Олег! Подскажи пожалуйста(при возможности), что за шпиона удалила АВЗ, моя дочь в мое отсутствие поставила скринсейвер(Living Waterfalls Screensaver - Free Version), с последнего диска HARD SOFT, я на всякий случай решил проверить (появилась новая запись в автозагрузке) и нашел шпиона, хотя диск не сомнительный уважаемого журнала. Екзешник в архиве я решил не высылать, ведь он есть в вирусной базе.
Сканирование запущено в 06.02.2005 16:13:25
В базе 9063 сигнатур вирусов
1. Проверка памяти
Количество найденных процессов: 31
c:\program files\savenow\savenow.exe>>>>> Вирус !! Spy.SaveNow ошибка удаления
Количество загруженных модулей: 392
c:\program files\savenow\savenow.exe>>>>> Вирус !! Spy.SaveNow успешно удален
Проверка памяти завершена
2. Сканирование диска
c:\Program Files\SaveNow\Uninst.exe>>>>> Вирус !! Spy.SaveNow успешно удален
Просканировано файлов: 11024, найдено вирусов 3
Сканирование завершено в 06.02.2005 16:16:19
Внимание !!! Для завершения процесса лечения необходима перезагрузка

Это обширное семейство, так что для конкреного описания можно прислать образец, я расскажу конкретно о нем. Если брать свежайший с таким-же именем, то можно сказать следующее:
Это типичный Spy (или уж если точнее - программа-паразит). Ставится скрытно, обычно при инсталляции бесплатных скринсейвером или разных медиаплэйеров с
сомнительных сайтов. Первичное назначение - шпион. При запуске скрытно размещается в памяти (ничем не выдавая своей работы), шпионит за посещаемыми URL. Чтобы не быть голословным, я как обычно приведу пару фрагментов из обмена - я открыл на зараженной машине браузер и посетил www.ya.ru. Тут же произошел обмен:

GET http://web.whenu.com/heartbeat? program=savenow&partner=&id=077AF602786111D9B8870003FF54FF2D/f669ad223f091ca18d83e7c2cb716422&ver=&diag=1 HTTP/1.0
Accept: */ *
Proxy-Connection: Keep-Alive
User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)
Host: web.whenu.com
Pragma: no-cache
Т.е. мне присвоили некий ID. Причем обмен с сайтом произошел в момент закачки данных с яндекс - для маскировки обмена.
Во время работы процесс savenow.exe шпионит за работой в Инет достаточно простым способом - он следит за кешем IE (и постоянно перепрочитывает index.dat)
Накопленные данные некоторые разновидности SaveNow хранят в зашифрованном файле - файл обычно называется save.db. Далее как обычно - на основании собранной информации выводится контекстная реклама.

В комплекте в каждой разновидностью идет ReadMe.txt, в котором рассказано, что это не шпион и что всплывающие окна очень полезны :)
Есть еще вариант ClockSync (процесс Sync.exe), который синхронизирует часы (и крутит рекламу ...) и WhenUSearch - BHO для браузера

Олег спасибо за разъяснения, в инете есть публикации но у тебя более подробно.( Одна из самых распространенных разновидностей паразитного ПО разработана компанией WhenU.com и называется SaveNow. Эта программа распространяется с BearShare, iMesh и плеером Global DivX, позволяющим просматривать большинство онлайновых кинофильмов. Она наблюдает за действиями пользователя, а затем в отдельном окне браузера показывает целенаправленную рекламу или делает специальные предложения. В отличие от некоторого другого spyware, это не отправляет сведения в хозяйскую компанию, но постоянно загружает новые объявления и ведет учет онлайновых точек, посещаемых владельцем компьютера. Оно работает постоянно — даже когда доставившая его программа не загружена.
В онлайновых форумах рекламное ПО критикуют за нарушение privacy и отрицательное влияние на производительность компьютера. «SaveNow кишит багами и нагружает канал связи, — пишет пользователь BearShare и основатель студии веб-дизайна NetStudio Маниш Вий (Manish Vij). — Каждый раз, когда я запускаю браузер, SaveNow активизируется и занимает мой сетевой канал»).
Я в основном пользуюсь браузером лисой, но на всякий случай прогнал ad-аware ArchiveData(auto-quarantine- 2005-02-06 17-12-08.bckp)
Referencefile : SE1R26 25.01.2005
================================================== ====

WHENU
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=Ключ регистра : software\whenu

TRACKING COOKIE
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[1]=IECache Entry : Cookie:пользователь@2o7.net/ Я понимаю, что WHENU
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[0]=Ключ регистра : software\whenu - это и есть остатки SaveNow после АВЗ и их наверно следует удалить. К сожалению не сохранил екзешник поторопился с удалением.
Кстати получается, что даже на нормальных дисках уважаемого журнала можно получить шпиона (правда установленный скринсейвер работает).