помогите удалить вирус!

здравствуйте! началось все с того, что антивирус нортон удалил файл advapi32.dll, пометив его как вирус, сразу после этого на экран стало вылезать окно - файл BurstHelper.exe с какой то ошибкой парсинга, в диспетчере задач этот процесс отказывался открывать местонахождение. убить его так же не получалось, так как он автоматически запускался сразу, выдавая описанную выше ошибку парсинга. адрес нахождения файла удалось узнать только при включении консоли в диспетчере задач, но самого файла я там не нашел. так же в реестре были несколько записей связанные с файлом BurstHelper.exe от какой то TeamViewer. записи выглядели так, точнее значения _____ {2}.\\?\pci#ven_13f6&dev_8788&subsys_85211043&rev_00#{6994ad04-93ef-11d0-a3cc-00a0c9223196}\aa_topology/00010005|\Device\HarddiskVolume4\ProgramData\Microsoft\Windows NT\DefaultUser\v.{59031a47-3f72-44a7-89c5-5595fe6b30ee}\BurstHelper.exe%b{00000000-0000-0000-0000-000000000000}
антивирусы при повторных сканированиях ничего больше не нашли(ни касперский, ни нортон), хотя окно с ошибкой было постоянно открыто. сегодня окно пропало, записей в реестре тоже уже нет. я решил проверить компьютер с помощью AVZ и он показал перехват в advapi32.dll и еще нескольких длл файлах!

Протокол антивирусной утилиты AVZ версии 4.46
Сканирование запущено в 31.01.2019 20:54:18
Загружена база: сигнатуры - 297569, нейропрофили - 2, микропрограммы лечения - 56, база от 29.01.2019 16:00
Загружены микропрограммы эвристики: 402
Загружены микропрограммы ИПУ: 10
Загружены цифровые подписи системных файлов: 1038076
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
Версия Windows: 10.0.17763, "Windows 10 Home", дата инсталляции 15.11.2018 03:04:51
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1130) перехвачена, метод ProcAddressHijack.GetProcAddress ->766A2010->764964E0
Перехватчик kernel32.dll:ReadConsoleInputExA (1130) нейтрализован
Функция kernel32.dll:ReadConsoleInputExW (1131) перехвачена, метод ProcAddressHijack.GetProcAddress ->766A2043->76496510
Перехватчик kernel32.dll:ReadConsoleInputExW (1131) нейтрализован
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtMakeTemporaryObject (408) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции NtMakeTemporaryObject нейтрализован
Функция ntdll.dll:NtSetSystemTime (615) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции NtSetSystemTime нейтрализован
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:Wow64Transition (1503) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции Wow64Transition - ошибка стандартной нейтрализации (невозможно изменить область памяти, возможно противодействие со стороны руткита)
Ошибка анализа библиотеки user32.dll
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F18B34->76498F10
Перехватчик advapi32.dll:CveEventWrite (1234) нейтрализован
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1387) перехвачена, метод ProcAddressHijack.GetProcAddress ->76F19A5B->765CF680
Перехватчик advapi32.dll:I_ScRegisterPreshutdownRestart (1387) нейтрализован
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:NetFreeAadJoinInformation (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->7390C18A->66553F80
Перехватчик netapi32.dll:NetFreeAadJoinInformation (130) нейтрализован
Функция netapi32.dll:NetGetAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->7390C1B9->66554300
Перехватчик netapi32.dll:NetGetAadJoinInformation (131) нейтрализован
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
2. Проверка памяти
Количество найденных процессов: 8
Количество загруженных модулей: 223
Проверка памяти завершена

_____________________________
помогите разобраться!

Уважаемый(ая) [B]Igor1990[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[ATTACH=CONFIG]676319[/ATTACH] вот расположение файла в диспетчере задач..

Ничего вредоносного в логах.

Запустите HijackThis, расположенный в папке Autologger (в [B]Windows Vista/7/8/10[/B] необходимо запускать через правую кнопку мыши [B]Запуск от имени администратора)[/B])и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]O4-32 - HKLM\..\Run: [AvastUI.exe] = C:\Program Files\AVAST Software\Avast\AvLaunch.exe /gui (file missing)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: \Avast Software\Overseer - C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe /from_scheduler:1[/code]Скачайте, распакуйте и запустите [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Скопируйте текст ниже в окно утилиты и нажмите "[B]Лечить[/B]".[CODE]>>> "C:\Users\paronoid\Desktop\Разное\Игровой центр@Mail.Ru.lnk" -> ["C:\Users\paronoid\AppData\Local\Mail.Ru\GameCenter\[email protected]"]
>>> "C:\Users\paronoid\Desktop\WaterfoxPortable\Pale Moon.lnk" -> ["C:\Program Files\Pale Moon\palemoon.exe"][/CODE]
Отчёт о работе прикрепите.

вот лог. правда третьей строки первого блока кода - 022 - Task:, в списке строк не оказалось. и еще одно - когда нортон только обнаружил вирус, я пытался открыть расположение файла bursthelper через диспетчер задач, но не получалось. потом я решил найти его с помощью process explorer, но при его запуске bursthelper сразу же закрывался и окно с ошибкой сразу пропадало, пока не закрою process exp.

Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url].

файл

Нет в системе ничего вредоносного. И файл BurstHelper.exe, если есть в системе, нормальный. Проверьте его на virustotal.com.