Техническая информация
- [<HKLM>\SYSTEM\ControlSet001\Services\ProtectS] 'ImagePath' = '%WINDIR%\ProtectS.sys'
- [<HKLM>\SYSTEM\ControlSet001\Services\ProtectS] 'Start' = '00000001'
- NtOpenProcess, драйвер-обработчик: ProtectS.sys
- NtTerminateProcess, драйвер-обработчик: ProtectS.sys
- NtCreateKey, драйвер-обработчик: ProtectS.sys
- NtOpenKey, драйвер-обработчик: ProtectS.sys
- %WINDIR%\ProtectS.sys
- <Текущая директория>\ProtectS.sys
- %WINDIR%\ProtectS.sys
- <Текущая директория>\ProtectS.sys
- <DRIVERS>\etc\hosts
- 'da#####.blog.163.com':80
- http://da#####.blog.163.com/blog/static/20680311420160142273145/
- DNS ASK da#####.blog.163.com
- ClassName: 'Shell_TrayWnd' WindowName: ''