Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

[РЕШЕНО] Вирусный CAAService - Spyware.RedLineStealer

Nikita Paramonov

Автор Nikita Paramonov
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Nikita Paramonov

Nikita Paramonov

Опубликовано
Опубликовано (изменено)

Windows Defender обнаружил вирус CAAService (C:\ProgramData\CAAService\CAAService.exe), другой антивирус распознал это как Spyware.RedLineStealer.
Я уже удалял его, он появился опять, хотелось бы максимально защититься от его выполнения и понять, что его создаёт, помогите, пожалуйста.
 

Обычно вновь появляется при перезагрузке системы, в автозапуске подозрительного не нашел, разве что какой-то "LM", его отключил.

Изменено пользователем Nikita Paramonov
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Здравствуйте.

 

Судя по логам, последнее обнаружение было 2 июля.


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKLM\...\Run: [CAA Service] => C:\ProgramData\CAAService\CAAServices.exe (Нет файла)
HKU\S-1-5-21-4206312039-689045557-1780686770-1001\...\Run: [Steam] => "C:\Program Files (x86)\Steam\steam.exe" -silent (Нет файла)
HKU\S-1-5-21-4206312039-689045557-1780686770-1001\...\Run: [YandexBrowserAutoLaunch_5DA6E2607BDF9F7728588CAC0D579829] => "C:\Users\Cubody\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
HKU\S-1-5-21-4206312039-689045557-1780686770-1001\...\MountPoints2: {48761ea1-302c-11f0-b68d-70d8239adfbd} - "E:\Autoplay.exe" -auto
ProxyServer: [S-1-5-21-4206312039-689045557-1780686770-1001] => hxxp://127.0.0.1:12334
S3 AIDA64Driver; \??\C:\Users\Cubody\Downloads\AIDA64 v7.50.7200 Portable\AIDA64\kerneld.x64 [X]
C:\ProgramData\CAAService
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
AlternateDataStreams: C:\Users\Cubody\Application Data:dfc60eccd110e2e3e8f63f01b8c84f49 [394]
AlternateDataStreams: C:\Users\Cubody\Downloads\Fork-2.8.2.exe:MBAM.Zone.Identifier [106]
AlternateDataStreams: C:\Users\Cubody\Downloads\FRST64.exe:MBAM.Zone.Identifier [225]
AlternateDataStreams: C:\Users\Cubody\Downloads\GitKrakenSetup.exe:MBAM.Zone.Identifier [193]
AlternateDataStreams: C:\Users\Cubody\Downloads\KVRT.exe:MBAM.Zone.Identifier [182]
AlternateDataStreams: C:\Users\Cubody\Downloads\sublime_merge_build_2102_x64_setup.exe:MBAM.Zone.Identifier [150]
AlternateDataStreams: C:\Users\Cubody\Downloads\windowsdesktop-runtime-6.0.36-win-x64.exe:MBAM.Zone.Identifier [185]
AlternateDataStreams: C:\Users\Cubody\AppData\Roaming:dfc60eccd110e2e3e8f63f01b8c84f49 [394]
AlternateDataStreams: C:\Users\Cubody\AppData\Local\Microsoft:ISBD [32]
HKU\S-1-5-21-4206312039-689045557-1780686770-1001\Software\Classes\regfile:  <==== ВНИМАНИЕ
HKU\S-1-5-21-4206312039-689045557-1780686770-1001\Software\Classes\.reg:  =>  <==== ВНИМАНИЕ
HKU\S-1-5-21-4206312039-689045557-1780686770-1001\Software\Classes\.bat:  =>  <==== ВНИМАНИЕ
HKU\S-1-5-21-4206312039-689045557-1780686770-1001\Software\Classes\.cmd:  =>  <==== ВНИМАНИЕ
FirewallRules: [TCP Query User{202EE770-8533-4BF5-AE29-FB8A437CDD1F}C:\users\cubody\downloads\anydesk.exe] => (Allow) C:\users\cubody\downloads\anydesk.exe => Нет файла
FirewallRules: [UDP Query User{5BD783E6-64C2-46AA-8FB4-43BDFE8B3BDD}C:\users\cubody\downloads\anydesk.exe] => (Allow) C:\users\cubody\downloads\anydesk.exe => Нет файла
FirewallRules: [{F884F8BA-8E40-4DC4-84BB-EC01A2729E90}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => Нет файла
FirewallRules: [{64D26391-D80F-4B9B-9B81-D37832283756}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => Нет файла
FirewallRules: [{BD85CF66-C00F-452D-8C0B-D9621A4BF7EC}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{73421C37-6BF4-4C55-85A3-8748BD6B1F6C}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{1F7FAE73-1E2B-4344-8265-AAD7F9514D3D}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\wallpaper_engine\launcher.exe => Нет файла
FirewallRules: [{EDD6F09D-E9E0-42F6-B3AA-DD71201BBABB}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\wallpaper_engine\launcher.exe => Нет файла
FirewallRules: [{8280681C-2B85-4758-A307-BD8D7C1310C7}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Schedule I\Schedule I.exe => Нет файла
FirewallRules: [{2A9A7592-12A2-4D91-82CA-5BB91CE5F147}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Schedule I\Schedule I.exe => Нет файла
FirewallRules: [TCP Query User{CD890EA9-0FA8-474D-958D-0FB33C8F6840}C:\program files\half lifealyx\game\bin\win64\hlvr.exe] => (Allow) C:\program files\half lifealyx\game\bin\win64\hlvr.exe => Нет файла
FirewallRules: [UDP Query User{63F549E0-A740-4AD3-898F-ECD5BE16AEE4}C:\program files\half lifealyx\game\bin\win64\hlvr.exe] => (Allow) C:\program files\half lifealyx\game\bin\win64\hlvr.exe => Нет файла
FirewallRules: [{FDF2F4E2-106C-4A2A-84B4-48CB0428979A}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\SteamVR\bin\win64\vrstartup.exe => Нет файла
FirewallRules: [{9B532A56-190E-49C6-9E4E-E6D0969869FB}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\SteamVR\bin\win64\vrstartup.exe => Нет файла
FirewallRules: [{059C67DB-56C0-4B23-8221-83B19D9CE0E7}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\SteamVR\bin\win64\vrserver.exe => Нет файла
FirewallRules: [{B7889F2F-FF80-4AF1-A98F-AF8456C4F61A}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\SteamVR\bin\win64\vrserver.exe => Нет файла
FirewallRules: [{756EEEB0-9C59-4C2A-BF2B-601F2A0E5C3F}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\SteamVR\tools\steamvr_environments\game\bin\win64\steamtours.exe => Нет файла
FirewallRules: [{1C0F5D72-8384-4B0A-A092-805C2019B09D}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\SteamVR\tools\steamvr_environments\game\bin\win64\steamtours.exe => Нет файла
FirewallRules: [{F114C8D8-5D17-4537-9F82-0DDD9ADD6652}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\SteamVR\tools\steamvr_environments\game\bin\win64\steamtourscfg.exe => Нет файла
FirewallRules: [{CB2FA82E-79F1-4102-B3DA-F56CED6EE337}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\SteamVR\tools\steamvr_environments\game\bin\win64\steamtourscfg.exe => Нет файла
FirewallRules: [{0D0F209E-3975-45ED-A3DF-7B6383FD341F}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Half-Life Alyx\game\bin\win64\hlvr.exe => Нет файла
FirewallRules: [{D24468AB-5BB4-4656-8312-94D95E3822B5}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Half-Life Alyx\game\bin\win64\hlvr.exe => Нет файла
FirewallRules: [{81D8899B-999C-43AF-8C27-D12C5DAB5FD4}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\FruitNinjaVR\FruitNinja.exe => Нет файла
FirewallRules: [{BE278B9C-E13C-4436-B6A3-D4BDA710F585}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\FruitNinjaVR\FruitNinja.exe => Нет файла
FirewallRules: [TCP Query User{18BBCC8F-4BD3-471A-87D2-753FB2248414}C:\users\cubody\downloads\davigo\davigo\davigo.exe] => (Allow) C:\users\cubody\downloads\davigo\davigo\davigo.exe => Нет файла
FirewallRules: [UDP Query User{2E8D4A55-7834-4CF1-8916-5CAF492747FD}C:\users\cubody\downloads\davigo\davigo\davigo.exe] => (Allow) C:\users\cubody\downloads\davigo\davigo\davigo.exe => Нет файла
FirewallRules: [{5A600CF7-D6A4-4275-A113-97A8B830048E}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Hunt Showdown 1896\hunt.exe => Нет файла
FirewallRules: [{F6706250-1DC9-4E35-A60A-FE05D6E7B916}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Hunt Showdown 1896\hunt.exe => Нет файла
FirewallRules: [{8DF2EE9F-CABB-423C-8633-5260EB2AE9A1}] => (Allow) C:\Program Files\Steinberg\Cubase 14\Cubase14.exe => Нет файла
FirewallRules: [{9D0F216F-CB03-4BFE-97BD-78416AF38D2C}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Mistfall Hunter Playtest\Win64-GSDK-Steam-Shipping\MistfallHunter.exe => Нет файла
FirewallRules: [{894BA92A-D5FF-49EF-9E59-F9210243AF02}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Mistfall Hunter Playtest\Win64-GSDK-Steam-Shipping\MistfallHunter.exe => Нет файла
FirewallRules: [TCP Query User{08271754-8DCA-4B24-AF43-4954FFCB5D55}C:\program files (x86)\steam\steamapps\common\mistfall hunter playtest\win64-gsdk-steam-shipping\mistfallhunter\binaries\win64\mistfallhunter-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\mistfall hunter playtest\win64-gsdk-steam-shipping\mistfallhunter\binaries\win64\mistfallhunter-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{310A9ADC-151B-4C02-BA5A-1572972EEE91}C:\program files (x86)\steam\steamapps\common\mistfall hunter playtest\win64-gsdk-steam-shipping\mistfallhunter\binaries\win64\mistfallhunter-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\mistfall hunter playtest\win64-gsdk-steam-shipping\mistfallhunter\binaries\win64\mistfallhunter-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{CCFAF035-0525-4EE9-A0C6-7437319A74D3}C:\program files (x86)\steam\steamapps\common\murky divers\murkydivers\binaries\win64\murkydiversgame-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\murky divers\murkydivers\binaries\win64\murkydiversgame-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{D4112EAD-251A-4202-AE4F-CBD828693049}C:\program files (x86)\steam\steamapps\common\murky divers\murkydivers\binaries\win64\murkydiversgame-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\murky divers\murkydivers\binaries\win64\murkydiversgame-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{5155E029-CA52-4051-85A8-7F8552695ECA}C:\users\cubody\downloads\sex_formula_v1.5.0\sex formula\sex formula.exe] => (Allow) C:\users\cubody\downloads\sex_formula_v1.5.0\sex formula\sex formula.exe => Нет файла
FirewallRules: [UDP Query User{2648E4C8-64F3-450D-8C28-2F77CB407571}C:\users\cubody\downloads\sex_formula_v1.5.0\sex formula\sex formula.exe] => (Allow) C:\users\cubody\downloads\sex_formula_v1.5.0\sex formula\sex formula.exe => Нет файла
FirewallRules: [TCP Query User{852C1BB9-1E27-44F1-8F20-070FF12A032D}C:\program files (x86)\steam\steamapps\common\arc raiders playtest\pioneergame\binaries\win64\pioneergame.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\arc raiders playtest\pioneergame\binaries\win64\pioneergame.exe => Нет файла
FirewallRules: [UDP Query User{F9D9E284-E8C4-49AE-9A23-54D0F830266C}C:\program files (x86)\steam\steamapps\common\arc raiders playtest\pioneergame\binaries\win64\pioneergame.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\arc raiders playtest\pioneergame\binaries\win64\pioneergame.exe => Нет файла
FirewallRules: [{2B32B05D-F9E9-4016-9E19-C3E3C171F77A}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\DayZServer\DayZServer_x64.exe => Нет файла
FirewallRules: [{7979D7F0-8801-437C-85B1-FCD8148DDBDD}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\DayZServer\DayZServer_x64.exe => Нет файла
FirewallRules: [{0B3B2B75-71DB-4DA1-AD45-8F6DC9595B99}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\DayZ Tools\Bin\Launcher\DayZToolsLauncher.exe => Нет файла
FirewallRules: [{4205250A-27AC-4D0D-9B6A-C29A015106D6}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\DayZ Tools\Bin\Launcher\DayZToolsLauncher.exe => Нет файла
FirewallRules: [{6E0BABDF-81C2-4157-87FF-BFBF12525BE7}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\DayZ Tools\Bin\Workbench\workbenchApp.exe => Нет файла
FirewallRules: [{0A309FA9-4285-4962-8B66-D9456B59E22D}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\DayZ Tools\Bin\Workbench\workbenchApp.exe => Нет файла
FirewallRules: [{4A6EF826-09C5-48D4-804B-A2787824EAE6}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\DayZ\DayZLauncher.exe => Нет файла
FirewallRules: [{343E0D7C-1ED4-4A8B-A820-6056F6AB0970}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\DayZ\DayZLauncher.exe => Нет файла
FirewallRules: [{05C85C3C-0607-4F94-A38C-0AC318CB0F1B}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\DayZ\DayZ_BE.exe => Нет файла
FirewallRules: [{B5408E72-5702-4C3C-946A-A0C0D4A3920C}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\DayZ\DayZ_BE.exe => Нет файла
FirewallRules: [{45AACA44-4BC2-4D2E-A3A7-84DAD7411266}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Foxhole\War.exe => Нет файла
FirewallRules: [{CE5BBCCC-585F-4C5B-B4CC-53FA066C14EA}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Foxhole\War.exe => Нет файла
FirewallRules: [{8E67B536-3946-4579-A6E7-7FA0333F41FE}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\VRising\VRising.exe => Нет файла
FirewallRules: [{5B5CCC29-16A6-4791-9877-6C256CB9ED3A}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\VRising\VRising.exe => Нет файла
FirewallRules: [TCP Query User{697E68C0-981C-41E6-A3BF-375DC4F45833}C:\program files (x86)\steam\steamapps\common\foxhole\war\binaries\win64\war-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\foxhole\war\binaries\win64\war-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{500AE85F-DFBA-4E92-99A1-6631701796A6}C:\program files (x86)\steam\steamapps\common\foxhole\war\binaries\win64\war-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\foxhole\war\binaries\win64\war-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{999F6282-CED7-42BB-8B0B-C96B0EE6046C}C:\program files\jetbrains\rider\r2r\2025.1.2r\0a1ec8ae64cc8a94e4e601244908fc2\windows-x64\rider.backend.exe] => (Allow) C:\program files\jetbrains\rider\r2r\2025.1.2r\0a1ec8ae64cc8a94e4e601244908fc2\windows-x64\rider.backend.exe => Нет файла
FirewallRules: [UDP Query User{9BA4C72F-4B7F-495E-9F5F-6759FA8DD4C8}C:\program files\jetbrains\rider\r2r\2025.1.2r\0a1ec8ae64cc8a94e4e601244908fc2\windows-x64\rider.backend.exe] => (Allow) C:\program files\jetbrains\rider\r2r\2025.1.2r\0a1ec8ae64cc8a94e4e601244908fc2\windows-x64\rider.backend.exe => Нет файла
FirewallRules: [{DCFFA0CE-DCEA-471B-8954-988C33034278}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\House Flipper 2\HouseFlipper2.exe => Нет файла
FirewallRules: [{95F63DE8-BFC3-4110-AB5D-E812578B44FD}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\House Flipper 2\HouseFlipper2.exe => Нет файла
FirewallRules: [{2B53B2A9-10A9-4565-8701-66EE84A6C3E6}] => (Allow) C:\Program Files\WindowsApps\Hiddify.HiddifyNext_2.0.5.0_x64__pvn3df8hp03bc\Hiddify.exe => Нет файла
FirewallRules: [{BEDB042D-BAE6-4A04-A718-111500E436BE}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Tabletop Simulator\Tabletop Simulator.exe => Нет файла
FirewallRules: [{2F08528D-B0F0-4FE2-8F1E-3082318F2C8C}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Tabletop Simulator\Tabletop Simulator.exe => Нет файла
FirewallRules: [{B91DE772-80E9-44C2-BCD8-03FFCC544D48}] => (Allow) C:\Battlestate Games\BsgLauncher\BsgLauncher.exe => Нет файла
FirewallRules: [{B7DCBFEA-180C-4F9B-8301-A338FF8B47EA}] => (Allow) C:\Battlestate Games\BsgLauncher\BsgLauncher.exe => Нет файла
FirewallRules: [TCP Query User{92E325C3-D88F-4080-B1FB-99538EB41DE9}C:\users\cubody\downloads\fabledom\fabledom\fabledom.exe] => (Allow) C:\users\cubody\downloads\fabledom\fabledom\fabledom.exe => Нет файла
FirewallRules: [UDP Query User{3C53FE65-437E-49D7-A855-4BC5B755A5FA}C:\users\cubody\downloads\fabledom\fabledom\fabledom.exe] => (Allow) C:\users\cubody\downloads\fabledom\fabledom\fabledom.exe => Нет файла
FirewallRules: [TCP Query User{D75DBBA2-6E62-47A9-8D3A-D0A32B16FDB7}C:\steam\steamapps\common\rogue point demo\tango\binaries\win64\tango-win64-shipping.exe] => (Allow) C:\steam\steamapps\common\rogue point demo\tango\binaries\win64\tango-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{CD37713D-439A-42D0-90E3-A77B3366B6F9}C:\steam\steamapps\common\rogue point demo\tango\binaries\win64\tango-win64-shipping.exe] => (Allow) C:\steam\steamapps\common\rogue point demo\tango\binaries\win64\tango-win64-shipping.exe => Нет файла
FirewallRules: [{7c285be9-2ff1-4a6b-9b67-98e3301e09fb}] => (Allow) C:\ProgramData\CAAService\CAAServices.exe => Нет файла
FirewallRules: [{084621dc-aed8-4c10-9d44-7e3114ab743b}] => (Allow) C:\ProgramData\CAAService\CAAServices.exe => Нет файла
FirewallRules: [TCP Query User{8103724A-779E-4F01-85C6-FB3A26B8EA39}C:\steam\steamapps\common\star wars battlefront ii\starwarsbattlefrontii.exe] => (Allow) C:\steam\steamapps\common\star wars battlefront ii\starwarsbattlefrontii.exe => Нет файла
FirewallRules: [UDP Query User{1C879C6C-F2D8-42EF-94E3-D13FD10F4304}C:\steam\steamapps\common\star wars battlefront ii\starwarsbattlefrontii.exe] => (Allow) C:\steam\steamapps\common\star wars battlefront ii\starwarsbattlefrontii.exe => Нет файла
FirewallRules: [{0666699d-66bb-44bc-bd45-80493db17cde}] => (Allow) C:\ProgramData\CAAService\CAAServices.exe => Нет файла
FirewallRules: [{419999a7-6cf8-4849-a768-96959833ba44}] => (Allow) C:\ProgramData\CAAService\CAAServices.exe => Нет файла
FirewallRules: [{f6a0e238-f6e4-4ef4-9246-0e65c76d7593}] => (Allow) C:\ProgramData\CAAService\CAAServices.exe => Нет файла
FirewallRules: [{5b6cfe79-8c21-4a22-a824-eaa50c3ebf46}] => (Allow) C:\ProgramData\CAAService\CAAServices.exe => Нет файла
FirewallRules: [{89d28369-d634-4576-9d1c-5233644ae31e}] => (Allow) C:\ProgramData\CAAService\CAAServices.exe => Нет файла
FirewallRules: [{92ebd5c9-0869-4e79-a133-73d8886b0229}] => (Allow) C:\ProgramData\CAAService\CAAServices.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на комментарий
Поделиться на другие сайты
Nikita Paramonov

Nikita Paramonov

Опубликовано
  • Автор
Опубликовано (изменено)

Сегодня еще было обнаружение, но не дефендером, а malwarebytes
Вроде после перезапуска снова файл на появился

Fixlog.txt

Изменено пользователем Nikita Paramonov
Ссылка на комментарий
Поделиться на другие сайты
Nikita Paramonov

Nikita Paramonov

Опубликовано
  • Автор
Опубликовано

После перезапуска файл появлялся вновь, теперь не появляется, дополнительно через сканирование касперским я удалил пиратские установщики Microsoft Office, в них был Trojan.Powedon.
 

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

  • Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
Ссылка на комментарий
Поделиться на другие сайты
Nikita Paramonov

Nikita Paramonov

Опубликовано
  • Автор
Опубликовано
29 минут назад, thyrex сказал:

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

  • Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.

 


 

Спасибо! Я уже посмотрел сводку из SecurityCheck и пообновлял

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Тогда на этом закончим. Пароли все же стоит сменить.

 

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Milink
      [РЕШЕНО] Подозрение на майнер
      Автор Milink
      скачал игру с торрента, после чего в браузере Chrome после каждого перезапуска пк начало устанавливаться левое расширение якобы Adblock. Так же в temp появляется папка 2xzjMMUGjeobOYtjoc0gOuMKKHC. Пробовал чистить антивирусами - не помогло.
      Нашел решение, avz скачал, Autologger я так понимаю тоже надо качать: 
      Актуально ли оно?
       
    • FMEKLW
      [РЕШЕНО] Подозрение на майнер
      Автор FMEKLW
      Как-то просто решил зайти в диспетчер задач и посмотреть процессы, и увидел 3 процесса Setup, которые ведут к папке 2xzjMMUGjeobOYtjoc0gOuMKKHC в Temp. Сам просто решил пока ничего не делать, а поискать информации об этой теме. И вот я здесь нашёл обсуждения с помощью по данной теме. Честно не знаю, что мог скачать, из-за чего это появилось: либо игры, либо русификаторы, либо что-то другое. Все скачивал по прямой ссылке, с облаков, с MediaGet и uTorrent. Никаких проблем я особо не увидел, как у других. Т.е. люди писали про проблемы с расширениями в Chrome, коих у себя я не обнаружил, ведь я пользуюсь из браузеров только Яндексом, в котором ничего странного тоже нету.CollectionLog-2025.07.11-23.07.zip
    • composer1995
      [РЕШЕНО] Вирус CAAServices.exe
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
    • sekvoya
      [РЕШЕНО] Подозрение на ВИРУС
      Автор sekvoya
      В браузере появляется расширение AdBlock, которое ломает разметку. При удалении расширения все становится нормально. Однако, после перезапуска ПК, расширение появляется в браузере вновь. Также в папке Temp появляется папка, которую нельзя удалить "2xzjmmugjeoboytjoc0goumkkhc"
      CollectionLog-2025.07.05-18.18.zip
    • Shytnik
      [РЕШЕНО] Trojan.Win64.Agent.smekzx
      Автор Shytnik
      Здравствуйте. В один момент перестало работать всё с ошибкой «Отказано в доступе». «Касперский» нашел этот вирус и вроде как успешно вылечил с перезагрузкой.
       
      После удаления автоматически запустилась проверка, которая по непонятным причинам сама по себе приостанавливалась три раза. Также по какой-то причине переставали грузиться на некоторое время сайты. Посчитал, что это какое-то подозрительное поведение, и отключил на всякий случай интернет. «Касперский» завершил сканирование и удалил еще кучу скриптов из папки браузера.
       
      В интернете нашел страницу на «Ответах» Mail.ru, где человек писал, что этот вирус после удаления «Касперским» «воскресает». Немного беспокоит эта перспектива, т. к. переустанавливать Windows не хочется. Можно как-то проверить, осталась ли эта гадость в системе?
      CollectionLog-2025.07.04-16.29.zip
×
×
  • Создать...