# Ransomware-antichild-porno-spam-protection SCRIPT MSDOS NEEDED!



## carlosrm (Mar 12, 2013)

Hi guys , i have bad news, yesterday in the night my Windows 2003 server was infected, along the day, I could take out the first screen which stops to do something buy now I have my bbdd (database) and more other files encrypted in .exe rar files with password.
I was reading this post before 1068603-ransomware-antichild-porno-spam-protection.html and the guy could decrypt all files thanks to Dr.Web, I send yesterday an infected file (encrypted) and now i'm typing here too.

Please any help will be welcome , i need at least to decrypt one of the files... my database in sql.

Best regards.


----------



## carlosrm (Mar 12, 2013)

Hi once again, in dr. web they give me the right password!!

But now i need to do a scritp to decrypt all the files infected (rared)

Please any can help to do this script or bat or ... thank you very much.


----------



## carlosrm (Mar 12, 2013)

I have the script in a batch file to write a file withi all the encrypted files:

for /R C:**identification help deleted by moderator for security reasons**%%i>>C:\encrypted.lst

but i need now to do another one to decrypt all the files at time

I have the password, and more or less the command line have to be something like this:

@for /F "delims=*" %%i in (C:\encrypted.lst) do @unrar x -paesT322+rIgSZ_CFgjg_!)D1_=Ez&kD-BI0jpN=EzLMC!kh!6d(vbi*Uz "%i"


----------



## dvk01 (Dec 14, 2002)

moved to software development, so you can get help with making a script


----------



## dajico1975 (Mar 12, 2013)

How did you get the key of the file?.


----------



## carlosrm (Mar 12, 2013)

yes i have. just read this post 
http://forums.techguy.org/virus-oth...omware-antichild-porno-spam-protection-2.html
and send a encrypted file to dr.web in the link

good luck!


----------



## dajico1975 (Mar 12, 2013)

thanks!


----------



## JuanCarlosmare (Mar 12, 2013)

Hi guys, first of all sorry, my English is so bad.
I have the same problem that you have. I need the key to close the window of the virus, I read the link that post carlosrm, but I have a question, I couldn't take the registry that you pass to Dr web, because is impossible to do nothing in my system. how can I take the registry?


----------



## carlosrm (Mar 12, 2013)

try to repair the SO after that maybe you can enter into the SO


----------



## JuanCarlosmare (Mar 12, 2013)

its imposible to do nothing, the version that we have disables all, safe mode, safe mode with network.... 
the only thing I can do is put the code after paying...


----------



## dajico1975 (Mar 12, 2013)

Hola Juancarlosmare, yo he conseguido arrancarlo pincando el disco en otro equipo. editas el registro y quitas las claves que tengas en HKLM/software/microsoft/windows/currentversion/run y las de HKLM/software/microsoft/windowsnt/currentversion/winlogon.
te las estoy escribiendo ede memoria, perdona si me equivoco en alguna.


----------



## carlosrm (Mar 12, 2013)

y para hacer el batch que borre extraiga todo??
no me sale, me da el error, en cambio si hago uno por uno funciona.
Hay alguna manera de indicarle en el password toda la longitud entera con comillas o algo? lo digo porque hay un & y me está poniendo espacios antes y despues y no lo coge como bueno


----------



## dajico1975 (Mar 12, 2013)

no se, todavía no he conseguido el password del archivo.


----------



## carlosrm (Mar 12, 2013)

Yo lo tengo, también he conseguido generar el fichero que contiene la ruta de todos los ficheros encryptados pero no me sale la ultima parte...


----------



## JuanCarlosmare (Mar 12, 2013)

Muchas gracias por responderme en Español, ahora me pondre a ver si lo soluciono, ahora mismo me lo estan mirando por remoto la gente de bitdefender.

si me lo solucionan lo posteo.

gracias


----------



## dajico1975 (Mar 12, 2013)

Si os enterais de alguna herramienta para poder sacar el password, por favor decidmelo.


----------



## notarinez (Mar 12, 2013)

Saludos, yo tengo exactamente el mismo problema.

Tengo en la empresa un Windows 2003 server, me ha entrado una variante del ransomware llamada "Anti-child porn spam protection" . Despues de mucho toquetear, he podido quitar el virus, pero ahora tengo casi 80.000 archivos infectados con esta nomenclatura despues del nombre original del archivo **Ayuda identificación borrado por el moderador por razones de seguridad**

Estoy mirando la manera de desencriptarlo pero no veo por ningun sitio ninguna manera.

¿Sabéis algo que pueda ayudarme a solucionarlo ?

Muchas gracias por todo


----------



## JuanCarlosmare (Mar 12, 2013)

buenas tardes, de momento con un Panda livecd actualizado he conseguido quitar el virus, ahora "solo" falta desencriptar los archivos.


----------



## buffoon (Jul 16, 2008)

llo siento caballeros, pero en este foro es necesario para publicar en Inglés para la administración habla principalmente Inglés para controlar los acontecimientos. Por favor, no use cualquier españolas sobre este tema tendrá que ser cerrado.

Vamos a estar de pie por si ciertas frases no se entienden, pero entonces tienes que pedir la ayuda de moderador


----------



## urubrianm (Mar 13, 2013)

Hi, I have Windows Server 2003 and I have this problem, I can not clear the virus or desencryptar files. Is there any solution?


thanks


----------



## 32srd (Mar 13, 2013)

Good morning, I'm with the same problem. I was able to remove the virus but now I have more than 100,000 files encrypted.

How have you got the key to decrypt the files?

Thank you.


----------



## dajico1975 (Mar 12, 2013)

I managed to solve the problem. We send an infected file to Dr.Web and given me the key.


----------



## JuanCarlosmare (Mar 12, 2013)

I clean the virus with PandaliveCD with updated database. now I'm waiting to panda to the key of the encrypted files.


----------



## jesus297 (Mar 13, 2013)

Hi, im a new member, first of all: sorry my english  im reading the threat and i saw you get the key to decrypt files ¿how do you get the key? Im trying to access the link for dr.web in order to send a encrypted file but the link say me that i dont have permission to access 
thanks a lot!

Hola, soy recien registrado, he visto que estan hablando en español y por eso les escribo (mi ingles es penoso... jeje) estoy leyendo el hilo y veo que consiguen generar la clave que desencripta los archivos, ¿como la han conseguido? intento acceder al link que hay mas arriba, pero la web me dice que no tengo permisos para entrar... Muchas gracias de antemano!


----------



## notarinez (Mar 12, 2013)

Hi, finally Ive decrypted all my 80.000 infected files, thanks a lot to dr.web , they gave me the password fast and it worked perfectly.


----------



## jesus297 (Mar 13, 2013)

Hello! how you get the password? what i have to do to dr.web send me too? Thanks a lot.


----------

