dělá to i v jiném účtu na jeho pc?
pokud se mu spouští zrovna wmp, dodrbal to zřejmě sám. kdyby to byl výpalný adware, přesměroval by to na spuštění webu "odvirovací" firmy.
má vadné asociace v registrech.
program regedit.exe ať si přejmenuje/zkopíruje na regedit.com, a zedituje položky:
REGEDIT4
[HKEY_CLASSES_ROOT\.exe]
@="exefile"
"Content Type"="application/x-msdownload"
[HKEY_CLASSES_ROOT\exefile]
@="Application"
[HKEY_CLASSES_ROOT\exefile\DefaultIcon]
@="%1"
[HKEY_CLASSES_ROOT\exefile\shell]
[HKEY_CLASSES_ROOT\exefile\shell\open]
"EditFlags"=hex:00,00,00,00
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
[HKEY_CLASSES_ROOT\exefile\shell\runas]
[HKEY_CLASSES_ROOT\exefile\shell\runas\command]
@="\"%1\" %*"
@ ... znamená default/výchozí, při ruční editaci\ ... při ruční editaci se nezapisují