Появляются файлы на рабочем столе и в панели задач

[klewik]

При попытке установить программу наткнулся на вредоносный сайт, после на рабочем столе и панели задач стали появляться ярлыки по типу "поиск в интернете" и процессы не внушающие доверия в диспетчере задач, как это исправить.
Заранее спасибо

[Info_bot]

Уважаемый(ая) klewik, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[lex0819]

Здравствуйте!

1. Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.
* Распакуйте архив с утилитой в отдельную папку.
* Перенесите файл Check_Browsers_LNK.log из логов на ClearLNK как показано на рисунке

* Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.
* Прикрепите этот отчет к своему следующему сообщению.

2. Пофиксите в HiJackThis.
Сама программа HiJackThis находится в папке AutoLogger, в подпапке HiJackThis

Код:

O4 - HKCU\..\Run: [wvaiklmwip] C:\Windows\explorer.exe "http://furyery.ru/?utm_source=uoua03&utm_content=5c960e458ac6158314c6529e8f71f655&utm_term=08DCFDDEEF0CE3BAF303FC1050658676&utm_d=20170621"
O4 - HKCU\..\RunOnce: [isjlcpmgeb] C:\Users\Вика\AppData\Local\Temp\GI1rOICaq5JW.exe  (file missing)
O4 - HKCU\..\RunOnce: [oflqqwvwmc] C:\Users\Вика\AppData\Local\Temp\0XhCOhbw9VLU.exe  (file missing)
O4 - HKCU\..\RunOnce: [speeddialmaker_delete_self] C:\Users\4600~1\AppData\Local\Temp\TTDCYX~1.EXE --selfdelete (file missing)
O4 - HKCU\..\RunOnce: [uwzwttklkm] C:\Users\Вика\AppData\Local\Temp\i8aOZjK2PAl0.exe  (file missing)
O4 - HKCU\..\RunOnce: [zvrmsneojk] C:\Users\Вика\AppData\Local\Temp\9JnzXPQ1v77R.exe  (file missing)
O17 - HKLM\System\CSS\Services\Tcpip\..\{39FEC5E9-73E8-4EBA-9946-EC0B64D5F7BB}: NameServer = 156.154.70.25
O17 - HKLM\System\CSS\Services\Tcpip\..\{39FEC5E9-73E8-4EBA-9946-EC0B64D5F7BB}: NameServer = 156.154.71.25
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{39FEC5E9-73E8-4EBA-9946-EC0B64D5F7BB}: NameServer = 156.154.70.25
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{39FEC5E9-73E8-4EBA-9946-EC0B64D5F7BB}: NameServer = 156.154.71.25
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{39FEC5E9-73E8-4EBA-9946-EC0B64D5F7BB}: NameServer = 156.154.70.25
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{39FEC5E9-73E8-4EBA-9946-EC0B64D5F7BB}: NameServer = 156.154.71.25
O22 - Task (Ready): MSI - C:\Users\Вика\AppData\Roaming\Microsoft\msi.exe cnt=3 fts="Desktop\activwin-7___.exe"

3. Посмотрите, вы сами ставили эти программы?

Код:

C:\Users\Вика\AppData\Roaming\SIVApp\SIVApp.exe
C:\Program Files (x86)\Ultimate-Discounter Browser
C:\Users\Вика\AppData\Local\Gaijin\Program Files (x86)\NetAgent\gjagent.exe

Если они вам не нужны, - удалите.

4. Временно отключите защитное ПО.

Выполните скрипт AVZ.

Код:

begin
 QuarantineFile('C:\Windows\system32\bstreamsvc.dll','');
 QuarantineFile('C:\Users\Вика\AppData\Roaming\Microsoft\msi.exe','');
 QuarantineFile('C:\Users\Вика\AppData\Local\Temp\i8aOZjK2PAl0.exe','');
 QuarantineFile('C:\Users\Вика\AppData\Local\Temp\9JnzXPQ1v77R.exe','');
 QuarantineFile('C:\Users\Вика\AppData\Local\Temp\GI1rOICaq5JW.exe','');
 QuarantineFile('C:\Users\4600~1\AppData\Local\Temp\TTDCYX~1.EXE','');
 QuarantineFile('C:\Users\Вика\AppData\Local\Temp\0XhCOhbw9VLU.exe','');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','oflqqwvwmc');
 DeleteFile('C:\Users\Вика\AppData\Local\Temp\0XhCOhbw9VLU.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','speeddialmaker_delete_self');
 DeleteFile('C:\Users\4600~1\AppData\Local\Temp\TTDCYX~1.EXE','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','isjlcpmgeb');
 DeleteFile('C:\Users\Вика\AppData\Local\Temp\GI1rOICaq5JW.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','zvrmsneojk');
 DeleteFile('C:\Users\Вика\AppData\Local\Temp\9JnzXPQ1v77R.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\RunOnce','uwzwttklkm');
 DeleteFile('C:\Users\Вика\AppData\Local\Temp\i8aOZjK2PAl0.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\MSI','64');
 DeleteFile('C:\Users\Вика\AppData\Roaming\Microsoft\msi.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\{0F446F29-14FF-44CF-B189-D07225B6A841}','64');
 DeleteFile('C:\Windows\system32\Tasks\{A71FF7C4-FDD3-4D4A-83BD-65045CBD04D5}','64');
 DeleteFile('C:\Windows\system32\bstreamsvc.dll','32');
ExecuteSysClean;
ExecuteRepair(21);
ExecuteWizard('TSW',2,3,true);
ExecuteWizard('SCU',2,2,true);
RebootWindows(true);
end.

Компьютер перезагрузится.
Выполните скрипт AVZ.

Код:

begin
 CreateQurantineArchive(GetAVZDirectory +'quarantine.zip');
end.

5. Пришлите архив карантина из папки AVZ.

6. Сделайте новые логи программой Autologger и пришлите их.

7. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.