Помогите удалить rootkit

[maxximum]

В системе запустился какой то неизвестный зловредный rootkit. Очень сильно нагружает систему при выходе в интернет. Удалил olepro32.dll и запретил его восстановление и доступ к службам. Массово модифицирует код в ntoskrnl.exe Отключил Trojan Killer удалив важные .dll файлы

[Info_bot]

Уважаемый(ая) maxximum, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Сомневаюсь я насчёт руткитов.
Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\User\AppData\Local\uBar.lnk"        -> ["C:\ProgramData\uBar\uBar\uBar.exe"]

Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора))и пофиксите только эти строки:

Код:

O21 - HKLM\..\ShellIconOverlayIdentifiers\
 MEGA (Pending): (no name) - {056D528D-CE28-4194-9BA3-BA2E9197FF8C} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\
 MEGA (Synced): (no name) - {05B38830-F4E9-4329-978B-1DD28605D202} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\
 MEGA (Syncing): (no name) - {0596C850-7BDD-4C9D-AFDF-873BE6890637} - (no file)
O22 - Task: \Symantec Endpoint Protection\Symantec Endpoint Protection Error Analyzer - C:\Program Files\Symantec\Symantec Endpoint Protection\14.2.1023.0100.105\Bin\SymErr.exe /analyze (file missing)

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

[maxximum]

Отчет UVS автозапуска https://yadi.sk/d/J5TTruCBWsAVLQ

[Vvvyg]

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
deltmp
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\EC4B9114614D9A57689C2B1125395CB9\ACB9B88B96D432749AB63BD93423AF054D23BF81
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\C1A0AE53C0D7C4D9FC52651F57EA6418\D8D9B2B4C5C457FE6A7DCB09A5F645CFE77CC30C
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\3680A57A3414DBBF1DBA4A75564E7790\6E1D337B2FD56669D461E82601AA51004FECBD24
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\6027699A42003DA9FBBBE4B52429D018\411A6BB68728F12F5CED712D9A33FEE9EBE0B0B3
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\743DFB0BE8ED2C29F848635B74DBE9B3\6AEF75F7D83EDAABC2A921A6B157CC7005628286
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\3D00703A62C190D5CCED632606973E8E\5CC92EF98ED177B2F6BBAE3A0420EE2F12764FAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\38A52B586448E740B637B21634DAF748\F57427487DFC2F49DA67CAC22480AB1F48983D22
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\AC57C8F00D732EF08DBE254F09A7733E\BB5061F4BD24437DD31A3714E1B54318CED7E63A
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\795151C51849D19007E8F3F0C86F3EDE\1D54A8D0047674FC1B5B6F41292A0074D9FE3CC5
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\3CC9C3D8BB794709F7B7C1DF6CC7F2C1\297C5EE6E98AB646B14F1492716B67CC0970FCD8
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\BD82D910B9C441D64A73ED04EEF305FC\5AEECDA7E1D689A083975128901DA8156751DFC5
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\04FD6EF377419B0819A1FA11EA127D54\5BD6FC76AD54B7A232D4CEB4A5F5C7C366BF90B6
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\E546D934C9BAD11B1FBD404544511F85\B7E1C3046B218FB45A665AB5F5ED8A5EA8125760
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\97FE6472089A64AB2F13E35843B413AD\5259CA6A22A981DBDEE352DDE5B8E65C2FDDD407
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\A87E830807BEDBD036752B9320991E09\A7A5AF62C59AB7A4E8CB0F21242B42606B95195B
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\C5B3466B48936FC2CE869F0FB6D29181\BC46078938AE9129C7CE86A9C176FA517E4C0A3D
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\053D02549530CDB231DB8E24EFF9CA89\4C7B17A6CB292B09BEDE4C8731AD4F24CD09AB2A
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\6DF9220AE0F0379804B520892D8A98D4\685E217CE007AF8005DB4726087893D04E19DADE
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\0F95691D29ACB6254F7D8889525535B1\7F01DB99AD2B2D41598BFC71AAA9BD4BE04B6369
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\AE641145F43CB9C07D85AAB4E114D9E5\D0F798DE315B696BF560B559F6F90064687C0B7B
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\0C204404FD8CE2BB438A831209AED557\DE7F366819E1C12954557E3E65B7C0F059F49B67
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\02F41C06AC36BCB709A831BB70791046\18F213428CC6FDE96D8C76C6DD91446348E86CE6
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\917B3CA8148512503D1C6147465499E9\BD65AF75E8995BD865D93C8D8C8A35091499083F
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\E7DF2FA1C5B1F47BA549B11283CCB3B8\E3D9ACFCC9F608CF7687BD3B5EE7F0D9658B7BC9
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\32BC6A6135DFD1235C2C9D3B56D54D23\MSODLL40UI-X-NONE.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\59BC3BE97CC9D1D42191DD99B64131DD\ONENOTE-X-NONE.CAB
delref %SystemDrive%\USERS\USER\DOWNLOADS\MONKEY_AUDIO_WINAMP_PLUGIN.EXE
delref %SystemDrive%\USERS\USER\DOWNLOADS\SPRD_NPI_USBDRIVER_1.4(1)\SPRD_NPI_USBDRIVER_1.4\UNINSTALLDRIVER32.EXE
delref %SystemDrive%\PROGRAM FILES\OPERA\OPERA.EXE
apply
restart

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Скачайте и запустите TDSSKiller: http://support.kaspersky.ru/viruses/disinfection/5350.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

[maxximum]

Сделал логи

[Vvvyg]

Никаких руткитов, да и вообще активных троянов.