Техническая информация
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'Registry Document' = '%HOMEPATH%\Registry Document\taskmgr.exe'
- %APPDATA%\microsoft\windows\start menu\programs\startup\java platform se auto updater.lnk
- %WINDIR%\syswow64\notepad.exe
- taskmgr.exe
- %TEMP%\tmp.rar30709\document.bat
- %TEMP%\tmp.rar30709\register.exe
- %TEMP%\tmp.rar30709\document.vbs
- %TEMP%\tmp.rar30709\registry.exe
- %HOMEPATH%\registry document\taskmgr.exe
- %HOMEPATH%\registry document\kocke.trxh
- %HOMEPATH%\onv59d.txt
- %TEMP%\tmp.rar30709\document.bat
- %TEMP%\tmp.rar30709\register.exe
- %TEMP%\tmp.rar30709\document.vbs
- %HOMEPATH%\onv59d.txt
- DNS ASK bi#####3vpn.no-ip.biz
- ClassName: 'EDIT' WindowName: ''
- '%WINDIR%\syswow64\wscript.exe' "%TEMP%\TMP.RAR30709\Document.vbs"
- '%TEMP%\tmp.rar30709\register.exe' -pbm9vW -d%TEMP%\TMP.RAR30709
- '%TEMP%\tmp.rar30709\registry.exe'
- '%HOMEPATH%\registry document\taskmgr.exe'
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\TMP.RAR30709\Document.bat" "' (со скрытым окном)
- '%WINDIR%\syswow64\notepad.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\TMP.RAR30709\Document.bat" "
- '%WINDIR%\syswow64\notepad.exe'