Здравствуйте!

Сделал скриншот, на котором представлена ситуация. Скриншот цепляю к теме.

Такое же самое окошко с текстом "hello" выводится при открытии следующих браузеров: IE, Opera, Firefox, Google Chrome. И еще - когда захожу на FTP с помощью FAR'a.
После чего это началось - сказать не могу... Возможно, что-то пришло с рекламой со всяки "зайцев нет" :(

Проявляется ситуация следующим образом:
Запускаю браузера Firefox, IE или Google Chrome - выводится сообщение "hello", жму ОК, оно пропадает. Все, можно работать. ПРи следующем запуске браузера ситуация повторяется.
При запуске браузера Опера - ничего, до тех пор, пока не ввожу адрес какого-либо сайта и не перехожу на него.

На момент, когда началась эта проблема, была XP SP 2, установленный и работающий Касперский версии 6 (обновляется автоматически ежедневно), установленный и работающий фаерволл Аутпост.

Кто-нибдь, подскажите, что делать. Вероятно, это троян :(

Прошу прощения - забыл скриншот прицепить.

Прошу прощения - забыл »
и логи (http://forum.oszone.net/post-717373-2.html) тоже.

Вот логи. Посмотрите пожалуйста. Очень достало это "hello" :(

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\Program Files\Internet Explorer\rasadhlp.dll','');
DeleteFile('C:\Program Files\Internet Explorer\rasadhlp.dll');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(1);
BC_Activate;
CreateQurantineArchive('C:\quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
quarantine.zip отправьте мне на aleksandra.sedakova[antispam]gmail.com

3. Пофиксите в HijackThis:

R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,

4. Повторите логи.

3. Пофиксите в HijackThis: »
А как это сделать там?

quarantine.zip сейчас вышлю.

Запустите HijackThis. В главном окне программы нужно нажать кнопочку "Do a system scan only". В открывшемся логе сканирования поставьте галочки напротив указанных строк и нажмите "Fix Checked". Затем следует перегрузить компьютер.

Сделал.
Но вот этого - "F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe," - в списке не было.
"hello" еще все также приветствует меня.

Цепляю новые логи

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

begin
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\Opera\rasadhlp.dll');
DeleteFile('C:\Program Files\Mozilla Firefox\rasadhlp.dll');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

3. Запустите все браузеры в которых присутствует проблема и только затем повторите лог virusinfo_syscheck.

И еще добавил в скрипт:
DeleteFile('C:\Program Files\Google\Chrome\Application\rasadhlp.dll');
(файл существовал)

Скрипт выполнил, компьютер перезагрузился, отчет сделал - загружаю с сообщением.

Открытие броузеров больше не сопровождается сообщением - ура!
Вот в FAR'e перед подключением к FTP все еще есть. Наверное, надо поискать там rasadhlp.dll тоже...

hnetcfg.dll
очень подозрительный файл в каталоге C:\program files\far . Дата и время создания совпадают с удаленными rasadhlp.dll из папок броузеров.
Удалить его таким же скриптом в AVZ можно?

Удалил. Проблема пропала! (по крайней мере сообщения больше нет, надеюсь, никуда мои пароли не уплывут...)

Спасибо огромнейшее, Александра! :) Жаль нет смайлика *дарю цветочек*

Нет, этот зловред не ворует пароли. В самом коде даже слово "hello" видно.