Просмотр полной версии : EliteBar
Зверька зовут AdWare.Win32.EliteBar.aw(KAV); Adware.EliteBar (DrWeb+nasty)
Состав -
pokapoka70.exe - собствено сам EliteBar.
nt_hide70.dll - библиотека внедряемая в другие процессы и прячащая компоненты EliteBar`a, прячет файлы и каталоги содержащие в имени - "etb" "xud_" "nt_hide" "elitesidebar" "elitebar" "elitetoolbar"
xud_70.dll - вспомогательная библиотека для установки хуков.
Всё это хозяйство по умолчанию обитает в windosws\etb и становиться видимым в защищенном режиме.
Из замеченных особенностей - не даёт убить себя KillBox`om.
Собственно лечение -
Зайти в "safe mode"
1. Стереть каталог etb со всем содержимым.
2 В HijackThis пометить строку - O4 - HKLM\..\Run: [System service70] C:\WINDOWS\etb\pokapoka70.exe
Нажать на Fix
Кстати, а антируткит АВЗ прошляпил его
Кстати, а антируткит АВЗ прошляпил его
Скорее, эвристик. Антируткит, как раз, позволил увидеть и вычислить его.
Скорее, эвристик. Антируткит, как раз, позволил увидеть и вычислить его.
Ну не знаю. Перехватов в логах вроде на было.
Ну не знаю. предупреждения о скрытых процессах не было.
А мы Олега и спросим сегодня ;-)). Мне тоже интересно. Опять же АВЗ - единственная прогр., которая позволила побороться в обычном (не Сэйв) режиме.
Зайцев Олег
27.09.2005, 15:13
А мы Олега и спросим сегодня ;-)). Мне тоже интересно. Опять же АВЗ - единственная прогр., которая позволила побороться в обычном (не Сэйв) режиме.
Я сам удивился ... но удивление мое длилось недолго - создатели зверя придумали новый вид маскировки руткита UserMode, простой и аккуратный ... Текущий AVZ просто не поднимает тревоги на него, что конечно неправильно - я вношу доработки в алгоритм, новая версия будет давать эту заразу - текущий движек антируткита это позволяет (просто это "микроруткит" - процессы не маскирует, только отфильтровывает обращение к своей папке, и то не совсем корректно). Странно другое - у меня на тестовом ПК AVZ эвристиком четко видит DLL-перехватчик и ругается на нее, а в логах раздела "Помогите" этого нет
Странно другое - у меня на тестовом ПК AVZ эвристиком четко видит DLL-перехватчик и ругается на нее, а в логах раздела "Помогите" этого нет
Там логи с двух компьютеров. На одном ругается, а на другом действительно нет.
Я сам удивился ... но удивление мое длилось недолго - создатели зверя придумали новый вид маскировки руткита UserMode, простой и аккуратный ... Текущий AVZ просто не поднимает тревоги на него, что конечно неправильно - я вношу доработки в алгоритм, новая версия будет давать эту заразу - текущий движек антируткита это позволяет (просто это "микроруткит" - процессы не маскирует, только отфильтровывает обращение к своей папке, и то не совсем корректно). Странно другое - у меня на тестовом ПК AVZ эвристиком четко видит DLL-перехватчик и ругается на нее, а в логах раздела "Помогите" этого нет
Тогда однозначно ждём новую версию ;-)).
Обитает pokapoka**.exe на hттp://searchmiracle.com/toolbar/
Вроде как уже нет его там... поделишься? =)
Но что самое приятное - это то, что Агнитум (3-я бетка) не "пущщает" наружу этого гада и отслеживает таки внедрение в процессы.
Мегакриво отрабатывает апихук на винтукее... просто вообще вводит систему в тормоза =(
Ну, с особыми тормозами, как раз, не сталкивался.
а где этот бар можно скачать? или у когонить есть инсталлер?
vBulletin® v4.2.5, Copyright ©2000-2024, Jelsoft Enterprises Ltd. Перевод: zCarot