Техническая информация
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Client Server Runtime Subsystem Server 7.20' = 'C:\ebd0d60b76dde7ef6728686c-6c4a2f-c7de\All Users\{90120000-0030-0000-0000-0000000FF1CE}-c\drivers\csrss.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Session Manager Subsystem Server 3.91' = 'C:\ebd0d60b76dde7ef6728686c-6c4a2f-c7de\All Users\{90120000-0030-0000-0000-0000000FF1CE}-c\drivers\smss.exe'
- %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Windows update.lnk
- %HOMEPATH%\Start Menu\Programs\Startup\Windows update.lnk
- <Имя диска съемного носителя>:\SpoolBin.exe
- <Имя диска съемного носителя>:\autorun.inf
- скрытых файлов
- C:\ebd0d60b76dde7ef6728686c-6c4a2f-c7de\All Users\{90120000-0030-0000-0000-0000000FF1CE}-c\drivers\csrss.exe
- C:\ebd0d60b76dde7ef6728686c-6c4a2f-c7de\All Users\{90120000-0030-0000-0000-0000000FF1CE}-c\drivers\smss.exe
- C:\SpoolBin.exe
- C:\autorun.inf
- C:\ebd0d60b76dde7ef6728686c-6c4a2f-c7de\Default\Misc\Utilities\Settings\05-16-2012-01-48-28-PM.ini
- C:\ebd0d60b76dde7ef6728686c-6c4a2f-c7de\All Users\{90120000-0030-0000-0000-0000000FF1CE}-c\drivers\csrss.exe
- C:\ebd0d60b76dde7ef6728686c-6c4a2f-c7de\All Users\{90120000-0030-0000-0000-0000000FF1CE}-c\drivers\smss.exe
- C:\ebd0d60b76dde7ef6728686c-6c4a2f-c7de\All Users\{90120000-002C-0409-0000-0000000FF1CE}-C\Proof.en\MSWinUpdate.exe
- C:\ebd0d60b76dde7ef6728686c-6c4a2f-c7de.lnk
- <Имя диска съемного носителя>:\autorun.inf
- C:\SpoolBin.exe
- C:\ebd0d60b76dde7ef6728686c-6c4a2f-c7de\All Users\{90120000-0030-0000-0000-0000000FF1CE}-c\drivers\csrss.exe
- <Имя диска съемного носителя>:\SpoolBin.exe
- C:\ebd0d60b76dde7ef6728686c-6c4a2f-c7de.lnk
- C:\ebd0d60b76dde7ef6728686c-6c4a2f-c7de\All Users\{90120000-0030-0000-0000-0000000FF1CE}-c\drivers\smss.exe
- C:\autorun.inf
- C:\ebd0d60b76dde7ef6728686c-6c4a2f-c7de\All Users\{90120000-002C-0409-0000-0000000FF1CE}-C\Proof.en\MSWinUpdate.exe
- %TEMP%\~DFFE16.tmp
- %TEMP%\~DF125B.tmp
- %TEMP%\~DFE2C6.tmp
- из <Полный путь к вирусу> в C:\ebd0d60b76dde7ef6728686c-6c4a2f-c7de\All Users\{90120000-0115-0409-0000-0000000FF1CE}-c\temp\tag\HIVE05161214823PM.exe
- ClassName: '' WindowName: '0 Sm9ssE2039 E smss.exe 893'
- ClassName: '' WindowName: '0 Sm9ssE2039 E csrss.exe 893'
- ClassName: '' WindowName: '0 Sm9ssE2039 E INSTALLER 893'
- ClassName: '' WindowName: '0 Sm9ssE2039 E SpoolBin.exe 893'