Если бы к Adware можно было бы применить термин "эпидемия", то можно было бы констатировать эпидемию Adware.GloboSearch. Данный Adware (лично я бы причислил его к троянам) состоит из единственной dll (на настоящий момент типовое имя - param32.dll, но оно может измениться) небольшого размера (около 15 кб). За прошедшие три дня я получил более десятка сообщений о поражении ПК данным Adware, наиболее подробное описание проблемы есть тут - http://virusinfo.info/index.php?board=26;action=display;threadid=1191

Проявления:
1. Подмена стартовой страницы, как правило на http://www.newgenlook.info
2. Появление в трее постороннего значка в виде кружка с крестом, для значка выводятся разные сообщения о якобы обнаруженных атаках и проблемах с безопасностью
3. Периодически выводятся окна с сообщениями о каких-то якобы открытых портах, предупреждениях безопасности ... - естественно поддельные
4. Идет посторонний обмен с http://www.newgenlook.info/ad/ad0237/dating/dating.html

Особенность этого Adware.GloboSearch состоит в том, что он не создает процессы и не внедряется в IE как BHO - его DLL загружается при помощи малоизвестного ключа реестра "SharedTaskScheduler".
Для детектирования "зверя" в AVZ 3.20 внесены все известные сигнатуры + микропрограмма эвристики для детектирования новых типов. Кроме того, в AVZ для этого "зверя" есть микропрограмма лечения, которая удалит его ключи реестра и удалит сам файл при помощи отложенного удаления.

systr.dll - загрузчик www.hotoffers.info - использует тот же способ запуска.

systr.dll - загрузчик www.hotoffers.info - использует тот же способ запуска.

Да, именно так - это AdvWare.Serpo.* по классификации AVP ... 8.7 кб размером, кстати структура DLL очень похожа на param32.dll, не исключено, что у них один автор

А AVZ проверяет ключ реестра SharedTaskScheduler на предмет подозрительных записей?

А AVZ проверяет ключ реестра SharedTaskScheduler на предмет подозрительных записей?

Сейчас - не проверяет (не понятно, что считать подозрительной записью). А вот лечить -лечит. Но микропрограмма легко может проверить этот список, нужно только определить критерии опасности

не понятно, что считать подозрительной записью.
Любая запись, за исключением ссылающихся на валидную browseui.dll, подозрительна.

Не обязательно. У меня, например, этот раздел выглядит так:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

Хотя попробовать, конечно можно. База "чистых" ключей быстро наберется, ИМХО.

Не обязательно. У меня, например, этот раздел выглядит так:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

Хотя попробовать, конечно можно. База "чистых" ключей быстро наберется, ИМХО.

В принципе попробовать действительно можно - месяц назал AVZ ругался на каждую вторую DLL как на "кейлоггер" - очень быстро все известное/безопасное попало в базы ...

Не обязательно. У меня, например, этот раздел выглядит так:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

Дык и у меня так выглядит. Надо далее открывать соответствующий ключ CLSID, смотреть что там в качестве сервера прописано, и сверять с базой валидных файлов. Если нет в базе или не соответствует, выдавать предупреждение в отчёте.

Сегодня столкнулся с этой пакостью. Машина с Win98SE. param32.dll оставалась резидентной даже в Safe Mode. Пришлось убивать её вручную в ДОСе.

Огромное человеческое спасибо Зайцеву Олегу и его проге AVZ 3.20. Она спасла меня!

Огромное человеческое спасибо Зайцеву Олегу и его проге AVZ 3.20. Она спасла меня!


Да, программа очень хорошая. И Я Олегу писал. Он откликнулся (в отличии от лаборатории Касперского например). Но в процессе работы, выяснились некоторые недостатки. Все собираюсь написать. 8)