Техническая информация
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'ESTsoftAutoUpdate' = 'regsvr32.exe /s "%ALLUSERSPROFILE%\Software\ESTsoft\Common\ESTCommon.dll"'
- %ALLUSERSPROFILE%\temp\9bd2.tmp.bat
- %ALLUSERSPROFILE%\software\estsoft\common\estcommon.dll
- %ALLUSERSPROFILE%\temp\a017.tmp.bat
- %ALLUSERSPROFILE%\software\estsoft\common\flags\keyboardmonitor
- %ALLUSERSPROFILE%\software\estsoft\common\flags\screenmonitor
- %ALLUSERSPROFILE%\software\estsoft\common\flags\foldermonitor
- %ALLUSERSPROFILE%\software\estsoft\common\flags\usbmonitor
- %ALLUSERSPROFILE%\software\estsoft\common\list.fdb
- %ALLUSERSPROFILE%\temp\b75c.tmp
- %ALLUSERSPROFILE%\temp\b75c.tmp.zip
- %ALLUSERSPROFILE%\temp\b75c.tmp.enc
- %ALLUSERSPROFILE%\temp\b75c.tmp.tmp
- %ALLUSERSPROFILE%\temp\b75c.tmp.zip
- %ALLUSERSPROFILE%\temp\b75c.tmp.enc
- 'te###.#etterpaper.press':80
- http://te###.#etterpaper.press//?m=##################################################
- http://te###.#etterpaper.press//?m=#############
- http://te###.#etterpaper.press//?m=##################
- DNS ASK te###.#etterpaper.press
- '<SYSTEM32>\regsvr32.exe' /s "%ALLUSERSPROFILE%\Software\ESTsoft\Common\ESTCommon.dll"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c %ALLUSERSPROFILE%\temp\9BD2.tmp.bat
- '<SYSTEM32>\cmd.exe' /c %ALLUSERSPROFILE%\temp\A017.tmp.bat
- '<SYSTEM32>\regsvr32.exe' /s "%ALLUSERSPROFILE%\Software\ESTsoft\Common\ESTCommon.dll"