proton xoscarfcysrp.exe не удаляется, KMIDTIPP остановлена, но не удаляется

[thyrex]

4 часа назад, HVZ сказал:

4.Почему жуткие тормоза на компе?

На самом деле места на системном диске уже не так и много, менее 9 Гб. Даже для устаревшей Windows 8.1 может быть маловато.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[HVZ]

SecurityCheck.txt

[thyrex]

По возможности исправьте:

 

Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
AIDA64 Extreme v8.20 v.8.20 Внимание! Скачать обновления
CPUID CPU-Z MSI 2.17 v.2.17 Внимание! Скачать обновления
Среда выполнения Microsoft Edge WebView2 Runtime v.146.0.3856.84 [+]
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
Mozilla Firefox (x64 ru) v.148.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^

 

На этом на данном компьютере закончим.
 

[HVZ]

12 часов назад, thyrex сказал:

По возможности исправьте:

так то оно конечно, но проникли через этот комп и вирус шифровальщик очевидно на нем.

как победить?

[safety]

Победить не получится, шифровальщик уже отработал.

Судя по логу FRST в автозапуске нет шифровальщика

 

По второму ПК (который DIMA1), где было шифрование.

 

Выполнить очистку в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
IFEO\mpcmdrun.exe: [Debugger] C:\Windows\System32\systray.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
S4 IObitUnlocker; \??\C:\Program Files (x86)\Outlook Express\IO\IObitUnlocker.sys [X]
2026-03-25 21:49 - 2026-03-25 21:49 - 002981942 _____ C:\ProgramData\DE3563A7BFE58440.bmp
2026-03-25 04:44 - 2026-03-25 04:44 - 000001652 _____ C:\HowToRecover.txt
2026-03-15 14:07 - 2026-03-25 04:44 - 000000000 ____D C:\ProgramData\IObit
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

+

сюда же и добавьте логи сканирования KVRT на этом ПК.

+

поищите на этом же устройстве, на системном диске папку *x64-Release*

Изменено 30 марта пользователем safety

[HVZ]

Fixlog.txtAddition.txtFRST.txt

[safety]

Fixlog по DIMA1 проверил.

Новые логи FRST.txt и Addition.txt с какого устройства получены? и с какой целью вы их добавили?

У вас остались еще непроверенные зашифрованные устройства, кроме тех что проверили: DIMA, DIMA1, QNAS?

Изменено 2 апреля пользователем safety

[HVZ]

1 минуту назад, safety сказал:

Новые логи FRST.txt и Addition.txt с какого устройства получены?

так же с компа DIMA1

 

[safety]

Судя по Fixlog скрипт выполнился успешно на DIMA1

У вас остались еще непроверенные зашифрованные устройства, кроме тех что проверили: DIMA, DIMA1, QNAS?

 

[HVZ]

11 минут назад, safety сказал:

DIMA1и QNAS так и остались зашифрованы, и еще netgear nas

 

[safety]

Тему закрываю. Выше я объяснил вам что расшифровка файлов невозможна без приватного ключа. И что надо сделать, чтобы шифрование не повторилось.