Technical Information
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=4004
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=3976
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=6236
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=7996
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=7556
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=7716
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=7876
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=6560
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=6952
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=6796
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=7016
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=6676
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=6328
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=6428
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=6916
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=6272
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=6536
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=6432
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=6188
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=5904
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=6176
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=6356
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=6576
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=7212
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=7256
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=7392
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=7156
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=6692
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=6976
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=7032
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=7712
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=7932
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=8096
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=7220
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=6616
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=6448
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=6800
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=7776
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=6932
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=7396
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=7100
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=6388
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=7980
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=6208
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=7216
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=7380
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=7580
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=7820
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=7092
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=7320
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=7520
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=7200
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=7892
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=8176
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=6456
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=6172
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=8012
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=8136
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=7900
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=8080
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=5572
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=4728
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=3476
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=3696
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=2996
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=4128
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=5512
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=4648
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=5200
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=6004
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=5792
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=4880
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=3604
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=4180
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=4400
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=5392
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=4528
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=4928
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=4328
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=5028
- '%APPDATA%\WinSvchost64\svchost64.exe' -a sha256 -o http://1M##############5r95rJJB33rpm79UXu:x@mining.eligius.st:8337 -t 1 -T 63 -l yes
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=5412
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=2740
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=1044
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=6092
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=2472
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=5128
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=4228
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=5288
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=3744
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=4608
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=4480
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=5592
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=304
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=4016
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=3516
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=2884
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=4076
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=5912
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=4820
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=3216
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=5784
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=2832
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=748
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=2556
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=3284
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=3576
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=3016
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=4220
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=3116
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=5892
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=4828
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=4428
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=5884
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=5604
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=4108
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=5724
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=5220
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=6104
- '%APPDATA%\WinSvchost64\svchost64.exe' /pid=5108
- '%APPDATA%\WinSvchost64\svchost64.exe' (downloaded from the Internet)
- %APPDATA%\WinSvchost64\svchost64.exe
- from <Full path to virus> to %APPDATA%\WinSvchost64\sm26hr.exe
- 'th########oftware.googlecode.com':80
- 'wp#d':80
- th########oftware.googlecode.com/files/min2.exe
- wp#d/wpad.dat
- DNS ASK th########oftware.googlecode.com
- DNS ASK wp#d