Техническая информация
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'wextract_cleanup0' = 'rundll32.exe <SYSTEM32>\advpack.dll,DelNodeRunDLL32 "%TEMP%\IXP000.TMP\"'
- '%APPDATA%\ppc.exe'
- '%APPDATA%\rp.exe'
- '%TEMP%\IXP000.TMP\Patch.exe'
- '%TEMP%\IXP000.TMP\Update.exe'
- '%APPDATA%\1.exe'
- '%APPDATA%\1.exe' (загружен из сети Интернет)
- '%APPDATA%\rp.exe' (загружен из сети Интернет)
- '%APPDATA%\ppc.exe' (загружен из сети Интернет)
- '<SYSTEM32>\cmd.exe' /c %TEMP%\Tempp.bat
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\rp[1].exe
- %APPDATA%\ppc.exe
- %APPDATA%\rp.exe
- %TEMP%\bassmod.dll
- %TEMP%\Tempp.bat
- %TEMP%\IXP000.TMP\Patch.exe
- %TEMP%\IXP000.TMP\Update.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\1[1].exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\ppc[1].exe
- %APPDATA%\1.exe
- %APPDATA%\rp.exe
- %APPDATA%\ppc.exe
- %APPDATA%\1.exe
- %TEMP%\IXP000.TMP\Update.exe
- 'ea###racker.us':80
- 'ho###ows.org':80
- 'localhost':1037
- ea###racker.us/payload/rp.exe
- ea###racker.us/payload/ppc.exe
- ho###ows.org/1.exe
- DNS ASK ea###racker.us
- DNS ASK ho###ows.org
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'