picasso

To komputer firmowy, prawda? Jeśli ta instalacja Adobe Reader jest zablokowana, wprawdzie mogłabym wymusić jej usunięcie, ale nie wiem czy to dobry pomysł na komputerze prekonfigurowanym administracyjnie, gdyż może istnieć konkretny powód wyboru takiej a nie innej wersji. A jeśli rzecz o infekcji, to pomyślnie usunięta i problem powinien ustąpić. Drobne poprawki na wpisy szczątkowe. Otwórz Notatnik i wklej w nim: BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre1.8.0_40\bin\ssv.dll => No File BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre1.8.0_40\bin\jp2ssv.dll => No File DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Users\pljarda\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap RemoveDirectory: C:\Users\pljarda\AppData\LocalLow\Sun RemoveDirectory: C:\Windows\System32\Tasks\Lenovo Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Ja raczej tu podejrzewam DNS - dane pobierane z zewnętrznego urządzenia, reinstalacja systemu nie ma wpływu na zmianę DNS, o ile się nie wymusi innej konfiguracji jak tu wdrażane. Możesz sprawdzić co się stanie po przywróceniu poprzedniej konfiguracji DNS, tzn. wymazać te dodane adresy Google i ustawić pobieranie automatyczne > restart > w linii poleceń (administrator) ipconfig /flushdns > restart.

Pierwszy obrazek: brak napisu "Administrator" na belce, a linia komend otworzona na ścieżce C:\Users, co wskazuje, że nie uruchomiłeś linii komend jako administrator. To wygląda na linię komend działającą na niższym uprawnieniu użytkownika. Poza tym, wklepałeś niepoprawne polecenie flushdns - to ma być ipconfig /flushdns (i jest tylko jedna spacja, / jest "przyklejone" do flushdns). Drugi obrazek: Jakoś dziwnie wyglądają te pola u Ciebie, są gołe, a ja mam w moim Windows 10 Wersja 1511 kropki separujące kolejne numery...

Zrób test czy mają coś do rzeczy adresy DNS: 1. Ustaw na sztywno z poziomu Windows inne DNS, co "przebija" DNS pobieranie z zewnętrznego urządzenia. Prawy klik na Start > Połączenia sieciowe > prawy klik na używane połączenie > Właściwości > podświetl Protokół IPv4 > Właściwości > ustaw opcję "Użyj następujących adresów DNS" i wklep adresy Google: 8.8.8.8 (Preferowany) + 8.8.4.4 (Alternatywny). Restart systemu. 2. Wyczyść bufor DNS. Prawy klik na Start > Wiersz polecenia (administrator) > wklep ipconfig /flushdns i ENTER > Zresetuj system. 3. Uruchom Sklep Windows i podaj co widzisz.

EDIT: Wszystkie logi dostarczone. Odpowiadasz mi już w nowym poście, nie edytuj pierwszego. Problem stanowią wpisy "Quotenamron", rzekomo usuwane (są jak najbardziej aktywne) i "Logic Handler". Prócz tego więcej odpadków adware w systemie. Działania do przeprowadzenia: 1. Deinstalacje: - Przez Panel sterowania usuń stare wersje: Adobe Flash Player 17 ActiveX, Adobe Flash Player 17 NPAPI, Adobe Reader XI, Adobe Shockwave Player 12.1, Java 8 Update 40 (64-bit), Java 8 Update 40. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 backlh; C:\ProgramData\Logic Handler\set.exe [2089472 2016-05-15] () [File not signed] U2 Quotenamron; C:\ProgramData\\Quotenamron\\Quotenamron.exe [947712 2016-05-25] () [File not signed] AppInit_DLLs: C:\ProgramData\Quotenamron\Vilait.dll => C:\ProgramData\Quotenamron\Vilait.dll [363008 2016-05-25] () AppInit_DLLs-x32: C:\ProgramData\Quotenamron\Tam-Dex.dll => C:\ProgramData\Quotenamron\Tam-Dex.dll [257536 2016-05-25] () HKLM-x32\...\Run: [] => [X] Task: {1DAAB754-00C8-4F91-94C4-48FCE8436D7D} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe Task: {647A39F0-723A-4882-94BC-66D6DB76D689} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-02-13] (Lenovo) Task: {7A33DF18-7BE3-4E44-A461-D2A18BC37B8E} - System32\Tasks\pljardaTreatiesButtressedV2 => Rundll32.exe MetatarsalSlows.dll,main 7 1 Task: {C5C323D1-6895-4BD1-8414-1F73501E2516} - System32\Tasks\{12E43934-F32F-21E8-D449-11CCFD7A970F} => C:\Users\pljarda\AppData\Roaming\{12E43~1\Updater.exe Task: C:\Windows\Tasks\{12E43934-F32F-21E8-D449-11CCFD7A970F}.job => C:\Users\pljarda\AppData\Roaming\{12E43~1\Updater.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction HKU\S-1-5-21-321930979-3402162066-1190322147-8181\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-321930979-3402162066-1190322147-8181 -> DefaultScope {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-321930979-3402162066-1190322147-8181 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} DPF: HKLM-x32 {B94C2238-346E-4C5E-9B36-8CC627F35574} DPF: HKLM-x32 {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} CHR HKLM-x32\...\Chrome\Extension: [jidkebcigjgheaahopdnlfaohgnocfai] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Logic Handler C:\ProgramData\Quotenamron C:\ProgramData\Quotenamrons C:\Users\pljarda\AppData\Local\Exact.Update.OA.exe.log C:\Users\pljarda\AppData\Local\TreatiesButtressed C:\Users\pljarda\AppData\Roaming\*.* C:\Users\pljarda\AppData\Roaming\Mozilla C:\Windows\SysWOW64\findit.xml EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zresetuj Google Chrome (zamieszanie w preferencjach): Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko zwyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), już bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Jak mówię, to jest typowy objaw zmienionych ustawień językowych / geolokalizacji. Mam pytanie: a jakie adresy IP DNS stoją w routerze (jeśli masz do niego dostęp)? W raporcie FRST widać tylko wewnętrzne adresy routera, co jednak nie jest 100% dowodem co naprawdę jest ustawione na poziomie routera.

Wyszukiwanie z rejestru zwróciło drobne śmieci po Tencent. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{DA624F8F-98BF-4B03-AD11-A12D07119E81} DeleteKey: HKLM\SOFTWARE\Microsoft\RADAR\HeapLeakDetection\DiagnosedApplications\QQPCMgr_Setup.exe DeleteKey: HKLM\SOFTWARE\WOW6432Node\Tencent DeleteKey: HKLM\SYSTEM\VritualRoot\MACHINE\SOFTWARE\Classes\TypeLib\{DA624F8F-98BF-4B03-AD11-A12D07119E81} DeleteKey: HKLM\SYSTEM\VritualRoot\MACHINE\SOFTWARE\Microsoft\RADAR\HeapLeakDetection\DiagnosedApplications\QQPCMgr_Setup.exe DeleteKey: HKLM\SYSTEM\VritualRoot\MACHINE\SOFTWARE\WOW6432Node\Tencent DeleteKey: HKLM\SYSTEM\VritualRoot\USER\S-1-5-21-1487593702-3916242759-977676160-1000\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Tencent DeleteKey: HKLM\SYSTEM\VritualRoot\USER\S-1-5-21-1487593702-3916242759-977676160-1000\Software\Tencent DeleteKey: HKLM\SYSTEM\VritualRoot\USER\S-1-5-18\Software\Tencent DeleteKey: HKU\S-1-5-18\Software\Tencent DeleteKey: HKU\S-1-5-21-1487593702-3916242759-977676160-1000\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Tencent Reg: reg delete "HKLM\SYSTEM\VritualRoot\USER\S-1-5-21-1487593702-3916242759-977676160-1000\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\Uninst.exe" /f Reg: reg delete "HKLM\SYSTEM\VritualRoot\USER\S-1-5-21-1487593702-3916242759-977676160-1000\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\UninstallTips.exe" /f Reg: reg delete "HKU\S-1-5-21-1487593702-3916242759-977676160-1000\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\Uninst.exe" /f Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Wyłącz COMODO na czas operacji. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Jak już powiedziałam, Twoje raporty wskazują, że infekcja nie jest już aktywna. Nie istnieje element startowy który mógłby ją odnawiać. Proces szyfrowania się już w pełni ukończył na Twoim komputerze. Pliki *.crypt to tylko zaszyfrowane dane i nie mogą zainfekować komputera. Można je zgrać na inny nośnik lub zostawić na bieżących dyskach. Wg raportów nie ma widocznych elementów tej infekcji, a zaszyfrowane pliki to są "tylko" skutki infekcji. Mówiłam, że w systemie pozostały "drobne odpadki adware", czyli zupełnie inny typ śmieci w ogóle nie powiązany z omawianą tu infekcją CryptXXX. Należy je usunąć. Zaznaczałam, że mogę się tym zająć, jeśli nie wybierzesz opcji formatowania C. Czyli mam podać te instrukcje? Infekcja CryptXXX jest ładowana via exploit Angler, tzn. odwiedzona została szkodliwa strona która wykonuje instrukcje detekcji luk w zainstalowanym oprogramowaniu i dzięki znalezieniu ich załadowanie malware na komputer. Ta szczególna infekcja używa "timera" (opóżnienia) między momentem infekcji z odwiedzonej strony a rozpoczęciem procesu szyfrowania, by utrudnić identyfikację witryny z której nastąpiła infekcja. Reinstalacja Firefox nie ma tu nic do rzeczy. W kwestii zabezpieczeń, pomijając oczywiste aktualizacje aplikacji i Windows oraz wykonywanie kopii zapasowych cennych danych, pomocą służą dodatkowe programy z listy:

Temat przenoszę do innego działu. Stronę (Hodowla kotów brytyjskich) otwieram bez problemu. 1. Błąd ogólnie jest wynikiem konfiguracji strony serwerowej. Przykładowe kroki jakie się wykonuje w takich przypadkach. Skoro koleżanka "nie zna się", to kto ma dostęp do panelu zarządzania i konfiguracji serwera? 2. Aczkolwiek może być też wynikiem próby otwierania niedostępnego fragmentu URL. "wchodząc w zakładki" - jaki konkretnie URL jest w zakładkach, tylko http://www.mibrimi.pl/ (otwiera się poprawnie), czy nie jest aby coś tam "dopisane", np. http://www.mibrimi.pl/index.php (błąd 403)? Gdyby adres wyglądał podobnie do drugiego wariantu, po prostu usunąć zakładkę, otworzyć stronę w pierwszym wariancie i zapisać zakładkę ponownie...

W raportach nie ma ani śladu infekcji, co jest spodziewane po reinstalacji Windows. ComboFix jest już nieco "przestarzały", w zasadzie od lat nie używam go już na forum, bo praktycznie wszystko da się załatwić bez jego użycia. Nie jest też wybitnie specjalizowany w temacie z którym miałeś do czynienia (adware/PUP), ani nie służy do rozwiązywania opisywanego tu problemu. Nawet gdybyś go uruchomił, problemu by to wcale nie rozwiązało. To nie jest problem infekcji tylko przestawionych preferencji regionalnych i językowych. Prawy klik na przycisk Start > Panel sterowania > Zegar, Język i Region > Region > Zmień lokalizację > jaki kraj jest ustawiony? W przypadku zmiany tego ustawienia trzeba zresetować system. Oraz w sekcji Języki jaki jest ustawiony jako "preferowany" i czy są inne pakiety? Gdyby były inne pakiety obecne, zredukować je.

Ewentualnie zamiast USB spróbować nagrać płytę CD. Ale od razu mówię, że format jest na pewno lepszym rozwiązaniem. Nawet po pomyślnym leczeniu z Ramnit system raczej nie wraca do dawnej sprawności, a od zakresu uszkodzeń zależy jak bardzo jest to widoczne (i tak reinstalacja Windows + programów może być wymagana).

Format C załatwi sprawę na partycji C. Nie otrzymałam FRST Addition, więc nie wiem ile jeszcze partycji jest w systemie. Jeśli więcej niż tylko C, to są one zagrożeniem i po formacie trzeba by było je natychmiast przeskanować, nie próbując z nich nic uruchamiać. Z zainfekowanych dysków nie można też obecnie skopiować żadnych plików wykonywalnych (instalki / sterowniki, etc.) ani plików HTML, gdyż po formacie nastąpi z nich reinfekcja.

Kolejne podejście z naprawą komponentów: Klawisz z flagą Windows + X > Wiersz polecenia (administrator) > wklej następującą komendę: dism /Online /Cleanup-Image /RestoreHealth ENTER, poczekaj na ukończenie zadania, zresetuj system.

Z tego co widzę, błąd pojawił się tylko dla jednego szczególnego wystąpienia (to samo ActivityId), mówiący po prostu że nowszy pakiet którejś z aplikacji już jest w systemie. Mimo wszystko zresetuj system i podaj czy są jakieś zmiany.

Spróbuj przebudować natywne aplikacje Windows 10: Uruchom menedżer zadań > Plik > Uruchom nowe zadanie > w polu wklep powershell > zaznacz "Utwórz to zadanie z uprawnieniami administracyjnymi". W onie PowerShell wklej poniższe polecenie: Get-AppxPackage -AllUsers | Foreach {Add-AppxPackage -Register "$($_.InstallLocation)\AppXManifest.xml" -DisableDevelopmentMode} Zanotuj czy w oknie pokażą się błędy (w razie czego zrób zrzut ekranu z tego fragmentu). Po akcji zresetuj system.

Wstępnie zrób weryfikację sfc /scannow i dostarcz przefiltrowany raport: KLIK.

Poleciłam płytę, bo zewnętrzne środowisko to najlepsza metoda w przypadku infekcji w wykonywalnych, przy założeniu że podejmuje się kroki dezynfekcji a nie od razu format. Nie ma jednak gwarancji, że płyta podoła zadaniu. Ramnit bardzo trudno ubić, a szkody przezeń poczynione mogą być tak obszerne, że w wielu przypadkach kończy się na formacie dysku.

Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Prawdopodobnie tak, konsekwencja nieużycia deinstalatora. Punkt 1 zgodnie z planem, ale nadal widzę że nie wykonałeś puntu 2. W raporcie nadal stoi folder z uszkodzoną nazwą użytkownika C:\Users\PaweĹ‚ (nie mylić z poprawnym C:\Users\Paweł). Czy był jakiś problem z jego usunięciem?

Brakuje raportów FRST Addition + Shortcut. Ale to już sobie darujmy na razie. W podanym raporcie FRST nie widać aktywnego loadera Ramnit (choć GMER nie podany), za to za dużo antywirusów (Avast + Kaspersky). Jeśli problemem obecnie są masowo zainfekowane pliki wykonywalne i HTML, zostaje próba leczenia infekcji z poziomu bootowalnej płyty Kaspersky Rescue Disk. Wszystkie zainfekowane pliki leczyć lub jeśli to niemożliwe wyrzucać z dysku.

Problemem jest, że CKW jakimś cudem zmodyfikował wartość Userinit, niezbędną do ładowania powłoki: HKLM\...\Winlogon: [userinit] D:\Programy\CzasoWylacznik4\czasowyl.exe -tray, Akcja do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Winlogon: [userinit] D:\Programy\CzasoWylacznik4\czasowyl.exe -tray, Task: {173BC8B0-3647-4AE7-88C3-5232C37129DE} - System32\Tasks\AutoPico Daily Restart => C:\Program Files\KMSpico\AutoPico.exe Task: {9E976AF5-7563-4E4A-8BBB-4CE69CEC399E} - System32\Tasks\Driver Booster SkipUAC (Paweł) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\Paweł\Doctor Web RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CzasoWyłącznik 4 EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez SHIFT+DEL (omija Kosz) skasuj z dysku folder z uszkodzoną nazwą użytkownika: C:\Users\PaweĹ‚ 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition. Dołącz też plik fixlog.txt. Pliki załączasz poprzez: na spodzie tematu w polu szybkiej odpowiedzi > Więcej opcji.

Czy Autoruns został uruchomiony za pomocą "Uruchom jako Administrator"? W Options to raczej nie ma żadnego filtra, który byłby zdolny ukryć aktywne obiekty producentów trzecich (np. sterowniki Avast). I pytanie czy po ostatniej porcji zadań + restart są nadal jeszcze jakieś problemy?

Co konkretnie usuwałeś, jaki typ wpisów, czy coś więcej niż zaleciłam? To co mnie niepokoi to jak ten log wygląda (powinno być więcej wpisów), w ogóle nie widać określonych elementów, które powinny być, np. sterowniki Avast. Czyżbyś usunął za dużo w Autoruns?

Fix FRST pomyślnie wykonany. Natomiast ten log z Autoruns jest tak krótki, że aż podejrzany, na pewno tylko tyle niedomyślnych elementów tam widać? Jeśli na pewno to kompletny odczyt, to nie ma tu nic do roboty. W kwestii Windows Update, ponów próbę po tymczasowym wyłączeniu Avast. Ale Windows będzie mielił. To niestety jest obecnie "normalne". Od końca 2015 nastąpiły zmiany w sposobie pracy Windows Update Windows 7 i Vista, wyszukiwanie i pobieranie aktualizacji trwa o wiele dłużej (np. może trwać wiele godzin). Na dodatek podczas tego procesu może być mocno obciążony procesor przez svchost hostujący usługę Windows Update.

Wszystko wygląda dobrze. Poprawki: 1. Usunięcie ukrytego wpisu Amazon. Uruchom Zoek. W oknie wklej: Amazon 1Button App;u Klik w Run Script. Przedstaw wynikowy log zoek-results.txt (po zmianie nazwy z *.log). 2. Wdrożenie zaległej komendy EmptyTemp: i pozostałe mniejsze poprawki na odpadki. Otwórz Notatnik i wklej: CloseProcesses: Task: {497DE5BF-5A78-4303-8DE2-344D3A343647} - \Microsoft\Windows\Media Center\ConfigureInternetTimeService -> Brak pliku DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Amazon 1Button App Service DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\GamesAppIntegrationService DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\GamesAppService RemoveDirectory: C:\AVG_Remover RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Nero RemoveDirectory: C:\Program Files (x86)\NewTech Infosystems RemoveDirectory: C:\Program Files (x86)\Packard Bell Games RemoveDirectory: C:\ProgramData\CyberLink RemoveDirectory: C:\ProgramData\Nero RemoveDirectory: C:\ProgramData\WildTangent RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games RemoveDirectory: C:\Users\KLAKIA\AppData\Roaming\WildTangent RemoveDirectory: C:\Users\ROBERT\AppData\Roaming\WildTangent EmptyTemp: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny*. Uruchom FRST i kliknij w Napraw (Fix). Gdy Fix ukończy pracę, nastąpi restart systemu. Przedstaw wynikowy fixlog.txt. * Przycisk Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > nastąpi restart i pojawi się ekran z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > wybrać Tryb awaryjny.