【鼻涕虫原创】疑似病毒来袭——Winlogon.exe报木马及登录时蓝屏c000021a报错问题

bluesmansion

这边再发一遍，省得未注册用户看不到。

三台机器情况基本一致：

操作系统：Windows XP SP3。
杀毒软件：Avira AntiVir Personal（中/英文版均有）。

故障现象：A、B不停的报警有病毒，C是启动后蓝屏报错，无法登陆系统。在解决A、B的过程中，B做了全盘杀毒后复现了C的情况，整理整个过程如下：

1，操作系统下杀毒软件不停报发现木马程序包含于c:\windows\system32\winlogon.exe文件中，处理方式选择删除无效，稍后会继续不停出现；
2，杀毒软件升级到最新版后，全盘查杀，确认winlogon.exe文件包含木马程序，自动删除；
3，重启系统后，系统启动进度条读完后在登录界面前蓝屏报错Stop c000021a，无法正常进入系统。安全模式、上一次正确配置模式相同情况。

上网找了一圈儿资料，都说是木马，而且和c:\windows\system32\instcat.dll有关，删除即可；但找遍了system32目录，只有一个instcat.sql，没有找到dll文件。另外还说和注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CurrentVersion\Winlogon\Notify\instcat项目有关，但也未找到此键。

在调试过程中，发现使用的优盘被写入了不明文件，初步怀疑是winlogon.exe文件被感染木马程序，杀毒软件虽然能够查出，但只能将此文件删除、无法再进一步查找根源；同时由于winlogon.exe被删除，导致系统无法正常登录。

目前暂时未找到理想的杀毒软件可以完全解决此问题，暂时解决方案如下：

1，针对A，将c:\windows\system32\winlogon.exe加入到杀毒软件的查杀、进程排除名单；
2，将A中暂时未被杀毒软件删除的winlogon.exe在PE环境下复制到B、C对应目录中，并将B、C的杀毒软件和A做同样设置。

过两天再看看有没有更好的解决方案了，真不想重装系统。

不知道有没有其他人遇到类似情况？我相信不会是个案，应当是一个高危漏洞被利用或者新的木马程序爆发。

大家小心吧。

123bi

估计是小红伞的问题，根据小红伞的提示，手动删除winlogon.exe就无法进入系统，，，
还好备份过系统，还原一次只要一分半钟，所以决定以后裸奔，，，

facejava

遇到过，可能软件误报，  偶在nod32  ess，eav，3.0，4.2.和2.7以及贝壳+金山卫士下试过，没有问题。 解决方法更换杀软
其他杀软没有试过。

0.

和楼主同病相连已经重做了系统！！