Техническая информация
- [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'Outlook' = 'cmd /c "start "Outlook" "%ProgramFiles(x86)%\Machine\taskhost.exe"'
- <SYSTEM32>\tasks\outlook
- iexplore.exe
- taskhost.exe
- %TEMP%\svhost.exe
- %TEMP%\svhost.exe
- %TEMP%\svhost.exe
- из <Полный путь к файлу> в %ProgramFiles(x86)%\machine\taskhost.exe
- DNS ASK du##.#dconline.info
- DNS ASK MA####DU.djaoke.ga
- '%WINDIR%\syswow64\schtasks.exe' /create /tn "Outlook" /tr "'%ProgramFiles(x86)%\Machine\taskhost.exe' /startup" /sc MINUTE /f /rl highest (со скрытым окном)
- '%WINDIR%\syswow64\reg.exe' ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce" /v "Outlook" /d "cmd /c """start """Outlook""" """%ProgramFiles(x86)%\Machine\taskhost.exe"""" /f /reg:64 (со скрытым окном)
- '<SYSTEM32>\taskeng.exe' {9AF3F5AB-E247-4EB9-90EF-7E75821036EC} S-1-5-21-3691498038-2086406363-2140527554-1000:mepnlxb\user:Interactive:[1]
- '%ProgramFiles(x86)%\machine\taskhost.exe' /startup (со скрытым окном)