unit Posted May 18, 2007 Report Share Posted May 18, 2007 Проблема в следующем: (передаю со слов злой глав. бухгалтерши) есть комп, тереториально очень далеко, и на нем очень часто выскакивает синий экран с надписью примерно такого смысла - была попытка подменить драйвер такой-то, виндовс восстановил его до исходной копии. Ниже IRQL_NOT_LESS_OR_EQUAL Ещё ниже идет перечень ошибок И в конце runtime.sys выполнило ошибку и будет закрыто Люди, очень Вас прошу, помогите!!! Заставил сделать лог Logfile of HijackThis v1.99.1 Scan saved at 16:02:21, on 18.05.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Borland\InterBase\bin\ibguard.exe C:\PROGRA~1\DrWeb\SpiderNT.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Borland\InterBase\bin\ibserver.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\igfxtray.exe C:\PROGRA~1\DrWeb\spidernt.exe C:\Program Files\DrWeb\spiderml.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\ctfmon.exe C:\Program Files\IChat\iChat.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Common Files\InstallShield\engine\6\Intel 32\IKernel.exe C:\Program Files\Common Files\InstallShield\engine\6\Intel 32\IKernel.exe C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE D:\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:8080 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: C:\WINDOWS\system32\xpd598387.dll - {145875B5-93F3-429D-FF34-6B0A2068897C} - C:\WINDOWS\system32\xpd598387.dll O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [spIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent O4 - HKLM\..\Run: [spIDerMail] "C:\Program Files\DrWeb\spiderml.exe" O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [iChat] C:\Program Files\IChat\iChat.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll O16 - DPF: iBank2 UA Client 2015 - https://ibank.ukrsotsbank.com/client.cab O16 - DPF: iBank2 UA Registry 2015 - https://ibank.ukrsotsbank.com/makekeys.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Enso.local O17 - HKLM\Software\..\Telephony: DomainName = Enso.local O17 - HKLM\System\CCS\Services\Tcpip\..\{9390B971-DF45-4C86-8CB1-96BD9A0D2376}: NameServer = 192.168.26.2 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Enso.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Enso.local O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = Enso.local O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe O23 - Service: InterBase Guardian (InterBaseGuardian) - Inprise Corporation - C:\Program Files\Borland\InterBase\bin\ibguard.exe O23 - Service: InterBase Server (InterBaseServer) - Inprise Corporation - C:\Program Files\Borland\InterBase\bin\ibserver.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\SpiderNT.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe Quote Link to comment Share on other sites More sharing options...
juve Posted May 18, 2007 Report Share Posted May 18, 2007 Ошибки "STOP" или "Синий экран смерти" Quote Link to comment Share on other sites More sharing options...
Saule Posted May 18, 2007 Report Share Posted May 18, 2007 Проблема в следующем:(передаю со слов злой глав. бухгалтерши) есть комп, тереториально очень далеко, и на нем очень часто выскакивает синий экран с надписью примерно такого смысла - была попытка подменить драйвер такой-то, виндовс восстановил его до исходной копии. Удалить с помощью HijackThis можно следующую строку: O2 - BHO: C:\WINDOWS\system32\xpd598387.dll - {145875B5-93F3-429D-FF34-6B0A2068897C} - C:\WINDOWS\system32\xpd598387.dll Однако с вашей проблемой этого, к сожалению, не будет достаточно, так как, помимо этого файла в системе, скорее всего, есть руткит. Для более глубокого анализа сделайте исследование системы с помощью AVZ (скачиваем, распаковываем, запускаем, делаем сканирование системного диска, после чего нажимаем в верхнем меню программы: Файл > Исследование системы. И присоединяем полученный протокол к своему сообщению). Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.