MS Removal Tool это поддельная антиспайварная программа из серии подделок основателем которой является System Security. Как и другие подобные вредоносные программы, она обнаруживает на компьютере несуществующие заражённые файлы и трояны, показывает большое количество разнообразных предупреждений и кроме этого, затрудняет нормальную работу с компьютером, блокируя запуск большинства приложений Windows. Создавая видимость того, что компьютер заражён множеством вирусов, эта программа пытается заставить пользователя купить её полную версию. Не верьте всему что будет показывать вам MS Removal Tool и удалите эту программу как можно скорее.
MS Removal Tool попадает на компьютер посредством различных вирусов и троянов. При своём первом запуске, эта вредоносная программа первым делом создаёт запись с именем состоящем из случайно выбранных букв и цифр в ключе «HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce» реестра Windows, обеспечивая таким образом себе автоматический запуск при каждом включении компьютера. Далее программа добавляет несколько строчек в системный файл HOSTS. Благодаря этому вместо сайтов Google, MSN, Yahoo и некоторых других пользователю будут показываться их хорошо выполненные имитации.
По-окончании процедуры установки, MS Removal Tool приступает к сканированию компьютера, результатом которого является обнаружение большого количества заражённых файлов. Эти результаты – подделка, а сканирование – имитация. В реальности эта вредоносная программа не может обнаруживать и удалять вирусы и трояны, как и не сможет вас защитить от возможного заражения в будущем. Таким образом, смело игнорируйте всё, что эта паразитная программа будет показывать вам.
Для того чтобы создать видимость заражённого компьютера, MS Removal Tool постоянно показывает различные предупреждения, которые сообщают о том, что компьютер заражён, что часть системных файлов были повреждены неизвестной вредоносной программой и тд. Пример таких сообщений:
MS Removal Tool
WARNING 23 infections found!!!
MS Removal Tool Warning
Some critical system files of your computer were modified by
malicious program. It may cause system instability and data
loss.
Кроме этого, MS Removal Tool блокирует запуск практически всех программ, включая антивирусы, показывая при этом сообщение что файл был заражён.
Application cannot be executed. The file [ИМЯ ФАЙЛА] is infected.
Please activate your antivirus software.
Смысл показа всех этих сообщений один, обманом вынудить пользователя купить «полную» версию программы и «вылечить компьютер». Как и результаты сканирования, все эти предупреждения — подделка и их нужно игнорировать.
Если ваш компьютер заражён вредоносной программой MS Removal Tool, то ни коем случае не покупайте её «полную» версию, вмести этого, воспользуйтесь ниже приведённой инструкцией для удаления MS Removal Tool и других вредоносных программ, которые могли проникнуть на ваш компьютер вместе с ней.
HijackThis показывает заражение
O4 – HKCU\..\RunOnce: [{имя из случайных символов}] %CommonAppData%\{имя из случайных символов}\{имя из случайных символов}.exe
Инструкция по-удалению MS Removal Tool
Шаг 1 — Перезагрузка компьютера в безопасном режиме с загрузкой сетевых драйверов
Перезагрузите свой компьютер. После того как ваш компьютер подаст короткий звуковой сигнал, нажмите клавишу F8. Перед вами покажется меню загрузки Windows как показано ниже.
Выберите безопасный режим с загрузкой сетевых драйверов (Safe Mode with networking) – вторую строчку и нажмите Enter. Больше о работе в безопасном режиме вы можете прочитать в статье — Как запустить компьютер в безопасном режиме (Safe Mode).
Шаг 2 — Восстановление работы браузера Internet Explorer
MS Removal Tool может изменять сетевые настройки браузера, чтобы блокировать доступ пользователя к антивирусным сайтам. Поэтому их нужно вернуть в исходное значение, чтобы обечпечить себе возможность скачивать антивирусные и антиспайварные программы.
Запустите Internet Explorer. Кликните Сервис и выберите пункт «Свойства обозревателя» как показано ниже:
Вы увидите окно как показано на нижестоящей картинке:
Здесь откройте вкладку Подключения и в ней кликните по кнопке «настройка LAN». Вам будут показаны текущие настройки локальной сети.
Снимите галочку напротив пункта «Использовать прокси-сервер для подключений LAN». Кликните OK чтобы сохранить настройки и ещё раз OK, чтобы закрыть окно настроек Internet Explorer.
Шаг 3 — Удаление всех компонентов MS Removal Tool
Скачайте бесплатную антиспайварную программу Malwarebytes Anti-Malware и установите её на компьютер. По-окончании установки, проверьте что выбрано: автоматическое обновление, автоматический запуск программы по-завершению работы инсталлятора. Когда Malwarebytes Anti-malware установится и запустится, перед вами откроется главное окно программы, как показано ниже.
Откройте вкладку Сканер (она выбрана по-умолчанию) и кликните по кнопке Проверить. Программа запустит процесс сканирования компьютер на предмет наличия разнообразных вредоносных программ и их компонентов. При быстром сканировании программа проверяет только наиболее важные части операционной системы, но даже в этом случае, процесс сканирования может занять довольно много времени, так что наберитесь терпения.
Когда сканирование закончиться кликните OK, а затем по кнопке Показать результаты. Вам будет показан результат сканирования (список найденных объектов может отличаться от приведённого ниже).
Кликните по кнопке «Удалить объекты» для того чтобы запустить процесс удаления MS Removal Tool и ассоциированных с MSRemovalTool файлов, каталогов и ключей реестра. Когда процесс удаления закончиться, Malwarebytes Anti-Malware может попросить разрешения перезагрузить компьютер. Разрешите ей это действие, кликнув по кнопке YES/Да.
Шаг 4 — Восстановление исходного значения системного файла HOSTS
Вредоносная программа MS Removal Tool так же изменяет системный файл HOSTS, поэтому нужно восстановить его исходное значение.
Скачайте OTM by OldTimer кликнув по этой ссылке. Запустите программу и в большое поле ввода (заголовок этого поля выделен желтым цветом) скопируйте следующий текст.
:Commands
[resethosts]
Кликните по кнопке MoveIt!. Закройте программу OTM.
Заключение
Выполнив эту инструкцию, ваш компьютер должен быть очищен от паразитной программы MS Removal Tool. К сожалению, существуют варианты заражения, когда эта вредоносная программа проникает на компьютер в компании множества троянов, с которыми может не справиться Malwarebytes Anti-malware, в этом случае обратитесь на наш антивирусный форум.
Раз вы обнаружили на своём компьютере MS Removal Tool, то это повод задуматься, всё ли нормально с вашей антивирусной и антиспайварной защитой, обновлены ли программы до последних версий. В первую очередь обратите внимание на то, что у вас включено автоматическое обновление Windows и все доступные обновления уже установлены. Если вы не уверены, то вам необходимо посетить сайт Windows Update, где вам подскажут как и что нужно обновить в Windows. Кроме этого обязательно проверьте что у вас установлены последние версии следующих программ: Java JRE, Adobe Acrobat Reader, Adobe Flash Player. Если это не так, то обязательно их обновите. Кроме этого советую вам приобрести полную версию программы Malwarebytes Anti-malware которая поможет вам защитить компьютер от возможного заражения в будущем. Основное отличие полной версии от бесплатной — это наличие модуля защиты компьютера в реальном времени. Купив полную версию программы вы так же поддержите мой сайт Spyware-ru.com. Для покупки, перейдите по следующей ссылке: Полная версия программы Malwarebytes Anti-malware.
Ассоциированные с MS Removal Tool ключи реестра
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\PhishingFilter | “Enabled” = “0″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings | “ProxyOverride” = “”
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings | “ProxyServer” = “http=127.0.0.1:11415″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings | “ProxyEnable” = “1″
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce | {набор случайных букв}
Ассоциированные с MS Removal Tool файлы и каталоги
%CommonAppData%\{имя из случайных символов}
%CommonAppData%\{имя из случайных символов}\{имя из случайных символов}.exe
bolwoe spasibo. vse srabotalo
Спасибо большое за подсказку. У меня стоит лицензионный Dr. Web. и я как-то не очень беспокоюсь, даже если проникают вирусы — достаточно легко с ними справляюсь, хотя иногда долго и занудливо. А тут — вздрогнула. Но следовала вашей подсказке шаг за шагом и вуаля! Спасибо еще раз и удачи Вам в борьбе с этими паразитами!
Я сегодня избавилась от MS Removal Tool путем восстановления системы на предыдущую дату.Рекомендую.
Да, сначала вошла в безопасный режим с загрузкой сетевых драйверов (т.к в обычном режиме MS Removal Tool блокирует вход к восстановлению системы) , а из безопасного режима выбрала восстановление системы на вчерашний день. После восстановления системы (заняло это 10 минут) все ок. Removal Tool исчез.
Привет!
Есть еще один более простой способ — перегрузиться в безопасном режиме и восстановить предыдущее состояние (если не отключено восстановление системы) и тада уже чистить.
Огромное спасибо, прям выручили с этой програмкой 🙂
Спасибо за разъеснения и описания по устранения проблемы.
Когда я столкнулся с MS Removal Tool сначалла испугался, а потом удивился: «откуда у меня програма которую я не устанавливал, темболее написано что это антивирусная програма, откуда она взялась если у меня уже стоит антивируска, а ставить 2-ве антивируски на комп незя.» Решил зайти в интернет чтоб обновить свою антивируску, заодно посмотречть информацею по «новенькому». Он заблокироал браузер, решил запустить диспечер — он и его заблокировал. Зашол в интернет з тлефона и нашол ваш сайт. После прочтения информацыи по теме, решил попробывать сначала свой антивирус в запущеном безопасном режиме поскольку незаметил чтобы его блокировали — и все сработало — доктор вебер в безопасном режиме безпроблем справился с MS Removal Tool и его компонентами, нет не следа в тех местах которые указаны в данной теме. Темболее небыло возможности скачать
ваши програмы…
Ещо раз спасибо ващему сайту за информецэю.
Спасибо ребят,все сработало, то девченки в офисе словили где-то в нете ету прогу, думал все,Респект Вам 😉
сделала все по инструкции после перезагрузки мин 20 все было замечательно, но потом снова включилась эта херь. попробовали еще раз уже с полной, а не быстрой очисткой. все повторилось. сначала все хорошо. потом аналогичная ситуация((( что делать? помогите!!
просто СУПЕР!!!!!!!!!!!!!
Огромнейшее спасибо всем за такую полезную работу, которую трудно переоценить, спасибо!!!!!