Перейти к содержанию
Правила раздела

Вирус который восстанавливает себя WinAIHService

OliLukoli

Автор OliLukoli
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

OliLukoli

OliLukoli

Опубликовано
Опубликовано

Добрый день! Суть проблемы:

1. В дерриктории C:\ProgramData\WinAIHService - постоянно появляются файлы. DLL и exe.

2. Данные exe добавляются в автозагрузку. Как будто где то правило зашито. Либо какой то bat файл, но ничего не смог найти. 

3. Упоминание пути "C:\ProgramData\WinAIHService" - зашивается в реестр в правилах фаервола. А также данный путь, и powershell.exe добавляется сам собой в исключения виндовс дефендера.

Как очистить систему от данной заразы? Архив с логами прикрепил 

CollectionLog-2025.09.28-19.21.zip

thyrex

thyrex

Опубликовано
Опубликовано

Здравствуйте.

 

Логи собирали после того, как удалили папку?

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

OliLukoli

OliLukoli

Опубликовано
  • Автор
Опубликовано

"Логи собирали после того, как удалили папку?"

- Да, я смог вручную закрыть запущенные exe. Удалить из реестра записи в правилах фаервола. Но папка все равно с определённой переодичностью появляется и в ней появляется WinAIHService.exe. Также этот файл добавляется в список автозагрузки

 

FRST.txt и Addition.txt.rar

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKU\S-1-5-21-3464817399-832658650-3888927600-1001\...\MountPoints2: {5a9d58bd-90bf-11f0-90ba-001a7dda7113} - "E:\WifiAutoInstallSetup.exe" 
S2 edgeupdate; "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" /svc [X]
S3 edgeupdatem; "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" /medsvc [X]
2025-09-27 17:16 - 2025-09-27 17:17 - 000000000 ____D C:\ProgramData\WinAIHService
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
FirewallRules: [{C0A48521-F080-491D-8B9B-144131B68FB9}] => (Allow) C:\Users\Admin\AppData\Local\Temp\ACFL\ACSetup\ACSetup.exe => Нет файла
FirewallRules: [{FC716A8A-EE37-45C9-95EF-CC598F45C4FF}] => (Allow) C:\Users\Admin\AppData\Local\Temp\ACFL\ACSetup\ACSetup.exe => Нет файла
FirewallRules: [{1AA492E1-180A-4ADE-8339-7C243BD2FE18}] => (Allow) D:\program files\asus\aacambienthal\aacambientlighting.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...