Техническая информация
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = '"%APPDATA%\EFQcdekPxLRM8tuu\kOLEimTsJ5p2.exe",explorer.exe'
- '<SYSTEM32>\schtasks.exe' /create /sc onlogon /tn "Client Monitor" /rl highest /tr "'%ProgramFiles%\Client\MWR_LevelHack.exe' /startup" /f
- <SYSTEM32>\svchost.exe
- %APPDATA%\Monitor\Screenshots\01-12-2017\8.23 AM
- %APPDATA%\EFQcdekPxLRM8tuu\kOLEimTsJ5p2.exe
- %APPDATA%\EFQcdekPxLRM8tuu\kOLEimTsJ5p2.exe
- из <Полный путь к файлу> в %ProgramFiles%\Client\MWR_LevelHack.exe
- 'si####ed.hopto.org':1604
- DNS ASK si####ed.hopto.org