Вирус который восстанавливает себя WinAIHService

[OliLukoli]

Добрый день! Суть проблемы:

1. В дерриктории C:\ProgramData\WinAIHService - постоянно появляются файлы. DLL и exe.

2. Данные exe добавляются в автозагрузку. Как будто где то правило зашито. Либо какой то bat файл, но ничего не смог найти. 

3. Упоминание пути "C:\ProgramData\WinAIHService" - зашивается в реестр в правилах фаервола. А также данный путь, и powershell.exe добавляется сам собой в исключения виндовс дефендера.

Как очистить систему от данной заразы? Архив с логами прикрепил 

CollectionLog-2025.09.28-19.21.zip

[thyrex]

Здравствуйте.

 

Логи собирали после того, как удалили папку?

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[OliLukoli]

"Логи собирали после того, как удалили папку?"

- Да, я смог вручную закрыть запущенные exe. Удалить из реестра записи в правилах фаервола. Но папка все равно с определённой переодичностью появляется и в ней появляется WinAIHService.exe. Также этот файл добавляется в список автозагрузки

 

FRST.txt и Addition.txt.rar