Техническая информация
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'shell' = 'explorer.exe,"%APPDATA%<SYSTEM32>Search.exe .exe"'
- <SYSTEM32>\tasks\updatedmr
- скрытых файлов
- 'ts#####.atspace.co.uk':80
- 'sa####.ddnsking.com':8765
- http://ts#####.atspace.co.uk/Adware/Adware_list_url.txt
- DNS ASK ts#####.atspace.co.uk
- DNS ASK sa####.ddnsking.com
- '%WINDIR%\syswow64\cmd.exe' /C attrib +H +S +R "%APPDATA%\<SYSTEM32>" & attrib +H +S +R "%APPDATA%\<SYSTEM32>\*" /S /D' (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /create /f /sc MINUTE /mo 5 /RL LIMITED /tn UpdateDMR /tr "'%APPDATA%<SYSTEM32>Search.exe .exe'"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C attrib +H +S +R "%APPDATA%\<SYSTEM32>" & attrib +H +S +R "%APPDATA%\<SYSTEM32>\*" /S /D
- '%WINDIR%\syswow64\schtasks.exe' /create /f /sc MINUTE /mo 5 /RL LIMITED /tn UpdateDMR /tr "'%APPDATA%<SYSTEM32>Search.exe .exe'"
- '%WINDIR%\syswow64\attrib.exe' +H +S +R "%APPDATA%\<SYSTEM32>"
- '%WINDIR%\syswow64\attrib.exe' +H +S +R "%APPDATA%\<SYSTEM32>\*" /S /D