Техническая информация
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Windows Explorer' = '"%LOCALAPPDATA%\Google\WindowsExplorer.exe"'
- <Имя диска съемного носителя>:\windows explorer.exe
- <Имя диска съемного носителя>:\ي╗┐curl.exe
- <Имя диска съемного носителя>:\libcurl.dll
- <Имя диска съемного носителя>:\curl-ca-bundle.crt
- <Имя диска съемного носителя>:\gsar.exe
- %TEMP%\rarsfx0\gsar.exe
- %TEMP%\rarsfx0\libcurl.dll
- %TEMP%\rarsfx0\windows explorer.exe
- %TEMP%\rarsfx0\ي╗┐curl.exe
- %TEMP%\rarsfx0\curl-ca-bundle.crt
- %TEMP%\rarsfx0\explorer.bat
- %LOCALAPPDATA%\google\windowsexplorer.exe
- %LOCALAPPDATA%\google\ي╗┐curl.exe
- %LOCALAPPDATA%\google\libcurl.dll
- %LOCALAPPDATA%\google\curl-ca-bundle.crt
- %LOCALAPPDATA%\google\gsar.exe
- %TEMP%\2f5f.tmp\gsar.vbs
- %TEMP%\rarsfx0\gsar.exe
- %TEMP%\rarsfx0\libcurl.dll
- %TEMP%\rarsfx0\ي╗┐curl.exe
- %TEMP%\rarsfx0\curl-ca-bundle.crt
- %TEMP%\rarsfx0\explorer.bat
- DNS ASK google.com
- DNS ASK ya##o.com
- DNS ASK fa###ook.com
- ClassName: 'EDIT' WindowName: ''
- '%TEMP%\rarsfx0\windows explorer.exe'
- '%TEMP%\rarsfx0\gsar.exe'
- '%WINDIR%\syswow64\wscript.exe' %TEMP%\2F5F.tmp\gsar.vbs
- '%WINDIR%\syswow64\wscript.exe' %TEMP%\2F5F.tmp\gsar.vbs' (со скрытым окном)