Техническая информация
- скрытых файлов
- '%TEMP%\Windows.exe'
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\vbc.exe' /stext "%TEMP%\holderwb.txt"
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\vbc.exe' /stext "%TEMP%\holdermail.txt"
- '<SYSTEM32>\schtasks.exe' /Create /TN "Update\Windows" /XML "%TEMP%\1893582584.xml"
- %WINDIR%\Microsoft.NET\Framework\v2.0.50727\vbc.exe
- C:\ProgramData\Microsoft\Vault\AC658CB4-9126-49BD-B877-31EEDAB3F204\2F1A6504-0641-44CF-8BB5-3612D865F2E5.vsch
- C:\ProgramData\Microsoft\Vault\AC658CB4-9126-49BD-B877-31EEDAB3F204\3CCD5499-87A8-4B10-A215-608888DD3B55.vsch
- C:\ProgramData\Microsoft\Vault\AC658CB4-9126-49BD-B877-31EEDAB3F204\Policy.vpol
- \Device\Mup\BVNSEUHJ*\MAILSLOT\NET\NETLOGON
- %TEMP%\holderwb.txt
- <LS_APPDATA>\Microsoft\Vault\4BF4C442-9B8A-41A0-B380-DD4A704DDB28\Policy.vpol
- %APPDATA%\Roaming\Microsoft\Protect\S-1-5-21-2832440558-3064306045-1455513625-1000\7ff9922e-fbc2-423d-acb8-a9debba92b4f
- <SYSTEM32>\Microsoft\Protect\S-1-5-18\User\c32f0112-0e9a-45c0-b61a-7c02fc5f7046
- %TEMP%\Windows.exe:ZONE.identifier
- %TEMP%\Windows.exe
- <Полный путь к вирусу>:ZONE.identifier
- %TEMP%\1893582584.xml
- %APPDATA%\Roaming\pidloc.txt
- %APPDATA%\Roaming\pid.txt
- <SYSTEM32>\Tasks\Update\Windows
- %TEMP%\holderwb.txt
- %TEMP%\1893582584.xml
- DNS ASK sm##.##izzyloveblogs.pw
- DNS ASK dn#.##ftncsi.com
- DNS ASK wh#####yipaddress.com
- ClassName: 'Shell_TrayWnd' WindowName: ''