Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\tembd46.tmp
- %TEMP%\temcaaf.tmp
- %TEMP%\enfd70f.tmp
- %ALLUSERSPROFILE%\microsoft\edgedata\gdi93b0.tmp\$dpx$.tmp\bb9ddcafb89f8349ad235e874a9ddd39.tmp
- %ALLUSERSPROFILE%\microsoft\edgedata\gdi93b0.tmp\pmsrvd.dll
- %TEMP%\lgtdd08.tmp
Удаляет следующие файлы
- %ALLUSERSPROFILE%\microsoft\edgedata\gdi93b0.tmp\tmp_c141.dat
- %TEMP%\lgtdd08.tmp.cmd
Перемещает следующие файлы
- %ALLUSERSPROFILE%\microsoft\edgedata\gdi93b0.tmp\$dpx$.tmp\bb9ddcafb89f8349ad235e874a9ddd39.tmp в %ALLUSERSPROFILE%\microsoft\edgedata\gdi93b0.tmp\tmp_c141.dat
- %TEMP%\lgtdd08.tmp в %TEMP%\lgtdd08.tmp.cmd
Самоудаляется.
Другое
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\microsoft\edgedata\wuauctl.exe' "%ALLUSERSPROFILE%\microsoft\edgedata\gdi93b0.tmp\pmsrvd.dll",LoadPadPanel %WINDIR%\TEMP\uEE07.tmp,80
- '%ALLUSERSPROFILE%\microsoft\edgedata\wuauctl.exe' "%ALLUSERSPROFILE%\microsoft\edgedata\gdi93b0.tmp\pmsrvd.dll",LoadPadPanel %WINDIR%\TEMP\uF171.tmp,80
- '%WINDIR%\syswow64\expand.exe' "%TEMP%\enfD70F.tmp" "%ALLUSERSPROFILE%\Microsoft\EdgeData\GDI93B0.tmp\tmp_c141.dat"' (со скрытым окном)
- '%WINDIR%\syswow64\net.exe' start AppMgmt' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c %TEMP%\lgtDD08.tmp.cmd' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\expand.exe' "%TEMP%\enfD70F.tmp" "%ALLUSERSPROFILE%\Microsoft\EdgeData\GDI93B0.tmp\tmp_c141.dat"
- '%WINDIR%\syswow64\net.exe' start AppMgmt
- '%WINDIR%\syswow64\cmd.exe' /c %TEMP%\lgtDD08.tmp.cmd
- '%WINDIR%\syswow64\net1.exe' start AppMgmt
- '%WINDIR%\syswow64\chcp.com' 1252
- '%WINDIR%\syswow64\ping.exe' 127.0.0.1 -n 5
