PDA

Просмотр полной версии : EliteBar



RiC
26.09.2005, 22:43
Зверька зовут AdWare.Win32.EliteBar.aw(KAV); Adware.EliteBar (DrWeb+nasty)

Состав -
pokapoka70.exe - собствено сам EliteBar.
nt_hide70.dll - библиотека внедряемая в другие процессы и прячащая компоненты EliteBar`a, прячет файлы и каталоги содержащие в имени - "etb" "xud_" "nt_hide" "elitesidebar" "elitebar" "elitetoolbar"
xud_70.dll - вспомогательная библиотека для установки хуков.

Всё это хозяйство по умолчанию обитает в windosws\etb и становиться видимым в защищенном режиме.

Из замеченных особенностей - не даёт убить себя KillBox`om.

Собственно лечение -
Зайти в "safe mode"
1. Стереть каталог etb со всем содержимым.
2 В HijackThis пометить строку - O4 - HKLM\..\Run: [System service70] C:\WINDOWS\etb\pokapoka70.exe
Нажать на Fix

Geser
27.09.2005, 14:16
Кстати, а антируткит АВЗ прошляпил его

Iceman
27.09.2005, 14:38
Кстати, а антируткит АВЗ прошляпил его

Скорее, эвристик. Антируткит, как раз, позволил увидеть и вычислить его.

Geser
27.09.2005, 14:41
Скорее, эвристик. Антируткит, как раз, позволил увидеть и вычислить его.
Ну не знаю. Перехватов в логах вроде на было.

Iceman
27.09.2005, 14:44
Ну не знаю. предупреждения о скрытых процессах не было.
А мы Олега и спросим сегодня ;-)). Мне тоже интересно. Опять же АВЗ - единственная прогр., которая позволила побороться в обычном (не Сэйв) режиме.

Зайцев Олег
27.09.2005, 15:13
А мы Олега и спросим сегодня ;-)). Мне тоже интересно. Опять же АВЗ - единственная прогр., которая позволила побороться в обычном (не Сэйв) режиме.
Я сам удивился ... но удивление мое длилось недолго - создатели зверя придумали новый вид маскировки руткита UserMode, простой и аккуратный ... Текущий AVZ просто не поднимает тревоги на него, что конечно неправильно - я вношу доработки в алгоритм, новая версия будет давать эту заразу - текущий движек антируткита это позволяет (просто это "микроруткит" - процессы не маскирует, только отфильтровывает обращение к своей папке, и то не совсем корректно). Странно другое - у меня на тестовом ПК AVZ эвристиком четко видит DLL-перехватчик и ругается на нее, а в логах раздела "Помогите" этого нет

Geser
27.09.2005, 15:23
Странно другое - у меня на тестовом ПК AVZ эвристиком четко видит DLL-перехватчик и ругается на нее, а в логах раздела "Помогите" этого нет
Там логи с двух компьютеров. На одном ругается, а на другом действительно нет.

Iceman
27.09.2005, 15:24
Я сам удивился ... но удивление мое длилось недолго - создатели зверя придумали новый вид маскировки руткита UserMode, простой и аккуратный ... Текущий AVZ просто не поднимает тревоги на него, что конечно неправильно - я вношу доработки в алгоритм, новая версия будет давать эту заразу - текущий движек антируткита это позволяет (просто это "микроруткит" - процессы не маскирует, только отфильтровывает обращение к своей папке, и то не совсем корректно). Странно другое - у меня на тестовом ПК AVZ эвристиком четко видит DLL-перехватчик и ругается на нее, а в логах раздела "Помогите" этого нет

Тогда однозначно ждём новую версию ;-)).

azza
27.09.2005, 16:14
Обитает pokapoka**.exe на hттp://searchmiracle.com/toolbar/

Xen
27.09.2005, 16:36
Вроде как уже нет его там... поделишься? =)

Xen
27.09.2005, 16:39
Уже нашел, спасибо =)

Iceman
27.09.2005, 16:53
Но что самое приятное - это то, что Агнитум (3-я бетка) не "пущщает" наружу этого гада и отслеживает таки внедрение в процессы.

Xen
27.09.2005, 17:33
Мегакриво отрабатывает апихук на винтукее... просто вообще вводит систему в тормоза =(

Iceman
27.09.2005, 17:42
Ну, с особыми тормозами, как раз, не сталкивался.

Tra1toR
04.11.2005, 21:34
а где этот бар можно скачать? или у когонить есть инсталлер?