-
Spy.WinTool
SpyWare WinTool состоит собственно из Spy.WinTool, и TrojanDownloader.Win32.WinTool, который его устанавливает. Размещается этот SpyWare в папке ProgramFiles/Common Files/WinTools. В папке можно найти три основных программных модуля: WSup.exe, WToolsA.exe, WToolsB.dll (причем у WSup.exe выставлен набор атрибутов "скрытый", "системный"). Иконка у WSup.exe и WToolsA.exe аналогична иконке Internet Explorer.
В памяти от него обычно наблюдается два процесса (по поведению он похож на WinAd) - WToolsA.exe и WSup.exe. Процессы следят друг за другом и при убиении одного второй его немедленно перезапускает (что приводит к эффекту "неубиваемости").
В реестре WinTool создает ключ HKEY_LOCAL_MACHINE\Software\WinTools для хранения неких данных и душевно прописывает себя на автозапуск (сразу в три ключа - Run, RunServices, RunServicesOnce - все разделы содержат ключ WinTools, ссылающийся на WToolsA.exe, причем из ключа RunServicesOnce он запускается с параметром /boot)
В процессе работы этот SpyWare скрытно загружает другого SpyWare, которого он размещает в папке ProgramFiles/ToolBar (этот SpyWare еще изучается, известно, что это BHO от некоего поисковика).
AVZ со свежей базой ловит WinTool и уничтожает все его компоненты (для полного лечения потребуется перезагрузка)
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Re:Spy.WinTool
Уважаемый Олег! У меня ситуация именно такая, как описано Вами выше. В запущенных процессах постоянно сидят WSup.exe, WToolsA.exe, которые прописывают себя в автозагрузке при каждом включениии ПК и если завершаешь процесс работы одного, то при завершении работы второго он автоматически перезапускает первый. При подключении к Интернету, через какое-то время появляется окно и самопроизвольно устанавливается ToolBar, который прописывается в Program Files. Если его деинсталируешь (это получается), то через некоторое время он опять грузится с Нета. По Вашему совету поставил AVZ с Обновлением базы вирусов от 14.01.2005 (8907 сигнатуры). При запуске с пометкой удалять обнаруженые вирусы AVZ их находит, говорит, что они успешно удалены. После перезагрузки все остается на своих местах, WSup.exe, WToolsA.exe сидят на своих местах. Подскажите, что делать?
Также пробывал их удалять при помощи Ad-Aware SE с последним обновлением, находить находит, говорит, что удалил - результат тот же.
Михаил.
-
-
Re:Spy.WinTool
Сообщение от
mikl
Уважаемый Олег! У меня ситуация именно такая, как описано Вами выше. В запущенных процессах постоянно сидят WSup.exe, WToolsA.exe, которые прописывают себя в автозагрузке при каждом включениии ПК и если завершаешь процесс работы одного, то при завершении работы второго он автоматически перезапускает первый. При подключении к Интернету, через какое-то время появляется окно и самопроизвольно устанавливается ToolBar, который прописывается в Program Files. Если его деинсталируешь (это получается), то через некоторое время он опять грузится с Нета. По Вашему совету поставил AVZ с Обновлением базы вирусов от 14.01.2005 (8907 сигнатуры). При запуске с пометкой удалять обнаруженые вирусы AVZ их находит, говорит, что они успешно удалены. После перезагрузки все остается на своих местах, WSup.exe, WToolsA.exe сидят на своих местах. Подскажите, что делать?
Также пробывал их удалять при помощи Ad-Aware SE с последним обновлением, находить находит, говорит, что удалил - результат тот же.
Михаил.
http://virusinfo.info/index.php?boar...ay;threadid=20
-
-
Re:Spy.WinTool
Сообщение от
mikl
Подскажите, что делать?
Дыры в "форточке" (Windows) заткнуть + нормальный антивирус и "стенку" (firewall) поставить (смотри выше ответ от Geser'а).
P.S.: Ей богу как малые дети суют всякую гадость в рот (ставят на PC), а потом жалуются.
-
-
Уважаемый Олег! У меня ситуация именно такая, как описано Вами выше. Подскажите, что делать?
Также пробывал их удалять при помощи Ad-Aware SE с последним обновлением, находить находит, говорит, что удалил - результат тот же.
Михаил.
Вобщем все просто. Качаи прогу ad-aware последнюю версию.
Перезагрузи машину в безопасном режиме.
Стартуи ад авар быстрое сканирование.
Потом удали все что будет в карантине.
Перегружаи комп и наслаждаися жизнью. Незабудь мне пивка выслать )
-
-
-
-
Visiting Helper
- Вес репутации
- 73
Сообщение от
Tra1toR
а где его скачать мона?
Ну можешь с помощью гугля пособирать, набрав к примеру так:
"download.websearch.com/Dnl" +.cab
-
-
тока гугль всегда выдаст обзоры про удаление....
-