Форум: "Потрепаться";
Текущий архив: 2004.12.12;
Скачать: [xml.tar.bz2];
ВнизЧто за shellhook.dll? Найти похожие ветки
← →
Piter © (2004-11-08 23:54) [0]Нечайно обнаружил в Delphi комбинацию клавиш CTRL+ALT+V - и там обнаружил что в ВАП моего процесса грузится некая shellhook.dll - что это такое? Причем, поиск на дисках по названию этого файла ни к чему не привел... странно!
← →
DiamondShark © (2004-11-09 12:38) [1]Троян?
← →
Игорь Шевченко © (2004-11-09 13:59) [2]Trillian ?
← →
kaZaNoVa © (2004-11-09 14:16) [3]у меня такой нет и не грузится ..
← →
Piter (ne doma) (2004-11-09 16:08) [4]>Троян?
не знаю... сам вот думаю... У вас в процессы такой DLL ну грузится?
← →
Игорь Шевченко © (2004-11-09 16:17) [5]Piter (ne doma) (09.11.04 16:08) [4]
У тебя Trillian установлен ? Если да, то это он пихает для определения статуса активности/неактивности пользователя.
← →
Игорь Шевченко © (2004-11-09 16:55) [6]Прощу прощения, наврал я про Trillian - он другую dll внедряет - events.dll
← →
Sandman25 © (2004-11-09 17:03) [7]У меня такая же фигня. D6.
← →
Piter © (2004-11-09 19:55) [8]Странно... Дело в том, что эта DLL пишется именно в Дельфовом EventLog:
Thread Start: Thread ID: 888. Process Project1.exe (1188)
Process Start: D:\Program Files\Borland\Delphi7\Projects\Project1.exe. Base Address: $00400000. Process Project1.exe (1188)
Module Load: Project1.exe. Has Debug Info. Base Address: $00400000. Process Project1.exe (1188)
Module Load: ntdll.dll. No Debug Info. Base Address: $77F80000. Process Project1.exe (1188)
Module Load: KERNEL32.dll. No Debug Info. Base Address: $77E80000. Process Project1.exe (1188)
Module Load: USER32.dll. No Debug Info. Base Address: $77E10000. Process Project1.exe (1188)
Module Load: GDI32.dll. No Debug Info. Base Address: $77F40000. Process Project1.exe (1188)
Module Load: ADVAPI32.dll. No Debug Info. Base Address: $77DB0000. Process Project1.exe (1188)
Module Load: RPCRT4.dll. No Debug Info. Base Address: $77D40000. Process Project1.exe (1188)
Module Load: OLEAUT32.dll. No Debug Info. Base Address: $779B0000. Process Project1.exe (1188)
Module Load: ole32.dll. No Debug Info. Base Address: $77A50000. Process Project1.exe (1188)
Module Load: VERSION.dll. No Debug Info. Base Address: $777F0000. Process Project1.exe (1188)
Module Load: LZ32.dll. No Debug Info. Base Address: $75950000. Process Project1.exe (1188)
Module Load: COMCTL32.dll. No Debug Info. Base Address: $716B0000. Process Project1.exe (1188)
Module Load: ShellHook.dll. No Debug Info. Base Address: $6E380000. Process Project1.exe (1188)
Module Load: IMM32.dll. No Debug Info. Base Address: $75E00000. Process Project1.exe (1188)
Source Breakpoint at $0044D954: D:\Program Files\Borland\Delphi7\Projects\Unit1.pas line 28. Process Project1.exe (1188)
Но никакой ShellHook.dll на дисках нету! При этом Process Explorer тоже не может найти этой DLL в процессах. Остальные DLL находит, а эту нет.
Проверьте, пожалуйста - может это имено Дельфовая какая-то особенность?
← →
Красный молоток (2004-11-09 19:59) [9]D7 - таковой нету
← →
Piter © (2004-11-10 19:07) [10]Кто подскажет что за зверь?
← →
Alx2 © (2004-11-10 19:20) [11]D6. Shellhook.dll отсутствует
← →
Гаврила © (2004-11-10 22:41) [12]У меня нет. (D7)
Зато у меня обнаружился некий
UNKNOWN_MODULE_2.
Что бы это могло быть ....
← →
Piter © (2004-11-11 10:22) [13]во блин...
← →
Cosinus © (2004-11-11 12:16) [14]
> Sandman25 © (09.11.04 17:03) [7]
> У меня такая же фигня. D6.
Аналогично.
← →
icebeerg © (2004-11-11 13:50) [15]У меня такого нет ни под D7 ни под D5...
Посмотрите его на Restorator"e, и вообще его свойства и где лежит может на мысль наведет. Да и в Delphi можно попробовать открыт.
← →
Piter © (2004-11-19 19:06) [16]icebeerg © (11.11.04 13:50) [15]
Посмотрите его на Restorator"e
а чего там смотреть? И что смотреть? Говорю же - на диске такой библиотеки shellhook нету...
← →
Piter © (2004-11-20 23:07) [17]Никто не выяснил?
← →
JaVa73 © (2004-11-21 00:11) [18]Троян такой же как и Gain_tricker. Удаляется ad-aware или расширенными базками к касперскому
← →
Piter © (2004-11-21 00:50) [19]А почему я не вижу на диске такой библиотеки shellhook?
← →
Валерий (2004-11-21 11:41) [20]потому что у нее атрибут "скрытый" ;-)
← →
Piter © (2004-11-21 12:07) [21]А что, теперь скрытые файлы по поиску не находятся?
Блин, ну что за фигня то...
← →
Xaker (2004-11-21 12:12) [22]Piter © (21.11.04 12:07) [21]
Попробуй перехватить LoadLibraryA
← →
Игорь Шевченко © (2004-11-23 22:32) [23]Таинственный ShellHook.Dll оказался ничем иным, как DLL переключателя раскладки клавиатуры - indicdll.dll (Keyboard Language Indicator Shell Hook). Уж почему Delphi его так видит - вопрос к Borland.
ЗЫ: Руссинович - это голова. И Когсуелл - это голова. Руссинович и Когсуелл - это две головы.
← →
Piter © (2004-11-23 23:59) [24]Игорь Шевченко © (23.11.04 22:32) [23]
спасибо!
Страницы: 1 вся ветка
Форум: "Потрепаться";
Текущий архив: 2004.12.12;
Скачать: [xml.tar.bz2];
Память: 0.49 MB
Время: 0.038 c