Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » DRIVER_IRQL_NOT_LESS_OR_EQUAL В дампе файлы с 1 датой

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки

Открыть новую тему     Написать ответ в эту тему

LShark

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Уже достаточно долгое время в совершенно разное время при подключенном соединении с интернетом происходит вылет в бсод с сообщением DRIVER_IRQL_NOT_LESS_OR_EQUAL без упоминания какого либо системного файла. Иногда целый день никаких крашей, иногда падения идут каждые 15-20 минут.
 
Недавно решил просмотреть минидампы этих крашей программой BlueScreenView. Ибо накопилось этих дампов уже более 500.
 
В результате было выявлено любопытное совпадение:
 
В каждом дампе обнаруживаются файлы с явно синтезированными именами НО ОДНОЙ ДАТОЙ И ОДНИМ ВРЕМЕНЕМ СОЗДАНИЯ. Вот последние 10 (имя файла, дата его "создания", дата краша):
 
aygdj0k5.SYS 15.07.2009 3:12:41 краш от 10.02.2012, 16.24
azvqnvd9.SYS 15.07.2009 3:12:41 краш от 10.02.2012, 15.52
al5oksnc.SYS 15.07.2009 3:12:41 краш от 10.02.2012, 12.42
a9tyxfwt.SYS 15.07.2009 3:12:41 краш от 08.02.2012, 20.18
atzg7u6k.SYS 15.07.2009 3:12:41 краш от 08.02.2012, 18.03
as6zv6pd.SYS 15.07.2009 3:12:41 краш от 08.02.2012, 18.03
aniqutip.SYS 15.07.2009 3:12:41 краш от 06.02.2012, 1.08
awg4ag9q.SYS 15.07.2009 3:12:41 краш от 05.02.2012, 21.59
a26anm12.SYS 15.07.2009 3:12:41 краш от 05.02.2012, 16.24
a4m03ukj.SYS 15.07.2009 3:12:41 краш от 03.02.2012, 18.48
 
В некоторые дни крашей не бывает, хотя компьютер у меня включен 24/7
 
Заметно, что имена файлов всегда начинаются на "а" и имеют расширение SYS и одну и ту же дату и время создания. Файлов с этими именами на дисках не найдено, даже среди удаленных. Файлов с такой датой не найдено тоже. Поиск в инете по этим именам тоже ничего не дал.
 
Характеристика минидампа (все эти параметры совпадают)
Bug Check code: 0x100000d1
Parametrs: 0x71a5dee5 0x00000002 0x00000000 0x71a5dee5
 
Windows XP SP3 32 бит. Антивирус ESET NOD32 (до января текущего года - версия 2.хх, в этом году - 5.хх), фаервол Agnitum Outpost 4.0.1025.7828
 
Кто подскажет идею, как избавиться от этого "удовольствия"?
Всего записей: 39 | Зарегистр. 01-02-2007 | Отправлено: 16:10 10-02-2012 | Исправлено: LShark, 16:20 10-02-2012
LShark

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Был найден следующий ответ (предположительно):
 
Ссылка: http://www.greatis.com/security/A%23%23%23%23%23%23%23.sys%20is%20a%20rootkit.htm
 
What is A#######.sys (A+7 random characters) driver? Rootkit or not?  
 
Recently we received some requests from our users about mysterious driver on their computers.  
 
Each time the driver name begins with "A" character and the other 7 characters are randomly changed at reboot.  
 
RegRun notifies a user that the driver is located in the %SysDir%\Drivers folder. But this file doesn't exist on the hard drive.  
 
What's this?  
 
We supposed the rootkit behaviour. The strange drivers were not found on a hard drive even if a user boot from Bart PE CD-ROM.  
 
Take a look at the Bootlog XP diagram:  
 
We always see that the "A#######.sys" is loaded immediately after SCSIPORT.SYS. The driver is a loaded by Windows kernel on the early stage of Windows boot process.  
 
If we look for the driver in the registry we found that it's a part of "SCSI miniport group".  
 
[... пропущено часть текста, так как там картинки с пояснениями постепенного расследования...]
 If there is a legitimate driver, why it changes his name every boot?  
 
The answer is simple. The driver is related to the Daemon Tools software. This software is often used for copying protected CD/DVD-ROM. The authors of the CD/DVD protection are not happy that the Daemon software works. They fight against the daemons. And the war still continues...  
 
In conclusion:  
 
The A#######.sys hidden driver is not a rootkit if you use Daemon Tools software version 4.08 with SPTD 1.37.  
 
But the installation offers you to use WhenUSave toolbar. It is known adware.  
 
In addition some users reports about problems with Windows shutdown.
 
Короче - кратко по русски: Данный драйвер создается программой Даемон Тулз версии 4,08 или выше (у меня реально стоит такой софт).
 
Вот теперь думаю - оно ли причина... Если ОНО - то какая связь между этим файлом и тем, что падает винда только при подключенном инете?
Всего записей: 39 | Зарегистр. 01-02-2007 | Отправлено: 19:47 11-02-2012 | Исправлено: LShark, 19:48 11-02-2012
LShark

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Увы, причина не в нем, после удаления даемон тулза данный файл пропал из списка драйверов в минидампе, однако сами падения винды сохранились...
 
Подозреваю, что причина - проблема с драйвером, благодаря которому под WinXP создал 2 интернет соединения на 1 компе для одновременного их использования. Поиск решения продолжается.
Всего записей: 39 | Зарегистр. 01-02-2007 | Отправлено: 09:48 14-02-2012
Открыть новую тему     Написать ответ в эту тему

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » DRIVER_IRQL_NOT_LESS_OR_EQUAL В дампе файлы с 1 датой


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru