Technical Information
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Location Agent Windows Browser Image TPM' = '%APPDATA%\vvpuhcq\zhtrdqlb.exe'
- '%APPDATA%\vvpuhcq\zhtbwzpui.exe' "%APPDATA%\vvpuhcq\zhtrdqlb.exe"
- '%APPDATA%\vvpuhcq\zhtrdqlb.exe'
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
- %APPDATA%\vvpuhcq\zhtrdqlb.wh
- %APPDATA%\vvpuhcq\zhtbwzpui.exe
- %APPDATA%\vvpuhcq\zhtrdqlb.exe
- %APPDATA%\vvpuhcq\zhtrdqlb.exe
- <SYSTEM32>\wbem\Performance\WmiApRpl.ini
- 'jo####yaction.net':80
- 'hu####dmethod.net':80
- 'hu####daction.net':80
- 'hu####ddirect.net':80
- 'jo####ydirect.net':80
- 're####erlikely.net':80
- 'wo###likely.net':80
- 'wo###worth.net':80
- 'jo####ymethod.net':80
- 're####erworth.net':80
- 'jo####ybrought.net':80
- 'li####direct.net':80
- 'de####ydirect.net':80
- 'de####ybrought.net':80
- 'ri####method.net':80
- 'li####brought.net':80
- 'de####ymethod.net':80
- 'hu####dbrought.net':80
- 'li####method.net':80
- 'li####action.net':80
- 'de####yaction.net':80
- 're#####rglossary.net':80
- 'ef####likely.net':80
- 'th####hglossary.net':80
- 'th####hlikely.net':80
- 'th####hworth.net':80
- 'ef###tworth.net':80
- 'su###rworth.net':80
- 'wi###nworth.net':80
- 'ef###tround.net':80
- 'ef####glossary.net':80
- 'th####hround.net':80
- 'fo###tround.net':80
- 'in####seworth.net':80
- 'fo###tworth.net':80
- 'wo###round.net':80
- 'wo####lossary.net':80
- 're####erround.net':80
- 'fo####glossary.net':80
- 'in####seround.net':80
- 'in#####eglossary.net':80
- 'in####selikely.net':80
- 'fo####likely.net':80
- jo####yaction.net/index.php?em##########################################
- hu####dmethod.net/index.php?em##########################################
- hu####daction.net/index.php?em##########################################
- hu####ddirect.net/index.php?em##########################################
- jo####ydirect.net/index.php?em##########################################
- re####erlikely.net/index.php?em##########################################
- wo###likely.net/index.php?em##########################################
- wo###worth.net/index.php?em##########################################
- jo####ymethod.net/index.php?em##########################################
- re####erworth.net/index.php?em##########################################
- jo####ybrought.net/index.php?em##########################################
- li####direct.net/index.php?em##########################################
- de####ydirect.net/index.php?em##########################################
- de####ybrought.net/index.php?em##########################################
- ri####method.net/index.php?em##########################################
- li####brought.net/index.php?em##########################################
- de####ymethod.net/index.php?em##########################################
- hu####dbrought.net/index.php?em##########################################
- li####method.net/index.php?em##########################################
- li####action.net/index.php?em##########################################
- de####yaction.net/index.php?em##########################################
- re#####rglossary.net/index.php?em##########################################
- ef####likely.net/index.php?em##########################################
- th####hglossary.net/index.php?em##########################################
- th####hlikely.net/index.php?em##########################################
- th####hworth.net/index.php?em##########################################
- ef###tworth.net/index.php?em##########################################
- su###rworth.net/index.php?em##########################################
- wi###nworth.net/index.php?em##########################################
- ef###tround.net/index.php?em##########################################
- ef####glossary.net/index.php?em##########################################
- th####hround.net/index.php?em##########################################
- fo###tround.net/index.php?em##########################################
- in####seworth.net/index.php?em##########################################
- fo###tworth.net/index.php?em##########################################
- wo###round.net/index.php?em##########################################
- wo####lossary.net/index.php?em##########################################
- re####erround.net/index.php?em##########################################
- fo####glossary.net/index.php?em##########################################
- in####seround.net/index.php?em##########################################
- in#####eglossary.net/index.php?em##########################################
- in####selikely.net/index.php?em##########################################
- fo####likely.net/index.php?em##########################################
- DNS ASK jo####yaction.net
- DNS ASK hu####dmethod.net
- DNS ASK hu####daction.net
- DNS ASK hu####ddirect.net
- DNS ASK jo####ydirect.net
- DNS ASK re####erlikely.net
- DNS ASK wo###likely.net
- DNS ASK wo###worth.net
- DNS ASK jo####ymethod.net
- DNS ASK re####erworth.net
- DNS ASK jo####ybrought.net
- DNS ASK li####direct.net
- DNS ASK de####ydirect.net
- DNS ASK de####ybrought.net
- DNS ASK ri####method.net
- DNS ASK li####brought.net
- DNS ASK de####ymethod.net
- DNS ASK hu####dbrought.net
- DNS ASK li####method.net
- DNS ASK li####action.net
- DNS ASK de####yaction.net
- DNS ASK re#####rglossary.net
- DNS ASK ef####likely.net
- DNS ASK th####hglossary.net
- DNS ASK th####hlikely.net
- DNS ASK th####hworth.net
- DNS ASK ef###tworth.net
- DNS ASK su###rworth.net
- DNS ASK wi###nworth.net
- DNS ASK ef###tround.net
- DNS ASK ef####glossary.net
- DNS ASK th####hround.net
- DNS ASK fo###tround.net
- DNS ASK in####seworth.net
- DNS ASK fo###tworth.net
- DNS ASK wo###round.net
- DNS ASK wo####lossary.net
- DNS ASK re####erround.net
- DNS ASK fo####glossary.net
- DNS ASK in####seround.net
- DNS ASK in#####eglossary.net
- DNS ASK in####selikely.net
- DNS ASK fo####likely.net
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'Indicator' WindowName: ''