Техническая информация
- '<SYSTEM32>\schtasks.exe' 0xa8c schtasks.exe
- '<SYSTEM32>\WScript.exe' /pid=0x760 /log
- '<SYSTEM32>\schtasks.exe' 0xa88 schtasks.exe
- '<SYSTEM32>\schtasks.exe' /pid=0x5c4 /log
- '<SYSTEM32>\schtasks.exe' --pid=0xe0 --log --managed
- '<SYSTEM32>\schtasks.exe' /pid=0x92c /log
- '<SYSTEM32>\schtasks.exe' --pid=0x948 --log --managed
- '<SYSTEM32>\schtasks.exe' /pid=0x408 /log
- '<SYSTEM32>\schtasks.exe' /delete /tn SystemScript /f
- '<SYSTEM32>\WScript.exe' "<LS_APPDATA>\Microsoft\Windows\system.vbs"
- '<SYSTEM32>\WScript.exe' "%TEMP%\RarSFX0\install.vbs"
- '<SYSTEM32>\schtasks.exe' /create /tn SystemScript /tr "<LS_APPDATA>\Microsoft\Windows\system.vbs" /sc ONLOGON /f
- '<SYSTEM32>\conhost.exe' /create /tn SystemScript /tr "<LS_APPDATA>\Microsoft\Windows\system.vbs" /sc ONLOGON /f
- '<SYSTEM32>\conhost.exe' /delete /tn SystemScript /f
- '<SYSTEM32>\taskhost.exe' 0x8b0 <Имя вируса>.exe
- <SYSTEM32>\Tasks\SystemScript
- <LS_APPDATA>\Microsoft\Windows\windows.zpx
- <APATH_DUMPS_DIR>_net\CmdDotNetDumper.log
- <Служебный элемент>
- %TEMP%\RarSFX0\system.vbs
- %TEMP%\RarSFX0\install.vbs
- <LS_APPDATA>\Microsoft\Windows\system.vbs
- %TEMP%\RarSFX0\windows.zpx
- <LS_APPDATA>\Microsoft\Windows\windows.zpx
- <LS_APPDATA>\Microsoft\Windows\system.vbs
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'EDIT' WindowName: ''