Техническая информация
- [<HKLM>\System\CurrentControlSet\Services\RunAsSystem22012021130620] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\RunAsSystem22012021130620] 'ImagePath' = '<Полный путь к файлу>'
- 'RunAsSystem22012021130620' <Полный путь к файлу>
- %WINDIR%\syswow64\config\systemprofile\appdata\roaming\microsoft\windows\ietldcache\index.dat
- %WINDIR%\syswow64\config\systemprofile\appdata\locallow\microsoft\cryptneturlcache\metadata\e49827401028f7a0f97b5576c77a26cb_7ce95d8dca26fe957e7bd7d76f353b08
- %WINDIR%\syswow64\config\systemprofile\appdata\locallow\microsoft\cryptneturlcache\content\e49827401028f7a0f97b5576c77a26cb_7ce95d8dca26fe957e7bd7d76f353b08
- %WINDIR%\syswow64\config\systemprofile\appdata\locallow\microsoft\cryptneturlcache\metadata\c47a70db09e68f3eab07de1788262101
- %WINDIR%\syswow64\config\systemprofile\appdata\locallow\microsoft\cryptneturlcache\content\c47a70db09e68f3eab07de1788262101
- %WINDIR%\syswow64\config\systemprofile\appdata\local\microsoft\windows\<INETFILES>\content.ie5\62axopq5\sqlremote[1].exe
- %ALLUSERSPROFILE%\sqlremote.exe
- 'do####ad.sql.com.my':443
- DNS ASK do####ad.sql.com.my