Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %ProgramFiles(x86)%\microsoft office\office14\1033\services.exe
- %HOMEPATH%\desktop\jpposzii.log
- %HOMEPATH%\desktop\cgctletx.log
- %HOMEPATH%\desktop\lavezntb.log
- %HOMEPATH%\desktop\uddtigji.log
- %HOMEPATH%\desktop\xekpmnzf.log
- %HOMEPATH%\desktop\hzqjeded.log
- nul
- %TEMP%\x8kccpepmb.bat
- %HOMEPATH%\desktop\alhyigtb.log
- %TEMP%\4qwlurmn3m
- %ProgramFiles(x86)%\msbuild\microsoft\windows workflow foundation\v3.0\firefox.exe
- <Текущая директория>\69ddcba757bf72
- <Текущая директория>\smss.exe
- C:\users\default user\f6c8b127f1e289
- C:\users\default user\<Имя файла>.exe
- C:\msocache\all users\{90140000-0043-0409-1000-0000000ff1ce}-c\0fc223bdacedc3
- C:\msocache\all users\{90140000-0043-0409-1000-0000000ff1ce}-c\firefox.exe
- %ProgramFiles(x86)%\microsoft office\office14\1033\c5b4cb5e9653cc
- %ProgramFiles(x86)%\msbuild\microsoft\windows workflow foundation\v3.0\0fc223bdacedc3
- %HOMEPATH%\desktop\huusobil.log
Удаляет следующие файлы
- %TEMP%\4qwlurmn3m
Сетевая активность
Подключается к
- '45.##3.191.204':80
Другое
Создает и запускает на исполнение
- '%ProgramFiles(x86)%\microsoft office\office14\1033\services.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C "%TEMP%\x8KcCpePmB.bat" (со скрытым окном)
- '<SYSTEM32>\chcp.com' 65001
- '<SYSTEM32>\ping.exe' -n 10 localhost
- '<SYSTEM32>\cmd.exe' /C "%TEMP%\TAB96jcSpT.bat" (со скрытым окном)
- '<SYSTEM32>\w32tm.exe' /stripchart /computer:localhost /period:5 /dataonly /samples:2
