Техническая информация
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'recyclerr' = '%APPDATA%\recyclerr\recyclerr.exe'
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'recyclerr' = '%APPDATA%\recyclerr\recyclerr.exe'
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = 'userinit.exe%APPDATA%\recyclerr\recyclerr.exe,'
- <Имя диска съемного носителя>:\ntldr.exe
- <Имя диска съемного носителя>:\autorun.inf
- %TEMP%\server.exe
- %WINDIR%\syswow64\drivers\tmpp.exe
- %APPDATA%\recyclerr\recyclerr.exe
- %WINDIR%\syswow64\launchz.bat
- %WINDIR%\syswow64\launchz.vbs
- %WINDIR%\tmpp.log
- C:\ntldr.exe
- C:\autorun.inf
- D:\ntldr.exe
- D:\autorun.inf
- %WINDIR%\syswow64\net.vbs
- %WINDIR%\syswow64\launch.vbs
- %WINDIR%\syswow64\logg.txt
- %WINDIR%\syswow64\launch.bat
- C:\autorun.inf
- C:\ntldr.exe
- D:\autorun.inf
- D:\ntldr.exe
- <Имя диска съемного носителя>:\autorun.inf
- <Имя диска съемного носителя>:\ntldr.exe
- %WINDIR%\syswow64\launchz.vbs
- %WINDIR%\syswow64\launchz.bat
- DNS ASK mo####hacker2.info
- '%TEMP%\server.exe'
- '%WINDIR%\syswow64\cmd.exe' /c ""<SYSTEM32>\launchz.bat" "' (со скрытым окном)
- '%WINDIR%\syswow64\wscript.exe' "<SYSTEM32>\launchz.vbs"
- '%WINDIR%\syswow64\cmd.exe' /c ""<SYSTEM32>\launchz.bat" "
- '%WINDIR%\syswow64\wscript.exe' "<SYSTEM32>\net.vbs"