Ten csrss.vbs ukrywa się w strumieniach danych lokalizacja appdata/roaming + autorun,modyfikuje różne klucze m.in sieciowe,proxy,com. Łączy z danym serwerem po przez svchost,usługę dns. Kradnie prywatne dane z lokalnych przeglądarek. Zbiera różne informacje. Czyli w zasadzie taki keylogger,który może też dostawać instrukcje z zewnątrz.
Po dłuższej aktywności ładuje netbalance.exe , kst.exe próbują przechwytywać klawisze i wiele wiele więcej.
Po dłuższej aktywności ładuje netbalance.exe , kst.exe próbują przechwytywać klawisze i wiele wiele więcej.