Показано с 1 по 12 из 12.

Adware.GloboSearch (иконка в трее, создание ярлыков на рабочем столе ...)

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,238
    Вес репутации
    3390

    Adware.GloboSearch (иконка в трее, создание ярлыков на рабочем столе ...)

    Если бы к Adware можно было бы применить термин "эпидемия", то можно было бы констатировать эпидемию Adware.GloboSearch. Данный Adware (лично я бы причислил его к троянам) состоит из единственной dll (на настоящий момент типовое имя - param32.dll, но оно может измениться) небольшого размера (около 15 кб). За прошедшие три дня я получил более десятка сообщений о поражении ПК данным Adware, наиболее подробное описание проблемы есть тут - http://virusinfo.info/index.php?boar...;threadid=1191

    Проявления:
    1. Подмена стартовой страницы, как правило на http://www.newgenlook.info
    2. Появление в трее постороннего значка в виде кружка с крестом, для значка выводятся разные сообщения о якобы обнаруженных атаках и проблемах с безопасностью
    3. Периодически выводятся окна с сообщениями о каких-то якобы открытых портах, предупреждениях безопасности ... - естественно поддельные
    4. Идет посторонний обмен с http://www.newgenlook.info/ad/ad0237/dating/dating.html

    Особенность этого Adware.GloboSearch состоит в том, что он не создает процессы и не внедряется в IE как BHO - его DLL загружается при помощи малоизвестного ключа реестра "SharedTaskScheduler".
    Для детектирования "зверя" в AVZ 3.20 внесены все известные сигнатуры + микропрограмма эвристики для детектирования новых типов. Кроме того, в AVZ для этого "зверя" есть микропрограмма лечения, которая удалит его ключи реестра и удалит сам файл при помощи отложенного удаления.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация
    Регистрация
    20.09.2004
    Сообщений
    187
    Вес репутации
    53

    Re:Adware.GloboSearch (иконка в трее, создание ярлыков на рабочем столе ...)

    systr.dll - загрузчик www.hotoffers.info - использует тот же способ запуска.

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,238
    Вес репутации
    3390

    Re:Adware.GloboSearch (иконка в трее, создание ярлыков на рабочем столе ...)

    Цитата Сообщение от azza
    systr.dll - загрузчик www.hotoffers.info - использует тот же способ запуска.
    Да, именно так - это AdvWare.Serpo.* по классификации AVP ... 8.7 кб размером, кстати структура DLL очень похожа на param32.dll, не исключено, что у них один автор

  5. #4
    Visiting Helper Репутация
    Регистрация
    20.09.2004
    Сообщений
    187
    Вес репутации
    53

    Re:Adware.GloboSearch (иконка в трее, создание ярлыков на рабочем столе ...)

    А AVZ проверяет ключ реестра SharedTaskScheduler на предмет подозрительных записей?

  6. #5
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,238
    Вес репутации
    3390

    Re:Adware.GloboSearch (иконка в трее, создание ярлыков на рабочем столе ...)

    Цитата Сообщение от azza
    А AVZ проверяет ключ реестра SharedTaskScheduler на предмет подозрительных записей?
    Сейчас - не проверяет (не понятно, что считать подозрительной записью). А вот лечить -лечит. Но микропрограмма легко может проверить этот список, нужно только определить критерии опасности

  7. #6
    Visiting Helper Репутация
    Регистрация
    20.09.2004
    Сообщений
    187
    Вес репутации
    53

    Re:Adware.GloboSearch (иконка в трее, создание ярлыков на рабочем столе ...)

    [quote author=Зайцев Олег link=board=22;threadid=1207;start=0#msg11320 date=1114431207]
    не понятно, что считать подозрительной записью.[/quote]
    Любая запись, за исключением ссылающихся на валидную browseui.dll, подозрительна.



  8. #7
    Guest

    Re:Adware.GloboSearch (иконка в трее, создание ярлыков на рабочем столе ...)

    Не обязательно. У меня, например, этот раздел выглядит так:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\SharedTaskScheduler]
    "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
    "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

    Хотя попробовать, конечно можно. База "чистых" ключей быстро наберется, ИМХО.

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,238
    Вес репутации
    3390

    Re:Adware.GloboSearch (иконка в трее, создание ярлыков на рабочем столе ...)

    Цитата Сообщение от HEKTO
    Не обязательно. У меня, например, этот раздел выглядит так:

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\SharedTaskScheduler]
    "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
    "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

    Хотя попробовать, конечно можно. База "чистых" ключей быстро наберется, ИМХО.
    В принципе попробовать действительно можно - месяц назал AVZ ругался на каждую вторую DLL как на "кейлоггер" - очень быстро все известное/безопасное попало в базы ...

  10. #9
    Visiting Helper Репутация
    Регистрация
    20.09.2004
    Сообщений
    187
    Вес репутации
    53

    Re:Adware.GloboSearch (иконка в трее, создание ярлыков на рабочем столе ...)

    Цитата Сообщение от HEKTO
    Не обязательно. У меня, например, этот раздел выглядит так:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\SharedTaskScheduler]
    "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
    "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
    Дык и у меня так выглядит. Надо далее открывать соответствующий ключ CLSID, смотреть что там в качестве сервера прописано, и сверять с базой валидных файлов. Если нет в базе или не соответствует, выдавать предупреждение в отчёте.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3711

    Re:Adware.GloboSearch (иконка в трее, создание ярлыков на рабочем столе ...)

    Сегодня столкнулся с этой пакостью. Машина с Win98SE. param32.dll оставалась резидентной даже в Safe Mode. Пришлось убивать её вручную в ДОСе.

  12. #11
    Kos
    Guest

    Re:Adware.GloboSearch (иконка в трее, создание ярлыков на рабочем столе ...)

    Огромное человеческое спасибо Зайцеву Олегу и его проге AVZ 3.20. Она спасла меня!

  13. #12
    Aleksandr
    Guest

    Re:Adware.GloboSearch (иконка в трее, создание ярлыков на рабочем столе ...)

    Цитата Сообщение от Kos
    Огромное человеческое спасибо Зайцеву Олегу и его проге AVZ 3.20. Она спасла меня!
    Да, программа очень хорошая. И Я Олегу писал. Он откликнулся (в отличии от лаборатории Касперского например). Но в процессе работы, выяснились некоторые недостатки. Все собираюсь написать.

Похожие темы

  1. Заменены иконки ярлыков на рабочем столе
    От NewTLT в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 17.04.2011, 17:19
  2. Ответов: 1
    Последнее сообщение: 17.05.2010, 10:56
  3. Нет ярлыков на рабочем столе
    От Aleкс в разделе Помогите!
    Ответов: 10
    Последнее сообщение: 15.02.2010, 18:22
  4. Нет ярлыков на рабочем столе
    От tools в разделе Помогите!
    Ответов: 20
    Последнее сообщение: 21.10.2009, 15:03
  5. Ответов: 10
    Последнее сообщение: 02.02.2007, 21:49

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01134 seconds with 16 queries