Technical Information
- <SYSTEM32>\tasks\wmiprvse
- <SYSTEM32>\tasks\wudfhost
- <SYSTEM32>\tasks\smss
- %ALLUSERSPROFILE%\documents\wmiprvse.exe
- %ALLUSERSPROFILE%\documents\24dbde2999530ef5fd907494bc374d663924116c
- <SYSTEM32>\w32tm\wudfhost.exe
- <SYSTEM32>\w32tm\480b7989c529f6ff17bde430d81d4770fb5337f5
- %HOMEPATH%\nethood\smss.exe
- %HOMEPATH%\nethood\69ddcba757bf72f7d36c464c71f42baab150b2b9
- 'cm####2.tmweb.ru':80
- 'ip##fo.io':443
- http://cm####2.tmweb.ru/ProviderLongpoll.php?Nn##################################################################################################################################################...
- DNS ASK cm####2.tmweb.ru
- DNS ASK ip##fo.io
- '%HOMEPATH%\nethood\smss.exe'
- '<SYSTEM32>\schtasks.exe' /create /tn "WmiPrvSE" /sc ONLOGON /tr "'%ALLUSERSPROFILE%\Documents\WmiPrvSE.exe'" /rl HIGHEST /f
- '<SYSTEM32>\schtasks.exe' /create /tn "WUDFHost" /sc ONLOGON /tr "'<SYSTEM32>\w32tm\WUDFHost.exe'" /rl HIGHEST /f
- '<SYSTEM32>\schtasks.exe' /create /tn "smss" /sc ONLOGON /tr "'%HOMEPATH%\NetHood\smss.exe'" /rl HIGHEST /f