Техническая информация
- [<HKLM>\Software\Classes\ZTXGZKGXPVNWOUD\shell\open\command] '' = '%TEMP%\dA94Fmo3G0x71df.exe'
- <Имя диска съемного носителя>:\how to decrypt files.txt
- <Имя диска съемного носителя>:\delete.avi
- <Имя диска съемного носителя>:\000814251_video_01.avi
- <Имя диска съемного носителя>:\correct.avi
- zfgl.exe
- %TEMP%\klmn.exe
- %TEMP%\zpt.js
- %TEMP%\zfgl.exe
- %TEMP%\fasasd.dll
- %TEMP%\mshtml.dll
- %TEMP%\sh.vbs
- %TEMP%\shw.vbs
- %TEMP%\da94fmo3g0x71df.exe
- http://st####racy.host.sk/numcontrol49/index11.php
- DNS ASK st####racy.host.sk
- ClassName: 'EDIT' WindowName: ''
- '%WINDIR%\syswow64\wscript.exe' "%TEMP%\zpt.js"
- '%TEMP%\klmn.exe' -pfs5d2h9w4d8 -d%LOCALAPPDATA%\Temp
- '%TEMP%\zfgl.exe'
- '%WINDIR%\syswow64\wscript.exe' "%TEMP%\sh.vbs"
- '%WINDIR%\syswow64\wscript.exe' "%TEMP%\shw.vbs"
- '%TEMP%\klmn.exe' -pfs5d2h9w4d8 -d%LOCALAPPDATA%\Temp' (со скрытым окном)
- '%WINDIR%\syswow64\wbem\wmic.exe' shadowcopy delete /nointeractive' (со скрытым окном)
- '<SYSTEM32>\vssvc.exe'