Техническая информация
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] '22tODR4m' = '%ProgramFiles%\22tODR4m\JJnjob.exe'
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'systeo' = '%WINDIR%\SysWOW64\svchost.exe'
- %WINDIR%\syswow64\svchost.exe
- %ProgramFiles%\22todr4m\vlmshlp.dll
- %ProgramFiles%\22todr4m\jjnjob.exe
- http://r.###ne.qq.com/cgi-bin/user/cgi_personal_card?ui##################
- DNS ASK r.###ne.qq.com
- ClassName: 'NirSoft_VolumouseMsg100' WindowName: ''
- '%ProgramFiles%\22todr4m\jjnjob.exe'
- '%WINDIR%\syswow64\cmd.exe' /c del "<Полный путь к файлу>"' (со скрытым окном)
- '%WINDIR%\syswow64\svchost.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c del "<Полный путь к файлу>"
- '%WINDIR%\syswow64\svchost.exe'