Техническая информация
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'dmrclayx' = '%APPDATA%\api-an32\auth9_29.exe'
- %WINDIR%\explorer.exe
- iexplore.exe
- Процесс firefox.exe, модуль nss3.dll
- Процесс iexplore.exe, модуль advapi32.dll
- Процесс iexplore.exe, модуль urlmon.dll
- Процесс iexplore.exe, модуль wininet.dll
- %APPDATA%\api-an32\auth9_29.exe
- %TEMP%\6a3c\23.bat
- ClassName: 'ProgMan' WindowName: ''
- '%APPDATA%\api-an32\auth9_29.exe' "<Полный путь к файлу>"
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\6A3C\23.bat" "%APPDATA%\api-an32\auth9_29.exe" "<Полный путь к файлу>""' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\6A3C\23.bat" "%APPDATA%\api-an32\auth9_29.exe" "<Полный путь к файлу>""
- '%WINDIR%\syswow64\cmd.exe' /C ""%APPDATA%\api-an32\auth9_29.exe" "<Полный путь к файлу>""
- '<SYSTEM32>\svchost.exe'