Техническая информация
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'shell' = '<SYSTEM32>\iexplorer.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'shell' = '<Полный путь к вирусу>'
- <Имя диска съемного носителя>:\AUTORUN.INF
- <Имя диска съемного носителя>:\RECYCLER\S-1-5-21-1202660629-436374069-1417001333-1002\ninjac.exe
- '<SYSTEM32>\cmd.exe' /c Attrib +S +H E:\AUTORUN.INF && Attrib +S +H E:\RECYCLER
- '<SYSTEM32>\attrib.exe' +S +H E:\AUTORUN.INF
- '<SYSTEM32>\attrib.exe' +S +H E:\RECYCLER
- '<SYSTEM32>\iexplorer.exe'
- '<SYSTEM32>\cmd.exe' /c c:\1.cmd
- '<SYSTEM32>\net.exe' user HelpServiceGroup hacker /add
- '<SYSTEM32>\net1.exe' user HelpServiceGroup hacker /add
- <SYSTEM32>\iexplorer.exe
- %TEMP%\~DFDB99.tmp
- %TEMP%\~DF63E1.tmp
- C:\1.cmd
- <Имя диска съемного носителя>:\AUTORUN.INF
- %TEMP%\~DF63E1.tmp
- C:\1.cmd
- C:\1.cmd
- 'localhost':1040
- 'localhost':1039
- ClassName: '#32770' WindowName: ''
- ClassName: 'SysListView32' WindowName: 'Processes'
- ClassName: '#32770' WindowName: 'Windows Task Manager'
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''