Техническая информация
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'WindowsUpdate' = '%PROGRAM_FILES%\Microsoft Services\symgr.exe -rundll32 /SYSTEM32 "<SYSTEM32>\taskmgr.exe" "%PROGRAM_FILES%\Microsoft\Windows"'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'explorer.exe, %PROGRAM_FILES%\Microsoft Services\symgr.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'explorer.exe, %PROGRAM_FILES%\Microsoft Services\symgr.exe'
- [<HKLM>\SYSTEM\ControlSet001\services\svchost] 'Start' = '00000002'
- скрытых файлов
- '%APPDATA%\Roaming\gen32.exe'
- '%APPDATA%\Roaming\wd.exe'
- '%PROGRAM_FILES%\Microsoft Services\symgr.exe'
- '<SYSTEM32>\conhost.exe' (загружен из сети Интернет)
- '%APPDATA%\Roaming\gen32.exe' (загружен из сети Интернет)
- '<SYSTEM32>\conhost.exe'
- %APPDATA%\Roaming\gen32.exe
- %APPDATA%\Roaming\wd.exe
- %PROGRAM_FILES%\Microsoft Services\symgr.exe
- <Полный путь к вирусу>
- из <Полный путь к вирусу> в %TEMP%\1418
- 'ga###omp.net':80
- ga###omp.net/version.html
- ga###omp.net/gen32.exe
- DNS ASK ga###omp.net