Показано с 1 по 15 из 15.

EliteBar

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571

    EliteBar

    Зверька зовут AdWare.Win32.EliteBar.aw(KAV); Adware.EliteBar (DrWeb+nasty)

    Состав -
    pokapoka70.exe - собствено сам EliteBar.
    nt_hide70.dll - библиотека внедряемая в другие процессы и прячащая компоненты EliteBar`a, прячет файлы и каталоги содержащие в имени - "etb" "xud_" "nt_hide" "elitesidebar" "elitebar" "elitetoolbar"
    xud_70.dll - вспомогательная библиотека для установки хуков.

    Всё это хозяйство по умолчанию обитает в windosws\etb и становиться видимым в защищенном режиме.

    Из замеченных особенностей - не даёт убить себя KillBox`om.

    Собственно лечение -
    Зайти в "safe mode"
    1. Стереть каталог etb со всем содержимым.
    2 В HijackThis пометить строку - O4 - HKLM\..\Run: [System service70] C:\WINDOWS\etb\pokapoka70.exe
    Нажать на Fix
    Изображения Изображения
    Последний раз редактировалось RiC; 26.09.2005 в 22:58.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Geser
    Guest
    Кстати, а антируткит АВЗ прошляпил его

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Iceman
    Регистрация
    18.09.2004
    Адрес
    Moscow, RU
    Сообщений
    830
    Вес репутации
    126
    Цитата Сообщение от Geser
    Кстати, а антируткит АВЗ прошляпил его
    Скорее, эвристик. Антируткит, как раз, позволил увидеть и вычислить его.

  5. #4
    Geser
    Guest
    Цитата Сообщение от Iceman
    Скорее, эвристик. Антируткит, как раз, позволил увидеть и вычислить его.
    Ну не знаю. Перехватов в логах вроде на было.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Iceman
    Регистрация
    18.09.2004
    Адрес
    Moscow, RU
    Сообщений
    830
    Вес репутации
    126
    Цитата Сообщение от Geser
    Ну не знаю. предупреждения о скрытых процессах не было.
    А мы Олега и спросим сегодня ;-)). Мне тоже интересно. Опять же АВЗ - единственная прогр., которая позволила побороться в обычном (не Сэйв) режиме.

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412
    Цитата Сообщение от Iceman
    А мы Олега и спросим сегодня ;-)). Мне тоже интересно. Опять же АВЗ - единственная прогр., которая позволила побороться в обычном (не Сэйв) режиме.
    Я сам удивился ... но удивление мое длилось недолго - создатели зверя придумали новый вид маскировки руткита UserMode, простой и аккуратный ... Текущий AVZ просто не поднимает тревоги на него, что конечно неправильно - я вношу доработки в алгоритм, новая версия будет давать эту заразу - текущий движек антируткита это позволяет (просто это "микроруткит" - процессы не маскирует, только отфильтровывает обращение к своей папке, и то не совсем корректно). Странно другое - у меня на тестовом ПК AVZ эвристиком четко видит DLL-перехватчик и ругается на нее, а в логах раздела "Помогите" этого нет

  8. #7
    Geser
    Guest
    Цитата Сообщение от Зайцев Олег
    Странно другое - у меня на тестовом ПК AVZ эвристиком четко видит DLL-перехватчик и ругается на нее, а в логах раздела "Помогите" этого нет
    Там логи с двух компьютеров. На одном ругается, а на другом действительно нет.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Iceman
    Регистрация
    18.09.2004
    Адрес
    Moscow, RU
    Сообщений
    830
    Вес репутации
    126
    Цитата Сообщение от Зайцев Олег
    Я сам удивился ... но удивление мое длилось недолго - создатели зверя придумали новый вид маскировки руткита UserMode, простой и аккуратный ... Текущий AVZ просто не поднимает тревоги на него, что конечно неправильно - я вношу доработки в алгоритм, новая версия будет давать эту заразу - текущий движек антируткита это позволяет (просто это "микроруткит" - процессы не маскирует, только отфильтровывает обращение к своей папке, и то не совсем корректно). Странно другое - у меня на тестовом ПК AVZ эвристиком четко видит DLL-перехватчик и ругается на нее, а в логах раздела "Помогите" этого нет
    Тогда однозначно ждём новую версию ;-)).

  10. #9
    Visiting Helper Репутация
    Регистрация
    20.09.2004
    Сообщений
    187
    Вес репутации
    73
    Обитает pokapoka**.exe на hттp://searchmiracle.com/toolbar/

  11. #10

  12. #11

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Iceman
    Регистрация
    18.09.2004
    Адрес
    Moscow, RU
    Сообщений
    830
    Вес репутации
    126
    Но что самое приятное - это то, что Агнитум (3-я бетка) не "пущщает" наружу этого гада и отслеживает таки внедрение в процессы.

  14. #13
    External Specialist Репутация Репутация Репутация Репутация
    Регистрация
    12.12.2004
    Сообщений
    818
    Вес репутации
    79
    Мегакриво отрабатывает апихук на винтукее... просто вообще вводит систему в тормоза =(

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Iceman
    Регистрация
    18.09.2004
    Адрес
    Moscow, RU
    Сообщений
    830
    Вес репутации
    126
    Ну, с особыми тормозами, как раз, не сталкивался.

  16. #15
    Tra1toR
    Guest
    а где этот бар можно скачать? или у когонить есть инсталлер?

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01573 seconds with 19 queries