Техническая информация
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'csrss' = '<LS_APPDATA>\taskhosts.exe'
- %WINDIR%\syswow64\notepad.exe
- taskhosts.exe
- <Текущая директория>\xeonhack.exe
- %TEMP%\aut1724.tmp
- %TEMP%\231865
- %TEMP%\aut1734.tmp
- %TEMP%\incl1
- %TEMP%\aut1745.tmp
- %TEMP%\g34g34cc
- %TEMP%\472484
- <LS_APPDATA>\taskhosts.exe
- %TEMP%\aut72a1.tmp
- %TEMP%\191509
- %TEMP%\aut72b2.tmp
- %TEMP%\aut72d2.tmp
- %TEMP%\792151
- %TEMP%\aut1724.tmp
- %TEMP%\aut1734.tmp
- %TEMP%\aut1745.tmp
- %TEMP%\aut72a1.tmp
- %TEMP%\aut72b2.tmp
- %TEMP%\aut72d2.tmp
- %TEMP%\incl2
- %TEMP%\g34g34cc в %TEMP%\incl2
- %TEMP%\g34g34cc
- %TEMP%\incl2
- 'gi####.duckdns.org':999
- DNS ASK gi####.duckdns.org
- '<Текущая директория>\xeonhack.exe'
- '<Текущая директория>\xeonhack.exe' /AutoIt3ExecuteScript "%TEMP%\472484" "<Текущая директория>\XeonHack.exe"
- '<LS_APPDATA>\taskhosts.exe'
- '<LS_APPDATA>\taskhosts.exe' /AutoIt3ExecuteScript "%TEMP%\792151" "<LS_APPDATA>\taskhosts.exe"
- '<LS_APPDATA>\taskhosts.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\notepad.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\notepad.exe'