pay2key GWAD1

20 часов назад

Добрый день.

Все файлы зашифрованы вирусом с расширением ".GWAD1".

Прому помочь очистить систему от шифровальщика.

CollectionLog-2025.09.23-23.02.zip Шифрованный файл.rar

20 часов назад

FRST_log.zip

шифр.txt

18 часов назад

Тоже самое, прошу помощи.
Какой тип шифровальщика?

17 часов назад

7 минут назад, kir7777 сказал:

Тоже самое, прошу помощи.

Создайте отдельную тему, не пишите в чужой теме.

17 часов назад

Шифрование точно было в это системе?

Эти файлы заархивируйте с паролем virus, добавьте архив в ваше сообщение.

Цитата

2025-03-18 11:13 - 2025-03-18 10:10 - 000953344 __RSH (Microsoft) C:\Users\boss7\AppData\Roaming\tAPdeJm.exe
2025-09-17 14:56 - 2025-09-17 14:56 - 001441280 _____ () C:\Users\buh\AppData\Roaming\Current.exe
2025-09-08 12:58 - 2025-09-15 11:13 - 005392804 _____ (Oleg N. Scherbakov) C:\Users\buh\AppData\Roaming\encryptor.exe
2025-09-04 12:43 - 2025-09-04 12:43 - 001706496 _____ () C:\Users\buh\AppData\Roaming\MemberName.exe
2025-09-04 12:43 - 2025-09-04 12:13 - 003340056 _____ () C:\Users\buh\AppData\Roaming\Name.exe

Изменено 17 часов назад пользователем safety

12 часов назад

@safety точно было.

Это лог из восстановленной системы до шифрования.

11 часов назад

Т.е. систему откатили на одну-две недели назад, до момента шифрования.

Так понимаю, что логи FRST вы сделали уже из восстановленной системы.

Файлы, указанные в списке можете добавить в один архив?

Изменено 11 часов назад пользователем safety

11 часов назад

Точнее, на два дня назад до полного шифрования.

11 часов назад

Эти файлы, значит уже были в системе до шифрования.

Вы уверены, что откатили систему на безопасную точку восстановления?

Для проверки, заархивируйте файлы с паролем virus, добавьте архив в ваше сообщение.

Цитата

2025-03-18 11:13 - 2025-03-18 10:10 - 000953344 __RSH (Microsoft) C:\Users\boss7\AppData\Roaming\tAPdeJm.exe
2025-09-17 14:56 - 2025-09-17 14:56 - 001441280 _____ () C:\Users\buh\AppData\Roaming\Current.exe
2025-09-08 12:58 - 2025-09-15 11:13 - 005392804 _____ (Oleg N. Scherbakov) C:\Users\buh\AppData\Roaming\encryptor.exe
2025-09-04 12:43 - 2025-09-04 12:43 - 001706496 _____ () C:\Users\buh\AppData\Roaming\MemberName.exe
2025-09-04 12:43 - 2025-09-04 12:13 - 003340056 _____ () C:\Users\buh\AppData\Roaming\Name.exe

Изменено 10 часов назад пользователем safety

9 часов назад

Выложил архив на диск

~~архив загружен, ссылка удалена~~

Изменено 7 часов назад пользователем safety
архив загружен, ссылка удалена

9 часов назад

Хорошо, чуть позже проверю, напишу по результату.

9 часов назад

Спасибо, буду ждать.

7 часов назад

По файлам:

Name.exe - это установщик шифровальщика.

https://www.virustotal.com/gui/file/c67a6f15a02c4821b2688cf6c4b6c0b1c5f20d89bdc2d21766907678714ff137/details

MemberName.vexe - дополнительный инструмент

https://www.virustotal.com/gui/file/8016dd74da7f89827a8bbde63dee5dc27c3ee52e409ef823bcb166132e9c5e69/detection

encryptor.exe - файл связан с шифровальщиком Pay2Key

https://www.virustotal.com/gui/file/233b048135cc39a62cfd9256b47c1f5a8591e04b52324543a5e95406a6eacc00/detection

Current.exe - вредоносный модуль.

https://www.virustotal.com/gui/file/3807f58440fabf0e05841a72ae27a3141e1a317b27484c4ef345b7ca78738b8b

этот файл еще проверьте на Virustotal.com, возможно он скрытый

2025-03-18 11:13 - 2025-03-18 10:10 - 000953344 __RSH (Microsoft) C:\Users\boss7\AppData\Roaming\tAPdeJm.exe

Изменено 7 часов назад пользователем safety

7 часов назад

По очистке системы:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-09-17 14:56 - 2025-09-17 14:56 - 001441280 _____ () C:\Users\buh\AppData\Roaming\Current.exe
2025-09-08 12:58 - 2025-09-15 11:13 - 005392804 _____ (Oleg N. Scherbakov) C:\Users\buh\AppData\Roaming\encryptor.exe
2025-09-04 12:43 - 2025-09-04 12:43 - 001706496 _____ () C:\Users\buh\AppData\Roaming\MemberName.exe
2025-09-04 12:43 - 2025-09-04 12:13 - 003340056 _____ () C:\Users\buh\AppData\Roaming\Name.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

pay2key GWAD1

Рекомендуемые сообщения

KHAN

KHAN

kir7777

safety

safety

KHAN

safety

KHAN

safety

KHAN

safety

KHAN

safety

safety

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum