Техническая информация
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\] 'HKLM' = '%APPDATA%\Install\winlogon.exe'
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{136PK353-UF88-3GCY-ILP2-6AY4D4SNW644}] 'StubPath' = '"%APPDATA%\Install\winlogon.exe"'
- winlogon.exe
- %TEMP%\fqhng.exe
- %APPDATA%\install\winlogon.exe
- %TEMP%\mxwra.exe
- DNS ASK co####erfinansa.com
- '%TEMP%\fqhng.exe'
- '%APPDATA%\install\winlogon.exe'
- '%TEMP%\mxwra.exe'
- '%WINDIR%\syswow64\werfault.exe' -u -p 2312 -s 200' (со скрытым окном)