Техническая информация
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'winupdate' = '%APPDATA%\dlp\dhl.exe'
- %WINDIR%\microsoft.net\framework\v4.0.30319\regasm.exe
- <Текущая директория>:{75004600-7300-4b00-3400-490061006700}
- <Текущая директория>:{64006400-7500-6f00-4600-2f0071004800}
- %PROGRAMDATA%\isolated storage\{64006400-7500-6f00-4600-2f0071004800}
- %APPDATA%\dlp\dhl.exe
- '19#.#13.72.103':5005
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Remove-ItemProperty -Path 'HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run' -Name 'winupdate';New-ItemProperty -Path 'HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run' -Name 'winupdate' ...
- '%WINDIR%\microsoft.net\framework\v4.0.30319\regasm.exe'