Техническая информация
- Библиотека-обработчик для всех процессов: %TEMP%\RarSFX1\inproc.dll
- %TEMP%\NiltoczwiceSOFT2.exe
- %TEMP%\RarSFX1\speeder.ini
- %TEMP%\RarSFX1\PSAPI.DLL
- %TEMP%\RarSFX1\oem_sp.dat
- %TEMP%\RarSFX1\NTPerf.dll
- %TEMP%\RarSFX1\inproc.dll
- %TEMP%\RarSFX1\hook.dll
- %TEMP%\RarSFX1\skin\english\Thumbs.db
- %TEMP%\RarSFX1\skin\english\skin.ini
- %TEMP%\RarSFX1\skin\english\over.bmp
- %TEMP%\RarSFX1\skin\english\mask.bmp
- %TEMP%\RarSFX1\skin\english\main.bmp
- %TEMP%\RarSFX1\skin\english\down.bmp
- %TEMP%\RarSFX1\svchost.exe
- %TEMP%\NiltoczwiceSOFT1.exe
- %TEMP%\RarSFX0\svchost.exe
- %HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\KHMHGZ4F\newsinsoft[1].htm
- %HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\U98D4X8H\user_fairy[1].asp
- %TEMP%\RarSFX1\skin\english\Thumbs.db
- %TEMP%\RarSFX0\svchost.exe
- 'sp###erxp.com':80
- 'localhost':1039
- 'vr###thers.com':80
- http://www.sp###erxp.com/en/ver.txt via sp###erxp.com
- http://www.sp###erxp.com/en/newsinsoft.htm via sp###erxp.com
- http://www.vr###thers.com/user_fairy.asp?so###################### via vr###thers.com
- DNS ASK www.sp###erxp.com
- DNS ASK www.vr###thers.com
- ClassName: 'EDIT' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- '%TEMP%\NiltoczwiceSOFT2.exe'
- '%TEMP%\RarSFX0\svchost.exe'
- '%TEMP%\NiltoczwiceSOFT1.exe'
- '%TEMP%\RarSFX1\svchost.exe'