Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon] 'Userinit' = '<SYSTEM32>\userinit.exe'
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\terminalserver\logging\terminalserver_uninstall.utf8.log
- C:\users\default user\ntuser.dat.log1
- C:\users\default user\ntuser.dat
- %HOMEPATH%\ntuser.log1
- %HOMEPATH%\ntuser
Присваивает атрибут 'скрытый' для следующих файлов
- C:\users\default user\ntuser.dat
Удаляет следующие файлы
- %WINDIR%\temp\dmiacf5.tmp
- %WINDIR%\temp\fwtsqmfile00.sqm
- %WINDIR%\temp\ts_548c.tmp
- %WINDIR%\temp\ts_5a4a.tmp
- %WINDIR%\temp\ts_5b54.tmp
- %WINDIR%\temp\ts_624b.tmp
- %WINDIR%\temp\ts_67ca.tmp
- %WINDIR%\temp\ts_6ab9.tmp
- %WINDIR%\temp\ts_6d1b.tmp
- %WINDIR%\temp\ts_947a.tmp
- %WINDIR%\temp\ts_996d.tmp
Изменяет следующие файлы
- C:\users\default\ntuser.dat.log1
- C:\users\default\ntuser.dat
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /delete /F /TN "tsvGuardian"' (со скрытым окном)
- '<SYSTEM32>\rundll32.exe' printui.dll,PrintUIEntry /dl /n "TerminalServer Printer" /q' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /delete /F /TN "tsvGuardian"
- '<SYSTEM32>\rundll32.exe' printui.dll,PrintUIEntry /dl /n "TerminalServer Printer" /q
- '<SYSTEM32>\spoolsv.exe'
Пытается завершить работу операционной системы Windows.
