Что за shellhook.dll?

← →
Piter © (2004-11-08 23:54) [0]

Нечайно обнаружил в Delphi комбинацию клавиш CTRL+ALT+V - и там обнаружил что в ВАП моего процесса грузится некая shellhook.dll - что это такое? Причем, поиск на дисках по названию этого файла ни к чему не привел... странно!

← →
DiamondShark © (2004-11-09 12:38) [1]

Троян?

← →
Игорь Шевченко © (2004-11-09 13:59) [2]

Trillian ?

← →
kaZaNoVa © (2004-11-09 14:16) [3]

у меня такой нет и не грузится ..

← →
Piter (ne doma) (2004-11-09 16:08) [4]

>Троян?

не знаю... сам вот думаю... У вас в процессы такой DLL ну грузится?

← →
Игорь Шевченко © (2004-11-09 16:17) [5]

Piter (ne doma) (09.11.04 16:08) [4]

У тебя Trillian установлен ? Если да, то это он пихает для определения статуса активности/неактивности пользователя.

← →
Игорь Шевченко © (2004-11-09 16:55) [6]

Прощу прощения, наврал я про Trillian - он другую dll внедряет - events.dll

← →
Sandman25 © (2004-11-09 17:03) [7]

У меня такая же фигня. D6.

← →
Piter © (2004-11-09 19:55) [8]

Странно... Дело в том, что эта DLL пишется именно в Дельфовом EventLog:

Thread Start: Thread ID: 888. Process Project1.exe (1188)
Process Start: D:\Program Files\Borland\Delphi7\Projects\Project1.exe. Base Address: $00400000. Process Project1.exe (1188)
Module Load: Project1.exe. Has Debug Info. Base Address: $00400000. Process Project1.exe (1188)
Module Load: ntdll.dll. No Debug Info. Base Address: $77F80000. Process Project1.exe (1188)
Module Load: KERNEL32.dll. No Debug Info. Base Address: $77E80000. Process Project1.exe (1188)
Module Load: USER32.dll. No Debug Info. Base Address: $77E10000. Process Project1.exe (1188)
Module Load: GDI32.dll. No Debug Info. Base Address: $77F40000. Process Project1.exe (1188)
Module Load: ADVAPI32.dll. No Debug Info. Base Address: $77DB0000. Process Project1.exe (1188)
Module Load: RPCRT4.dll. No Debug Info. Base Address: $77D40000. Process Project1.exe (1188)
Module Load: OLEAUT32.dll. No Debug Info. Base Address: $779B0000. Process Project1.exe (1188)
Module Load: ole32.dll. No Debug Info. Base Address: $77A50000. Process Project1.exe (1188)
Module Load: VERSION.dll. No Debug Info. Base Address: $777F0000. Process Project1.exe (1188)
Module Load: LZ32.dll. No Debug Info. Base Address: $75950000. Process Project1.exe (1188)
Module Load: COMCTL32.dll. No Debug Info. Base Address: $716B0000. Process Project1.exe (1188)
Module Load: ShellHook.dll. No Debug Info. Base Address: $6E380000. Process Project1.exe (1188)
Module Load: IMM32.dll. No Debug Info. Base Address: $75E00000. Process Project1.exe (1188)
Source Breakpoint at $0044D954: D:\Program Files\Borland\Delphi7\Projects\Unit1.pas line 28. Process Project1.exe (1188)

Но никакой ShellHook.dll на дисках нету! При этом Process Explorer тоже не может найти этой DLL в процессах. Остальные DLL находит, а эту нет.
Проверьте, пожалуйста - может это имено Дельфовая какая-то особенность?

← →
Красный молоток (2004-11-09 19:59) [9]

D7 - таковой нету

← →
Piter © (2004-11-10 19:07) [10]

Кто подскажет что за зверь?

← →
Alx2 © (2004-11-10 19:20) [11]

D6. Shellhook.dll отсутствует

← →
Гаврила © (2004-11-10 22:41) [12]

У меня нет. (D7)
Зато у меня обнаружился некий
UNKNOWN_MODULE_2.
Что бы это могло быть ....

← →
Piter © (2004-11-11 10:22) [13]

во блин...

← →
Cosinus © (2004-11-11 12:16) [14]

> Sandman25 © (09.11.04 17:03) [7]
> У меня такая же фигня. D6.

Аналогично.

← →
icebeerg © (2004-11-11 13:50) [15]

У меня такого нет ни под D7 ни под D5...

Посмотрите его на Restorator"e, и вообще его свойства и где лежит может на мысль наведет. Да и в Delphi можно попробовать открыт.

← →
Piter © (2004-11-19 19:06) [16]

icebeerg © (11.11.04 13:50) [15]
Посмотрите его на Restorator"e

а чего там смотреть? И что смотреть? Говорю же - на диске такой библиотеки shellhook нету...

← →
Piter © (2004-11-20 23:07) [17]

Никто не выяснил?

Троян такой же как и Gain_tricker. Удаляется ad-aware или расширенными базками к касперскому

А почему я не вижу на диске такой библиотеки shellhook?

← →
Валерий (2004-11-21 11:41) [20]

потому что у нее атрибут "скрытый" ;-)

А что, теперь скрытые файлы по поиску не находятся?

Блин, ну что за фигня то...

← →
Xaker (2004-11-21 12:12) [22]

Таинственный ShellHook.Dll оказался ничем иным, как DLL переключателя раскладки клавиатуры - indicdll.dll (Keyboard Language Indicator Shell Hook). Уж почему Delphi его так видит - вопрос к Borland.

ЗЫ: Руссинович - это голова. И Когсуелл - это голова. Руссинович и Когсуелл - это две головы.

Что за shellhook.dll? Найти похожие ветки