Перейти к содержанию
Правила раздела

[РЕШЕНО] Вирусный CAAService - Spyware.RedLineStealer

Nikita Paramonov

Автор Nikita Paramonov
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Nikita Paramonov

Nikita Paramonov

Опубликовано
Опубликовано (изменено)

Windows Defender обнаружил вирус CAAService (C:\ProgramData\CAAService\CAAService.exe), другой антивирус распознал это как Spyware.RedLineStealer.
Я уже удалял его, он появился опять, хотелось бы максимально защититься от его выполнения и понять, что его создаёт, помогите, пожалуйста.
 

Обычно вновь появляется при перезагрузке системы, в автозапуске подозрительного не нашел, разве что какой-то "LM", его отключил.

Изменено пользователем Nikita Paramonov
thyrex

thyrex

Опубликовано
Опубликовано

Здравствуйте.

 

Судя по логам, последнее обнаружение было 2 июля.


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKLM\...\Run: [CAA Service] => C:\ProgramData\CAAService\CAAServices.exe (Нет файла)
HKU\S-1-5-21-4206312039-689045557-1780686770-1001\...\Run: [Steam] => "C:\Program Files (x86)\Steam\steam.exe" -silent (Нет файла)
HKU\S-1-5-21-4206312039-689045557-1780686770-1001\...\Run: [YandexBrowserAutoLaunch_5DA6E2607BDF9F7728588CAC0D579829] => "C:\Users\Cubody\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
HKU\S-1-5-21-4206312039-689045557-1780686770-1001\...\MountPoints2: {48761ea1-302c-11f0-b68d-70d8239adfbd} - "E:\Autoplay.exe" -auto
ProxyServer: [S-1-5-21-4206312039-689045557-1780686770-1001] => hxxp://127.0.0.1:12334
S3 AIDA64Driver; \??\C:\Users\Cubody\Downloads\AIDA64 v7.50.7200 Portable\AIDA64\kerneld.x64 [X]
C:\ProgramData\CAAService
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
AlternateDataStreams: C:\Users\Cubody\Application Data:dfc60eccd110e2e3e8f63f01b8c84f49 [394]
AlternateDataStreams: C:\Users\Cubody\Downloads\Fork-2.8.2.exe:MBAM.Zone.Identifier [106]
AlternateDataStreams: C:\Users\Cubody\Downloads\FRST64.exe:MBAM.Zone.Identifier [225]
AlternateDataStreams: C:\Users\Cubody\Downloads\GitKrakenSetup.exe:MBAM.Zone.Identifier [193]
AlternateDataStreams: C:\Users\Cubody\Downloads\KVRT.exe:MBAM.Zone.Identifier [182]
AlternateDataStreams: C:\Users\Cubody\Downloads\sublime_merge_build_2102_x64_setup.exe:MBAM.Zone.Identifier [150]
AlternateDataStreams: C:\Users\Cubody\Downloads\windowsdesktop-runtime-6.0.36-win-x64.exe:MBAM.Zone.Identifier [185]
AlternateDataStreams: C:\Users\Cubody\AppData\Roaming:dfc60eccd110e2e3e8f63f01b8c84f49 [394]
AlternateDataStreams: C:\Users\Cubody\AppData\Local\Microsoft:ISBD [32]
HKU\S-1-5-21-4206312039-689045557-1780686770-1001\Software\Classes\regfile:  <==== ВНИМАНИЕ
HKU\S-1-5-21-4206312039-689045557-1780686770-1001\Software\Classes\.reg:  =>  <==== ВНИМАНИЕ
HKU\S-1-5-21-4206312039-689045557-1780686770-1001\Software\Classes\.bat:  =>  <==== ВНИМАНИЕ
HKU\S-1-5-21-4206312039-689045557-1780686770-1001\Software\Classes\.cmd:  =>  <==== ВНИМАНИЕ
FirewallRules: [TCP Query User{202EE770-8533-4BF5-AE29-FB8A437CDD1F}C:\users\cubody\downloads\anydesk.exe] => (Allow) C:\users\cubody\downloads\anydesk.exe => Нет файла
FirewallRules: [UDP Query User{5BD783E6-64C2-46AA-8FB4-43BDFE8B3BDD}C:\users\cubody\downloads\anydesk.exe] => (Allow) C:\users\cubody\downloads\anydesk.exe => Нет файла
FirewallRules: [{F884F8BA-8E40-4DC4-84BB-EC01A2729E90}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => Нет файла
FirewallRules: [{64D26391-D80F-4B9B-9B81-D37832283756}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => Нет файла
FirewallRules: [{BD85CF66-C00F-452D-8C0B-D9621A4BF7EC}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{73421C37-6BF4-4C55-85A3-8748BD6B1F6C}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{1F7FAE73-1E2B-4344-8265-AAD7F9514D3D}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\wallpaper_engine\launcher.exe => Нет файла
FirewallRules: [{EDD6F09D-E9E0-42F6-B3AA-DD71201BBABB}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\wallpaper_engine\launcher.exe => Нет файла
FirewallRules: [{8280681C-2B85-4758-A307-BD8D7C1310C7}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Schedule I\Schedule I.exe => Нет файла
FirewallRules: [{2A9A7592-12A2-4D91-82CA-5BB91CE5F147}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Schedule I\Schedule I.exe => Нет файла
FirewallRules: [TCP Query User{CD890EA9-0FA8-474D-958D-0FB33C8F6840}C:\program files\half lifealyx\game\bin\win64\hlvr.exe] => (Allow) C:\program files\half lifealyx\game\bin\win64\hlvr.exe => Нет файла
FirewallRules: [UDP Query User{63F549E0-A740-4AD3-898F-ECD5BE16AEE4}C:\program files\half lifealyx\game\bin\win64\hlvr.exe] => (Allow) C:\program files\half lifealyx\game\bin\win64\hlvr.exe => Нет файла
FirewallRules: [{FDF2F4E2-106C-4A2A-84B4-48CB0428979A}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\SteamVR\bin\win64\vrstartup.exe => Нет файла
FirewallRules: [{9B532A56-190E-49C6-9E4E-E6D0969869FB}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\SteamVR\bin\win64\vrstartup.exe => Нет файла
FirewallRules: [{059C67DB-56C0-4B23-8221-83B19D9CE0E7}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\SteamVR\bin\win64\vrserver.exe => Нет файла
FirewallRules: [{B7889F2F-FF80-4AF1-A98F-AF8456C4F61A}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\SteamVR\bin\win64\vrserver.exe => Нет файла
FirewallRules: [{756EEEB0-9C59-4C2A-BF2B-601F2A0E5C3F}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\SteamVR\tools\steamvr_environments\game\bin\win64\steamtours.exe => Нет файла
FirewallRules: [{1C0F5D72-8384-4B0A-A092-805C2019B09D}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\SteamVR\tools\steamvr_environments\game\bin\win64\steamtours.exe => Нет файла
FirewallRules: [{F114C8D8-5D17-4537-9F82-0DDD9ADD6652}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\SteamVR\tools\steamvr_environments\game\bin\win64\steamtourscfg.exe => Нет файла
FirewallRules: [{CB2FA82E-79F1-4102-B3DA-F56CED6EE337}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\SteamVR\tools\steamvr_environments\game\bin\win64\steamtourscfg.exe => Нет файла
FirewallRules: [{0D0F209E-3975-45ED-A3DF-7B6383FD341F}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Half-Life Alyx\game\bin\win64\hlvr.exe => Нет файла
FirewallRules: [{D24468AB-5BB4-4656-8312-94D95E3822B5}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Half-Life Alyx\game\bin\win64\hlvr.exe => Нет файла
FirewallRules: [{81D8899B-999C-43AF-8C27-D12C5DAB5FD4}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\FruitNinjaVR\FruitNinja.exe => Нет файла
FirewallRules: [{BE278B9C-E13C-4436-B6A3-D4BDA710F585}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\FruitNinjaVR\FruitNinja.exe => Нет файла
FirewallRules: [TCP Query User{18BBCC8F-4BD3-471A-87D2-753FB2248414}C:\users\cubody\downloads\davigo\davigo\davigo.exe] => (Allow) C:\users\cubody\downloads\davigo\davigo\davigo.exe => Нет файла
FirewallRules: [UDP Query User{2E8D4A55-7834-4CF1-8916-5CAF492747FD}C:\users\cubody\downloads\davigo\davigo\davigo.exe] => (Allow) C:\users\cubody\downloads\davigo\davigo\davigo.exe => Нет файла
FirewallRules: [{5A600CF7-D6A4-4275-A113-97A8B830048E}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Hunt Showdown 1896\hunt.exe => Нет файла
FirewallRules: [{F6706250-1DC9-4E35-A60A-FE05D6E7B916}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Hunt Showdown 1896\hunt.exe => Нет файла
FirewallRules: [{8DF2EE9F-CABB-423C-8633-5260EB2AE9A1}] => (Allow) C:\Program Files\Steinberg\Cubase 14\Cubase14.exe => Нет файла
FirewallRules: [{9D0F216F-CB03-4BFE-97BD-78416AF38D2C}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Mistfall Hunter Playtest\Win64-GSDK-Steam-Shipping\MistfallHunter.exe => Нет файла
FirewallRules: [{894BA92A-D5FF-49EF-9E59-F9210243AF02}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Mistfall Hunter Playtest\Win64-GSDK-Steam-Shipping\MistfallHunter.exe => Нет файла
FirewallRules: [TCP Query User{08271754-8DCA-4B24-AF43-4954FFCB5D55}C:\program files (x86)\steam\steamapps\common\mistfall hunter playtest\win64-gsdk-steam-shipping\mistfallhunter\binaries\win64\mistfallhunter-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\mistfall hunter playtest\win64-gsdk-steam-shipping\mistfallhunter\binaries\win64\mistfallhunter-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{310A9ADC-151B-4C02-BA5A-1572972EEE91}C:\program files (x86)\steam\steamapps\common\mistfall hunter playtest\win64-gsdk-steam-shipping\mistfallhunter\binaries\win64\mistfallhunter-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\mistfall hunter playtest\win64-gsdk-steam-shipping\mistfallhunter\binaries\win64\mistfallhunter-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{CCFAF035-0525-4EE9-A0C6-7437319A74D3}C:\program files (x86)\steam\steamapps\common\murky divers\murkydivers\binaries\win64\murkydiversgame-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\murky divers\murkydivers\binaries\win64\murkydiversgame-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{D4112EAD-251A-4202-AE4F-CBD828693049}C:\program files (x86)\steam\steamapps\common\murky divers\murkydivers\binaries\win64\murkydiversgame-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\murky divers\murkydivers\binaries\win64\murkydiversgame-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{5155E029-CA52-4051-85A8-7F8552695ECA}C:\users\cubody\downloads\sex_formula_v1.5.0\sex formula\sex formula.exe] => (Allow) C:\users\cubody\downloads\sex_formula_v1.5.0\sex formula\sex formula.exe => Нет файла
FirewallRules: [UDP Query User{2648E4C8-64F3-450D-8C28-2F77CB407571}C:\users\cubody\downloads\sex_formula_v1.5.0\sex formula\sex formula.exe] => (Allow) C:\users\cubody\downloads\sex_formula_v1.5.0\sex formula\sex formula.exe => Нет файла
FirewallRules: [TCP Query User{852C1BB9-1E27-44F1-8F20-070FF12A032D}C:\program files (x86)\steam\steamapps\common\arc raiders playtest\pioneergame\binaries\win64\pioneergame.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\arc raiders playtest\pioneergame\binaries\win64\pioneergame.exe => Нет файла
FirewallRules: [UDP Query User{F9D9E284-E8C4-49AE-9A23-54D0F830266C}C:\program files (x86)\steam\steamapps\common\arc raiders playtest\pioneergame\binaries\win64\pioneergame.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\arc raiders playtest\pioneergame\binaries\win64\pioneergame.exe => Нет файла
FirewallRules: [{2B32B05D-F9E9-4016-9E19-C3E3C171F77A}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\DayZServer\DayZServer_x64.exe => Нет файла
FirewallRules: [{7979D7F0-8801-437C-85B1-FCD8148DDBDD}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\DayZServer\DayZServer_x64.exe => Нет файла
FirewallRules: [{0B3B2B75-71DB-4DA1-AD45-8F6DC9595B99}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\DayZ Tools\Bin\Launcher\DayZToolsLauncher.exe => Нет файла
FirewallRules: [{4205250A-27AC-4D0D-9B6A-C29A015106D6}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\DayZ Tools\Bin\Launcher\DayZToolsLauncher.exe => Нет файла
FirewallRules: [{6E0BABDF-81C2-4157-87FF-BFBF12525BE7}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\DayZ Tools\Bin\Workbench\workbenchApp.exe => Нет файла
FirewallRules: [{0A309FA9-4285-4962-8B66-D9456B59E22D}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\DayZ Tools\Bin\Workbench\workbenchApp.exe => Нет файла
FirewallRules: [{4A6EF826-09C5-48D4-804B-A2787824EAE6}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\DayZ\DayZLauncher.exe => Нет файла
FirewallRules: [{343E0D7C-1ED4-4A8B-A820-6056F6AB0970}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\DayZ\DayZLauncher.exe => Нет файла
FirewallRules: [{05C85C3C-0607-4F94-A38C-0AC318CB0F1B}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\DayZ\DayZ_BE.exe => Нет файла
FirewallRules: [{B5408E72-5702-4C3C-946A-A0C0D4A3920C}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\DayZ\DayZ_BE.exe => Нет файла
FirewallRules: [{45AACA44-4BC2-4D2E-A3A7-84DAD7411266}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Foxhole\War.exe => Нет файла
FirewallRules: [{CE5BBCCC-585F-4C5B-B4CC-53FA066C14EA}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Foxhole\War.exe => Нет файла
FirewallRules: [{8E67B536-3946-4579-A6E7-7FA0333F41FE}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\VRising\VRising.exe => Нет файла
FirewallRules: [{5B5CCC29-16A6-4791-9877-6C256CB9ED3A}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\VRising\VRising.exe => Нет файла
FirewallRules: [TCP Query User{697E68C0-981C-41E6-A3BF-375DC4F45833}C:\program files (x86)\steam\steamapps\common\foxhole\war\binaries\win64\war-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\foxhole\war\binaries\win64\war-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{500AE85F-DFBA-4E92-99A1-6631701796A6}C:\program files (x86)\steam\steamapps\common\foxhole\war\binaries\win64\war-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\foxhole\war\binaries\win64\war-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{999F6282-CED7-42BB-8B0B-C96B0EE6046C}C:\program files\jetbrains\rider\r2r\2025.1.2r\0a1ec8ae64cc8a94e4e601244908fc2\windows-x64\rider.backend.exe] => (Allow) C:\program files\jetbrains\rider\r2r\2025.1.2r\0a1ec8ae64cc8a94e4e601244908fc2\windows-x64\rider.backend.exe => Нет файла
FirewallRules: [UDP Query User{9BA4C72F-4B7F-495E-9F5F-6759FA8DD4C8}C:\program files\jetbrains\rider\r2r\2025.1.2r\0a1ec8ae64cc8a94e4e601244908fc2\windows-x64\rider.backend.exe] => (Allow) C:\program files\jetbrains\rider\r2r\2025.1.2r\0a1ec8ae64cc8a94e4e601244908fc2\windows-x64\rider.backend.exe => Нет файла
FirewallRules: [{DCFFA0CE-DCEA-471B-8954-988C33034278}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\House Flipper 2\HouseFlipper2.exe => Нет файла
FirewallRules: [{95F63DE8-BFC3-4110-AB5D-E812578B44FD}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\House Flipper 2\HouseFlipper2.exe => Нет файла
FirewallRules: [{2B53B2A9-10A9-4565-8701-66EE84A6C3E6}] => (Allow) C:\Program Files\WindowsApps\Hiddify.HiddifyNext_2.0.5.0_x64__pvn3df8hp03bc\Hiddify.exe => Нет файла
FirewallRules: [{BEDB042D-BAE6-4A04-A718-111500E436BE}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Tabletop Simulator\Tabletop Simulator.exe => Нет файла
FirewallRules: [{2F08528D-B0F0-4FE2-8F1E-3082318F2C8C}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Tabletop Simulator\Tabletop Simulator.exe => Нет файла
FirewallRules: [{B91DE772-80E9-44C2-BCD8-03FFCC544D48}] => (Allow) C:\Battlestate Games\BsgLauncher\BsgLauncher.exe => Нет файла
FirewallRules: [{B7DCBFEA-180C-4F9B-8301-A338FF8B47EA}] => (Allow) C:\Battlestate Games\BsgLauncher\BsgLauncher.exe => Нет файла
FirewallRules: [TCP Query User{92E325C3-D88F-4080-B1FB-99538EB41DE9}C:\users\cubody\downloads\fabledom\fabledom\fabledom.exe] => (Allow) C:\users\cubody\downloads\fabledom\fabledom\fabledom.exe => Нет файла
FirewallRules: [UDP Query User{3C53FE65-437E-49D7-A855-4BC5B755A5FA}C:\users\cubody\downloads\fabledom\fabledom\fabledom.exe] => (Allow) C:\users\cubody\downloads\fabledom\fabledom\fabledom.exe => Нет файла
FirewallRules: [TCP Query User{D75DBBA2-6E62-47A9-8D3A-D0A32B16FDB7}C:\steam\steamapps\common\rogue point demo\tango\binaries\win64\tango-win64-shipping.exe] => (Allow) C:\steam\steamapps\common\rogue point demo\tango\binaries\win64\tango-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{CD37713D-439A-42D0-90E3-A77B3366B6F9}C:\steam\steamapps\common\rogue point demo\tango\binaries\win64\tango-win64-shipping.exe] => (Allow) C:\steam\steamapps\common\rogue point demo\tango\binaries\win64\tango-win64-shipping.exe => Нет файла
FirewallRules: [{7c285be9-2ff1-4a6b-9b67-98e3301e09fb}] => (Allow) C:\ProgramData\CAAService\CAAServices.exe => Нет файла
FirewallRules: [{084621dc-aed8-4c10-9d44-7e3114ab743b}] => (Allow) C:\ProgramData\CAAService\CAAServices.exe => Нет файла
FirewallRules: [TCP Query User{8103724A-779E-4F01-85C6-FB3A26B8EA39}C:\steam\steamapps\common\star wars battlefront ii\starwarsbattlefrontii.exe] => (Allow) C:\steam\steamapps\common\star wars battlefront ii\starwarsbattlefrontii.exe => Нет файла
FirewallRules: [UDP Query User{1C879C6C-F2D8-42EF-94E3-D13FD10F4304}C:\steam\steamapps\common\star wars battlefront ii\starwarsbattlefrontii.exe] => (Allow) C:\steam\steamapps\common\star wars battlefront ii\starwarsbattlefrontii.exe => Нет файла
FirewallRules: [{0666699d-66bb-44bc-bd45-80493db17cde}] => (Allow) C:\ProgramData\CAAService\CAAServices.exe => Нет файла
FirewallRules: [{419999a7-6cf8-4849-a768-96959833ba44}] => (Allow) C:\ProgramData\CAAService\CAAServices.exe => Нет файла
FirewallRules: [{f6a0e238-f6e4-4ef4-9246-0e65c76d7593}] => (Allow) C:\ProgramData\CAAService\CAAServices.exe => Нет файла
FirewallRules: [{5b6cfe79-8c21-4a22-a824-eaa50c3ebf46}] => (Allow) C:\ProgramData\CAAService\CAAServices.exe => Нет файла
FirewallRules: [{89d28369-d634-4576-9d1c-5233644ae31e}] => (Allow) C:\ProgramData\CAAService\CAAServices.exe => Нет файла
FirewallRules: [{92ebd5c9-0869-4e79-a133-73d8886b0229}] => (Allow) C:\ProgramData\CAAService\CAAServices.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Nikita Paramonov

Nikita Paramonov

Опубликовано
  • Автор
Опубликовано (изменено)

Сегодня еще было обнаружение, но не дефендером, а malwarebytes
Вроде после перезапуска снова файл на появился

Fixlog.txt

Изменено пользователем Nikita Paramonov
thyrex

thyrex

Опубликовано
Опубликовано
13 минут назад, Nikita Paramonov сказал:

снова файл на появился

это как правильно понимать?

Nikita Paramonov

Nikita Paramonov

Опубликовано
  • Автор
Опубликовано

После перезапуска файл появлялся вновь, теперь не появляется, дополнительно через сканирование касперским я удалил пиратские установщики Microsoft Office, в них был Trojan.Powedon.
 

thyrex

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

  • Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
Nikita Paramonov

Nikita Paramonov

Опубликовано
  • Автор
Опубликовано
29 минут назад, thyrex сказал:

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

  • Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.

 


 

Спасибо! Я уже посмотрел сводку из SecurityCheck и пообновлял

thyrex

thyrex

Опубликовано
Опубликовано

Тогда на этом закончим. Пароли все же стоит сменить.

 

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Mason19
      К сожалению, нам не удается определить, можно ли запускать Windows 11 на вашем компьютере (Код ошибки: 0x80070003 - 0x40008)
      Автор Mason19
      Приветствую, обновил процессор на R5 5600GT, решил установить Windows 11 с сохранением данных, но не тут то было, в интернете дают общие советы выполнить: "sfc /scannow", включить secure boot в bios, удалить антивирус, все это сделано но результат по прежнему нулевой.


    • DEFFlorator
      [РЕШЕНО] Поймал друг на моем ноуте вирус CAAServises (он же под именем SQL Servises). Он постоянно висит в автозагрузках, при удалении появляется вновь. Сторонними прогами, Virus Total'ом удалить также не получилось.
      Автор DEFFlorator
      Обнаружил данный вирус, так как при подключении к Инету сильно нагружается и греется ЦП. Использование почти всегда 100 %, частоты выше 3,5 ГГц при штатной 2,3 ГГц. После поисков ответов в инете обнаружил связанный с вирусом файл explorer.exe, в разделе "Безопасность" которого имеется некий админ. Изменение разрешений невозможно (требуется разрешение этого самого левого админа), при удалении сразу появляется вновь.
      Сам вирус находится в папке Program Files.



      CollectionLog-2026.01.09-13.55.zip

    • Ogurtsovv_KZN
      [РЕШЕНО] Удаление вируса CAASevice.exe
      Автор Ogurtsovv_KZN
      Здравствуйте! Не так давно обнаружил на своем компьютере вирус, который отдельно запускал задачу "Microsoft Network Realtime Inspection Service". Эта задача нагружала видеокарту компьютера на 100% и стало понятно, что она вредоносная, т.к. есть аналогичная задача с точно таким же названием, но уже не использующая практически никаких ресурсов ПК. Ещё интересен тот факт, что на компьютере Windows 11 недавно полностью переустанавливалась и вот на, по сути, "чистой" системе появился вирус. 
      Файл CAAService.exe обнаружил по пути C:\ProgramFata\CAAService, там же были обнаружены "Microsoft Network Realtime Inspection Service" и ещё парочку dll-файлов. Попробовал вручную удалить всю папку и после перезагрузки компьютера папка снова вернулась на место, но уже только с файлом CAAService.exe, рядом с ним больше ничего нет. Также, до удаления папки я снял с автозагрузки в диспетчере задач файл CAAService.exe и после перезагрузки системы он сам не включался и больше не потреблял никаких ресурсов. Таким образом получается, что сам вирус как бы есть, но он ничего не делает и сам постоянно восстанавливается после удаления (более того, он добавляет себя в список исключений для антивируса Windows, вследствие чего сам по себе не блокируется и не удаляется). По крайней мере пока. Тем не менее, хотелось бы избавиться от него навсегда.
      Я видел, что вы уже помогали другим пользователям в решении подобной проблемы. Вы сможете мне помочь?
    • 794092
      Ошибка windows 11
      Автор 794092
      Недавно после обновления Windows 11 я столкнулся с проблемой: антивирус Kaspersky перестал запускаться, выдавая выдуманную ошибку с кодом «0xDEAD1234». При этом система показывает, что антивирус устанбн и обновлён, но интерфейс программы не открывается, а все попытки сканирования завершаются неудачно. Я перепробовал перезагрузку, переустановку Kaspersky и проверку целостности системных файлов через sfc /scannow, но ошибка сохраняется. Может ли это быть конфликтом с новыми обновлениями Windows 11 или проблемой в службах антивируса, и как можно безопасно устранить эту ошибку?
    • Ulukbek Tenizbaev
      CAAServices.exe
      Автор Ulukbek Tenizbaev
      Приветствую всех!
      Поймай CAAServices после активации "пиратского софта" (в чем сильно каюсь).
      Нашел точно такую же тему (на данный момент уже закрытую), но шаги предпринятые в ней мне не помогли (руки кривые).
      Ниже приложу результаты FRST скана. 
      Прошу помочь в решении данной проблемы.
      Addition.txt FRST.txt
×
×
  • Создать...