# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Описания вредоносных программ  >  EliteBar

## RiC

Зверька зовут AdWare.Win32.EliteBar.aw(KAV); Adware.EliteBar (DrWeb+nasty)

Состав - 
pokapoka70.exe - собствено сам EliteBar.
nt_hide70.dll - библиотека внедряемая в другие процессы и прячащая компоненты EliteBar`a, прячет файлы и каталоги содержащие в имени - *"etb" "xud_" "nt_hide" "elitesidebar" "elitebar" "elitetoolbar"*
xud_70.dll - вспомогательная библиотека для установки хуков.

Всё это хозяйство по умолчанию обитает в windosws\etb и становиться  видимым в защищенном режиме.

Из замеченных особенностей - не даёт убить себя KillBox`om.

Собственно лечение - 
Зайти в "safe mode"
1. Стереть каталог *etb* со всем содержимым.
2 В HijackThis пометить строку - O4 - HKLM\..\Run: [System service70] C:\WINDOWS\etb\pokapoka70.exe
Нажать на *Fix*

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Geser

Кстати, а антируткит АВЗ прошляпил его

----------


## Iceman

> Кстати, а антируткит АВЗ прошляпил его


Скорее, эвристик. Антируткит, как раз, позволил увидеть и вычислить его.

----------


## Geser

> Скорее, эвристик. Антируткит, как раз, позволил увидеть и вычислить его.


Ну не знаю. Перехватов в логах вроде на было.

----------


## Iceman

> Ну не знаю. предупреждения о скрытых процессах не было.


А мы Олега и спросим сегодня ;-)). Мне тоже интересно. Опять же АВЗ - единственная прогр., которая позволила побороться в обычном (не Сэйв) режиме.

----------


## Зайцев Олег

> А мы Олега и спросим сегодня ;-)). Мне тоже интересно. Опять же АВЗ - единственная прогр., которая позволила побороться в обычном (не Сэйв) режиме.


Я сам удивился ... но удивление мое длилось недолго - создатели зверя придумали новый вид маскировки руткита UserMode, простой и аккуратный ... Текущий AVZ просто не поднимает тревоги на него, что конечно неправильно - я вношу доработки в алгоритм, новая версия будет давать эту заразу - текущий движек антируткита это позволяет (просто это "микроруткит" - процессы не маскирует, только отфильтровывает обращение к своей папке, и то не совсем корректно). Странно другое - у меня на тестовом ПК AVZ эвристиком четко видит DLL-перехватчик и ругается на нее, а в логах раздела "Помогите" этого нет

----------


## Geser

> Странно другое - у меня на тестовом ПК AVZ эвристиком четко видит DLL-перехватчик и ругается на нее, а в логах раздела "Помогите" этого нет


Там логи с двух компьютеров. На одном ругается, а на другом действительно нет.

----------


## Iceman

> Я сам удивился ... но удивление мое длилось недолго - создатели зверя придумали новый вид маскировки руткита UserMode, простой и аккуратный ... Текущий AVZ просто не поднимает тревоги на него, что конечно неправильно - я вношу доработки в алгоритм, новая версия будет давать эту заразу - текущий движек антируткита это позволяет (просто это "микроруткит" - процессы не маскирует, только отфильтровывает обращение к своей папке, и то не совсем корректно). Странно другое - у меня на тестовом ПК AVZ эвристиком четко видит DLL-перехватчик и ругается на нее, а в логах раздела "Помогите" этого нет


Тогда однозначно ждём новую версию ;-)).

----------


## azza

Обитает pokapoka**.exe на hттp://searchmiracle.com/toolbar/

----------


## Xen

Вроде как уже нет его там... поделишься? =)

----------


## Xen

Уже нашел, спасибо =)

----------


## Iceman

Но что самое приятное - это то, что Агнитум (3-я бетка) не "пущщает" наружу этого гада и отслеживает таки внедрение в процессы.

----------


## Xen

Мегакриво отрабатывает апихук на винтукее... просто вообще вводит систему в тормоза =(

----------


## Iceman

Ну, с особыми тормозами, как раз, не сталкивался.

----------


## Tra1toR

а где этот бар можно скачать? или у когонить есть инсталлер?

----------

