Техническая информация
- [<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] '53$79$73$74$65$6d$33$32' = '%APPDATA%\Microsoft\Windows\Templates\explorer\WmiPrvSE.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'System32' = '"%HOMEPATH%\svchost.exe" ..'
- [<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'System32' = '"%HOMEPATH%\svchost.exe" ..'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'System32' = '%HOMEPATH%\svchost.exe'
- [<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'System32' = '%HOMEPATH%\svchost.exe'
- %APPDATA%\microsoft\windows\start menu\programs\startup\system32.exe
- <SYSTEM32>\tasks\system32
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram "%HOMEPATH%\svchost.exe" "svchost.exe" ENABLE
- %HOMEPATH%\svchost.exe
- <Полный путь к файлу>
- %HOMEPATH%\svchost.exe
- 'localhost':1597
- '%HOMEPATH%\svchost.exe'
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram "%HOMEPATH%\svchost.exe" "svchost.exe" ENABLE' (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /create /sc minute /mo 1 /tn System32 /tr "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\.exe"' (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /create /sc minute /mo 1 /tn System32 /tr "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\.exe"
- '<SYSTEM32>\taskeng.exe' {1B525E2C-0EB1-42F3-8947-94E1029C762B} S-1-5-21-1960123792-2022915161-3775307078-1001:jyzbgrpyo\user:Interactive:[1]