Форум: "Потрепаться";
Текущий архив: 2004.12.12;
Скачать: [xml.tar.bz2];

Вниз

Что за shellhook.dll?   Найти похожие ветки 

← →
Piter ©   (2004-11-08 23:54) [0]

Нечайно обнаружил в Delphi комбинацию клавиш CTRL+ALT+V - и там обнаружил что в ВАП моего процесса грузится некая shellhook.dll - что это такое? Причем, поиск на дисках по названию этого файла ни к чему не привел... странно!

---

← →
DiamondShark ©   (2004-11-09 12:38) [1]

Троян?

---

← →
Игорь Шевченко ©   (2004-11-09 13:59) [2]

Trillian ?

---

← →
kaZaNoVa ©   (2004-11-09 14:16) [3]

у меня такой нет и не грузится ..

---

← →
Piter (ne doma)   (2004-11-09 16:08) [4]

>Троян?

не знаю... сам вот думаю... У вас в процессы такой DLL ну грузится?

---

← →
Игорь Шевченко ©   (2004-11-09 16:17) [5]

Piter (ne doma)   (09.11.04 16:08) [4]

У тебя Trillian установлен ? Если да, то это он пихает для определения статуса активности/неактивности пользователя.

---

← →
Игорь Шевченко ©   (2004-11-09 16:55) [6]

Прощу прощения, наврал я про Trillian - он другую dll внедряет - events.dll

---

← →
Sandman25 ©   (2004-11-09 17:03) [7]

У меня такая же фигня. D6.

---

← →
Piter ©   (2004-11-09 19:55) [8]

Странно... Дело в том, что эта DLL пишется именно в Дельфовом EventLog:

Thread Start: Thread ID: 888. Process Project1.exe (1188)
Process Start: D:\Program Files\Borland\Delphi7\Projects\Project1.exe. Base Address: $00400000. Process Project1.exe (1188)
Module Load: Project1.exe. Has Debug Info. Base Address: $00400000. Process Project1.exe (1188)
Module Load: ntdll.dll. No Debug Info. Base Address: $77F80000. Process Project1.exe (1188)
Module Load: KERNEL32.dll. No Debug Info. Base Address: $77E80000. Process Project1.exe (1188)
Module Load: USER32.dll. No Debug Info. Base Address: $77E10000. Process Project1.exe (1188)
Module Load: GDI32.dll. No Debug Info. Base Address: $77F40000. Process Project1.exe (1188)
Module Load: ADVAPI32.dll. No Debug Info. Base Address: $77DB0000. Process Project1.exe (1188)
Module Load: RPCRT4.dll. No Debug Info. Base Address: $77D40000. Process Project1.exe (1188)
Module Load: OLEAUT32.dll. No Debug Info. Base Address: $779B0000. Process Project1.exe (1188)
Module Load: ole32.dll. No Debug Info. Base Address: $77A50000. Process Project1.exe (1188)
Module Load: VERSION.dll. No Debug Info. Base Address: $777F0000. Process Project1.exe (1188)
Module Load: LZ32.dll. No Debug Info. Base Address: $75950000. Process Project1.exe (1188)
Module Load: COMCTL32.dll. No Debug Info. Base Address: $716B0000. Process Project1.exe (1188)
Module Load: ShellHook.dll. No Debug Info. Base Address: $6E380000. Process Project1.exe (1188)
Module Load: IMM32.dll. No Debug Info. Base Address: $75E00000. Process Project1.exe (1188)
Source Breakpoint at $0044D954: D:\Program Files\Borland\Delphi7\Projects\Unit1.pas line 28. Process Project1.exe (1188)

Но никакой ShellHook.dll на дисках нету! При этом Process Explorer тоже не может найти этой DLL в процессах. Остальные DLL находит, а эту нет.
Проверьте, пожалуйста - может это имено Дельфовая какая-то особенность?

---

← →
Красный молоток   (2004-11-09 19:59) [9]

D7 - таковой нету

---

← →
Piter ©   (2004-11-10 19:07) [10]

Кто подскажет что за зверь?

---

← →
Alx2 ©   (2004-11-10 19:20) [11]

D6. Shellhook.dll отсутствует

---

← →
Гаврила ©   (2004-11-10 22:41) [12]

У меня нет. (D7)
Зато у меня обнаружился некий
UNKNOWN_MODULE_2.
Что бы это могло быть ....

---

← →
Piter ©   (2004-11-11 10:22) [13]

во блин...

---

← →
Cosinus ©   (2004-11-11 12:16) [14]

> Sandman25 ©   (09.11.04 17:03) [7]
> У меня такая же фигня. D6.

Аналогично.

---

← →
icebeerg ©   (2004-11-11 13:50) [15]

У меня такого нет ни под D7 ни под D5...

Посмотрите его на Restorator"e, и вообще его свойства и где лежит может на мысль наведет. Да и в Delphi можно попробовать открыт.

---

← →
Piter ©   (2004-11-19 19:06) [16]

icebeerg ©   (11.11.04 13:50) [15]
Посмотрите его на Restorator"e

а чего там смотреть? И что смотреть? Говорю же - на диске такой библиотеки shellhook нету...

---

← →
Piter ©   (2004-11-20 23:07) [17]

Никто не выяснил?

---

← →
JaVa73 ©   (2004-11-21 00:11) [18]

Троян такой же как и Gain_tricker. Удаляется ad-aware или расширенными базками к касперскому

---

← →
Piter ©   (2004-11-21 00:50) [19]

А почему я не вижу на диске такой библиотеки shellhook?

---

← →
Валерий   (2004-11-21 11:41) [20]

потому что у нее атрибут "скрытый" ;-)

---

← →
Piter ©   (2004-11-21 12:07) [21]

А что, теперь скрытые файлы по поиску не находятся?

Блин, ну что за фигня то...

---

← →
Xaker   (2004-11-21 12:12) [22]

Piter ©   (21.11.04 12:07) [21]
Попробуй перехватить LoadLibraryA

---

← →
Игорь Шевченко ©   (2004-11-23 22:32) [23]

Таинственный ShellHook.Dll оказался ничем иным, как DLL переключателя раскладки клавиатуры - indicdll.dll (Keyboard Language Indicator Shell Hook). Уж почему Delphi его так видит - вопрос к Borland.

ЗЫ: Руссинович - это голова. И Когсуелл - это голова. Руссинович и Когсуелл - это две головы.

---

← →
Piter ©   (2004-11-23 23:59) [24]

Игорь Шевченко ©   (23.11.04 22:32) [23]

спасибо!

---

Страницы: 1 вся ветка

Форум: "Потрепаться";
Текущий архив: 2004.12.12;
Скачать: [xml.tar.bz2];

Наверх

Память: 0.49 MB
Время: 0.041 c