[РЕШЕНО] Вирус \ Майнер WinAIHService (Восстанавливается после перезагрузки системы, прописывается в программу автозапуска и исключения Защитника Windows)

[DmitrySGN]

Добрый день!

Возникла проблема, аналогичная темам с тегом "WinAIHService". Сам вирус был удален, но не до конца, т.е. видеокарту в режиме простоя не нагружает и в запущенных процессах не значится (или я не смог до сих пор его найти), однако после перезагрузки системы восстанавливается один файл "WinAIHService.exe" в папке по пути (C:\ProgramData\WinAIHService), добавляется процесс в автозапуске, а также 2 исключения Защитника Windows (на приложенных скриншотах). Потратил на решение проблемы целый день - пробовал сканировать различными антивирусами и сканерами, результат один - обычное удаление файла с последующим его восстановлением после перезагрузки системы. Найти исполняемую службу по добавлению в исключения Защитника Windows также не удалось. Прошу помочь с решением данной проблемы и полным удалением данного вируса из автозапуска. Операционная система - Windows 11 25H2. Так как до этого с такими вирусами не сталкивался и за помощью не обращался - прошу подсказать, какую дополнительную информацию необходимо подгрузить к теме.
Заранее благодарю за помощь!

CollectionLog-2025.10.21-00.19.zip

[safety]

+

дополнительно сделайте образ автозапуска системы в uVS.

 

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

[DmitrySGN]

DESKTOP-EEQR93K_2025-10-21_10-57-46_v5.0.3v x64.7z

Добрый день!

Прикрепляю архив с образом автозапуска из uVS.

[safety]

По очистке системы:

 

По очистке системы:

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы

;uVS v5.0.3v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
hide %SystemDrive%\USERS\НИКИТА\DOWNLOADS\AUTOLOGGER\AUTOLOGGER\RSIT\RSITX64.EXE
zoo %SystemDrive%\PROGRAMDATA\WINAIHSERVICE\WINAIHSERVICE.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\STEAM\STEAMAPPS\COMMON\HORIZON WALKER\HORIZONWALKER.EXE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAMDATA\WINAIHSERVICE\WINAIHSERVICE.EXE
deltsk %Sys32%\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE
apply

deltmp
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVCONTAINER\NVCONTAINERTELEMETRYAPI.DLL
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAMDATA\NEXON\NGS\BLACKCAT1.SYS
delref %Sys32%\DRIVERS\EAANTICHEAT.SYS
delref %SystemDrive%\USERS\843E~1\APPDATA\LOCAL\TEMP\HWINFO_X64_204.SYS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\134.0.6998.178\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\138.0.7204.50\RESOURCES\NETWORK_SPEECH_SYNTHESIS/MV3\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\134.0.6998.178\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\134.0.6998.178\RESOURCES\NETWORK_SPEECH_SYNTHESIS/MV3\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\141.0.7390.55\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\USERS\НИКИТА\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.5.956\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\НИКИТА\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.5.956\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\НИКИТА\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.5.956\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\НИКИТА\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.5.956\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\122.0.2365.106\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\122.0.2365.106\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.64\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\122.0.2365.106\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\122.0.2365.106\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\122.0.2365.106\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\122.0.2365.106\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\122.0.2365.106\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\141.0.3537.57\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\141.0.3537.57\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref %SystemDrive%\PROGRAM FILES\BLENDER FOUNDATION\BLENDER 4.4\BLENDER-LAUNCHER.EXE
delref %SystemDrive%\USERS\НИКИТА\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON313\PYTHONW.EXE
delref %SystemDrive%\USERS\НИКИТА\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON313\LIB\IDLELIB\IDLE.PYW
delref %SystemDrive%\USERS\НИКИТА\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON313\PYTHON.EXE
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новые логи FRST для контроля

[DmitrySGN]

FRST.txtAddition.txt2025-10-21_16-28-17_log.txt
Прикладываю файл uVS и логи FRST.
После выполнения скрипта и двух проверочных перезагрузок системы вирус перестал самовосстанавливаться, т.е. перестал появляться в автозапуске диспетчера задач, прописываться в исключения Защитника Windows, добавляться в реестр и создавать файл в папке по пути (C:\ProgramData\WinAIHService). Описываемая проблема решена, надеюсь, что в дальнейшем данный вирус больше не появится.

Благодарю за оперативную и подробную помощь в решении данной проблемы!

[safety]

Хорошо,

по очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
FirewallRules: [{0f4d030c-00d2-4154-8b1d-104f3b24c7a1}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла
FirewallRules: [{ee0c6cfe-6ddd-487c-a3f3-a829ca2957b2}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла
FirewallRules: [{c85093c9-0bc9-4d91-a4db-3925ec0675d7}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла
FirewallRules: [{170a28f8-4f8d-421c-ba7b-cf9c6ac50f7c}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла
FirewallRules: [{45d916b0-2553-4e11-8cb7-a9f4f69675f4}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла
FirewallRules: [{0bc6c5f5-420a-4089-8f92-38bf577bf5ad}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла
FirewallRules: [{57456980-092b-4955-8112-2fb79171ddf9}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла
FirewallRules: [{18236041-d712-4e5b-804f-de11f57e3130}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла
FirewallRules: [{8c11d82c-b18b-40da-9346-7f0087c4c7c1}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла
FirewallRules: [{164f48f0-3196-4cd6-88c5-219a4f3583e2}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла
FirewallRules: [{641e4e0d-4ef8-4632-a8dd-29a72ca3c584}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла
FirewallRules: [{db9e23f0-9eda-4a7d-9026-699c4ce960e9}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла
FirewallRules: [{8be3916e-2aaa-4802-9ed7-2fd1149fd96e}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла
FirewallRules: [{d12d7fca-d98c-4a49-957d-26627114ec46}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла
FirewallRules: [{af2ab79a-4500-4d62-85c6-9ba5f1d5e1bd}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла
FirewallRules: [{7ef27e4e-e507-4c4a-b42b-412c3abe633a}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла
FirewallRules: [{5d9f45c2-4fcf-4484-a9ef-1697bb8686e8}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла
FirewallRules: [{3fb37f26-c6c2-4a74-b278-23a25f3adebc}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

[DmitrySGN]

Прикладываю лог FRST после выполнения скрипта и перезагрузки системы
Fixlog.txt

[safety]

Если других проблем и вопросов в работе системы не осталось:

 

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

[DmitrySGN]

Прикрепляю лог от SecurityCheck 
SecurityCheck.txt

[safety]

По возможности обновите данное ПО:

 

AMD Software v.25.9.1 Внимание! Скачать обновления
CPUID CPU-Z 2.16 v.2.16 Внимание! Скачать обновления

Notepad++ (64-bit x64) v.8.8.6 Внимание! Скачать обновления

 

-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9187 Внимание! Скачать обновления
Telegram Desktop v.6.2.3
Skype, версия 8.138 v.8.138 Данная программа больше не поддерживается разработчиком. Рекомендуется использовать Microsoft Teams.

 

Yandex v.25.8.5.869 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

 

Reg Organizer, версия 9.85 v.9.85 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция
Кнопки сервисов Яндекса на панели задач v.3.7.10.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

[safety]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".