Техническая информация
- [<HKLM>\SYSTEM\ControlSet001\Services\csrss] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\csrss] 'ImagePath' = '"%WINDIR%\<Имя файла>.exe"'
- %WINDIR%\InstallUtil.InstallLog
- %WINDIR%\<Имя файла>.InstallLog
- %WINDIR%\<Имя файла>.InstallState
- %WINDIR%\Temp\5bjuq0w9.0.cs
- %WINDIR%\Temp\5bjuq0w9.cmdline
- %WINDIR%\Temp\5bjuq0w9.out
- %WINDIR%\Temp\CSC1.tmp
- %WINDIR%\Temp\RES2.tmp
- %WINDIR%\Temp\5bjuq0w9.dll
- %WINDIR%\<Имя файла>.InstallLog
- %WINDIR%\<Имя файла>.InstallState
- %WINDIR%\InstallUtil.InstallLog
- %WINDIR%\Temp\RES2.tmp
- %WINDIR%\Temp\CSC1.tmp
- %WINDIR%\Temp\5bjuq0w9.cmdline
- %WINDIR%\Temp\5bjuq0w9.dll
- %WINDIR%\Temp\5bjuq0w9.0.cs
- %WINDIR%\Temp\5bjuq0w9.out
- <Полный путь к файлу> в %WINDIR%\<Имя файла>.exe
- 'wp#d':80
- '54.##.141.202':80
- http://11#.#11.111.1/wpad.dat via wp#d
- http://54.##.141.202/panel/api/index.php/?ac####
- DNS ASK wp#d
- '%WINDIR%\<Имя файла>.exe'
- '<SYSTEM32>\cmd.exe' /c ping 127.0.0.1 -n 3 > nul && move "<Полный путь к файлу>" "%WINDIR%\<Имя файла>.exe" && start "" %WINDIR%\<Имя файла>.exe && exit
- '<SYSTEM32>\ping.exe' 127.0.0.1 -n 3
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\csc.exe' /noconfig /fullpaths @"%WINDIR%\TEMP\5bjuq0w9.cmdline"
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%WINDIR%\TEMP\RES2.tmp" "%WINDIR%\Temp\CSC1.tmp"