Personal Shield Pro попадает на компьютер посредством различных вирусов и троянов. При своём первом запуске, эта вредоносная программа первым делом создаёт запись с именем состоящем из случайно выбранных букв и цифр в ключе «HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce» реестра Windows, обеспечивая таким образом себе автоматический запуск при каждом включении компьютера. Далее программа добавляет несколько строчек в системный файл HOSTS. Благодаря этому вместо сайтов Google, MSN, Yahoo и некоторых других пользователю будут показываться их хорошо выполненные имитации.

По-окончании процедуры установки, Personal Shield Pro приступает к сканированию компьютера и обнаруживает большое количества заражённых файлов. Эти результаты – подделка, а сканирование – имитация. В реальности эта вредоносная программа не может обнаруживать и удалять вирусы и трояны, как и не сможет вас защитить от возможного заражения в будущем. Таким образом, смело игнорируйте всё, что эта паразитная программа будет показывать вам.

Для того чтобы создать видимость заражённого компьютера, Personal Shield Pro постоянно показывает различные предупреждения, которые сообщают о том, что компьютер заражён, что часть системных файлов были повреждены неизвестной вредоносной программой и тд. Пример таких сообщений:

WARNING 23 infections found!!!

Some critical system files of your computer were modified by
malicious program. It may cause system instability and data
loss.

Кроме этого, Personal Shield Pro блокирует запуск практически всех программ, включая антивирусы, показывая при этом сообщение что файл был заражён.

Application cannot be executed. The file [ИМЯ ФАЙЛА] is infected.
Please activate your antivirus software.

Смысл показа всех этих сообщений один, обманом вынудить пользователя купить «полную» версию программы и «вылечить компьютер». Как и результаты сканирования, все эти предупреждения – подделка и их нужно игнорировать.

Если ваш компьютер заражён этой вредоносной программой, то ни коем случае не покупайте её «полную» версию, вместо этого, воспользуйтесь ниже приведённой инструкцией для удаления Personal Shield Pro и других вредоносных программ, которые могли проникнуть на ваш компьютер вместе с ней.

HijackThis показывает заражение

O4 – HKCU\..\RunOnce: [{имя из случайных символов}] %CommonAppData%\{имя из случайных символов}\{имя из случайных символов}.exe

Инструкция по-удалению Personal Shield Pro

Шаг 1 – Перезагрузка компьютера в безопасном режиме с загрузкой сетевых драйверов

Перезагрузите свой компьютер. После того как ваш компьютер подаст короткий звуковой сигнал, нажмите клавишу F8. Перед вами покажется меню загрузки Windows как показано ниже.

Выберите безопасный режим с загрузкой сетевых драйверов (Safe Mode with networking) – вторую строчку и нажмите Enter. Больше о работе в безопасном режиме вы можете прочитать в статье – Как запустить компьютер в безопасном режиме (Safe Mode).

Шаг 2 – Восстановление работы браузера Internet Explorer
Personal Shield Pro может изменять сетевые настройки браузера, чтобы блокировать доступ пользователя к антивирусным сайтам. Поэтому их нужно вернуть в исходное значение, чтобы обеспечить себе возможность скачивать антивирусные и антиспайварные программы.

Запустите Internet Explorer. Кликните Сервис и выберите пункт «Свойства обозревателя» как показано ниже:

Вы увидите окно как показано на нижестоящей картинке:

Здесь откройте вкладку Подключения и в ней кликните по кнопке «настройка LAN». Вам будут показаны текущие настройки локальной сети.

Снимите галочку напротив пункта «Использовать прокси-сервер для подключений LAN». Кликните OK чтобы сохранить настройки и ещё раз OK, чтобы закрыть окно настроек Internet Explorer.

Шаг 3 – Удаление всех компонентов Personal Shield Pro

Скачайте бесплатную антиспайварную программу Malwarebytes Anti-Malware и установите её на компьютер. По-окончании установки, проверьте что выбрано: автоматическое обновление, автоматический запуск программы по-завершению работы инсталлятора. Когда Malwarebytes Anti-malware установится и запустится, перед вами откроется главное окно программы, как показано ниже.

Откройте вкладку Сканер (она выбрана по-умолчанию) и кликните по кнопке Проверить. Программа запустит процесс сканирования компьютер на предмет наличия разнообразных вредоносных программ и их компонентов. При быстром сканировании программа проверяет только наиболее важные части операционной системы, но даже в этом случае, процесс сканирования может занять довольно много времени, так что наберитесь терпения.

Когда сканирование закончиться кликните OK, а затем по кнопке Показать результаты. Вам будет показан результат сканирования (список найденных объектов может отличаться от приведённого ниже).

Кликните по кнопке «Удалить объекты» для того чтобы запустить процесс удаления Personal Shield Pro и ассоциированных с ним файлов, каталогов и ключей реестра. Когда процесс удаления закончиться, Malwarebytes Anti-Malware может попросить разрешения перезагрузить компьютер. Разрешите это действие, кликнув по кнопке YES/Да.

Шаг 4 – Восстановление исходного значения системного файла HOSTS
Как уже было сказано выше, Personal Shield Pro так же изменяет системный файл HOSTS, поэтому нужно восстановить его исходное значение.

Скачайте OTM by OldTimer кликнув по этой ссылке. Запустите программу и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Commands
[resethosts]

Кликните по кнопке MoveIt!. Закройте программу OTM.

Заключение

Выполнив эту инструкцию, ваш компьютер должен быть очищен от паразитной программы Personal Shield Pro. К сожалению, существуют варианты заражения, когда эта вредоносная программа проникает на компьютер в компании множества троянов, с которыми может не справиться Malwarebytes Anti-malware, в этом случае обратитесь на наш антивирусный форум.

Раз вы обнаружили на своём компьютере Personal Shield Pro, то это повод задуматься, всё ли нормально с вашей антивирусной и антиспайварной защитой, обновлены ли программы до последних версий. В первую очередь обратите внимание на то, что у вас включено автоматическое обновление Windows и все доступные обновления уже установлены. Если вы не уверены, то вам необходимо посетить сайт Windows Update, где вам подскажут как и что нужно обновить в Windows. Кроме этого обязательно проверьте что у вас установлены последние версии следующих программ: Java JRE, Adobe Acrobat Reader, Adobe Flash Player. Если это не так, то обязательно их обновите. Кроме этого советую вам приобрести полную версию программы Malwarebytes Anti-malware которая поможет вам защитить компьютер от возможного заражения в будущем. Основное отличие полной версии от бесплатной – это наличие модуля защиты компьютера в реальном времени. Для покупки, перейдите по следующей ссылке: Полная версия программы Malwarebytes Anti-malware.

Ассоциированные с Personal Shield Pro ключи реестра

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\PhishingFilter | “Enabled” = “0″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings | “ProxyOverride” = “”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings | “ProxyServer” = “http=127.0.0.1:11415″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings | “ProxyEnable” = “1″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce | {набор случайных букв}

Ассоциированные с Personal Shield Pro файлы и каталоги

%CommonAppData%\{имя из случайных символов}
%CommonAppData%\{имя из случайных символов}\{имя из случайных символов}.exe

В процессе установки PC Security Guardian прописывается в автозагрузку, создавая запись с именем «PC Security Guardian» в ключе «HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run», таким образом обеспечивая себе автоматическую загрузку при каждом запуске операционной системы. Далее программа добавляет несколько строчек в системный файл HOSTS. Благодаря этому вместо сайтов Google, MSN, Yahoo и некоторых других пользователю будут показываться их хорошо выполненные имитации. И последнее, но не менее важное, этот паразит создаёт несколько совершенно безобидных файлов, их значение довольно важно и будет показано ниже.

По-окончании процедуры установки, PC Security Guardian приступает к сканированию компьютера, в процессе которого находит вирусы, трояны и тд. Самое интересное то, что программа помечает заражёнными те файлы, которые сама создала раннее в процессе установки. Таким образом, эти результаты сканирования – подделка, их можно и нужно игнорировать.

Чтобы ещё больше напугать пользователя, PC Security Guardian во время своей работы будет показывать множество вводящих в заблуждение сообщений, несколько примеров ниже:

Warning
Warning! Virus detected

Warning!Spambot detected!
Attention! A spambot sending viruses to your e-mail contacts has been detected
on your PC.

Warning! Identity theft attempt detected
Hidden connection IP: 128.154.26.11
Target: Microsoft Corporation keys

Как и результаты сканирования, все эти сообщения подделка и их нужно игнорировать.

Таким образом, очевидно, присутствие PC Security Guardian не только не желательно, но и опасно, так как может привести к полной неработоспособности компьютера. Нужно помнить что эта программа не может ни удалять вирусы и трояны, ни защитить ваш компьютер от их проникновения, а создана лишь с одной целью – заставить вас купить её полную (платную) версию. Так что ни коем случае не покупайте её, вмести этого, воспользуйтесь ниже приведённой инструкцией для удаления этой поддельной антивирусной программы и других паразитов, которые могли проникнуть на ваш компьютер вместе с ней.

HijackThis показывает заражение

O4 – HKCU\..\Run: [PC Security Guardian] «C:\Documents and Settings\All Users\Application Data\ac1feb0\PSfc1f_2121.exe» /s /d

Как удалить PC Security Guardian

Шаг 1 – Перезагрузка компьютера в безопасном режиме с загрузкой сетевых драйверов

Перезагрузите свой компьютер. После того как ваш компьютер подаст короткий звуковой сигнал, нажмите клавишу F8. Перед вами покажется меню загрузки Windows как показано ниже.

Выберите безопасный режим с загрузкой сетевых драйверов (Safe Mode with networking) – вторую строчку и нажмите Enter. Больше о работе в безопасном режиме вы можете прочитать в статье – Как запустить компьютер в безопасном режиме (Safe Mode).

Шаг 2 – Восстановление работы браузера Internet Explorer
PC Security Guardian может изменять сетевые настройки браузера, чтобы блокировать доступ пользователя к антивирусным сайтам. Поэтому их нужно вернуть в исходное значение, чтобы обеспечить себе возможность скачивать антивирусные и антиспайварные программы.

Запустите Internet Explorer. Кликните Сервис и выберите пункт «Свойства обозревателя» как показано ниже:

Вы увидите окно как показано на нижестоящей картинке:

Здесь откройте вкладку Подключения и в ней кликните по кнопке «настройка LAN». Вам будут показаны текущие настройки локальной сети.

Снимите галочку напротив пункта «Использовать прокси-сервер для подключений LAN». Кликните OK чтобы сохранить настройки и ещё раз OK, чтобы закрыть окно настроек Internet Explorer.

Шаг 3 – Удаление всех компонентов PC Security Guardian

Скачайте бесплатную антиспайварную программу Malwarebytes Anti-Malware и установите её на компьютер. По-окончании установки, проверьте что выбрано: автоматическое обновление, автоматический запуск программы по-завершению работы инсталлятора. Когда Malwarebytes Anti-malware установится и запустится, перед вами откроется главное окно программы, как показано ниже.

Откройте вкладку Сканер (она выбрана по-умолчанию) и кликните по кнопке Проверить. Программа запустит процесс сканирования компьютер на предмет наличия разнообразных вредоносных программ и их компонентов. При быстром сканировании программа проверяет только наиболее важные части операционной системы, но даже в этом случае, процесс сканирования может занять довольно много времени, так что наберитесь терпения.

Когда сканирование закончиться кликните OK, а затем по кнопке Показать результаты. Вам будет показан результат сканирования (список найденных объектов может отличаться от приведённого ниже).

Кликните по кнопке «Удалить объекты» для того чтобы запустить процесс удаления PC Security Guardian и ассоциированных с этой вредоносной программой файлов, каталогов и ключей реестра. Когда процесс удаления закончиться, Malwarebytes Anti-Malware может попросить разрешения перезагрузить компьютер. Разрешите ей это действие, кликнув по кнопке YES/Да.

Шаг 4 – Восстановление исходного значения системного файла HOSTS
Вредоносная программа PC Security Guardian так же изменяет системный файл HOSTS, поэтому нужно восстановить его исходное значение.

Скачайте OTM by OldTimer кликнув по этой ссылке. Запустите программу и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Commands
[resethosts]

Кликните по кнопке MoveIt!. Закройте программу OTM.

Заключение

Выполнив эту инструкцию, ваш компьютер должен быть очищен от паразитной программы PC Security Guardian. К сожалению, существуют варианты заражения, когда эта вредоносная программа проникает на компьютер в компании множества троянов, с которыми может не справиться Malwarebytes Anti-malware, в этом случае обратитесь на наш антивирусный форум.

Раз вы обнаружили на своём компьютере PC Security Guardian, то это повод задуматься, всё ли нормально с вашей антивирусной и антиспайварной защитой, обновлены ли программы до последних версий. В первую очередь обратите внимание на то, что у вас включено автоматическое обновление Windows и все доступные обновления уже установлены. Если вы не уверены, то вам необходимо посетить сайт Windows Update, где вам подскажут как и что нужно обновить в Windows. Кроме этого обязательно проверьте что у вас установлены последние версии следующих программ: Java JRE, Adobe Acrobat Reader, Adobe Flash Player. Если это не так, то обязательно их обновите. Кроме этого советую вам приобрести полную версию программы Malwarebytes Anti-malware которая поможет вам защитить компьютер от возможного заражения в будущем. Основное отличие полной версии от бесплатной – это наличие модуля защиты компьютера в реальном времени. Купив полную версию программы вы так же поддержите мой сайт Spyware-ru.com. Для покупки, перейдите по следующей ссылке: Полная версия программы Malwarebytes Anti-malware.

Ассоциированные с PC Security Guardian ключи реестра

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download | RunInvalidSignatures = “1″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run | PC Security Guardian

Ассоциированные с PC Security Guardian файлы и каталоги

C:\Documents and Settings\All Users\Application Data\{RANDOM}
C:\Documents and Settings\All Users\Application Data\{RANDOM}\MS{RANDOM}.exe
%UserProfile%\Application Data\PC Security Guardian
%UserProfile%\Application Data\PC Security Guardian\cookies.sqlite
%UserProfile%\Desktop\PC Security Guardian.lnk
%UserProfile%\Start Menu\PC Security Guardian.lnk
%UserProfile%\Application Data\PC Security Guardian\Instructions.ini
%UserProfile%\Start Menu\Programs\PC Security Guardian.lnk
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\PC Security Guardian.lnk

MS Removal Tool попадает на компьютер посредством различных вирусов и троянов. При своём первом запуске, эта вредоносная программа первым делом создаёт запись с именем состоящем из случайно выбранных букв и цифр в ключе «HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce» реестра Windows, обеспечивая таким образом себе автоматический запуск при каждом включении компьютера. Далее программа добавляет несколько строчек в системный файл HOSTS. Благодаря этому вместо сайтов Google, MSN, Yahoo и некоторых других пользователю будут показываться их хорошо выполненные имитации.

По-окончании процедуры установки, MS Removal Tool приступает к сканированию компьютера, результатом которого является обнаружение большого количества заражённых файлов. Эти результаты – подделка, а сканирование – имитация. В реальности эта вредоносная программа не может обнаруживать и удалять вирусы и трояны, как и не сможет вас защитить от возможного заражения в будущем. Таким образом, смело игнорируйте всё, что эта паразитная программа будет показывать вам.

Для того чтобы создать видимость заражённого компьютера, MS Removal Tool постоянно показывает различные предупреждения, которые сообщают о том, что компьютер заражён, что часть системных файлов были повреждены неизвестной вредоносной программой и тд. Пример таких сообщений:

MS Removal Tool
WARNING 23 infections found!!!

MS Removal Tool Warning
Some critical system files of your computer were modified by
malicious program. It may cause system instability and data
loss.

Кроме этого, MS Removal Tool блокирует запуск практически всех программ, включая антивирусы, показывая при этом сообщение что файл был заражён.

Application cannot be executed. The file [ИМЯ ФАЙЛА] is infected.
Please activate your antivirus software.

Смысл показа всех этих сообщений один, обманом вынудить пользователя купить «полную» версию программы и «вылечить компьютер». Как и результаты сканирования, все эти предупреждения – подделка и их нужно игнорировать.

Если ваш компьютер заражён вредоносной программой MS Removal Tool, то ни коем случае не покупайте её «полную» версию, вмести этого, воспользуйтесь ниже приведённой инструкцией для удаления MS Removal Tool и других вредоносных программ, которые могли проникнуть на ваш компьютер вместе с ней.

HijackThis показывает заражение

O4 – HKCU\..\RunOnce: [{имя из случайных символов}] %CommonAppData%\{имя из случайных символов}\{имя из случайных символов}.exe

Инструкция по-удалению MS Removal Tool

Шаг 1 – Перезагрузка компьютера в безопасном режиме с загрузкой сетевых драйверов

Перезагрузите свой компьютер. После того как ваш компьютер подаст короткий звуковой сигнал, нажмите клавишу F8. Перед вами покажется меню загрузки Windows как показано ниже.

Выберите безопасный режим с загрузкой сетевых драйверов (Safe Mode with networking) – вторую строчку и нажмите Enter. Больше о работе в безопасном режиме вы можете прочитать в статье – Как запустить компьютер в безопасном режиме (Safe Mode).

Шаг 2 – Восстановление работы браузера Internet Explorer
MS Removal Tool может изменять сетевые настройки браузера, чтобы блокировать доступ пользователя к антивирусным сайтам. Поэтому их нужно вернуть в исходное значение, чтобы обечпечить себе возможность скачивать антивирусные и антиспайварные программы.

Запустите Internet Explorer. Кликните Сервис и выберите пункт «Свойства обозревателя» как показано ниже:

Вы увидите окно как показано на нижестоящей картинке:

Здесь откройте вкладку Подключения и в ней кликните по кнопке «настройка LAN». Вам будут показаны текущие настройки локальной сети.

Снимите галочку напротив пункта «Использовать прокси-сервер для подключений LAN». Кликните OK чтобы сохранить настройки и ещё раз OK, чтобы закрыть окно настроек Internet Explorer.

Шаг 3 – Удаление всех компонентов MS Removal Tool

Скачайте бесплатную антиспайварную программу Malwarebytes Anti-Malware и установите её на компьютер. По-окончании установки, проверьте что выбрано: автоматическое обновление, автоматический запуск программы по-завершению работы инсталлятора. Когда Malwarebytes Anti-malware установится и запустится, перед вами откроется главное окно программы, как показано ниже.

Откройте вкладку Сканер (она выбрана по-умолчанию) и кликните по кнопке Проверить. Программа запустит процесс сканирования компьютер на предмет наличия разнообразных вредоносных программ и их компонентов. При быстром сканировании программа проверяет только наиболее важные части операционной системы, но даже в этом случае, процесс сканирования может занять довольно много времени, так что наберитесь терпения.

Когда сканирование закончиться кликните OK, а затем по кнопке Показать результаты. Вам будет показан результат сканирования (список найденных объектов может отличаться от приведённого ниже).

Кликните по кнопке «Удалить объекты» для того чтобы запустить процесс удаления MS Removal Tool и ассоциированных с MSRemovalTool файлов, каталогов и ключей реестра. Когда процесс удаления закончиться, Malwarebytes Anti-Malware может попросить разрешения перезагрузить компьютер. Разрешите ей это действие, кликнув по кнопке YES/Да.

Шаг 4 – Восстановление исходного значения системного файла HOSTS
Вредоносная программа MS Removal Tool так же изменяет системный файл HOSTS, поэтому нужно восстановить его исходное значение.

Скачайте OTM by OldTimer кликнув по этой ссылке. Запустите программу и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Commands
[resethosts]

Кликните по кнопке MoveIt!. Закройте программу OTM.

Заключение

Выполнив эту инструкцию, ваш компьютер должен быть очищен от паразитной программы MS Removal Tool. К сожалению, существуют варианты заражения, когда эта вредоносная программа проникает на компьютер в компании множества троянов, с которыми может не справиться Malwarebytes Anti-malware, в этом случае обратитесь на наш антивирусный форум.

Раз вы обнаружили на своём компьютере MS Removal Tool, то это повод задуматься, всё ли нормально с вашей антивирусной и антиспайварной защитой, обновлены ли программы до последних версий. В первую очередь обратите внимание на то, что у вас включено автоматическое обновление Windows и все доступные обновления уже установлены. Если вы не уверены, то вам необходимо посетить сайт Windows Update, где вам подскажут как и что нужно обновить в Windows. Кроме этого обязательно проверьте что у вас установлены последние версии следующих программ: Java JRE, Adobe Acrobat Reader, Adobe Flash Player. Если это не так, то обязательно их обновите. Кроме этого советую вам приобрести полную версию программы Malwarebytes Anti-malware которая поможет вам защитить компьютер от возможного заражения в будущем. Основное отличие полной версии от бесплатной – это наличие модуля защиты компьютера в реальном времени. Купив полную версию программы вы так же поддержите мой сайт Spyware-ru.com. Для покупки, перейдите по следующей ссылке: Полная версия программы Malwarebytes Anti-malware.

Ассоциированные с MS Removal Tool ключи реестра

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\PhishingFilter | “Enabled” = “0″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings | “ProxyOverride” = “”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings | “ProxyServer” = “http=127.0.0.1:11415″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings | “ProxyEnable” = “1″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce | {набор случайных букв}

Ассоциированные с MS Removal Tool файлы и каталоги

%CommonAppData%\{имя из случайных символов}
%CommonAppData%\{имя из случайных символов}\{имя из случайных символов}.exe

При своём первом запуске, Antivirus Monitor создаёт две записи, которые имеют имена в виде набора случайных символов, в «HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run» и «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run» ключах реестра Windows, таким образом позволяя себе запускаться автоматически при каждой загрузке Windows. Далее этот поддельный антивирус приступает к сканированию компьютера, результатом которого является нахождения большого количества троянов, вирусов, червей и т.д. Эти результаты – подделка, а сканирование – имитация. В реальности эта вредоносная программа не может обнаруживать и удалять вирусы и трояны, как и не сможет вас защитить от возможного заражения в будущем. Таким образом, смело игнорируйте всё, что эта паразитная программа будет показывать вам.

Кроме описанного выше, чтобы ещё больше напугать вас, всё время пока Antivirus Monitor запущен, вы будет видеть множество поддельных предупреждений и всплывающих окон сообщающих о том, что компьютер заражён и вам необходимо купить полную версии этой программы, чтобы вылечить ваш компьютер. Пример таких сообщений:

Spyware alert
Application cannot be executed. The file rundll32.exe is
infected.
Do you want to activate your antivirus software now?

Windows Security alert
Windows reports that computer is infected. Antivirus software
helps to protect your computer against viruses and other
security threats. Click here for the scan your computer. Your
system might be at risk now.

Кроме того, Antivirus Monitor может блокировать запуск любой программы, при этом сообщается что запускаемый файл заражён опасным вирусом или трояном. Пример такого сообщения ниже:

Application cannot be executed. The file {имя программы} is infected.
Do you want to activate your antivirus software now.

Но и это ещё не всё, эта вредоносная программа так же изменяет настройки установленных браузеров (настройки прокси сервера), благодаря чему, может быть заблокирован доступ к любому сайту. Вместо него будет отображаться страничка с сообщением, что посещаемый сайт не безопасен и может повредить компьютер. Запомните, все эти сообщения и предупреждения – подделка и как результаты сканирования должны игнорироваться!

Из сказано выше очевидно, присутствие Antivirus Monitor не только не желательно, но и опасно, так как может привести к полной неработоспособности компьютера. Нужно помнить что эта программа – вредный компьютерный паразит, который полностью не функционален, как антивирусная и антиспайварная программа, и создан лишь с одной целью – выманить ваши деньги. Так что ни коем случае не покупайте её «полную» версию, вмести этого, воспользуйтесь ниже приведённой инструкцией для удаления Antivirus Monitor и других вредоносных программ, которые могли проникнуть на ваш компьютер вместе с ней.

HijackThis показывает заражение

R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:{набор случайных цифр}
O4 – HKLM\..\Run: [{набор случайных букв}] %Temp%\{набор случайных букв}\{набор случайных букв}.exe
O4 – HKCU\..\Run: [{набор случайных букв}] %Temp%\{набор случайных букв}\{набор случайных букв}.exe

Инструкция по-удалению Antivirus Monitor

Шаг 1. Перезагрузка компьютера в безопасном режиме с загрузкой сетевых драйверов

Перезагрузите свой компьютер. После того как ваш компьютер подаст короткий звуковой сигнал, нажмите клавишу F8. Перед вами покажется меню загрузки Windows как показано ниже.

Выберите безопасный режим с загрузкой сетевых драйверов (Safe Mode with networking) – вторую строчку и нажмите Enter. Больше о работе в безопасном режиме вы можете прочитать в статье – Как запустить компьютер в безопасном режиме (Safe Mode).

Шаг 2. Восстановление работы браузера Internet Explorer

Запустите Internet Explorer. Кликните Сервис и выберите пункт «Свойства обозревателя» как показано ниже:

Вы увидите окно как показано на нижестоящей картинке:

Здесь откройте вкладку Подключения и в ней кликните по кнопке «настройка LAN». Вам будут показаны текущие настройки локальной сети.

Снимите галочку напротив пункта «Использовать прокси-сервер для подключений LAN». Кликните OK чтобы сохранить настройки и ещё раз OK, чтобы закрыть окно настроек Internet Explorer.

Шаг 3. Удаление Antivirus Monitor из автозапуска

Скачайте программу HijackThis кликнув по этой ссылке и сохраните её на ваш рабочий стол.

Кликните дважды по скачанному вами файлу для запуска программы. В открывшемся окне программы кликните по кнопке Scan.

По-окончании сканирования выделите галочками слева все строки имеющие следующий формат:

R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:{набор случайных цифр}
O4 – HKLM\..\Run: [{набор случайных букв}] %Temp%\{набор случайных букв}\{набор случайных букв}.exe
O4 – HKCU\..\Run: [{набор случайных букв}] %Temp%\{набор случайных букв}\{набор случайных букв}.exe

Например такие строки:

R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:32111
O4 – HKLM\..\Run: [asbpdogk] c:\docume~1\user\locals~1\temp\factrowvc\wegcihiagnz.exe
O4 – HKCU\..\Run: [asbpdogk] c:\docume~1\user\locals~1\temp\bfaotrwvc\dwecihiagnz.exe

Закройте все запущенные программы (включая Internet Explorer) и окна Windows. Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES. Закройте HijackThis.

Шаг 4. Удаление всех компонентов Antivirus Monitor

Скачайте бесплатную антиспайварную программу Malwarebytes Anti-Malware и установите её на компьютер. По-окончании установки, проверьте что выбрано: автоматическое обновление, автоматический запуск программы по-завершению работы инсталлятора. Когда Malwarebytes Anti-malware установится и запустится, перед вами откроется главное окно программы, как показано ниже.

Откройте вкладку Сканер (она выбрана по-умолчанию) и кликните по кнопке Проверить. Программа запустит процесс сканирования компьютер на предмет наличия разнообразных вредоносных программ и их компонентов. При быстром сканировании программа проверяет только наиболее важные части операционной системы, но даже в этом случае, процесс сканирования может занять довольно много времени, так что наберитесь терпения.

Когда сканирование закончиться кликните OK, а затем по кнопке Показать результаты. Вам будет показан результат сканирования (список найденных объектов может отличаться от приведённого ниже).

Кликните по кнопке «Удалить объекты» для того чтобы запустить процесс удаления Antivirus Monitor и ассоциированных с AntivirusMonitor файлов, каталогов и ключей реестра. Когда процесс удаления закончиться, Malwarebytes Anti-Malware может попросить разрешения перезагрузить компьютер. Разрешите ей это действие, кликнув по кнопке YES/Да.

Выполнив эту инструкцию, ваш компьютер должен быть очищен от паразитной программы Antivirus Monitor. К сожалению, существуют варианты заражения, когда эта вредоносная программа проникает на компьютер в компании множества троянов, с которыми может не справиться Malwarebytes Anti-malware, в этом случае обратитесь на наш антивирусный форум.

Раз вы обнаружили на своём компьютере Antivirus Monitor, то это повод задуматься, всё ли нормально с вашей антивирусной и антиспайварной защитой, обновлены ли программы до последних версий. В первую очередь обратите внимание на то, что у вас включено автоматическое обновление Windows и все доступные обновления уже установлены. Если вы не уверены, то вам необходимо посетить сайт Windows Update, где вам подскажут как и что нужно обновить в Windows. Кроме этого обязательно проверьте что у вас установлены последние версии следующих программ: Java JRE, Adobe Acrobat Reader, Adobe Flash Player. Если это не так, то обязательно их обновите. Кроме этого советую вам приобрести полную версию программы Malwarebytes Anti-malware которая поможет вам защитить компьютер от возможного заражения в будущем. Основное отличие полной версии от бесплатной – это наличие модуля защиты компьютера в реальном времени. Купив полную версию программы вы так же поддержите мой сайт Spyware-ru.com. Для покупки, перейдите по следующей ссылке: Полная версия программы Malwarebytes Anti-malware.

Ассоциированные с Antivirus Monitor ключи реестра

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\PhishingFilter | “Enabled” = “0″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings | “ProxyOverride” = “”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings | “ProxyServer” = “http=127.0.0.1:11415″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings | “ProxyEnable” = “1″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | {набор случайных букв}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run | {набор случайных букв}

Ассоциированные с Antivirus Monitor файлы и каталоги

%Temp%\{набор случайных букв}\
%Temp%\{набор случайных букв}\{набор случайных букв}.exe

Когда этап установки закончен программа приступает к сканированию компьютера и в его процессе находит множество заражённых файлов, троянов, вирусов и тд, причём удалить их нельзя, предварительно нужно купить «полную» версию программы. В реальности результаты сканирования, как и сам процесс сканирования – это подделка. Программа находит то, что в реальности на компьютере не существует. Таким образом, не доверяйте результатам сканирования, просто игнорируйте их. Важно понять, что компьютер заражён только одним паразитом – это сама программа AntiMalware GO.

Чтобы ещё больше запугать пользователя и заставить его поверить в то, что компьютер заражён, AntiMalwareGO будет показывать множество разнообразных сообщений, предупреждений и всплывающих окон, смысл которых можно свести к одному – компьютер заражён. Пример таких сообщений:

Windows Security alert.
Windows reports that computer is infected. Antivirus software helps to protect your computer against viruses and other security threats. Click here for the scan your computer. Your system might be at risk now.

Кроме этого, AntiMalware GO может блокировать открытие любого сайта, при этом сообщая:

Internet Explorer Warning – visiting this web site may harm your computer!
Most likely causes:
The website contains exploits that can launch a malicious code on your computer
Suspicious network activity detected
There might be an active spyware running on your computer

Или блокировать запуск любой программы при этом показывая поддельное сообщение следующего вида:

Windows Security alert.
Application cannot be executed. The file {имя программы} is infected. Do you want to activate your antvirus software now?

Так что не верьте всему что вам будет показывать эта программа, все эти сообщения подделка и призваны создать у вас впечатление того, что ваш компьютер в опасности.

Присутствие AntiMalwareGO не только не желательно, но и опасно, так как может привести к полной неработоспособности компьютера. Нужно помнить что эта программа – вредный компьютерный паразит, который полностью не функционален, как антивирусная и антиспайварная программа, и создан лишь с одной целью – заставить вас купить её полную (платную) версию. Так что ни коем случае не покупайте её, вмести этого, воспользуйтесь ниже приведённой инструкцией для удаления AntiMalware GO и других паразитов, которые могли проникнуть на ваш компьютер вместе с ней.

HijackThis показывает заражение

R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:{набор случайных цифр}
O4 – HKLM\..\Run: [{набор случайных букв}] %Temp%\{набор случайных букв}\{набор случайных букв}.exe
O4 – HKCU\..\Run: [{набор случайных букв}] %Temp%\{набор случайных букв}\{набор случайных букв}.exe

Инструкция по-удалению AntiMalware GO

Шаг 1. Перезагрузка компьютера в безопасном режиме с загрузкой сетевых драйверов

Перезагрузите свой компьютер. После того как ваш компьютер подаст короткий звуковой сигнал, нажмите клавишу F8. Перед вами покажется меню загрузки Windows как показано ниже.

Выберите безопасный режим с загрузкой сетевых драйверов (Safe Mode with networking) – вторую строчку и нажмите Enter. Больше о работе в безопасном режиме вы можете прочитать в статье – Как запустить компьютер в безопасном режиме (Safe Mode).

Шаг 2. Восстановление работы браузера Internet Explorer

Запустите Internet Explorer. Кликните Сервис и выберите пункт «Свойства обозревателя» как показано ниже:

Вы увидите окно как показано на нижестоящей картинке:

Здесь откройте вкладку Подключения и в ней кликните по кнопке «настройка LAN». Вам будут показаны текущие настройки локальной сети.

Снимите галочку напротив пункта «Использовать прокси-сервер для подключений LAN». Кликните OK чтобы сохранить настройки и ещё раз OK, чтобы закрыть окно настроек Internet Explorer.

Шаг 3. Удаление AntiMalware GO из автозапуска

Скачайте программу HijackThis кликнув по этой ссылке и сохраните её на ваш рабочий стол.

Кликните дважды по скачанному вами файлу для запуска программы. В открывшемся окне программы кликните по кнопке Scan.

По-окончании сканирования выделите галочками слева все строки имеющие следующий формат:

R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:{набор случайных цифр}
O4 – HKLM\..\Run: [{набор случайных букв}] %Temp%\{набор случайных букв}\{набор случайных букв}.exe
O4 – HKCU\..\Run: [{набор случайных букв}] %Temp%\{набор случайных букв}\{набор случайных букв}.exe

Например такие строки:

R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:32111
O4 – HKLM\..\Run: [asbpdogk] c:\docume~1\user\locals~1\temp\factrowvc\wegcihiagnz.exe
O4 – HKCU\..\Run: [asbpdogk] c:\docume~1\user\locals~1\temp\bfaotrwvc\dwecihiagnz.exe

Закройте все запущенные программы (включая Internet Explorer) и окна Windows. Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES. Закройте HijackThis.

Шаг 4. Удаление всех компонентов AntiMalware GO

Скачайте бесплатную антиспайварную программу Malwarebytes Anti-Malware и установите её на компьютер. По-окончании установки, проверьте что выбрано: автоматическое обновление, автоматический запуск программы по-завершению работы инсталлятора. Когда Malwarebytes Anti-malware установится и запустится, перед вами откроется главное окно программы, как показано ниже.

Откройте вкладку Сканер (она выбрана по-умолчанию) и кликните по кнопке Проверить. Программа запустит процесс сканирования компьютер на предмет наличия разнообразных вредоносных программ и их компонентов. При быстром сканировании программа проверяет только наиболее важные части операционной системы, но даже в этом случае, процесс сканирования может занять довольно много времени, так что наберитесь терпения.

Когда сканирование закончиться кликните OK, а затем по кнопке Показать результаты. Вам будет показан результат сканирования (список найденных объектов может отличаться от приведённого ниже).

Кликните по кнопке «Удалить объекты» для того чтобы запустить процесс удаления AntiMalware GO и ассоциированных с AntiMalwareGO файлов, каталогов и ключей реестра. Когда процесс удаления закончиться, Malwarebytes Anti-Malware может попросить разрешения перезагрузить компьютер. Разрешите ей это действие, кликнув по кнопке YES/Да.

Выполнив эту инструкцию, ваш компьютер должен быть очищен от паразитной программы AntiMalware GO. К сожалению, существуют варианты заражения, когда эта вредоносная программа проникает на компьютер в компании множества троянов, с которыми может не справиться Malwarebytes Anti-malware, в этом случае обратитесь на наш антивирусный форум.

Раз вы обнаружили на своём компьютере AntiMalware GO, то это повод задуматься, всё ли нормально с вашей антивирусной и антиспайварной защитой, обновлены ли программы до последних версий. В первую очередь обратите внимание на то, что у вас включено автоматическое обновление Windows и все доступные обновления уже установлены. Если вы не уверены, то вам необходимо посетить сайт Windows Update, где вам подскажут как и что нужно обновить в Windows. Кроме этого обязательно проверьте что у вас установлены последние версии следующих программ: Java JRE, Adobe Acrobat Reader, Adobe Flash Player. Если это не так, то обязательно их обновите. Кроме этого советую вам приобрести полную версию программы Malwarebytes Anti-malware которая поможет вам защитить компьютер от возможного заражения в будущем. Основное отличие полной версии от бесплатной – это наличие модуля защиты компьютера в реальном времени. Купив полную версию программы вы так же поддержите мой сайт Spyware-ru.com. Для покупки, перейдите по следующей ссылке: Полная версия программы Malwarebytes Anti-malware.

Ассоциированные с AntiMalware GO ключи реестра

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\PhishingFilter | “Enabled” = “0″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings | “ProxyOverride” = “”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings | “ProxyServer” = “http=127.0.0.1:21415″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings | “ProxyEnable” = “1″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | {набор случайных букв}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run | {набор случайных букв}

Ассоциированные с AntiMalware GO файлы и каталоги

%Temp%\{набор случайных букв}\
%Temp%\{набор случайных букв}\{набор случайных букв}.exe

В процессе установки My Security Shield прописывается в автозагрузку, создавая запись с именем «My Security Shield» в ключе «HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run», таким образом обеспечивая себе автоматическую загрузку при каждом запуске операционной системы. Далее программа добавляет несколько строчек в системный файл HOSTS. Благодаря этому вместо сайтов Google, MSN, Yahoo и некоторых других пользователю будут показываться их хорошо выполненные имитации. И последнее, но не менее важное, этот паразит создаёт несколько совершенно безобидных файлов, их значение довольно важно и будет показано ниже.

По-окончании процедуры установки, My Security Shield приступает к сканированию компьютера, в процессе которого находит вирусы, трояны и тд. Самое интересное то, что программа помечает заражёнными те файлы, которые сама создала раннее в процессе установки. Таким образом, эти результаты сканирования – подделка, их можно и нужно игнорировать.

Чтобы ещё больше напугать пользователя, My Security Shield во время своей работы будет активно показывать множество вводящих в заблуждение сообщений, несколько примеров ниже:

Warning
Warning! Virus detected

Warning!Spambot detected!
Attention! A spambot sending viruses to your e-mail contacts has been detected
on your PC.

Warning! Identity theft attempt detected
Hidden connection IP: 128.154.26.11
Target: Microsoft Corporation keys

Как и результаты сканирования, все эти сообщения подделка и их нужно игнорировать.

Таким образом, очевидно, присутствие My Security Shield не только не желательно, но и опасно, так как может привести к полной неработоспособности компьютера. Нужно помнить что эта программа не может ни удалять вирусы и трояны, ни защитить ваш компьютер от их проникновения, а создана лишь с одной целью – заставить вас купить её полную (платную) версию. Так что ни коем случае не покупайте её, вмести этого, воспользуйтесь ниже приведённой инструкцией для удаления этой поддельной антивирусной программы и других паразитов, которые могли проникнуть на ваш компьютер вместе с ней.

HijackThis показывает заражение

O4 – HKCU\..\Run: [My Security Shield] «C:\Documents and Settings\All Users\Application Data\fc1feb0\MSfc1f_2121.exe» /s /d

Как удалить My Security Shield

Скачайте инсталлятор (mbam-setup.exe) бесплатной антиспайварной программы Malwarebytes Anti-Malware. Закройте браузер и все открытые окна Windows. Запустите инсталлятор, выберите язык установки и следуйте указаниям, которые будут появляться на экране. По-окончании установки, проверьте что выбрано: автоматическое обновление, автоматический запуск программы по-завершению работы инсталлятора. Когда Malwarebytes Anti-malware установится и запустится, перед вами откроется главное окно программы, как показано ниже.

Откройте вкладку Сканер (она выбрана по-умолчанию) и кликните по кнопке Проверить. Процесс сканирования может занять продолжительное время, поэтому наберитесь терпения. По-окончании сканирования, будет показано сообщение аналогичное приведённому ниже.

Кликните OK, затем Показать результаты. Вам будет показан результат сканирования (список заражённых файлов может отличаться от приведённого ниже).

Кликните по кнопке Удалить выделенные для того чтобы запустить процесс удаления My Security Shield и ассоциированных с этой программой файлов, каталогов и ключей реестра. Malwarebytes Anti-Malware может попросить разрешения перезагрузить компьютер. Разрешите это.

Вредоносная программа My Security Shield так же изменяет системный файл HOSTS, поэтому нужно восстановить его исходное значение.

Скачайте OTM by OldTimer кликнув по этой ссылке. Запустите программу и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Commands
[resethosts]

Кликните по кнопке MoveIt!. Закройте программу OTM.

Выполнив эту инструкцию, ваш компьютер должен быть очищен от паразитной программы My Security Shield. К сожалению, существуют варианты заражения, когда эта вредоносная программа проникает на компьютер в компании множества троянов, с которыми может не справиться Malwarebytes Anti-malware, в этом случае обратитесь на наш антивирусный форум.

Если Malwarebytes Anti-malware вам помогла и вы хотите защитить компьютер от возможного заражения в будущем, то советую вам купить её полную версию. Основное отличие – это наличие модуля защиты компьютера в реальном времени. Купив полную версию программы вы не только защитите компьютер, но и поддержите сайт Spyware-ru.com. Для покупки, перейдите по следующей ссылке: Полная версия программы Malwarebytes Anti-malware.

Ассоциированные с My Security Shield ключи реестра

HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes | URL = “http://findgala.com/?&uid=1002&q={searchTerms}”
HKEY_CURRENT_USER\Software\Classes\Software\Microsoft\Internet Explorer\SearchScopes | URL = “http://findgala.com/?&uid=1002&q={searchTerms}”
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download | RunInvalidSignatures = “1″
HKEY_CLASSES_ROOT\Software\Microsoft\Internet Explorer\SearchScopes | URL = “http://findgala.com/?&uid=1002&q={searchTerms}”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run | my security shield

Ассоциированные с My Security Shield файлы и каталоги

C:\Documents and Settings\All Users\Application Data\{RANDOM}
C:\Documents and Settings\All Users\Application Data\{RANDOM}\MS{RANDOM}.exe
%UserProfile%\Application Data\My Security Shield
%UserProfile%\Application Data\My Security Shield\cookies.sqlite
%UserProfile%\Desktop\My Security Shield.lnk
%UserProfile%\Start Menu\My Security Shield.lnk
%UserProfile%\Application Data\My Security Shield\Instructions.ini
%UserProfile%\Start Menu\Programs\My Security Shield.lnk
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\My Security Shield.lnk

Поведение этого паразита на компьютере стандартно для такого класса программ. При первом запуске Antivir Solution Pro совершает несколько действий, среди них основные:
1. прописывается в автозагрузку, для этого он создаёт несколько записей со случайными именами в «HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run» и «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run» ключах реестра Windows.
2. устанавливает на компьютере скрытый прокси сервер и настраивает все установленные браузеры таким образом, чтобы они направляли все запросы в Интернет через него.

Когда этап установки закончен программа приступает к сканированию компьютера и в его процессе находит множество заражённых файлов, троянов, вирусов и тд, причём удалить их нельзя, предварительно нужно купить «полную» версию программы. В реальности результаты сканирования, как и сам процесс сканирования – это подделка. Программа находит то, чего нет на компьютере. Компьютер заражён только одним паразитом – это сама программа Antivir Solution Pro.

Чтобы ещё больше запугать пользователя и заставить его поверить в то, что компьютер заражён, Antivir Solution Pro будет показывать множество разнообразных сообщений, предупреждений и всплывающих окон, смысл которых можно свести к одному – компьютер заражён. Несколько примеров таких сообщений:

Windows Security alert. Windows reports that computer is infected. Antivirus software helps to protect your computer against viruses and other security threats. Click here for the scan your computer. Your system might be at risk now.

Windows Security alert. Application cannot be executed. The file {имя программы} is infected. Do you want to activate your antvirus software now?

Кроме этого, Antivir Solution Pro может блокировать запуск любой программы или открытие любого сайта, при этом сообщается что запускаемый файл (сайт) заражён опасным вирусом или трояном:

Application cannot be executed. The file {имя программы} is infected. Do you want to activate your antivirus software now.

Internet Explorer Warning – visiting this web site may harm your computer!

Конечно не верьте всему что вам будет показывать эта программа и компьютер, который заражён ею. Присутствие Antivir Solution Pro не только не желательно, но и опасно, так как может привести к полной неработоспособности компьютера. Нужно помнить что эта программа – вредный компьютерный паразит, который полностью не функционален, как антивирусная и антиспайварная программа, и создан лишь с одной целью – заставить вас купить её полную (платную) версию. Так что ни коем случае не покупайте её, вмести этого, воспользуйтесь ниже приведённой инструкцией для удаления этой поддельной антивирусной программы и других паразитов, которые могли проникнуть на ваш компьютер вместе с ней.

HijackThis показывает заражение

R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:{набор случайных цифр}
O4 – HKLM\..\Run: [{набор случайных букв}] C:\Documents and Settings\user\Local Settings\Application Data\{набор случайных букв}\{набор случайных букв}.exe
O4 – HKCU\..\Run: [{набор случайных букв}] C:\Documents and Settings\user\Local Settings\Application Data\{набор случайных букв}\{набор случайных букв}.exe

Инструкция по-удалению Antivir Solution Pro

Шаг 1

Скачайте программу HijackThis кликнув по этой ссылке, но в диалоге сохранения файла измените имя HijackThis.exe на iexplore.exe, после чего сохраните файл на ваш рабочий стол.

Если вы не можете скачать HijackThis, то попробуйте отключить использование прокси сервера в настройках Internet Explorer. Для этого запустите Internet Explorer, кликните Сервис, затем Свойства обозревателя. Здесь откройте вкладку Подключения и кликните по кнопке Настройка параметров локальной сети (LAN). В открывшемся окне снимите галочку в пункте Использовать прокси сервер. Кликните ОК и ещё раз ОК.

Кликните дважды по скачанному вами файлу для запуска программы. Откроется главное меню. Кликните по кнопке Do a system scan only.

Выделите галочками слева все строки имеющие следующий формат:

R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:{набор случайных цифр}
O4 – HKLM\..\Run: [{набор случайных букв}] C:\Documents and Settings\user\Local Settings\Application Data\{набор случайных букв}\{набор случайных букв}.exe
O4 – HKCU\..\Run: [{набор случайных букв}] C:\Documents and Settings\user\Local Settings\Application Data\{набор случайных букв}\{набор случайных букв}.exe

Пример показан ниже:

Закройте все запущенные программы (включая Internet Explorer) и окна Windows. Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES. Закройте HijackThis.

Шаг 2

Скачайте бесплатную антиспайварную программу Malwarebytes Anti-Malware и установите её на компьютер. По-окончании установки, проверьте что выбрано: автоматическое обновление, автоматический запуск программы по-завершению работы инсталлятора. Когда Malwarebytes Anti-malware установится и запустится, перед вами откроется главное окно программы, как показано ниже.

Откройте вкладку Сканер (она выбрана по-умолчанию) и кликните по кнопке Проверить. Программа запустит процесс сканирования компьютер на предмет наличия разнообразных вредоносных программ и их компонентов. При быстром сканировании программа проверяет только наиболее важные части операционной системы, но даже в этом случае, процесс сканирования может занять довольно много времени, так что наберитесь терпения.

Когда сканирование закончиться кликните OK, а затем по кнопке Показать результаты. Вам будет показан результат сканирования (список найденных объектов может отличаться от приведённого ниже).

Кликните по кнопке Удалить выделенные для того чтобы запустить процесс удаления Antivir Solution Pro и ассоциированных с Antivir Solution Pro файлов, каталогов и ключей реестра. Когда процесс удаления закончиться, Malwarebytes Anti-Malware может попросить разрешения перезагрузить компьютер. Разрешите ей это действие, кликнув по кнопке YES/Да.

Выполнив эту инструкцию, ваш компьютер должен быть очищен от паразитной программы Antivir Solution Pro. К сожалению, существуют варианты заражения, когда эта вредоносная программа проникает на компьютер в компании множества троянов, с которыми может не справиться Malwarebytes Anti-malware, в этом случае обратитесь на наш антивирусный форум.

Раз вы обнаружили на своём компьютере Antivir Solution Pro, то это повод задуматься, всё ли нормально с вашей антивирусной и антиспайварной защитой, обновлены ли программы до последних версий. В первую очередь обратите внимание на то, что у вас включено автоматическое обновление Windows и все доступные обновления уже установлены. Если вы не уверены, то вам необходимо посетить сайт Windows Update, где вам подскажут как и что нужно обновить в Windows. Кроме этого обязательно проверьте что у вас установлены последние версии следующих программ: Java JRE, Adobe Acrobat Reader, Adobe Flash Player. Если это не так, то обязательно их обновите. Кроме этого советую вам приобрести полную версию программы Malwarebytes Anti-malware которая поможет вам защитить компьютер от возможного заражения в будущем. Основное отличие полной версии от бесплатной – это наличие модуля защиты компьютера в реальном времени. Купив полную версию программы вы так же поддержите мой сайт Spyware-ru.com. Для покупки, перейдите по следующей ссылке: Полная версия программы Malwarebytes Anti-malware.

Ассоциированные с Antivir Solution Pro ключи реестра

HKEY_CURRENT_USER\Software\avsoft
HKEY_CURRENT_USER\Software\avsuite
HKEY_LOCAL_MACHINE\SOFTWARE\avsoft
HKEY_LOCAL_MACHINE\SOFTWARE\avsuite
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\{набор случайных букв}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{набор случайных букв}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyEnable=”1″

Ассоциированные с Antivir Solution Pro файлы и каталоги

%UserProfile%\Local Settings\Application Data\{набор случайных букв}
%UserProfile%\Local Settings\Application Data\{набор случайных букв}\{набор случайных букв}.ex

При своём первом запуске, AV Security Suite создаёт две записи, которые имеют имена в виде набора случайных символов, в «HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run» и «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run» ключах реестра Windows, таким образом позволяя себе запускаться автоматически при каждой загрузке Windows, после чего программа «засыпает». Она активируется только после перезагрузки Windows. Далее AV Security Suite приступает к сканированию компьютера, результатом которого является нахождения большого количества троянов, вирусов, червей и т.д. Эти результаты – подделка, а сканирование – имитация. В реальности эта вредоносная программа не имеет возможности обнаруживать и удалять вирусы и трояны, как и не сможет вас защитить от возможного заражения в будущем. Таким образом, смело игнорируйте всё, что эта паразитная программа будет показывать вам.

Чтобы ещё больше убедить пользователя, что его компьютер заражён опасными вирусами, всё время пока AV Security Suite запущен, пользователь будет видеть множество поддельных предупреждений и всплывающих окон, которые сообщают о том, что компьютер заражён и предлагают активировать или купить полную версию этой поддельной антиспайварной программы. Пример таких сообщений:

Spyware alert
Application cannot be executed. The file rundll32.exe is
infected.
Do you want to activate your antivirus software now?

Windows Security alert
Windows reports that computer is infected. Antivirus software
helps to protect your computer against viruses and other
security threats. Click here for the scan your computer. Your
system might be at risk now.

Кроме этого, AV Security Suite может блокировать запуск любой программы, при этом сообщается что запускаемый файл заражён опасным вирусом или трояном. Пример такого сообщения ниже:

Application cannot be executed. The file {имя программы} is infected.
Do you want to activate your antivirus software now.

Но и это ещё не всё, эта вредоносная программа так же изменяет настройки установленных браузеров (настройки прокси сервера), благодаря чему, может быть заблокирован доступ к любому сайту. Вместо него будет отображаться страничка с сообщением, что посещаемый сайт не безопасен и может повредить компьютер. Конечно, все эти сообщения и предупреждения подделка и как результаты сканирования должны игнорироваться.

Из сказано выше очевидно, присутствие AV Security Suite не только не желательно, но и опасно, так как может привести к полной неработоспособности компьютера. Нужно помнить что эта программа – вредный компьютерный паразит, который полностью не функционален, как антивирусная и антиспайварная программа, и создан лишь с одной целью – выманить ваши деньги. Так что ни коем случае не покупайте её «полную» версию, вмести этого, воспользуйтесь ниже приведённой инструкцией для удаления AV Security Suite и других вредоносных программ, которые могли проникнуть на ваш компьютер вместе с ней.

HijackThis показывает заражение

R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:{набор случайных цифр}
O4 – HKLM\..\Run: [{набор случайных букв}] C:\Documents and Settings\user\Local Settings\Application Data\{набор случайных букв}\{набор случайных букв}.exe
O4 – HKCU\..\Run: [{набор случайных букв}] C:\Documents and Settings\user\Local Settings\Application Data\{набор случайных букв}\{набор случайных букв}.exe

Как удалить AV Security Suite

Шаг 1

Скачайте программу HijackThis кликнув по этой ссылке, но в диалоге сохранения файла измените имя HijackThis.exe на iexplore.exe, после чего сохраните файл на ваш рабочий стол.

Если вы не можете скачать HijackThis, то попробуйте отключить использование прокси сервера в настройках Internet Explorer. Для этого запустите Internet Explorer, кликните Сервис, затем Свойства обозревателя. Здесь откройте вкладку Подключения и кликните по кнопке Настройка параметров локальной сети (LAN). В открывшемся окне снимите галочку в пункте Использовать прокси сервер. Кликните ОК и ещё раз ОК.

Кликните дважды по скачанному вами файлу для запуска программы. Откроется главное меню. Кликните по кнопке Do a system scan only.

Выделите галочками слева все строки имеющие следующий формат:

R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:{набор случайных цифр}
O4 – HKLM\..\Run: [{набор случайных букв}] C:\Documents and Settings\user\Local Settings\Application Data\{набор случайных букв}\{набор случайных букв}.exe
O4 – HKCU\..\Run: [{набор случайных букв}] C:\Documents and Settings\user\Local Settings\Application Data\{набор случайных букв}\{набор случайных букв}.exe

Пример показан ниже:

Закройте все запущенные программы (включая Internet Explorer) и окна Windows. Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES. Закройте HijackThis.

Шаг 2

Скачайте инсталлятор (mbam-setup.exe) бесплатной антиспайварной программы Malwarebytes Anti-Malware. Закройте браузер и все открытые окна Windows. Запустите инсталлятор, выберите язык установки и следуйте указаниям, которые будут появляться на экране. По-окончании установки, проверьте что выбрано: автоматическое обновление, автоматический запуск программы по-завершению работы инсталлятора. Когда Malwarebytes Anti-malware установится и запустится, перед вами откроется главное окно программы, как показано ниже.

Откройте вкладку Сканер (она выбрана по-умолчанию) и кликните по кнопке Проверить. Процесс сканирования может занять продолжительное время, поэтому наберитесь терпения. По-окончании сканирования, будет показано сообщение аналогичное приведённому ниже.

Кликните OK, затем Показать результаты. Вам будет показан результат сканирования (список заражённых файлов может отличаться от приведённого ниже).

Кликните по кнопке Удалить выделенные для того чтобы запустить процесс удаления AV Security Suite и ассоциированных с этой программой файлов, каталогов и ключей реестра. Malwarebytes Anti-Malware может попросить разрешения перезагрузить компьютер. Разрешите это.

Выполнив эту инструкцию, ваш компьютер должен быть очищен от паразитной программы AV Security Suite. К сожалению, существуют варианты заражения, когда эта вредоносная программа проникает на компьютер в компании множества троянов, с которыми может не справиться Malwarebytes Anti-malware, в этом случае обратитесь на наш антивирусный форум.

Если Malwarebytes Anti-malware вам помогла и вы хотите защитить компьютер от возможного заражения в будущем, то советую вам купить её полную версию. Основное отличие – это наличие модуля защиты компьютера в реальном времени. Купив полную версию программы вы не только защитите компьютер, но и поддержите сайт Spyware-ru.com. Для покупки, перейдите по следующей ссылке: Полная версия программы Malwarebytes Anti-malware.

Ассоциированные с AV Security Suite ключи реестра

HKEY_CURRENT_USER\Software\avsoft
HKEY_CURRENT_USER\Software\avsuite
HKEY_LOCAL_MACHINE\SOFTWARE\avsoft
HKEY_LOCAL_MACHINE\SOFTWARE\avsuite
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\{набор случайных букв}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{набор случайных букв}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyEnable=”1″

Ассоциированные с AV Security Suite файлы и каталоги

%UserProfile%\Local Settings\Application Data\{набор случайных букв}
%UserProfile%\Local Settings\Application Data\{набор случайных букв}\{набор случайных букв}.ex

Как и другие подобные паразитические программы, XJR Antivirus проникает на компьютер посредством троянов, которые в свою очередь используют уязвимости в уже установленных программах (наиболее часто в Adobe Flash Player, Adobe Acrobat Reader, Internet Explorer) для взлома системы безопасности компьютера. Когда такой троян заразит ваш компьютер, то он скачивает и устанавливает XJR Antivirus абсолютно невидимо и без какого-либо вашего разрешения.

Вредоносная программа XJR Antivirus состоит из трёх основных компонентов. Это svchost.exe, XJR Antivirus.exe и alggui.exe. Первый компонент запускается автоматически в виде сервиса AdbUpd, каждый раз когда вы запускаете Windows. Затем он уже в свю очередь запускает программу XJR Antivirus.exe. Эта программа реализует графический интерфейс поддельной антиспайварной программы который вы наблюдаете на экране вашего компьютера. Всё что вам будет показано, а именно нахождение множества вирусов, троянов и тд, является подделкой, так как эта программа не в состоянии как найти заражённые файлы, так и вылечить их. Последний, но тем не менее очень важный компонент это alggui.exe. Он подменяет собой стандартную ассоциацию файлов с расширением .exe (практически все программы), таким образом, что, после заражения, при попытке запуска любой программы с расширением .exe будет запускаться программа alggui.exe, которая блокирует запуск нужной вам программы и кроме этого показывает сообщение, что эта программа заражена опасным вирусом. Текст сообщения имеет следующий вид:

Warning!
Running of application is impossible.
The file C:\Windows\System32\notepad.exe is infected.

Please activate your antivirus program.

Конечно это сообщение подделка, ему не следует доверять, как в общем то и всему что вам будет показывать программа XJR Antivirus.

Из сказанного выше очевидно, XJR Antivirus является опасной программой, присутствие которой на вашем компьютере абсолютно нежелательно. При первых симптомах заражения прекратите пользоваться компьютером для совершения каких-либо действий, начиная от редактирования документов и заканчивая покупками в интернете. Вам нужно как можно быстрее удалить этот поддельный антивирус. Для этого воспользуйтесь ниже приведённой инструкцией, которая поможет вам удалить XJR Antivirus и трояны, которые могли проникнуть на ваш компьютер вместе с этой вредоносной программой.

HijackThis показывает заражение

O2 – BHO: ADC PlugIn – {149256D5-E103-4523-BB43-2CFB066839D6} – C:\Program Files\adc_w32.dll
O23 – Service: Adobe Update Service (AdbUpd) – Unknown owner – C:\Program Files\svchost.exe

Как удалить XJR Antivirus

Кликните Пуск, Выполнить. Введите command и нажмите Enter. В открывшемся чёрном окне введите notepad и нажмите Enter.

Запустится блокнот. Вставьте в него следующий текст:

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

Запишите получившийся файл на ваш рабочий стол под именем fix.reg. При этом в диалоге Сохранить как, не забудьте выбрать тип файлов Все файлы. Закройте блокнот.

Кликните дважды по созданному нами файлу, появится запрос о подтверждении добавления информации в реестр, кликните Да. Перезагрузите компьютер.

Скачайте инсталлятор (mbam-setup.exe) бесплатной антиспайварной программы Malwarebytes Anti-Malware. Закройте браузер и все открытые окна Windows. Запустите инсталлятор, выберите язык установки и следуйте указаниям, которые будут появляться на экране. По-окончании установки, проверьте что выбрано: автоматическое обновление, автоматический запуск программы по-завершению работы инсталлятора. Когда Malwarebytes Anti-malware установится и запустится, перед вами откроется главное окно программы, как показано ниже.

Откройте вкладку Сканер (она выбрана по-умолчанию) и кликните по кнопке Проверить. Процесс сканирования может занять продолжительное время, поэтому наберитесь терпения. По-окончании сканирования, будет показано сообщение аналогичное приведённому ниже.

Кликните OK, затем Показать результаты. Вам будет показан результат сканирования (список заражённых файлов может отличаться от приведённого ниже).

Кликните по кнопке Удалить выделенные для того чтобы запустить процесс удаления XJR Antivirus и ассоциированных с этой программой файлов, каталогов и ключей реестра. Malwarebytes Anti-Malware может попросить разрешения перезагрузить компьютер. Разрешите это.

Выполнив эту инструкцию, ваш компьютер должен быть очищен от паразитной программы XJR Antivirus. К сожалению, существуют варианты заражения, когда эта вредоносная программа проникает на компьютер в компании множества троянов, с которыми может не справиться Malwarebytes Anti-malware, в этом случае обратитесь на наш антивирусный форум.

Если Malwarebytes Anti-malware вам помогла и вы хотите защитить компьютер от возможного заражения в будущем, то советую вам купить её полную версию. Основное отличие – это наличие модуля защиты компьютера в реальном времени. Купив полную версию программы вы не только защитите компьютер, но и поддержите сайт Spyware-ru.com. Для покупки, перейдите по следующей ссылке: Полная версия программы Malwarebytes Anti-malware.

Ассоциированные с XJR Antivirus ключи реестра

HKEY_USERS\.DEFAULT\Software\XJR Antivirus
HKEY_CURRENT_USER\Software\XJR Antivirus
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{149256D5-E103-4523-BB43-2CFB066839D6}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{149256D5-E103-4523-BB43-2CFB066839D6}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ADBUPD
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AdbUpd
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd

Ассоциированные с XJR Antivirus файлы и каталоги

C:\XJR Antivirus
C:\XJR Antivirus.lnk
C:\Program Files\XJR Antivirus
%UserProfile%\Start Menu\Programs\XJR Antivirus
C:\Program Files\XJR Antivirus\XJR Antivirus.exe
%UserProfile%\Start Menu\Programs\XJR Antivirus\XJR Antivirus.lnk
%UserProfile%\Desktop\XJR Antivirus.lnk
C:\Program Files\adc_w32.dll
C:\Program Files\alggui.exe
C:\Program Files\svchost.exe
C:\XJR Antivirus\XJR Antivirus.lnk

Когда такой троян будет запущен, то он связывается с сервером на котором хранятся компоненты My Security Engine, скачивает их и устанавливает на компьютер. Затем он регистрирует My Security Engine в реестре Windows, создавая запись в ключе, который определяет программы запускаемые автоматически. Но это ещё не всё, далее этот троян создаёт множество поддельных заражённых файлов, которые позднее My Security Engine в процессе сканирования определит как вирусы, трояны и тд. Конечно, не стоит доверять таким результатам, они – подделка, а само сканирование – хорошо выполненная имитация. Таким образом, вы можете смело игнорировать всё что вам покажет My Security Engine.

Для создания более полной видимости заражённого компьютера, My Security Engine будет постоянно показывать разнообразные поддельные предупреждения, которые исходят от него самого, так и от якобы системы безопасного Windows. Несколько примеров таких сообщений:

Warning
Warning! Virus detected

System alert
Click here to remove all potentially harmful programs found
immediately using My Security Engine.

Как уже было сказано выше, все эти сообщения подделка, просто игнорируйте их.

Кроме описанного выше, My Security Engine может блокировать запуск диспетчера задач и работу большинства антивирусных и антиспайварных программ, обеспечивая таким образом защиту себя от удаления.

Если ваш компьютер заражён этой вредоносной программой, то в первую очередь не паникуйте. Не покупайте «полную» версию этой программы, так как она не может выполнять ни одну из функций антивирусных или антиспайварных программ: не может найти вирусы и трояны, не может их удалить, и конечно же не сможет защитить ваш компьютер от возможного заражения в будущем. Воспользуйтесь ниже приведённой инструкцией для удаления My Security Engine и других вредоносных программ, которые могли попасть на ваш компьютер вместе с ней.

HijackThis показывает заражение

O4 – HKCU\..\Run: [My Security Engine] “C:\Documents and Settings\All Users\Application Data\9be96\MS515.exe” /s /d

Как удалить My Security Engine

Скачайте бесплатную антиспайварную программу Malwarebytes Anti-Malware и установите её на компьютер. По-окончании установки, проверьте что выбрано: автоматическое обновление, автоматический запуск программы по-завершению работы инсталлятора. Когда Malwarebytes Anti-malware установится и запустится, перед вами откроется главное окно программы, как показано ниже.

Откройте вкладку Сканер (она выбрана по-умолчанию) и кликните по кнопке Проверить. Программа запустит процесс сканирования компьютер на предмет наличия разнообразных вредоносных программ и их компонентов. При быстром сканировании программа проверяет только наиболее важные части операционной системы, но даже в этом случае, процесс сканирования может занять довольно много времени, так что наберитесь терпения.

Когда сканирование закончиться кликните OK, а затем по кнопке Показать результаты. Вам будет показан результат сканирования (список найденных объектов может отличаться от приведённого ниже).

Кликните по кнопке Удалить выделенные для того чтобы запустить процесс удаления My Security Engine и ассоциированных с My Security Engine файлов, каталогов и ключей реестра. Когда процесс удаления закончиться, Malwarebytes Anti-Malware может попросить разрешения перезагрузить компьютер. Разрешите ей это действие, кликнув по кнопке YES/Да.

Выполнив эту инструкцию, ваш компьютер должен быть очищен от паразитной программы My Security Engine. К сожалению, существуют варианты заражения, когда эта вредоносная программа проникает на компьютер в компании множества троянов, с которыми может не справиться Malwarebytes Anti-malware, в этом случае обратитесь на наш антивирусный форум.

Раз вы обнаружили на своём компьютере My Security Engine, то это повод задуматься, всё ли нормально с вашей антивирусной и антиспайварной защитой, обновлены ли программы до последних версий. В первую очередь обратите внимание на то, что у вас включено автоматическое обновление Windows и все доступные обновления уже установлены. Если вы не уверены, то вам необходимо посетить сайт Windows Update, где вам подскажут как и что нужно обновить в Windows. Кроме этого обязательно проверьте что у вас установлены последние версии следующих программ: Java JRE, Adobe Acrobat Reader, Adobe Flash Player. Если это не так, то обязательно их обновите. Кроме этого советую вам приобрести полную версию программы Malwarebytes Anti-malware которая поможет вам защитить компьютер от возможного заражения в будущем. Основное отличие полной версии от бесплатной – это наличие модуля защиты компьютера в реальном времени. Купив полную версию программы вы так же поддержите мой сайт Spyware-ru.com. Для покупки, перейдите по следующей ссылке: Полная версия программы Malwarebytes Anti-malware.

Ассоциированные с My Security Engine ключи реестра

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | my security engine
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes | URL = “http://findgala.com/?&uid=1002&q={searchTerms}”
HKEY_CURRENT_USER\Software\Classes\Software\Microsoft\Internet Explorer\SearchScopes | URL = “http://findgala.com/?&uid=1002&q={searchTerms}”
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download | RunInvalidSignatures = “1″
HKEY_CLASSES_ROOT\Software\Microsoft\Internet Explorer\SearchScopes | URL = “http://findgala.com/?&uid=1002&q={searchTerms}”

Ассоциированные с My Security Engine файлы и каталоги

%UserProfile%\Application Data\My Security Engine
%UserProfile%\Application Data\My Security Engine\cookies.sqlite
%UserProfile%\Desktop\My Security Engine.lnk
%UserProfile%\Start Menu\My Security Engine.lnk
%UserProfile%\Application Data\My Security Engine\Instructions.ini
%UserProfile%\Start Menu\Programs\My Security Engine.lnk
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\My Security Engine.lnk
C:\Documents and Settings\All Users\Application Data\9be96\MS515.exe