Техническая информация
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\temd9ab.tmp
- %TEMP%\teme791.tmp
- %TEMP%\enff3e1.tmp
- %ALLUSERSPROFILE%\microsoft\edgedata\gdid73.tmp\$dpx$.tmp\6c1a5d5134c34b41ba36c6081b5a0685.tmp
- %ALLUSERSPROFILE%\microsoft\edgedata\gdid73.tmp\pmsrvd.dll
- %TEMP%\lgt917.tmp
Удаляет следующие файлы
- %ALLUSERSPROFILE%\microsoft\edgedata\gdid73.tmp\tmp_c141.dat
- %TEMP%\lgt917.tmp.cmd
Перемещает следующие файлы
- %ALLUSERSPROFILE%\microsoft\edgedata\gdid73.tmp\$dpx$.tmp\6c1a5d5134c34b41ba36c6081b5a0685.tmp в %ALLUSERSPROFILE%\microsoft\edgedata\gdid73.tmp\tmp_c141.dat
- %TEMP%\lgt917.tmp в %TEMP%\lgt917.tmp.cmd
Самоудаляется.
Другое
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\microsoft\edgedata\wuauctl.exe' "%ALLUSERSPROFILE%\microsoft\edgedata\gdid73.tmp\pmsrvd.dll",DataSetupEvent %WINDIR%\TEMP\u1F52.tmp,80
- '%ALLUSERSPROFILE%\microsoft\edgedata\wuauctl.exe' "%ALLUSERSPROFILE%\microsoft\edgedata\gdid73.tmp\pmsrvd.dll",DataSetupEvent %WINDIR%\TEMP\u204E.tmp,80
Запускает на исполнение
- '%WINDIR%\syswow64\expand.exe' "%TEMP%\enfF3E1.tmp" "%ALLUSERSPROFILE%\Microsoft\EdgeData\GDID73.tmp\tmp_c141.dat" (со скрытым окном)
- '%WINDIR%\syswow64\net.exe' start AppMgmt (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c %TEMP%\lgt917.tmp.cmd (со скрытым окном)
- '%WINDIR%\syswow64\net1.exe' start AppMgmt
- '%WINDIR%\syswow64\chcp.com' 1252
- '%WINDIR%\syswow64\ping.exe' 127.0.0.1 -n 5
