Троян после перезапуска запускает powershell.exe

[Scalpu]

Привет. Месяца 2 назад непонятно откуда поймал, видимо, троян. Проявлялся он так что в играх падал фпс при загрузке гпу 99% и работа видюхи не прерывалась даже при обычной работе в системе.
В автозагрузке всё ещё присутствует некий файл WinAIHservice. По пути (C:)/ProgramData была папка WinAIHservice, но я её удалял и вроде всё в порядке было это время. Но недавно решил скачать антивирус malwarebytes и он блокировал активацию powershell.exe при каждой перезагрузке, то есть какой-то скрипт всё ещё находится у меня на пк + из автозагрузки этот WinAIHservice удалить невозможно. Прилагаю по правилам collection log + лог malwarebytes. Спасибо!
 

Malwarebytes Отчет о заблокированных веб-сайтах 2025-08-15 213943.txt CollectionLog-2025.08.16-03.11.zip

[thyrex]

Здравствуйте.

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Win AIH Service','x64');
 DeleteSchedulerTask('Microsoft\Office\Office Persistent Activation');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Scalpu]

Прилагаю свежие логи, скрипт успешно сработал

CollectionLog-2025.08.16-13.39.zip

Изменено 16 августа, 2025 пользователем Scalpu

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan (Сканировать).

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

 

[Scalpu]

Всё сделал

FRST+Addition.rar

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\...\Run: [UniConverterUpdateHelper] => C:\Program Files\Wondershare\Wondershare UniConverter 16 for Windows\WSVCUUpdateHelper.exe (Нет файла)
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
S3 EAAntiCheat; system32\drivers\eaanticheat.sys [X]
CustomCLSID: HKU\S-1-5-21-1932683721-2682455237-2141015366-1001_Classes\CLSID\{23B3E3D8-C162-4A8B-AB0C-0905DCB1DF19}\InprocServer32 -> C:\Users\paul_\AppData\Local\Packages\Microsoft.PowerAutomateDesktop_8wekyb3d8bbwe\TempState\RDP\DVCPlugin\x64\Microsoft.Flow.RPA.Desktop.UIAutomation.RDP.DVC.Plugin.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-1932683721-2682455237-2141015366-1001_Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InprocServer32 ->  => Нет файла
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
AlternateDataStreams: C:\Windows\tracing:? [16]
AlternateDataStreams: C:\Users\paul_\Downloads\FRST64.exe:MBAM.Zone.Identifier [225]
AlternateDataStreams: C:\Users\paul_\AppData\Local\Temp:$DATA [16]
FirewallRules: [{1BF969F6-DA1C-4C37-803B-C56F45DAD089}] => (Allow) C:\Users\paul_\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{A2F8478E-6148-4392-AF30-691F0ACB30D9}] => (Allow) C:\Users\paul_\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [TCP Query User{EA894080-76AF-4943-BA9A-6F83DA4EE27D}S:\games\starcraft ii\versions\base93333\sc2_x64.exe] => (Allow) S:\games\starcraft ii\versions\base93333\sc2_x64.exe => Нет файла
FirewallRules: [UDP Query User{2689158B-C332-4E6E-AF57-C015E2AB35F2}S:\games\starcraft ii\versions\base93333\sc2_x64.exe] => (Allow) S:\games\starcraft ii\versions\base93333\sc2_x64.exe => Нет файла
FirewallRules: [TCP Query User{13774010-B7D9-40F0-8275-164CA34E225D}C:\program files\epic games\tinytinaswonderlands\oakgame\binaries\win64\wonderlands.exe] => (Allow) C:\program files\epic games\tinytinaswonderlands\oakgame\binaries\win64\wonderlands.exe => Нет файла
FirewallRules: [UDP Query User{C65AA80F-0EEE-494B-9D97-D76D4F8BA878}C:\program files\epic games\tinytinaswonderlands\oakgame\binaries\win64\wonderlands.exe] => (Allow) C:\program files\epic games\tinytinaswonderlands\oakgame\binaries\win64\wonderlands.exe => Нет файла
FirewallRules: [{8506D75C-BFE3-45C8-ABBB-255F3493F309}] => (Allow) S:\SteamLibrary\steamapps\common\Split Fiction\Split\Binaries\Win64\SplitFiction.exe => Нет файла
FirewallRules: [{EAFD987D-7A10-4941-8A4C-E6F70E4005FD}] => (Allow) S:\SteamLibrary\steamapps\common\Split Fiction\Split\Binaries\Win64\SplitFiction.exe => Нет файла
FirewallRules: [{1dec0c4d-1b78-46bd-95f9-5eab9b8ac0da}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла
FirewallRules: [{c1ef289e-0822-4ba6-a760-b05e752d0fe0}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла
C:\ProgramData\WinAIHService
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Scalpu]

прикрепил, а что это вообще всё делает?)

Fixlog.txt

[thyrex]

Последний скрипт - это уже простая чистка мусора. Исходная проблема должна была исчезнуть уже после самого первого скрипта.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[Scalpu]

Проблема моего поста действительно решена, больше предупреждений после перезагрузки не выскакивает, не знаю настоящий это вирус был или нет. в любом случае огромное спасибо, сам бы в реестре наверно не нашел)

SecurityCheck.txt

[thyrex]

6 часов назад, Scalpu сказал:

не знаю настоящий это вирус был или нет

самый настоящий майнер.

 

По возможности исправьте:

 

CrystalDiskInfo 9.5.0 v.9.5.0 Внимание! Скачать обновления
Geeks3D FurMark 2.8.2.0 x64 v.2.8.2.0 Внимание! Скачать обновления
TechPowerUp GPU-Z v.2.66.0 Внимание! Скачать обновления
7-Zip 24.08 (x64) v.24.08 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 6.21 (64-разрядная) v.6.21.0 Внимание! Скачать обновления
Discord v.1.0.9019 Внимание! Скачать обновления
Zoom Workplace v.6.4.6 (64360) Внимание! Скачать обновления
qBittorrent v.4.5.5 Внимание! Скачать обновления
 

На этом закончим.