[РЕШЕНО] Trojan.Multi.GenAutorunReg.a в System Memory (ОС не даёт ничего сделать, всё время условно жмётся кнопка "назад")

[YurgenT3005]

Всем доброго времени суток. Прошу помощи. Вчера (15.09.2022) столкнулся с проблемой. Утром включил ПК. И с этого момента начался Ад и Израиль. Невозможно открыть браузер, проводник, параметры системы, что угодно ещё, где есть кнопка "назад" или её аналог. Клава-мышь, как источник проблемы, были исключены сразу же путём их замены. В безопасном режиме проблема проявляется, но не сразу, а примерно через две-три минуты после загрузки системы. В штатном режиме проблема начинается секунд через 30 после загрузки.
Проверка CureIt, MalwareBytes, AdwCleaner ничего не обнаружила. KVRT обнаруживает Trojan.Multi.GenAutorunReg.a в System Memory, НО, при попытке его удалить, ПК улетает на перезагрузку и повторная проверка снова обнаруживает этот троян. Логи прилагаю.

CollectionLog-2022.09.15-16.24.zip

Addition.txt FRST.txt Shortcut.txt

Изменено 16 сентября, 2022 пользователем YurgenT3005

[Sandor]

Здравствуйте!

 

Компьютер стационарный или ноутбук?

 

По максимуму выгрузите все запущенные программы.

1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
2. Запустите файл TDSSKiller.exe.
3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
4. В процессе проверки могут быть обнаружены объекты двух типов:
   • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
   • подозрительные (тип вредоносного воздействия точно установить невозможно).
5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
8. Самостоятельно без указания консультанта ничего не удаляйте!!!
9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
10. Прикрепите лог утилиты к своему следующему сообщению.

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\)
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.3.0.0.44_10.05.2020_13.39.01_log.txt

[YurgenT3005]

23 минуты назад, Sandor сказал:

Компьютер стационарный или ноутбук?

Компьютер стационарный. Лог прилагаю.
К сожалению, утилита вроде бы ничего не находит.

TDSSKiller.3.1.0.28_16.09.2022_13.38.27_log.txt

Изменено 16 сентября, 2022 пользователем YurgenT3005

[Sandor]

Хорошо.

Дополнительно, пожалуйста:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[YurgenT3005]

3 минуты назад, Sandor сказал:

Хорошо.

Дополнительно, пожалуйста:

Это вчерашние. Сейчас сделаю ещё раз.

Addition.txt FRST.txt Shortcut.txt

[Sandor]

Не нужно редактировать свои сообщения, прикрепляйте к следующему. Так будет эффективнее.

[YurgenT3005]

Сделал. Вот свежие.

Addition (1).txt FRST (1).txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  IFEO\KMmpeg.exe: [Debugger] 0
  IFEO\KMPlayer.exe: [Debugger] 0
  C:\Users\Professional\AppData\Local\Google\Chrome\User Data\Default\Extensions\ldgpjdiadomhinpimgchmeembbgojnjk
  CHR HKU\S-1-5-21-279252671-4188835273-4177289955-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
  cmd: DISM.exe /Online /Cleanup-image /Restorehealth
  cmd: sfc /scannow
  cmd: winmgmt /salvagerepository
  cmd: winmgmt /verifyrepository
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[YurgenT3005]

После перезагрузки симптомы исчезли.

Fixlog.txt

[YurgenT3005]

Тэкс. Сегодня с утра симптомы вернулись. Решил снова запустить вышеозначенный скрипт. Новый фикслог прилагаю.

Fixlog-1.txt

[Sandor]

8 часов назад, YurgenT3005 сказал:

Сегодня с утра симптомы вернулись

Какие именно?

 

Повторно выполнять не было смысла. После первого прохода:

Цитата

Программа защиты ресурсов Windows обнаружила поврежденные файлы и успешно их восстановила.

 

После второго:

Цитата

Защита ресурсов Windows не обнаружила нарушений целостности.

 

[YurgenT3005]

33 минуты назад, Sandor сказал:

Какие именно?

Точно так же при любом действии стало "откидывать" назад. Любое действие тут же отменяется. Проблема начинается после загрузки ОС через минуту-полторы.

[Sandor]

Trojan.Multi больше не обнаруживается?

Загрузите систему в безопасном режиме и проверьте будет ли наблюдаться подобное.

[YurgenT3005]

Не обнаруживается. В безопасном режиме ситуация та же.

Изменено 17 сентября, 2022 пользователем YurgenT3005

[Sandor]

Вы хоть и пишете, что

16.09.2022 в 13:21, YurgenT3005 сказал:

Клава-мышь, как источник проблемы, были исключены сразу же путём их замены

Я бы всё же перепроверил клавиатуру и конкретно клавишу Backspace или специализированные мультимедийные клавиши.