Техническая информация
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'wextract_cleanup0' = 'rundll32.exe <SYSTEM32>\advpack.dll,DelNodeRunDLL32 "%TEMP%\IXP000.TMP\"'
- '%TEMP%\IXP000.TMP\3.exe'
- <SYSTEM32>\svchost.exe
- Библиотека-обработчик для всех процессов: <SYSTEM32>\Yghzxceh.dll
- NtQueryDirectoryFile, драйвер-обработчик: Yghzxceh.sys
- NtQuerySystemInformation, драйвер-обработчик: Yghzxceh.sys
- NtQueryValueKey, драйвер-обработчик: Yghzxceh.sys
- NtOpenKey, драйвер-обработчик: Yghzxceh.sys
- NtDeviceIoControlFile, драйвер-обработчик: Yghzxceh.sys
- NtEnumerateKey, драйвер-обработчик: Yghzxceh.sys
- NtEnumerateValueKey, драйвер-обработчик: Yghzxceh.sys
- %PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE
- <SYSTEM32>\Yghzxceh.dll
- <SYSTEM32>\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\6YQRA29M\index[1].asp
- <DRIVERS>\Yghzxceh.sys
- %TEMP%\IXP000.TMP\3.exe
- <SYSTEM32>\Yghzxceh.d1l
- <SYSTEM32>\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\6YQRA29M\index[1].asp
- %TEMP%\IXP000.TMP\3.exe
- 'da####ul9.3322.org':80
- da####ul9.3322.org/index.asp?50##########
- DNS ASK da####ul9.3322.org