Здравствуйте.
После запуска компьютера появляется проблема с доступом к Интернету или сайту. Зайдя в диспетчер задач, я обнаружил на подозрительные файлы всякие winabcfd.exe, которые я в n-ый раз удаляю и в процессе и в реестре автозапуска, но не помогает.

- Исправьте с помощью утилиты ClearLNK (https://safezone.cc/resources/102/) следующие ярлыки, отчёт о работе прикрепите:


>>> [HTTP][RO][s] "C:\Users\Denis\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk" -> ["C:\Program Files\Internet Explorer\iexplore.exe" =>> "hxxp://rugooglee.ru"]
>>> [HTTP][RO][s] "C:\Users\Denis\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera Unofficial.lnk" -> ["C:\Program Files\Opera Unofficial\OperaLauncher.exe" =>> "hxxp://rugooglee.ru"]



Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):


begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
SetServiceStart('BrsHelper', 4);
SetServiceStart('sbmntr', 4);
StopService('sbmntr');
QuarantineFile('C:\PROGRA~1\COMMON~1\System\SysMenu.dll', '');
QuarantineFile('C:\PROGRA~2\YTDOWN~1\BROWSE~2.EXE', '');
QuarantineFile('C:\PROGRA~2\YTDOWN~1\sbmntr.sys', '');
QuarantineFile('C:\Program Files\Common Files\lsass.exe', '');
QuarantineFile('C:\ProgramData\csrss.exe', '');
QuarantineFile('C:\Users\Denis\AppData\Local\GoToMeeting\12933\g2mupdate.exe', '');
QuarantineFile('C:\windows\3622157919425178\winlpwq.exe', '');
QuarantineFile('C:\windows\4898364518958176\winutmx.exe', '');
QuarantineFile('C:\windows\7485253215635974\winbjyv.exe', '');
QuarantineFile('c:\windows\8677886615281465\winxbbk.exe', '');
QuarantineFile('C:\windows\TEMP\13784225D.sys', '');
DeleteFile('C:\PROGRA~1\COMMON~1\System\SysMenu.dll', '64');
DeleteFile('C:\PROGRA~2\YTDOWN~1\BROWSE~2.EXE', '64');
DeleteFile('C:\PROGRA~2\YTDOWN~1\sbmntr.sys', '64');
DeleteFile('C:\Program Files\Common Files\lsass.exe', '64');
DeleteFile('C:\ProgramData\csrss.exe', '64');
DeleteFile('C:\windows\3622157919425178\winlpwq.exe', '32');
DeleteFile('C:\windows\4898364518958176\winutmx.exe', '32');
DeleteFile('C:\windows\7485253215635974\winbjyv.exe', '32');
DeleteFile('C:\windows\8677886615281465\winxbbk.exe', '32');
DeleteFile('C:\windows\TEMP\13784225D.sys', '64');
DeleteService('BrsHelper');
DeleteService('sbmntr');
DeleteSchedulerTask('{09399987-F793-40B0-B656-CC867CFA2123}');
DeleteSchedulerTask('{12604B4A-F4E6-4B87-B33E-44B53D190937}');
DeleteSchedulerTask('{178360DF-B20C-4A83-ACD3-705BB4602DB4}');
DeleteSchedulerTask('{308572E5-0208-4AF5-A4DB-2985F5656709}');
DeleteSchedulerTask('{37723531-5D36-48C3-BB27-8729662544D4}');
DeleteSchedulerTask('{436A0DC9-D57F-4F47-9D3C-37B7CE4C7A51}');
DeleteSchedulerTask('{4ED37E70-E849-4099-BBA6-BB644C7A95F3}');
DeleteSchedulerTask('{65EDA0D1-369D-4884-A6F4-D77BB423A742}');
DeleteSchedulerTask('{6AB136DB-E49D-497D-A17C-BC233FDBBF1F}');
DeleteSchedulerTask('{6B7E0833-E63A-4AA5-A3BF-4CCFAB0C99A8}');
DeleteSchedulerTask('{A240B0D5-E5E7-4E10-94D1-885B57E771DF}');
DeleteSchedulerTask('{B8AB0158-C4AB-498A-81B2-1ECA206B52A4}');
DeleteSchedulerTask('{C45BD810-8B63-4B2F-B539-2B2C88B540B7}');
DeleteSchedulerTask('{CD0DCB76-2622-4939-9BEF-1AAF6D637FAB}');
DeleteSchedulerTask('{D4DD82C2-03A7-416C-B9C1-B35B0E6DD8DA}');
DeleteSchedulerTask('{E0EB5928-6342-4B39-AD5D-CD0B73DF9C73}');
DeleteSchedulerTask('{E4F926E9-85CC-4620-97DE-5BFBB485ACD3}');
DeleteSchedulerTask('{EB223C7B-1C75-44DD-AB60-295F36F20620}');
DeleteSchedulerTask('{EB6F3EDC-3D1C-464B-9D66-3037975573AD}');
DeleteSchedulerTask('{F46A1C3A-BFB7-4184-B846-A5FD9724F226}');
DeleteSchedulerTask('{FBD68C56-6230-4623-B52C-6BEE2CC938AD}');
DeleteSchedulerTask('Microsoft\Windows\Maintenance\SMupdate2');
DeleteSchedulerTask('Microsoft\Windows\Multimedia\SMupdate3');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'Audio Driver', 'x64');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Microsoft Windows Services', 'x32');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows DDGG', 'x32');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Windows Update 39405', 'x32');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'WindowsServicesUpdates32', 'x32');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportALL;
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.


Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://dragokas.com/virusnet/) или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма..

"Пофиксите" в HijackThis (http://forum.oszone.net/post-1430293-2.html) (некоторые строки могут отсутствовать):

O4-32 - HKLM\..\Run: [Microsoft Windows Services] = C:\windows\8677886615281465\winxbbk.exe
O4-32 - HKLM\..\Run: [Windows DDGG] = C:\windows\7485253215635974\winbjyv.exe
O4-32 - HKLM\..\Run: [Windows Update 39405] = C:\windows\3622157919425178\winlpwq.exe
O4-32 - HKLM\..\Run: [WindowsServicesUpdates32] = C:\windows\4898364518958176\winutmx.exe




Скачайте AdwCleaner (https://toolslib.net/downloads/viewdownload/1-adwcleaner/) и сохраните его на Рабочем столе.
Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве (https://safezone.cc/threads/22250).

+++ Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
Запустите AVZ.
Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
Закачайте полученный архив, как описано на этой странице (http://avz.safezone.cc/).
Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск (https://disk.yandex.ru/), Zippyshare (http://www.zippyshare.com/), My-Files.RU (http://my-files.ru/), karelia.ru (http://file.karelia.ru/), Ge.tt (http://www.ge.tt/) или WebFile (http://webfile.ru/)) и укажите ссылку на скачивание в своём следующем сообщении.

http://rgho.st/8cPm6PGJ8

Запустите повторно AdwCleaner через правую кн. мыши от имени администратора.
В меню Настройки отметьте:

Сброс политик IE
Сброс политик Chrome

Нажмите кнопку "Scan Now" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean & Repair" ("Очистить и восстановить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt.
Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве (https://safezone.cc/threads/22250/#post-157088).


Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве ('https://safezone.cc/threads/17759/').

Готово

Addition.txt: http://rgho.st/8JGQ68TSD

Отключите до перезагрузки антивирус.
Выделите следующий код:
Start::
CreateRestorePoint:
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [] => [X]
Folder: C:\windows\3622157919425178
HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\Policies\Explorer: []
HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\MountPoints2: H - H:\AutoRun.exe
HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\MountPoints2: I - I:\AutoRun.exe
HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\MountPoints2: {17d27bdf-768c-11e3-bbd9-047d7b6949df} - H:\LGAutoRun.exe
HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\MountPoints2: {39de3ef4-fa47-11e5-92e4-047d7b6949df} - H:\AutoRun.exe
HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\MountPoints2: {39de3f25-fa47-11e5-92e4-047d7b6949df} - H:\AutoRun.exe
HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\MountPoints2: {7efd4488-88cd-11e8-a5e6-005056c00008} - H:\AutoRun.exe
HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\MountPoints2: {7efd44a8-88cd-11e8-a5e6-005056c00008} - I:\AutoRun.exe
HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\MountPoints2: {7ff1f962-6615-11e7-a477-047d7b6949df} - H:\AutoRun.exe
HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\MountPoints2: {8827601e-9ef0-11e6-b28c-047d7b6949df} - H:\AutoRun.exe
HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\MountPoints2: {9b059413-ab71-11e5-ba9a-047d7b6949df} - E:\Setup.exe
HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\...\MountPoints2: {9b059419-ab71-11e5-ba9a-047d7b6949df} - F:\Setup.exe
HKLM\Software\Microsoft\Active Setup\Installed Components: [{26b4dfbc-5f94-11e1-875a-806e6f6e6963}] -> C:\ProgramData\csrss.exe -r
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HKU\S-1-5-21-2753881654-3679568051-3330406590-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {45FAE777-2D90-44D9-847C-72DA4EBB32FB} - \rory7ihpig -> No File <==== ATTENTION
Task: {FB98DB9B-E851-4A46-B09C-64710533F6A9} - \sjrz -> No File <==== ATTENTION
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
2019-04-29 13:40 - 2019-04-29 16:12 - 000000000 ____D C:\Users\Все пользователи\nEzJvZquBf
2019-04-29 13:40 - 2019-04-29 16:12 - 000000000 ____D C:\ProgramData\nEzJvZquBf
2019-05-04 12:43 - 2019-05-04 20:35 - 000000000 _RSHD C:\windows\3622157919425178
2019-05-04 09:57 - 2019-05-04 20:35 - 000000000 _RSHD C:\windows\4898364518958176
2019-05-04 09:50 - 2019-05-04 20:35 - 000000000 _RSHD C:\windows\7485253215635974
2019-05-04 09:46 - 2019-05-04 09:46 - 000000000 _RSHD C:\windows\5270756811253549
2019-05-04 09:36 - 2019-05-04 20:40 - 000000000 _RSHD C:\windows\8677886615281465
2019-05-02 04:37 - 2019-05-02 04:37 - 000000000 _RSHD C:\windows\8101774216216741
2019-05-02 04:37 - 2019-05-02 04:37 - 000000000 _RSHD C:\windows\7319727413249434
2019-05-01 13:55 - 2019-05-01 13:55 - 000000000 _RSHD C:\windows\75246811161510802
2019-05-01 13:55 - 2019-05-01 13:55 - 000000000 _RSHD C:\windows\1752447710921977
2019-04-30 09:29 - 2019-04-30 09:29 - 000000000 _RSHD C:\windows\9853673610025696
2019-04-30 09:29 - 2019-04-30 09:29 - 000000000 _RSHD C:\windows\5299812016362449
2019-04-29 13:48 - 2019-04-29 13:48 - 000000000 _RSHD C:\windows\4243399818925060
2019-04-29 13:40 - 2019-04-29 13:40 - 000000000 _RSHD C:\windows\7894998110239847
2019-04-29 13:12 - 2019-04-29 13:12 - 000000000 _RSHD C:\windows\6116276619711755
ContextMenuHandlers1_S-1-5-21-2753881654-3679568051-3330406590-1000: [SysMenuExt] -> {020B1D4B-5738-4C77-9E19-4F173DD9B486} => -> No File
AlternateDataStreams: C:\ProgramData\Temp:07BF512B [150]
AlternateDataStreams: C:\Users\Denis\Local Settings:init [954685]
AlternateDataStreams: C:\Users\Denis\Local Settings:wa [178]
AlternateDataStreams: C:\Users\Denis\AppData\Local:init [954685]
AlternateDataStreams: C:\Users\Denis\AppData\Local:wa [178]
AlternateDataStreams: C:\Users\Denis\AppData\Local\Application Data:init [954685]
AlternateDataStreams: C:\Users\Denis\AppData\Local\Application Data:wa [178]
AlternateDataStreams: C:\Users\Все пользователи\Temp:07BF512B [150]
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17760/').