wacapew.c!ml или Trojan.Crypt.MSIL.Generic

[Kamisake]

Здравствуйте. Недавно появился файл winaihservice.exe по пути c:\programdata\winaihservice\winaihservice.exe.  Был создан 20 числа, а изменен 25. При удалении антивирусом или вручную - удалялся, но после перезагрузки появлялся сам и добавлялся в автозагрузку. Дефендер виндовса не выявлял проблем, поскольку стояло исключение на целую папку. Нагрузка на пк во время простоя вроде не замечалась, но могу ошибаться. Ниже прикреплю логи с Malwarebytes с добавлением в карантин этого файла и файлом .dat, который лежал в папке с вредоносным файлом

dat.zip Malwarebytes Отчет о проверке 2025-06-27 142432.txt

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

[Kamisake]

Здравствуйте. Недавно появился файл winaihservice.exe по пути c:\programdata\winaihservice\winaihservice.exe.  Был создан 20 числа, а изменен 25. При удалении антивирусом или вручную - удалялся, но после перезагрузки появлялся сам и добавлялся в автозагрузку. Дефендер виндовса не выявлял проблем, поскольку стояло исключение на целую папку и файл powershell.exe. Нагрузка на пк во время простоя вроде не замечалась, но могу ошибаться. Ниже прикреплю логи с автологгера

CollectionLog-2025.06.27-19.01.zip

 

Сообщение от модератора thyrex

Темы объединены

[thyrex]

Здравствуйте.

 

C:\Users\Kamisake\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Volume.exe проверьте на virustotal.com и пришлите ссылку на результат анализа.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Kamisake]

Volume.exe - Мой собственный скомпилированный скрипт на AHK, состоящий из 2 строк на бинд увеличения и уменьшения громкости

FRST.zip

[thyrex]

Защитник справился сам. Дочистим мусор.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
AlternateDataStreams: C:\Users\Kamisake\Desktop\rl1a7swa.exe:MBAM.Zone.Identifier [203]
HKU\S-1-5-21-1992009800-3160978251-2469473937-1000\Software\Classes\regfile:  <==== ВНИМАНИЕ
HKU\S-1-5-21-1992009800-3160978251-2469473937-1000\Software\Classes\.reg:  =>  <==== ВНИМАНИЕ
HKU\S-1-5-21-1992009800-3160978251-2469473937-1000\Software\Classes\.bat:  =>  <==== ВНИМАНИЕ
HKU\S-1-5-21-1992009800-3160978251-2469473937-1000\Software\Classes\.cmd:  =>  <==== ВНИМАНИЕ
FirewallRules: [{c7e99528-91c8-45fd-8a93-1e6d233e46cc}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла
FirewallRules: [{3a4712f0-f47a-46fd-9539-0a29f0be17bf}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла
FirewallRules: [{75da95b4-0348-4e3e-8aef-0cd0f4bd4615}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла
FirewallRules: [{71da940d-dc48-4ec2-9d19-7ec149324fd9}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла
C:\ProgramData\WinAIHService
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

[Kamisake]

Fixlog.txt

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[Kamisake]

SecurityCheck.txt

[thyrex]

По возможности исправьте:

 

Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Process Hacker 2.39 (r124) v.2.39.0.124 Данная программа больше не поддерживается разработчиком. Деинсталлируйте ее, скачайте и установите System Informer.
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
qBittorrent v.5.1.0 Внимание! Скачать обновления
Google Chrome v.138.0.7204.49 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

---------------------------- [ UnwantedApps ] -----------------------------
Bonjour v.3.1.0.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

На этом закончим.

[Kamisake]

Спасибо за помощь. Но вот проблема другая. То ли после автологгера или других программ у меня в играх и некоторых приложениях при каждом нажатии на ЛКМ на 0.1 секунды окно сворачивается на рабочий стол и возвращается обратно. Проблема в этих программах или чем-то другом?

Изменено 27 июня пользователем Kamisake

[thyrex]

Такого не может быть после использования наших утилит