Technical Information
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'WinHost' = '%APPDATA%\WinHost\WinHoster.exe'
- %LOCALAPPDATA%\google\chrome\user data\default\login data
- %LOCALAPPDATA%\google\chrome\user data\default\cookies
- %LOCALAPPDATA%\google\chrome\user data\default\web data
- %APPDATA%\opera software\opera stable\login data
- %HOMEPATH%\desktop\sdszfo.docx
- %APPDATA%\7898106.exe
- %TEMP%\tmp5278.tmp
- %TEMP%\tmp5277.tmp
- %TEMP%\tmp5276.tmp
- %TEMP%\tmp5265.tmp
- %TEMP%\tmp5255.tmp
- %TEMP%\tmp5244.tmp
- %TEMP%\tmp2b36.tmp
- %TEMP%\tmp2b35.tmp
- %TEMP%\tmp2b24.tmp
- %TEMP%\tmp2b23.tmp
- %TEMP%\tmp2b22.tmp
- %TEMP%\tmp2b02.tmp
- %TEMP%\tmp2af1.tmp
- %TEMP%\tmp2af0.tmp
- %TEMP%\tmp2aef.tmp
- %TEMP%\tmp5288.tmp
- %TEMP%\tmp5289.tmp
- %TEMP%\tmp52aa.tmp
- %TEMP%\tmp52ba.tmp
- %TEMP%\tmp2ade.tmp
- %TEMP%\tmp53e2.tmp
- %TEMP%\tmp53d1.tmp
- %TEMP%\tmp53b1.tmp
- %TEMP%\tmp53b0.tmp
- %TEMP%\tmp53af.tmp
- %TEMP%\tmp539f.tmp
- %TEMP%\tmp2adf.tmp
- %TEMP%\tmp539e.tmp
- %TEMP%\tmp53e3.tmp
- %TEMP%\tmp538b.tmp
- %TEMP%\tmp537a.tmp
- %TEMP%\tmp533b.tmp
- %TEMP%\tmp533a.tmp
- %TEMP%\tmp5339.tmp
- %TEMP%\tmp52da.tmp
- %TEMP%\tmp538d.tmp
- %TEMP%\tmp2847.tmp
- %TEMP%\tmp538c.tmp
- %TEMP%\tmp293c.tmp
- %TEMP%\tmp28e3.tmp
- %TEMP%\tmp28e2.tmp
- %TEMP%\tmp28d2.tmp
- %TEMP%\tmp28d1.tmp
- %TEMP%\tmp28c0.tmp
- %TEMP%\tmp28bf.tmp
- %TEMP%\tmp28ae.tmp
- %TEMP%\tmp289e.tmp
- %TEMP%\tmp289d.tmp
- %TEMP%\tmp289c.tmp
- %TEMP%\tmp288b.tmp
- %TEMP%\tmp287b.tmp
- %TEMP%\tmp287a.tmp
- %TEMP%\tmp2879.tmp
- %TEMP%\tmp2868.tmp
- %TEMP%\tmp28e4.tmp
- %TEMP%\tmp28f5.tmp
- %TEMP%\tmp28f6.tmp
- %TEMP%\tmp28f7.tmp
- %TEMP%\tmp29e2.tmp
- %TEMP%\tmp29d1.tmp
- %TEMP%\tmp29c0.tmp
- %TEMP%\tmp2961.tmp
- %TEMP%\tmp2960.tmp
- %TEMP%\tmp295f.tmp
- %TEMP%\tmp294f.tmp
- %TEMP%\tmp2acd.tmp
- %TEMP%\tmp294e.tmp
- %TEMP%\tmp29d2.tmp
- %TEMP%\tmp293b.tmp
- %TEMP%\tmp292b.tmp
- %TEMP%\tmp292a.tmp
- %TEMP%\tmp2929.tmp
- %TEMP%\tmp2918.tmp
- %TEMP%\tmp2907.tmp
- %TEMP%\tmp293d.tmp
- %TEMP%\tmp2857.tmp
- %TEMP%\tmp53e4.tmp
- %TEMP%\tmp5492.tmp
- %TEMP%\tmp55cc.tmp
- %TEMP%\tmp55cb.tmp
- %TEMP%\tmp55ca.tmp
- %TEMP%\tmp55b9.tmp
- %TEMP%\tmp55b8.tmp
- %TEMP%\tmp55b7.tmp
- %TEMP%\tmp55a6.tmp
- %TEMP%\tmp5595.tmp
- %TEMP%\tmp55ed.tmp
- %TEMP%\tmp5594.tmp
- %TEMP%\tmp5593.tmp
- %TEMP%\tmp5582.tmp
- %TEMP%\tmp5581.tmp
- %TEMP%\tmp5571.tmp
- %TEMP%\tmp5570.tmp
- %TEMP%\tmp55a5.tmp
- %ALLUSERSPROFILE%\55\vcruntime140.dll
- %TEMP%\tmp55ee.tmp
- %TEMP%\tmp569b.tmp
- %TEMP%\tmp567b.tmp
- %TEMP%\tmp566a.tmp
- %TEMP%\tmp5659.tmp
- %TEMP%\tmp5658.tmp
- %TEMP%\tmp5648.tmp
- %TEMP%\tmp5647.tmp
- %TEMP%\tmp556f.tmp
- %TEMP%\tmp55cd.tmp
- %TEMP%\tmp5634.tmp
- %TEMP%\tmp5633.tmp
- %TEMP%\tmp5623.tmp
- %TEMP%\tmp5622.tmp
- %TEMP%\tmp5611.tmp
- %TEMP%\tmp5610.tmp
- %TEMP%\tmp560f.tmp
- %TEMP%\tmp5635.tmp
- %TEMP%\tmp55fe.tmp
- %TEMP%\tmp53f6.tmp
- %TEMP%\tmp53f5.tmp
- %TEMP%\tmp555c.tmp
- %TEMP%\tmp5493.tmp
- %TEMP%\tmp5480.tmp
- %TEMP%\tmp5470.tmp
- %TEMP%\tmp546f.tmp
- %TEMP%\tmp546e.tmp
- %TEMP%\tmp545d.tmp
- %TEMP%\tmp545c.tmp
- %TEMP%\tmp545b.tmp
- %TEMP%\tmp544b.tmp
- %TEMP%\tmp544a.tmp
- %TEMP%\tmp5429.tmp
- %TEMP%\tmp5419.tmp
- %TEMP%\tmp5418.tmp
- %TEMP%\tmp5407.tmp
- %TEMP%\tmp53f7.tmp
- %TEMP%\tmp5494.tmp
- %TEMP%\tmp5495.tmp
- %TEMP%\tmp554b.tmp
- %TEMP%\tmp5505.tmp
- %TEMP%\tmp5516.tmp
- %TEMP%\tmp554a.tmp
- %TEMP%\tmp5549.tmp
- %TEMP%\tmp5548.tmp
- %TEMP%\tmp5538.tmp
- %TEMP%\tmp5537.tmp
- %TEMP%\tmp5517.tmp
- %TEMP%\tmp556e.tmp
- %TEMP%\tmp555d.tmp
- %TEMP%\tmp5481.tmp
- %TEMP%\tmp54f3.tmp
- %TEMP%\tmp54f2.tmp
- %TEMP%\tmp54f7.tmp
- %TEMP%\tmp54f6.tmp
- %TEMP%\tmp54c6.tmp
- %TEMP%\tmp54c5.tmp
- %TEMP%\tmp5504.tmp
- %TEMP%\tmp2846.tmp
- %TEMP%\tmp2835.tmp
- %TEMP%\tmp2805.tmp
- %TEMP%\tmpf362.tmp
- %TEMP%\tmpf361.tmp
- %TEMP%\tmpf350.tmp
- %TEMP%\tmpf34f.tmp
- %TEMP%\tmpf34e.tmp
- %TEMP%\tmpf33e.tmp
- %TEMP%\tmpf32d.tmp
- %TEMP%\tmpf32c.tmp
- %TEMP%\tmpf31b.tmp
- %TEMP%\tmpf31a.tmp
- %TEMP%\tmpf30a.tmp
- %TEMP%\tmpf309.tmp
- %TEMP%\tmpf2f8.tmp
- %TEMP%\tmpf2f7.tmp
- %TEMP%\tmpf3a2.tmp
- %TEMP%\tmpf3b3.tmp
- %TEMP%\tmpf3b4.tmp
- %TEMP%\tmpf3c4.tmp
- %TEMP%\tmpf470.tmp
- %TEMP%\tmpf460.tmp
- %TEMP%\tmpf45f.tmp
- %TEMP%\tmpf44e.tmp
- %TEMP%\tmpf44d.tmp
- %TEMP%\tmpf43d.tmp
- %TEMP%\tmpf42c.tmp
- %TEMP%\tmpf2f6.tmp
- %TEMP%\tmpf471.tmp
- %TEMP%\tmpf40a.tmp
- %TEMP%\tmpf3f9.tmp
- %TEMP%\tmpf3f8.tmp
- %TEMP%\tmpf3e8.tmp
- %TEMP%\tmpf3d7.tmp
- %TEMP%\tmpf3d6.tmp
- %TEMP%\tmpf3c5.tmp
- %TEMP%\tmpf40b.tmp
- %TEMP%\tmpf2e6.tmp
- %TEMP%\tmpf41b.tmp
- %TEMP%\tmpf2e4.tmp
- %TEMP%\tmpf28e.tmp
- %TEMP%\tmpf203.tmp
- %TEMP%\tmpf202.tmp
- %TEMP%\tmpf1f1.tmp
- %TEMP%\tmpf1e1.tmp
- %TEMP%\tmpf1e0.tmp
- %TEMP%\tmpf1cf.tmp
- %TEMP%\tmpf122.tmp
- %TEMP%\tmpefe9.tmp
- %APPDATA%\winhost\winhoster.exe
- %APPDATA%\4657845.exe
- %APPDATA%\4710677.exe
- %APPDATA%\3673572.exe
- %APPDATA%\4171530.exe
- %APPDATA%\6702507.exe
- %TEMP%\tmpf214.tmp
- %TEMP%\tmpf215.tmp
- %TEMP%\tmpf226.tmp
- %TEMP%\tmpf246.tmp
- %TEMP%\tmpf2c3.tmp
- %TEMP%\tmpf2c2.tmp
- %TEMP%\tmpf2c1.tmp
- %TEMP%\tmpf2b1.tmp
- %TEMP%\tmpf2b0.tmp
- %TEMP%\tmpf29f.tmp
- %TEMP%\tmpf28f.tmp
- %TEMP%\tmpf2e5.tmp
- %TEMP%\tmpf482.tmp
- %TEMP%\tmpf27c.tmp
- %TEMP%\tmpf27b.tmp
- %TEMP%\tmpf26a.tmp
- %TEMP%\tmpf269.tmp
- %TEMP%\tmpf259.tmp
- %TEMP%\tmpf258.tmp
- %TEMP%\tmpf247.tmp
- %TEMP%\tmpf28d.tmp
- %TEMP%\tmpf204.tmp
- %TEMP%\tmpf3a1.tmp
- %TEMP%\tmpf483.tmp
- %TEMP%\tmp26f7.tmp
- %TEMP%\tmp2708.tmp
- %TEMP%\tmp26f6.tmp
- %TEMP%\tmp26e5.tmp
- %TEMP%\tmp26e4.tmp
- %TEMP%\tmp26d4.tmp
- %TEMP%\tmp26d3.tmp
- %TEMP%\tmp26c2.tmp
- %TEMP%\tmp26c1.tmp
- %TEMP%\tmp26b0.tmp
- %TEMP%\tmp26af.tmp
- %TEMP%\tmp269f.tmp
- %TEMP%\tmp268e.tmp
- %TEMP%\tmp267e.tmp
- %TEMP%\tmp267d.tmp
- %TEMP%\tmp266c.tmp
- %TEMP%\tmp2719.tmp
- %TEMP%\tmp271a.tmp
- %TEMP%\tmp2804.tmp
- %TEMP%\tmp278f.tmp
- %TEMP%\tmp27bf.tmp
- %TEMP%\tmp27f4.tmp
- %TEMP%\tmp27e3.tmp
- %TEMP%\tmp27e2.tmp
- %TEMP%\tmp27d2.tmp
- %TEMP%\tmp27d1.tmp
- %TEMP%\tmp27c0.tmp
- %TEMP%\tmp2707.tmp
- %TEMP%\tmp265b.tmp
- %TEMP%\tmp263a.tmp
- %TEMP%\tmp276e.tmp
- %TEMP%\tmp275d.tmp
- %TEMP%\tmp275c.tmp
- %TEMP%\tmp274c.tmp
- %TEMP%\tmp272c.tmp
- %TEMP%\tmp272b.tmp
- %TEMP%\tmp278e.tmp
- %TEMP%\tmp264b.tmp
- %TEMP%\tmp262a.tmp
- %TEMP%\tmpf484.tmp
- %TEMP%\tmpf4ca.tmp
- %TEMP%\tmpf52f.tmp
- %TEMP%\tmpf52e.tmp
- %TEMP%\tmpf51d.tmp
- %TEMP%\tmpf51c.tmp
- %TEMP%\tmpf4ed.tmp
- %TEMP%\tmpf4dc.tmp
- %TEMP%\tmp56ab.tmp
- %TEMP%\tmpf550.tmp
- %TEMP%\tmpf4ba.tmp
- %TEMP%\tmpf4b9.tmp
- %TEMP%\tmpf4a8.tmp
- %TEMP%\tmpf4a7.tmp
- %TEMP%\tmpf4a6.tmp
- %TEMP%\tmpf496.tmp
- %TEMP%\tmpf495.tmp
- %TEMP%\tmpf4cb.tmp
- %TEMP%\tmp5646.tmp
- %TEMP%\tmpf551.tmp
- %TEMP%\tmpf573.tmp
- %TEMP%\tmpf562.tmp
- %TEMP%\tmp2619.tmp
- %TEMP%\tmp2618.tmp
- %TEMP%\tmp258b.tmp
- %TEMP%\tmp2471.tmp
- %ALLUSERSPROFILE%\55\nss3.dll
- %ALLUSERSPROFILE%\55\msvcp140.dll
- %TEMP%\tmpf563.tmp
- %ALLUSERSPROFILE%\55\mozglue.dll
- %TEMP%\tmpf540.tmp
- %ALLUSERSPROFILE%\55\sqlite3.dll
- %ALLUSERSPROFILE%\55\softokn3.dll
- %ALLUSERSPROFILE%\5563
- %TEMP%\tmpf596.tmp
- %TEMP%\tmpf585.tmp
- %TEMP%\tmpf574.tmp
- %ALLUSERSPROFILE%\55\freebl3.dll
- %TEMP%\tmp627f.tmp
- %APPDATA%\winhost\winhoster.exe
- %TEMP%\tmpf122.tmp
- %TEMP%\tmp5407.tmp
- %TEMP%\tmp5429.tmp
- %TEMP%\tmp5419.tmp
- %TEMP%\tmp544b.tmp
- %TEMP%\tmp544a.tmp
- %TEMP%\tmp545c.tmp
- %TEMP%\tmp545b.tmp
- %TEMP%\tmp546e.tmp
- %TEMP%\tmp545d.tmp
- %TEMP%\tmp5470.tmp
- %TEMP%\tmp546f.tmp
- %TEMP%\tmp5481.tmp
- %TEMP%\tmp5480.tmp
- %TEMP%\tmp5493.tmp
- %TEMP%\tmp5492.tmp
- %TEMP%\tmp5495.tmp
- %TEMP%\tmp5494.tmp
- %TEMP%\tmp54c6.tmp
- %TEMP%\tmp54c5.tmp
- %TEMP%\tmp54f7.tmp
- %TEMP%\tmp54f6.tmp
- %TEMP%\tmp5418.tmp
- %TEMP%\tmp54f3.tmp
- %TEMP%\tmp53f6.tmp
- %TEMP%\tmp53e4.tmp
- %TEMP%\tmp5289.tmp
- %TEMP%\tmp5288.tmp
- %TEMP%\tmp52ba.tmp
- %TEMP%\tmp52aa.tmp
- %TEMP%\tmp5339.tmp
- %TEMP%\tmp52da.tmp
- %TEMP%\tmp533b.tmp
- %TEMP%\tmp533a.tmp
- %TEMP%\tmp538b.tmp
- %TEMP%\tmp537a.tmp
- %TEMP%\tmp538d.tmp
- %TEMP%\tmp538c.tmp
- %TEMP%\tmp539f.tmp
- %TEMP%\tmp539e.tmp
- %TEMP%\tmp53b0.tmp
- %TEMP%\tmp53af.tmp
- %TEMP%\tmp53d1.tmp
- %TEMP%\tmp53b1.tmp
- %TEMP%\tmp53e3.tmp
- %TEMP%\tmp53e2.tmp
- %TEMP%\tmp53f5.tmp
- %TEMP%\tmp53f7.tmp
- %TEMP%\tmp54f2.tmp
- %TEMP%\tmp5505.tmp
- %TEMP%\tmp5504.tmp
- %TEMP%\tmp55cc.tmp
- %TEMP%\tmp55ee.tmp
- %TEMP%\tmp55ed.tmp
- %TEMP%\tmp560f.tmp
- %TEMP%\tmp55fe.tmp
- %TEMP%\tmp5611.tmp
- %TEMP%\tmp5610.tmp
- %TEMP%\tmp5623.tmp
- %TEMP%\tmp5622.tmp
- %TEMP%\tmp569b.tmp
- %TEMP%\tmp5634.tmp
- %TEMP%\tmp5646.tmp
- %TEMP%\tmp5635.tmp
- %TEMP%\tmp5648.tmp
- %TEMP%\tmp5647.tmp
- %TEMP%\tmp5659.tmp
- %TEMP%\tmp5658.tmp
- %TEMP%\tmp567b.tmp
- %TEMP%\tmp566a.tmp
- %TEMP%\tmp56ab.tmp
- %TEMP%\tmp55ca.tmp
- %TEMP%\tmp55cd.tmp
- %TEMP%\tmp55cb.tmp
- %TEMP%\tmp55b8.tmp
- %TEMP%\tmp55b9.tmp
- %TEMP%\tmp5516.tmp
- %TEMP%\tmp5538.tmp
- %TEMP%\tmp5537.tmp
- %TEMP%\tmp5549.tmp
- %TEMP%\tmp5548.tmp
- %TEMP%\tmp554b.tmp
- %TEMP%\tmp554a.tmp
- %TEMP%\tmp555d.tmp
- %TEMP%\tmp555c.tmp
- %TEMP%\tmp5277.tmp
- %TEMP%\tmp556e.tmp
- %TEMP%\tmp556f.tmp
- %TEMP%\tmp5570.tmp
- %TEMP%\tmp5582.tmp
- %TEMP%\tmp5581.tmp
- %TEMP%\tmp5594.tmp
- %TEMP%\tmp5593.tmp
- %TEMP%\tmp55a5.tmp
- %TEMP%\tmp5595.tmp
- %TEMP%\tmp55b7.tmp
- %TEMP%\tmp55a6.tmp
- %TEMP%\tmp5517.tmp
- %TEMP%\tmp5571.tmp
- %TEMP%\tmp5633.tmp
- %TEMP%\tmp5278.tmp
- %TEMP%\tmp29d1.tmp
- %TEMP%\tmpf3d6.tmp
- %TEMP%\tmpf3e8.tmp
- %TEMP%\tmpf3f9.tmp
- %TEMP%\tmpf40b.tmp
- %TEMP%\tmpf42c.tmp
- %TEMP%\tmpf44d.tmp
- %TEMP%\tmpf45f.tmp
- %TEMP%\tmpf470.tmp
- %TEMP%\tmpf482.tmp
- %TEMP%\tmpf484.tmp
- %TEMP%\tmpf496.tmp
- %TEMP%\tmpf4a7.tmp
- %TEMP%\tmpf4b9.tmp
- %TEMP%\tmpf4ca.tmp
- %TEMP%\tmpf4dc.tmp
- %TEMP%\tmpf51c.tmp
- %TEMP%\tmpf52e.tmp
- %TEMP%\tmpf540.tmp
- %TEMP%\tmpf551.tmp
- %TEMP%\tmpf563.tmp
- %TEMP%\tmpf574.tmp
- %TEMP%\tmpf3c4.tmp
- %TEMP%\tmpf596.tmp
- %TEMP%\tmpf3b3.tmp
- %TEMP%\tmpf361.tmp
- %TEMP%\tmpf1e0.tmp
- %TEMP%\tmpf1f1.tmp
- %TEMP%\tmpf203.tmp
- %TEMP%\tmpf214.tmp
- %TEMP%\tmpf226.tmp
- %TEMP%\tmpf247.tmp
- %TEMP%\tmpf259.tmp
- %TEMP%\tmpf26a.tmp
- %TEMP%\tmpf27c.tmp
- %TEMP%\tmpf28e.tmp
- %TEMP%\tmpf29f.tmp
- %TEMP%\tmpf2b1.tmp
- %TEMP%\tmpf2c2.tmp
- %TEMP%\tmpf2e4.tmp
- %TEMP%\tmpf2e6.tmp
- %TEMP%\tmpf2f7.tmp
- %TEMP%\tmpf309.tmp
- %TEMP%\tmpf31a.tmp
- %TEMP%\tmpf32c.tmp
- %TEMP%\tmpf33e.tmp
- %TEMP%\tmpf34f.tmp
- %TEMP%\tmpf3a1.tmp
- %TEMP%\tmp258b.tmp
- %TEMP%\tmp2619.tmp
- %TEMP%\tmp263a.tmp
- %TEMP%\tmp28e2.tmp
- %TEMP%\tmp28e4.tmp
- %TEMP%\tmp28f6.tmp
- %TEMP%\tmp2907.tmp
- %TEMP%\tmp2929.tmp
- %TEMP%\tmp292b.tmp
- %TEMP%\tmp293c.tmp
- %TEMP%\tmp294e.tmp
- %TEMP%\tmp295f.tmp
- %TEMP%\tmp5276.tmp
- %TEMP%\tmp2961.tmp
- %TEMP%\tmp29e2.tmp
- %TEMP%\tmp2ade.tmp
- %TEMP%\tmp2aef.tmp
- %TEMP%\tmp2af1.tmp
- %TEMP%\tmp2b22.tmp
- %TEMP%\tmp2b24.tmp
- %TEMP%\tmp2b36.tmp
- %TEMP%\tmp5255.tmp
- %TEMP%\tmp5244.tmp
- %TEMP%\tmp28bf.tmp
- %TEMP%\tmp28d1.tmp
- %TEMP%\tmp289e.tmp
- %TEMP%\tmp289c.tmp
- %TEMP%\tmp287b.tmp
- %TEMP%\tmp267d.tmp
- %TEMP%\tmp268e.tmp
- %TEMP%\tmp26af.tmp
- %TEMP%\tmp26c1.tmp
- %TEMP%\tmp26d3.tmp
- %TEMP%\tmp26e4.tmp
- %TEMP%\tmp26f6.tmp
- %TEMP%\tmp2707.tmp
- %TEMP%\tmp2719.tmp
- %TEMP%\tmp5265.tmp
- %TEMP%\tmp274c.tmp
- %TEMP%\tmp272b.tmp
- %TEMP%\tmp278e.tmp
- %TEMP%\tmp27bf.tmp
- %TEMP%\tmp27d1.tmp
- %TEMP%\tmp27e2.tmp
- %TEMP%\tmp27f4.tmp
- %TEMP%\tmp2805.tmp
- %TEMP%\tmp2846.tmp
- %TEMP%\tmp2857.tmp
- %TEMP%\tmp2879.tmp
- %TEMP%\tmp265b.tmp
- %TEMP%\tmp275d.tmp
- %TEMP%\tmp627f.tmp
- 're####network.xyz':443
- '2n#.co':443
- 'bi####rogroup.xyz':443
- '18#.#77.125.94':80
- '18#.#15.113.104':18754
- '18#.#24.36.242':25802
- 'ge#####ope-group.bar':443
- 'ap#.ip.sb':443
- 're####network.xyz':443
- '2n#.co':443
- 'bi####rogroup.xyz':443
- '18#.#77.125.94':80
- '18#.#15.113.104':18754
- '18#.#24.36.242':25802
- 'ge#####ope-group.bar':443
- 'ap#.ip.sb':443
- DNS ASK th######esportsgroup.net
- DNS ASK re####network.xyz
- DNS ASK 2n#.co
- DNS ASK bi####rogroup.xyz
- DNS ASK ge#####ope-group.bar
- DNS ASK ap#.ip.sb
- '%APPDATA%\7898106.exe'
- '%APPDATA%\6702507.exe'
- '%APPDATA%\4171530.exe'
- '%APPDATA%\3673572.exe'
- '%APPDATA%\4710677.exe'
- '%APPDATA%\4657845.exe'
- '%APPDATA%\winhost\winhoster.exe'
- '%APPDATA%\7898106.exe' ' (with hidden window)
- '%APPDATA%\6702507.exe' ' (with hidden window)
- '%APPDATA%\4171530.exe' ' (with hidden window)
- '%APPDATA%\3673572.exe' ' (with hidden window)
- '%APPDATA%\4710677.exe' ' (with hidden window)
- '%APPDATA%\4657845.exe' ' (with hidden window)