Техническая информация
- [<HKLM>\SYSTEM\ControlSet001\Services\winseclogon] 'Start' = '00000002'
- [<HKLM>\SYSTEM\CurrentControlSet\Services\winseclogon] 'ImagePath' = '<SYSTEM32>\svchost.exe -k winseclogon'
- [<HKLM>\SYSTEM\CurrentControlSet\Services\winseclogon\Parameters] 'ServiceDll' = '<SYSTEM32>\<Имя файла>.dll'
- [<HKLM>\System\CurrentControlSet\Services\winseclogon] 'Start' = '00000002'
- 'winseclogon' <SYSTEM32>\svchost.exe -k winseclogon
- %WINDIR%\syswow64\<Имя файла>.dll
- %WINDIR%\temp\_tmp9.bat
- %WINDIR%\temp\_tmp56.bat
- %WINDIR%\temp\_tmp25.bat
- %WINDIR%\syswow64\<Имя файла>.dll в %WINDIR%\syswow64\<Имя файла>__tmp.dll
- %WINDIR%\syswow64\<Имя файла>.dll
- DNS ASK te##.#aoye123.net
- '60.##1.254.253':8899
- '%WINDIR%\syswow64\cmd.exe' /c %WINDIR%\TEMP\_tmp9.bat' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c %WINDIR%\TEMP\_tmp56.bat' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c %WINDIR%\TEMP\_tmp25.bat' (со скрытым окном)
- '%WINDIR%\syswow64\svchost.exe' -k winseclogon
- '%WINDIR%\syswow64\cmd.exe' /c %WINDIR%\TEMP\_tmp9.bat
- '%WINDIR%\syswow64\cmd.exe' /c %WINDIR%\TEMP\_tmp56.bat
- '%WINDIR%\syswow64\sc.exe' stop UI0Detect
- '%WINDIR%\syswow64\cmd.exe' /c %WINDIR%\TEMP\_tmp25.bat
- '%WINDIR%\syswow64\sc.exe' config UI0Detect start= disabled