Technical Information
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Startup' = '%APPDATA%\winnhelp\winreg'
- '%APPDATA%\winnhelp\winreg.exe' /pid=6424
- '%APPDATA%\winnhelp\winreg.exe' /pid=6404
- '%APPDATA%\winnhelp\winreg.exe' /pid=6848
- '%APPDATA%\winnhelp\winreg.exe' /pid=6400
- '%APPDATA%\winnhelp\winreg.exe' /pid=6308
- '%APPDATA%\winnhelp\winreg.exe' /pid=8188
- '%APPDATA%\winnhelp\winreg.exe' /pid=8064
- '%APPDATA%\winnhelp\winreg.exe' /pid=8144
- '%APPDATA%\winnhelp\winreg.exe' /pid=8100
- '%APPDATA%\winnhelp\winreg.exe' /pid=6948
- '%APPDATA%\winnhelp\winreg.exe' /pid=7504
- '%APPDATA%\winnhelp\winreg.exe' /pid=7540
- '%APPDATA%\winnhelp\winreg.exe' /pid=7520
- '%APPDATA%\winnhelp\winreg.exe' /pid=7960
- '%APPDATA%\winnhelp\winreg.exe' /pid=7344
- '%APPDATA%\winnhelp\winreg.exe' /pid=7128
- '%APPDATA%\winnhelp\winreg.exe' /pid=7148
- '%APPDATA%\winnhelp\winreg.exe' /pid=7240
- '%APPDATA%\winnhelp\winreg.exe' /pid=7268
- '%APPDATA%\winnhelp\winreg.exe' /pid=6664
- '%APPDATA%\winnhelp\winreg.exe' /pid=6640
- '%APPDATA%\winnhelp\winreg.exe' /pid=6924
- '%APPDATA%\winnhelp\winreg.exe' /pid=6904
- '%APPDATA%\winnhelp\winreg.exe' /pid=6624
- '%APPDATA%\winnhelp\winreg.exe' /pid=6284
- '%APPDATA%\winnhelp\winreg.exe' /pid=5984
- '%APPDATA%\winnhelp\winreg.exe' /pid=6520
- '%APPDATA%\winnhelp\winreg.exe' /pid=6464
- '%APPDATA%\winnhelp\winreg.exe' /pid=7124
- '%APPDATA%\winnhelp\winreg.exe' /pid=7724
- '%APPDATA%\winnhelp\winreg.exe' /pid=7624
- '%APPDATA%\winnhelp\winreg.exe' /pid=7844
- '%APPDATA%\winnhelp\winreg.exe' /pid=7800
- '%APPDATA%\winnhelp\winreg.exe' /pid=7480
- '%APPDATA%\winnhelp\winreg.exe' /pid=7164
- '%APPDATA%\winnhelp\winreg.exe' /pid=7024
- '%APPDATA%\winnhelp\winreg.exe' /pid=7304
- '%APPDATA%\winnhelp\winreg.exe' /pid=7464
- '%APPDATA%\winnhelp\winreg.exe' /pid=7208
- '%APPDATA%\winnhelp\winreg.exe' /pid=6684
- '%APPDATA%\winnhelp\winreg.exe' /pid=8388
- '%APPDATA%\winnhelp\winreg.exe' /pid=8352
- '%APPDATA%\winnhelp\winreg.exe' /pid=6204
- '%APPDATA%\winnhelp\winreg.exe' /pid=5824
- '%APPDATA%\winnhelp\winreg.exe' /pid=7880
- '%APPDATA%\winnhelp\winreg.exe' /pid=7444
- '%APPDATA%\winnhelp\winreg.exe' /pid=6224
- '%APPDATA%\winnhelp\winreg.exe' /pid=8552
- '%APPDATA%\winnhelp\winreg.exe' /pid=9072
- '%APPDATA%\winnhelp\winreg.exe' /pid=9008
- '%APPDATA%\winnhelp\winreg.exe' /pid=9316
- '%APPDATA%\winnhelp\winreg.exe' /pid=9172
- '%APPDATA%\winnhelp\winreg.exe' /pid=9096
- '%APPDATA%\winnhelp\winreg.exe' /pid=8672
- '%APPDATA%\winnhelp\winreg.exe' /pid=8588
- '%APPDATA%\winnhelp\winreg.exe' /pid=8792
- '%APPDATA%\winnhelp\winreg.exe' /pid=8912
- '%APPDATA%\winnhelp\winreg.exe' /pid=8120
- '%APPDATA%\winnhelp\winreg.exe' /pid=8104
- '%APPDATA%\winnhelp\winreg.exe' /pid=7488
- '%APPDATA%\winnhelp\winreg.exe' /pid=6968
- '%APPDATA%\winnhelp\winreg.exe' /pid=6188
- '%APPDATA%\winnhelp\winreg.exe' /pid=7900
- '%APPDATA%\winnhelp\winreg.exe' /pid=7780
- '%APPDATA%\winnhelp\winreg.exe' /pid=8140
- '%APPDATA%\winnhelp\winreg.exe' /pid=8068
- '%APPDATA%\winnhelp\winreg.exe' /pid=6644
- '%APPDATA%\winnhelp\winreg.exe' /pid=8168
- '%APPDATA%\winnhelp\winreg.exe' /pid=7988
- '%APPDATA%\winnhelp\winreg.exe' /pid=6920
- '%APPDATA%\winnhelp\winreg.exe' /pid=7008
- '%APPDATA%\winnhelp\winreg.exe' /pid=7920
- '%APPDATA%\winnhelp\winreg.exe' /pid=7108
- '%APPDATA%\winnhelp\winreg.exe' /pid=6728
- '%APPDATA%\winnhelp\winreg.exe' /pid=7620
- '%APPDATA%\winnhelp\winreg.exe' /pid=720
- '%APPDATA%\winnhelp\winreg.exe' /pid=6164
- '%APPDATA%\winnhelp\winreg.exe' /pid=4476
- '%APPDATA%\winnhelp\winreg.exe' /pid=6136
- '%APPDATA%\winnhelp\winreg.exe' /pid=6016
- '%APPDATA%\winnhelp\winreg.exe' /pid=5956
- '%APPDATA%\winnhelp\winreg.exe' /pid=4196
- '%APPDATA%\winnhelp\winreg.exe' /pid=5964
- '%APPDATA%\winnhelp\winreg.exe' /pid=5696
- '%APPDATA%\winnhelp\winreg.exe' /pid=5656
- '%APPDATA%\winnhelp\winreg.exe' /pid=5004
- '%APPDATA%\winnhelp\winreg.exe' /pid=3692
- '%APPDATA%\winnhelp\winreg.exe' /pid=3232
- '%APPDATA%\winnhelp\winreg.exe' /pid=3060
- '%APPDATA%\winnhelp\winreg.exe' /pid=3732
- '%APPDATA%\winnhelp\winreg.exe' /pid=1412
- '%APPDATA%\winnhelp\winreg.exe' /pid=3432
- '%APPDATA%\winnhelp\winreg.exe' /pid=500
- '%APPDATA%\winnhelp\winreg.exe' /pid=3332
- '%APPDATA%\winnhelp\winreg.exe' /pid=3112
- '%APPDATA%\winnhelp\winreg.exe' /pid=5336
- '%APPDATA%\winnhelp\winreg.exe' /pid=4376
- '%APPDATA%\winnhelp\winreg.exe' /pid=3500
- '%APPDATA%\winnhelp\winreg.exe' /pid=4884
- '%APPDATA%\winnhelp\winreg.exe' /pid=4496
- '%APPDATA%\winnhelp\winreg.exe' /pid=5976
- '%APPDATA%\winnhelp\winreg.exe' /pid=5184
- '%APPDATA%\winnhelp\winreg.exe' -a sha256 -o http://1Q################dZjweB9rCxebopAT:1@getwork.mining.eligius.st:8337 -T 83 -l yes -t 1
- '%APPDATA%\winnhelp\winreg.exe' /pid=5596
- '%APPDATA%\winnhelp\winreg.exe' /pid=5216
- '%APPDATA%\winnhelp\winreg.exe' /pid=4916
- '%APPDATA%\winnhelp\winreg.exe' /pid=4608
- '%APPDATA%\winnhelp\winreg.exe' /pid=5484
- '%APPDATA%\winnhelp\winreg.exe' /pid=5096
- '%APPDATA%\winnhelp\winreg.exe' /pid=3560
- '%APPDATA%\winnhelp\winreg.exe' /pid=3212
- '%APPDATA%\winnhelp\winreg.exe' /pid=3012
- '%APPDATA%\winnhelp\winreg.exe' /pid=3612
- '%APPDATA%\winnhelp\winreg.exe' /pid=2532
- '%APPDATA%\winnhelp\winreg.exe' /pid=4936
- '%APPDATA%\winnhelp\winreg.exe' /pid=3712
- '%APPDATA%\winnhelp\winreg.exe' /pid=828
- '%APPDATA%\winnhelp\winreg.exe' /pid=4576
- '%APPDATA%\winnhelp\winreg.exe' /pid=5344
- '%APPDATA%\winnhelp\winreg.exe' /pid=5164
- '%APPDATA%\winnhelp\winreg.exe' /pid=2788
- '%APPDATA%\winnhelp\winreg.exe' /pid=4596
- '%APPDATA%\winnhelp\winreg.exe' /pid=5016
- '%APPDATA%\winnhelp\winreg.exe' /pid=4804
- '%APPDATA%\winnhelp\winreg.exe' /pid=2380
- '%APPDATA%\winnhelp\winreg.exe' /pid=8184
- '%APPDATA%\winnhelp\winreg.exe' /pid=6124
- '%APPDATA%\winnhelp\winreg.exe' /pid=3932
- '%APPDATA%\winnhelp\winreg.exe' /pid=5944
- '%APPDATA%\winnhelp\winreg.exe' /pid=5224
- '%APPDATA%\winnhelp\winreg.exe' /pid=3292
- '%APPDATA%\winnhelp\winreg.exe' /pid=4904
- '%APPDATA%\winnhelp\winreg.exe' /pid=4508
- '%APPDATA%\winnhelp\winreg.exe' /pid=6044
- '%APPDATA%\winnhelp\winreg.exe' /pid=6024
- '%APPDATA%\winnhelp\winreg.exe' /pid=6004
- '%APPDATA%\winnhelp\winreg.exe' /pid=3912
- '%APPDATA%\winnhelp\winreg.exe' /pid=3512
- '%APPDATA%\winnhelp\winreg.exe' /pid=5756
- '%APPDATA%\winnhelp\winreg.exe' /pid=5676
- '%APPDATA%\winnhelp\winreg.exe' /pid=5704
- '%APPDATA%\winnhelp\winreg.exe' /pid=4996
- '%APPDATA%\winnhelp\winreg.exe' /pid=4896
- '%APPDATA%\winnhelp\winreg.exe' /pid=3592
- '%APPDATA%\winnhelp\winreg.exe' /pid=3192
- '%APPDATA%\winnhelp\winreg.exe' /pid=5604
- '%APPDATA%\winnhelp\winreg.exe' /pid=4296
- '%APPDATA%\winnhelp\winreg.exe' /pid=6056
- '%APPDATA%\winnhelp\winreg.exe' /pid=312
- '%APPDATA%\winnhelp\winreg.exe' /pid=2932
- '%APPDATA%\winnhelp\winreg.exe' /pid=5496
- '%APPDATA%\winnhelp\winreg.exe' /pid=4488
- '%APPDATA%\winnhelp\winreg.exe' (downloaded from the Internet)
- from <Full path to virus> to %APPDATA%\winnhelp\winreg
- '19#.#3.167.160':80
- 'wp#d':80
- 19#.#3.167.160/sil1001/UFA.exe
- wp#d/wpad.dat
- DNS ASK wp#d
- ClassName: 'Indicator' WindowName: '(null)'