Техническая информация
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'svchost' = '"<Полный путь к файлу>"'
- <SYSTEM32>\tasks\svchost
- Системный антивирус (Защитник Windows)
- Компонент восстановления системы (SR)
- DNS ASK drive.google.com
- '<SYSTEM32>\cmd.exe' /c vssadmin delete shadows /all /quiet' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c reagentc /disable' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c bcdedit /set {default} recoveryenabled No' (со скрытым окном)
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' Get-MpPreference -verbose
- '<SYSTEM32>\cmd.exe' /c vssadmin delete shadows /all /quiet
- '<SYSTEM32>\vssvc.exe'
- '<SYSTEM32>\cmd.exe' /c reagentc /disable
- '<SYSTEM32>\cmd.exe' /c bcdedit /set {default} recoveryenabled No
- '<SYSTEM32>\svchost.exe' -k swprv
- '<SYSTEM32>\schtasks.exe' /create /tn "svchost" /sc ONLOGON /tr "<Полный путь к файлу>" /rl HIGHEST /f
- '<SYSTEM32>\reagentc.exe' /disable