Техническая информация
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '{D9BCDA41-A605-AD44-B8E2-831792E4A00A}' = '%APPDATA%\Uzwen\exazqi.exe'
- %WINDIR%\syswow64\cmd.exe
- <SYSTEM32>\conhost.exe
- iexplore.exe
- winmail.exe
- Процесс iexplore.exe, модуль crypt32.dll
- Процесс iexplore.exe, модуль wininet.dll
- Процесс firefox.exe, модуль wininet.dll
- Процесс firefox.exe, модуль crypt32.dll
- %APPDATA%\uzwen\exazqi.exe
- %TEMP%\tmp35828e42.bat
- %TEMP%\ppcrlui_736_2
- %TEMP%\ppcrlui_1844_2
- %TEMP%\ppcrlui_736_2
- '71.#1.16.4':21861
- '10#.#94.20.252':18216
- '76.##.43.153':21230
- '85.##8.60.147':10352
- '15#.#9.211.133':18932
- '77.##4.86.180':22407
- '94.##1.15.78':17800
- '76.##3.235.168':29524
- ClassName: 'OutlookExpressHiddenWindow' WindowName: ''
- '%APPDATA%\uzwen\exazqi.exe'
- '%WINDIR%\syswow64\cmd.exe' /c "%TEMP%\tmp35828e42.bat"' (со скрытым окном)
- '%ProgramFiles%\windows mail\winmail.exe' -Embedding
- '%WINDIR%\syswow64\cmd.exe' /c "%TEMP%\tmp35828e42.bat"