Помогите! trojan.rootkit.22044 и другие [VHO:Rootkit.Win64.Agent.avo, UDS:DangerousObject.Multi.Generic]

Здравствуйте! Где то умудрился поймать целый букет всякого. Заметил, что стали появляться различный процессы в системе, просканировал CureIt показал trojan.rootkit и еще какие то трояны.
Помогите избавиться от этой пакости!
Также возникли проблемы с Autologger'ом! При его запуске появляется уведомление об устаревших базах и просьбе их обновить, после чего программа закрывается и все. Как обновить или где скачать самую свежую - не нашел! Скачивал по ссылкам [URL="https://virusinfo.info/content.php?r=136-pravila"]тут[/URL] ! В итоге: скачал отдельно avz, запусти его и он обновился. обновленным авз сделал архив virusinfo_syscheck(выполнил скрипт №2) , а остальные логи сделал утилитами в autologger'е вручную.
Спасибо!

Уважаемый(ая) [B]LighT1918[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Попробуйте сделать логи Autologger в безопасном режиме

Такая же проблема, требует свежую версию и закрывается!
[ATTACH=CONFIG]677077[/ATTACH]
Может вы поделитесь своей версией автологгера? у меня версия от 22.02.19

А если скачать по ссылке на зеркало в правилах?

Этот вариант я попробовал в первую очередь. Результат тот же :(
НО, помогло смешное - изменение системной даты на 22.02.19.
Архив приложил - на дату архива(в название) не обращайте внимание.

Скачайте [URL="https://yadi.sk/d/7dgjMleO3E3E9b"]по этой ссылке[/URL] и соберите логи в обычном режиме

Ваша версия запустилась и выполнилась без проблем! Спасибо!
Архив прилигается

Выполните скрипт в AVZ из папки Autologger
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Enrick\AppData\Local\Temp\csrss\scheduled.exe','');
QuarantineFile('C:\Users\Enrick\AppData\Roaming\utctimer\utc.exe','');
QuarantineFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys','');
QuarantineFile('C:\Windows\System32\drivers\WinmonFS.sys','');
QuarantineFile('C:\Windows\System32\drivers\Winmon.sys','');
DeleteService('WinmonProcessMonitor');
DeleteService('WinmonFS');
DeleteService('Winmon');
SetServiceStart('WinDefender', 4);
DeleteService('WinDefender');
TerminateProcessByName('c:\windows\windefender.exe');
QuarantineFile('c:\windows\windefender.exe','');
TerminateProcessByName('c:\users\enrick\appdata\local\temp\csrss\cloudnet.exe');
TerminateProcessByName('c:\windows\rss\csrss.exe');
QuarantineFile('c:\windows\rss\csrss.exe','');
QuarantineFile('c:\users\enrick\appdata\local\temp\csrss\cloudnet.exe','');
DeleteFile('c:\users\enrick\appdata\local\temp\csrss\cloudnet.exe','32');
DeleteFile('c:\windows\rss\csrss.exe','32');
DeleteFile('c:\windows\windefender.exe','32');
DeleteFile('C:\Windows\System32\drivers\Winmon.sys','64');
DeleteFile('C:\Windows\System32\drivers\WinmonFS.sys','64');
DeleteFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys','64');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CloudNet','x32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CloudNet','x64');
RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ShyBreeze','x64');
RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZaxarLoader','x64');
DeleteSchedulerTask('csrss');
DeleteSchedulerTask('ScheduledUpdate');
DeleteFile('C:\Users\Enrick\AppData\Local\Temp\csrss\scheduled.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code][list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин [/b][/u][/color] [b]над первым сообщением[/b] темы.

[b][color="Red"]Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. [/color][/b]

Скрипты выполнил, карантин отправил.
Новые логи прикрепил.

Скачайте [url=https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]https://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Файлы [b]FRST.txt[/b] и [b]Addition.txt[/b] заархивируйте (в [b]один общий архив[/b]) и прикрепите к сообщению.

Сделано!

1. Выделите следующий код:
[code]
Start::
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
2019-03-22 17:43 - 2019-03-22 17:43 - 000000000 ____D C:\Users\Enrick\AppData\Roaming\EpicNet Inc
2019-03-22 17:30 - 2019-03-22 17:32 - 000000128 _____ C:\Users\Все пользователи\appdata.dat
2019-03-22 17:30 - 2019-03-22 17:32 - 000000128 _____ C:\ProgramData\appdata.dat
2019-03-22 17:16 - 2019-03-22 21:22 - 000000000 ___HD C:\Windows\rss
2019-03-22 17:08 - 2019-03-22 17:08 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZaxarGameBrowser
FirewallRules: [{F06245EC-A65A-4F67-9208-FDD401379326}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
FirewallRules: [{38EC4EA5-506B-44FE-95DC-5B1984815540}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe No File
FirewallRules: [{DFBE024F-6CC2-4058-81D6-9C375D06A07A}] => (Allow) C:\Windows\rss\csrss.exe No File
FirewallRules: [{47410BB5-5029-420A-95AA-FF9BC16587E0}] => (Allow) C:\Users\Enrick\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe (EpicNet Inc.) [File not signed]
FirewallRules: [{B96435CB-B0C7-4F00-80A9-147EC415FB94}] => (Allow) C:\Users\Enrick\AppData\Local\Temp\csrss\lsa64.exe No File
FirewallRules: [{C4609D1B-EB3A-48AC-8283-1EBBB8174DF4}] => (Allow) C:\Users\Enrick\AppData\Local\Temp\csrss\lsa64.exe No File
Folder: C:\Windows\SysWOW64\ServiceProfiles
Folder: C:\Users\Enrick\AppData\Local\cache
Reboot:
End::
[/code]
2. Скопируйте выделенный текст ([b]правая кнопка мыши[/b] – [b]Копировать[/b]).
3. Запустите [b]Farbar Recovery Scan Tool[/b].
4. Нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание: будет выполнена [b]перезагрузка компьютера[/b].[/list]

Сделано

Папки
[QUOTE]C:\Windows\SysWOW64\ServiceProfiles
C:\Users\Enrick\AppData\Local\cache
C:\Users\Enrick\AppData\Roaming\utctimer[/QUOTE]удаляйте вручную.

Что с проблемой?

CureIt угроз не нашел!
Спасибо за оперативную помощь!:D

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
[LIST][*]=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: [B]1[/B][*]=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: [B]8[/B][*]=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
[LIST=3D1][*] c:\users\enrick\appdata\local\temp\csrss\cloudnet.exe - [B]=
HEUR:Trojan-Proxy.Win32.Glupteba.gen[/B] ( AVAST4: Win32:CrypterX-gen =
[Trj] )[*] c:\users\enrick\appdata\local\temp\csrss\scheduled.exe - [B=
]UDS:DangerousObject.Multi.Generic[/B][*] c:\users\enrick\appdata\roaming\utctimer\utc.exe - [B]HEUR:T=
rojan-Downloader.MSIL.TaskLoader.gen[/B][*] c:\windows\rss\csrss.exe - [B]UDS:Trojan.Win32.Chapak[/B][*] c:\windows\system32\drivers\winmonfs.sys - [B]VHO:Rootkit.Win6=
4.Agent.avn[/B] ( AVAST4: Win64:Rootkit-gen [Rtk] )[*] c:\windows\system32\drivers\winmonprocessmonitor.sys - [B]VHO:=
Rootkit.Win64.Agent.ayv[/B] ( AVAST4: Win64:Rootkit-gen [Rtk] )[*] c:\windows\system32\drivers\winmon.sys - [B]VHO:Rootkit.Win64.=
Agent.avo[/B] ( AVAST4: Win64:Rootkit-gen [Rtk] )[*] c:\windows\windefender.exe - [B]Trojan-Dropper.Win32.Agent.bjwkf=
q[/B] ( AVAST4: Win32:Trojan-gen )[/LIST][/LIST]