Техническая информация
- [<HKLM>\System\CurrentControlSet\Services\yDwpSvc] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\yDwpSvc] 'ImagePath' = '<LS_APPDATA>\CzPolicySvc\yDwpSvc.exe'
- %TEMP%\nsq1291.tmp\nsiscrypt.dll
- %TEMP%\nsq1291.tmp\inetc.dll
- %TEMP%\nsq1291.tmp\nsjson.dll
- <LS_APPDATA>\czpolicysvc\ydwpsvc.exe
- %TEMP%\nsq1291.tmp\nsexec.dll
- %TEMP%\nsq1291.tmp\killer.dll
- %TEMP%\nsq1291.tmp\system.dll
- DNS ASK un###.juzizm.com
- DNS ASK do##.#230578.com
- '<LS_APPDATA>\czpolicysvc\ydwpsvc.exe'
- '%WINDIR%\syswow64\sc.exe' create binpath= "<LS_APPDATA>\\" DisplayName= " Service" start= auto' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' start' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' description ""' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' create yDwpSvc binpath= "<LS_APPDATA>\CzPolicySvc\yDwpSvc.exe" DisplayName= "yDwpSvc Module Service" start= auto' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' start yDwpSvc' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' description yDwpSvc ""' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' create binpath= "<LS_APPDATA>\\" DisplayName= " Service" start= auto
- '%WINDIR%\syswow64\sc.exe' start
- '%WINDIR%\syswow64\sc.exe' description ""
- '%WINDIR%\syswow64\sc.exe' create yDwpSvc binpath= "<LS_APPDATA>\CzPolicySvc\yDwpSvc.exe" DisplayName= "yDwpSvc Module Service" start= auto
- '%WINDIR%\syswow64\sc.exe' start yDwpSvc
- '%WINDIR%\syswow64\sc.exe' description yDwpSvc ""