Техническая информация
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'newval' = '%WINDIR%\temp\svchost.exe'
- <SYSTEM32>\attrib.exe +h +s "%PROGRAM_FILES%"
- <SYSTEM32>\attrib.exe +h +s "C:\System Volume Information"
- <SYSTEM32>\attrib.exe +h +s "C:\Data"
- <SYSTEM32>\attrib.exe +h +s "C:\files"
- <SYSTEM32>\attrib.exe +h +s "<Имя диска съемного носителя>:\\svchost.exe"
- <SYSTEM32>\attrib.exe +h +s "%WINDIR%"
- <SYSTEM32>\attrib.exe +h +s "<Имя диска съемного носителя>:\files"
- <SYSTEM32>\attrib.exe +h +s "<Имя диска съемного носителя>:\Data"
- <SYSTEM32>\attrib.exe +h +s "C:\<Служебное имя>"
- <SYSTEM32>\xcopy.exe "svchost.exe" "%WINDIR%\temp\" /Y
- <SYSTEM32>\attrib.exe +h +s svchost.exe
- <SYSTEM32>\alg.exe
- <SYSTEM32>\xcopy.exe "alg.exe" "%WINDIR%\temp\" /Y
- <SYSTEM32>\reg.exe add HKLM\Software\Microsoft\Windows\Currentversion\run /v newval /t REG_SZ /d "%WINDIR%\temp\svchost.exe" /f
- <SYSTEM32>\attrib.exe +h +s "C:\\svchost.exe"
- <SYSTEM32>\attrib.exe +h +s "<Текущая директория>"
- <SYSTEM32>\attrib.exe +h +s %WINDIR%\temp\alg.exe
- <SYSTEM32>\wscript.exe "%HOMEPATH%\start.vbs"
- %HOMEPATH%\start.vbs