问题，进安全模式没问题，进带网络连接的安全模式就不行，拔了网线就都没问题
另外：开始修复以后，提示插入光盘，我放进光盘（番茄花园D版），修补程序不能辨认该光盘（光驱和盘都是好的），有别的办法吗

yangjie119

sfc/ scannow 只能对一般的磁盘错误自动修复!但不能对执行文件错误作修复的
说白了就是对DLL  DAT文件等有用 这个问题可以见微软知识库 所以4楼的方法没用的 不信你可以看看 到天空重新下载winlogon.exe或者是用光盘引导系统 在V86模式下修复吧

wangjay1980

你可以先查查是不是病毒引起的

bjtm429108

是病毒，c:\windows\system32\cryptchr.dll，已解决，谢谢大家

yangjie119

其实这个病毒并不复杂，可是他的伪装很迷惑人（见图），我以为他是我系统更新时微软的什么东西---汗阿，警惕性太低了，当系统出现开机winlogon出错关机没有反应时还跑去系统软件区求助http://forum.ikaka.com/topic.asp?board=3&artid=8274982，后来终于给我找到了答案----http://bbs1.pediy.com/showthread.php?s=1b46d36563faf91114edadeefae65cf2&threadid=39152&perpage=10&highlight=&pagenumber=3（这个网页不知道有毒没有，我的kis没报毒）
spoolsv.exe只是这个马的表面，它只负责点击一个网页，提高其点击率
它的主要的模块是在c:\windows\system32\cryptchr.dll里，这个东西是这样加载的
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RegMon32]
<WinlogonNotify: RegMon32><cryptchr.dll> [Microsoft Corporation]

cryptchr.dll里导出SysLogon和SysLogOff两个函数，SysLogon函数
003E530C >/>mov dword ptr [3E767C], 6DDD00
003E5316 |>xor eax, eax
003E5318 |>mov [3E7680], eax
003E531D |>mov eax, 003E76A8
003E5322 |>call 003E35B4
003E5327 |>push 1
003E5329 |>push 0
003E532B |>push 003E52DC
003E5330 |>push 0
003E5332 |>mov eax, [3E60D8]
003E5337 |>push eax
003E5338 |>call <jmp.&winmm.timeSetEvent>
003E533D |>mov [3E7684], eax
003E5342 |>call 003E4C44
003E5347 |>call 003E4D60
003E534C \>retn

SysLogOff函数
003E5350 >/$ E8 3BFDFFFF call 003E5090
003E5355 |. 833D 84763E00 0>cmp dword ptr [3E7684], 0
003E535C |. 74 0B je short 003E5369
003E535E |. A1 84763E00 mov eax, [3E7684]
003E5363 |. 50 push eax
003E5364 |. E8 ABF7FFFF call <jmp.&winmm.timeKillEvent>
003E5369 \> C3 retn

彻底清除的步骤：
1. 终止spoolsv.exe
2. 使用SRE删除掉这一注册表项[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RegMon32]
<WinlogonNotify: RegMon32><cryptchr.dll> [Microsoft Corporation]
3. 删除c:\windows\system32\cryptchr.dll
删除c:\windows\Temp\FileMap.dat
删除c:\windows\spoolsv.exe
删除C:\Documents and Settings\Username\Local Settings\Temporary Internet Files\Content.IE5\里面所有的东西，特别是SDI_20061207[1].exe
删除C:\Documents and Settings\Username\Local Settings\Temporary Internet Files下面所有的东西

这是LS 您的帖子吧 哈哈

bjtm429108

是的，有什么不对？？没办法，自己水平太低，只能不停的摆渡+谷歌，好在找到了答案