[РЕШЕНО] Удаление вируса CAASevice.exe

[Ogurtsovv_KZN]

Здравствуйте! Не так давно обнаружил на своем компьютере вирус, который отдельно запускал задачу "Microsoft Network Realtime Inspection Service". Эта задача нагружала видеокарту компьютера на 100% и стало понятно, что она вредоносная, т.к. есть аналогичная задача с точно таким же названием, но уже не использующая практически никаких ресурсов ПК. Ещё интересен тот факт, что на компьютере Windows 11 недавно полностью переустанавливалась и вот на, по сути, "чистой" системе появился вирус. 
Файл CAAService.exe обнаружил по пути C:\ProgramFata\CAAService, там же были обнаружены "Microsoft Network Realtime Inspection Service" и ещё парочку dll-файлов. Попробовал вручную удалить всю папку и после перезагрузки компьютера папка снова вернулась на место, но уже только с файлом CAAService.exe, рядом с ним больше ничего нет. Также, до удаления папки я снял с автозагрузки в диспетчере задач файл CAAService.exe и после перезагрузки системы он сам не включался и больше не потреблял никаких ресурсов. Таким образом получается, что сам вирус как бы есть, но он ничего не делает и сам постоянно восстанавливается после удаления (более того, он добавляет себя в список исключений для антивируса Windows, вследствие чего сам по себе не блокируется и не удаляется). По крайней мере пока. Тем не менее, хотелось бы избавиться от него навсегда.
Я видел, что вы уже помогали другим пользователям в решении подобной проблемы. Вы сможете мне помочь?

[safety]

«Порядок оформления запроса о помощи».

[Ogurtsovv_KZN]

Понял, исправляюсь. Файл с логами прикрепил

CollectionLog-2026.01.04-12.56.zip

[safety]

Сделайте новый образ автозапуска

 

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

[Ogurtsovv_KZN]

Получился следующий файл

DESKTOP_EG_2026-01-04_13-59-14_v5.0.3v x64.7z

[safety]

По очистке системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы

;uVS v5.0.3v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
hide %SystemDrive%\USERS\EGORI\DOWNLOADS\AUTOLOGGER\AUTOLOGGER\RSIT\RSITX64.EXE
icsuspend
;---------command-block---------
delref %SystemDrive%\PROGRAMDATA\CAASERVICE\
delref %SystemDrive%\PROGRAMDATA\CAASERVICE\CAASERVICES.EXE
del %SystemDrive%\PROGRAMDATA\CAASERVICE\CAASERVICES.EXE
apply

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новый образ для контроля.

Изменено 4 января пользователем safety

[Ogurtsovv_KZN]

1 минуту назад, safety сказал:

;uVS v5.0.3v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
hide %SystemDrive%\USERS\EGORI\DOWNLOADS\AUTOLOGGER\AUTOLOGGER\RSIT\RSITX64.EXE
icsuspend
;---------command-block---------
delref %SystemDrive%\PROGRAMDATA\CAASERVICE\
delref %SystemDrive%\PROGRAMDATA\CAASERVICE\CAASERVICES.EXE
del %SystemDrive%\PROGRAMDATA\CAASERVICE\CAASERVICES.EXE
apply

restart

Что с этим делать?

[safety]

Добавил комментарий к скрипту, обновите страницу

[Ogurtsovv_KZN]

Вроде все сработало. Сам файл CAAService.exe пропал из своей директории и после перезагрузки ПК больше сам не появился.
Что-нибудь ещё нужно сделать?

 

[safety]

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новый образ для контроля.

[Ogurtsovv_KZN]

Новый образ для контроля - это нужно повторить ту манипуляцию, где вы писали "Сделайте новый образ автозапуска"? 
Его тоже нужно будет вам отправить?

 

2026-01-04_14-45-05_log.txt

Изменено 4 января пользователем Ogurtsovv_KZN

[safety]

8 минут назад, Ogurtsovv_KZN сказал:

Его тоже нужно будет вам отправить?

Да, сделать и добавить так же как и предыдущий образ в ваше сообщение

[Ogurtsovv_KZN]

Новый образ

DESKTOP_EG_2026-01-04_17-48-31_v5.0.3v x64.7z

[safety]

Майнер ушел, но множество потоков в системных файлах остается, и непонятно, через какой процесс их внедряют.

Еще раз выполним очистку в uVS, скрипт включит отслеживание процессов и задач.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы

;uVS v5.0.3v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
hide %SystemDrive%\USERS\EGORI\DOWNLOADS\AUTOLOGGER\AUTOLOGGER\RSIT\RSITX64.EXE
;------------------------autoscript---------------------------

apply

deltmp
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVCONTAINER\NVCONTAINERTELEMETRYAPI.DLL
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %Sys32%\ZAPRET.EXE
delref %SystemDrive%\USERS\EGORI\DOWNLOADS\KVRT.EXE
;-------------------------------------------------------------

regt 39
restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новый образ для анализа и поиска источника потоков.

+

сделайте логи FRST.

Изменено 5 января пользователем safety

[Ogurtsovv_KZN]

2026-01-05_15-42-39_log.txt DESKTOP_EG_2026-01-05_15-45-43_v5.0.3v x64.7z FRST.txt Addition.txt