Техническая информация
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'tasmv\' = '%APPDATA%\tasmv\tasclom.exe'
- %WINDIR%\microsoft.net\framework\v2.0.50727\vbc.exe
- %TEMP%\rarsfx0\bco.exe
- %TEMP%\rarsfx0\wob.exe
- %TEMP%\rarsfx1\xoms.exe
- %APPDATA%\tasmv\tasclom.exe
- %APPDATA%\microsoft\windows\pw63qvuwr\pw63qvuwr.nfo
- %APPDATA%\microsoft\windows\pw63qvuwr\pw63qvuwr.svr
- %APPDATA%\microsoft\windows\pw63qvuwr\pw63qvuwr.nfo
- %APPDATA%\microsoft\windows\pw63qvuwr\pw63qvuwr.svr
- %APPDATA%\microsoft\windows\pw63qvuwr\pw63qvuwr.svr
- DNS ASK bl##.ooguy.com
- ClassName: 'EDIT' WindowName: ''
- '%TEMP%\rarsfx0\bco.exe'
- '%TEMP%\rarsfx0\wob.exe' -p7j0CBs520rQdlBPBzRw4 -d<LS_APPDATA>\Temp
- '%TEMP%\rarsfx1\xoms.exe'
- '%WINDIR%\microsoft.net\framework\v2.0.50727\vbc.exe' ' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /cwob.exe -p7j0CBs520rQdlBPBzRw4 -d%temp%
- '%WINDIR%\microsoft.net\framework\v2.0.50727\vbc.exe'