[zeroua]

teofrast, почитайте здесь что как нужно сделать чтобы вам помогли, а от получается что админи должны быть екстрасенсами)

Правила оформления запроса о помощи., и не забудьте пункт 3 Сбор лог файлов для последующего их анализа... что очень поможет в решение ваших проблем...

[teofrast]

я обязательно сделаю все по правилам в ближайшее время, а пока вот нашел в нете как раз про мою пробдлему, но пробую сделать как там говриться не поучилось до конца все удалить из регистра и это окно там и выскакивает

вот это

Trojan-Downloader.Adload.pd Description
Trojan-Downloader.Adload.pd is a dangerous Trojan program that generates FAKE warning messages in its attempts to trick users into buying a rogue anti-spyware application called Files Secure . Trojan-Downloader.Adload.pd usually creeps into your system when you download and install a fake video codec that is often found in pornographic websites. Once it is installed, Trojan-Downloader.Adload.pd will bombard you with pop-up alerts stating that your PC has been infected with dangerous Trojans and will prompt you to install a "high-tech" anti-spyware application in order to fix the errors. Trojan-Downloader.Adload.pd may display warning messages with different FAKE Trojan names including Trojan.Win32.Agent.akk , Trojan.Win32.Gorshok.a , Trojan.Win32.LinkReplacer , Trojan.Win32.Obfuscated.gx and others. Possible error messages are:

Critical System Error!
Your browser was hijacked by Trojan.Win32.Obfuscated.gx
You need to clean your system immediately, in other case it can be crashed soon!
Click OK to download the high-tech antispyware protection software! (Recommended)

Or:

Your computer was hijacked by Trojan.Win32.LinkReplacer
It's dangerous for your system, some files can be lost and your browser can be slow!
Click OK to download the antispyware program to clean your computer! (Recommended)

Once you click on any of these alerts, you will be directed to the website, which promotes the ROGUE Files Secure application. Files Secure is a clone of IEDefender and is created only to deceive users and empty their pockets.

и далее по ссылке http://www.spywareremove.com/removeT...rAdloadpd.html

[Pili]

Hi teofrast! Лечение произойдет быстрее, если вы выложите требуемые лог файлы.

[teofrast]

сделал все лотребуемые логи не знаю как тут прикреплять файлы поэтому поместил их все в папку зааврхивировал и выложил на дамп ссылка прилагаеться http://dump.ru/files/p/p995993836/ жду дальнеййших указаний еще раз всем заранее спасибо

[Pili]

teofrast, В меню AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить»

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\del.bat','');
 QuarantineFile('C:\WINDOWS\system32\autorun.exe','');
 QuarantineFile('C:\WINDOWS\system32\ChCfg.exe','');
 QuarantineFile('C:\smp.bat','');
 QuarantineFile('C:\WINDOWS\System32\logon.scr','');
 QuarantineFile('C:\WINDOWS\cndr32a.dll','');
 QuarantineFile('D:\AUTORUN\AutoRun','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys','');
 QuarantineFile('c:\program files\vistadriveicon\vistadrv.exe','');
 DeleteFile('C:\WINDOWS\system32\autorun.exe');
 DeleteFile('C:\WINDOWS\cndr32a.dll');
 DeleteFile('C:\smp.bat');
 DeleteFile('D:\AUTORUN\AutoRun');
 DelBHO('{1CF50F68-ECAD-45C6-AFC1-B5DC4B95B15E}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ.

Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O1 - Hosts: 208.109.46.212 www.driver-soft.com
O2 - BHO: FLW Viewer - {1CF50F68-ECAD-45C6-AFC1-B5DC4B95B15E} - C:\WINDOWS\cndr32a.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [ManualRun] "D:\AUTORUN\AutoRun"
O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user')

Логи DSS не полные (обрываются). Повторите логи

[teofrast]

файл quarantine.zip отослал на ваш майл. когда выполнял в hijackthis.exe "Fix Checked". двух из указанных вами строк в списке не было привожу их:
O2 - BHO: FLW Viewer - {1CF50F68-ECAD-45C6-AFC1-B5DC4B95B15E} - C:\WINDOWS\cndr32a.dll
O4 - HKLM\..\Run: [ManualRun] "D:\AUTORUN\AutoRun"

Логи DSS также пробЫвал сделать несколько раз ханово но почему они все время получаються оборванными

[Pili]

teofrast, все в порядке, avz постарался, поэтому в HJT строк нет, cndr32a.dll - Trojan-Downloader.Win32.Peregar.aa уже ловиться касперским, его удалили
Найдите ещё файл A5-tmpaoi.exe (д.б. в C:\DOCUME~1\Admin\LOCALS~1\Temp\A5-tmpaoi.exe) и пришлите так же в архиве с паролем virus, поищите ещё logon.scr (C:\WINDOWS\System32\logon.scr), но его вроде бы нет, судя по содержимому ini файла, файлы
C:\WINDOWS\system32\ssmyst.scr
C:\WINDOWS\system32\ssField Lines.scr
C:\WINDOWS\system32\ssbezier.scr
можете проверить на virustotal.com
Остальные файлы в карантине анализируются. Перед формированием логов DSS лучше отключить антивирусы (у вас касперский) и в процессе работы DSS не запускать программ (и не кликать мышкой)
повторите логи (virusinfo_syscure.zip можете не делать - 3-ий скрипт AVZ), Дополнительно скачайте и запустите GetSystemInfo (GSI), укажите с помощью обзора папку для сохранения протокола в текстовом формате, заархивируйте полученный файл протокола в архив и прикрепите к сообщению.
интересная сборка винды, почти все файлы патченные (не прошли проверку по безопасным в AVZ) C:\WINDOWS\del.bat сами делали?

[teofrast]

вы знаете я не нашел ни файл A5-tmpaoi.exe (д.б. в C:\DOCUME~1\Admin\LOCALS~1\Temp\A5-tmpaoi.exe), ни logon.scr (C:\WINDOWS\System32\logon.scr), что касаеться логов то я их делал при отключенном касперском но вот не помню щелкал мышкой или нет.
C:\WINDOWS\system32\ssmyst.scr
C:\WINDOWS\system32\ssField Lines.scr
C:\WINDOWS\system32\ssbezier.scr эти файлы проверил вирусов не найдено.
НО САМОЕ ГЛАВНОЕ Я СЛУЧАНЙО ОБНАРУЖИЛ, ЧТО ПРОПАЛО ЭТОЛ СООБЩЕНИЕ ПОЯВЛЯЮЩЕЕ ПРИ ПЕРЕХОДЕ ИЗ ПАПКИ В ПАПКУ окно с таким текстом you system was infected by dangerous trojan Note you critical files can be lost click ok to download the antimalware application to clean your system (reccomended) Я ГЛАВНЕО СНАЧАЛА ДАЖЕ НЕ ОПНЯЛ ЧТО ЕГО НЕТ
СПАСИБО ВАМ ОГРОМНОЕ ЗА ПОМОЩЬ!!! это все или мне еще что то надо сделать ? то что вы писали в последнем сообщении про логи и тд? или не надо?
что касаетсья виндоуса, то я его устанавливал не лицензионнного лиска, а с крякнутого друг принес, там были проблемы с виндоусом я переустановил ХР. вот жду ответа, огромное вам спасибо еще раз!!!

[Pili]

teofrast, пожалуйста )
Пока ждем ответа от вирлаба по 2 файлам карантина, лог DSS не обязательно, а логи virusinfo_syscheck.zip, hijackthis.zip желательны для проверки (лог GSI и DSS я запросил, т.к. решил, что проблема осталась), если не трудно эти логи можете тоже сделать (GSI быстро делается, DSS дольше), только антивирус не забудьте на время выключить. SpyHunter можете деинсталлировать - не сильно полезная программа.
Ad-Aware SE можно деинсталлировать и поставить Ad-Aware 2007 или SpyBot S&D

Цитата:

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику

что из этого не нужно?