Техническая информация
- <SYSTEM32>\tasks\r-8-3-60-1172885789-1288980944-1059895101-3584\{vt1vi4x7-vxga-xwuf-r4oa-dxmu58ul1hhp}
- из <Полный путь к файлу> в %APPDATA%\certificates\sfxsv32.exe
- '%WINDIR%\syswow64\cmd.exe' /c icacls "%APPDATA%\Certificates" /inheritance:e /deny "*S-1-1-0:(R,REA,RA,RD)" & icacls "%APPDATA%\Certificates" /inheritance:e /deny "*S-1-5-7:(R,REA,RA,RD)" & icacls "%APPDATA%\Certificates...' (со скрытым окном)
- '%APPDATA%\certificates\sfxsv32.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c icacls "%APPDATA%\Certificates" /inheritance:e /deny "*S-1-1-0:(R,REA,RA,RD)" & icacls "%APPDATA%\Certificates" /inheritance:e /deny "*S-1-5-7:(R,REA,RA,RD)" & icacls "%APPDATA%\Certificates...
- '%WINDIR%\syswow64\icacls.exe' "%APPDATA%\Certificates" /inheritance:e /deny "*S-1-1-0:(R,REA,RA,RD)"
- '<SYSTEM32>\taskeng.exe' {7755D594-BDA4-4740-887B-7B76C1B39B41} S-1-5-21-1960123792-2022915161-3775307078-1001:ufpvhaluxr\user:Interactive:[1]
- '%WINDIR%\syswow64\icacls.exe' "%APPDATA%\Certificates" /inheritance:e /deny "*S-1-5-7:(R,REA,RA,RD)"
- '%WINDIR%\syswow64\icacls.exe' "%APPDATA%\Certificates" /inheritance:e /deny "user:(R,REA,RA,RD)"