pay2key GWAD1

14 часов назад

Добрый день.

Все файлы зашифрованы вирусом с расширением ".GWAD1".

Прому помочь очистить систему от шифровальщика.

CollectionLog-2025.09.23-23.02.zip Шифрованный файл.rar

14 часов назад

FRST_log.zip

шифр.txt

12 часов назад

Тоже самое, прошу помощи.
Какой тип шифровальщика?

12 часов назад

7 минут назад, kir7777 сказал:

Тоже самое, прошу помощи.

Создайте отдельную тему, не пишите в чужой теме.

11 часов назад

Шифрование точно было в это системе?

Эти файлы заархивируйте с паролем virus, добавьте архив в ваше сообщение.

Цитата

2025-03-18 11:13 - 2025-03-18 10:10 - 000953344 __RSH (Microsoft) C:\Users\boss7\AppData\Roaming\tAPdeJm.exe
2025-09-17 14:56 - 2025-09-17 14:56 - 001441280 _____ () C:\Users\buh\AppData\Roaming\Current.exe
2025-09-08 12:58 - 2025-09-15 11:13 - 005392804 _____ (Oleg N. Scherbakov) C:\Users\buh\AppData\Roaming\encryptor.exe
2025-09-04 12:43 - 2025-09-04 12:43 - 001706496 _____ () C:\Users\buh\AppData\Roaming\MemberName.exe
2025-09-04 12:43 - 2025-09-04 12:13 - 003340056 _____ () C:\Users\buh\AppData\Roaming\Name.exe

Изменено 11 часов назад пользователем safety

6 часов назад

@safety точно было.

Это лог из восстановленной системы до шифрования.

6 часов назад

Т.е. систему откатили на одну-две недели назад, до момента шифрования.

Так понимаю, что логи FRST вы сделали уже из восстановленной системы.

Файлы, указанные в списке можете добавить в один архив?

Изменено 6 часов назад пользователем safety

6 часов назад

Точнее, на два дня назад до полного шифрования.

5 часов назад

Эти файлы, значит уже были в системе до шифрования.

Вы уверены, что откатили систему на безопасную точку восстановления?

Для проверки, заархивируйте файлы с паролем virus, добавьте архив в ваше сообщение.

Цитата

2025-03-18 11:13 - 2025-03-18 10:10 - 000953344 __RSH (Microsoft) C:\Users\boss7\AppData\Roaming\tAPdeJm.exe
2025-09-17 14:56 - 2025-09-17 14:56 - 001441280 _____ () C:\Users\buh\AppData\Roaming\Current.exe
2025-09-08 12:58 - 2025-09-15 11:13 - 005392804 _____ (Oleg N. Scherbakov) C:\Users\buh\AppData\Roaming\encryptor.exe
2025-09-04 12:43 - 2025-09-04 12:43 - 001706496 _____ () C:\Users\buh\AppData\Roaming\MemberName.exe
2025-09-04 12:43 - 2025-09-04 12:13 - 003340056 _____ () C:\Users\buh\AppData\Roaming\Name.exe

Изменено 4 часа назад пользователем safety

3 часа назад

Выложил архив на диск

~~архив загружен, ссылка удалена~~

Изменено 1 час назад пользователем safety
архив загружен, ссылка удалена

3 часа назад

Хорошо, чуть позже проверю, напишу по результату.

3 часа назад

Спасибо, буду ждать.

1 час назад

По файлам:

Name.exe - это установщик шифровальщика.

https://www.virustotal.com/gui/file/c67a6f15a02c4821b2688cf6c4b6c0b1c5f20d89bdc2d21766907678714ff137/details

MemberName.vexe - дополнительный инструмент

https://www.virustotal.com/gui/file/8016dd74da7f89827a8bbde63dee5dc27c3ee52e409ef823bcb166132e9c5e69/detection

encryptor.exe - файл связан с шифровальщиком Pay2Key

https://www.virustotal.com/gui/file/233b048135cc39a62cfd9256b47c1f5a8591e04b52324543a5e95406a6eacc00/detection

Current.exe - вредоносный модуль.

https://www.virustotal.com/gui/file/3807f58440fabf0e05841a72ae27a3141e1a317b27484c4ef345b7ca78738b8b

этот файл еще проверьте на Virustotal.com, возможно он скрытый

2025-03-18 11:13 - 2025-03-18 10:10 - 000953344 __RSH (Microsoft) C:\Users\boss7\AppData\Roaming\tAPdeJm.exe

Изменено 1 час назад пользователем safety

1 час назад

По очистке системы:

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
2025-09-17 14:56 - 2025-09-17 14:56 - 001441280 _____ () C:\Users\buh\AppData\Roaming\Current.exe
2025-09-08 12:58 - 2025-09-15 11:13 - 005392804 _____ (Oleg N. Scherbakov) C:\Users\buh\AppData\Roaming\encryptor.exe
2025-09-04 12:43 - 2025-09-04 12:43 - 001706496 _____ () C:\Users\buh\AppData\Roaming\MemberName.exe
2025-09-04 12:43 - 2025-09-04 12:13 - 003340056 _____ () C:\Users\buh\AppData\Roaming\Name.exe
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

pay2key GWAD1

Рекомендуемые сообщения

KHAN

KHAN

kir7777

safety

safety

KHAN

safety

KHAN

safety

KHAN

safety

KHAN

safety

safety

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum