Перейти к содержанию
Правила раздела

[РЕШЕНО] Не могу избавиться от вируса CAAServices.exe, который хранится в C:\ProgramData\CAAService

Morelax

Автор Morelax
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Morelax Новичок

Morelax

Опубликовано
Опубликовано

Добрый день! Заметил в автозагрузках странный процесс CAAServices.exe. Но при удалении он снова восстанавливается. Отключил из автозагрузки, вроде не включается теперь, но всё равно не даёт покоя и хочется избавиться. Подскажите, пожалуйста, как это сделать? Я не особо шарю в этих делах. Смотрел похожие темы, но не особо понял инструкции по устранению вируса. Заранее спасибо. 

ps/ он автоматически добавляет в исключения в дефендер (последний скрин)
image.thumb.png.b32f09d2b544f97f0fba777671b72843.png
image.thumb.png.0272ece526210afab7582db8adf84973.png
image.png.5495adf1e5d71491de3b6521dec7e366.png

Ссылка на комментарий
Поделиться на другие сайты
Morelax Новичок

Morelax

Опубликовано
  • Автор
Опубликовано

image.thumb.png.a2db2b75807b593d11487ffe083c087a.png

Дополняю тему ) а что в касперском выбрать, "продолжить" ?

CollectionLog-2025.07.03-11.31.zip

1 час назад, Mark D. Pearlstone сказал:

Порядок оформления запроса о помощи

проверьте, пожалуйста, сейчас правильно оформлено ?

 

Kaspersky Virus Removal Tool походу помог и вылечил данный стилер, при перезагрузке больше не восстанавливается экзэшник) Спасибо)) не знал, что у касперского есть такой бесплатный антивирус, который не нужно устанавливать на ПК

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Некоторое время подождите, готовлю ответ.

@Morelax, дополнительно, пожалуйста, сделайте такие логи:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Morelax Новичок

Morelax

Опубликовано
  • Автор
Опубликовано
11 минут назад, Sandor сказал:

Здравствуйте!

 

Некоторое время подождите, готовлю ответ.

@Morelax, дополнительно, пожалуйста, сделайте такие логи:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Addition.txt FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Сделаем некоторую очистку.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {1A8DA39C-1E6A-43D7-B868-E7C2700C6DFF} - System32\Tasks\CCleaner Update => C:\Program Files\CCleaner\CCUpdate.exe  (Нет файла)
Task: {FF141F80-4F2D-4A5D-BFE4-DA531EB1A561} - System32\Tasks\MaintenanceUninstalledSystemApps => C:\Windows\System32\cmd.exe [376832 2025-06-30] (Microsoft Windows -> Microsoft Corporation) -> %SystemRoot%\System32\\/d /q /e:on /v:on /c "chcp 65001>nul&set err=0&set key=HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore&(for /f "tokens=1* delims=" %I in ('^(reg.exe query !key!\InboxApplications^&reg.exe query !key!\UpdatedApplications^)^|findstr /ir "\\Microsoft\.Microso (запись имеет ещё 192 символов).
Task: {61F7F3E0-E3A7-4C45-8C4B-5D3D7F0F5A97} - System32\Tasks\StartPersistentWindowsuser => "C:\!my files\!PersistentWindows\PersistentWindows.exe"  -splash=0 (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3955266773-592230617-3270593797-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
CHR HomePage: Default -> hxxp://mail.ru/cnt/7993/
StartPowerShell:
Remove-MpPreference -ExclusionPath "C:\ProgramData\CAAService\"
Remove-MpPreference -ExclusionProcess "powershell.exe"
EndPowerShell:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
Morelax Новичок

Morelax

Опубликовано
  • Автор
Опубликовано
3 минуты назад, Sandor сказал:

Сделаем некоторую очистку.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {1A8DA39C-1E6A-43D7-B868-E7C2700C6DFF} - System32\Tasks\CCleaner Update => C:\Program Files\CCleaner\CCUpdate.exe  (Нет файла)
Task: {FF141F80-4F2D-4A5D-BFE4-DA531EB1A561} - System32\Tasks\MaintenanceUninstalledSystemApps => C:\Windows\System32\cmd.exe [376832 2025-06-30] (Microsoft Windows -> Microsoft Corporation) -> %SystemRoot%\System32\\/d /q /e:on /v:on /c "chcp 65001>nul&set err=0&set key=HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore&(for /f "tokens=1* delims=" %I in ('^(reg.exe query !key!\InboxApplications^&reg.exe query !key!\UpdatedApplications^)^|findstr /ir "\\Microsoft\.Microso (запись имеет ещё 192 символов).
Task: {61F7F3E0-E3A7-4C45-8C4B-5D3D7F0F5A97} - System32\Tasks\StartPersistentWindowsuser => "C:\!my files\!PersistentWindows\PersistentWindows.exe"  -splash=0 (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3955266773-592230617-3270593797-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
CHR HomePage: Default -> hxxp://mail.ru/cnt/7993/
StartPowerShell:
Remove-MpPreference -ExclusionPath "C:\ProgramData\CAAService\"
Remove-MpPreference -ExclusionProcess "powershell.exe"
EndPowerShell:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

а можете, пожалуйста, что именно затронет данная очистка? заметил, что установится mail.ru в хроме как домашняя страница?)) и что поменяется в дефендере виндовс? он включится по полной (со всеми своими ненужными функциями)  или что? просто мне важно, чтобы система было производительной, без лишних фоновых процессов и тд. Заранее спасибо за ответ)

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
3 минуты назад, Morelax сказал:

заметил, что установится mail.ru в хроме как домашняя страница?

Наоборот, удалится. И это не просто mail.ru, а со ссылкой на адварь.

 

В Защитнике будут удалены добавленные вредоносом исключения.

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Morelax Новичок

Morelax

Опубликовано
  • Автор
Опубликовано
1 час назад, Sandor сказал:

Сделаем некоторую очистку.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {1A8DA39C-1E6A-43D7-B868-E7C2700C6DFF} - System32\Tasks\CCleaner Update => C:\Program Files\CCleaner\CCUpdate.exe  (Нет файла)
Task: {FF141F80-4F2D-4A5D-BFE4-DA531EB1A561} - System32\Tasks\MaintenanceUninstalledSystemApps => C:\Windows\System32\cmd.exe [376832 2025-06-30] (Microsoft Windows -> Microsoft Corporation) -> %SystemRoot%\System32\\/d /q /e:on /v:on /c "chcp 65001>nul&set err=0&set key=HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore&(for /f "tokens=1* delims=" %I in ('^(reg.exe query !key!\InboxApplications^&reg.exe query !key!\UpdatedApplications^)^|findstr /ir "\\Microsoft\.Microso (запись имеет ещё 192 символов).
Task: {61F7F3E0-E3A7-4C45-8C4B-5D3D7F0F5A97} - System32\Tasks\StartPersistentWindowsuser => "C:\!my files\!PersistentWindows\PersistentWindows.exe"  -splash=0 (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3955266773-592230617-3270593797-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
CHR HomePage: Default -> hxxp://mail.ru/cnt/7993/
StartPowerShell:
Remove-MpPreference -ExclusionPath "C:\ProgramData\CAAService\"
Remove-MpPreference -ExclusionProcess "powershell.exe"
EndPowerShell:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Хорошо. Если проблема решена, в завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты
Morelax Новичок

Morelax

Опубликовано
  • Автор
Опубликовано
4 минуты назад, Sandor сказал:

Хорошо. Если проблема решена, в завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

 

 

SecurityCheck.txt

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Исправьте по возможности:

 

Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
 

Так ли страшен Контроль учётных записей
 

Среда выполнения Microsoft Edge WebView2 Runtime v.136.0.3240.64 Внимание! Скачать обновления
^При ошибках обновления, удалите старую версию, скачайте и установите новую. Или переустановите браузер Microsoft Edge.^
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34433 v.14.42.34433.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34433 v.14.42.34433.0 Внимание! Скачать обновления
WinRAR 7.11 (64-разрядная) v.7.11.0 Внимание! Скачать обновления
Discord v.1.0.9191 Внимание! Скачать обновления
µTorrent v.3.6.0.47178 Внимание! Клиент сети P2P с рекламным модулем!
Adobe Acrobat (64-bit) v.24.005.20320 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
Microsoft Edge v.136.0.3240.64 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^
 

Читайте Рекомендации после удаления вредоносного ПО

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Morelax Новичок

Morelax

Опубликовано
  • Автор
Опубликовано
5 минут назад, Sandor сказал:

Исправьте по возможности:

 

Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
 

Так ли страшен Контроль учётных записей
 

Среда выполнения Microsoft Edge WebView2 Runtime v.136.0.3240.64 Внимание! Скачать обновления
^При ошибках обновления, удалите старую версию, скачайте и установите новую. Или переустановите браузер Microsoft Edge.^
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34433 v.14.42.34433.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34433 v.14.42.34433.0 Внимание! Скачать обновления
WinRAR 7.11 (64-разрядная) v.7.11.0 Внимание! Скачать обновления
Discord v.1.0.9191 Внимание! Скачать обновления
µTorrent v.3.6.0.47178 Внимание! Клиент сети P2P с рекламным модулем!
Adobe Acrobat (64-bit) v.24.005.20320 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
Microsoft Edge v.136.0.3240.64 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^
 

Читайте Рекомендации после удаления вредоносного ПО

Большое спасибо)

 

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • shimcot
      [РЕШЕНО] Не могу избавиться от Trojan.Siggen31.29298, который в дальнейшем распаковывает Tool.BtcMine.2794
      Автор shimcot
      С какого момента заметил заметное снижение частоты кадров. Вирус маскировался в процессах под Microsoft Network Realtime lnspection Service, но с припиской .exe. Оказалось майнер. Удалил, но, как оказалось, при каждом запуске ПК, если включен интернет и антивирус не ловит (сейчас если выключен) его, то все восстанавливается. Использовал Dr Web Cureit, он обозначил загрузчик как Trojan.Siggen31.29298. Помимо лечения самого вируса в C:\ProgramData\CAAService также чистил реестр, чтобы удалить из автозагрузки. Примечательно также то, что в какой-то момент папка CAAService и процесс Powershell.exe добавляются в исключения Windows Defender. Но, как упоминал ранее, вирус самовосстанавливается при наличии включенного интернета. Прилагаю отчет AutoLogger. Также покопавшись в похожих проблемах видел, что просят сделать отчет в uVS. На всякий случай прикреплю и его. Спасибо.
      CollectionLog-2025.06.17-14.54.zip DESKTOP-CSCVQP5_2025-06-17_14-32-53_v5.0.RC2.v x64.7z
    • ChanyRi
      Есть ли вирусы которые сразу после выключения включают ПК?
      Автор ChanyRi
      Столкнулся с проблемой, что где то раз в две недели после выключения мой ПК сам включается. Сначало думал дело в блоке питания и заменил его, но через неделю все тоже самое. Проверил саму кнопку включения и настройки BIOS, но это тоже не дало результат. Так же точно знаю, что это не спящий режим или перезагрузка, так как при спящем режиме или перезагрузке кулера не отключаются. Теперь я подозреваю, что это какой то вирус. Есть ли вообще вирус который может включать ПК? Антивирус никаких проблем не видит. Заранее спасибо
    • Namido
      Помогите избавиться от майнера
      Автор Namido
      Уже два года как меня терроризирует непонятный майнер, никакие средства очистки не находят абсолютно ничего. Признаки: периодически как будто бы удаленный доступ к ноуту, открываются вкладки, курсор живет своей жизнью, нагружается процессор, иногда при заходе на любой сайт вылезает окно всплывающее "пароль" и "логин" с сылкой на сайт с казино(zagent?что-то такое). Сегодня совершенно случайно чистила ноут и увидела в логе строку"проверка пользователя John", загуглила, увидела, что проблема не новая.

      CollectionLog-2025.04.20-20.12.zip
    • Виталий__-
      Писки и трещания в компьютере, которые передаются в наушники.
      Автор Виталий__-
      Ребят, что делать в данной ситуации? Из-за проблем с перегревом, я решил поменять башню и корпус. Взял se-214-xt и корпус Bloody BD-CC107F. После этого появилась проблема, что в верхнем аудио разъеме при подключении наушников в левом ухе пипец что-то жужжит, только во время игр. (Сразу скажу что с наушниками все нормально, сам порт 20 раз переподключали и проверяли). В салатовом разъёме в самой материнке этот шум есть, но очень тихий и опять же только во время игр. Хочу дополнить что звук не просто белый шум, а какие-то писки и трещания, кстати от самого системника тоже идёт такой звук). Очень похоже на проблему писка дросселей, но все поголовно говорят, что при этой проблеме только сама карта пищит и тд, никакой звук не должен передаваться в наушники. В интернете я находил несколько постов с такой же проблемой, что именно писки и трещания передаются в наушники, но решения у всех были разные. Я честно уже без сил, не знаю что делать.
    • triller
      Не могу активировать пробную версию
      Автор triller
      помогите кто-нибудь!!закачала пробную версию,активировать не могу!
×
×
  • Создать...