Parece que esse malware vai esperar por algo e sair do processo ou remover um diretório ou sair do Windows.O log de instalação diz que está tudo bem, e o registro de software inicialmente mostra nada errado, mas de repente, alguns arquivos simplesmente desaparecem no ar.Bool Winapi DeleteSelf (Bool TryDeletEdirectory);
Eu costumo me mover (como no desinstalador.exe) para temp, com nome de arquivo randomizado e exclusão de cronograma na reinicialização.Se você olhar de perto, verá que estamos executando o código da pilha: ESP é 008bf664, então o código que foi hardwire está na pilha.Você pode criar um arquivo executável com o sinalizador definido para excluí -lo em fechar e, antes de fechar o último identificador, você pode executá -lo.
Fonte: https://devblogs.microsoft.com/oldnewthing/20230911-00/?p=108749
