В процессе установки My Security Shield прописывается в автозагрузку, создавая запись с именем «My Security Shield» в ключе «HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run», таким образом обеспечивая себе автоматическую загрузку при каждом запуске операционной системы. Далее программа добавляет несколько строчек в системный файл HOSTS. Благодаря этому вместо сайтов Google, MSN, Yahoo и некоторых других пользователю будут показываться их хорошо выполненные имитации. И последнее, но не менее важное, этот паразит создаёт несколько совершенно безобидных файлов, их значение довольно важно и будет показано ниже.

По-окончании процедуры установки, My Security Shield приступает к сканированию компьютера, в процессе которого находит вирусы, трояны и тд. Самое интересное то, что программа помечает заражёнными те файлы, которые сама создала раннее в процессе установки. Таким образом, эти результаты сканирования – подделка, их можно и нужно игнорировать.

Чтобы ещё больше напугать пользователя, My Security Shield во время своей работы будет активно показывать множество вводящих в заблуждение сообщений, несколько примеров ниже:

Warning
Warning! Virus detected

Warning!Spambot detected!
Attention! A spambot sending viruses to your e-mail contacts has been detected
on your PC.

Warning! Identity theft attempt detected
Hidden connection IP: 128.154.26.11
Target: Microsoft Corporation keys

Как и результаты сканирования, все эти сообщения подделка и их нужно игнорировать.

Таким образом, очевидно, присутствие My Security Shield не только не желательно, но и опасно, так как может привести к полной неработоспособности компьютера. Нужно помнить что эта программа не может ни удалять вирусы и трояны, ни защитить ваш компьютер от их проникновения, а создана лишь с одной целью – заставить вас купить её полную (платную) версию. Так что ни коем случае не покупайте её, вмести этого, воспользуйтесь ниже приведённой инструкцией для удаления этой поддельной антивирусной программы и других паразитов, которые могли проникнуть на ваш компьютер вместе с ней.

HijackThis показывает заражение

O4 – HKCU\..\Run: [My Security Shield] «C:\Documents and Settings\All Users\Application Data\fc1feb0\MSfc1f_2121.exe» /s /d

Как удалить My Security Shield

Скачайте инсталлятор (mbam-setup.exe) бесплатной антиспайварной программы Malwarebytes Anti-Malware. Закройте браузер и все открытые окна Windows. Запустите инсталлятор, выберите язык установки и следуйте указаниям, которые будут появляться на экране. По-окончании установки, проверьте что выбрано: автоматическое обновление, автоматический запуск программы по-завершению работы инсталлятора. Когда Malwarebytes Anti-malware установится и запустится, перед вами откроется главное окно программы, как показано ниже.

Откройте вкладку Сканер (она выбрана по-умолчанию) и кликните по кнопке Проверить. Процесс сканирования может занять продолжительное время, поэтому наберитесь терпения. По-окончании сканирования, будет показано сообщение аналогичное приведённому ниже.

Кликните OK, затем Показать результаты. Вам будет показан результат сканирования (список заражённых файлов может отличаться от приведённого ниже).

Кликните по кнопке Удалить выделенные для того чтобы запустить процесс удаления My Security Shield и ассоциированных с этой программой файлов, каталогов и ключей реестра. Malwarebytes Anti-Malware может попросить разрешения перезагрузить компьютер. Разрешите это.

Вредоносная программа My Security Shield так же изменяет системный файл HOSTS, поэтому нужно восстановить его исходное значение.

Скачайте OTM by OldTimer кликнув по этой ссылке. Запустите программу и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.

:Commands
[resethosts]

Кликните по кнопке MoveIt!. Закройте программу OTM.

Выполнив эту инструкцию, ваш компьютер должен быть очищен от паразитной программы My Security Shield. К сожалению, существуют варианты заражения, когда эта вредоносная программа проникает на компьютер в компании множества троянов, с которыми может не справиться Malwarebytes Anti-malware, в этом случае обратитесь на наш антивирусный форум.

Если Malwarebytes Anti-malware вам помогла и вы хотите защитить компьютер от возможного заражения в будущем, то советую вам купить её полную версию. Основное отличие – это наличие модуля защиты компьютера в реальном времени. Купив полную версию программы вы не только защитите компьютер, но и поддержите сайт Spyware-ru.com. Для покупки, перейдите по следующей ссылке: Полная версия программы Malwarebytes Anti-malware.

Ассоциированные с My Security Shield ключи реестра

HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes | URL = “http://findgala.com/?&uid=1002&q={searchTerms}”
HKEY_CURRENT_USER\Software\Classes\Software\Microsoft\Internet Explorer\SearchScopes | URL = “http://findgala.com/?&uid=1002&q={searchTerms}”
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download | RunInvalidSignatures = “1″
HKEY_CLASSES_ROOT\Software\Microsoft\Internet Explorer\SearchScopes | URL = “http://findgala.com/?&uid=1002&q={searchTerms}”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run | my security shield

Ассоциированные с My Security Shield файлы и каталоги

C:\Documents and Settings\All Users\Application Data\{RANDOM}
C:\Documents and Settings\All Users\Application Data\{RANDOM}\MS{RANDOM}.exe
%UserProfile%\Application Data\My Security Shield
%UserProfile%\Application Data\My Security Shield\cookies.sqlite
%UserProfile%\Desktop\My Security Shield.lnk
%UserProfile%\Start Menu\My Security Shield.lnk
%UserProfile%\Application Data\My Security Shield\Instructions.ini
%UserProfile%\Start Menu\Programs\My Security Shield.lnk
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\My Security Shield.lnk

Поведение этого паразита на компьютере стандартно для такого класса программ. При первом запуске Antivir Solution Pro совершает несколько действий, среди них основные:
1. прописывается в автозагрузку, для этого он создаёт несколько записей со случайными именами в «HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run» и «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run» ключах реестра Windows.
2. устанавливает на компьютере скрытый прокси сервер и настраивает все установленные браузеры таким образом, чтобы они направляли все запросы в Интернет через него.

Когда этап установки закончен программа приступает к сканированию компьютера и в его процессе находит множество заражённых файлов, троянов, вирусов и тд, причём удалить их нельзя, предварительно нужно купить «полную» версию программы. В реальности результаты сканирования, как и сам процесс сканирования – это подделка. Программа находит то, чего нет на компьютере. Компьютер заражён только одним паразитом – это сама программа Antivir Solution Pro.

Чтобы ещё больше запугать пользователя и заставить его поверить в то, что компьютер заражён, Antivir Solution Pro будет показывать множество разнообразных сообщений, предупреждений и всплывающих окон, смысл которых можно свести к одному – компьютер заражён. Несколько примеров таких сообщений:

Windows Security alert. Windows reports that computer is infected. Antivirus software helps to protect your computer against viruses and other security threats. Click here for the scan your computer. Your system might be at risk now.

Windows Security alert. Application cannot be executed. The file {имя программы} is infected. Do you want to activate your antvirus software now?

Кроме этого, Antivir Solution Pro может блокировать запуск любой программы или открытие любого сайта, при этом сообщается что запускаемый файл (сайт) заражён опасным вирусом или трояном:

Application cannot be executed. The file {имя программы} is infected. Do you want to activate your antivirus software now.

Internet Explorer Warning – visiting this web site may harm your computer!

Конечно не верьте всему что вам будет показывать эта программа и компьютер, который заражён ею. Присутствие Antivir Solution Pro не только не желательно, но и опасно, так как может привести к полной неработоспособности компьютера. Нужно помнить что эта программа – вредный компьютерный паразит, который полностью не функционален, как антивирусная и антиспайварная программа, и создан лишь с одной целью – заставить вас купить её полную (платную) версию. Так что ни коем случае не покупайте её, вмести этого, воспользуйтесь ниже приведённой инструкцией для удаления этой поддельной антивирусной программы и других паразитов, которые могли проникнуть на ваш компьютер вместе с ней.

HijackThis показывает заражение

R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:{набор случайных цифр}
O4 – HKLM\..\Run: [{набор случайных букв}] C:\Documents and Settings\user\Local Settings\Application Data\{набор случайных букв}\{набор случайных букв}.exe
O4 – HKCU\..\Run: [{набор случайных букв}] C:\Documents and Settings\user\Local Settings\Application Data\{набор случайных букв}\{набор случайных букв}.exe

Инструкция по-удалению Antivir Solution Pro

Шаг 1

Скачайте программу HijackThis кликнув по этой ссылке, но в диалоге сохранения файла измените имя HijackThis.exe на iexplore.exe, после чего сохраните файл на ваш рабочий стол.

Если вы не можете скачать HijackThis, то попробуйте отключить использование прокси сервера в настройках Internet Explorer. Для этого запустите Internet Explorer, кликните Сервис, затем Свойства обозревателя. Здесь откройте вкладку Подключения и кликните по кнопке Настройка параметров локальной сети (LAN). В открывшемся окне снимите галочку в пункте Использовать прокси сервер. Кликните ОК и ещё раз ОК.

Кликните дважды по скачанному вами файлу для запуска программы. Откроется главное меню. Кликните по кнопке Do a system scan only.

Выделите галочками слева все строки имеющие следующий формат:

R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:{набор случайных цифр}
O4 – HKLM\..\Run: [{набор случайных букв}] C:\Documents and Settings\user\Local Settings\Application Data\{набор случайных букв}\{набор случайных букв}.exe
O4 – HKCU\..\Run: [{набор случайных букв}] C:\Documents and Settings\user\Local Settings\Application Data\{набор случайных букв}\{набор случайных букв}.exe

Пример показан ниже:

Закройте все запущенные программы (включая Internet Explorer) и окна Windows. Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES. Закройте HijackThis.

Шаг 2

Скачайте бесплатную антиспайварную программу Malwarebytes Anti-Malware и установите её на компьютер. По-окончании установки, проверьте что выбрано: автоматическое обновление, автоматический запуск программы по-завершению работы инсталлятора. Когда Malwarebytes Anti-malware установится и запустится, перед вами откроется главное окно программы, как показано ниже.

Откройте вкладку Сканер (она выбрана по-умолчанию) и кликните по кнопке Проверить. Программа запустит процесс сканирования компьютер на предмет наличия разнообразных вредоносных программ и их компонентов. При быстром сканировании программа проверяет только наиболее важные части операционной системы, но даже в этом случае, процесс сканирования может занять довольно много времени, так что наберитесь терпения.

Когда сканирование закончиться кликните OK, а затем по кнопке Показать результаты. Вам будет показан результат сканирования (список найденных объектов может отличаться от приведённого ниже).

Кликните по кнопке Удалить выделенные для того чтобы запустить процесс удаления Antivir Solution Pro и ассоциированных с Antivir Solution Pro файлов, каталогов и ключей реестра. Когда процесс удаления закончиться, Malwarebytes Anti-Malware может попросить разрешения перезагрузить компьютер. Разрешите ей это действие, кликнув по кнопке YES/Да.

Выполнив эту инструкцию, ваш компьютер должен быть очищен от паразитной программы Antivir Solution Pro. К сожалению, существуют варианты заражения, когда эта вредоносная программа проникает на компьютер в компании множества троянов, с которыми может не справиться Malwarebytes Anti-malware, в этом случае обратитесь на наш антивирусный форум.

Раз вы обнаружили на своём компьютере Antivir Solution Pro, то это повод задуматься, всё ли нормально с вашей антивирусной и антиспайварной защитой, обновлены ли программы до последних версий. В первую очередь обратите внимание на то, что у вас включено автоматическое обновление Windows и все доступные обновления уже установлены. Если вы не уверены, то вам необходимо посетить сайт Windows Update, где вам подскажут как и что нужно обновить в Windows. Кроме этого обязательно проверьте что у вас установлены последние версии следующих программ: Java JRE, Adobe Acrobat Reader, Adobe Flash Player. Если это не так, то обязательно их обновите. Кроме этого советую вам приобрести полную версию программы Malwarebytes Anti-malware которая поможет вам защитить компьютер от возможного заражения в будущем. Основное отличие полной версии от бесплатной – это наличие модуля защиты компьютера в реальном времени. Купив полную версию программы вы так же поддержите мой сайт Spyware-ru.com. Для покупки, перейдите по следующей ссылке: Полная версия программы Malwarebytes Anti-malware.

Ассоциированные с Antivir Solution Pro ключи реестра

HKEY_CURRENT_USER\Software\avsoft
HKEY_CURRENT_USER\Software\avsuite
HKEY_LOCAL_MACHINE\SOFTWARE\avsoft
HKEY_LOCAL_MACHINE\SOFTWARE\avsuite
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\{набор случайных букв}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{набор случайных букв}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyEnable=”1″

Ассоциированные с Antivir Solution Pro файлы и каталоги

%UserProfile%\Local Settings\Application Data\{набор случайных букв}
%UserProfile%\Local Settings\Application Data\{набор случайных букв}\{набор случайных букв}.ex

При своём первом запуске, AV Security Suite создаёт две записи, которые имеют имена в виде набора случайных символов, в «HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run» и «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run» ключах реестра Windows, таким образом позволяя себе запускаться автоматически при каждой загрузке Windows, после чего программа «засыпает». Она активируется только после перезагрузки Windows. Далее AV Security Suite приступает к сканированию компьютера, результатом которого является нахождения большого количества троянов, вирусов, червей и т.д. Эти результаты – подделка, а сканирование – имитация. В реальности эта вредоносная программа не имеет возможности обнаруживать и удалять вирусы и трояны, как и не сможет вас защитить от возможного заражения в будущем. Таким образом, смело игнорируйте всё, что эта паразитная программа будет показывать вам.

Чтобы ещё больше убедить пользователя, что его компьютер заражён опасными вирусами, всё время пока AV Security Suite запущен, пользователь будет видеть множество поддельных предупреждений и всплывающих окон, которые сообщают о том, что компьютер заражён и предлагают активировать или купить полную версию этой поддельной антиспайварной программы. Пример таких сообщений:

Spyware alert
Application cannot be executed. The file rundll32.exe is
infected.
Do you want to activate your antivirus software now?

Windows Security alert
Windows reports that computer is infected. Antivirus software
helps to protect your computer against viruses and other
security threats. Click here for the scan your computer. Your
system might be at risk now.

Кроме этого, AV Security Suite может блокировать запуск любой программы, при этом сообщается что запускаемый файл заражён опасным вирусом или трояном. Пример такого сообщения ниже:

Application cannot be executed. The file {имя программы} is infected.
Do you want to activate your antivirus software now.

Но и это ещё не всё, эта вредоносная программа так же изменяет настройки установленных браузеров (настройки прокси сервера), благодаря чему, может быть заблокирован доступ к любому сайту. Вместо него будет отображаться страничка с сообщением, что посещаемый сайт не безопасен и может повредить компьютер. Конечно, все эти сообщения и предупреждения подделка и как результаты сканирования должны игнорироваться.

Из сказано выше очевидно, присутствие AV Security Suite не только не желательно, но и опасно, так как может привести к полной неработоспособности компьютера. Нужно помнить что эта программа – вредный компьютерный паразит, который полностью не функционален, как антивирусная и антиспайварная программа, и создан лишь с одной целью – выманить ваши деньги. Так что ни коем случае не покупайте её «полную» версию, вмести этого, воспользуйтесь ниже приведённой инструкцией для удаления AV Security Suite и других вредоносных программ, которые могли проникнуть на ваш компьютер вместе с ней.

HijackThis показывает заражение

R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:{набор случайных цифр}
O4 – HKLM\..\Run: [{набор случайных букв}] C:\Documents and Settings\user\Local Settings\Application Data\{набор случайных букв}\{набор случайных букв}.exe
O4 – HKCU\..\Run: [{набор случайных букв}] C:\Documents and Settings\user\Local Settings\Application Data\{набор случайных букв}\{набор случайных букв}.exe

Как удалить AV Security Suite

Шаг 1

Скачайте программу HijackThis кликнув по этой ссылке, но в диалоге сохранения файла измените имя HijackThis.exe на iexplore.exe, после чего сохраните файл на ваш рабочий стол.

Если вы не можете скачать HijackThis, то попробуйте отключить использование прокси сервера в настройках Internet Explorer. Для этого запустите Internet Explorer, кликните Сервис, затем Свойства обозревателя. Здесь откройте вкладку Подключения и кликните по кнопке Настройка параметров локальной сети (LAN). В открывшемся окне снимите галочку в пункте Использовать прокси сервер. Кликните ОК и ещё раз ОК.

Кликните дважды по скачанному вами файлу для запуска программы. Откроется главное меню. Кликните по кнопке Do a system scan only.

Выделите галочками слева все строки имеющие следующий формат:

R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:{набор случайных цифр}
O4 – HKLM\..\Run: [{набор случайных букв}] C:\Documents and Settings\user\Local Settings\Application Data\{набор случайных букв}\{набор случайных букв}.exe
O4 – HKCU\..\Run: [{набор случайных букв}] C:\Documents and Settings\user\Local Settings\Application Data\{набор случайных букв}\{набор случайных букв}.exe

Пример показан ниже:

Закройте все запущенные программы (включая Internet Explorer) и окна Windows. Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES. Закройте HijackThis.

Шаг 2

Скачайте инсталлятор (mbam-setup.exe) бесплатной антиспайварной программы Malwarebytes Anti-Malware. Закройте браузер и все открытые окна Windows. Запустите инсталлятор, выберите язык установки и следуйте указаниям, которые будут появляться на экране. По-окончании установки, проверьте что выбрано: автоматическое обновление, автоматический запуск программы по-завершению работы инсталлятора. Когда Malwarebytes Anti-malware установится и запустится, перед вами откроется главное окно программы, как показано ниже.

Откройте вкладку Сканер (она выбрана по-умолчанию) и кликните по кнопке Проверить. Процесс сканирования может занять продолжительное время, поэтому наберитесь терпения. По-окончании сканирования, будет показано сообщение аналогичное приведённому ниже.

Кликните OK, затем Показать результаты. Вам будет показан результат сканирования (список заражённых файлов может отличаться от приведённого ниже).

Кликните по кнопке Удалить выделенные для того чтобы запустить процесс удаления AV Security Suite и ассоциированных с этой программой файлов, каталогов и ключей реестра. Malwarebytes Anti-Malware может попросить разрешения перезагрузить компьютер. Разрешите это.

Выполнив эту инструкцию, ваш компьютер должен быть очищен от паразитной программы AV Security Suite. К сожалению, существуют варианты заражения, когда эта вредоносная программа проникает на компьютер в компании множества троянов, с которыми может не справиться Malwarebytes Anti-malware, в этом случае обратитесь на наш антивирусный форум.

Если Malwarebytes Anti-malware вам помогла и вы хотите защитить компьютер от возможного заражения в будущем, то советую вам купить её полную версию. Основное отличие – это наличие модуля защиты компьютера в реальном времени. Купив полную версию программы вы не только защитите компьютер, но и поддержите сайт Spyware-ru.com. Для покупки, перейдите по следующей ссылке: Полная версия программы Malwarebytes Anti-malware.

Ассоциированные с AV Security Suite ключи реестра

HKEY_CURRENT_USER\Software\avsoft
HKEY_CURRENT_USER\Software\avsuite
HKEY_LOCAL_MACHINE\SOFTWARE\avsoft
HKEY_LOCAL_MACHINE\SOFTWARE\avsuite
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\{набор случайных букв}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{набор случайных букв}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyEnable=”1″

Ассоциированные с AV Security Suite файлы и каталоги

%UserProfile%\Local Settings\Application Data\{набор случайных букв}
%UserProfile%\Local Settings\Application Data\{набор случайных букв}\{набор случайных букв}.ex

Как и другие подобные паразитические программы, XJR Antivirus проникает на компьютер посредством троянов, которые в свою очередь используют уязвимости в уже установленных программах (наиболее часто в Adobe Flash Player, Adobe Acrobat Reader, Internet Explorer) для взлома системы безопасности компьютера. Когда такой троян заразит ваш компьютер, то он скачивает и устанавливает XJR Antivirus абсолютно невидимо и без какого-либо вашего разрешения.

Вредоносная программа XJR Antivirus состоит из трёх основных компонентов. Это svchost.exe, XJR Antivirus.exe и alggui.exe. Первый компонент запускается автоматически в виде сервиса AdbUpd, каждый раз когда вы запускаете Windows. Затем он уже в свю очередь запускает программу XJR Antivirus.exe. Эта программа реализует графический интерфейс поддельной антиспайварной программы который вы наблюдаете на экране вашего компьютера. Всё что вам будет показано, а именно нахождение множества вирусов, троянов и тд, является подделкой, так как эта программа не в состоянии как найти заражённые файлы, так и вылечить их. Последний, но тем не менее очень важный компонент это alggui.exe. Он подменяет собой стандартную ассоциацию файлов с расширением .exe (практически все программы), таким образом, что, после заражения, при попытке запуска любой программы с расширением .exe будет запускаться программа alggui.exe, которая блокирует запуск нужной вам программы и кроме этого показывает сообщение, что эта программа заражена опасным вирусом. Текст сообщения имеет следующий вид:

Warning!
Running of application is impossible.
The file C:\Windows\System32\notepad.exe is infected.

Please activate your antivirus program.

Конечно это сообщение подделка, ему не следует доверять, как в общем то и всему что вам будет показывать программа XJR Antivirus.

Из сказанного выше очевидно, XJR Antivirus является опасной программой, присутствие которой на вашем компьютере абсолютно нежелательно. При первых симптомах заражения прекратите пользоваться компьютером для совершения каких-либо действий, начиная от редактирования документов и заканчивая покупками в интернете. Вам нужно как можно быстрее удалить этот поддельный антивирус. Для этого воспользуйтесь ниже приведённой инструкцией, которая поможет вам удалить XJR Antivirus и трояны, которые могли проникнуть на ваш компьютер вместе с этой вредоносной программой.

HijackThis показывает заражение

O2 – BHO: ADC PlugIn – {149256D5-E103-4523-BB43-2CFB066839D6} – C:\Program Files\adc_w32.dll
O23 – Service: Adobe Update Service (AdbUpd) – Unknown owner – C:\Program Files\svchost.exe

Как удалить XJR Antivirus

Кликните Пуск, Выполнить. Введите command и нажмите Enter. В открывшемся чёрном окне введите notepad и нажмите Enter.

Запустится блокнот. Вставьте в него следующий текст:

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

Запишите получившийся файл на ваш рабочий стол под именем fix.reg. При этом в диалоге Сохранить как, не забудьте выбрать тип файлов Все файлы. Закройте блокнот.

Кликните дважды по созданному нами файлу, появится запрос о подтверждении добавления информации в реестр, кликните Да. Перезагрузите компьютер.

Скачайте инсталлятор (mbam-setup.exe) бесплатной антиспайварной программы Malwarebytes Anti-Malware. Закройте браузер и все открытые окна Windows. Запустите инсталлятор, выберите язык установки и следуйте указаниям, которые будут появляться на экране. По-окончании установки, проверьте что выбрано: автоматическое обновление, автоматический запуск программы по-завершению работы инсталлятора. Когда Malwarebytes Anti-malware установится и запустится, перед вами откроется главное окно программы, как показано ниже.

Откройте вкладку Сканер (она выбрана по-умолчанию) и кликните по кнопке Проверить. Процесс сканирования может занять продолжительное время, поэтому наберитесь терпения. По-окончании сканирования, будет показано сообщение аналогичное приведённому ниже.

Кликните OK, затем Показать результаты. Вам будет показан результат сканирования (список заражённых файлов может отличаться от приведённого ниже).

Кликните по кнопке Удалить выделенные для того чтобы запустить процесс удаления XJR Antivirus и ассоциированных с этой программой файлов, каталогов и ключей реестра. Malwarebytes Anti-Malware может попросить разрешения перезагрузить компьютер. Разрешите это.

Выполнив эту инструкцию, ваш компьютер должен быть очищен от паразитной программы XJR Antivirus. К сожалению, существуют варианты заражения, когда эта вредоносная программа проникает на компьютер в компании множества троянов, с которыми может не справиться Malwarebytes Anti-malware, в этом случае обратитесь на наш антивирусный форум.

Если Malwarebytes Anti-malware вам помогла и вы хотите защитить компьютер от возможного заражения в будущем, то советую вам купить её полную версию. Основное отличие – это наличие модуля защиты компьютера в реальном времени. Купив полную версию программы вы не только защитите компьютер, но и поддержите сайт Spyware-ru.com. Для покупки, перейдите по следующей ссылке: Полная версия программы Malwarebytes Anti-malware.

Ассоциированные с XJR Antivirus ключи реестра

HKEY_USERS\.DEFAULT\Software\XJR Antivirus
HKEY_CURRENT_USER\Software\XJR Antivirus
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{149256D5-E103-4523-BB43-2CFB066839D6}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{149256D5-E103-4523-BB43-2CFB066839D6}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ADBUPD
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AdbUpd
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ADBUPD
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AdbUpd

Ассоциированные с XJR Antivirus файлы и каталоги

C:\XJR Antivirus
C:\XJR Antivirus.lnk
C:\Program Files\XJR Antivirus
%UserProfile%\Start Menu\Programs\XJR Antivirus
C:\Program Files\XJR Antivirus\XJR Antivirus.exe
%UserProfile%\Start Menu\Programs\XJR Antivirus\XJR Antivirus.lnk
%UserProfile%\Desktop\XJR Antivirus.lnk
C:\Program Files\adc_w32.dll
C:\Program Files\alggui.exe
C:\Program Files\svchost.exe
C:\XJR Antivirus\XJR Antivirus.lnk

Когда такой троян будет запущен, то он связывается с сервером на котором хранятся компоненты My Security Engine, скачивает их и устанавливает на компьютер. Затем он регистрирует My Security Engine в реестре Windows, создавая запись в ключе, который определяет программы запускаемые автоматически. Но это ещё не всё, далее этот троян создаёт множество поддельных заражённых файлов, которые позднее My Security Engine в процессе сканирования определит как вирусы, трояны и тд. Конечно, не стоит доверять таким результатам, они – подделка, а само сканирование – хорошо выполненная имитация. Таким образом, вы можете смело игнорировать всё что вам покажет My Security Engine.

Для создания более полной видимости заражённого компьютера, My Security Engine будет постоянно показывать разнообразные поддельные предупреждения, которые исходят от него самого, так и от якобы системы безопасного Windows. Несколько примеров таких сообщений:

Warning
Warning! Virus detected

System alert
Click here to remove all potentially harmful programs found
immediately using My Security Engine.

Как уже было сказано выше, все эти сообщения подделка, просто игнорируйте их.

Кроме описанного выше, My Security Engine может блокировать запуск диспетчера задач и работу большинства антивирусных и антиспайварных программ, обеспечивая таким образом защиту себя от удаления.

Если ваш компьютер заражён этой вредоносной программой, то в первую очередь не паникуйте. Не покупайте «полную» версию этой программы, так как она не может выполнять ни одну из функций антивирусных или антиспайварных программ: не может найти вирусы и трояны, не может их удалить, и конечно же не сможет защитить ваш компьютер от возможного заражения в будущем. Воспользуйтесь ниже приведённой инструкцией для удаления My Security Engine и других вредоносных программ, которые могли попасть на ваш компьютер вместе с ней.

HijackThis показывает заражение

O4 – HKCU\..\Run: [My Security Engine] “C:\Documents and Settings\All Users\Application Data\9be96\MS515.exe” /s /d

Как удалить My Security Engine

Скачайте бесплатную антиспайварную программу Malwarebytes Anti-Malware и установите её на компьютер. По-окончании установки, проверьте что выбрано: автоматическое обновление, автоматический запуск программы по-завершению работы инсталлятора. Когда Malwarebytes Anti-malware установится и запустится, перед вами откроется главное окно программы, как показано ниже.

Откройте вкладку Сканер (она выбрана по-умолчанию) и кликните по кнопке Проверить. Программа запустит процесс сканирования компьютер на предмет наличия разнообразных вредоносных программ и их компонентов. При быстром сканировании программа проверяет только наиболее важные части операционной системы, но даже в этом случае, процесс сканирования может занять довольно много времени, так что наберитесь терпения.

Когда сканирование закончиться кликните OK, а затем по кнопке Показать результаты. Вам будет показан результат сканирования (список найденных объектов может отличаться от приведённого ниже).

Кликните по кнопке Удалить выделенные для того чтобы запустить процесс удаления My Security Engine и ассоциированных с My Security Engine файлов, каталогов и ключей реестра. Когда процесс удаления закончиться, Malwarebytes Anti-Malware может попросить разрешения перезагрузить компьютер. Разрешите ей это действие, кликнув по кнопке YES/Да.

Выполнив эту инструкцию, ваш компьютер должен быть очищен от паразитной программы My Security Engine. К сожалению, существуют варианты заражения, когда эта вредоносная программа проникает на компьютер в компании множества троянов, с которыми может не справиться Malwarebytes Anti-malware, в этом случае обратитесь на наш антивирусный форум.

Раз вы обнаружили на своём компьютере My Security Engine, то это повод задуматься, всё ли нормально с вашей антивирусной и антиспайварной защитой, обновлены ли программы до последних версий. В первую очередь обратите внимание на то, что у вас включено автоматическое обновление Windows и все доступные обновления уже установлены. Если вы не уверены, то вам необходимо посетить сайт Windows Update, где вам подскажут как и что нужно обновить в Windows. Кроме этого обязательно проверьте что у вас установлены последние версии следующих программ: Java JRE, Adobe Acrobat Reader, Adobe Flash Player. Если это не так, то обязательно их обновите. Кроме этого советую вам приобрести полную версию программы Malwarebytes Anti-malware которая поможет вам защитить компьютер от возможного заражения в будущем. Основное отличие полной версии от бесплатной – это наличие модуля защиты компьютера в реальном времени. Купив полную версию программы вы так же поддержите мой сайт Spyware-ru.com. Для покупки, перейдите по следующей ссылке: Полная версия программы Malwarebytes Anti-malware.

Ассоциированные с My Security Engine ключи реестра

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | my security engine
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes | URL = “http://findgala.com/?&uid=1002&q={searchTerms}”
HKEY_CURRENT_USER\Software\Classes\Software\Microsoft\Internet Explorer\SearchScopes | URL = “http://findgala.com/?&uid=1002&q={searchTerms}”
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download | RunInvalidSignatures = “1″
HKEY_CLASSES_ROOT\Software\Microsoft\Internet Explorer\SearchScopes | URL = “http://findgala.com/?&uid=1002&q={searchTerms}”

Ассоциированные с My Security Engine файлы и каталоги

%UserProfile%\Application Data\My Security Engine
%UserProfile%\Application Data\My Security Engine\cookies.sqlite
%UserProfile%\Desktop\My Security Engine.lnk
%UserProfile%\Start Menu\My Security Engine.lnk
%UserProfile%\Application Data\My Security Engine\Instructions.ini
%UserProfile%\Start Menu\Programs\My Security Engine.lnk
%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\My Security Engine.lnk
C:\Documents and Settings\All Users\Application Data\9be96\MS515.exe

Как и другие подобные программы, Antispyware Soft распространяется через трояны, которые проникают на компьютер через разнообразные уязвимости в уже установленных программах. После скрытого проникновения на ваш компьютер, этот троян устанавливает эту поддельную антиспайварную программу, а так же делает несколько изменений в реестре, обеспечивая таким образом автозапуск Antispyware Soft при каждом включении компьютера.

Вредоносное влияние на компьютер программы Antispyware Soft довольно разнообразно. Во-первых этот паразит показывает множество поддельных сообщений о том, что ваш компьютер заражён. Во-вторых, выполняет сканирование компьютера, результатом которого является нахождения множества троянов, вирусов, червей и тд. В-третьих, Antispyware Soft блокирует запуск большинства установленных на компьютере программ. В-четвёртых, эта вредоносная программа меняет настройки прокси сервера установленных браузеров (Internet Explorer, Firefox) таким образом, что вместо сайта который вы ходите открыть, будет показываться сообщение, что отрываемый сайт опасен, так как содержит код, который может заразить ваш компьютер вирусом. Всеми этими действиями, Antispyware Soft пытается создать впечатление что ваш компьютер заражён и таким образом заставить вас купить полную версию этой программы. Не доверяйте ничему, что будет вам показывать эта вредоносная программа. Всё это обман. Просто игнорируйте результаты сканирования, поддельные предупреждения и тд.

Из сказано выше очевидно, присутствие Antispyware Soft не только не желательно, но и опасно, так как может привести к полной неработоспособности компьютера. Нужно помнить что эта программа – подделка, которая полностью не функциональна, как антивирусная и антиспайварная программа, и создана лишь с одной целью – уменьшить количество денег в вашем кошельке. Так что ни коем случае не покупайте её «полную» версию, вмести этого, воспользуйтесь ниже приведённой инструкцией для удаления Antispyware Soft и других вредоносных программ, которые могли проникнуть на ваш компьютер вместе с ней.

HijackThis показывает заражение

O4 – HKLM\..\Run: [{набор случайных букв}] C:\Documents and Settings\user\Local Settings\Application Data\{набор случайных букв}\{набор случайных букв}tssd.exe
O4 – HKCU\..\Run: [{набор случайных букв}] C:\Documents and Settings\user\Local Settings\Application Data\{набор случайных букв}\{набор случайных букв}tssd.exe

Как удалить Antispyware Soft

Шаг 1

Скачайте программу HijackThis кликнув по этой ссылке, но в диалоге сохранения файла измените имя HijackThis.exe на iexplore.exe, после чего сохраните файл на ваш рабочий стол.

Если вы не можете скачать HijackThis, то попробуйте отключить использование прокси сервера в настройках Internet Explorer. Для этого запустите Internet Explorer, кликните Сервис, затем Свойства обозревателя. Здесь откройте вкладку Подключения и кликните по кнопке Натройка LAN. В открывшемся окне снимите галочку в пункте Использовать прокси сервер. Кликните ОК и ещё раз ОК.

Кликните дважды по скачанному вами файлу для запуска программы. Откроется главное меню. Кликните по кнопке Do a system scan only.

Выделите галочками слева все строки имеющие следующий формат:

R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555
O4 – HKLM\..\Run: [{набор случайных букв}] C:\Documents and Settings\user\Local Settings\Application Data\{набор случайных букв}\{набор случайных букв}tssd.exe
O4 – HKCU\..\Run: [{набор случайных букв}] C:\Documents and Settings\user\Local Settings\Application Data\{набор случайных букв}\{набор случайных букв}tssd.exe

Например: O4 – HKLM\..\Run: [ekwdvdwk] C:\Documents and Settings\username\Local Settings\Application Data\username\gxymsytssd.exe, здесь username – это вашей учётной записи (имя пользователя). Нужные строки должны иметь в конце правой части четыре буквы tssd.

Закройте все запущенные программы (включая InternetExplorer) и окна Windows. Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES. Закройте HijackThis.

Шаг 2

Скачайте бесплатную антиспайварную программу Malwarebytes Anti-Malware и установите её на компьютер. По-окончании установки, проверьте что выбрано: автоматическое обновление, автоматический запуск программы по-завершению работы инсталлятора. Когда Malwarebytes Anti-malware установится и запустится, перед вами откроется главное окно программы, как показано ниже.

Откройте вкладку Сканер (она выбрана по-умолчанию) и кликните по кнопке Проверить. Программа запустит процесс сканирования компьютер на предмет наличия разнообразных вредоносных программ и их компонентов. При быстром сканировании программа проверяет только наиболее важные части операционной системы, но даже в этом случае, процесс сканирования может занять довольно много времени, так что наберитесь терпения.

Когда сканирование закончиться кликните OK, а затем по кнопке Показать результаты. Вам будет показан результат сканирования (список найденных объектов может отличаться от приведённого ниже).

Кликните по кнопке Удалить выделенные для того чтобы запустить процесс удаления Antispyware Soft и ассоциированных с Antispyware Soft файлов, каталогов и ключей реестра. Когда процесс удаления закончиться, Malwarebytes Anti-Malware может попросить разрешения перезагрузить компьютер. Разрешите ей это действие, кликнув по кнопке YES/Да.

Выполнив эту инструкцию, ваш компьютер должен быть очищен от паразитной программы Antispyware Soft. К сожалению, существуют варианты заражения, когда эта вредоносная программа проникает на компьютер в компании множества троянов, с которыми может не справиться Malwarebytes Anti-malware, в этом случае обратитесь на наш антивирусный форум.

Раз вы обнаружили на своём компьютере Antispyware Soft, то это повод задуматься, всё ли нормально с вашей антивирусной и антиспайварной защитой, обновлены ли программы до последних версий. В первую очередь обратите внимание на то, что у вас включено автоматическое обновление Windows и все доступные обновления уже установлены. Если вы не уверены, то вам необходимо посетить сайт Windows Update, где вам подскажут как и что нужно обновить в Windows. Кроме этого обязательно проверьте что у вас установлены последние версии следующих программ: Java JRE, Adobe Acrobat Reader, Adobe Flash Player. Если это не так, то обязательно их обновите. Кроме этого советую вам приобрести полную версию программы Malwarebytes Anti-malware которая поможет вам защитить компьютер от возможного заражения в будущем. Основное отличие полной версии от бесплатной – это наличие модуля защиты компьютера в реальном времени. Купив полную версию программы вы так же поддержите мой сайт Spyware-ru.com. Для покупки, перейдите по следующей ссылке: Полная версия программы Malwarebytes Anti-malware.

Ассоциированные с Antispyware Soft ключи реестра

HKEY_CURRENT_USER\Software\AvScan
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\{набор случайных букв}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{набор случайных букв}

Ассоциированные с Antispyware Soft файлы и каталоги

%UserProfile%\Local Settings\Application Data\{набор случайных букв}
%UserProfile%\Local Settings\Application Data\{набор случайных букв}\{набор случайных букв}tssd.exe

Как и другие подобные программы Antivirus Suite использует трояны для распространения. Для проникновения на компьютер эти трояны используют уязвимости в программах уже установленных на компьютере. Это в основном Internet Explorer, Adobe Acrobar Reader (программа необходимая для просмотра pdf файлов) и Adobe Flash Player (дополнение для браузера). Когда такой троян активирован, он сперва себя не проявляет, чтобы пользователь не обнаружил источник его проникновения на компьютер. Но спустя некоторое время, он запускает процедуру загрузки и установки на заражённый компьютер программы Antivirus Suite.

При своём первом запуске, Antivirus Suite в первую очередь создаёт две записи, которые имеют имена в виде набора случайных символов, в «HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run» и «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run» ключах реестра Windows, таким образом позволяя себе запускаться автоматически при каждой загрузке Windows. Когда эта поддельная антиспайварная программа запуститься, она приступает к сканированию компьютера, результатом которого является нахождения большого количества троянов, вирусов, червей и т.д. Эти результаты, как и само сканирование, ни что иное как подделка. В реальности Antivirus Suite не может обнаруживать и удалять вредоносные программы, как и не сможет вас защитить от возможного заражения в будущем. Таким образом, можете смело игнорировать всё, что этот поддельный антивирус будет показывать вам.

Для создания более полной картины того, что компьютер заражён опасными вирусами, Antivirus Suite будет показывать множество поддельных предупреждений и всплывающих окон, которые сообщают о том, что компьютер заражён и предлагают активировать или купить полную версию этой поддельной антиспайварной программы. Кроме этого, Antivirus Suite может блокировать запуск любой программы, при этом сообщается что запускаемый файл заражён опасным вирусом или трояном. Но и это ещё не всё, эта вредоносная программа так же изменяет настройки установленных браузеров (настройки прокси сервера), благодаря чему, может быть заблокирован доступ к любому сайту. Вместо него будет отображаться страничка с сообщением, что посещаемый сайт может повредить компьютер. Конечно, все эти сообщения и предупреждения подделка и как резальтаты сканирования должны игнорироваться.

Очевидно, что присутствие этой программы на вашем компьютере нежелательно, но и опасно. Эта поддельная антиспайварная программа должна быть удалена сразу после обнаружения. Чтобы удалить Antivirus Suite и других компьютерных паразитов, которые могли попасть на комьютер вместе с ней воспользуйтесь ниже приведённой инструкцией.

HijackThis показывает заражение

O4 – HKLM\..\Run: [dksfkjsdj] C:\Documents and Settings\user\Local Settings\Application Data\qiweiquw\ooiqowdtssd.exe
O4 – HKCU\..\Run: [iueriuew] C:\Documents and Settings\user\Local Settings\Application Data\slkdlflklksd\lsdkflsldktssd.exe

Как удалить Antivirus Suite

Шаг 1

Скачайте программу HijackThis кликнув по этой ссылке, но в диалоге сохранения файла измените имя HijackThis.exe на iexplore.exe, после чего сохраните файл на ваш рабочий стол.

Если вы не можете скачать HijackThis, то попробуйте отключить использование прокси сервера в настройках Internet Explorer. Для этого запустите Internet Explorer, кликните Сервис, затем Свойства обозревателя. Здесь откройте вкладку Подключения и кликните по кнопке Натройка LAN. В открывшемся окне снимите галочку в пункте Использовать прокси сервер. Кликните ОК и ещё раз ОК.

Кликните дважды по скачанному вами файлу для запуска программы. Откроется главное меню. Кликните по кнопке Do a system scan only.

Выделите галочками слева все строки имеющие следующий формат:

O4 – HKLM\..\Run: [{набор случайных букв}] C:\Documents and Settings\user\Local Settings\Application Data\{набор случайных букв}\{набор случайных букв}tssd.exe
O4 – HKCU\..\Run: [{набор случайных букв}] C:\Documents and Settings\user\Local Settings\Application Data\{набор случайных букв}\{набор случайных букв}tssd.exe

Например: O4 – HKLM\..\Run: [ekwdvdwk] C:\Documents and Settings\username\Local Settings\Application Data\username\gxymsytssd.exe, здесь username – это вашей учётной записи (имя пользователя). Нужные строки должны иметь в конце правой части четыре буквы tssd.

Закройте все запущенные программы (включая InternetExplorer) и окна Windows. Кликните по кнопке Fix checked и подтвердите свои действия выбрав YES. Закройте HijackThis.

Шаг 2

Скачайте инсталлятор (mbam-setup.exe) бесплатной антиспайварной программы Malwarebytes Anti-Malware. Закройте браузер и все открытые окна Windows. Запустите инсталлятор, выберите язык установки и следуйте указаниям, которые будут появляться на экране. По-окончании установки, проверьте что выбрано: автоматическое обновление, автоматический запуск программы по-завершению работы инсталлятора. Когда Malwarebytes Anti-malware установится и запустится, перед вами откроется главное окно программы, как показано ниже.

Откройте вкладку Сканер (она выбрана по-умолчанию) и кликните по кнопке Проверить. Процесс сканирования может занять продолжительное время, поэтому наберитесь терпения. По-окончании сканирования, будет показано сообщение аналогичное приведённому ниже.

Кликните OK, затем Показать результаты. Вам будет показан результат сканирования (список заражённых файлов может отличаться от приведённого ниже).

Кликните по кнопке Удалить выделенные для того чтобы запустить процесс удаления Antivirus Suite и ассоциированных с этой программой файлов, каталогов и ключей реестра. Malwarebytes Anti-Malware может попросить разрешения перезагрузить компьютер. Разрешите это.

Выполнив эту инструкцию, ваш компьютер должен быть очищен от паразитной программы Antivirus Suite. К сожалению, существуют варианты заражения, когда эта вредоносная программа проникает на компьютер в компании множества троянов, с которыми может не справиться Malwarebytes Anti-malware, в этом случае обратитесь на наш антивирусный форум.

Раз вы обнаружили на своём компьютере Antivirus Suite, то это повод задуматься, всё ли нормально с вашей антивирусной и антиспайварной защитой, обновлены ли программы до последних версий. В первую очередь обратите внимание на то, что у вас включено автоматическое обновление Windows и все доступные обновления уже установлены. Если вы не уверены, то вам необходимо посетить сайт Windows Update, где вам подскажут как и что нужно обновить в Windows. Кроме этого обязательно проверьте что у вас установлены последние версии следующих программ: Java JRE, Adobe Acrobat Reader, Adobe Flash Player. Если это не так, то обязательно их обновите. Кроме этого советую вам приобрести полную версию программы Malwarebytes Anti-malware которая поможет вам защитить компьютер от возможного заражения в будущем. Основное отличие полной версии от бесплатной – это наличие модуля защиты компьютера в реальном времени. Купив полную версию программы вы так же поддержите мой сайт Spyware-ru.com. Для покупки, перейдите по следующей ссылке: Полная версия программы Malwarebytes Anti-malware.

Ассоциированные с Antivirus Suite ключи реестра

HKEY_CURRENT_USER\Software\AvScan
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\{набор случайных букв}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{набор случайных букв}

Ассоциированные с Antivirus Suite файлы и каталоги

%UserProfile%\Local Settings\Application Data\{набор случайных букв}
%UserProfile%\Local Settings\Application Data\{набор случайных букв}\{набор случайных букв}tssd.exe

Программа Your Protection не изобрела новый способ проникновения на компьютер, как и другие подобные паразиты она заражает компьютер с помощью троянов. Когда такой троян запуститься, а делает он это совершенно незаметно, то первое время он себя никак не проявляет, но спустя несколько минут он начинает показывает множество поддельных сообщений о том, что компьютер находится в опасности и срочно требуется установить и активировать антивирус, этот «антивирус» – Your Protection. Даже если вы проигнорируете эти предупреждения, что правильно, этот троян скрытно запустит процедуру загрузки основных компонентов этой поддельной антивирусной программы, а затем и установит её, без вашего разрешения и согласия.

Дальнейшее действия Your Protection на заражённом компьютере не отличаются от других подобных программ, кроме одного. При своём первом запуске эта вредоносная программа сканирует компьютер на наличие уже установленных антивирусных и антиспайварных программ, и, если они обнаружены, требует удалить их под предлогом того, что они могут конфликтовать с ней. Что конечно же является правдой, так как антивирусные программы и предназначены для того чтобы блокировать работу разнообразных паразитных программ. Далее Your Protection создаёт запись в реестре Windows, обеспечивая этим себе автозапуск каждый раз когда вы запускается Windows, а после окончания этой не сложной процедуры запускает имитатора сканирования компьютера. О результатах можно догадаться, эта поддельная антивирусная программа найдет множество заражённых файлов, троянов, червей и так далее, причём чтобы их удалить требуется купить полную версию программы. Конечно же делать этого не нужно, так как эти результаты сканирования являются обманом, который необход для того чтобы вы поверили что ваш компьютер заражён множеством опасных вирусов и троянов.

Дальнейшее поведение Your Protection так же можно предсказать. Если пользователь не поверил сразу в поддельные результаты сканирования, то нужно его хорошенько подтолкнуть. Поэтому всё время пока эта вредоносная программа запущена, она будет показывать множество разнообразных предупреждений, напоминаний, поддельных сообщений от системы безопасности Windows, смысл которых сводиться к одному, компьютер заражён и чтобы его вылечить, купите полную версия программы Your Protection. Ещё раз повторюсь, делать этого не нужно, смело игнорируйте все эти сообщения.

Как вы видите Your Protection это мошенническая программа, которую нужно попытаться удалить сразу после обнаружения на компьютере. Но сделать это не так просто как кажется. Чтобы затруднить процесс удаления этого паразита, да и создать ещё более полное впечатления что компьютер в большой опасности, троян который инсталлирует Your Protection, так же скачивает и устанавливает на компьютер опасный троян из серии TDSS троянов. Этот троян опасен тем, что он может блокировать работу большинства антивирусных и антиспайварных программ, так что они даже не будут запускаться. Но это не всё, троян TDSS может так же перенаправлять вас с сайтов которые вы хотите посетить на совершенно другие.

Чтобы удалить Your Protection и другие вредосные программы которые могли попасть на ваш компьютер вместе с ней воспользуйтесь ниже приведенной инструкцией.

HijackThis показывает заражение

O4 – HKCU\..\Run: [mplay32xe.exe] C:\DOCUME~1\comp\LOCALS~1\Temp\mplay32xe.exe
O4 – HKCU\..\Run: [Your Protection] “C:\Program Files\Your Protection\urpprot.exe” -noscan

Как удалить Your Protection

Скачайте программу TDSSKiller кликнув по этой ссылке. Кликните по скачанному файлу правой клавишей, выберите пункт Извлечь всё и следуйте показанным на экране указаниям.

В той же папке где находился скачанный вами файл, появится папка tdsskiller. Зайдите в неё и запустите программу TDSSKiller. Следуйте указаниям, которые будут появляться на экране.

Скачайте бесплатную антиспайварную программу Malwarebytes Anti-Malware и установите её на компьютер. По-окончании установки, проверьте что выбрано: автоматическое обновление, автоматический запуск программы по-завершению работы инсталлятора. Когда Malwarebytes Anti-malware установится и запустится, перед вами откроется главное окно программы, как показано ниже.

Откройте вкладку Сканер (она выбрана по-умолчанию) и кликните по кнопке Проверить. Программа запустит процесс сканирования компьютер на предмет наличия разнообразных вредоносных программ и их компонентов. При быстром сканировании программа проверяет только наиболее важные части операционной системы, но даже в этом случае, процесс сканирования может занять довольно много времени, так что наберитесь терпения.

Когда сканирование закончиться кликните OK, а затем по кнопке Показать результаты. Вам будет показан результат сканирования (список найденных объектов может отличаться от приведённого ниже).

Кликните по кнопке Удалить выделенные для того чтобы запустить процесс удаления Your Protection и ассоциированных с Your Protection файлов, каталогов и ключей реестра. Когда процесс удаления закончиться, Malwarebytes Anti-Malware может попросить разрешения перезагрузить компьютер. Разрешите ей это действие, кликнув по кнопке YES/Да.

Выполнив эту инструкцию, ваш компьютер должен быть очищен от паразитной программы Your Protection. К сожалению, существуют варианты заражения, когда эта вредоносная программа проникает на компьютер в компании множества троянов, с которыми может не справиться Malwarebytes Anti-malware, в этом случае обратитесь на наш антивирусный форум.

Раз вы обнаружили на своём компьютере Your Protection, то это повод задуматься, всё ли нормально с вашей антивирусной и антиспайварной защитой, обновлены ли программы до последних версий. В первую очередь обратите внимание на то, что у вас включено автоматическое обновление Windows и все доступные обновления уже установлены. Если вы не уверены, то вам необходимо посетить сайт Windows Update, где вам подскажут как и что нужно обновить в Windows. Кроме этого обязательно проверьте что у вас установлены последние версии следующих программ: Java JRE, Adobe Acrobat Reader, Adobe Flash Player. Если это не так, то обязательно их обновите. Кроме этого советую вам приобрести полную версию программы Malwarebytes Anti-malware которая поможет вам защитить компьютер от возможного заражения в будущем. Основное отличие полной версии от бесплатной – это наличие модуля защиты компьютера в реальном времени. Купив полную версию программы вы так же поддержите мой сайт Spyware-ru.com. Для покупки, перейдите по следующей ссылке: Полная версия программы Malwarebytes Anti-malware.

Ассоциированные с Your Protection ключи реестра

HKEY_LOCAL_MACHINE\SOFTWARE\_VOID
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mplay32xe.exe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\your protection
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr

Ассоциированные с Your Protection файлы и каталоги

C:\WINDOWS\_VOIDeexnostibc
C:\Program Files\Your Protection\urphook.dll
C:\Documents and Settings\comp\Local Settings\temp\mplay32xe.exe
C:\Program Files\Your Protection\urpprot.exe
C:\WINDOWS\system32\_VOIDqrtyqeolrt.dll
C:\WINDOWS\system32\_VOIDsswworapgs.dll
C:\WINDOWS\system32\_VOIDxbepldflqh.dll
C:\Documents and Settings\comp\Local Settings\temp\asd8.tmp.exe
C:\Documents and Settings\comp\Local Settings\temp\asd9.tmp.exe
C:\Documents and Settings\comp\Local Settings\temp\asdB.tmp.exe
C:\Documents and Settings\comp\Local Settings\temp\dhdhtrdhdrtr5y
C:\Documents and Settings\comp\Local Settings\temp\_VOID1377.tmp
C:\Documents and Settings\All Users\Application Data\fiosejgfse.dll
C:\WINDOWS\system32\_VOIDmttmawfhev.dat
C:\Documents and Settings\All Users\Desktop\nudetube.com.lnk
C:\Documents and Settings\All Users\Desktop\pornotube.com.lnk
C:\Documents and Settings\All Users\Desktop\youporn.com.lnk

После своего запуска эта поддельная антиспайварная программа приступает к сканированию компьютера и обнаруживает множество троянов, червей, шпионских программ и тд. Причём для того чтобы удалить найденных паразитов требуется купить полную версию программы. Делать этого не нужно, так как результаты сканирования, да и само сканирование, это метод созданный для того чтобы обмануть пользователя, заставить поверить в то, что его компьютер заражён.

Чтобы ещё больше запутать пользователя, программа ave.exe показывает разнообразные предупреждения, всплывающие окна и тд. Все они сообщают тем или иным образом об одном, компьютер заражён и срочно необходимо активировать антивирус (антиспайваре). Кроме этого, эта вредоносная программа, благодаря способу своего запуска (смена ассоциации файлов), имеет возможность блокировать запуск любых программ. При этом может выдаваться сообщение, что запускаемая программа заражена. Конечно же, все эти сообщения, предупреждения – подделка и как результаты сканирования созданны с одной целью, заставить вас купить полную версию этой поддельной антиспайварной программы.

Нужно игнорировать всё, что будет показывать эта вредоносная программа и ни в коем случае не покупать её. Воспользуйтесь ниже приведёнными инструкциями для удаления программы ave.exe и других паразитов которые могли попасть на ваш компьютер вместе с ней.

Инструкция по-удалению вредоносной программы ave.exe

Кликните Пуск, Выполнить. Введите command и нажмите Enter. В открывшемся чёрном окне введите notepad и нажмите Enter.

Запустится блокнот. Вставьте в него следующий текст:

Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\Software\Classes\.exe]
[-HKEY_CURRENT_USER\Software\Classes\secfile]
[-HKEY_CLASSES_ROOT\secfile]
[-HKEY_CLASSES_ROOT\.exe\shell\open\command]

[HKEY_CLASSES_ROOT\.exe]
@="exefile"
"Content Type"="application/x-msdownload"

Запишите получившийся файл на ваш рабочий стол под именем fix.reg. При этом в диалоге Сохранить как, не забудьте выбрать тип файлов Все файлы. Закройте блокнот.

Кликните дважды по созданному нами файлу, появится запрос о подтверждении добавления информации в реестр, кликните Да. Перезагрузите компьютер.

Скачайте инсталлятор (mbam-setup.exe) бесплатной антиспайварной программы Malwarebytes Anti-Malware. Закройте браузер и все открытые окна Windows. Запустите инсталлятор, выберите язык установки и следуйте указаниям, которые будут появляться на экране. По-окончании установки, проверьте что выбрано: автоматическое обновление, автоматический запуск программы по-завершению работы инсталлятора. Когда Malwarebytes Anti-malware установится и запустится, перед вами откроется главное окно программы, как показано ниже.

Откройте вкладку Сканер (она выбрана по-умолчанию) и кликните по кнопке Проверить. Процесс сканирования может занять продолжительное время, поэтому наберитесь терпения. По-окончании сканирования, будет показано сообщение аналогичное приведённому ниже.

Кликните OK, затем Показать результаты. Вам будет показан результат сканирования (список заражённых файлов может отличаться от приведённого ниже).

Кликните по кнопке Удалить выделенные для того чтобы запустить процесс удаления ave.exe и ассоциированных с этой программой файлов, каталогов и ключей реестра. Malwarebytes Anti-Malware может попросить разрешения перезагрузить компьютер. Разрешите это.

Выполнив эту инструкцию, ваш компьютер должен быть очищен от паразитной программы ave.exe. К сожалению, существуют варианты заражения, когда эта вредоносная программа проникает на компьютер в компании множества троянов, с которыми может не справиться Malwarebytes Anti-malware, в этом случае обратитесь на наш антивирусный форум.

Если Malwarebytes Anti-malware вам помогла и вы хотите защитить компьютер от возможного заражения в будущем, то советую вам купить её полную версию. Основное отличие – это наличие модуля защиты компьютера в реальном времени. Купив полную версию программы вы не только защитите компьютер, но и поддержите сайт Spyware-ru.com. Для покупки, перейдите по следующей ссылке: Полная версия программы Malwarebytes Anti-malware.

Ассоциированные с ave.exe ключи реестра

HKEY_CURRENT_USER\Software\Classes\.exe
HKEY_CURRENT_USER\Software\Classes\.exe\shell
HKEY_CURRENT_USER\Software\Classes\.exe\shell\open
HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command
HKEY_CURRENT_USER\Software\Classes\.exe\shell\start
HKEY_CURRENT_USER\Software\Classes\.exe\shell\start\command
HKEY_CURRENT_USER\Software\Classes\secfile
HKEY_CURRENT_USER\Software\Classes\secfile\shell
HKEY_CURRENT_USER\Software\Classes\secfile\shell\open
HKEY_CURRENT_USER\Software\Classes\secfile\shell\open\command
HKEY_CURRENT_USER\Software\Classes\secfile\shell\start
HKEY_CURRENT_USER\Software\Classes\secfile\shell\start\command
HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command | @ = “”%AppData%\ave.exe” /START “%1″ %*”
HKEY_CURRENT_USER\Software\Classes\.exe\shell\open\command | IsolatedCommand = “”%1″ %*”
HKEY_CURRENT_USER\Software\Classes\.exe | @ = “secfile”
HKEY_CURRENT_USER\Software\Classes\.exe | Content Type = “application/x-msdownload”
HKEY_CURRENT_USER\Software\Classes\secfile\shell\open\command | @ = “”%AppData%\ave.exe” /START “%1″ %*”
HKEY_CURRENT_USER\Software\Classes\secfile\shell\open\command | IsolatedCommand = “”%1″ %*”

Ассоциированные с ave.exe файлы и каталоги

%AppData%\ave.exe

Antivirus 7 использует трояны для проникновения на компьютер. Когда такой троян запущен, он скачивает и устанавливает на компьютер эту поддельную антивирусную программу. При своём первом запуске, Antivirus 7 создаёт запись с именем AV7 в ключе HKCU\Software\Microsoft\Windows\CurrentVersion\Run, таким образом создавая себе возможность запускаться автоматически при каждом запуске Windows. Затем эта вредоносная программа выполняет полное сканирование компьютера и помечает существующие системные файлы как трояны, вирусы и тд. Чтобы вылечить компьютер предлагается купить полную версию программы. Делать этого не нужно, так как результаты сканирования и само сканирование это подделка, поэтому можете их совершенно свободно игнорировать.

Чтобы ещё больше напугать пользователя, Antivirus 7 будет показывать разнообразные сообщения и предупреждения. Например при запуске программ, время от времени, будет сообщаться что запускаемая программа заражена опасным вирусом. Пример такого предупреждения ниже:

Antivirus7 Resident Shield: Virus detected
Warning! Active virus detected
Threat dectected: Backdoor. POISON. BQA
Infected file: [filename]

Кроме этого сообщения появляется и множество других, смысл которых сводиться к одному – компьютер заражён, срочно требует активировать антивирус. Конечно, все эти сообщения, ровно как и поддельные результаты сканирования являются мошенничеством, которое направлено на то, чтобы облегчить ваш кошелёк.

Из сказанного выше очевидно, Antivirus 7 является опасной программой, присутствие которой на вашем компьютере абсолютно нежелательно. При первых симптомах заражения прекратите пользоваться компьютером для совершения каких-либо действий, начиная от редактирования документов и заканчивая покупками в интернете. Вам нужно как можно быстрее удалить этот поддельный антивирус. Для этого воспользуйтесь ниже приведённой инструкцией, которая поможет вам удалить Antivirus 7 и трояны, которые могли проникнуть на ваш компьютер вместе с этой вредоносной программой.

HijackThis показывает заражение

O2 – BHO: &UpdateCheck.dll – {E2BFE352-A303-4EA8-88FE-CE35361D7E8B} – C:\Windows\System32\UpdateExplorer.dll
O4 – HKCU\..\Run: [AV7] C:\Program Files\AV7\antivirus7.exe

Как удалить Antivirus 7

Если вы используете Internet Explorer вам необходимо отключить дополнение, которое установил Antivirus 7. Для этого запустите Internet Explorer. Кликните Сервис, Управление надстройками.

Перед вами откроется окно Управление надстройками. В списке надстроек выберите &UpdateCheck.dll, выберите пункт Отключить. Затем кликните по кнопке OK и ещё раз OK. Закройте Internet Explorer и запустите его снова.

Скачайте инсталлятор (mbam-setup.exe) бесплатной антиспайварной программы Malwarebytes Anti-Malware. Закройте браузер и все открытые окна Windows. Запустите инсталлятор, выберите язык установки и следуйте указаниям, которые будут появляться на экране. По-окончании установки, проверьте что выбрано: автоматическое обновление, автоматический запуск программы по-завершению работы инсталлятора. Когда Malwarebytes Anti-malware установится и запустится, перед вами откроется главное окно программы, как показано ниже.

Откройте вкладку Сканер (она выбрана по-умолчанию) и кликните по кнопке Проверить. Процесс сканирования может занять продолжительное время, поэтому наберитесь терпения. По-окончании сканирования, будет показано сообщение аналогичное приведённому ниже.

Кликните OK, затем Показать результаты. Вам будет показан результат сканирования (список заражённых файлов может отличаться от приведённого ниже).

Кликните по кнопке Удалить выделенные для того чтобы запустить процесс удаления Antivirus 7 и ассоциированных с этой программой файлов, каталогов и ключей реестра. Malwarebytes Anti-Malware может попросить разрешения перезагрузить компьютер. Разрешите это.

Выполнив эту инструкцию, ваш компьютер должен быть очищен от паразитной программы Antivirus 7. К сожалению, существуют варианты заражения, когда эта вредоносная программа проникает на компьютер в компании множества троянов, с которыми может не справиться Malwarebytes Anti-malware, в этом случае обратитесь на наш антивирусный форум.

Если Malwarebytes Anti-malware вам помогла и вы хотите защитить компьютер от возможного заражения в будущем, то советую вам купить её полную версию. Основное отличие – это наличие модуля защиты компьютера в реальном времени. Купив полную версию программы вы не только защитите компьютер, но и поддержите сайт Spyware-ru.com. Для покупки, перейдите по следующей ссылке: Полная версия программы Malwarebytes Anti-malware.

Ассоциированные с Antivirus 7 ключи реестра

HKEY_CLASSES_ROOT\CLSID\{E2BFE352-A303-4EA8-88FE-CE35361D7E8B}
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E2BFE352-A303-4EA8-88FE-CE35361D7E8B}
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{E2BFE352-A303-4EA8-88FE-CE35361D7E8B}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E2BFE352-A303-4EA8-88FE-CE35361D7E8B}
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AV7

Ассоциированные с Antivirus 7 файлы и каталоги

C:\Program Files\AV7
C:\WINDOWS\system32\UpdateExplorer.dll
C:\Program Files\AV7\antivirus7.exe