Главная страница
Top.Mail.Ru    Яндекс.Метрика
Текущий архив: 2004.12.12;
Скачать: CL | DM;

Вниз

Что за shellhook.dll?   Найти похожие ветки 

 
Piter ©   (2004-11-08 23:54) [0]

Нечайно обнаружил в Delphi комбинацию клавиш CTRL+ALT+V - и там обнаружил что в ВАП моего процесса грузится некая shellhook.dll - что это такое? Причем, поиск на дисках по названию этого файла ни к чему не привел... странно!


 
DiamondShark ©   (2004-11-09 12:38) [1]

Троян?


 
Игорь Шевченко ©   (2004-11-09 13:59) [2]

Trillian ?


 
kaZaNoVa ©   (2004-11-09 14:16) [3]

у меня такой нет и не грузится ..


 
Piter (ne doma)   (2004-11-09 16:08) [4]

>Троян?

не знаю... сам вот думаю... У вас в процессы такой DLL ну грузится?


 
Игорь Шевченко ©   (2004-11-09 16:17) [5]

Piter (ne doma)   (09.11.04 16:08) [4]

У тебя Trillian установлен ? Если да, то это он пихает для определения статуса активности/неактивности пользователя.


 
Игорь Шевченко ©   (2004-11-09 16:55) [6]

Прощу прощения, наврал я про Trillian - он другую dll внедряет - events.dll


 
Sandman25 ©   (2004-11-09 17:03) [7]

У меня такая же фигня. D6.


 
Piter ©   (2004-11-09 19:55) [8]

Странно... Дело в том, что эта DLL пишется именно в Дельфовом EventLog:

Thread Start: Thread ID: 888. Process Project1.exe (1188)
Process Start: D:\Program Files\Borland\Delphi7\Projects\Project1.exe. Base Address: $00400000. Process Project1.exe (1188)
Module Load: Project1.exe. Has Debug Info. Base Address: $00400000. Process Project1.exe (1188)
Module Load: ntdll.dll. No Debug Info. Base Address: $77F80000. Process Project1.exe (1188)
Module Load: KERNEL32.dll. No Debug Info. Base Address: $77E80000. Process Project1.exe (1188)
Module Load: USER32.dll. No Debug Info. Base Address: $77E10000. Process Project1.exe (1188)
Module Load: GDI32.dll. No Debug Info. Base Address: $77F40000. Process Project1.exe (1188)
Module Load: ADVAPI32.dll. No Debug Info. Base Address: $77DB0000. Process Project1.exe (1188)
Module Load: RPCRT4.dll. No Debug Info. Base Address: $77D40000. Process Project1.exe (1188)
Module Load: OLEAUT32.dll. No Debug Info. Base Address: $779B0000. Process Project1.exe (1188)
Module Load: ole32.dll. No Debug Info. Base Address: $77A50000. Process Project1.exe (1188)
Module Load: VERSION.dll. No Debug Info. Base Address: $777F0000. Process Project1.exe (1188)
Module Load: LZ32.dll. No Debug Info. Base Address: $75950000. Process Project1.exe (1188)
Module Load: COMCTL32.dll. No Debug Info. Base Address: $716B0000. Process Project1.exe (1188)
Module Load: ShellHook.dll. No Debug Info. Base Address: $6E380000. Process Project1.exe (1188)
Module Load: IMM32.dll. No Debug Info. Base Address: $75E00000. Process Project1.exe (1188)
Source Breakpoint at $0044D954: D:\Program Files\Borland\Delphi7\Projects\Unit1.pas line 28. Process Project1.exe (1188)

Но никакой ShellHook.dll на дисках нету! При этом Process Explorer тоже не может найти этой DLL в процессах. Остальные DLL находит, а эту нет.
Проверьте, пожалуйста - может это имено Дельфовая какая-то особенность?


 
Красный молоток   (2004-11-09 19:59) [9]

D7 - таковой нету


 
Piter ©   (2004-11-10 19:07) [10]

Кто подскажет что за зверь?


 
Alx2 ©   (2004-11-10 19:20) [11]

D6. Shellhook.dll отсутствует


 
Гаврила ©   (2004-11-10 22:41) [12]

У меня нет. (D7)
Зато у меня обнаружился некий
UNKNOWN_MODULE_2.
Что бы это могло быть ....


 
Piter ©   (2004-11-11 10:22) [13]

во блин...


 
Cosinus ©   (2004-11-11 12:16) [14]


> Sandman25 ©   (09.11.04 17:03) [7]
> У меня такая же фигня. D6.

Аналогично.


 
icebeerg ©   (2004-11-11 13:50) [15]

У меня такого нет ни под D7 ни под D5...

Посмотрите его на Restorator"e, и вообще его свойства и где лежит может на мысль наведет. Да и в Delphi можно попробовать открыт.


 
Piter ©   (2004-11-19 19:06) [16]

icebeerg ©   (11.11.04 13:50) [15]
Посмотрите его на Restorator"e


а чего там смотреть? И что смотреть? Говорю же - на диске такой библиотеки shellhook нету...


 
Piter ©   (2004-11-20 23:07) [17]

Никто не выяснил?


 
JaVa73 ©   (2004-11-21 00:11) [18]

Троян такой же как и Gain_tricker. Удаляется ad-aware или расширенными базками к касперскому


 
Piter ©   (2004-11-21 00:50) [19]

А почему я не вижу на диске такой библиотеки shellhook?


 
Валерий   (2004-11-21 11:41) [20]

потому что у нее атрибут "скрытый" ;-)


 
Piter ©   (2004-11-21 12:07) [21]

А что, теперь скрытые файлы по поиску не находятся?

Блин, ну что за фигня то...


 
Xaker   (2004-11-21 12:12) [22]

Piter ©   (21.11.04 12:07) [21]
Попробуй перехватить LoadLibraryA


 
Игорь Шевченко ©   (2004-11-23 22:32) [23]

Таинственный ShellHook.Dll оказался ничем иным, как DLL переключателя раскладки клавиатуры - indicdll.dll (Keyboard Language Indicator Shell Hook). Уж почему Delphi его так видит - вопрос к Borland.

ЗЫ: Руссинович - это голова. И Когсуелл - это голова. Руссинович и Когсуелл - это две головы.


 
Piter ©   (2004-11-23 23:59) [24]

Игорь Шевченко ©   (23.11.04 22:32) [23]

спасибо!



Страницы: 1 вся ветка

Текущий архив: 2004.12.12;
Скачать: CL | DM;

Наверх




Память: 0.52 MB
Время: 0.028 c
1-1101287480
mid
2004-11-24 12:11
2004.12.12
Access violation


1-1101839603
Ищущий ответ
2004-11-30 21:33
2004.12.12
Почему не работает код?


3-1100498357
Фазер
2004-11-15 08:59
2004.12.12
Приветствую всех! Вопрос по обработке except при коннекте в БД


14-1100801167
OneFragLeft
2004-11-18 21:06
2004.12.12
TStringProperty - откуда?


3-1100280907
SergP
2004-11-12 20:35
2004.12.12
Как работать с ADO в режиме ltBatchOptimistic?