AdWare.WinTool
AdWare WinTool состоит собственно из AdWare.WinTool, и TrojanDownloader.Win32.WinTool, который его устанавливает.
Размещается этот AdWare в папке Program Files/Common Files/WinTools. В папке можно найти три основных программных модуля:
WSup.exe (имеет набор атрибутов "скрытый", "системный"),
WToolsA.exe,
WToolsB.dll.
Иконка у WSup.exe и WToolsA.exe аналогична иконке Internet Explorer.
В памяти от него обычно наблюдается два процесса (по поведению он похож на WinAd) - WToolsA.exe и WSup.exe. Процессы следят друг за другом и при убиении одного второй его немедленно перезапускает (что приводит к эффекту "неубиваемости").
В реестре WinTool создает ключ HKEY_LOCAL_MACHINE\Software\WinTools для хранения неких данных и душевно прописывает себя на автозапуск (сразу в три ключа - Run, RunServices, RunServicesOnce - все разделы содержат ключ WinTools, ссылающийся на WToolsA.exe, причем из ключа RunServicesOnce он запускается с параметром /boot)
В процессе работы этот AdWare скрытно загружает другого SpyWare, которого он размещает в папке Program Files/ToolBar (этот SpyWare еще изучается, известно, что это BHO от некоего поисковика).
Лечение
AVZ детектирует WinTool и уничтожает все его компоненты (для полного лечения потребуется перезагрузка). Однако следует отметить, что существует масса разновидностей AdWare.WinTool, которые в частности отличаются размещением файлов. При обнаружении посторонних процессов с похожими именами рекомендуется прислать их для проверки.