Техническая информация
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'shell' = 'explorer.exe,"<SYSTEM32>\Windows Services\win32.exe"'
- скрытых файлов
- Компонент восстановления системы (SR)
- '<SYSTEM32>\wscript.exe' "%APPDATA%\Windows\Decrypt.vbs"
- '<SYSTEM32>\Windows Services\win32.exe'
- '%APPDATA%\Windows\Program.exe'
- 'C:\Documents\lex.exe'
- '<SYSTEM32>\cmd.exe' /c ""%APPDATA%\Windows\Decrypt.bat" "
- '%APPDATA%\Windows\EncryptedRAR.exe' -pizationZ -d%APPDATA%\Windows\
- %APPDATA%\Windows\Decrypt.vbs
- C:\Documents\lex.exe
- <SYSTEM32>\Windows Services\win32.exe
- %APPDATA%\Windows\Decrypt.bat
- %APPDATA%\Windows\EncryptedRAR.exe
- %APPDATA%\Windows\Program.exe
- C:\Documents\lex.exe
- <SYSTEM32>\Windows Services\win32.exe
- C:\Documents\lex.exe в %TEMP%\4118
- 'ha######.chickenkiller.com':3154
- DNS ASK ha######.chickenkiller.com
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'EDIT' WindowName: ''