Jump to content
СофтФорум - всё о компьютерах и не только

Синий экран


Recommended Posts

Проблема в следующем:

(передаю со слов злой глав. бухгалтерши)

есть комп, тереториально очень далеко, и на нем очень часто выскакивает синий экран с надписью примерно такого смысла - была попытка подменить драйвер такой-то, виндовс восстановил его до исходной копии.

Ниже

IRQL_NOT_LESS_OR_EQUAL

Ещё ниже идет перечень ошибок

И в конце

runtime.sys выполнило ошибку и будет закрыто

Люди, очень Вас прошу, помогите!!!

Заставил сделать лог

Logfile of HijackThis v1.99.1

Scan saved at 16:02:21, on 18.05.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Borland\InterBase\bin\ibguard.exe

C:\PROGRA~1\DrWeb\SpiderNT.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Borland\InterBase\bin\ibserver.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\igfxtray.exe

C:\PROGRA~1\DrWeb\spidernt.exe

C:\Program Files\DrWeb\spiderml.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\IChat\iChat.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Common Files\InstallShield\engine\6\Intel 32\IKernel.exe

C:\Program Files\Common Files\InstallShield\engine\6\Intel 32\IKernel.exe

C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE

C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE

D:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: C:\WINDOWS\system32\xpd598387.dll - {145875B5-93F3-429D-FF34-6B0A2068897C} - C:\WINDOWS\system32\xpd598387.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [spIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent

O4 - HKLM\..\Run: [spIDerMail] "C:\Program Files\DrWeb\spiderml.exe"

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [iChat] C:\Program Files\IChat\iChat.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll

O16 - DPF: iBank2 UA Client 2015 - https://ibank.ukrsotsbank.com/client.cab

O16 - DPF: iBank2 UA Registry 2015 - https://ibank.ukrsotsbank.com/makekeys.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Enso.local

O17 - HKLM\Software\..\Telephony: DomainName = Enso.local

O17 - HKLM\System\CCS\Services\Tcpip\..\{9390B971-DF45-4C86-8CB1-96BD9A0D2376}: NameServer = 192.168.26.2

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Enso.local

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Enso.local

O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = Enso.local

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\system32\imapi.exe

O23 - Service: InterBase Guardian (InterBaseGuardian) - Inprise Corporation - C:\Program Files\Borland\InterBase\bin\ibguard.exe

O23 - Service: InterBase Server (InterBaseServer) - Inprise Corporation - C:\Program Files\Borland\InterBase\bin\ibserver.exe

O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe

O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\SpiderNT.exe

O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

Link to comment
Share on other sites

Проблема в следующем:

(передаю со слов злой глав. бухгалтерши)

есть комп, тереториально очень далеко, и на нем очень часто выскакивает синий экран с надписью примерно такого смысла - была попытка подменить драйвер такой-то, виндовс восстановил его до исходной копии.

Удалить с помощью HijackThis можно следующую строку:

O2 - BHO: C:\WINDOWS\system32\xpd598387.dll - {145875B5-93F3-429D-FF34-6B0A2068897C} - C:\WINDOWS\system32\xpd598387.dll

Однако с вашей проблемой этого, к сожалению, не будет достаточно, так как, помимо этого файла в системе, скорее всего, есть руткит.

Для более глубокого анализа сделайте исследование системы с помощью AVZ (скачиваем, распаковываем, запускаем, делаем сканирование системного диска, после чего нажимаем в верхнем меню программы: Файл > Исследование системы. И присоединяем полученный протокол к своему сообщению).

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...