Landuss

Przywracanie włączysz sobie na końcu. Teraz przejdźmy do czynności finalnych. 1. Użyj opcji Clean z Ad-Remover oraz opcji Sprzątanie z OTL 2. W Start > w polu szukania wklej i wywołaj polecenie "C:\Users\Mati\Desktop\ComboFix.exe" /uninstall 3. Zaktualizuj oprogramowanie: Internet Explorer (Version = 8.0.7601.17514) "{AC76BA86-7AD7-1033-7B44-A94000000001}" = Adobe Reader 9.4.6 "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin Szczegóły aktualizacyjne w tym wątku: KLIK.

ComboFix pomyślnie usunął rootkita. Teraz drobne poprawki. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\cleanup.bat C:\backup.reg C:\Windows\system32\drivers\ktdanfz.sys C:\Windows\system32\drivers\zqdb.sys :Services fdfcj pqtebzyj :OTL [2010/07/01 23:17:13 | 000,001,196 | ---- | M] () -- C:\Users\Mati\AppData\Roaming\Mozilla\Firefox\Profiles\f5dr6860.default\searchplugins\winamp-search.xml O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O8 - Extra context menu item: &Winamp Search - C:\ProgramData\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj zbędny sponsoring Winamp Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

Masz infekcję ZeroAccess. Na szczęście masz system 64-bitowy a na takim systemie ta infekcja przebiega znacznie łagodniej i łatwiej ją wyleczyć. 1. Rozpocznij od użycia ComboFix i wklej z niego wynikowy raport. 2. Zaprezentuj nowe logi z OTL.

To jest obojętne czy będzie ta opcja włączona czy nie, ale należy się przychylać bardziej do zaznaczenia. A w opisie jest stary screen dlatego taka sytuacja. Jeśli chodzi o logi to jest OK, na koniec wykonaj jeszcze poniższe czynności: 1. Użyj opcję Sprzątanie w OTL. 2. Wykonaj ważne aktualizacje: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F86416017FF}" = Java 6 Update 17 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java 6 Update 22 "{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.4.0 MUI "Mozilla Firefox (3.6.22)" = Mozilla Firefox (3.6.22) Zainstaluj SP1 + IE9 dla Windows, oraz zaktualizuj pozostałe: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. .

Dodałeś log z Gmer i rzeczywiście on sugeruje, że tu może być rootkit w MBR. Wstępnie wykonaj skan za pomocą Kaspersky TDSSKiller. Na początek jeśli coś wykryje wybierz opcję Skip a tutaj przedstaw raport.

Nie wygląda by to była sprawa infekcyjna. Logi są czyste a temat przenoszę do odpowiedniego działu. Jeśli chodzi o zniknięcie Kosza to łatwo przywrócić. Wklej do notatnika taki tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{645FF040-5081-101B-9F08-00AA002F954E}] @="Recycle Bin" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}] @="Recycle Bin" "InfoTip"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,\ 6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,\ 00,53,00,48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,\ 2d,00,32,00,32,00,39,00,31,00,35,00,00,00 "SortOrderIndex"=dword:00000060 "IntroText"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,\ 6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,\ 00,53,00,48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,\ 2d,00,33,00,31,00,37,00,34,00,38,00,00,00 "LocalizedString"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,\ 6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,\ 00,5c,00,53,00,48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,\ 2c,00,2d,00,38,00,39,00,36,00,34,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\DefaultIcon] @=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\ 00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,\ 65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,33,00,31,00,00,\ 00 "Empty"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\ 00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,\ 68,00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,33,00,31,\ 00,00,00 "Full"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\ 00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,\ 68,00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,33,00,32,\ 00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\InProcServer32] @="shell32.dll" "ThreadingModel"="Apartment" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\shellex] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\shellex\ContextMenuHandlers] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\shellex\ContextMenuHandlers\{645FF040-5081-101B-9F08-00AA002F954E}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\shellex\PropertySheetHandlers] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\shellex\PropertySheetHandlers\{645FF040-5081-101B-9F08-00AA002F954E}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\ShellFolder] "Attributes"=hex:40,01,00,20 "CallForAttributes"=dword:00000040 Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik Kosz powinien się pojawić po restarcie na pulpicie. Natomiast jeśli chodzi o Operę to czy sprawdzałeś prostego kroku a więc deinstalacji i ponownej instalacji? Jesli tak i nic tio nie dało to sprawdź czy problem występuje w trybie awaryjnym.

W logach nie widać aktywnej infekcji. DO usunięcia jedynie drobne szczątki. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\Ania\AppData\Roaming\Adobe\plugs :OTL IE - HKU\S-1-5-21-2049475909-3627095907-3941615579-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://vshare.toolbarhome.com/?hp=df " FF - prefs.js..browser.search.defaultenginename: "Web Search..." FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q=" [2011.01.28 19:21:06 | 000,000,000 | ---D | M] (vShare) -- C:\Users\Ania\AppData\Roaming\mozilla\Firefox\Profiles\0xlbdpu2.default\extensions\vshare@toolbar [2011.01.28 19:21:16 | 000,001,583 | ---- | M] () -- C:\Users\Ania\AppData\Roaming\Mozilla\Firefox\Profiles\0xlbdpu2.default\searchplugins\web-search.xml O4 - HKLM..\Run: [] File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

Logi z OTL powinny być dwa. Opcja "Rejestr - skan dodatkowy" ma być zaznaczona na "Użyj filtrowania. Obecnie nie widać tutaj śladu aktywnej infekcji. Rozpocznij od sprawdzenia problemu wycisku procesora na czystym rozruchu: KLIK

Harmonogram zadań w Windows 7 to bardzo ważna część systemu i to coś więcej niż tylko harmonogram dlatego nie wolno go wyłączać. System z niego mocno korzysta.

Z darmowych może być - Microsoft Security Essentials / Panda Cloud Antivirus / Avast Temat jako ukończony zamykam

Teraz już wygląda, że wszystko wykonane i problemy powinny minąć. Przejdźmy do czynności finalnych. 1. Odinstaluj jeszcze wcześniej przeoczony sponsoring DAEMON Tools Toolbar 2. W Start > Uruchom > wklej i wywołaj polecenie "c:\documents and settings\Mirek\Pulpit\ComboFix.exe" /uninstall co prawidłowo odinstaluje ComboFix i wyzeruje stan przywracania systemu. 3. Wykonaj aktualizacje: "{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java 6 Update 26 "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Mozilla Firefox 5.0 (x86 pl)" = Mozilla Firefox 5.0 (x86 pl) Szczegóły aktualizacyjne w tym wątku: KLIK. .

Jeden z plików nie został jeszcze naprawiony nie wiem dlaczego, ale wcześniej nie zauważyłem w logu, że systemowy plik sfcfiles.dll wygląda na zainfekowany. Plik trzeba podmienić. 1. Pobierz oryginalny plik pod XP SP3: KLIK Plik umieść bezpośrednio na dysku C:\ 2. Otwórz Notatnik i wklej w nim ten tekst: FCopy:: c:\sfcfiles.dll | c:\windows\system32\dllcache\sfcfiles.dll c:\sfcfiles.dll | c:\windows\system32\sfcfiles.dll RenV:: c:\program files\Microsoft ActiveSync\wcescomm .exe 3. Przeciągasz tak jak poprzednio i wklejasz wynikowy log.

Według spodziewań jest infekcja autostartu. Wklej do notatnika ten tekst: RenV:: c:\program files\Ahead\InCD\InCD .exe c:\program files\ALLPlayer\ALLUpdate .exe c:\program files\Avira\AntiVir Desktop\avgnt .exe c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM .exe c:\program files\Common Files\Java\Java Update\jusched .exe c:\program files\CyberLink DVD Solution\PowerDVD\PDVDServ .exe Driver:: 93866994 mv91xx Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób: Dajesz wynikowy log z ComboFix.

Infekcja została usunięta i problemy powinny zniknąć. Wykonaj jeszcze tylko czynności końcowe. 1. Używasz opcję Sprzątanie w OTL. 2. Wykonaj aktualizacje oprogramowania: "{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java 6 Update 26 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.6 - Polish "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin Szczegóły aktualizacyjne w tym temacie: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. .

Format zawsze pomaga, ale nie jest to tutaj wcale potrzebne. Bez formatu da się to załatwić. Oczywiście przejście na Windows 7 jest jak najbardziej słusznym krokiem. Od XP należy już powoli uciekać.

Właśnie niedawno doszliśmy tutaj do wniosku, że przy tej infekcji jest zainfekowany cały autostart dlatego nadal masz problemy. W takim wypadku musisz uruchomić ComboFix i wkleić wynikowy log.

W takim razie użyj zgodnie z wytycznymi ComboFix i wklej wynikowy log. Zaprezentuj tez nowy log z Gmer.

W takim razie użyj Ad-Remover z opcji Clean, a potem wykonaj jeszcze raz ze skanowania. Jesli chodzi o logi z OTL nadal widać infekcję i musisz wykonać kolejny skrypt o takiej zawartości: :Files C:\Documents and Settings\Mirek\buegie.exe C:\Documents and Settings\Mirek\vuogit.exe C:\Documents and Settings\Mirek\jot.exe C:\Documents and Settings\Mirek\pwil.exe C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\3HSatM.dat :OTL O4 - HKU\S-1-5-21-1547161642-583907252-1417001333-1003..\Run: [PKTray] C:\Program Files\Przyspiesz Komputer\PKTray.exe File not found O4 - HKU\S-1-5-21-1547161642-583907252-1417001333-1003..\Run: [qavez] C:\Documents and Settings\Mirek\qavez.exe () O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Password .lnk = File not found O4 - Startup: C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\Autostart\Password .lnk = File not found :Commands [emptytemp] Do obejrzenia dajesz nowe logi z OTL i Ad-Remover.

Wszystko ładnie zeszło i problem powinien zostać zażegnany, tylko potwierdź to. Do wykonania czynności końcowe: 1. Zmień sobie hasła logowania. Rootkity w MBR lubią zbierać te dane. 2. Użyj opcję Sprzątanie w OTL oraz odinstaluj Ad-Remover. 3. System nie ma pliku hosts: Hosts file not found Otwórz systemowy Notatnik i wklej do niego: 127.0.0.1 localhost Plik zapisz jako hosts (bez żadnego rozszerzenia) np. na pulpit a następnie przenieś do lokalizacji C:\Windows\system32\drivers\etc 4. Wykonaj aktualizacje oprogramowania: "{26A24AE4-039D-4CA4-87B4-2F83216027FF}" = Java 6 Update 27 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.0 - Polish "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin Szczegóły aktualizacyjne w tym wątku: KLIK. 5. Opróżnij folder Przywracania systemu: KLIK. .

Nie dałeś jeszcze raportu z Kasperskyego, ale sądząc po Gmerze operacja się wykonała. Teraz można przejść do dalszych działań. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\tasks\At*.job C:\WINDOWS\Temp\udpmpv C:\Documents and Settings\Mirek\hoihaz.exe C:\Documents and Settings\Mirek\reetx.exe C:\Documents and Settings\Mirek\lorot.exe C:\Documents and Settings\Mirek\jot.exe C:\Documents and Settings\Mirek\good.exe C:\Documents and Settings\Mirek\woh.exe C:\Documents and Settings\Mirek\baukap.exe :Services AntiVirService AntiVirSchedulerService AMService :OTL [2011-04-23 10:59:53 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Documents and Settings\Mirek\Dane aplikacji\Mozilla\Firefox\Profiles\nuvv35dp.default\extensions\DTToolbar@toolbarnet.com O4 - HKU\S-1-5-21-1547161642-583907252-1417001333-1003..\Run: [PowerBar] File not found O4 - HKU\S-1-5-21-1547161642-583907252-1417001333-1003..\Run: [zouat] C:\Documents and Settings\Mirek\zouat.exe () O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Logitech SetPoint.lnk = File not found O20 - Winlogon\Notify\jamirte: DllName - (C:\Documents and Settings\NetworkService.ZARZĄDZANIE NT\Ustawienia lokalne\Dane aplikacji\jamirte.dll) - File not found @Alternate Data Stream - 24 bytes -> C:\WINDOWS:8803E0D5CBAB1627 :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

W porządku, teraz można się brać za inne trojany obecne w systemie. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\tasks\At*.job C:\WINDOWS\Fonts\rkR65QFA.com C:\Documents and Settings\Mynar\Dane aplikacji\update.exe C:\Documents and Settings\All Users\Dane aplikacji\8B05jvDKD.dat :OTL O4 - HKU\S-1-5-21-606747145-287218729-725345543-1003..\Run: [daemon] C:\Documents and Settings\Mynar\Dane aplikacji\Microsoft\Helper\daemon.exe () O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe File not found O9 - Extra 'Tools' menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe File not found O20 - Winlogon\Notify\jamirte: DllName - (C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\jamirte.dll) - C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\jamirte.dll () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

W takim razie pozostaje ręczne nadpisanie MBR - start do Konsoli Odzyskiwania i użyć polecenia FIXMBR Potem skan dla pewności Kasperskym i Gmerem + wklejenie raportów.

"Hello4" oraz "Blank Window2" to oznaki rootkita w MBR co potwierdza też Gmer. Pierwsze co wykonaj to skan narzędziem Kaspersky TDSSKiller. Kiedy wykryje rootkita TDL kliknij w opcję Cure. Wklej z niego wynikowy raport oraz nowy log z Gmer.

Infekcja usunięta, ale jeszcze wykonaj skrypt kosmetyczny usuwający drobne odpadki o takiej zawartości: :Files C:\Users\3ndriu\AppData\Local\Conduit C:\Users\3ndriu\AppData\LocalLow\Conduit C:\Program Files\Conduit C:\Program Files\ConduitEngine C:\Program Files\Application Updater C:\Users\3ndriu\AppData\LocalLow\pdfforge C:\Program Files\pdfforge Toolbar C:\Users\3ndriu\AppData\LocalLow\Search Settings C:\Program Files\Common Files\Spigot C:\Program Files\WinSCP\OpenCandy :Reg [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}] [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{DB885111-F39F-4D88-9EE5-C88460B6DF7B}] [-HKEY_LOCAL_MACHINE\Software\Classes\Conduit.Engine] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2776682] [-HKEY_LOCAL_MACHINE\Software\Application Updater] [-HKEY_LOCAL_MACHINE\Software\Conduit] [-HKEY_LOCAL_MACHINE\Software\pdfforge] [-HKEY_LOCAL_MACHINE\Software\Search Settings] [-HKEY_CURRENT_USER\Software\PartyGaming] [-HKEY_CURRENT_USER\Software\Zugo] [-HKEY_CURRENT_USER\Software\AppDataLow\Software\pdfforge] [-HKEY_CURRENT_USER\Software\AppDataLow\Software\Search Settings] [-HKEY_LOCAL_MACHINE\Software\Classes\Installer\Products\7A931B0A5D8E8E947AFB2124E1562280] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\7A931B0A5D8E8E947AFB2124E1562280] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\MSConfig\startupreg\Readar_sl] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\MSConfig\startupreg\SearchSettings] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}] :OTL IE - HKCU\..\URLSearchHook: {51a86bb3-6602-4c85-92a5-130ee4864f13} - No CLSID value found O3 - HKLM\..\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found. Do obejrzenia dajesz już tylko nowy log z Ad-Remover.

W porządku - infekcja usunięta. Do zrobienia kroki końcowe: 1. Użyj opcję Sprzątanie w OTL oraz opcję Clean z Ad-Remover przy zamkniętej przeglądarce. 2. Wykonaj aktualizacje Java i Adobe Reader: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. .