система капитулирует и вывешивает синий флаг смерти
Добрый день. Система на компутере капитулирует и вывешивает синий экран смерти.
Возможно что это аппаратная ошибка.
Ранее проблема (здесь же) решилась после удаления popcaploader. Ситуация сегодня повторяется. В течение дня несколько раз. Логи avz и hijackthis(2.00beta) прилагаю.
---
Что могут значить вот эти записи?
O24 - Desktop Component 0: (no name) - _http://www.asport.ru/upload/iblock/0e2/impreza_rb320_web.JPG
O24 - Desktop Component 1: (no name) - file:///C:/DOCUME~1/BAIKOV~1.ASH/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg
O24 - Desktop Component 2: (no name) - _http://www.asport.ru/upload/iblock/8ba/maserati_mc12_corsa_1024.JPG
O24 - Desktop Component 3: (no name) - _http://www.asport.ru/upload/iblock/e5c/2007_stola_genava_vad800_1.jpg
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Desktop component - картины для раб. стола. По именам похоже на автомашины
Попробуйте в AVZ найти file:///C:/DOCUME~1/BAIKOV~1.ASH/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg
Добавить в карантин и прислать по форме для загрузки файлов.
popcaploader сидит в логе Hijacka.
Исправляюсь. В syscure его AVZ заметил на диске
Последний раз редактировалось PavelA; 30.03.2007 в 14:39.
Причина: Исправился я.
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
Пока это лишь бета HijackThis, так что лучше ей систему не лечить.В правилах указано пользоваться последним релизом , вот и пользуйтесь .Это дело принципа, компания поддержку не оказывает, а релиз выложить не может.
мне совсем не понравилась маскировка драйвера , выполните скрипт и пришлите его .
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c\windows\System32\VGA.dll','');
RebootWindows(true);
end.
не забудьте прикрепить лог от hijackthis 1.99.1, сравним
Последний раз редактировалось drongo; 30.03.2007 в 14:31.
Пока это лишь бета HijackThis, так что лучше ей систему не лечить.В правилах указано пользоваться последним релизом , вот и пользуйтесь .Это дело принципа, компания поддержку не оказывает, а релиз выложить не может.
мне совсем не понравилась маскировка драйвера , выполните скрипт и пришлите его .
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c\windows\System32\VGA.dll','');
RebootWindows(true);
end.
не забудьте прикрепить лог от hijackthis 1.99.1, сравним
По поводу VGA.dll: мы уже с Олегом ЗАйцевым обсуждали. Олег писал что используется нестандартный способ загрузки драйвера.
Лог от 1.99_1 прикрепляю, но следов popcaploader не вижу, кроме того что был удален *.cab в кэше браузера IE.
VGA.dll - особенность Win2000. Может не по правилам загружается. В смысле, не как предпологает Олег.
У меня popcaploader установился с игрушкой с сайта msn.com
Ставится с zuma. Но тогда он прописывается в реестре. Ведет айсикьюшные логи?
-----
>>Попробуйте в AVZ найти file:///C:/DOCUME~1/BAIKOV~1.ASH/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg
Этот файл закачал.
Файл сохранён как 070330_150423_for_virusinfo_460ceeb79adbd.zip
Размер файла 101437
MD5 5eec240a67215e831d8ba99127f6f72c
Последний раз редактировалось santy; 30.03.2007 в 15:07.
Строчка из лога АВЗ:
C:\Documents and Settings\baikov\Local Settings\Temporary Internet Files\Content.IE5\DZO6KQ02\popcaploader_v6[1].cab/{CAB}/PopCapLoader.dll >>>>> Downloader.PopCapLoader
тут ничего не удалялось, поэтому о нем и написал. Скорее всего, ошметки старого.
Павел AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home) На up не реагирую
А разве при создании лога *cure AVZ автоматически не удаляет найденные файлики? Я не обратил внимание был ли он удален.
---
Я его, похоже удалил после завершения сканирования через протокол найденных подозрительных и для удаления файлов.
Да, там было в карантине два файлика. Вот та картинка, указанная в логе hijackthis с папки documents&settings и dll-ка но не в чистом виде, а упакованная в cab. PopCapLoader*.cab. Чуть ранее отправленная в карантин. Заодно вам отправил. Значит чисто? Комп вроде работал все это время без вылета. Как всегда, если начинает с ним разбираться кто-нибудь из программистов. . Еще отключил на рабочем столе web-отображение...
----
Значит при выполнении второго скрипта подозрительные файлы и для удаления автоматически не удаляются...
---
Спасибо!
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: