Вирус который восстанавливает себя WinAIHService

[OliLukoli]

Добрый день! Суть проблемы:

1. В дерриктории C:\ProgramData\WinAIHService - постоянно появляются файлы. DLL и exe.

2. Данные exe добавляются в автозагрузку. Как будто где то правило зашито. Либо какой то bat файл, но ничего не смог найти. 

3. Упоминание пути "C:\ProgramData\WinAIHService" - зашивается в реестр в правилах фаервола. А также данный путь, и powershell.exe добавляется сам собой в исключения виндовс дефендера.

Как очистить систему от данной заразы? Архив с логами прикрепил 

CollectionLog-2025.09.28-19.21.zip

[thyrex]

Здравствуйте.

 

Логи собирали после того, как удалили папку?

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[OliLukoli]

"Логи собирали после того, как удалили папку?"

- Да, я смог вручную закрыть запущенные exe. Удалить из реестра записи в правилах фаервола. Но папка все равно с определённой переодичностью появляется и в ней появляется WinAIHService.exe. Также этот файл добавляется в список автозагрузки

 

FRST.txt и Addition.txt.rar

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKU\S-1-5-21-3464817399-832658650-3888927600-1001\...\MountPoints2: {5a9d58bd-90bf-11f0-90ba-001a7dda7113} - "E:\WifiAutoInstallSetup.exe" 
S2 edgeupdate; "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" /svc [X]
S3 edgeupdatem; "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" /medsvc [X]
2025-09-27 17:16 - 2025-09-27 17:17 - 000000000 ____D C:\ProgramData\WinAIHService
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
FirewallRules: [{C0A48521-F080-491D-8B9B-144131B68FB9}] => (Allow) C:\Users\Admin\AppData\Local\Temp\ACFL\ACSetup\ACSetup.exe => Нет файла
FirewallRules: [{FC716A8A-EE37-45C9-95EF-CC598F45C4FF}] => (Allow) C:\Users\Admin\AppData\Local\Temp\ACFL\ACSetup\ACSetup.exe => Нет файла
FirewallRules: [{1AA492E1-180A-4ADE-8339-7C243BD2FE18}] => (Allow) D:\program files\asus\aacambienthal\aacambientlighting.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[OliLukoli]

Готово. Могу ли я еще Вас попросить, написать как эта зараза сама себя восстанавливала и в каких файлах сидела? 

Fixlog.txt

Изменено 14 часов назад пользователем OliLukoli

[thyrex]

Наверняка Вы запускали что-то, что ее заново устанавливало. Других вариантов быть не может.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.