Adware.Win32.Winad
По имеющейся статистике пик активноcти Spy.Winad (в лаборатории Касперского один из модулей классифицировали как Trojan.Win32.Winad.a, но затем его новые разновидности стали фигурировать у них как AdWare.WinAd) пришелся на начало 2005 года.
Проявлением Spy.Winad является появление в памяти двух посторонних процессов, причем с опцией "неубиваемости" - при удалении процесс немедленно перезапускается.
Инсталлируется он как ActiveX компонента из архива с именем bridge-c*.cab, где на месте * - порядковый номер. Одним из источников является сайт windupdates.com.
WinAd опасен тем, что кроме Spy/AdvWare деятельности у него есть деструктивное проявление - он удаляет autoexec.nt (или autoexec.bat в win9х).
Лечение
Все изученные версии заложены в базы AVZ. После лечения может потребоваться восстановление autoexec.nt из резервной копии.
Поиск вручную затрудняется тем, что имена файлов и их местоположение у данного SpyWare меняются. Известные наборы имен:
C:\Program Files\Win Comm, файлы Wincomm.exe, Winlock.exe, Windat.dll
C:\Program Files\Windows AdTools, файлы WinAdTools.exe, WinRatchet.exe, WinWrench.dll
Кроме того, известны имена WinAdCtl.exe, WinAdShift.dll ...
После установки многих разновидностей WinAd в папке System32 можно обнаружить файл ide21201.vxd