Infekcja pochodzi najczęściej z plików pobranych z niezaufanych stron.
Automatycznie dodawany jest wpis w sekcji Run oraz w Task
HKU\S-1-5-21-2688734218-161217015-2599257622-1000\…\Run: [PC] => explorer.exe hxxp://dipladoks.org
Task: {4CBA7E30-XXXX-4F77-AE14-XXXXXXXXXXXX} – System32\Tasks\PC => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v PC /t REG_SZ /d „explorer.exe hxxp://dipladoks.org”
Pierwszy (Run) uruchamia szkodliwą stronę wraz ze startem komputera.
Drugi (Task) – dodaje wpis uruchamiający do rejestru.
Przejdźmy do sposobu usunięcia
Na początek należy odszukać wpis w Task, czyli Harmonogramie zadań.
Kliknij prawym przyciskiem myszy na Start i Wyszukaj
Potem w oknie zacznij wpisywać Harmonogram, a odpowiedni program pojawi się na górze listy
Wybierz w lewym oknie Biblioteka Harmonogramu zadań, a po prawej kliknij Akcje.
W zaznaczonym oknie odszukaj wpis uruchamiający Okno cmd.exe. Właściwa linia pojawi się w oknie pod zakładką Akcje.
Po odnalezieniu szkodliwej linii naciśnij na niej prawym myszki i wybierz Usuń.
Okno Harmonogramu można zamknąć.
Kolejnym krokiem jest odnalezienie wpisu uruchamiającego szkodliwą stronę w Rejestrze.
Naciśnij Win+R i wpisz regedit.exe i Enter.
Potem przechodząc poprzez kolejne gałęzie rejestru, według poniższej linii, odnajdź szkodliwy wpis. Następnie zaznacz szkodliwy wpis i usuń go z rejestru.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Można również odnaleźć wpis w Menedżerze Zadań w zakładce Uruchamianie.
Ostatnią rzeczą jest oczyszczenie historii aktualnie używanych przeglądarek.