Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Перестал запускаться Firefox. Переустановка не помогает (http://forum.oszone.net/showthread.php?t=100104)

Sirko9 07-02-2008 11:55 734859
Перестал запускаться Firefox. Переустановка не помогает
 
Перестал запускаться Firefox. Переустановка не помогает. При попытке запуска, пишет что уже запущен (см. jpeg-и). Также гляньте на странные процессы в ОЗУ. Антивирус AOL (халявный Касперский) и Spybot - Search & Destroy-ер.

Pili 07-02-2008 12:35 734888
alt+tab пробовали? :)
Если есть подозрения на вирусы выложите логи по правилам

Sirko9 07-02-2008 13:39 734934
А что alt-tab?

Pili 07-02-2008 13:52 734946
Sirko9, ладно, забудьте про альт+таб, эта комб. клавиш помогает, если на панели задач не отображается окно firefox (у меня такие случаи глюков наблюдались в терминальной сессии), у вас другой случай.
Где логи?

Sirko9 07-02-2008 16:07 735048
1. Обнаружил что, в безопасном режиме, Лисица жива :)
2. Вот логи
п.с. в обычном режиме все по старому

Baw17 07-02-2008 16:37 735073
а это что такое
F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
отключите его через msconfig, и вообще вырубите все что стартует в Autorun и все заработает , а затем потихоньку назад возвращаете

Проверьте в реестре, в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon значение параметра Userinit оно должно быть следующим:
C:\WINDOWS\system32\userinit.exe,

akok 07-02-2008 17:00 735089
Наверное плагин от литебит ставли?

Sirko9 07-02-2008 17:02 735091
Цитата:
Цитата Baw17
а это что такое
F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
отключите его через msconfig, и вообще вырубите все что стартует в Autorun и все заработает , а затем потихоньку назад возвращаете
Проверьте в реестре, в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon значение параметра Userinit оно должно быть следующим:
C:\WINDOWS\system32\userinit.exe »
как это отключить в msconfig? Можно подробнее об этом... чего тут не так?

Цитата:
Цитата akok
Наверное плагин от литебит ставли? »
нет, все что ставлю, знаю (ну так думаю :)). И что это за плагин?

akok 07-02-2008 17:14 735111
1. Выполнить скрипт
Код:
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('d:\games\hl2\steam.exe','');
 QuarantineFile('C:\WINDOWS\system32\bubbles.scr','');
 QuarantineFile('autorun.bat','');
 QuarantineFile('C:\WINDOWS\system32\nwiz.exe','');
 QuarantineFile('C:\Temp\ASFWHide','');
 DeleteFile('autorun.bat');
 BC_LogFile(GetAVZDirectory + 'boot_clr.log');
 BC_ImportALL;
 BC_Activate;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

2.Пофиксить в HijackThis следующие строчки
Код:
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file)
O2 - BHO: (no name) - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - (no file)
O2 - BHO: (no name) - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - (no file)
O3 - Toolbar: (no name) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
3. Выполнить скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Он создаст архив с карантином который необходимо отправить на akok<at>virusinfo.info (at - @)

Повторите логи

Sirko9 07-02-2008 17:33 735127
Цитата:
Цитата akok
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file)
O2 - BHO: (no name) - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - (no file)
O2 - BHO: (no name) - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - (no file)
O3 - Toolbar: (no name) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat »
как это пофиксить?

Baw17 07-02-2008 18:45 735162
Цитата:
Цитата Sirko9
как это отключить в msconfig? Можно подробнее об этом... чего тут не так? »
Пуск - Выполнить - Msconfig - Автозагрузка - снимаешь все галочки
и пробуешь заработает Лиса или нет?
Цитата:
Цитата Sirko9
как это пофиксить? »
запускаешь HiJackThis - нажимаешь Scan - потом отмечаешь нужное
Цитата:
Цитата Sirko9
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - (no file)
O2 - BHO: (no name) - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - (no file)
O2 - BHO: (no name) - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - (no file)
O3 - Toolbar: (no name) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat » »
потом Fix Checked

вообще о том как пофиксить написано http://forum.oszone.net/thread-98169.html

Sirko9 07-02-2008 19:42 735203
Ничего не помогает. Спасайте, IE7 начинает сильно раздражать....

Severny 07-02-2008 20:48 735281
Sirko9,
Вроде как AOL не поддерживается уже? Или еще обновляется?
А так после некоторого шаманства неплохая халява была.

Sirko9 07-02-2008 21:08 735301
пока еще обновляется...

Pili 08-02-2008 12:32 735731
Sirko9, возможно у вас всё ещё установлен "Ask Plugin" в Firefox. Удалите его, ниже связанные ссылки.
http://kb.mozillazine.org/Uninstall_search_plugins
http://dl.ask.co.uk/toolbars/ajtoolbar/helpfaq.php
http://www.castlecops.com/t184753-AskTBar_malaware.html
Карантин выслали, как вас просили? Где повторные логи?

akok 08-02-2008 13:06 735777
Карантина нет

Sirko9 08-02-2008 18:07 736017
Есть! Подредактировал profiles по адресу C:\Documents and Settings\Sirko\Application Data\Mozilla\Firefox, заработало (заразу, прописавшую там себя, удалил ранее, как рекомендовано было).
Всем спасибо.


Время: 17:17.

Время: 17:17.
© OSzone.net 2001-