Техническая информация
- '%WINDIR%\syswow64\taskkill.exe' /F /PID "2256"
- <LS_APPDATA>\google\chrome\user data\default\login data
- <LS_APPDATA>\google\chrome\user data\default\web data
- %TEMP%\tempdatabase2019-07-20t18_09_16.4728829-07_001414
- %TEMP%\tempdatabase2019-07-20t18_09_16.6291329-07_001414
- %TEMP%\tempdatabase2019-07-20t18_09_12.0353829-07_001111
- %TEMP%\tempdatabase2019-07-20t18_09_16.7853829-07_001111
- %TEMP%\tempdatabase2019-07-20t18_09_16.7853829-07_001313
- %TEMP%\tempdatabase2019-07-20t18_09_16.8791329-07_001313
- %TEMP%\tempdatabase2019-07-20t18_09_16.8947579-07_001313
- %TEMP%\tempdatabase2019-07-20t18_09_16.9885079-07_001111
- %TEMP%\tempdatabase2019-07-20t18_09_17.0666329-07_001111
- %TEMP%\tempdatabase2019-07-20t18_09_24.7072579-07_001010
- %TEMP%\tempdatabase2019-07-20t18_09_24.7228829-07_001010
- %TEMP%\remove.bat
- http://ip##pi.com/json/
- http://45.##.212.225:2012/websocket
- DNS ASK ip##pi.com
- ClassName: '' WindowName: ''
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\Remove.bat" "2256" "<Полный путь к файлу>""' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\Remove.bat" "2256" "<Полный путь к файлу>""
- '%WINDIR%\syswow64\choice.exe' /C Y /N /D Y /T 3