WinAIHService

[SKoss]

Здравствуйте! Обнаружил в автозагрузке этого чуждого элемента. 

Почитал. Оказывается самостоятельно он не удаляется.

И все манипуляции не приведут к правильному результату.

Поэтому единственно что сделал это через Диспетчер задач выгрузил его.

 

Нужна помощь индивидуального скрипта для удаления вредоноса с помощью FRST

 

Вроде так должно быть правильно

 

FRST.zip

[Sandor]

Здравствуйте!

 

Архив по неизвестной причине недоступен.

Но давайте начнём со стандартных логов по правилам раздела - Порядок оформления запроса о помощи

[SKoss]

Ещё раз 

Addition.zip

[Sandor]

Сейчас логи доступны. Но хорошо бы увидеть стандартный комплект (инструкция по ссылке выше).

Предварительно перезагрузите компьютер.

[SKoss]

Выполняю проверку проверку ПК - KVRT , пошёл на второй круг

но уже вижу, что вредонос отразился в процессах Диспетчера задача

жду завершения работы KVRT

паралелльно скачен AutoLogger ... 

как сформируется архив логов, представлю

[SKoss]

Только что, SKoss сказал:

 

CollectionLog-2026.06.23-15.32.zip

[Sandor]

Лучше упакуйте в архив папку C:\KVRT2020_Data\Reports и прикрепите к следующему сообщению.

CollectionLog.zip тоже ждём.

[SKoss]

8 минут назад, SKoss сказал:

 

CollectionLog-2026.06.23-15.32.zip 113.89 kB · 0 загрузок

 

CollectionLog-2026.06.23-15.32.zip

Reports.zip

[Sandor]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\programdata\winaihservice\winaihservice.exe');
 TerminateProcessByName('c:\programdata\winaihservice\winservicenetworking.exe');
 QuarantineFile('c:\programdata\winaihservice\winaihservice.exe', '');
 QuarantineFile('c:\programdata\winaihservice\winservicenetworking.exe', '');
 QuarantineFileF('c:\programdata\winaihservice\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('c:\programdata\winaihservice\winaihservice.exe', '');
 DeleteFile('C:\ProgramData\WinAIHService\WinAIHService.exe', '64');
 DeleteFile('c:\programdata\winaihservice\winservicenetworking.exe', '32');
 DeleteFileMask('c:\programdata\winaihservice\', '*', true);
 DeleteDirectory('c:\programdata\winaihservice\');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Win AIH Service', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки выполните такой скрипт:

 

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

 

Удалите старые и соберите новые логи Farbar - FRST.txt и Addition.txt

 

Изменено 2 часа назад пользователем Sandor

[SKoss]

24 минуты назад, Sandor сказал:

Пока собираются новые логи Farbar - FRST.txt и Addition.txt

C:\ProgramData\AMMYY  ... я такую программу не устанавливал.. но папка такая есть. Соответственно её не видно в установленных программах

24 минуты назад, Sandor сказал:

 

 

Addition.7z

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  CHR HKU\S-1-5-21-2149554302-3395073439-3815751585-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
  FirewallRules: [{7c7008f8-5042-466e-8abb-f53cddede5a0}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла
  FirewallRules: [{502ffb1f-82d2-4d81-b3ca-f8d1c73f9936}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла
  StartPowerShell:
  Remove-MpPreference -ExclusionProcess "powershell.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData\WinAIHService\"
  EndPowerShell:
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

7 минут назад, SKoss сказал:

C:\ProgramData\AMMYY  ... я такую программу не устанавливал.. но папка такая есть

В каком отчёте вы это видели?

Если папка пустая, просто удалите её.

[SKoss]

C:\ProgramData\AMMYY не пустая ...exe файлов нет. Удалил

Fixlog.txt

[Sandor]

Хорошо. Проблема решена?

[SKoss]

Да. Успешно. Спасибо . Старые точки восстановления удалены

[Sandor]

В завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj (или с зеркала), сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.