стало при открытии папок появляться окно с таким текстом you system was infected by dangerous trojan Note you critical files can be lost click ok to download the antimalware application to clean your system (reccomended) и настойчиво советует скачать прогу какую то как от этого окна избавитсья пожалйста подскажите!!!! заранее спасибо
PS название этой всей фигни нашел в нете( см. тему) он убрать так и не смог сообщение все ранво выскакивает. помогите!

teofrast, почитайте здесь что как нужно сделать чтобы вам помогли, а от получается что админи должны быть екстрасенсами)

Правила оформления запроса о помощи. (http://forum.oszone.net/thread-98169.html), и не забудьте пункт 3 Сбор лог файлов для последующего их анализа... что очень поможет в решение ваших проблем...

я обязательно сделаю все по правилам в ближайшее время, а пока вот нашел в нете как раз про мою пробдлему, но пробую сделать как там говриться не поучилось до конца все удалить из регистра и это окно там и выскакивает

вот это

Trojan-Downloader.Adload.pd Description
Trojan-Downloader.Adload.pd is a dangerous Trojan program that generates FAKE warning messages in its attempts to trick users into buying a rogue anti-spyware application called Files Secure . Trojan-Downloader.Adload.pd usually creeps into your system when you download and install a fake video codec that is often found in pornographic websites. Once it is installed, Trojan-Downloader.Adload.pd will bombard you with pop-up alerts stating that your PC has been infected with dangerous Trojans and will prompt you to install a "high-tech" anti-spyware application in order to fix the errors. Trojan-Downloader.Adload.pd may display warning messages with different FAKE Trojan names including Trojan.Win32.Agent.akk , Trojan.Win32.Gorshok.a , Trojan.Win32.LinkReplacer , Trojan.Win32.Obfuscated.gx and others. Possible error messages are:

Critical System Error!
Your browser was hijacked by Trojan.Win32.Obfuscated.gx
You need to clean your system immediately, in other case it can be crashed soon!
Click OK to download the high-tech antispyware protection software! (Recommended)

Or:

Your computer was hijacked by Trojan.Win32.LinkReplacer
It's dangerous for your system, some files can be lost and your browser can be slow!
Click OK to download the antispyware program to clean your computer! (Recommended)

Once you click on any of these alerts, you will be directed to the website, which promotes the ROGUE Files Secure application. Files Secure is a clone of IEDefender and is created only to deceive users and empty their pockets.

и далее по ссылке http://www.spywareremove.com/removeTrojanDownloaderAdloadpd.html

Hi teofrast! Лечение произойдет быстрее, если вы выложите требуемые лог файлы.

сделал все лотребуемые логи не знаю как тут прикреплять файлы поэтому поместил их все в папку зааврхивировал и выложил на дамп ссылка прилагаеться http://dump.ru/files/p/p995993836/ жду дальнеййших указаний еще раз всем заранее спасибо

teofrast, В меню AVZ (http://z-oleg.com/avz4.zip) - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить»
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\del.bat','');
QuarantineFile('C:\WINDOWS\system32\autorun.exe','');
QuarantineFile('C:\WINDOWS\system32\ChCfg.exe','');
QuarantineFile('C:\smp.bat','');
QuarantineFile('C:\WINDOWS\System32\logon.scr','');
QuarantineFile('C:\WINDOWS\cndr32a.dll','');
QuarantineFile('D:\AUTORUN\AutoRun','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys','');
QuarantineFile('c:\program files\vistadriveicon\vistadrv.exe','');
DeleteFile('C:\WINDOWS\system32\autorun.exe');
DeleteFile('C:\WINDOWS\cndr32a.dll');
DeleteFile('C:\smp.bat');
DeleteFile('D:\AUTORUN\AutoRun');
DelBHO('{1CF50F68-ECAD-45C6-AFC1-B5DC4B95B15E}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTyp eAutoRun', 221);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ.

Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O1 - Hosts: 208.109.46.212 www.driver-soft.com
O2 - BHO: FLW Viewer - {1CF50F68-ECAD-45C6-AFC1-B5DC4B95B15E} - C:\WINDOWS\cndr32a.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [ManualRun] "D:\AUTORUN\AutoRun"
O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user')
Логи DSS не полные (обрываются). Повторите логи

файл quarantine.zip отослал на ваш майл. когда выполнял в hijackthis.exe "Fix Checked". двух из указанных вами строк в списке не было привожу их:
O2 - BHO: FLW Viewer - {1CF50F68-ECAD-45C6-AFC1-B5DC4B95B15E} - C:\WINDOWS\cndr32a.dll
O4 - HKLM\..\Run: [ManualRun] "D:\AUTORUN\AutoRun"

Логи DSS также пробывал сделать несколько раз ханово но почему они все время получаються оборванными

teofrast, все в порядке, avz постарался, поэтому в HJT строк нет, cndr32a.dll - Trojan-Downloader.Win32.Peregar.aa уже ловиться касперским, его удалили
Найдите ещё файл A5-tmpaoi.exe (д.б. в C:\DOCUME~1\Admin\LOCALS~1\Temp\A5-tmpaoi.exe) и пришлите так же в архиве с паролем virus, поищите ещё logon.scr (C:\WINDOWS\System32\logon.scr), но его вроде бы нет, судя по содержимому ini файла, файлы
C:\WINDOWS\system32\ssmyst.scr
C:\WINDOWS\system32\ssField Lines.scr
C:\WINDOWS\system32\ssbezier.scr
можете проверить на virustotal.com
Остальные файлы в карантине анализируются. Перед формированием логов DSS лучше отключить антивирусы (у вас касперский) и в процессе работы DSS не запускать программ (и не кликать мышкой)
повторите логи (virusinfo_syscure.zip можете не делать - 3-ий скрипт AVZ), Дополнительно скачайте и запустите GetSystemInfo (GSI) (ftp://ftp.kaspersky.ru/utils/getsysteminfo/GetSystemInfo.exe), укажите с помощью обзора папку для сохранения протокола в текстовом формате, заархивируйте полученный файл протокола в архив и прикрепите к сообщению.
интересная сборка винды, почти все файлы патченные (не прошли проверку по безопасным в AVZ) C:\WINDOWS\del.bat сами делали?

вы знаете я не нашел ни файл A5-tmpaoi.exe (д.б. в C:\DOCUME~1\Admin\LOCALS~1\Temp\A5-tmpaoi.exe), ни logon.scr (C:\WINDOWS\System32\logon.scr), что касаеться логов то я их делал при отключенном касперском но вот не помню щелкал мышкой или нет.
C:\WINDOWS\system32\ssmyst.scr
C:\WINDOWS\system32\ssField Lines.scr
C:\WINDOWS\system32\ssbezier.scr эти файлы проверил вирусов не найдено.
НО САМОЕ ГЛАВНОЕ Я СЛУЧАНЙО ОБНАРУЖИЛ, ЧТО ПРОПАЛО ЭТОЛ СООБЩЕНИЕ ПОЯВЛЯЮЩЕЕ ПРИ ПЕРЕХОДЕ ИЗ ПАПКИ В ПАПКУ окно с таким текстом you system was infected by dangerous trojan Note you critical files can be lost click ok to download the antimalware application to clean your system (reccomended) Я ГЛАВНЕО СНАЧАЛА ДАЖЕ НЕ ОПНЯЛ ЧТО ЕГО НЕТ:)
СПАСИБО ВАМ ОГРОМНОЕ ЗА ПОМОЩЬ!!! это все или мне еще что то надо сделать ? то что вы писали в последнем сообщении про логи и тд? или не надо?
что касаетсья виндоуса, то я его устанавливал не лицензионнного лиска, а с крякнутого друг принес, там были проблемы с виндоусом я переустановил ХР. вот жду ответа, огромное вам спасибо еще раз!!!

teofrast, пожалуйста )
Пока ждем ответа от вирлаба по 2 файлам карантина, лог DSS не обязательно, а логи virusinfo_syscheck.zip, hijackthis.zip желательны для проверки (лог GSI и DSS я запросил, т.к. решил, что проблема осталась), если не трудно эти логи можете тоже сделать (GSI быстро делается, DSS дольше), только антивирус не забудьте на время выключить. SpyHunter можете деинсталлировать - не сильно полезная программа.
Ad-Aware SE можно деинсталлировать и поставить Ad-Aware 2007 или SpyBot S&D
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
что из этого не нужно?

SpyHunter удалил, Ad-Aware заменил новой версией, логи virusinfo_syscheck.zip, hijackthis.zip лежат зареренные на http://dump.ru/files/p/p9632019221/

из данного списка
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
пожалуй нчиего не надо, тем более что большинсво я даже не понимаю для чего:)

teofrast, мне кажется что перед тем как говорить пожалуй нчиего не надо, тем более что большинсво я даже не понимаю для чего », стоит немного вникнуть в смысл данных служб и параметров ...

про службы можно почитать здесь (http://www.oszone.ru/2357/XP_Services), а также скачать оффлайн версию в формате chm (http://www.oszone.net/windows/winxp/services/services.zip) ... которая являет собою замечательный электронный справочник по службам в Windows XP...

я думаю что если вы проявите ещё немного упорства то и про остальное узнаете без особого труда ...

спасибо за ссылку, почитал действителньо ничего не надо, из этого списка, до этого знал толкьо про планировщик заданий, и автозапуск с сидирома

да кстати а если они не нужны как их отключить?

teofrast, хм вот список того что отключаю я, может что-то из этого вам пригодится... не пользуйтесь этим бездумно ...

Windows Registry Editor Version 5.00

;Отключение служб...
;Удаленный реестр
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry]
"Start"=dword:00000004

;NetMeeting Remote Desktop Sharing
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mnmsrvc]
"Start"=dword:00000004

;Диспетчер сеанса справки для удаленного рабочего стола
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RDSessMgr]
"Start"=dword:00000004

;Служба обнаружения SSDP
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SSDPSRV]
"Start"=dword:00000004


;Отказ в доступе из сети анонимным пользователям
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"RestrictAnonymous"=dword:00000002

;Отключение стандартных административных общих ресурсов (C$ и т.д.)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareWks"=dword:00000000
"AutoShareServer"=dword:00000000

;Отключить автозапуск для всех типов приводов и устройств
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

про твики регистра можно почитать тут (http://www.oszone.net/5603/tweaks) , скачать же оффлайн версию можно тут (http://soft.oszone.net/files_soft/tweaks.zip)

teofrast, пришел ответ от вирлаба, ChCfg.exe чист
mchInjDrv.sys и logon.scr можно удалить, их все равно нет, выполните скрипт, заодно отключаем все не нужное.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys');
DeleteFile('C:\WINDOWS\system32\logon.scr');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.

Если сами эти строчки не делали, можно пофиксить в HJT (это не обязательно, но чтобы не было мусора)
O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
В остальном логи чистые. Проблем больше не наблюдается?

скрипт выполнил, пофиксил, проблемы больше нет!!! спасибо вам огромнейшее!!! я тут заметил под вашим ником благодарности, как мне сделать чтобы их стало на одну больше? и как отметить в настройках темы что проблема решена?

teofrast, Настройки темы - наверху (чуть ниже строки "Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Trojan-Downloader.Adload.pd"), полезные сообщения - внизу )
Да, ещё рекомендую отклчить автозапуск со съемных дисков
Сохраните текст ниже как noautorun.reg и примените
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutopla y\Files]
"*.*"=""
Дополнительно можете скачать и запустить утилиту Flash Drive Disinfector (http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe) - создает каталоги с именем autorun.inf на дисках (не забудьте подключить флешки и др. съемные носители) - не удаляейте эти каталоги, они защитят носители (в .т.ч флешки) от зловредов типа autorun.inf
Советую также прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" (http://security-advisory.virusinfo.info) и, для предотвращения заражения в будущем, следовать рекомендациям, описанным в этой книге.

все сделал, и изменений в регистр, запустил Flash Drive Disinfector, и книгу себе занес в избранное. ЕЩЕ РАЗ ОГРОМНЕЙШЕЕ ВАМ СПАСИБО ЗА КВАЛИФИЦИРОВАННУЮ ПОМОЩЬ И ПОТРАЧЕННОЕ НА МЕНЯ ВРЕМЯ!!!!!