Kamisake Опубликовано 27 июня Опубликовано 27 июня Здравствуйте. Недавно появился файл winaihservice.exe по пути c:\programdata\winaihservice\winaihservice.exe. Был создан 20 числа, а изменен 25. При удалении антивирусом или вручную - удалялся, но после перезагрузки появлялся сам и добавлялся в автозагрузку. Дефендер виндовса не выявлял проблем, поскольку стояло исключение на целую папку. Нагрузка на пк во время простоя вроде не замечалась, но могу ошибаться. Ниже прикреплю логи с Malwarebytes с добавлением в карантин этого файла и файлом .dat, который лежал в папке с вредоносным файлом dat.zip Malwarebytes Отчет о проверке 2025-06-27 142432.txt
Sandor Опубликовано 27 июня Опубликовано 27 июня Здравствуйте! Прочтите и выполните Порядок оформления запроса о помощи
Kamisake Опубликовано 27 июня Автор Опубликовано 27 июня Здравствуйте. Недавно появился файл winaihservice.exe по пути c:\programdata\winaihservice\winaihservice.exe. Был создан 20 числа, а изменен 25. При удалении антивирусом или вручную - удалялся, но после перезагрузки появлялся сам и добавлялся в автозагрузку. Дефендер виндовса не выявлял проблем, поскольку стояло исключение на целую папку и файл powershell.exe. Нагрузка на пк во время простоя вроде не замечалась, но могу ошибаться. Ниже прикреплю логи с автологгера CollectionLog-2025.06.27-19.01.zip Сообщение от модератора thyrex Темы объединены
thyrex Опубликовано 27 июня Опубликовано 27 июня Здравствуйте. C:\Users\Kamisake\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Volume.exe проверьте на virustotal.com и пришлите ссылку на результат анализа. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
Kamisake Опубликовано 27 июня Автор Опубликовано 27 июня Volume.exe - Мой собственный скомпилированный скрипт на AHK, состоящий из 2 строк на бинд увеличения и уменьшения громкости FRST.zip
thyrex Опубликовано 27 июня Опубликовано 27 июня Защитник справился сам. Дочистим мусор. 1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать) Start:: CreateRestorePoint: AlternateDataStreams: C:\Users\Kamisake\Desktop\rl1a7swa.exe:MBAM.Zone.Identifier [203] HKU\S-1-5-21-1992009800-3160978251-2469473937-1000\Software\Classes\regfile: <==== ВНИМАНИЕ HKU\S-1-5-21-1992009800-3160978251-2469473937-1000\Software\Classes\.reg: => <==== ВНИМАНИЕ HKU\S-1-5-21-1992009800-3160978251-2469473937-1000\Software\Classes\.bat: => <==== ВНИМАНИЕ HKU\S-1-5-21-1992009800-3160978251-2469473937-1000\Software\Classes\.cmd: => <==== ВНИМАНИЕ FirewallRules: [{c7e99528-91c8-45fd-8a93-1e6d233e46cc}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{3a4712f0-f47a-46fd-9539-0a29f0be17bf}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{75da95b4-0348-4e3e-8aef-0cd0f4bd4615}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{71da940d-dc48-4ec2-9d19-7ec149324fd9}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла C:\ProgramData\WinAIHService ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions Reboot: End:: 2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши. 3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. 1
thyrex Опубликовано 27 июня Опубликовано 27 июня Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе. Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;Прикрепите этот файл в своем следующем сообщении.
thyrex Опубликовано 27 июня Опубликовано 27 июня По возможности исправьте: Запрос на повышение прав для администраторов отключен ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ Process Hacker 2.39 (r124) v.2.39.0.124 Данная программа больше не поддерживается разработчиком. Деинсталлируйте ее, скачайте и установите System Informer. Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления qBittorrent v.5.1.0 Внимание! Скачать обновления Google Chrome v.138.0.7204.49 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О браузере Google Chrome!^ ---------------------------- [ UnwantedApps ] ----------------------------- Bonjour v.3.1.0.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. На этом закончим.
Kamisake Опубликовано 27 июня Автор Опубликовано 27 июня (изменено) Спасибо за помощь. Но вот проблема другая. То ли после автологгера или других программ у меня в играх и некоторых приложениях при каждом нажатии на ЛКМ на 0.1 секунды окно сворачивается на рабочий стол и возвращается обратно. Проблема в этих программах или чем-то другом? Изменено 27 июня пользователем Kamisake
thyrex Опубликовано 27 июня Опубликовано 27 июня Такого не может быть после использования наших утилит
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти