Техническая информация
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '9e7ac01d413449abe399352ddc4bde15' = '"%TEMP%\winlogon.exe" ..'
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] '9e7ac01d413449abe399352ddc4bde15' = '"%TEMP%\winlogon.exe" ..'
- %APPDATA%\microsoft\windows\start menu\programs\startup\9e7ac01d413449abe399352ddc4bde15.exe
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram "%TEMP%\winlogon.exe" "winlogon.exe" ENABLE
- %TEMP%\php.exe
- %TEMP%\csrss.exe
- %TEMP%\winlogon.exe
- DNS ASK dn###.ddns.net
- '%TEMP%\php.exe'
- '%TEMP%\csrss.exe'
- '%TEMP%\winlogon.exe'
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram "%TEMP%\winlogon.exe" "winlogon.exe" ENABLE' (со скрытым окном)