Technical Information
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'iSafeCW' = '<SYSTEM32>\1025\winsrv.exe'
- %WINDIR%\Tasks\Google_Update.job
- %WINDIR%\Tasks\Google__Update.job
- <SYSTEM32>\1025\winsrv.exe
- <SYSTEM32>\1025\Skin\pswdbtn.png
- <SYSTEM32>\1025\Skin\pswdgo.png
- <SYSTEM32>\1025\Skin\Printer60.png
- <SYSTEM32>\1025\Skin\msn60.png
- <SYSTEM32>\1025\Skin\nv.png
- <SYSTEM32>\1025\Skin\quit.png
- <SYSTEM32>\1025\Skin\setting.png
- <SYSTEM32>\1025\Skin\skype60.png
- <SYSTEM32>\1025\Skin\sel.png
- <SYSTEM32>\1025\Skin\register.png
- <SYSTEM32>\1025\Skin\screen.png
- <SYSTEM32>\1025\Skin\map_systemsecurity.png
- <SYSTEM32>\1025\Skin\itembtn.png
- <SYSTEM32>\1025\Skin\itemkey.png
- <SYSTEM32>\1025\Skin\IE60.png
- <SYSTEM32>\1025\Skin\hotkey.gif
- <SYSTEM32>\1025\Skin\icq60.png
- <SYSTEM32>\1025\Skin\log.png
- <SYSTEM32>\1025\Skin\logviewicn.png
- <SYSTEM32>\1025\Skin\mainbk.bmp
- <SYSTEM32>\1025\Skin\logview.png
- <SYSTEM32>\1025\Skin\logo.png
- <SYSTEM32>\1025\Skin\logonew32.png
- <SYSTEM32>\1025\Skin\status.png
- <SYSTEM32>\1025\status.png
- <SYSTEM32>\1025\usb.png
- <SYSTEM32>\1025\smartsense.png
- <SYSTEM32>\1025\Skin\viewlog.png
- <SYSTEM32>\1025\Skin\yahoo60.png
- <SYSTEM32>\1025\USBFind.dll
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\m2bob[1]
- <SYSTEM32>\exec.bat
- <SYSTEM32>\1025\winsrv.exe
- <SYSTEM32>\1025\zlib1d.dll
- <SYSTEM32>\1025\Skin\usb60.png
- <SYSTEM32>\1025\Skin\testok.jpg
- <SYSTEM32>\1025\Skin\Thumbs.db
- <SYSTEM32>\1025\Skin\tabs.png
- <SYSTEM32>\1025\Skin\stkBk.png
- <SYSTEM32>\1025\Skin\tab.png
- <SYSTEM32>\1025\Skin\trustchain.png
- <SYSTEM32>\1025\Skin\updater.png
- <SYSTEM32>\1025\Skin\updater32.png
- <SYSTEM32>\1025\Skin\update.png
- <SYSTEM32>\1025\Skin\twitter60.png
- <SYSTEM32>\1025\Skin\uninstall.png
- <SYSTEM32>\1025\gdata.bin
- <SYSTEM32>\1025\iSafeProtect.dll
- <SYSTEM32>\1025\edata.txt
- <SYSTEM32>\1025\data.ldb
- <SYSTEM32>\1025\data.mdb
- <SYSTEM32>\1025\linespace.png
- <SYSTEM32>\1025\longbutton.png
- <SYSTEM32>\1025\Mail32.png
- <SYSTEM32>\1025\LogViewer.exe
- <SYSTEM32>\1025\Log\Pic\Thumbs.db
- <SYSTEM32>\1025\LogTag.png
- <SYSTEM32>\1025\close.png
- %TEMP%\$inst\temp_0.tmp
- <SYSTEM32>\1025\Activity.dll
- %TEMP%\$inst\5.tmp
- %TEMP%\$inst\2.tmp
- %TEMP%\$inst\4.tmp
- <SYSTEM32>\1025\btnsmall.png
- <SYSTEM32>\1025\buttonnarrow.png
- <SYSTEM32>\1025\cart64.png
- <SYSTEM32>\1025\buttondeep.png
- <SYSTEM32>\1025\btnstart.png
- <SYSTEM32>\1025\button.png
- <SYSTEM32>\1025\mailserver.png
- <SYSTEM32>\1025\Skin\close.png
- <SYSTEM32>\1025\Skin\desktop60.png
- <SYSTEM32>\1025\Skin\clip60.png
- <SYSTEM32>\1025\Skin\aim60.png
- <SYSTEM32>\1025\Skin\cdrom60.png
- <SYSTEM32>\1025\Skin\doc60.png
- <SYSTEM32>\1025\Skin\help.png
- <SYSTEM32>\1025\Skin\hotbg.png
- <SYSTEM32>\1025\Skin\facebook.png
- <SYSTEM32>\1025\Skin\Encrypt.png
- <SYSTEM32>\1025\Skin\exe60.png
- <SYSTEM32>\1025\setpswd.png
- <SYSTEM32>\1025\open.png
- <SYSTEM32>\1025\Pa.ini
- <SYSTEM32>\1025\msadoex.dll
- <SYSTEM32>\1025\MainScan.gif
- <SYSTEM32>\1025\MouseHook.dll
- <SYSTEM32>\1025\PasswordTip.png
- <SYSTEM32>\1025\setitem.png
- <SYSTEM32>\1025\setos.png
- <SYSTEM32>\1025\scanstop.png
- <SYSTEM32>\1025\pdata.exe
- <SYSTEM32>\1025\RunOnce.exe
- <SYSTEM32>\1025\Skin\pswdbtn.png
- <SYSTEM32>\1025\Skin\pswdgo.png
- <SYSTEM32>\1025\Skin\Printer60.png
- <SYSTEM32>\1025\Skin\msn60.png
- <SYSTEM32>\1025\Skin\nv.png
- <SYSTEM32>\1025\Skin\quit.png
- <SYSTEM32>\1025\Skin\setting.png
- <SYSTEM32>\1025\Skin\skype60.png
- <SYSTEM32>\1025\Skin\sel.png
- <SYSTEM32>\1025\Skin\register.png
- <SYSTEM32>\1025\Skin\screen.png
- <SYSTEM32>\1025\Skin\itemkey.png
- <SYSTEM32>\1025\Skin\log.png
- <SYSTEM32>\1025\Skin\itembtn.png
- <SYSTEM32>\1025\Skin\icq60.png
- <SYSTEM32>\1025\Skin\IE60.png
- <SYSTEM32>\1025\Skin\logo.png
- <SYSTEM32>\1025\Skin\mainbk.bmp
- <SYSTEM32>\1025\Skin\map_systemsecurity.png
- <SYSTEM32>\1025\Skin\logviewicn.png
- <SYSTEM32>\1025\Skin\logonew32.png
- <SYSTEM32>\1025\Skin\logview.png
- <SYSTEM32>\1025\Skin\yahoo60.png
- <SYSTEM32>\1025\smartsense.png
- <SYSTEM32>\1025\Skin\viewlog.png
- <SYSTEM32>\1025\Skin\updater32.png
- <SYSTEM32>\1025\Skin\usb60.png
- <SYSTEM32>\1025\status.png
- <SYSTEM32>\1025\zlib1d.dll
- <SYSTEM32>\exec.bat
- <SYSTEM32>\1025\winsrv.exe
- <SYSTEM32>\1025\usb.png
- <SYSTEM32>\1025\USBFind.dll
- <SYSTEM32>\1025\Skin\tabs.png
- <SYSTEM32>\1025\Skin\testok.jpg
- <SYSTEM32>\1025\Skin\tab.png
- <SYSTEM32>\1025\Skin\status.png
- <SYSTEM32>\1025\Skin\stkBk.png
- <SYSTEM32>\1025\Skin\Thumbs.db
- <SYSTEM32>\1025\Skin\update.png
- <SYSTEM32>\1025\Skin\updater.png
- <SYSTEM32>\1025\Skin\uninstall.png
- <SYSTEM32>\1025\Skin\trustchain.png
- <SYSTEM32>\1025\Skin\twitter60.png
- <SYSTEM32>\1025\Log\Pic\Thumbs.db
- <SYSTEM32>\1025\LogTag.png
- <SYSTEM32>\1025\linespace.png
- <SYSTEM32>\1025\gdata.bin
- <SYSTEM32>\1025\iSafeProtect.dll
- <SYSTEM32>\1025\LogViewer.exe
- <SYSTEM32>\1025\MainScan.gif
- <SYSTEM32>\1025\MouseHook.dll
- <SYSTEM32>\1025\mailserver.png
- <SYSTEM32>\1025\longbutton.png
- <SYSTEM32>\1025\Mail32.png
- <SYSTEM32>\1025\button.png
- <SYSTEM32>\1025\buttondeep.png
- <SYSTEM32>\1025\btnstart.png
- <SYSTEM32>\1025\Activity.dll
- <SYSTEM32>\1025\btnsmall.png
- <SYSTEM32>\1025\buttonnarrow.png
- <SYSTEM32>\1025\data.mdb
- <SYSTEM32>\1025\edata.txt
- <SYSTEM32>\1025\data.ldb
- <SYSTEM32>\1025\cart64.png
- <SYSTEM32>\1025\close.png
- <SYSTEM32>\1025\Skin\desktop60.png
- <SYSTEM32>\1025\Skin\doc60.png
- <SYSTEM32>\1025\Skin\close.png
- <SYSTEM32>\1025\Skin\cdrom60.png
- <SYSTEM32>\1025\Skin\clip60.png
- <SYSTEM32>\1025\Skin\Encrypt.png
- <SYSTEM32>\1025\Skin\hotbg.png
- <SYSTEM32>\1025\Skin\hotkey.gif
- <SYSTEM32>\1025\Skin\help.png
- <SYSTEM32>\1025\Skin\exe60.png
- <SYSTEM32>\1025\Skin\facebook.png
- <SYSTEM32>\1025\PasswordTip.png
- <SYSTEM32>\1025\pdata.exe
- <SYSTEM32>\1025\Pa.ini
- <SYSTEM32>\1025\msadoex.dll
- <SYSTEM32>\1025\open.png
- <SYSTEM32>\1025\RunOnce.exe
- <SYSTEM32>\1025\setpswd.png
- <SYSTEM32>\1025\Skin\aim60.png
- <SYSTEM32>\1025\setos.png
- <SYSTEM32>\1025\scanstop.png
- <SYSTEM32>\1025\setitem.png
- %TEMP%\$inst\4.tmp
- %TEMP%\$inst\5.tmp
- %TEMP%\$inst\temp_0.tmp
- %TEMP%\$inst\2.tmp
- 'm2##b.eu':80
- 'localhost':1036
- m2##b.eu/
- DNS ASK m2##b.eu
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'IEFrame' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: '' WindowName: ''