FOR CUSTOMERS

Close

Library
My library

+ Add to library

Search
Search

Contact us
24/7 Tech support | Rules regarding submitting

Send a message

A query form

Call us

+7 (495) 789-45-86

Forum

Your tickets

New ticket

Call us

+7 (495) 789-45-86

Profile

EN

RU CN DE EN ES FR IT JP KZ UZ PL BY
Close
Support services
Scanners
Dr.Web vxCube
Trial
VCI investigations
Virus library
Knowledge base

Technologies

Terminology

Training and education

Myths

News

Trojan.Packed.24917

Added to the Dr.Web virus database: 2013-11-07

Virus description added:

Technical Information

To ensure autorun and distribution:
Modifies the following registry keys:
  • [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Microsoft Svchost' = '"%APPDATA%\Roaming\AtYcqen.exe"'
Malicious functions:
Executes the following:
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 49617 --ControlPort 30112 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 32717 --ControlPort 38696 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 31585 --ControlPort 44041 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 49337 --ControlPort 43271 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 43869 --ControlPort 49361 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 32896 --ControlPort 33022 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 44423 --ControlPort 44129 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 32053 --ControlPort 36962 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 23584 --ControlPort 49734 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 26654 --ControlPort 36972 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 44229 --ControlPort 24565 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 26559 --ControlPort 28932 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 42296 --ControlPort 49855 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 28526 --ControlPort 33357 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 39801 --ControlPort 42850 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 34460 --ControlPort 42428 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 32993 --ControlPort 47384 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 39357 --ControlPort 22324 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 26477 --ControlPort 25108 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\conhost.exe' --SOCKSPort 41113 --ControlPort 34887 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 39405 --ControlPort 26540 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 38823 --ControlPort 34485 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 40556 --ControlPort 43216 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 21626 --ControlPort 29357 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 51111 --ControlPort 48704 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 32835 --ControlPort 52356 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 26072 --ControlPort 49350 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 25556 --ControlPort 21993 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 30176 --ControlPort 45705 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 26962 --ControlPort 30548 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 42279 --ControlPort 42701 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 32193 --ControlPort 32734 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 21637 --ControlPort 46534 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 35881 --ControlPort 20300 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 47611 --ControlPort 50877 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 40424 --ControlPort 52678 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 21752 --ControlPort 38443 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 34413 --ControlPort 36641 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 39855 --ControlPort 44855 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 33142 --ControlPort 31462 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 43850 --ControlPort 37398 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 20911 --ControlPort 31635 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 30067 --ControlPort 42848 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 24675 --ControlPort 32938 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 41457 --ControlPort 34369 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 42532 --ControlPort 22963 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 22607 --ControlPort 22483 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 22223 --ControlPort 42142 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 23221 --ControlPort 37870 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 21626 --ControlPort 51934 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 35205 --ControlPort 51783 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 43754 --ControlPort 26511 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 42741 --ControlPort 40175 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 41459 --ControlPort 37825 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 24678 --ControlPort 42593 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 43851 --ControlPort 45484 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 21018 --ControlPort 48464 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 46576 --ControlPort 41694 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 42658 --ControlPort 46302 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 37371 --ControlPort 42466 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 41119 --ControlPort 43152 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 52170 --ControlPort 40315 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 29576 --ControlPort 50227 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 32043 --ControlPort 42758 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 22800 --ControlPort 38087 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 51060 --ControlPort 21926 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 29010 --ControlPort 24757 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 48019 --ControlPort 22125 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 33064 --ControlPort 27900 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 39187 --ControlPort 28360 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 42413 --ControlPort 50974 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 42725 --ControlPort 33031 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 28492 --ControlPort 20142 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 37222 --ControlPort 51286 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 34270 --ControlPort 49170 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 27285 --ControlPort 32550 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 20140 --ControlPort 33694 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 22695 --ControlPort 41624 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 20235 --ControlPort 50833 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 39711 --ControlPort 45760 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 38896 --ControlPort 24667 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 49790 --ControlPort 34924 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 50188 --ControlPort 41763 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 24940 --ControlPort 40851 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 49011 --ControlPort 50771 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 26411 --ControlPort 45547 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 41153 --ControlPort 41520 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 38662 --ControlPort 33829 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 31477 --ControlPort 21200 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 46058 --ControlPort 26439 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 22303 --ControlPort 32760 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 50900 --ControlPort 37713 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 38958 --ControlPort 37578 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 28365 --ControlPort 33007 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 25030 --ControlPort 40326 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 49577 --ControlPort 34474 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 22625 --ControlPort 45627 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 25629 --ControlPort 51928 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 27164 --ControlPort 25109 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 27882 --ControlPort 37086 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 49565 --ControlPort 23487 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 45423 --ControlPort 48520 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 30195 --ControlPort 52525 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 21264 --ControlPort 28260 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 26202 --ControlPort 28116 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 26902 --ControlPort 34962 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 20123 --ControlPort 44596 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 23737 --ControlPort 33261 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 42409 --ControlPort 46463 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 25049 --ControlPort 24681 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 21588 --ControlPort 31342 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 20028 --ControlPort 41543 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 45347 --ControlPort 22088 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 22943 --ControlPort 32637 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 20608 --ControlPort 52060 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 27949 --ControlPort 32843 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 41430 --ControlPort 45620 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 20748 --ControlPort 47067 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 41221 --ControlPort 21758 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 49954 --ControlPort 40888 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 34146 --ControlPort 20690 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 34015 --ControlPort 25565 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 22865 --ControlPort 38540 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 43245 --ControlPort 45508 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 48318 --ControlPort 47870 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 21769 --ControlPort 35262 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 28519 --ControlPort 33985 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 48289 --ControlPort 35944 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 29601 --ControlPort 48323 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 49901 --ControlPort 37103 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 34423 --ControlPort 23527 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 31600 --ControlPort 46969 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 41132 --ControlPort 44472 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 47152 --ControlPort 45087 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 48570 --ControlPort 49763 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 40426 --ControlPort 34606 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 46173 --ControlPort 44429 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' "-outproc" "836" "4160"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 28075 --ControlPort 37913 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 36142 --ControlPort 51196 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 41948 --ControlPort 45072 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 52404 --ControlPort 26705 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 36565 --ControlPort 36036 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 34736 --ControlPort 49141 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 50814 --ControlPort 25994 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 40626 --ControlPort 49812 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' SignaturesUpdateService -ScheduleJob -HttpDownload -RestrictPrivileges
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 39375 --ControlPort 50093 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 37964 --ControlPort 43342 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 29853 --ControlPort 45629 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 31224 --ControlPort 35748 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 39923 --ControlPort 23359 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 24536 --ControlPort 40783 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 38035 --ControlPort 52226 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 35185 --ControlPort 27038 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 52257 --ControlPort 44766 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 40355 --ControlPort 51001 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 42549 --ControlPort 29496 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 38584 --ControlPort 29515 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 24944 --ControlPort 34955 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 43318 --ControlPort 52726 --DataDirectory "%APPDATA%\Roaming"
  • '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\cvtres.exe' --SOCKSPort 45411 --ControlPort 41025 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 48503 --ControlPort 23829 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 43775 --ControlPort 40608 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 49292 --ControlPort 25997 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 20335 --ControlPort 28759 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 31192 --ControlPort 27605 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 45264 --ControlPort 32181 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 37549 --ControlPort 49556 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 47813 --ControlPort 49174 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 40601 --ControlPort 26077 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 40215 --ControlPort 28683 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 45561 --ControlPort 51627 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 26467 --ControlPort 49541 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 46129 --ControlPort 51240 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 42044 --ControlPort 31258 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 32818 --ControlPort 20610 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 21017 --ControlPort 34932 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 48112 --ControlPort 50695 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 48296 --ControlPort 32673 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 30040 --ControlPort 29313 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 20875 --ControlPort 40072 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 33169 --ControlPort 43831 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 45990 --ControlPort 35145 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 39353 --ControlPort 39314 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 38651 --ControlPort 46740 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 40040 --ControlPort 46488 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 48685 --ControlPort 39090 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 39497 --ControlPort 22589 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 51818 --ControlPort 29232 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 20750 --ControlPort 45205 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 24975 --ControlPort 21539 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 32164 --ControlPort 45542 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 27619 --ControlPort 40913 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 27591 --ControlPort 26704 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 20303 --ControlPort 31422 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 42913 --ControlPort 31075 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 41545 --ControlPort 48712 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 37546 --ControlPort 38678 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 41098 --ControlPort 31247 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 33584 --ControlPort 33648 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 22971 --ControlPort 37864 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 47489 --ControlPort 38240 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 22670 --ControlPort 46428 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe'
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 48027 --ControlPort 24084 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 28213 --ControlPort 43992 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 45824 --ControlPort 25601 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 43392 --ControlPort 35759 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 30075 --ControlPort 38786 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 41221 --ControlPort 42663 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 25706 --ControlPort 22363 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 29010 --ControlPort 42171 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 35498 --ControlPort 44970 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 26287 --ControlPort 43847 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 52604 --ControlPort 20503 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 51107 --ControlPort 50191 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 38007 --ControlPort 31337 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 35457 --ControlPort 32287 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 47350 --ControlPort 21150 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 36941 --ControlPort 41724 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 33966 --ControlPort 23430 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 47753 --ControlPort 30383 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 26422 --ControlPort 44946 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 47506 --ControlPort 33030 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 36413 --ControlPort 49168 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 34945 --ControlPort 28909 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 52209 --ControlPort 29758 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 44221 --ControlPort 38588 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 24031 --ControlPort 32052 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 51673 --ControlPort 42386 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 25021 --ControlPort 48745 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 46924 --ControlPort 39072 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 24639 --ControlPort 49658 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 42704 --ControlPort 29930 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 33977 --ControlPort 22306 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 26270 --ControlPort 25829 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 29161 --ControlPort 38636 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 42355 --ControlPort 44767 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 43655 --ControlPort 35574 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 46777 --ControlPort 35573 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 25097 --ControlPort 36512 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 43986 --ControlPort 33290 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 23728 --ControlPort 34893 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 44648 --ControlPort 42483 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 37807 --ControlPort 22421 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 46418 --ControlPort 47938 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 26900 --ControlPort 23788 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 38127 --ControlPort 20467 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 34310 --ControlPort 26617 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 40600 --ControlPort 25249 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 36519 --ControlPort 51556 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 42798 --ControlPort 50303 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 42813 --ControlPort 29514 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 34309 --ControlPort 27616 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 38935 --ControlPort 37451 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 20053 --ControlPort 21999 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 47624 --ControlPort 40537 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 41548 --ControlPort 26483 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 47595 --ControlPort 24041 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 20900 --ControlPort 52591 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 38762 --ControlPort 21655 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 37410 --ControlPort 26359 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 23602 --ControlPort 44350 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 47348 --ControlPort 43199 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 39668 --ControlPort 44484 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 28281 --ControlPort 24734 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 30291 --ControlPort 50836 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 29374 --ControlPort 31020 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 24596 --ControlPort 44021 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 39718 --ControlPort 39895 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 25447 --ControlPort 41726 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 34771 --ControlPort 31538 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 23902 --ControlPort 20153 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 20292 --ControlPort 32382 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 37421 --ControlPort 38716 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 21869 --ControlPort 39912 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 51322 --ControlPort 50333 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 37673 --ControlPort 24664 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 35141 --ControlPort 27711 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 45667 --ControlPort 46299 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 37035 --ControlPort 29894 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 48703 --ControlPort 43811 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 52391 --ControlPort 34604 --DataDirectory "%APPDATA%\Roaming"
  • '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\vbc.exe'
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 26334 --ControlPort 46500 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 39169 --ControlPort 35724 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\wermgr.exe' -queuereporting
  • '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\dnv-y_en.cmdline"
  • '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES6789.tmp" "%TEMP%\CSC6779.tmp"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 31478 --ControlPort 49358 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 29961 --ControlPort 20491 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 22995 --ControlPort 31942 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 24827 --ControlPort 25436 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 46962 --ControlPort 44464 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 25705 --ControlPort 48145 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 43281 --ControlPort 36827 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 44084 --ControlPort 39954 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 38756 --ControlPort 31840 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 24966 --ControlPort 27376 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 35006 --ControlPort 51101 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 44393 --ControlPort 23548 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 39629 --ControlPort 32623 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 33931 --ControlPort 46308 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 36118 --ControlPort 22082 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 42929 --ControlPort 36541 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 24833 --ControlPort 51115 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 36944 --ControlPort 52439 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 44626 --ControlPort 31323 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 25537 --ControlPort 41538 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 44370 --ControlPort 35350 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 40037 --ControlPort 32859 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 28723 --ControlPort 29741 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 47529 --ControlPort 20778 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 48253 --ControlPort 26868 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 45547 --ControlPort 47644 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 52662 --ControlPort 52757 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 32316 --ControlPort 23035 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 39264 --ControlPort 42648 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 47446 --ControlPort 43805 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 35890 --ControlPort 26729 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 42190 --ControlPort 21842 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 20288 --ControlPort 50106 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 29040 --ControlPort 28942 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 48321 --ControlPort 39558 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 43646 --ControlPort 47982 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 20481 --ControlPort 24144 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 20912 --ControlPort 30808 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 21832 --ControlPort 40945 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 24313 --ControlPort 47756 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 43196 --ControlPort 40222 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 32044 --ControlPort 41659 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 46292 --ControlPort 46439 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 37253 --ControlPort 40024 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 27129 --ControlPort 22161 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 25535 --ControlPort 40450 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 31173 --ControlPort 30466 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 51185 --ControlPort 40053 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 39866 --ControlPort 32949 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 20193 --ControlPort 43195 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 23297 --ControlPort 40416 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 36279 --ControlPort 45996 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 36687 --ControlPort 32529 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 42549 --ControlPort 37437 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 48286 --ControlPort 36105 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 51316 --ControlPort 40671 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 25786 --ControlPort 32263 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 24313 --ControlPort 44355 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 44488 --ControlPort 36282 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 32455 --ControlPort 45734 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 38114 --ControlPort 31701 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 37192 --ControlPort 33985 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 23102 --ControlPort 28480 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 49213 --ControlPort 27627 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 27518 --ControlPort 28177 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 37773 --ControlPort 52270 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 21763 --ControlPort 22668 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 24802 --ControlPort 24099 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 33061 --ControlPort 34181 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 51003 --ControlPort 47432 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 37505 --ControlPort 47593 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 50527 --ControlPort 22625 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 21543 --ControlPort 21924 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 31023 --ControlPort 49972 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 27487 --ControlPort 48297 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 24474 --ControlPort 48022 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 22168 --ControlPort 34018 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 38787 --ControlPort 29905 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 46154 --ControlPort 49510 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 24745 --ControlPort 40649 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 33186 --ControlPort 28313 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 37958 --ControlPort 27391 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 49334 --ControlPort 45874 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 44372 --ControlPort 40159 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 31833 --ControlPort 48070 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 30202 --ControlPort 23625 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 46477 --ControlPort 24414 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 29314 --ControlPort 45824 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 27958 --ControlPort 26191 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 39815 --ControlPort 42888 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\conhost.exe' --SOCKSPort 39156 --ControlPort 31511 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 38538 --ControlPort 32292 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 26038 --ControlPort 44179 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 38190 --ControlPort 49657 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 36202 --ControlPort 22634 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 38875 --ControlPort 48433 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 49869 --ControlPort 40142 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 43844 --ControlPort 21416 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 44272 --ControlPort 40055 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 40328 --ControlPort 42646 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 46362 --ControlPort 24886 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 40472 --ControlPort 43622 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 23195 --ControlPort 40485 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 23093 --ControlPort 34343 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 50523 --ControlPort 21587 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 26224 --ControlPort 31008 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 25844 --ControlPort 52609 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 34989 --ControlPort 52702 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 49314 --ControlPort 29503 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 34798 --ControlPort 35281 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 39589 --ControlPort 40798 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 48009 --ControlPort 47157 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 27448 --ControlPort 45200 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 33458 --ControlPort 26618 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 40580 --ControlPort 39796 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 24169 --ControlPort 22154 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 45721 --ControlPort 37189 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 39976 --ControlPort 51329 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 47088 --ControlPort 51426 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 48617 --ControlPort 43757 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 29832 --ControlPort 50932 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 22368 --ControlPort 48692 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 50145 --ControlPort 38060 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 41718 --ControlPort 23753 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 36139 --ControlPort 32423 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 41425 --ControlPort 30555 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 23434 --ControlPort 36549 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 27441 --ControlPort 29512 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 44182 --ControlPort 30285 --DataDirectory "%APPDATA%\Roaming"
  • '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\csc.exe' --SOCKSPort 23557 --ControlPort 48476 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 47892 --ControlPort 44389 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 25075 --ControlPort 30712 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 41881 --ControlPort 51998 --DataDirectory "%APPDATA%\Roaming"
  • '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\cvtres.exe' --SOCKSPort 30322 --ControlPort 38651 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 30021 --ControlPort 25699 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 22600 --ControlPort 22510 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 33401 --ControlPort 29789 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 35255 --ControlPort 36423 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 25002 --ControlPort 30585 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\ntkrnlpa.exe' --SOCKSPort 41003 --ControlPort 46869 --DataDirectory "%APPDATA%\Roaming"
  • '<SYSTEM32>\taskhost.exe'
  • '<SYSTEM32>\ntoskrnl.exe' --SOCKSPort 37861 --ControlPort 34688 --DataDirectory "%APPDATA%\Roaming"
Injects code into
the following system processes:
  • <SYSTEM32>\taskhost.exe
Terminates or attempts to terminate
a large number of user processes.
Modifies file system :
Creates the following files:
  • %APPDATA%\Roaming\1783ECDE1BB803963A04C62452935
  • %APPDATA%\Roaming\1783ECDE1BB803964E26992B11493
  • %APPDATA%\Roaming\AtYcqen.exe
  • C:\ProgramData\Microsoft\Windows\WER\ReportQueue\NonCritical_80072f78_805ff6e6daf5fedbb13daf2b1d56b5cbd7ea195_cab_0d78a63d\client_manifest.txt
  • C:\ProgramData\Microsoft\Windows\WER\ReportQueue\NonCritical_7.6.7600.256_d2caf64b7dbca2d781154d2562964c262846251_cab_074ca4f5\Report.wer
  • %WINDIR%\Temp\OutofProcReport1089637.txt
  • %TEMP%\dnv-y_en.out
  • %TEMP%\dnv-y_en.cmdline
  • %TEMP%\dnv-y_en.0.cs
  • %TEMP%\dnv-y_en.dll
  • %TEMP%\RES6789.tmp
  • %TEMP%\CSC6779.tmp
Sets the 'hidden' attribute to the following files:
  • %APPDATA%\Roaming\1783ECDE1BB803963A04C62452935
  • %APPDATA%\Roaming\1783ECDE1BB803964E26992B11493
  • %APPDATA%\Roaming\AtYcqen.exe
Deletes the following files:
  • %TEMP%\dnv-y_en.0.cs
  • %TEMP%\dnv-y_en.cmdline
  • %WINDIR%\Temp\OutofProcReport1089637.txt
  • %TEMP%\dnv-y_en.dll
  • %TEMP%\RES6789.tmp
  • %TEMP%\CSC6779.tmp
  • %TEMP%\dnv-y_en.out
Network activity:
Connects to:
  • 'download.windowsupdate.com':80
  • '20#.#6.232.182':80
  • 'ip##.#canhazip.com':80
  • 'ch####p.dyndns.org':80
TCP:
HTTP GET requests:
  • ch####p.dyndns.org/
  • ip##.#canhazip.com/
UDP:
  • DNS ASK do#####d.microsoft.com
  • DNS ASK www.up####.microsoft.com
  • DNS ASK download.windowsupdate.com
  • DNS ASK ip##.#canhazip.com
  • DNS ASK ch####p.dyndns.org
Miscellaneous:
Searches for the following windows:
  • ClassName: 'Indicator' WindowName: '(null)'

Curing recommendations

  1. If the operating system (OS) can be loaded (either normally or in safe mode), download Dr.Web Security Space and run a full scan of your computer and removable media you use. More about Dr.Web Security Space.
  2. If you cannot boot the OS, change the BIOS settings to boot your system from a CD or USB drive. Download the image of the emergency system repair disk Dr.Web® LiveDisk , mount it on a USB drive or burn it to a CD/DVD. After booting up with this media, run a full scan and cure all the detected threats.
Free trial

 

Download Dr.Web

Download by serial number

Use Dr.Web Anti-virus for macOS to run a full scan of your Mac.

Free trial

 

Download Dr.Web

Download by serial number

Download on App Store

After booting up, run a full scan of all disk partitions with Dr.Web Anti-virus for Linux.

Free trial

 

Download Dr.Web

Download by serial number

  1. If the mobile device is operating normally, download and install Dr.Web for Android. Run a full system scan and follow recommendations to neutralize the detected threats.
  2. If the mobile device has been locked by Android.Locker ransomware (the message on the screen tells you that you have broken some law or demands a set ransom amount; or you will see some other announcement that prevents you from using the handheld normally), do the following:
    • Load your smartphone or tablet in the safe mode (depending on the operating system version and specifications of the particular mobile device involved, this procedure can be performed in various ways; seek clarification from the user guide that was shipped with the device, or contact its manufacturer);
    • Once you have activated safe mode, install the Dr.Web for Android onto the infected handheld and run a full scan of the system; follow the steps recommended for neutralizing the threats that have been detected;
    • Switch off your device and turn it on as normal.

Find out more about Dr.Web for Android

Free trial

14 days

Download now
Get it on Google Play