Техническая информация
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'decryptor' = '%APPDATA%\Settings\jiWTHz.exe'
- %APPDATA%\microsoft\windows\start menu\programs\startup\x.vbs
- %WINDIR%\syswow64\cmd.exe
- %APPDATA%\settings\jiwthz.exe
- %HOMEPATH%\desktop\unlock data.url
- ClassName: 'Progman' WindowName: ''
- '%APPDATA%\settings\jiwthz.exe' 2176
- '%WINDIR%\syswow64\cmd.exe' /c echo on error resume next:CreateObject("WScript.Shell").Run "<Полный путь к файлу>",1: >"%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c echo on error resume next:CreateObject("WScript.Shell").Run "<Полный путь к файлу>",1: >"%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs"