Technical Information
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Startup' = '%APPDATA%\Microsoft\dwm.exe'
- '%APPDATA%\Microsoft\svchost.exe' /pid=5128
- '%APPDATA%\Microsoft\svchost.exe' /pid=6480
- '%APPDATA%\Microsoft\svchost.exe' /pid=7104
- '%APPDATA%\Microsoft\svchost.exe' /pid=8144
- '%APPDATA%\Microsoft\svchost.exe' /pid=4668
- '%APPDATA%\Microsoft\svchost.exe' /pid=8180
- '%APPDATA%\Microsoft\svchost.exe' /pid=6904
- '%APPDATA%\Microsoft\svchost.exe' /pid=7164
- '%APPDATA%\Microsoft\svchost.exe' /pid=6104
- '%APPDATA%\Microsoft\svchost.exe' /pid=720
- '%APPDATA%\Microsoft\svchost.exe' /pid=5200
- '%APPDATA%\Microsoft\svchost.exe' /pid=5108
- '%APPDATA%\Microsoft\svchost.exe' /pid=5604
- '%APPDATA%\Microsoft\svchost.exe' /pid=7716
- '%APPDATA%\Microsoft\svchost.exe' /pid=7060
- '%APPDATA%\Microsoft\svchost.exe' /pid=6800
- '%APPDATA%\Microsoft\svchost.exe' /pid=7324
- '%APPDATA%\Microsoft\svchost.exe' /pid=2800
- '%APPDATA%\Microsoft\svchost.exe' /pid=5712
- '%APPDATA%\Microsoft\svchost.exe' /pid=7040
- '%APPDATA%\Microsoft\svchost.exe' /pid=7196
- '%APPDATA%\Microsoft\svchost.exe' /pid=7984
- '%APPDATA%\Microsoft\svchost.exe' /pid=8040
- '%APPDATA%\Microsoft\svchost.exe' /pid=5652
- '%APPDATA%\Microsoft\svchost.exe' /pid=7296
- '%APPDATA%\Microsoft\svchost.exe' /pid=7400
- '%APPDATA%\Microsoft\svchost.exe' /pid=7684
- '%APPDATA%\Microsoft\svchost.exe' /pid=6916
- '%APPDATA%\Microsoft\svchost.exe' /pid=8140
- '%APPDATA%\Microsoft\svchost.exe' /pid=8184
- '%APPDATA%\Microsoft\svchost.exe' /pid=2700
- '%APPDATA%\Microsoft\svchost.exe' /pid=7816
- '%APPDATA%\Microsoft\svchost.exe' /pid=7964
- '%APPDATA%\Microsoft\svchost.exe' /pid=7440
- '%APPDATA%\Microsoft\svchost.exe' /pid=1568
- '%APPDATA%\Microsoft\svchost.exe' /pid=3180
- '%APPDATA%\Microsoft\svchost.exe' /pid=8064
- '%APPDATA%\Microsoft\svchost.exe' /pid=3008
- '%APPDATA%\Microsoft\svchost.exe' /pid=6440
- '%APPDATA%\Microsoft\svchost.exe' /pid=6984
- '%APPDATA%\Microsoft\svchost.exe' /pid=6252
- '%APPDATA%\Microsoft\svchost.exe' /pid=6232
- '%APPDATA%\Microsoft\svchost.exe' /pid=7840
- '%APPDATA%\Microsoft\svchost.exe' /pid=6052
- '%APPDATA%\Microsoft\svchost.exe' /pid=4748
- '%APPDATA%\Microsoft\svchost.exe' /pid=7316
- '%APPDATA%\Microsoft\svchost.exe' /pid=7764
- '%APPDATA%\Microsoft\svchost.exe' /pid=7396
- '%APPDATA%\Microsoft\svchost.exe' /pid=4132
- '%APPDATA%\Microsoft\svchost.exe' /pid=6412
- '%APPDATA%\Microsoft\svchost.exe' /pid=5440
- '%APPDATA%\Microsoft\svchost.exe' /pid=6044
- '%APPDATA%\Microsoft\svchost.exe' /pid=4088
- '%APPDATA%\Microsoft\svchost.exe' /pid=3168
- '%APPDATA%\Microsoft\svchost.exe' /pid=4048
- '%APPDATA%\Microsoft\svchost.exe' /pid=5704
- '%APPDATA%\Microsoft\svchost.exe' /pid=6616
- '%APPDATA%\Microsoft\svchost.exe' /pid=6840
- '%APPDATA%\Microsoft\svchost.exe' /pid=6516
- '%APPDATA%\Microsoft\svchost.exe' /pid=3888
- '%APPDATA%\Microsoft\svchost.exe' /pid=6720
- '%APPDATA%\Microsoft\svchost.exe' /pid=6660
- '%APPDATA%\Microsoft\svchost.exe' /pid=6476
- '%APPDATA%\Microsoft\svchost.exe' /pid=7120
- '%APPDATA%\Microsoft\svchost.exe' /pid=7300
- '%APPDATA%\Microsoft\svchost.exe' /pid=7520
- '%APPDATA%\Microsoft\svchost.exe' /pid=6940
- '%APPDATA%\Microsoft\svchost.exe' /pid=6356
- '%APPDATA%\Microsoft\svchost.exe' /pid=6316
- '%APPDATA%\Microsoft\svchost.exe' /pid=4160
- '%APPDATA%\Microsoft\svchost.exe' /pid=6216
- '%APPDATA%\Microsoft\svchost.exe' /pid=6132
- '%APPDATA%\Microsoft\svchost.exe' /pid=4928
- '%APPDATA%\Microsoft\svchost.exe' -o http://ad#############ocopassdaumamo@eu.triplemining.com:8344 -T 83 -l yes
- '%APPDATA%\Microsoft\svchost.exe' /pid=6300
- '%APPDATA%\Microsoft\svchost.exe' /pid=5328
- '%APPDATA%\Microsoft\svchost.exe' /pid=6256
- '%APPDATA%\Microsoft\svchost.exe' /pid=4648
- '%APPDATA%\Microsoft\svchost.exe' /pid=5732
- '%APPDATA%\Microsoft\svchost.exe' /pid=4260
- '%APPDATA%\Microsoft\svchost.exe' /pid=1500
- '%APPDATA%\Microsoft\svchost.exe' /pid=6196
- '%APPDATA%\Microsoft\svchost.exe' /pid=5932
- '%APPDATA%\Microsoft\svchost.exe' /pid=6600
- '%APPDATA%\Microsoft\svchost.exe' /pid=5532
- '%APPDATA%\Microsoft\svchost.exe' /pid=3360
- '%APPDATA%\Microsoft\svchost.exe' /pid=6276
- '%APPDATA%\Microsoft\svchost.exe' /pid=4564
- '%APPDATA%\Microsoft\svchost.exe' /pid=4360
- '%APPDATA%\Microsoft\svchost.exe' /pid=6704
- '%APPDATA%\Microsoft\svchost.exe' /pid=2744
- '%APPDATA%\Microsoft\svchost.exe' /pid=4192
- '%APPDATA%\Microsoft\svchost.exe' /pid=4900
- '%APPDATA%\Microsoft\svchost.exe' /pid=3440
- '%APPDATA%\Microsoft\svchost.exe' /pid=3760
- '%APPDATA%\Microsoft\svchost.exe' /pid=2576
- '%APPDATA%\Microsoft\svchost.exe' /pid=6176
- '%APPDATA%\Microsoft\svchost.exe' /pid=7700
- '%APPDATA%\Microsoft\svchost.exe' /pid=7836
- '%APPDATA%\Microsoft\svchost.exe' /pid=7900
- '%APPDATA%\Microsoft\svchost.exe' /pid=7360
- '%APPDATA%\Microsoft\svchost.exe' /pid=7540
- '%APPDATA%\Microsoft\svchost.exe' /pid=7800
- '%APPDATA%\Microsoft\svchost.exe' /pid=8100
- '%APPDATA%\Microsoft\svchost.exe' /pid=4768
- '%APPDATA%\Microsoft\svchost.exe' /pid=6180
- '%APPDATA%\Microsoft\svchost.exe' /pid=5028
- '%APPDATA%\Microsoft\svchost.exe' /pid=8120
- '%APPDATA%\Microsoft\svchost.exe' /pid=6220
- '%APPDATA%\Microsoft\svchost.exe' /pid=2408
- '%APPDATA%\Microsoft\svchost.exe' (downloaded from the Internet)
- %APPDATA%\Microsoft\svchost.exe
- from <Full path to virus> to %APPDATA%\Microsoft\dwm.exe
- 'ad#####m.drivehq.com':80
- 'wp#d':80
- ad#####m.drivehq.com/java.exe
- wp#d/wpad.dat
- DNS ASK ad#####m.drivehq.com
- DNS ASK wp#d
- ClassName: 'Indicator' WindowName: '(null)'