查看: 5216|回复: 10
收起左侧

winlogon出错-热键无法调用任务管理器-关机没有反应

[复制链接]
bjtm429108
发表于 2007-2-28 13:39:33 | 显示全部楼层 |阅读模式
xp+sp2,开机自检,停留在蓝色的欢迎使用界面上,停住不动,这时候用alt+tab切换,能看到三个弹出窗口,其中两个是“runtime at ******”,另一个是“winlogon出错,该内存不能written什么的——————记不清了”(有时无法切换到这个对话框)。但我对“runtime at ******”对话框点确定时,系统会重新启动,偶尔也能进入系统,就能看到“winlogon出错,该内存不能written什么的”对话框,然后弹出如下图对话框,点击后系统会重新启动,不理他的话,系统可以继续用。

进入安全模式没有问题!

xp+sp2无法调用任务管理器--在“开始-运行”中可以调用,在任务栏中可以调用,在文件夹内直接运行任务管理器程序都可以正常调用,就是热键不能调用,三个按键单独使用都好使,困惑阿,而且“开始-关闭计算机”没有任何反应。

没有使用过桌面锁定软件和魔法兔子之类的系统优化软件
wangjay1980
发表于 2007-2-28 13:57:37 | 显示全部楼层
插入你的安装盘,然后修复一下winlogon.exe
bjtm429108
 楼主| 发表于 2007-2-28 14:02:14 | 显示全部楼层

回复 #2 wangjay1980 的帖子

插入光盘后,选那个选项?选安装--修复?
wangjay1980
发表于 2007-2-28 14:30:55 | 显示全部楼层
运行CMD,打开命令提示符,然后输入sfc /scannow
bjtm429108
 楼主| 发表于 2007-2-28 14:39:08 | 显示全部楼层
现在基本可以肯定是网络的问题,进安全模式没问题,进带网络连接的安全模式就不行,拔了网线就都没问题
另外:开始修复以后,提示插入光盘,我放进光盘(番茄花园D版),修补程序不能辨认该光盘(光驱和盘都是好的),有别的办法吗
yangjie119
发表于 2007-2-28 15:06:28 | 显示全部楼层
sfc/ scannow 只能对一般的磁盘错误自动修复!但不能对执行文件错误作修复的
说白了就是对DLL  DAT文件等有用 这个问题可以见微软知识库 所以4楼的方法没用的 不信你可以看看 到天空重新下载winlogon.exe或者是用光盘引导系统 在V86模式下修复吧
wangjay1980
发表于 2007-2-28 15:12:18 | 显示全部楼层
你可以先查查是不是病毒引起的
bjtm429108
 楼主| 发表于 2007-2-28 15:33:08 | 显示全部楼层

回复 #7 wangjay1980 的帖子

是病毒,c:\windows\system32\cryptchr.dll,已解决,谢谢大家
yangjie119
发表于 2007-2-28 15:58:05 | 显示全部楼层
其实这个病毒并不复杂,可是他的伪装很迷惑人(见图),我以为他是我系统更新时微软的什么东西---汗阿,警惕性太低了,当系统出现开机winlogon出错关机没有反应时还跑去系统软件区求助http://forum.ikaka.com/topic.asp?board=3&artid=8274982,后来终于给我找到了答案----http://bbs1.pediy.com/showthread.php?s=1b46d36563faf91114edadeefae65cf2&threadid=39152&perpage=10&highlight=&pagenumber=3(这个网页不知道有毒没有,我的kis没报毒)
spoolsv.exe只是这个马的表面,它只负责点击一个网页,提高其点击率
它的主要的模块是在c:\windows\system32\cryptchr.dll里,这个东西是这样加载的
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RegMon32]
<WinlogonNotify: RegMon32><cryptchr.dll> [Microsoft Corporation]

cryptchr.dll里导出SysLogon和SysLogOff两个函数,SysLogon函数
003E530C >/>mov dword ptr [3E767C], 6DDD00
003E5316 |>xor eax, eax
003E5318 |>mov [3E7680], eax
003E531D |>mov eax, 003E76A8
003E5322 |>call 003E35B4
003E5327 |>push 1
003E5329 |>push 0
003E532B |>push 003E52DC
003E5330 |>push 0
003E5332 |>mov eax, [3E60D8]
003E5337 |>push eax
003E5338 |>call <jmp.&winmm.timeSetEvent>
003E533D |>mov [3E7684], eax
003E5342 |>call 003E4C44
003E5347 |>call 003E4D60
003E534C \>retn

SysLogOff函数
003E5350 >/$ E8 3BFDFFFF call 003E5090
003E5355 |. 833D 84763E00 0>cmp dword ptr [3E7684], 0
003E535C |. 74 0B je short 003E5369
003E535E |. A1 84763E00 mov eax, [3E7684]
003E5363 |. 50 push eax
003E5364 |. E8 ABF7FFFF call <jmp.&winmm.timeKillEvent>
003E5369 \> C3 retn

彻底清除的步骤:
1. 终止spoolsv.exe
2. 使用SRE删除掉这一注册表项[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RegMon32]
<WinlogonNotify: RegMon32><cryptchr.dll> [Microsoft Corporation]
3. 删除c:\windows\system32\cryptchr.dll
删除c:\windows\Temp\FileMap.dat
删除c:\windows\spoolsv.exe
删除C:\Documents and Settings\Username\Local Settings\Temporary Internet Files\Content.IE5\里面所有的东西,特别是SDI_20061207[1].exe
删除C:\Documents and Settings\Username\Local Settings\Temporary Internet Files下面所有的东西

这是LS 您的帖子吧 哈哈
bjtm429108
 楼主| 发表于 2007-2-28 17:23:00 | 显示全部楼层

回复 #9 yangjie119 的帖子

是的,有什么不对??没办法,自己水平太低,只能不停的摆渡+谷歌,好在找到了答案
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 07:18 , Processed in 0.125316 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表