Technical Information
- '%WINDIR%\syswow64\taskkill.exe' /f /im XpressZip.exe
- '%WINDIR%\syswow64\taskkill.exe' /f /im XpressZipShell.exe
- %TEMP%\is-ccvo5.tmp\<File name>.tmp
- %APPDATA%\xpresszip\skin\is-jvmhd.tmp
- %APPDATA%\xpresszip\skin\is-100mm.tmp
- %APPDATA%\xpresszip\skin\is-2vfob.tmp
- %APPDATA%\xpresszip\skin\is-91g4r.tmp
- %APPDATA%\xpresszip\skin\is-hf3ol.tmp
- %APPDATA%\xpresszip\skin\is-9265v.tmp
- %APPDATA%\xpresszip\skin\is-gurrr.tmp
- %APPDATA%\xpresszip\skin\is-2s09e.tmp
- %APPDATA%\xpresszip\skin\is-cqmek.tmp
- %APPDATA%\xpresszip\skin\is-7b0sc.tmp
- %APPDATA%\xpresszip\skin\is-5udeq.tmp
- %APPDATA%\xpresszip\skin\is-p62bt.tmp
- %APPDATA%\xpresszip\skin\is-4mfa1.tmp
- %APPDATA%\xpresszip\skin\is-k7i2s.tmp
- %APPDATA%\xpresszip\skin\is-o2iac.tmp
- %APPDATA%\xpresszip\skin\is-bon81.tmp
- %APPDATA%\xpresszip\skin\is-gjall.tmp
- %APPDATA%\xpresszip\skin\is-skpo0.tmp
- %APPDATA%\xpresszip\skin\is-cgiqs.tmp
- %PROGRAMDATA%\microsoft\windows\start menu\programs\xpresszip\ëæðäñ¹ëõ.lnk
- %APPDATA%\xpresszip\skin\is-8fnvl.tmp
- %APPDATA%\xpresszip\skin\is-t2g6d.tmp
- %APPDATA%\xpresszip\skin\is-14tj5.tmp
- %APPDATA%\xpresszip\skin\is-q7jm3.tmp
- %APPDATA%\xpresszip\skin\is-9pvqb.tmp
- %APPDATA%\xpresszip\is-kf2ss.tmp
- %APPDATA%\xpresszip\is-d3cmk.tmp
- %APPDATA%\xpresszip\is-cn2oj.tmp
- %APPDATA%\xpresszip\is-r9i8m.tmp
- %APPDATA%\xpresszip\is-24doc.tmp
- %APPDATA%\xpresszip\is-ra530.tmp
- %APPDATA%\xpresszip\is-q875d.tmp
- %APPDATA%\xpresszip\is-8qsjl.tmp
- %APPDATA%\xpresszip\lang\is-6g765.tmp
- %PROGRAMDATA%\microsoft\windows\start menu\programs\xpresszip\ð¶ôø ëæðäñ¹ëõ.lnk
- %APPDATA%\xpresszip\skin\is-qiheu.tmp
- %APPDATA%\xpresszip\lang\is-160r0.tmp
- %APPDATA%\xpresszip\skin\is-1smj1.tmp
- %APPDATA%\xpresszip\skin\is-0esuc.tmp
- %APPDATA%\xpresszip\skin\is-leosb.tmp
- %APPDATA%\xpresszip\skin\is-0jpcc.tmp
- %APPDATA%\xpresszip\skin\is-mbbvo.tmp
- %APPDATA%\xpresszip\skin\is-051gt.tmp
- %APPDATA%\xpresszip\skin\is-fgfo0.tmp
- %APPDATA%\xpresszip\skin\is-rqbhk.tmp
- %APPDATA%\xpresszip\skin\is-5t611.tmp
- %TEMP%\is-ngcb0.tmp\_isetup\_setup64.tmp
- %APPDATA%\xpresszip\skin\is-mt81k.tmp
- %APPDATA%\xpresszip\xpresszip.cfg
- %APPDATA%\xpresszip\xpresszip.exe
- %TEMP%\is-ngcb0.tmp\_isetup\_setup64.tmp
- %TEMP%\is-ccvo5.tmp\<File name>.tmp
- from %APPDATA%\xpresszip\is-kf2ss.tmp to %APPDATA%\xpresszip\xpresszip.exe
- from %APPDATA%\xpresszip\skin\is-jvmhd.tmp to %APPDATA%\xpresszip\skin\decomprogbutton.png
- from %APPDATA%\xpresszip\skin\is-100mm.tmp to %APPDATA%\xpresszip\skin\helper.png
- from %APPDATA%\xpresszip\skin\is-2vfob.tmp to %APPDATA%\xpresszip\skin\ico.png
- from %APPDATA%\xpresszip\skin\is-91g4r.tmp to %APPDATA%\xpresszip\skin\img.png
- from %APPDATA%\xpresszip\skin\is-hf3ol.tmp to %APPDATA%\xpresszip\skin\jywc.png
- from %APPDATA%\xpresszip\skin\is-9265v.tmp to %APPDATA%\xpresszip\skin\lg.png
- from %APPDATA%\xpresszip\skin\is-gurrr.tmp to %APPDATA%\xpresszip\skin\lg2.png
- from %APPDATA%\xpresszip\skin\is-8fnvl.tmp to %APPDATA%\xpresszip\skin\copywc.png
- from %APPDATA%\xpresszip\skin\is-t2g6d.tmp to %APPDATA%\xpresszip\skin\decomp.png
- from %APPDATA%\xpresszip\skin\is-2s09e.tmp to %APPDATA%\xpresszip\skin\min.png
- from %APPDATA%\xpresszip\skin\is-qiheu.tmp to %APPDATA%\xpresszip\skin\put.png
- from %APPDATA%\xpresszip\skin\is-p62bt.tmp to %APPDATA%\xpresszip\skin\rbk.png
- from %APPDATA%\xpresszip\skin\is-4mfa1.tmp to %APPDATA%\xpresszip\skin\rename.png
- from %APPDATA%\xpresszip\skin\is-k7i2s.tmp to %APPDATA%\xpresszip\skin\replace.png
- from %APPDATA%\xpresszip\skin\is-o2iac.tmp to %APPDATA%\xpresszip\skin\skip.png
- from %APPDATA%\xpresszip\skin\is-bon81.tmp to %APPDATA%\xpresszip\skin\stop.png
- from %APPDATA%\xpresszip\skin\is-gjall.tmp to %APPDATA%\xpresszip\skin\sysbar_facbeek.png
- from %APPDATA%\xpresszip\skin\is-cqmek.tmp to %APPDATA%\xpresszip\skin\pbk.png
- from %APPDATA%\xpresszip\skin\is-5udeq.tmp to %APPDATA%\xpresszip\skin\prog.png
- from %APPDATA%\xpresszip\skin\is-14tj5.tmp to %APPDATA%\xpresszip\skin\comp.png
- from %APPDATA%\xpresszip\skin\is-q7jm3.tmp to %APPDATA%\xpresszip\skin\close.png
- from %APPDATA%\xpresszip\skin\is-9pvqb.tmp to %APPDATA%\xpresszip\skin\checkbox2.png
- from %APPDATA%\xpresszip\is-cn2oj.tmp to %APPDATA%\xpresszip\uninst.exe
- from %APPDATA%\xpresszip\is-24doc.tmp to %APPDATA%\xpresszip\xpresszip.sfx
- from %APPDATA%\xpresszip\is-ra530.tmp to %APPDATA%\xpresszip\xpresszip.dll
- from %APPDATA%\xpresszip\is-q875d.tmp to %APPDATA%\xpresszip\xpresszipexshell.dll
- from %APPDATA%\xpresszip\is-8qsjl.tmp to %APPDATA%\xpresszip\xpresszipshell.exe
- from %APPDATA%\xpresszip\lang\is-6g765.tmp to %APPDATA%\xpresszip\lang\en.ttt
- from %APPDATA%\xpresszip\lang\is-160r0.tmp to %APPDATA%\xpresszip\lang\zh-cn.lang
- from %APPDATA%\xpresszip\skin\is-7b0sc.tmp to %APPDATA%\xpresszip\skin\allrename.png
- from %APPDATA%\xpresszip\is-d3cmk.tmp to %APPDATA%\xpresszip\7z.dll
- from %APPDATA%\xpresszip\skin\is-mt81k.tmp to %APPDATA%\xpresszip\skin\allreplace.png
- from %APPDATA%\xpresszip\skin\is-0esuc.tmp to %APPDATA%\xpresszip\skin\bg.png
- from %APPDATA%\xpresszip\skin\is-leosb.tmp to %APPDATA%\xpresszip\skin\bk.png
- from %APPDATA%\xpresszip\skin\is-0jpcc.tmp to %APPDATA%\xpresszip\skin\browser.png
- from %APPDATA%\xpresszip\skin\is-mbbvo.tmp to %APPDATA%\xpresszip\skin\btn_cat.png
- from %APPDATA%\xpresszip\skin\is-051gt.tmp to %APPDATA%\xpresszip\skin\btn_copy.png
- from %APPDATA%\xpresszip\skin\is-fgfo0.tmp to %APPDATA%\xpresszip\skin\btn_opendir.png
- from %APPDATA%\xpresszip\skin\is-rqbhk.tmp to %APPDATA%\xpresszip\skin\cancle.png
- from %APPDATA%\xpresszip\skin\is-5t611.tmp to %APPDATA%\xpresszip\skin\check.png
- from %APPDATA%\xpresszip\skin\is-1smj1.tmp to %APPDATA%\xpresszip\skin\allskip.png
- from %APPDATA%\xpresszip\skin\is-skpo0.tmp to %APPDATA%\xpresszip\skin\txt.png
- from %APPDATA%\xpresszip\skin\is-cgiqs.tmp to %APPDATA%\xpresszip\skin\yswc.png
- %APPDATA%\xpresszip\xpresszip.exe
- DNS ASK st.##wzayy.com
- ClassName: '' WindowName: ''
- ClassName: 'DirectUIHWND' WindowName: ''
- ClassName: 'CtrlNotifySink' WindowName: ''
- ClassName: 'Button' WindowName: ''
- '%TEMP%\is-ccvo5.tmp\<File name>.tmp' /SL5="$C022A,1741509,92160,<Full path to file>"
- '%APPDATA%\xpresszip\xpresszipshell.exe' install
- '%APPDATA%\xpresszip\xpresszip.exe' start1
- '%APPDATA%\xpresszip\xpresszip.exe'
- '%WINDIR%\syswow64\taskkill.exe' /f /im XpressZip.exe' (with hidden window)
- '%WINDIR%\syswow64\taskkill.exe' /f /im XpressZipShell.exe' (with hidden window)
- '%WINDIR%\syswow64\rundll32.exe' XpressZipExShell.dll InstallShellEx
- '<SYSTEM32>\rundll32.exe' XpressZipExShell.dll InstallShellEx