[РЕШЕНО] Не могу избавиться от Trojan.Siggen31.29298, который в дальнейшем распаковывает Tool.BtcMine.2794

[shimcot]

С какого момента заметил заметное снижение частоты кадров. Вирус маскировался в процессах под Microsoft Network Realtime lnspection Service, но с припиской .exe. Оказалось майнер. Удалил, но, как оказалось, при каждом запуске ПК, если включен интернет и антивирус не ловит (сейчас если выключен) его, то все восстанавливается. Использовал Dr Web Cureit, он обозначил загрузчик как Trojan.Siggen31.29298. Помимо лечения самого вируса в C:\ProgramData\CAAService также чистил реестр, чтобы удалить из автозагрузки. Примечательно также то, что в какой-то момент папка CAAService и процесс Powershell.exe добавляются в исключения Windows Defender. Но, как упоминал ранее, вирус самовосстанавливается при наличии включенного интернета. Прилагаю отчет AutoLogger. Также покопавшись в похожих проблемах видел, что просят сделать отчет в uVS. На всякий случай прикреплю и его. Спасибо.

CollectionLog-2025.06.17-14.54.zip DESKTOP-CSCVQP5_2025-06-17_14-32-53_v5.0.RC2.v x64.7z

[safety]

По очистке системы

 

;uVS v5.0.RC2.v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref %SystemDrive%\PROGRAMDATA\CAASERVICE\
delref %SystemDrive%\PROGRAMDATA\CAASERVICE\CAASERVICES.EXE
del %SystemDrive%\PROGRAMDATA\CAASERVICE\CAASERVICES.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEKMEPPJGAJOFKPIOFBEBGCBOHBMFLDAF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEGNOPEGBBHJEEIGANIAJFFNALHLKKJB%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVCONTAINER\NVCONTAINERTELEMETRYAPI.DLL
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %Sys32%\REMOTEFXVGPUDISABLEMENT.EXE
delref E:\PROGRAM FILES (X86)\MSI AFTERBURNER\MSIAFTERBURNER.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {B1883831-F0D8-4453-8245-EEAAD866DD6E}\[CLSID]
delref {23170F69-40C1-278A-1000-000100020000}\[CLSID]
delref {B298D29A-A6ED-11DE-BA8C-A68E55D89593}\[CLSID]
delref {4A7C4306-57E0-4C0C-83A9-78C1528F618C}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref {75579960-3DAF-4389-9CFA-C2BB270C91E6}\[CLSID]
delref %Sys32%\PWCREATOR.EXE
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\WONDERSHARE\WONDERSHARE HELPER COMPACT\WSHELPER.EXE
delref %Sys32%\BLANK.HTM
delref SLDWORKS SHELL EXTENSION\[CLSID]
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\C3F416DC-2FF78D96-489D345-B411AEA8\3117F2B27C.SYS
delref %Sys32%\DRIVERS\DGIVECP.SYS
delref %Sys32%\DRIVERS\FMVRQIOD.SYS
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\HWINFO64A_171.SYS
delref %Sys32%\DRIVERS\JTBODIMA.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\WINPCAP\RPCAPD.INI
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\83.0.4103.61\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\83.0.4103.61\RESOURCES\FEEDBACK\FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\83.0.4103.61\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\83.0.4103.61\RESOURCES\CLOUD_PRINT\CLOUD PRINT
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\83.0.4103.61\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\83.0.4103.61\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\136.0.7103.48\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\99.0.4844.82\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\99.0.4844.82\RESOURCES\FEEDBACK\ОТЗЫВ
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\99.0.4844.82\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\99.0.4844.82\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\99.0.4844.82\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\99.0.4844.82\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\114.0.1823.43\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\99.0.1150.36\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\114.0.1823.43\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\99.0.1150.36\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\99.0.1150.36\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\99.0.1150.36\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\99.0.1150.36\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\99.0.1150.36\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\99.0.1150.36\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\99.0.1150.36\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref G:\SETUP.EXE
delref F:\SETUP.EXE
delref {2670000A-7350-4F3C-8081-5663EE0C6C49}\[CLSID]
delref {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}\[CLSID]
delref D:\PROGRAM FILES\ASHAMPOO DRIVER UPDATER\ASHPDU.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\AMAZON\KINDLE\APPLICATION\KINDLE.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\AMAZON\KINDLE\APPLICATION\UNINSTALL.EXE
delref D:\MISH\GARBAGE\JOYSTICK 2 MOUSE 3\JOYSTICK 2 MOUSE.EXE
delref D:\GTA SAN ANDREAS\MODMANAGER UNINSTALLERS\UNINSTALL-[MODS]-21928-RUSIFIKATOR-DLYA-STEAM-VERSII-GTA-SAN-ANDREAS.EXE
delref D:\PROGRAM FILES\MAYA2020\BIN\MAYA.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Файл ZOO*** из папки uVS прикрепите к вашему сообщению,

+

добавьте новые логи FRST для контроля

[shimcot]

Папка CAAService и файлы в ней после перезапуска не создались. Файла ZOO*** или чего-то с похожим названием в папке с uVS не обнаружил. Остальное прикрепляю ниже.

2025-06-17_16-39-42_log.txt Addition.txt FRST.txt

 

А при еще одной перезагрузке после чистки вирус все равно загружается в папку.

[safety]

По очистке системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы.

;uVS v5.0.RC2.v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\CAASERVICE\CAASERVICES.EXE
deltsk %Sys32%\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE
delall %SystemDrive%\PROGRAMDATA\CAASERVICE\CAASERVICES.EXE
apply

czoo
restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Файл ZOO*** из папки uVS прикрепите к вашему сообщению,

+

добавьте новые логи FRST для контроля

[thyrex]

При создании новых логов Farbar установите перед сканированием опцию 90 Days Files

[shimcot]

в папке uVS создалась папка ZOO, но она пуста. 

2025-06-17_23-47-38_log.txt Addition.txt FRST.txt

 

Спасибо большое! После перезагрузок больше не появляется!)

[safety]

Возможно что файл был прибит при попытке скопировать его в ZOO

Копирование файла в Zoo: \\?\C:\PROGRAMDATA\CAASERVICE\CAASERVICES.EXE
C:\PROGRAMDATA\CAASERVICE\CAASERVICES.EXE [Error: 0x2 - Не удается найти указанный файл. ]

 

Цитата

Имя: Trojan:Win32/Wacatac.H!ml
ИД: 2147814523
Серьезность: Критический
Категория: Троян
Путь: file:_C:\ProgramData\CAAService\CAAServices.exe; regkey:_HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\CAA Service; runkey:_HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\CAA Service
Начало обнаружения: Локальный компьютер
Тип обнаружения: FastPath
Источник обнаружения: Защита в реальном времени:
Пользователь: DESKTOP-CSCVQP5\User
Название процесса: C:\Windows\explorer.exe
Версия службы анализа безопасности: AV: 1.431.70.0, AS: 1.431.70.0, NIS: 1.431.70.0
Версия подсистемы: AM: 1.1.25050.6, NIS: 1.1.25050.6

восстановление было, скорее всего через задачу с powershell, которая была удалена вторым скриптом uVS.

 

По очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-06-17 01:59 - 2025-06-17 01:59 - 000000103 _____ C:\Users\User\Desktop\poweshell.txt
AlternateDataStreams: C:\WINDOWS\tracing:? [16]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [6826]
AlternateDataStreams: C:\Users\User\AppData\Local\Microsoft:ISBD [32]
IE trusted site: HKU\S-1-5-21-297925623-3107066658-2122268943-1000\...\localhost -> localhost
IE trusted site: HKU\S-1-5-21-297925623-3107066658-2122268943-1000\...\webcompanion.com -> hxxp://webcompanion.com
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Понаблюдайте за работой системы, напишите по результату.

Изменено 18 июня пользователем safety

[shimcot]

Файл powershell.txt на рабочем столе создавал я.  В нем была команда для просмотра автозагрузки, так как тот вирус не отображался в диспетчере задач. По работе никаких нареканий. Спасибо еще раз большое!

Fixlog.txt

Изменено 18 июня пользователем shimcot

[safety]

Ясно, если этот файл важен для вас, то после удаления он должен быть в папке с карантином.

 

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

[shimcot]

SecurityCheck.txt

[safety]

По возможности, обновите данное ПО:

 

CrystalDiskInfo 9.1.1 v.9.1.1 Внимание! Скачать обновления
HWiNFO64 Version 7.26 v.7.26 Внимание! Скачать обновления
Node.js v.20.17.0 Внимание! Скачать обновления
calibre 64bit v.7.7.0 Внимание! Скачать обновления
Microsoft SQL Server 2012 Native Client  v.11.4.7462.6 Данная программа больше не поддерживается разработчиком.
NVIDIA App 11.0.3.241 v.11.0.3.241 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.100.3 Внимание! Скачать обновления
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34433 v.14.42.34433.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
Recuva v.1.53 Внимание! Скачать обновления
WinRAR 5.90 (64-разрядная) v.5.90.0 Внимание! Скачать обновления
GIMP 2.10.38-1 v.2.10.38 Внимание! Скачать обновления
FastStone Image Viewer 7.5 v.7.5 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9002 Внимание! Скачать обновления
Zoom v.5.8.3 (1581) Внимание! Скачать обновления
Telegram Desktop v.5.15 Внимание! Скачать обновления
foobar2000 v2.1.5 (x64) v.2.1.5 Внимание! Скачать обновления
Spotify v.1.2.48.405.gf2c48e6f Внимание! Скачать обновления
K-Lite Codec Pack 15.0.0 Full v.15.0.0 Внимание! Скачать обновления
Light Alloy 4.10.2 (build 3317) v.4.10.2 (build 3317) Данная программа больше не поддерживается разработчиком.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat Reader DC MUI v.19.012.20035 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox (x64 ru) v.138.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Google Chrome v.137.0.7151.119 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.6.36 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция.
Wondershare Helper Compact 2.5.3 v.2.5.3 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

Изменено 19 июня пользователем safety

[shimcot]

Спасибо!

[safety]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".