• Как удалить из системной папки C:\Windows\AppPatch вирус или троянскую программу, имеющую своё название по классификации антивирусной компании ESET - Win32/Spy.Shiz.NCF, ворующую пароли и информацию с вашего компьютера, кстати имя вирусного файла генерируется в операционной системе случайным образом и оно может быть таким: hsgpxjt.exe или к примеру таким matadd.exe и так далее. Сама папка AppPatch является системной и её удалять не нужно. 
• Как вирус попадает к нам на компьютер.

  

Буквально вчера, один мой знакомый попросил меня помочь ему решить аналогичную проблему. Windows 7 моего приятеля во первых долго загружается, а во вторых работает с сильными зависаниями, установленный антивирус не обновлялся уже год, так как моему другу просто лень продлить подписку. Последним доводом для обращения моего приятеля ко мне стало то, что его жена не смогла попасть на сайт одноклассники.

Мы же с вами попробуем удалить вирус вручную, так интереснее. Включаем компьютер моего друга, загрузка операционной системы на самом деле происходит довольно долго, вспомним первое правило вируса попасть в Автозагрузку, а затем уже производить свои деструктивные действия, мне кажется ему это удалось.
В первую очередь проверяем папку Автозагрузка, но в ней ничего нет
  C:\Users\Имя пользователя\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 

Далее проверяем автозагрузку с помощью встроенной в Windows утилиты для управления автозапускаемыми программами, которая называется MSConfig, идём Пуск->Выполнить, набираем msconfig

и вот пожалуйста неизвестный элемент со странным названием userinit находится в Автозагрузке,

исполняемый файл находится по адресу

C:\Windows\AppPatch\matadd.exe.

Данное название вируса matadd.exe случайно сгенерированное системой, можете не заострять на нём внимание, в вашем случае оно будет обязательно другим, но знайте, называется вирус на самом деле Win32/Spy.Shiz.NCF и представляет собой троянскую программу. Пройдём в данную папку и попытаемся его удалить, но к сожалению пока вирус активен у нас ничего не получится или вирусный файл вам удалить удастся, но он через пару секунд воссоздаст себя вновь.
В окне утилиты msconfig снимем галочку с данного элемента userinit,

то есть исключим его из Автозагрузки. К сожалению в большинстве случаев это не будет обозначать то, что вирус при следующей загрузке операционной системы не загрузит свои файлы вновь, так как вирусный файл из папки C:\Windows\AppPatch нам удалить не удалось.

Для успешной борьбы с вирусом нам нужен помощник, который:

• Во-первых сможет нам показать файл вируса находящийся в автозагрузке
• Во-вторых покажет нам изменения внесённые вирусом в реестр

Полное описание работы с утилитой можно прочесть вот в этой нашей статье Автозагрузка программ в Windows 7 
Единственное предостережение, в самом начале установки НЕ выбирайте полную установку, как рекомендуется, а выберите Настройка параметров и снимите галочки со всего, что вам не нужно, оставьте только на пунктеЗапустить AnVir Task Manager (рекомендуется) и Добавить иконку на рабочий стол.

После установки программы запускаем её и видим такую картину, вирусом в реестр внесено целых пять изменений. Снять галочки и тем самым удалить изменения произведённые вирусом в реестре не получается.

Давайте узнаем насколько вирус проник в нашу систему. Наводим мышь на имя вирусного ключа Load, щёлкаем правой мышью и выбираем в меню Перейти->Показать файл в проводнике

 и сразу попадаем в нашу папку с вирусным файлом C:\Windows\AppPatch\matadd.exe.

Так же смотрим расположение записей вируса в реестре. Видим вирусная программа внесла свои изменения в два раздела реестра, смотрим подробно и сразу удаляем.
Щёлкаем правой мышью на созданном вирусом ключе Load и выбираем в меню Перейти->Открыть расположение записи в реестре.

Раздел
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Windows
Добавлено два ключа, удаляем их
Load REG_SZ C:\WINDOWS\apppatch\matadd.exe
Run REG_SZ C:\WINDOWS\apppatch\matadd.exe

Щёлкаем правой мышью на созданном вирусом ключе userinit и выбираем в меню Перейти->Открыть расположение записи в реестре

Раздел
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 Добавлен ключ, так же удаляем его
userinit REG_SZ C:\Windows\apppatch\matadd.exe  

При удалении созданных вирусной программой ключей реестра, вирус тут же попытается создать их вновь, о чём нас сразу предупредит наш AnVir Task Manager таким вот окном, нажмём Удалить и защитим реестр.

Не будь у нас программы AnVir или подобной ей, мы бы никак не смогли воспрепятствовать созданию новых вирусных ключей в реестре.
После удаления данных записей в реестре, обратите внимание как выглядит наша Автозагрузка, в ней ничего кроме нашей программы AnVir Task Manager нет.

Но это ещё не всё друзья, сейчас нам нужно проверить весь реестр на название нашего вируса matadd.exe, щёлкаем на разделе реестра, который мы ещё не смотрели HKEY_LOCAL_MACHINE правой кнопкой мыши и выбираем Найти, вставляем поле поиска названия нашего вируса matadd.exe и жмём Найти далее

и такие ключи находятся в разделе реестра, ответственного за параметры загрузки операционной системы -Winlogon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

• Примечание: Вирусом изменены ключи ответственные за загрузку системы, но совсем ключи system иuserinit из реестра удалять как в предыдущих случаях нельзя, из них нужно удалить неверные параметры:

System REG_SZ C:\WINDOWS\apppatch\matadd.exe
Userinit REG_SZ C:\Windows\system32\userinit.exe,C:\WINDOWS\apppatch\matadd.exe

Должно быть, вот так
System REG_SZ
Userinit REG_SZ C:\Windows\system32\userinit.exe,
 остальное удаляем и два наши параметра реестра должны выглядеть вот так. 

После очистки реестра обязательно перезагружаемся и запросто удаляем вирусный файл matadd.exe из папкиC:\WINDOWS\apppatch.

Так же просматриваем папки временных файлов, откуда очень часто запускают исполняемые файлы вирусы.

C:\USERS\имя пользователя\AppData\Local\Temp, кстати из папки Temp удалите всё.

Корень системного диска, обычно (С:). Ну и конечно нужно проверить всю систему своим антивирусом. Или скачать антивирусную утилиту Dr.Web CureIt или антивирусными утилитами от Microsoft. 

Теперь, можно сказать мы избавили нашу операционную систему от вируса, даже не прибегая к безопасному режиму. Если у вас не получится удалить вирусный файл из папки C:\Windows\AppPatch, значит вы не полностью очистили реестр, что то пропустили.

Всё это хорошо, но многие пользователи зададут вопрос: Как вирус попал в папку C:\Windows\AppPatch?

Если Вам нужна какая-нибудь книга для учёбы, подумайте об её авторе, ведь что бы написать её для Вас, писатель оторвал время у себя и у своей семьи и может всё-таки её купить. 
Ну и под конец несколько пожеланий. Не выключайте никогда восстановление системы. Во вторых всегда имейте нормальную антивирусную программу на вашем компьютере, конечно с последними обновлениями антивирусных баз. Создавайте периодически бэкапы операционной системы. Не работайте под учетной записью администратора компьютера, создайте себе учётную запись с ограниченными правами.