Техническая информация
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = '<SYSTEM32>\userinit.exe,,%PROGRAM_FILES%\VPAVQXCUUNGU.exe'
- <SYSTEM32>\dllcache\rstrui.exe файлом <SYSTEM32>\dllcache\rstrui.exe.new
- <SYSTEM32>\dllcache\srdiag.exe файлом <SYSTEM32>\dllcache\srdiag.exe.new
- <SYSTEM32>\Restore\rstrui.exe файлом <SYSTEM32>\Restore\rstrui.exe.new
- <SYSTEM32>\Restore\srdiag.exe файлом <SYSTEM32>\Restore\srdiag.exe.new
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
- Средство контроля пользовательских учетных записей (UAC)
- %PROGRAM_FILES%\VPAVQXCUUNGU.exe
- <SYSTEM32>\cmd.exe /c C:\g.bat
- %PROGRAM_FILES%\VPAVQXCUUNGU.exe
- %PROGRAM_FILES%\VPAVQXCUUNGU.exe
- C:\g.bat
- %PROGRAM_FILES%\MSWINSCK.OCX
- %PROGRAM_FILES%\VPAVQXCUUNGU.exe
- %PROGRAM_FILES%\MSWINSCK.OCX
- <SYSTEM32>\Restore\srdiag.exe
- <SYSTEM32>\Restore\MachineGuid.txt
- %TEMP%\~DFD0A6.tmp
- <SYSTEM32>\Restore\rstrui.exe
- <SYSTEM32>\dllcache\srdiag.exe.new в <SYSTEM32>\dllcache\srdiag.exe
- <SYSTEM32>\dllcache\rstrui.exe.new в <SYSTEM32>\dllcache\rstrui.exe
- 'sc###.vip.sh':80
- DNS ASK sc###.vip.sh