proton xoscarfcysrp.exe не удаляется, KMIDTIPP остановлена, но не удаляется

[HVZ]

Была атака по RDP, создались зашифрованные файлы и идентификатор: DE3563A7BFE58440.

созданы логи FRST

xoscarfcysrp.exe не удаляется, KMIDTIPP остановлена, но не удаляется

25032026.zip архив пароль virus

Addition.txt FRST.txt 25032026.zip

Изменено 25 марта пользователем HVZ
добавил теги

[safety]

Этот файл заархивируйте с паролем virus, архив добавьте в ваше сообщение.

C:\ProgramData\vgodrqhybann\xoscarfcysrp.exe

Возможно, что вместе с шифрованием дополнительно установлен майнер.

+

Добавьте дополнительно образ автозапуска с отслеживанием процессов и задач.

 

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

Изменено 26 марта пользователем safety

[HVZ]

 

Файл загружен, ссылка удалена

Изменено 26 марта пользователем safety
Файл загружен, ссылка удалена

[safety]

Хорошо, 

сделайте так же образ автозапуска системы, инструкция в предыдущем сообщении.

[HVZ]

DIMA_2026-03-26_07-16-33_v5.0.5v x64.7z

[safety]

В логах FRST не увидел следов шифрования.

 

По файлу:

это майнер. Или он был в системе до шифрования, или вместе с шифрованием злоумышленники так же подсадили майнер.

DrWebTrojan.BtcMine.3842

VirusTotal - File - bd76c7afd03d268f0e78a51eb0366cb2fd77bcc2067d74132bdaae213557a8bf

 

По очистке системы:

файл очевидно перезапустился, так  служба не была отключена, а только остановлена.

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен процесс с измененным кодом, сопоставленное ему имя файла может быть неверным: C:\WINDOWS\SYSTEM32\DIALER.EXE [2648]

 

По очистке системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу uVS с перезагрузкой системы

;uVS v5.0.5v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
hide %SystemDrive%\PROGRAM FILES (X86)\TAOBAOPROTECT\TBSECSVC.EXE
delfake
icsuspend
;---------command-block---------
delref %SystemDrive%\PROGRAMDATA\VGODRQHYBANN\XOSCARFCYSRP.EXE
del %SystemDrive%\PROGRAMDATA\VGODRQHYBANN\XOSCARFCYSRP.EXE

apply

restart

Далее:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новые логи FRST для контроля

Изменено 26 марта пользователем safety

[HVZ]

2026-03-26_08-22-01_log.txt

C:\ProgramData\vgodrqhybann\Addition.txtxoscarfcysrp.exe не удалилсяFRST.txt

[safety]

Судя по логу выполнения скрипты файлы были очищены

--------------------------------------------------------------------------------------------------
delref %SystemDrive%\PROGRAMDATA\VGODRQHYBANN\XOSCARFCYSRP.EXE
--------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------
del %SystemDrive%\PROGRAMDATA\VGODRQHYBANN\XOSCARFCYSRP.EXE
--------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------
apply
--------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------
Применение изменений...
--------------------------------------------------------------------------------------------------
Удаление ссылок...
--------------------------------------------------------------------------------------------------
Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 1 из 1
Удалено файлов: 1 из 1

 

Проверим что осталось по FRST

[HVZ]

1 минуту назад, safety сказал:

Проверим что осталось по FRST

что мне делать?

[safety]

Ждать нового решения.

 

 

Выполнить очистку в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\MRT: Restriction <==== ATTENTION
HKU\S-1-5-21-327478838-2634424644-1022173333-1002\...\Run: [VideoSurveillanceSystem] => "G:\Users\1\Desktop\auto_start_service.bat" (No File)
HKU\S-1-5-21-327478838-2634424644-1022173333-1002\...\MountPoints2: {29ccd4c5-72b1-11e8-82ab-c03fd5720c1e} - "G:\Lenovo_Suite.exe" 
HKU\S-1-5-21-327478838-2634424644-1022173333-1002\...\MountPoints2: {29ccd4d6-72b1-11e8-82ab-c03fd5720c1e} - "G:\Lenovo_Suite.exe" 
HKU\S-1-5-21-327478838-2634424644-1022173333-1002\...\MountPoints2: {2e046187-1455-11e7-8281-c03fd5720c1e} - "J:\AutoRun.exe" 
HKU\S-1-5-21-327478838-2634424644-1022173333-1002\...\MountPoints2: {2e1ee83d-b727-11ea-82d9-00059a3c7a00} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-327478838-2634424644-1022173333-1002\...\MountPoints2: {2e1ee879-b727-11ea-82d9-00059a3c7a00} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-327478838-2634424644-1022173333-1002\...\MountPoints2: {38fa3167-2675-11e6-8270-c03fd5720c1e} - "N:\AutoRun.exe" 
HKU\S-1-5-21-327478838-2634424644-1022173333-1002\...\MountPoints2: {3b6c4b54-ded1-11e8-82b0-c03fd5720c1e} - "G:\AutoRun.exe" 
HKU\S-1-5-21-327478838-2634424644-1022173333-1002\...\MountPoints2: {3b6cf2bc-bcf8-11ea-82da-c03fd5720c1e} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-327478838-2634424644-1022173333-1002\...\MountPoints2: {47498834-df4f-11e9-82c6-c03fd5720c1e} - "I:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-327478838-2634424644-1022173333-1002\...\MountPoints2: {4cd78488-bf36-11e9-82bf-00059a3c7a00} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-327478838-2634424644-1022173333-1002\...\MountPoints2: {4cd784c8-bf36-11e9-82bf-00059a3c7a00} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-327478838-2634424644-1022173333-1002\...\MountPoints2: {5563f327-fcd3-11e5-8267-c03fd5720c1e} - "J:\AutoRun.exe" 
HKU\S-1-5-21-327478838-2634424644-1022173333-1002\...\MountPoints2: {56b6b36a-28fc-11ea-82c7-c03fd5720c1e} - "G:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-327478838-2634424644-1022173333-1002\...\MountPoints2: {622459a4-f9b3-11e5-8266-c03fd5720c1e} - "J:\AutoRun.exe" 
HKU\S-1-5-21-327478838-2634424644-1022173333-1002\...\MountPoints2: {69af609b-df48-11e6-827e-c03fd5720c1e} - "J:\Autoinstaller.exe" 
HKU\S-1-5-21-327478838-2634424644-1022173333-1002\...\MountPoints2: {6b358b2b-99e2-11e9-82be-c03fd5720c1e} - "I:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-327478838-2634424644-1022173333-1002\...\MountPoints2: {6b358b52-99e2-11e9-82be-c03fd5720c1e} - "I:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-327478838-2634424644-1022173333-1002\...\MountPoints2: {7cd15c55-e8d5-11e6-827e-c03fd5720c1e} - "K:\Lenovo_Suite.exe" 
HKU\S-1-5-21-327478838-2634424644-1022173333-1002\...\MountPoints2: {7ffb72c8-a32a-11eb-82f8-c03fd5720c1e} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-327478838-2634424644-1022173333-1002\...\MountPoints2: {829c08aa-7897-11e8-82ab-c03fd5720c1e} - "G:\AutoRun.exe" 
HKU\S-1-5-21-327478838-2634424644-1022173333-1002\...\MountPoints2: {829c08cb-7897-11e8-82ab-c03fd5720c1e} - "G:\AutoRun.exe" 
HKU\S-1-5-21-327478838-2634424644-1022173333-1002\...\MountPoints2: {9768a4b9-e5cf-11eb-8308-c03fd5720c1e} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-327478838-2634424644-1022173333-1002\...\MountPoints2: {98ce49fd-2e0f-11e6-8270-c03fd5720c1e} - "J:\AutoRun.exe" 
HKU\S-1-5-21-327478838-2634424644-1022173333-1002\...\MountPoints2: {a5a31719-6199-11e7-8286-c03fd5720c1e} - "F:\AutoRun.exe" 
HKU\S-1-5-21-327478838-2634424644-1022173333-1002\...\MountPoints2: {a5a31743-6199-11e7-8286-c03fd5720c1e} - "F:\AutoRun.exe" 
HKU\S-1-5-21-327478838-2634424644-1022173333-1002\...\MountPoints2: {a63bb0cb-d5b5-11ea-82de-c03fd5720c1e} - "G:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-327478838-2634424644-1022173333-1002\...\MountPoints2: {a63bb7f4-d5b5-11ea-82de-c03fd5720c1e} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-327478838-2634424644-1022173333-1002\...\MountPoints2: {ae047054-5885-11eb-82f5-c03fd5720c1e} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-327478838-2634424644-1022173333-1002\...\MountPoints2: {c8ba6f5e-2289-11e6-8270-c03fd5720c1e} - "J:\AutoRun.exe" 
HKU\S-1-5-21-327478838-2634424644-1022173333-1002\...\MountPoints2: {d782443a-56ea-11e6-8274-c03fd5720c1e} - "J:\Lenovo_Suite.exe" 
HKU\S-1-5-21-327478838-2634424644-1022173333-1002\...\MountPoints2: {ebaa0f0a-1917-11ea-82c7-c03fd5720c1e} - "I:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-327478838-2634424644-1022173333-1002\...\MountPoints2: {ebaa0f3a-1917-11ea-82c7-c03fd5720c1e} - "I:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-327478838-2634424644-1022173333-1002\...\MountPoints2: {ebaa0f44-1917-11ea-82c7-c03fd5720c1e} - "I:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-327478838-2634424644-1022173333-1002\...\MountPoints2: {ebaa0fcb-1917-11ea-82c7-c03fd5720c1e} - "I:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-327478838-2634424644-1022173333-1002\...\MountPoints2: {ebaa1004-1917-11ea-82c7-c03fd5720c1e} - "I:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-327478838-2634424644-1022173333-1002\...\MountPoints2: {ed67c348-f08d-11e9-82c6-00059a3c7a00} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-327478838-2634424644-1022173333-1002\...\MountPoints2: {f19dfaf8-1d0a-11ec-830d-c03fd5720c1e} - "E:\AutoRun.exe" 
HKU\S-1-5-18\...\Run: [] => [X]
Startup: C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Lutloader.lnk [2018-06-13]
ShortcutTarget: Lutloader.lnk -> D:\Program Files (x86)\Atrise\Lutcurve\Lutloader.exe (No File)
GroupPolicy: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {4058D922-BCB6-4AC5-9D63-BF7389166C94} - System32\Tasks\250AutoStart => G:\Users\1\Desktop\250\auto_start_service.bat  (No File)
Task: {AC8E2A09-0A0A-4007-91B7-621109173882} - System32\Tasks\Uninstaller_SkipUac_1 => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe  /UninstallExplorer (No File) <==== ATTENTION
S2 CloudflareWARP; "C:\Program Files\Cloudflare\Cloudflare WARP\warp-svc.exe" [X]
S2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [X] <==== ATTENTION
S2 mrupdsrv; "C:\Program Files (x86)\Mail.Ru\Update Service\mrupdsrv.exe" --s [X] <==== ATTENTION
S2 TunnelBearMaintenance; "D:\Program Files (x86)\TunnelBear\TunnelBear.Maintenance.exe" [X]
S2 Updater.Mail.Ru; C:\Program Files (x86)\Mail.Ru\MailRuUpdater\MailRuUpdater.exe --s [X] <==== ATTENTION
S2 KMIDTIPP; C:\ProgramData\vgodrqhybann\xoscarfcysrp.exe [2898424 2026-03-26] (Microsoft Corporation -> Microsoft® Windows®) [File not signed] <==== ATTENTION
S3 BITS_bkp; C:\Windows\System32\qmgr.dll [936448 2020-05-10] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3722240 2020-12-15] (Microsoft Windows -> Microsoft Corporation)

U4 npcap_wifi; no ImagePath
S4 NVHDA; \SystemRoot\system32\drivers\nvhda64v.sys [X]
S4 nvlddmkm; \SystemRoot\system32\DRIVERS\nvlddmkm.sys [X]
S4 nvpciflt; \SystemRoot\system32\DRIVERS\nvpciflt.sys [X]
S4 nvvad_WaveExtensible; \SystemRoot\system32\drivers\nvvad64v.sys [X]
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

Проверьте данный файл после выполнения скрипта: жив будет или нет.

 

Если файл останется,

 

далее,

будет скрипт в uVS

 

[safety]

Продолжаем очистку системы:

 

Вариант 3

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу uVS с перезагрузкой системы

;uVS v5.0.5v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
hide %SystemDrive%\PROGRAM FILES\FREECAD 0.20\BIN\PYTHON3.DLL
hide %SystemDrive%\PROGRAM FILES (X86)\TAOBAOPROTECT\TBSECSVC.EXE
icsuspend

sreg

;---------command-block---------
delref %SystemDrive%\PROGRAMDATA\VGODRQHYBANN\XOSCARFCYSRP.EXE
apply

areg

restart

Далее:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новые логи FRST для контроля

[HVZ]

Fixlog.txt

Продолжаю очистку системы:

 

Вариант 3

или после результата по логу Fixlog.txt?

 

11 часов назад, safety сказал:

Проверьте данный файл после выполнения скрипта: жив будет или нет.

C:\ProgramData\vgodrqhybann\xoscarfcysrp.exe

создан ‎25 ‎марта ‎2026 ‎г., ‏‎21:01:36, пересоздан ‎27 ‎марта ‎2026 ‎г., ‏‎07:19

[safety]

Судя по всему скрипт для FRST не помог.

Тогда выполните скрипт в uVS из варианта 3

После выполнения скрипта в uVS:

Далее:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новые логи FRST для контроля

-----------

Посмотрим насколько он живучим оказался.

[HVZ]

13 часов назад, safety сказал:

Посмотрим насколько он живучим оказался.

xoscarfcysrp.exe  убился, но комп тормозной какой то (сильно напрягает)

встретилось еще:

Trojan:Win32/Occamy.C3E и Program:Win32/Uwasson.A!ml

[safety]

Далее:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новые логи FRST для контроля