Техническая информация
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '<SYSTEM32>\ITMRVI.EXE'
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'ITMRVI' = '<SYSTEM32>\ITMRVI.EXE'
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Command Processor] 'AutoRun' = '%WINDIR%\system\RRVBN.EXE'
- <Имя диска съемного носителя>:\irniy.exe
- <Имя диска съемного носителя>:\autorun.inf
- <Имя диска съемного носителя>:\olmops.exe
- Диспетчера задач (Taskmgr)
- Редактора реестра (RegEdit)
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoFolderOptions' = '00000001'
- %WINDIR%\syswow64\itmrvi.exe
- %WINDIR%\system\rrvbn.exe
- %WINDIR%\syswow64\itmrvi.exe
- %WINDIR%\system\rrvbn.exe
- <Имя диска съемного носителя>:\autorun.inf
- <Имя диска съемного носителя>:\olmops.exe
- ClassName: 'Shell_traywnd' WindowName: ''
- ClassName: 'button' WindowName: ''
- '%WINDIR%\syswow64\rundll32.exe' url,FileProtocolHandler