Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] При открытии браузера выводится сообщение "hello" с кнопкой OK (http://forum.oszone.net/showthread.php?t=157105)

Dongreen 15-11-2009 01:11 1270558
При открытии браузера выводится сообщение "hello" с кнопкой OK
 
Здравствуйте!

Сделал скриншот, на котором представлена ситуация. Скриншот цепляю к теме.

Такое же самое окошко с текстом "hello" выводится при открытии следующих браузеров: IE, Opera, Firefox, Google Chrome. И еще - когда захожу на FTP с помощью FAR'a.
После чего это началось - сказать не могу... Возможно, что-то пришло с рекламой со всяки "зайцев нет" :(

Проявляется ситуация следующим образом:
Запускаю браузера Firefox, IE или Google Chrome - выводится сообщение "hello", жму ОК, оно пропадает. Все, можно работать. ПРи следующем запуске браузера ситуация повторяется.
При запуске браузера Опера - ничего, до тех пор, пока не ввожу адрес какого-либо сайта и не перехожу на него.

На момент, когда началась эта проблема, была XP SP 2, установленный и работающий Касперский версии 6 (обновляется автоматически ежедневно), установленный и работающий фаерволл Аутпост.

Кто-нибдь, подскажите, что делать. Вероятно, это троян :(

Dongreen 15-11-2009 01:12 1270559
Вложений: 1
Прошу прощения - забыл скриншот прицепить.

okshef 15-11-2009 10:01 1270671
Цитата:
Цитата Dongreen
Прошу прощения - забыл »
и логи тоже.

Dongreen 15-11-2009 11:42 1270732
Вложений: 1
Вот логи. Посмотрите пожалуйста. Очень достало это "hello" :(

Aleksandra 15-11-2009 12:05 1270750
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:
begin
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
 QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
 QuarantineFile('C:\Program Files\Internet Explorer\rasadhlp.dll','');
 DeleteFile('C:\Program Files\Internet Explorer\rasadhlp.dll');
 DeleteFile('C:\WINDOWS\system32\sdra64.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(1);
BC_Activate;
CreateQurantineArchive('C:\quarantine.zip');
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
quarantine.zip отправьте мне на aleksandra.sedakova[antispam]gmail.com

3. Пофиксите в HijackThis:

Цитата:
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
4. Повторите логи.

Dongreen 15-11-2009 13:56 1270826
Цитата:
Цитата Aleksandra
3. Пофиксите в HijackThis: »
А как это сделать там?

quarantine.zip сейчас вышлю.

Aleksandra 15-11-2009 14:17 1270839
Запустите HijackThis. В главном окне программы нужно нажать кнопочку "Do a system scan only". В открывшемся логе сканирования поставьте галочки напротив указанных строк и нажмите "Fix Checked". Затем следует перегрузить компьютер.

Dongreen 15-11-2009 14:31 1270849
Вложений: 1
Сделал.
Но вот этого - "F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe," - в списке не было.
"hello" еще все также приветствует меня.

Цепляю новые логи

Aleksandra 15-11-2009 14:45 1270858
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:
begin
SetAVZGuardStatus(True);
 DeleteFile('C:\Program Files\Opera\rasadhlp.dll');
 DeleteFile('C:\Program Files\Mozilla Firefox\rasadhlp.dll');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(1);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

3. Запустите все браузеры в которых присутствует проблема и только затем повторите лог virusinfo_syscheck.

Dongreen 15-11-2009 15:00 1270879
И еще добавил в скрипт:
DeleteFile('C:\Program Files\Google\Chrome\Application\rasadhlp.dll');
(файл существовал)

Скрипт выполнил, компьютер перезагрузился, отчет сделал - загружаю с сообщением.

Открытие броузеров больше не сопровождается сообщением - ура!
Вот в FAR'e перед подключением к FTP все еще есть. Наверное, надо поискать там rasadhlp.dll тоже...

Dongreen 15-11-2009 15:02 1270884
hnetcfg.dll
очень подозрительный файл в каталоге C:\program files\far . Дата и время создания совпадают с удаленными rasadhlp.dll из папок броузеров.
Удалить его таким же скриптом в AVZ можно?

Dongreen 15-11-2009 15:22 1270902
Удалил. Проблема пропала! (по крайней мере сообщения больше нет, надеюсь, никуда мои пароли не уплывут...)

Спасибо огромнейшее, Александра! :) Жаль нет смайлика *дарю цветочек*

Aleksandra 15-11-2009 17:40 1271031
Вложений: 1
Нет, этот зловред не ворует пароли. В самом коде даже слово "hello" видно.


Время: 12:09.

Время: 12:09.
© OSzone.net 2001-