Состав -
pokapoka70.exe - собствено сам EliteBar.
nt_hide70.dll - библиотека внедряемая в другие процессы и прячащая компоненты EliteBar`a, прячет файлы и каталоги содержащие в имени - "etb" "xud_" "nt_hide" "elitesidebar" "elitebar" "elitetoolbar"
xud_70.dll - вспомогательная библиотека для установки хуков.
Всё это хозяйство по умолчанию обитает в windosws\etb и становиться видимым в защищенном режиме.
Из замеченных особенностей - не даёт убить себя KillBox`om.
Собственно лечение -
Зайти в "safe mode"
1. Стереть каталог etb со всем содержимым.
2 В HijackThis пометить строку - O4 - HKLM\..\Run: [System service70] C:\WINDOWS\etb\pokapoka70.exe
Нажать на Fix
Последний раз редактировалось RiC; 26.09.2005 в 22:58.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
А мы Олега и спросим сегодня ;-)). Мне тоже интересно. Опять же АВЗ - единственная прогр., которая позволила побороться в обычном (не Сэйв) режиме.
Я сам удивился ... но удивление мое длилось недолго - создатели зверя придумали новый вид маскировки руткита UserMode, простой и аккуратный ... Текущий AVZ просто не поднимает тревоги на него, что конечно неправильно - я вношу доработки в алгоритм, новая версия будет давать эту заразу - текущий движек антируткита это позволяет (просто это "микроруткит" - процессы не маскирует, только отфильтровывает обращение к своей папке, и то не совсем корректно). Странно другое - у меня на тестовом ПК AVZ эвристиком четко видит DLL-перехватчик и ругается на нее, а в логах раздела "Помогите" этого нет
Я сам удивился ... но удивление мое длилось недолго - создатели зверя придумали новый вид маскировки руткита UserMode, простой и аккуратный ... Текущий AVZ просто не поднимает тревоги на него, что конечно неправильно - я вношу доработки в алгоритм, новая версия будет давать эту заразу - текущий движек антируткита это позволяет (просто это "микроруткит" - процессы не маскирует, только отфильтровывает обращение к своей папке, и то не совсем корректно). Странно другое - у меня на тестовом ПК AVZ эвристиком четко видит DLL-перехватчик и ругается на нее, а в логах раздела "Помогите" этого нет