Техническая информация
- [<HKLM>\SYSTEM\ControlSet001\Services\csrss] 'ImagePath' = '"%WINDIR%\<Имя файла>.exe"'
- [<HKLM>\SYSTEM\ControlSet001\Services\csrss] 'Start' = '00000002'
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\csc.exe' /noconfig /fullpaths @"%WINDIR%\TEMP\2q8vgpbc.cmdline"
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%WINDIR%\TEMP\RES2.tmp" "%WINDIR%\Temp\CSC1.tmp"
- '<SYSTEM32>\cmd.exe' /c ping 127.0.0.1 -n 3 > nul && move "<Полный путь к файлу>" "%WINDIR%\<Имя файла>.exe" && start "" %WINDIR%\<Имя файла>.exe && exit
- '<SYSTEM32>\ping.exe' 127.0.0.1 -n 3
- %WINDIR%\Temp\CSC1.tmp
- %WINDIR%\Temp\2q8vgpbc.out
- %WINDIR%\Temp\2q8vgpbc.dll
- %WINDIR%\Temp\RES2.tmp
- %WINDIR%\Temp\2q8vgpbc.cmdline
- %WINDIR%\<Имя файла>.InstallLog
- %WINDIR%\InstallUtil.InstallLog
- %WINDIR%\Temp\2q8vgpbc.0.cs
- %WINDIR%\<Имя файла>.InstallState
- %WINDIR%\Temp\2q8vgpbc.0.cs
- %WINDIR%\Temp\2q8vgpbc.out
- %WINDIR%\Temp\2q8vgpbc.dll
- %WINDIR%\Temp\2q8vgpbc.cmdline
- %WINDIR%\Temp\CSC1.tmp
- %WINDIR%\<Имя файла>.InstallState
- %WINDIR%\<Имя файла>.InstallLog
- %WINDIR%\Temp\RES2.tmp
- %WINDIR%\InstallUtil.InstallLog
- из <Полный путь к файлу> в %WINDIR%\<Имя файла>.exe
- '19#.#2.126.213':944
- 'wp#d':80
- http://11#.#11.111.1/wpad.dat via wp#d
- DNS ASK wp#d