Техническая информация
- <SYSTEM32>\tasks\ms libraries
- Системный антивирус (Защитник Windows)
- <SYSTEM32>\svchost.exe
- C:\mplay3.ini
- %APPDATA%\mslibs\vrgzio.exe
- %WINDIR%\temp\~df702f1d38932d7f7e.tmp
- %APPDATA%\mslibs\settings.ini
- %WINDIR%\temp\cab8970.tmp
- %WINDIR%\temp\tar8971.tmp
- %WINDIR%\temp\cab8992.tmp
- %WINDIR%\temp\tar8993.tmp
- %WINDIR%\temp\~df702f1d38932d7f7e.tmp
- %WINDIR%\temp\cab8970.tmp
- %WINDIR%\temp\tar8971.tmp
- %WINDIR%\temp\cab8992.tmp
- %WINDIR%\temp\tar8993.tmp
- '18#.#55.79.22':443
- '16#.#32.138.136':443
- '%APPDATA%\mslibs\vrgzio.exe'
- '%WINDIR%\syswow64\cmd.exe' sc stop WinDefend' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc delete WinDefend' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' powershell Set-MpPreference -DisableRealtimeMonitoring $true' (со скрытым окном)
- '<SYSTEM32>\svchost.exe' ' (со скрытым окном)
- '%APPDATA%\mslibs\vrgzio.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' sc stop WinDefend
- '%WINDIR%\syswow64\sc.exe' stop WinDefend
- '%WINDIR%\syswow64\cmd.exe' sc delete WinDefend
- '%WINDIR%\syswow64\cmd.exe' powershell Set-MpPreference -DisableRealtimeMonitoring $true
- '%WINDIR%\syswow64\sc.exe' delete WinDefend
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Set-MpPreference -DisableRealtimeMonitoring $true
- '<SYSTEM32>\svchost.exe'