Affected Product:
Avast4 home edition
ext2ifs 1.10c
ext2ifs 1.11
Description:
avast4 home edition is a free anti-virus tools. In 2008-07-30 it update some files, include some file called 'aswSP.sys'. According infomation in autoruns, it's avast self protection module.
[Here is info from autoruns.]
aswSPavast! self protection module ALWIL Software c:\windows\system32\drivers\aswsp.sys
[Here is info from update-log]
2008-7-30 7:36:14 file Direct move of file: C:\Program Files\Alwil Software\Avast4\Setup\INF\AMD64\aswSP.sys
2008-7-30 7:36:14 file Installed file:C:\Program Files\Alwil Software\Avast4\Setup\INF\AMD64\aswSP.sys
2008-7-30 7:36:14 file Direct move of file: C:\Program Files\Alwil Software\Avast4\Setup\INF\aswSP.sys
2008-7-30 7:36:59 system Reboot set by changed resident C:\WINDOWS\system32\drivers\aswSP.sys
2008-7-30 7:36:59 system Driver file copied: C:\WINDOWS\system32\drivers\aswSP.sys
If u use ext2ifs in system for share date with linux, it'll cause system crash with code BAD_POOL_CALLER. There is not evidence show it has connections with ext2ifs, but the crash always happen when I try to access data in a disk use ext2ifs. When I copy data to ntfs disk, it'll be all right. Here is dump analyze.
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************
BAD_POOL_CALLER (c2)
The current thread is making a bad pool request. Typically this is at a bad IRQL level or double freeing the same allocation, etc.
Arguments:
Arg1: 00000007, Attempt to free pool which was already freed
Arg2: 00000cd4, (reserved)
Arg3: 04030401, Memory contents of the pool block
Arg4: e13a7258, Address of the block of pool being deallocated
Debugging Details:
------------------
POOL_ADDRESS: e13a7258
FREED_POOL_TAG: pSsA
BUGCHECK_STR: 0xc2_7_pSsA
CUSTOMER_CRASH_COUNT: 1
DEFAULT_BUCKET_ID: DRIVER_FAULT
PROCESS_NAME: _uninst.exe
LAST_CONTROL_TRANSFER: from 80544e86 to 804f9aef
STACK_TEXT:
eb364b68 80544e86 000000c2 00000007 00000cd4 nt!KeBugCheckEx+0x1b
eb364bb8 ee072a0a e13a7258 00000000 8055a584 nt!ExFreePoolWithTag+0x2a0
WARNING: Stack unwind information not available. Following frames may be wrong.
eb364be4 805c5e1c 00000730 0000016c eb364cdc aswSP+0x5a0a
eb364c04 80639346 e3986008 0000016c eb364cdc nt!PsCallImageNotifyRoutines+0x36
eb364d08 805c5bcd 7c810665 00000000 00000000 nt!DbgkCreateThread+0xa2
eb364d50 805421c2 00000000 7c810665 00000001 nt!PspUserThreadStartup+0x9d
00000000 00000000 00000000 00000000 00000000 nt!KiThreadStartup+0x16
STACK_COMMAND: kb
FOLLOWUP_IP:
aswSP+5a0a
ee072a0a ?? ???
SYMBOL_STACK_INDEX: 2
SYMBOL_NAME: aswSP+5a0a
FOLLOWUP_NAME: MachineOwner
MODULE_NAME: aswSP
IMAGE_NAME: aswSP.SYS
DEBUG_FLR_IMAGE_TIMESTAMP: 4881fba3
FAILURE_BUCKET_ID: 0xc2_7_pSsA_aswSP+5a0a
BUCKET_ID: 0xc2_7_pSsA_aswSP+5a0a
Followup: MachineOwner
The crash happened in aswSP+5a0a.
Resolve solution:
There is not solution to resolve now. Uninstall avast, or uninstall ext2ifs.
以上内容的中文注释:
不要同时使用avast4和ext2ifs,尤其在今天的更新后。
会使用ext2ifs的,上面的东西应该也看得懂了,其余不翻译。
2008年7月16日星期三
2008年7月9日星期三
新种病毒出现
有新种病毒出现,大家当心。
病毒症状如下:
有MSN好友给你传一个网址,如同http://[用户名].imagecroco.info/。(贝壳注:现在已经被Mozilla列为欺诈网址)当浏览后中毒,会继续给好友发送网址。发送网址时用户离线,发消息用户不回复。中毒用户提示已经在另外一个地址上登录。
机理估计如下:
当你访问网站时,会被要求输入用户名或密码。或者被挂上马,等登录时被套出用户名和密码。当你不使用时,服务器会自动使用你的用户名登录,给你的好友发送病毒。如果不修改密码,即使本机清理病毒或者设置名称提醒也未必有用。
病毒症状如下:
有MSN好友给你传一个网址,如同http://[用户名].imagecroco.info/。(贝壳注:现在已经被Mozilla列为欺诈网址)当浏览后中毒,会继续给好友发送网址。发送网址时用户离线,发消息用户不回复。中毒用户提示已经在另外一个地址上登录。
机理估计如下:
当你访问网站时,会被要求输入用户名或密码。或者被挂上马,等登录时被套出用户名和密码。当你不使用时,服务器会自动使用你的用户名登录,给你的好友发送病毒。如果不修改密码,即使本机清理病毒或者设置名称提醒也未必有用。
2008年7月8日星期二
2008年7月3日星期四
沈阳记一兼我还活着
同志们,我还活着。最近项目不断,贝壳来了走走了又来,先是烟台,回上海修养两天再回烟台,然后回上海救火两天,连公司都没回去报销又来烟台,刚刚搞的差不多又来沈阳。下面据说还有上海和烟台,貌似奥运前是没完了。
而且烟台的网络状况急转直下。本来速度快的跟鬼一样,现在报社上网要用代理,每次打开个页面就要点一次密码确认,点记住密码也没用。这种情况下速度根本没意义,宾馆则是慢的跟鬼一样。然后……贝壳就光荣的断网了。
祸不单行,贝壳在7月1日接到了移动的通知,说话费只有14元多,记得充值。贝壳想,哦,也能用上一些时间了。谁知道第二天就断网,这才想起来移动的话费是第二日过的。然后紧急找人充值,却被告知因为欠费无法充值。然后贝壳要和客户联系,要用飞信帮人测东西,要收的通知,移动上网看blog……全部没了。最要命的是,我马上要出差沈阳。
贝壳到了沈阳,打车到位,一点不差,真的是运气。否则喊救命都不知道喊谁了。第二天,找个地方充值,总算把手机开开,谁想到刚开就用到了。我说要去故宫旁边的如家七斗星酒店,结果混蛋司机给我拉到了故宫旁边的如家酒店。下来才发现不是,回头找司机没影了。幸好这个时候,手机已经可以用了。于是我打开Moto A1200r,接入中国移动GPRS网络,使用Google Map手机版,很容易的找到了当前位置。(贝壳注,以上不是广告,当然和周XX的大XX里面那个MXXX和移XXX的XX更不一样……)。走走两分钟就到了,作为手机地图来说,这算是立了头功了。
而且烟台的网络状况急转直下。本来速度快的跟鬼一样,现在报社上网要用代理,每次打开个页面就要点一次密码确认,点记住密码也没用。这种情况下速度根本没意义,宾馆则是慢的跟鬼一样。然后……贝壳就光荣的断网了。
祸不单行,贝壳在7月1日接到了移动的通知,说话费只有14元多,记得充值。贝壳想,哦,也能用上一些时间了。谁知道第二天就断网,这才想起来移动的话费是第二日过的。然后紧急找人充值,却被告知因为欠费无法充值。然后贝壳要和客户联系,要用飞信帮人测东西,要收的通知,移动上网看blog……全部没了。最要命的是,我马上要出差沈阳。
贝壳到了沈阳,打车到位,一点不差,真的是运气。否则喊救命都不知道喊谁了。第二天,找个地方充值,总算把手机开开,谁想到刚开就用到了。我说要去故宫旁边的如家七斗星酒店,结果混蛋司机给我拉到了故宫旁边的如家酒店。下来才发现不是,回头找司机没影了。幸好这个时候,手机已经可以用了。于是我打开Moto A1200r,接入中国移动GPRS网络,使用Google Map手机版,很容易的找到了当前位置。(贝壳注,以上不是广告,当然和周XX的大XX里面那个MXXX和移XXX的XX更不一样……)。走走两分钟就到了,作为手机地图来说,这算是立了头功了。
订阅:
博文 (Atom)