Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'ToPicks Starter' = '%ProgramFiles(x86)%\ToPicks\Bin\Idhost.exe'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\wzse0.tmp\idmup.dll
- %TEMP%\wzse0.tmp\topicks.reg
- %TEMP%\wzse0.tmp\tpreg.dll
- %TEMP%\wzse0.tmp\fileversions.ini
- %TEMP%\wzse0.tmp\htcheck2.dll
- %TEMP%\wzse0.tmp\idhost.exe
- %TEMP%\wzse0.tmp\idinst.exe
- %ProgramFiles(x86)%\topicks\bin\htcheck2.dll
- %ProgramFiles(x86)%\topicks\bin\tpreg.dll
- %ProgramFiles(x86)%\topicks\bin\idmup.dll
- %ProgramFiles(x86)%\topicks\bin\topicks.reg
- %ProgramFiles(x86)%\topicks\bin\idhost.exe
- %ProgramFiles(x86)%\topicks\bin\fileversions.ini
Удаляет следующие файлы
- %TEMP%\wzse0.tmp\htcheck2.dll
- %TEMP%\wzse0.tmp\idhost.exe
- %TEMP%\wzse0.tmp\idinst.exe
- %TEMP%\wzse0.tmp\idmup.dll
- %TEMP%\wzse0.tmp\topicks.reg
- %TEMP%\wzse0.tmp\tpreg.dll
Другое
Ищет следующие окна
- ClassName: 'RegEdit_RegEdit' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\wzse0.tmp\idinst.exe'
- '%ProgramFiles(x86)%\topicks\bin\idhost.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\regsvr32.exe' /s HtCheck2.dll (со скрытым окном)
- '%WINDIR%\syswow64\regsvr32.exe' /s TPReg.dll (со скрытым окном)
- '%WINDIR%\syswow64\regsvr32.exe' /s IdmUp.dll (со скрытым окном)
- '%WINDIR%\syswow64\regedit.exe' /s Topicks.reg (со скрытым окном)
- '%TEMP%\wzse0.tmp\idinst.exe' (со скрытым окном)
- '%ProgramFiles(x86)%\topicks\bin\idhost.exe' (со скрытым окном)
