1。今天下午5点半下班回家，打开电脑。进入系统桌面，突然弹出对话框，警告瑞星的防火墙程序的内存写入错误，不应为WRITE……，然后就是杀软监控和防火墙无法启动。刚开始还一位是硬件的偶然错误，重启，问题依旧。
 
    2。怀疑是瑞星的杀软程序和什么软件出现冲突了，于是便把瑞星的杀软和防火墙都卸了重装，重启，问题依旧。打开任务管理器，未发现可以程序在运行。冰刃也未有收获。觉得可能不是病毒（之前的杀毒经历，我都是在后台的病毒程序进程入手的，还从未遇见过这样的病毒，如此的隐蔽，这是我觉得它牛X的一个理由），昨天晚上曾经装过几个小的工具软件，于是我想可能是装的软件的问题。把系统文件弄丢了。开始－运行－MSCONFIG，想查看下是不是昨天的软件又添了什么垃圾的启动项，可是按完确定，沙斗反复几下，依然没有打开我想要的程序。还发现，双击D盘无法打开，右键选择打开可以打开，在根目录下发现个45KB的名为pagefile的MS-DOS快捷方式图标。删除后，再次双击D盘出现下面的图中所示的对话框。右键双击还是可以打开的，过段时间pagefile死灰复燃。问题依旧。

    3。此时因为刚下班比较累也没有去细研究解决方案，决定来个省事的，GHOST还原系统。接着就是软盘启动引导到DOS下，进行系统盘的还原。4分钟过后，XP系统再次展现在我的眼前，正暗自庆幸前不久刚刚做过的备份省了我不少事时，发现还原前的所有问题依旧。而且似乎愈发的严重。这是另一个让我觉得这个病毒很牛的原因！

    于是在没有防火墙，没有监控的情况下，上网到此寻求帮助，没有想到已经又了很多的人也出了这中问题而且已经贴了出来。但至今没有人能给出一个很好的解决方案。唯一的一个方案：升级瑞星到最新的病毒库18.38.42在安全模式下杀毒，杀出了一个在C:\WINDOUS\下的一个名叫TEMP的木马，可删除后，问题依旧如故。无奈。至今仍然处于没有防火墙和监控的状态下，冒着随时被攻击的危险来此发贴求助～～～！！！

    现在可以肯定的是重装系统或者GHOST还原对于此病毒没有作用。或许把硬盘重新分区格式化，在重装系统可以……。但是我的盘里的数据，量很大，倒出来很麻烦，我相信还有别的方法可以根治。请各位瑞星专家和各未大虾尽快解决！帮我们脱离“苦海”！




没有了“保护伞”的日子很难过！！！

HijackThis_815汉化版扫描日志 V1.99.1
保存于      21:57:17 ******, 日期 2006-8-4
操作系统：  Windows XP  (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2600.0000)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
F:\Program Files\Helexis\Drive Health\dhcore.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Rising\Rav\RavTask.exe
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\VM_STI.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\WINLOGON.EXE
C:\WINDOWS\System32\svchost.exe
F:\Program Files\Tencent\TT\TTraveler.exe
C:\WINDOWS\system32\notepad.exe
F:\Program Files\Adobe\Photoshop CS\Photoshop.exe
C:\Program Files\Windows NT\Accessories\WORDPAD.EXE
C:\WINDOWS\System32\taskmgr.exe
E:\安装程序\安全检测工具\HijackThis1991zww.exe

F2 - REG:system.ini: Shell=Explorer.exe 1
O2 - BHO: ThunderIEHelper - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\System32\xunleibho_v13.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: IDDTInitObj Class - {15DDE989-CD45-4561-BF99-D22C0D5C2B74} - C:\PROGRA~1\SINA\UC\UCddt\ddtinit.dll
O2 - BHO: Wbho Class - {40E3A34A-3282-41F8-AD2C-051BAB96AD4A} - C:\WINDOWS\System32\Usign.dll (file missing)
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - F:\Program Files\Tencent\QQ\QQIEHelper.dll
O2 - BHO: KillObj Class - {66C28884-4E5D-494B-80C9-CAA27528FD6D} - C:\PROGRA~1\SINA\UC\UCddt\ddtkillw.ocx
O2 - BHO: (no name) - {A9930D97-9CF0-42A0-A10D-4F28836579D5} - D:\李海强\SOFTWARE\软件安装\网络软件\KuGoo2\KuGoo3DownXControl.ocx
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - (no file)
O2 - BHO: 珊瑚虫 工具栏 - {D74EC18E-3DDD-4174-B1B1-949FE3B8366D} - C:\Program Files\Infofo Bar\infofobar.dll
O3 - IE工具栏增项: 珊瑚虫 工具栏 - {D74EC18E-3DDD-4174-B1B1-949FE3B8366D} - C:\Program Files\Infofo Bar\infofobar.dll
O4 - 启动项HKLM\\Run: [RfwMain] "C:\Program Files\rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [Super Rabbit SRRestore] C:\PROGRA~1\SUPERR~1\MAGICSET\SRRest.exe /autosave
O4 - 启动项HKLM\\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 2052
O4 - 启动项HKLM\\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\getallurl.htm
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - F:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 使用KuGoo3下载(&K) - D:\李海强\SOFTWARE\软件安装\网络软件\KuGoo2\KuGoo3DownX.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Excel(&x) - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - F:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - F:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - F:\Program Files\Tencent\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: 免费精彩视频超流畅在线观看 - {022C4009-5283-4365-97BF-144054B40E2E} - http://itv.mop.com (file missing)
O9 - 浏览器额外的“工具”菜单项: 播霸电视 - {022C4009-5283-4365-97BF-144054B40E2E} - http://itv.mop.com (file missing)
O9 - 浏览器额外的按钮: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomail (file missing)
O9 - 浏览器额外的按钮: 寻宝乐趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=taobao (file missing)
O9 - 浏览器额外的按钮: 雅虎助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yassist (file missing)
O9 - 浏览器额外的按钮: kele8 - {84920E5F-3788-49cd-A274-E365578DF174} - http://www.kele8.com/ (file missing)
O9 - 浏览器额外的“工具”菜单项: kele8 - {84920E5F-3788-49cd-A274-E365578DF174} - http://www.kele8.com/ (file missing)
O9 - 浏览器额外的按钮: 珊瑚虫 工具栏 - {8507326C-B5C1-4559-BB91-0919E753836F} - C:\Program Files\Infofo Bar\infofobar.dll
O9 - 浏览器额外的“工具”菜单项: 珊瑚虫 工具栏 - {8507326C-B5C1-4559-BB91-0919E753836F} - C:\Program Files\Infofo Bar\infofobar.dll
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - F:\Program Files\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - F:\Program Files\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - F:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - F:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - 浏览器额外的按钮: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomsg (file missing)
O9 - 浏览器额外的按钮: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)
O9 - 浏览器额外的“工具”菜单项: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)
O9 - 浏览器额外的按钮: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)
O9 - 浏览器额外的“工具”菜单项: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)
O11 - Options group: [!CNS]  网络实名
O16 - DPF: {072039AB-2117-4ED5-A85F-9B9EB903E021} - http://www.clubbox.co.kr/neo.fld/NowStarter.cab
O16 - DPF: {448A5F6B-8C03-4B54-A338-F00237C508AD} - http://www.51uc.com/cab/WEBChatRoom_1_39.cab
O16 - DPF: {8D9E0B29-563C-4226-86C1-5FF2AE77E1D2} (AxSubmitControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab
O16 - DPF: {ABA7CC7F-019D-47DB-A0D2-B3C2B3AC1B44} (Fc2Boot Class) - http://h5.kele8.com/onet/ActiveX/fc2boot.cab
O16 - DPF: {E787FD25-8D7C-4693-AE67-9406BC6E22DF} (CPasswordEditCtrl Object) - https://www.tenpay.com/download/qqedit.cab
O16 - DPF: {FEE1002D-90A5-4A5D-AABE-01803FFBCF7A} (pCastPanel Class) - http://ps.itv.mop.com/dn/files/pCastCtl_1.0.0.80_20060123.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E10881C0-D2D5-4165-B00A-9F8239366D73}: NameServer = 202.99.96.68 202.99.64.69
O18 - 列举现有的协议: NetCat - {9D8327E1-E57C-46DC-A50A-980A2F8DE064} - F:\Program Files\AsiaFans\AsiaFansPlug.dll
O23 - NT 服务: DriveHealth - Helexis Software Development - F:\Program Files\Helexis\Drive Health\dhcore.exe
O23 - NT 服务: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - NT 服务: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - NT 服务: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Unknown owner - c:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe

引用:

【羽当以化的贴子】这个好像是虚拟内存的问题 http://forum.ikaka.com/topic.asp?board=28&artid=8105899 下HijackThis 帖日志上来 ………………

我觉得硬件或系统错误的可能性不大，现在已经可以肯定这是个病毒。你看看今天其他新发的帖子几乎都是反映的这个问题，看看下图中这个帖子，就是我说的问题，被“狮王心”设为了超级主题。可见这个问题不一般。似乎瑞星目前也没有有效的解决方法，所以在广纳良策啊～～！！！

我发这个帖子并不仅仅是为解决自己的问题，更重要的是希望大家都能对此有所重视，今天的一天之间突然间出现的这么多同样的问题，实非偶然。我个人自认为平时相当的注意电脑的维护和系统软件的安全防护，但仍然会出现这种问题，染上这种病毒。我能被感染，相信你也会有机会的，大家都要提高警惕啊。虽然目前为止仍没有有效的解决方法，预防方案。    但我个人建议大家最近上网时注意不要登陆陌生的网站，提高自己电脑的系统安全等级方案！！！

谢谢，问题解决！

◆病毒名称：WINLOGON.EXE
◆病毒路径：C:\WINDOWS\Winlogon.exe
◆病毒认识：winlogon.exe是正常的系统文件，任务管理器中看到此文件的用户名为system，是系统文件
            WINLOGON.exe（注意：文件名全都大写），任务管理器中看到此文件的用户名为当前用户或ADMINISTRATOR
◆病毒危害：专门针对传奇游戏的盗号的木马，对QQ，网银等同样有危害···
◆病毒关联文件：
  D:\autorun.inf
  D:\pagefile.com
  C:\WINDOWS\1.com
  C:\WINDOWS\finder.com
  C:\WINDOWS\ExERoute.exe
  C:\WINDOWS\explorer.com
  C:\Windows\system32\command.com（此项谨慎删除，看是否与病毒文件同一时间被修改）
  C:\WINDOWS\SYSTEM32\rundll32.com
  C:\WINDOWS\SYSTEM32\regedit.com
  C:\WINDOWS\SYSTEM32\Msconfig.com
  C:\WINDOWS\SYSTEM32\finder.com
  C:\WINDOWS\SYSTEM32\dxdiag.com
  C:\Windows\system32\msconfig.com
  C:\Program Files\Internet Explorer\iexplore.com
  C:\Program Files\Common Files\iexplore.com
  C:\WINDOWS\Debug\*** Programme.exe(传奇图标)
◆其他关联文件（也许个别人会没有）：
  C:\WINDOWS\TEMP\a.exe
  C:\WINDOWS\TEMP\b.exe
◆病毒解决方案：
  首先要注意这些文件会自己关联，要是你删了一部分，不小心运行了一个或在开始－运行里msocnfig，command，regedit了，
  所有的这些文件全会自己补充回来！
  1.在我的电脑→工具栏→文件夹选项/查看标签→选择“显示所有文件和文件夹”，取消“隐藏受保护的操作系统文件（推荐）”→确定。
  2.任务栏上开始→运行regedit，进入注册表，到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run里面，有一个        Torjan pragramme，删除它。
  3.任务栏上开始→注销
  4.右键D盘符选“打开”，把autorun.inf和pagefile.com删掉
  5.到C盘删除上面的所有的病毒关联文件，特别注意的是C:\WINDOWS\Winlogon.exe要等到最后一个删除，
    最好用Killbox（强行删除软件）删除
  6.到C:\Windows\system32 里，把cmd.exe文件复制出来，改名成cmd.com，然后双击打开此文件依次输入下列2条命令
    assoc .exe=exefile  （assoc与.exe之间有空格）
    ftype exefile="%1" %* （ftype与.exefile之间，"%1"与%*之间有空格）   
  7.重启电脑，打开注册表，在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon中找到名为shell并将数值数    据Explorer.exe 1修改为Explorer.exe
  8.最后修复IE，我用的是超级兔子，大功告成，病毒彻底删除。参照baohe的方案用瑞星自带的注册表扫描恢复。

病毒却是被清理掉了，不过瑞星和防火墙仍旧启动不了～～～。
GHOST还原系统，OK～！！！
看来之所以，之前还原无效，是因为它在D盘根目录下安插了两个病毒文件，要右键D盘符选“打开”，把autorun.inf和pagefile.com删掉。彻底除根～！！！

不过还是希望能找出不用重装系统，就能解决的方法来～！！

在这里在引用下BAOHE的解决方法：

1/结束进程WINLOGON.EXE(路径:C:\WINDOWS\WINLOGON.EXE).
2/将注册表修复工具RegFix.exe的后缀改为.scr。运行RegFix.scr，选择“全自动修复”，修复主要文件关联。
3/删除下列文件:

C:\WINDOWS\1.com
C:\WINDOWS\ExERoute.exe
C:\WINDOWS\explorer.com
C:\WINDOWS\finder.com
C:\WINDOWS\WINLOGON.EXE
C:\WINDOWS\Debug\DebugProgram.exe
C:\Program Files\Common Files\iexplore.pif
C:\Program Files\Internet Explorer\iexplore.com
C:\WINDOWS\system32\command.pif
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\finder.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\rundll32.com
D:\autorun.inf
D:\pagefile.pif

4/清理注册表：

HKEY_CLASSES_ROOT\.bfc\ShellNew
将"Command"="%SystemRoot%\\system32\\rundll32.com"改为"Command"="%SystemRoot%\\system32\\rundll32.exe"

HKEY_CLASSES_ROOT\.lnk\ShellNew
删除"Command"="rundll32.com

HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\IEXP1ORE.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE" %1"

HKEY_CLASSES_ROOT\cplfile\shell\cplopen\command
将@="rundll32.com shell32.dll,Control_RunDLL \"%1\",%*"改为@="rundll32.exe shell32.dll,Control_RunDLL \"%1\",%*"

HKEY_CLASSES_ROOT\dunfile\shell\open\command
将@="%SystemRoot%\\system32\\rundll32.com NETSHELL.DLL,InvokeDunFile %1"改为@="%SystemRoot%\\system32\\rundll32.exe NETSHELL.DLL,InvokeDunFile %1"

HKEY_CLASSES_ROOT\htmlfile\shell\print\command
将@="rundll32.com %SystemRoot%\\system32\\mshtml.dll,PrintHTML \"%1\""改为@="rundll32.exe %SystemRoot%\\system32\\mshtml.dll,PrintHTML \"%1\""

HKEY_CLASSES_ROOT\inffile\shell\Install\command
将@="%SystemRoot%\\System32\\rundll32.com setupapi,InstallHinfSection DefaultInstall 132 %1"该为@="%SystemRoot%\\System32\\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1"

HKEY_CLASSES_ROOT\InternetShortcut\shell\open\command
删除@="finder.com "

HKEY_CLASSES_ROOT\scrfile\shell\install\command
删除@="finder.com"

HKEY_CLASSES_ROOT\scriptletfile\Shell\Generate Typelib\command
删除@="\"C:\\WINDOWS\\system32\\finder.com\""

HKEY_CLASSES_ROOT\telnet\shell\open\command
删除@="finder.com"

HKEY_CLASSES_ROOT\Unknown\shell\openas\command
删除@="%SystemRoot%\\system32\\finder.com"

HKEY_CLASSES_ROOT\winfiles\Shell\Open\Command
删除@="C:\\WINDOWS\\ExERoute.exe \"%1\" %*"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除"Torjan Program"="C:\\WINDOWS\\WINLOGON.EXE"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
删除"Torjan Program"="C:\\WINDOWS\\WINLOGON.EXE"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
将"Shell"="Explorer.exe 1"改为"Shell"="Explorer.exe"