Техническая информация
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'e8c59d8' = '%APPDATA%\Roaming\e8c59d8.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] '*8c59d8' = '%APPDATA%\Roaming\e8c59d8.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'e8c59d' = 'C:\e8c59d8\e8c59d8.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] '*8c59d' = 'C:\e8c59d8\e8c59d8.exe'
- Компонент восстановления системы (SR)
- '<SYSTEM32>\bcdedit.exe' /set {default} bootstatuspolicy ignoreallfailures
- '<SYSTEM32>\vssvc.exe'
- '<SYSTEM32>\svchost.exe' -k swprv
- '<SYSTEM32>\bcdedit.exe' /set {default} recoveryenabled No
- '%WINDIR%\explorer.exe'
- '<SYSTEM32>\svchost.exe' netsvcs
- '<SYSTEM32>\vssadmin.exe' Delete Shadows /All /Quiet
- <SYSTEM32>\svchost.exe
- %WINDIR%\explorer.exe
- %APPDATA%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\e8c59d8.exe
- %APPDATA%\Roaming\e8c59d8.exe
- C:\e8c59d8\e8c59d8.exe
- 'ne####ontima.com':80
- DNS ASK ne####ontima.com
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'Indicator' WindowName: '(null)'