Техническая информация
- %APPDATA%\microsoft\windows\start menu\programs\startup\desktop.ini.lnk
- %APPDATA%\system32\mmc.exe
- %APPDATA%\system32\odbcad32.exe
- %APPDATA%\system32\psrss.exe
- %APPDATA%\system32\starts.bat
- %APPDATA%\system32\ssm.vbs
- %APPDATA%\system32\smsgbox.vbs
- %APPDATA%\system32\ps.ps1
- %APPDATA%\system32\hps.vbs
- %APPDATA%\system32\startps.bat
- %APPDATA%\system32\pcmd.vbs
- %APPDATA%\system32\config.json
- %APPDATA%\system32\svchost.exe
- %APPDATA%\system32\hostprocesx86.exe
- ClassName: 'EDIT' WindowName: ''
- '%APPDATA%\system32\psrss.exe'
- '%WINDIR%\syswow64\wscript.exe' "%APPDATA%\system32\ssm.vbs"
- '%WINDIR%\syswow64\wscript.exe' "%APPDATA%\system32\pcmd.vbs"
- '%WINDIR%\syswow64\wscript.exe' "%APPDATA%\system32\smsgbox.vbs"
- '%WINDIR%\syswow64\wscript.exe' "%APPDATA%\system32\hps.vbs" -ExecutionPolicy ByPass -File "%APPDATA%\system32\ps.ps1"
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy ByPass -File %APPDATA%\system32\ps.ps1
- '%APPDATA%\system32\odbcad32.exe' -p123
- '%APPDATA%\system32\mmc.exe' -p123
- '%APPDATA%\system32\hostprocesx86.exe'
- '%WINDIR%\syswow64\cmd.exe' /c startps.bat' (со скрытым окном)
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' -ExecutionPolicy ByPass -File %APPDATA%\system32\ps.ps1' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c starts.bat' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c startps.bat
- '%WINDIR%\syswow64\cmd.exe' /c starts.bat