EliteBar

Зверька зовут AdWare.Win32.EliteBar.aw(KAV); Adware.EliteBar (DrWeb+nasty)

Состав -
pokapoka70.exe - собствено сам EliteBar.
nt_hide70.dll - библиотека внедряемая в другие процессы и прячащая компоненты EliteBar`a, прячет файлы и каталоги содержащие в имени - [b]"etb" "xud_" "nt_hide" "elitesidebar" "elitebar" "elitetoolbar"[/b]
xud_70.dll - вспомогательная библиотека для установки хуков.

Всё это хозяйство по умолчанию обитает в windosws\etb и становиться видимым в защищенном режиме.

Из замеченных особенностей - не даёт убить себя KillBox`om.

Собственно лечение -
Зайти в "safe mode"
1. Стереть каталог [b]etb[/b] со всем содержимым.
2 В HijackThis пометить строку - O4 - HKLM\..\Run: [System service70] C:\WINDOWS\etb\pokapoka70.exe
Нажать на [b]Fix[/b]

Кстати, а антируткит АВЗ прошляпил его

[QUOTE=Geser]Кстати, а антируткит АВЗ прошляпил его[/QUOTE]

Скорее, эвристик. Антируткит, как раз, позволил увидеть и вычислить его.

[QUOTE=Iceman]Скорее, эвристик. Антируткит, как раз, позволил увидеть и вычислить его.[/QUOTE]
Ну не знаю. Перехватов в логах вроде на было.

[QUOTE=Geser]Ну не знаю. предупреждения о скрытых процессах не было.[/QUOTE]
А мы Олега и спросим сегодня ;-)). Мне тоже интересно. Опять же АВЗ - единственная прогр., которая позволила побороться в обычном (не Сэйв) режиме.

[QUOTE=Iceman]А мы Олега и спросим сегодня ;-)). Мне тоже интересно. Опять же АВЗ - единственная прогр., которая позволила побороться в обычном (не Сэйв) режиме.[/QUOTE]
Я сам удивился ... но удивление мое длилось недолго - создатели зверя придумали новый вид маскировки руткита UserMode, простой и аккуратный ... Текущий AVZ просто не поднимает тревоги на него, что конечно неправильно - я вношу доработки в алгоритм, новая версия будет давать эту заразу - текущий движек антируткита это позволяет (просто это "микроруткит" - процессы не маскирует, только отфильтровывает обращение к своей папке, и то не совсем корректно). Странно другое - у меня на тестовом ПК AVZ эвристиком четко видит DLL-перехватчик и ругается на нее, а в логах раздела "Помогите" этого нет

[QUOTE=Зайцев Олег]Странно другое - у меня на тестовом ПК AVZ эвристиком четко видит DLL-перехватчик и ругается на нее, а в логах раздела "Помогите" этого нет[/QUOTE]
Там логи с двух компьютеров. На одном ругается, а на другом действительно нет.

[QUOTE=Зайцев Олег]Я сам удивился ... но удивление мое длилось недолго - создатели зверя придумали новый вид маскировки руткита UserMode, простой и аккуратный ... Текущий AVZ просто не поднимает тревоги на него, что конечно неправильно - я вношу доработки в алгоритм, новая версия будет давать эту заразу - текущий движек антируткита это позволяет (просто это "микроруткит" - процессы не маскирует, только отфильтровывает обращение к своей папке, и то не совсем корректно). Странно другое - у меня на тестовом ПК AVZ эвристиком четко видит DLL-перехватчик и ругается на нее, а в логах раздела "Помогите" этого нет[/QUOTE]

Тогда однозначно ждём новую версию ;-)).

Обитает pokapoka**.exe на hттp://searchmiracle.com/toolbar/

Вроде как уже нет его там... поделишься? =)

Уже нашел, спасибо =)

Но что самое приятное - это то, что Агнитум (3-я бетка) не "пущщает" наружу этого гада и отслеживает таки внедрение в процессы.

Мегакриво отрабатывает апихук на винтукее... просто вообще вводит систему в тормоза =(

Ну, с особыми тормозами, как раз, не сталкивался.

а где этот бар можно скачать? или у когонить есть инсталлер?