Техническая информация
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'WindowsUpdate' = '%APPDATA%\hov\tng.exe %APPDATA%\hov\fac.okd'
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\RegSvcs.exe'
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\vbc.exe' /stext "%TEMP%\tmp1.tmp"
- '%APPDATA%\hov\tng.exe' fac.okd MarwaniMarwaniMarwaniMarwaniMarwani
- '%APPDATA%\hov\tng.exe' %APPDATA%\hov\NYPHW
- %WINDIR%\Microsoft.NET\Framework\v2.0.50727\RegSvcs.exe
- %WINDIR%\Microsoft.NET\Framework\v2.0.50727\vbc.exe
- %APPDATA%\hov\htj.bmp
- %APPDATA%\hov\xna.docx
- %APPDATA%\hov\cvf.dat
- %APPDATA%\hov\rbi.ico
- %APPDATA%\hov\epj.docx
- %APPDATA%\hov\NYPHW
- %APPDATA%\hov\spd
- %APPDATA%\hov\dej.dat
- %APPDATA%\hov\pdo.icm
- %APPDATA%\hov\tng.exe
- %APPDATA%\hov\vnb.pdf
- %APPDATA%\hov\ule.ppt
- %APPDATA%\hov\fac.okd
- %APPDATA%\hov\oha.xl
- %APPDATA%\hov\srm.ppt
- %APPDATA%\hov\khr.icm
- %APPDATA%\hov\rne.xl
- %APPDATA%\hov\ure.ico
- %APPDATA%\hov\tng.exe
- %APPDATA%\hov\NYPHW
- 'sm##.gmail.com':587
- 'se###pay.info':80
- 'wp#d':80
- 'ch####p.dyndns.org':80
- http://ch####p.dyndns.org/
- http://11#.#11.111.1/wpad.dat via wp#d
- http://se###pay.info/Products/iSpyKelogger/Server/
- DNS ASK sm##.gmail.com
- DNS ASK se###pay.info
- DNS ASK wp#d
- DNS ASK ch####p.dyndns.org
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'EDIT' WindowName: ''