>Форум Mozilla Россия
   http://forum.mozilla-russia.org/index.php
>Firefox
   http://forum.mozilla-russia.org/viewforum.php?id=4
>Что за напасть install_player_3913107.exe
   http://forum.mozilla-russia.org/viewtopic.php?id=21935

палыч > 05-03-2008 13:24:33

У меня такая ситуация. Сегодня ФФ начал тормозить и аварийно завершать работу. При включении ( восстановлении ) сессии идёт загрузка 3 файлов - документ Word 4aleks и  install_player_3913107.exe, который .. превращается в документ Word 4aleks. В загрузке он есть, но при попытке открыть пишет, что такого файла нет, он переименован или перемещён. У меня их уже штук 20, причём первый был скачан 29.01. А такая ботва началась только сегодня. В Гугле нашёл только 2 ссылки - http://www.prevx.com/filenamedays/012920084.html
и http://top.kmvcity.ru/stat.php?id=1967&page=ref&nowt=1201294799&lastt=1201208400.
В первой описано что это вредоносная программа и предлагается скачать прогу
Prevx для проверки. Причём лист Malware File Names January 29 Page 4 имеет дату также 29.01!? Проверка ничего не выявила, Аваст тоже молчит. В свойствах файлов нашёл адреса: http://creatonsoft.com/exe2/install_player_3913107.exe и
http://ipkps.bsu.edu.ru/source/experiment/op_baza/4aleks.doc. Сам файл - какая-то школа здоровья. Опять завершение и опять загрузка грёбанной школы, причём 3 раза. Одного видите-ли ей мало. У кого есть какие соображения?
П. С. Попробовал не восстанавливать сессию, а начать заново. И что вы думаете?
ФФ загрузился очень быстро и без загрузки левых файлов.

bopUK > 05-03-2008 18:33:42

скорее всего какой нить mailware.
HijackThis скачивай, запускай и сюда его лог.

палыч > 05-03-2008 19:19:11

Если это mailware, почему ФФ так часто обрубается? Причём если восстанавливать сессию, начинается загрузка файлов.

MySh > 05-03-2008 20:32:24

палыч

Если это mailware, почему ФФ так часто обрубается? Причём если восстанавливать сессию, начинается загрузка файлов.

Могу предположить, что malware его и обрубает, записывая при этом всякую дрянь в файл «sessionstore.js» в профиле. Попробуйте посмотреть с помощью Process Explorer от Sysinternals, не висит ли в процессах чего лишнего при работе Firefox и, главное, при его вылете? И на счёт HiJackThis совет дельный, также могут помочь CureIT и AVZ.

палыч > 07-03-2008 15:48:02

Посмотрел с помощью Process Explorer - очень трудно разобраться, периодически выскакивают красные полоски, которые сразу пропадают. Может это оно и есть?
Насчёт HiJackThis, вот лог:

Logfile of HijackThis v1.99.1
Scan saved at 14:41:50, on 07.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20733)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
D:\Alwil Software\Avast4\aswUpdSv.exe
D:\Alwil Software\Avast4\ashServ.exe
......
......
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\system32\wbem\wmiapsrv.exe

Только почему пишет ИЕ, если у меня ФФ? ИЕ почему-то не грузится, пишет что не может отобразить эту веб-страницу. Проверил Spybot-ом - тот ничего не обнаружил, хотя постоянно находил пару записей.
П. С. А как посмотреть файл «sessionstore.js» ?

MySh > 07-03-2008 20:09:28

палыч

Посмотрел с помощью Process Explorer - очень трудно разобраться, периодически выскакивают красные полоски, которые сразу пропадают. Может это оно и есть?

Возможно. Красные полоски — это означает, что процесс выключается. Это может быть, например, когда вирус пытается запуститься, а антивирус его прибивает (или наоборот), а тот пытается запуститься снова.

Только почему пишет ИЕ, если у меня ФФ?

Так и должно быть. MSIE — это системная программа, а Firefox — всего лишь внешнее приложение.

ИЕ почему-то не грузится, пишет что не может отобразить эту веб-страницу

Он вообще не грузится, или только этот сайт не работает?

П. С. А как посмотреть файл «sessionstore.js» ?

Найти его в профиле и открыть блокнотом.

Добавлено Fri Mar  7 20:12:01 2008 :
Стоит посмотреть, что там svchost.exe запускает — часто всякая гадость идёт через него (это системная программа для запуска служб Windows).

палыч > 08-03-2008 09:29:19

Возможно. Красные полоски — это означает, что процесс выключается. Это может быть, например, когда вирус пытается запуститься, а антивирус его прибивает (или наоборот), а тот пытается запуститься снова.

Там вообще много цветов - бордовые, зелёные и т.д., может есть какой толковый фак? И если антивирус его прибивает, то почему не прибьёт полностью?

Он вообще не грузится, или только этот сайт не работает?

Вообще не грузится, ни один сайт.
Как посмотреть профиль я разобрался, нашёл в поиске, т. к. по ссылке не открывается, пишет:The page cannot be found. Вот что меня заинтересовало:

title:"\u0427\u0442\u043E \u0437\u0430 \u043D\u0430\u043F\u0430\u0441\u0442\u044C install_player_3913107.exe | \u0424\u043E\u0440\u0443\u043C Mozilla \u0420\u043E\u0441\u0441\u0438\u044F", cacheKey:0, ID:13, scroll:"0,2322"}], index:1, zoom:1, disallow:"", xultab:"", extData:{'treestyletab-id':"tab-<1204955077328-41071>"}, text:""}], selected:2, _closedTabs:[{state:{entries:[

.
Тот же install_player_, только непонятно что с ним делать. Кстати, а что с предыдущим логом?

DedAlex > 09-03-2008 14:22:09

Кстати, а что с предыдущим логом?

А зачем его было обрезать? Он нужен целиком.

палыч > 09-03-2008 17:22:14

Я его не обрезал, а вставил целиком.

MySh > 09-03-2008 18:52:04

палыч

Я его не обрезал, а вставил целиком.

А вот это уже интересно. Лог такой короткий быть не должен. Неужели уже появились вирусы, которые вмешиваются в работу HiJackThis? :sick:
В таком случае, попробуйте AVZ и cureit. Не факт, что вылечат, но, может, хотя бы удастся выяснить, что это за дрянь.

Добавлено Sun Mar  9 18:53:27 2008 :
палыч

И если антивирус его прибивает, то почему не прибьёт полностью?

Потому что антивирус прибивает симптомы, а не причину. Причину иногда только руками убить удаётся, и то с большим трудом.

ziyo > 09-06-2008 10:40:13

Кто нибудь решил проблему ???

палыч > 09-06-2008 11:11:07

НЕ решил. Если ФФ аварийно завершает работу, то при восстановлении сессии загружается 2 Word 4aleks и 1 install_player

Z&N > 09-06-2008 11:55:25

палыч

что то такое по файлу install_player
то, не то :lol:

MySh > 09-06-2008 12:50:01

палыч

Если ФФ аварийно завершает работу, то при восстановлении сессии загружается 2 Word 4aleks и 1 install_player

Если система чистая, то надо просто удалить файл «sessionstore.js» из профиля, да и всё. А вот если его удаление и перезапуск броузера (и Windows) не помогают, значит Windows больна, и если ни одна толковая антивирусная программа ничего не находит, то совет тут, к сожалению, может быть один — сносить под корень. Потому что пытаться вычистить неизвестно что вручную — это задача нетривиальная.

bopUK > 09-06-2008 13:31:36

сносить ничего не надо.
Надо только предоставить нормальный лог от HijackThis. Тот, что выше, какой то обрезок жуткий.