Сабж. В автозагрузке ничего нет (смотрела через ccleaner)... HijackThis тоже ничего путного не сказал.
Размер занимаемой памяти: 3728Кб (Путь С:\Progra~1\MOZILL~1\FIREFOX.exe - я так понимаю сокращенный путь) . Сканила кис7, нодом... Ничего не сказали.
Чистка реестра ничего не дает, так же как и скан на малварь и прочую лабуду.
В чем дело?)
ЗЫ. пробовала полностью снести фф. Процесс не исчез (!) 
Смотрите разделы
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Тут нет ничего связанного с фф. Собственно я еще в 1 день посмотрела.
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce
Две записи: IE7_011 И IE7_012 (значения соответственно: "regsvr32 /s /n /i:u shell32" и "rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N")
И еще одна строка "ZZZZ2_FirstLogonSetting" (значение: "%SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0")
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Тут только ctfmon.exe
пробовала полностью снести фф. Процесс не исчез
ну значит это и не Firefox
Скачайте программу Autoruns Руссиновича или Starter. Там можно получше узнать, откуда ноги растут.
По-моему, не всё для автозапуска прописывается в реестр. Msconfig ничего подозрительного не показал?
ну значит это и не Firefox
Ну вы прям гений 
Скачайте программу Autoruns Руссиновича или Starter. Там можно получше узнать, откуда ноги растут.
Удивительно, но в Autoruns не слова нет про firefox.exe (и это учитывая то, что у меня сам ФФ щас запущен) 
Добавлено Thu Jun 12 22:38:14 2008 :
Msconfig ничего подозрительного не показал?
Нет, автозагрузка чиста (от посторонних процессов)
И в службах ничего путного нет.
Меня ставит в тупик этот процесс
Ну вы прям гений wink
в таком случае, какое отношение тема имеет к форуму?
Тогда качайте Process Explorer Руссиновича, ищите процесс, правой кнопкой => Properties. Пробегитесь по вкладкам открывшегося окна, там будет вся информация о процессе, включая права доступа. Любопытны NTFS потоки...
Если сам файл не находится, то... никогда такого не встречал, но по слухам это называется руткит.
в таком случае, какое отношение тема имеет к форуму?
Подобные (но не такие) темы тут уже были, и не всегда проблема была именно в фф.
Если сам файл не находится, то... никогда такого не встречал, но по слухам это называется руткит.
Процесс запускается со следущими параметрами:
"C:\Program Files\Mozilla Firefox\firefox.exe" -requestPending -osint -url "%1"
К сожалению, я не в курсе что они значат
Уважаемая nocturna, в автозапуске нет Firefox, там скорее всего ссылка по протоколу, открываемому по умолчанию Файрфоксом, например, ссылка на порносайт с вредоносным кодом. Если она в процессе побилась или возникают другие трудности, окно браузера может и не показываться.
пробовала полностью снести фф. Процесс не исчез (!)
Либо Вам не удалось его удалить, либо это может быть троян, маскирующийся под Фокс.
HijackThis тоже ничего путного не сказал.
Незабвенная, попробуйте плиз две программки: AdAware и SpyBot Search&Destroy. (И если Вас не смущают платные программы, то еще и RegRun.) Почему именно две? У них не полностью пересекаются базы. На tracing cookie можете не обращать внимания, но вот остальное интересно.
Удачи!
Добавлено Fri Jun 13 12:59:11 2008 :
P.S. И на Форуме сложилась традиция советовать антивирус AVG Free. Посоветую и я тоже.
Name:Windows
Category:Vulnerability
Object Type:RegData
Size:19 Bytes
Location:regfile\shell\open\command "" ("regedit.exe" "%1")
Last Activity:08.06.2008
Relevance:Low
TAC index:3
Comment:
Description:General Windows Security Issue. Your system security may be compromised. The specifics of the possible compromised item are listed in the comments section.
AdAware нашел... Я могу это удалить?)
Добавлено Fri Jun 13 15:34:36 2008 :
Spybot - Search & Destroy:
HitsLink>>>
Слуды куки Opera 7+: Администратор
Opera 7+: counter.hitslink.com (VISID)
Microsoft.WindowsSecurityCenter.AntiVirusOverride
SBI $3604910C
HKLM\Software\Microsoft\Security Center\AntiVirusOverride (is not) dword:0Microsoft.WindowsSecurityCenter.FirewallOverride
SBI $0C94D702
HKLM\Software\Microsoft\Security Center\FirewallOverride (is not) dword:0Microsoft.WindowsSecurityCenter_disabled
SBI $2E20C9A9
HKLM\System\CurrentControlSet\Services\wscsvc\Start (is not) W=2
У меня такайже проблема не вирус 100% ОС Vista. Решение было найдено или нет?
когда люди говорят что в автозагрузке его нет - я уже приучил себя не верить им.
проверять надо не вручную а прогой типа autoruns от Sysinternals ( http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx )
А может попробовать в Run запустить msconfig?
И посмотреть на закладочку Startup 
massila
это только 1 из видов авторана (реестр, т.е. Run, RunEx, RunOnce, RunOnceEx), а их куда... куда больше.
нету тама нету. Думайте не посмотрел? Всё облазил нет в автозагрузки и всё. Причём он тока в диспетчере задач весит килобайты памяти жрёт и всё. Раздражает только когда браузер обновляться пишет "не могу обновить пока приложение запущено" как то так
Тогда значит оно хвостом идёт за какой-нить другой задачей из авторана, то есть надо думать есть инфицированный файл или служба которая "подтягивает" при запуске типа firefox.
Galakt личная рекомендация: поставьте AnVir Task Manager.
Во-первых он работает с почти всеми существующими местами автозагрузки объектов.
Во-вторых по логу можно будет понять когда и какой процесс запустил процесс firefox.exe
Galakt личная рекомендация: поставьте AnVir Task Manager.
Во-первых он работает с почти всеми существующими местами автозагрузки объектов.
Во-вторых по логу можно будет понять когда и какой процесс запустил процесс firefox.exe
спасиб за порогу. проверил запускаеться с командной строкой. вот лог 05/01 07:27:40 firefox.exe 2136 started by explorer.exe Архимед\Сергей C:\Program Files\Mozilla Firefox\firefox.exe -requestPending -osint -url "%1"
Чё сие значит?
Galakt
это значит удалите автозагрузку процесса explorer.exe при помощи проги codestaff starter http://codestuff.tripod.com/products_starter.html
wolwerine Ну, во-первых, удалять что-то из автозагрузки можно и анвиром.
Во-вторых, explorer.exe не будет в списке автозагрузки и удалить его не получится и даже если можно было бы - это было бы неверно.
Кто нибудь знает, что делают ключи -requestPending -osint -url "%1" ?
вот лог 05/01 07:27:40 firefox.exe 2136 started by explorer.exe Архимед\Сергей C:\Program Files\Mozilla Firefox\firefox.exe -requestPending -osint -url "%1" Чё сие значит?
Я не знаю что это значит, но шаманский бубен говорит: это результат действия авторана-вируса, который прицепил муть к explorer (процессу окна просмотра папок и файлов) и грузит паразита под название firefox.exe. Интересно, а сам то Firefox запускается вторым номером в списке процессов? И какой размер firefox.exe?
Я не знаю что это значит, но шаманский бубен говорит: это результат действия авторана-вируса, который прицепил муть к explorer (процессу окна просмотра папок и файлов) и грузит паразита под название firefox.exe. Интересно, а сам то Firefox запускается вторым номером в списке процессов? И какой размер firefox.exe?
Да запускаеться вторым номером. Нажимаю открыть место хранения файла и естественно попадаю в папку мозилы на экзешник браузера. Да и бы не мешал бы обновлению браузера бы скорее всего тогда.
проверил запускаеться с командной строкой. вот лог 05/01 07:27:40 firefox.exe 2136 started by explorer.exe Архимед\Сергей C:\Program Files\Mozilla Firefox\firefox.exe -requestPending -osint -url "%1"
перед возникновением странностей никаких программ не устанавливали? 
есть вероятность, что одна из них назначила после загрузки компьютера открыть скажем свою домашнюю страницу в браузере, и происходит это через открытие файла "url" (Ярлык Интернета). решение - найдите в автозагрузке параметр, содержащий запуск файла "url" (пример - "c:\program files\example.url". или "examle.exe -example.url". тут Вы должны уже подумать сами 
). отключите его, ессно. у меня была такая тема, давно правда. но я быстро сообразил в чём дело.
Самое интересное тогда должно то и открываться сам браузер, а он прост в задачах висит и всё и не какую активность больше не проявляет
Galakt конечно интересно. ну каких только глюков у фокса не было. щас главное решить вашу проблему. как продвигается?
в идеале конечно вы должны выложить список автозагрузки сюда, если есть проблемы в определении источника проблемы.
удалил "msnman.exe", каспер определил, как троян и то когда он весел не в диспетчере задач, а прогой AnVir Task Manager смотрел и типа хочет она получить к доступ к вредоносному файлу. И ![[firefox]](img/browsers/firefox.png "firefox")
и перестала грузиться при загрузки винды. Тока не пойму каким здесь боком был ибы это якобы троян сам загружался при запуске венды и в диспетчере виделся
удалил "msnman.exe", каспер определил, как троян и то когда он весел не в диспетчере задач, а прогой AnVir Task Manager смотрел и типа хочет она получить к доступ к вредоносному файлу.
вот вам и каспер. изза проблемы антивируса, что в памяти трояна не нашёл, столько тему тянули... меняйте антивирус!
вот вам и каспер. изза проблемы антивируса, что в памяти трояна не нашёл, столько тему тянули... меняйте антивирус!
в том то и дело, что каспер в итоге выявил. но така причём тут был если вирус отдельным процессом грузился и не какой больше активности не проявля, если тока уязвимость браузера юзал, но тогда по едее осла должен грузить.
но така причём тут был
наверняка потому, что стоит в системе браузером по умолчанию.
поставьте им [ie7] - будет в процессах [ie7]