Перейти к содержанию
Правила раздела

[РЕШЕНО] Поймал Trojan.Packed2.49814

DrRybkin

Автор DrRybkin
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

DrRybkin

DrRybkin

Опубликовано
Опубликовано

Всем добрый день. Начал замечать, что у меня застывает картинка в браузере и проблема со странной активностью системы.
Прогнал систему через Cureit, обнаружил вирус-файл caaservices.exe, определен как Trojan.Packed2.49814.
Cureit переместил в карантин.
Прогнал сбор логов через FRST64 со стандартными установками после проверки Сurieit. Прикрепляю.
Помогите избавиться от вируса, пожалуйста.

FRST.txt Addition.txt

safety

safety

Опубликовано
Опубликовано

Добавьте лог Autologger по правилам

+

дополнительно сделайте образ автозапуска системы.

 

Сделайте дополнительно образ автозапуска в uVS:

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

DrRybkin

DrRybkin

Опубликовано
  • Автор
Опубликовано
7 часов назад, safety сказал:

Добавьте лог Autologger по правилам

+

дополнительно сделайте образ автозапуска системы.

 

Сделайте дополнительно образ автозапуска в uVS:

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

Добрый день. Готово. После перезапуска системы Cureit не нашел этот же вирус. Но на всякий случай, прикрепляю все необходимые архивы 

DRRYBKIN_2025-08-14_11-34-16_v5.0v x64.7z CollectionLog-2025.08.14-11.30.zip

safety

safety

Опубликовано
Опубликовано

Его уже в логах FRST не было.

 

По очистке системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. 

;uVS v5.0v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
hide %SystemDrive%\USERS\DRAG2\DOWNLOADS\AUTOLOGGER\AUTOLOGGER\RSIT\RSITX64.EXE
;------------------------autoscript---------------------------

delref %SystemDrive%\PROGRAMDATA\CAASERVICE\
delref HTTPS://CLIENTS2.GOOGLE.COM/CR/REPORT
apply

deltmp
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVCONTAINER\NVCONTAINERTELEMETRYAPI.DLL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\AMNEZIAVPN\MULLVAD-SPLIT-TUNNEL.SYS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\136.0.7103.114\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\138.0.7204.51\RESOURCES\NETWORK_SPEECH_SYNTHESIS/MV3\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\136.0.7103.114\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\136.0.7103.114\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\136.0.7103.114\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\137.0.3296.62\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\137.0.3296.62\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\137.0.3296.62\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\137.0.3296.62\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\137.0.3296.62\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\137.0.3296.62\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\137.0.3296.62\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\137.0.3296.62\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\137.0.3296.62\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
;-------------------------------------------------------------

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новые логи FRST для контроля

DrRybkin

DrRybkin

Опубликовано
  • Автор
Опубликовано
21 минуту назад, safety сказал:

Его уже в логах FRST не было.

 

По очистке системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. 

;uVS v5.0v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
hide %SystemDrive%\USERS\DRAG2\DOWNLOADS\AUTOLOGGER\AUTOLOGGER\RSIT\RSITX64.EXE
;------------------------autoscript---------------------------

delref %SystemDrive%\PROGRAMDATA\CAASERVICE\
delref HTTPS://CLIENTS2.GOOGLE.COM/CR/REPORT
apply

deltmp
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVCONTAINER\NVCONTAINERTELEMETRYAPI.DLL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\AMNEZIAVPN\MULLVAD-SPLIT-TUNNEL.SYS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\136.0.7103.114\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\138.0.7204.51\RESOURCES\NETWORK_SPEECH_SYNTHESIS/MV3\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\136.0.7103.114\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\136.0.7103.114\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\136.0.7103.114\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\137.0.3296.62\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\137.0.3296.62\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\137.0.3296.62\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\137.0.3296.62\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\137.0.3296.62\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\137.0.3296.62\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\137.0.3296.62\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\137.0.3296.62\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\137.0.3296.62\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
;-------------------------------------------------------------

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новые логи FRST для контроля

Огромное спасибо за помощь! Всё сделал, как сказано. Еще требуется что либо?

FRST.txt Addition.txt 2025-08-14_13-50-16_log.txt

safety

safety

Опубликовано
Опубликовано

Исключение в WD для майнера удалено

Удаление ссылок...
Удалено исключение WD - ExclusionPath: C:\ProgramData\CAAService\

 

чистим правила в фаерволле по этому майнеру

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

  

Start::
FirewallRules: [{7b6200a4-1d97-4aae-92c1-f27f12615436}] => (Allow) C:\ProgramData\CAAService\CAAServices.exe => Нет файла
FirewallRules: [{f5482313-6fde-414e-a3f9-2625de990827}] => (Allow) C:\ProgramData\CAAService\CAAServices.exe => Нет файла
FirewallRules: [{7cb07bc1-bc8a-4c61-b2c2-4a052d120f58}] => (Allow) C:\ProgramData\CAAService\CAAServices.exe => Нет файла
FirewallRules: [{faa3dc7d-1b4f-435a-a84f-c135179a0f7b}] => (Allow) C:\ProgramData\CAAService\CAAServices.exe => Нет файла
FirewallRules: [{9d21bd17-645d-4345-8396-2170de74b46a}] => (Allow) C:\ProgramData\CAAService\CAAServices.exe => Нет файла
FirewallRules: [{9cde5da3-2389-4762-b6f5-588d3bdb15d0}] => (Allow) C:\ProgramData\CAAService\CAAServices.exe => Нет файла
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

+

далее,

 

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

 

DrRybkin

DrRybkin

Опубликовано
  • Автор
Опубликовано
40 минут назад, safety сказал:

Исключение в WD для майнера удалено

Удаление ссылок...
Удалено исключение WD - ExclusionPath: C:\ProgramData\CAAService\

 

чистим правила в фаерволле по этому майнеру

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

  

Start::
FirewallRules: [{7b6200a4-1d97-4aae-92c1-f27f12615436}] => (Allow) C:\ProgramData\CAAService\CAAServices.exe => Нет файла
FirewallRules: [{f5482313-6fde-414e-a3f9-2625de990827}] => (Allow) C:\ProgramData\CAAService\CAAServices.exe => Нет файла
FirewallRules: [{7cb07bc1-bc8a-4c61-b2c2-4a052d120f58}] => (Allow) C:\ProgramData\CAAService\CAAServices.exe => Нет файла
FirewallRules: [{faa3dc7d-1b4f-435a-a84f-c135179a0f7b}] => (Allow) C:\ProgramData\CAAService\CAAServices.exe => Нет файла
FirewallRules: [{9d21bd17-645d-4345-8396-2170de74b46a}] => (Allow) C:\ProgramData\CAAService\CAAServices.exe => Нет файла
FirewallRules: [{9cde5da3-2389-4762-b6f5-588d3bdb15d0}] => (Allow) C:\ProgramData\CAAService\CAAServices.exe => Нет файла
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

+

далее,

 

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

Готово

 

SecurityCheck.txt Fixlog.txt

safety

safety

Опубликовано
Опубликовано

По возможности обновите данное ПО:

 

Discord v.1.0.9188 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent v.5.0.4 Внимание! Скачать обновления

Google Chrome v.139.0.7258.67 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

 

На этом завершим очистку системы.

safety

safety

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • DexterVron
      [РЕШЕНО] Tool.BtcMine.2828 (просто удалить не выходит)
      Автор DexterVron
      Всем привет. Словил Tool.BtcMine.2828, антивирусом удалять не выходит.
    • PinkyPhosphor
      [РЕШЕНО] Два системных файла dwm.exe, под одним замаскированная вредоносная программа
      Автор PinkyPhosphor
      Здравствуйте. 
      Помогите с решением проблемы.
      В диспетчере задач отображается две системные программы dwm.exe, одна из них грузит ЦП на +-27% и по памяти 2,1 Гб (см. скриншот),  а у второй всё адекватно.
      Ранее видел две темы (решенные) на этом форуме с аналогичной проблемой. 
      Прошу помощи с решением данной проблемы
       

    • wewka
      [РЕШЕНО] Удаление майнера WinAIHService, WinServiceNetworking
      Автор wewka
      Обнаружил на компьютере процесс WinServiceNetworking, который влияет на производительность. Сканирование KVRT определяет как потенциальный майнер, описание, кажется, говорит само за себя. После сканирования, попытки удаления и  перезагрузки компьютера файл все еще на месте, процесс запускается. Прошу вашей помощи с удалением вредоносных файлов

      CollectionLog-2026.01.25-16.30.zip
    • F D
      Подозрение на майнер, ошибка 0х81000203, загрузка 100% процессора.
      Автор F D
      Здравствуйте.
      Слетели драйвера на сетевой WiFi адаптер ноутбука, доступ к интернету пропал.
      Попробовал восстановить систему по контрольной точке. Выдало ошибку 0x81000203.
      Пробовал krd на загрузочной флешке, Avbr и KVRT.
      Скачал драйвер с другого устройства, перекинул через флешку и вернул доступ к интернету.
      Заметил загрузку процессора 100%. Раньше такого не замечал. Подозрение на майнер или другое вредоносное ПО.
      Прошу помочь с проблемой, спасибо!

      CollectionLog-2026.01.23-15.53.zip
    • Grantjordy
      [РЕШЕНО] Обращение dwm.exe к https://pastebin.com/raw
      Автор Grantjordy
      Здравствуйте.
      Включил компьютер и антивирус сообщил об остановке перехода файла dwm.exe на pastebin.com/raw.
      Выдаёт следующий текст:
      Событие: Остановлен переход на сайт
      Пользователь: DESKTOP-DVDF6U0\Pechka
      Тип пользователя: Инициатор
      Имя приложения: dwm.exe
      Путь к приложению: C:\Windows\System32
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: https://pastebin.com/raw/Gsr7EpV2?t=1769098300
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: Gsr7EpV2?t=1769098300
      Путь к объекту: https://pastebin.com/raw
      Причина: Облачная защита
      Прикладываю логи с AutoLogger.
      Также дополнительно прикладываю образ автозапуска системы, сделанного с помощью uVS.
      CollectionLog-2026.01.22-20.50.zip DESKTOP-DVDF6U0_2026-01-22_20-41-06_v5.0.3v x64.7z
×
×
  • Создать...