Trojan.PWS.Siggen2.51513

• [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'ddyauzsc' = '%APPDATA%\ddyauzsc.exe'

• <SYSTEM32>\tasks\nvngxupdatecheckdaily_{78821544-1544-1544-1544-788215441544}

• '%WINDIR%\syswow64\taskkill.exe' /F /PID 1040

• [<HKCU>\Software\Martin Prikryl]
• [<HKLM>\Software\Wow6432Node\Martin Prikryl]

• %LOCALAPPDATA%\google\chrome\user data\default\cookies
• %APPDATA%\opera software\opera stable\login data
• %APPDATA%\thunderbird\profiles.ini
• %LOCALAPPDATA%\google\chrome\user data\default\web data

• %TEMP%\4dd3.tmp
• %TEMP%\6210.tmp
• %TEMP%\6221.tmp
• %TEMP%\6222.tmp
• %TEMP%\6233.tmp
• %TEMP%\6234.tmp
• %TEMP%\6273.tmp
• %TEMP%\6273.tmp-shm
• nul
• %APPDATA%\svchostw.exe
• %LOCALAPPDATA%low\fraqbc8wsa
• %LOCALAPPDATA%low\1xvpfvjcrg
• %LOCALAPPDATA%low\rywtiizs2t
• %LOCALAPPDATA%low\rqf69azbla
• %LOCALAPPDATA%low\x3cf3ednhm
• %LOCALAPPDATA%low\3solbph71y
• %LOCALAPPDATA%low\exuieaoeii
• %TEMP%\61ef.tmp
• %TEMP%\620f.tmp
• %TEMP%\61ee.tmp
• %TEMP%\60f3.tmp
• %TEMP%\60f2.tmp
• %APPDATA%\ibtrawb
• %TEMP%\1ba8.tmp.exe
• %TEMP%\232b.tmp.exe
• %TEMP%\29e2.tmp.exe
• %TEMP%\326f.tmp.exe
• %TEMP%\3956.tmp.exe
• %TEMP%\401d.tmp.exe
• %LOCALAPPDATA%low\gxix4a2dre
• %LOCALAPPDATA%low\sqlite3.dll
• %APPDATA%\ddyauzsc.exe
• %PROGRAMDATA%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\3ccd5499-87a8-4b10-a215-608888dd3b55.vsch
• %PROGRAMDATA%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\2f1a6504-0641-44cf-8bb5-3612d865f2e5.vsch
• %LOCALAPPDATA%\microsoft\vault\4bf4c442-9b8a-41a0-b380-dd4a704ddb28\policy.vpol
• %TEMP%\5e2f.tmp
• %TEMP%\5e2f.tmp-shm
• %TEMP%\60d1.tmp
• %TEMP%\60d2.tmp
• %APPDATA%\grssvfu
• %PROGRAMDATA%\microsoft\vault\ac658cb4-9126-49bd-b877-31eedab3f204\policy.vpol
• %LOCALAPPDATA%low\bbsqwy6yhk

• %APPDATA%\grssvfu
• %APPDATA%\ibtrawb

• %TEMP%\3956.tmp.exe
• %LOCALAPPDATA%low\exuieaoeii
• %LOCALAPPDATA%low\3solbph71y
• %LOCALAPPDATA%low\x3cf3ednhm
• %LOCALAPPDATA%low\rqf69azbla
• %LOCALAPPDATA%low\rywtiizs2t
• %LOCALAPPDATA%low\1xvpfvjcrg
• %LOCALAPPDATA%low\fraqbc8wsa
• %TEMP%\6273.tmp
• %TEMP%\6273.tmp-shm
• %TEMP%\6234.tmp
• %TEMP%\6233.tmp
• %TEMP%\6222.tmp
• %TEMP%\6221.tmp
• %TEMP%\6210.tmp
• %TEMP%\620f.tmp
• %TEMP%\61ef.tmp
• %TEMP%\61ee.tmp
• %TEMP%\60f3.tmp
• %TEMP%\60f2.tmp
• %TEMP%\60d2.tmp
• %TEMP%\60d1.tmp
• %TEMP%\5e2f.tmp
• %TEMP%\5e2f.tmp-shm
• %LOCALAPPDATA%low\gxix4a2dre
• %LOCALAPPDATA%low\bbsqwy6yhk

• 'un###dhn.com':80
• 'er#####t-saarland.de':443
• 'ph.##c-argo.org':80
• 'so#i.pl':443
• 'fa#####wardesports.com':443

'localhost':49661

'nu###gkart.com':443

'an###lena.at':443

'localhost':49725

'localhost':49723

'localhost':49682

'localhost':49720

'localhost':49718

'localhost':49714

'localhost':49677

'localhost':49665

'localhost':49712

'localhost':49709

'localhost':49690

'localhost':49640

'localhost':49707

'localhost':49698

'localhost':49705

'localhost':49703

'localhost':49701

'localhost':49699

'localhost':49697

'localhost':49695

'localhost':49652

'localhost':49657

'localhost':49644

'localhost':49648

'localhost':49689

'localhost':49687

'localhost':49685

'localhost':49669

'localhost':49686

'localhost':49673

'localhost':49753

'localhost':49757

'localhost':49759

'localhost':49761

'localhost':49763

'localhost':49765

'localhost':49767

'5k##ks.co':443

'localhost':49637

'fo#####ngs-werkstatt.de':443

'im#####lhackspace.com':443

'localhost':49771

'localhost':49773

'localhost':49775

'localhost':49777

'localhost':49683

'localhost':49681

'localhost':49751

'localhost':49749

'localhost':49747

'localhost':49726

'localhost':49721

'localhost':49702

'localhost':49710

'localhost':49715

'localhost':49706

'localhost':49739

'localhost':49737

'localhost':49735

'localhost':49733

'xi###inuoma.lt':443

'localhost':49755

'localhost':49679

'localhost':49628

'fe#####ouce-laine.com':443

'localhost':49625

'localhost':49533

'localhost':49622

'localhost':49620

'localhost':49574

'localhost':49582

'localhost':49569

'localhost':49565

'pd##.com':443

'localhost':49614

'localhost':49612

'localhost':49610

'ly###rra.com':443

'ha###roehl.de':443

'localhost':49557

'localhost':49606

'localhost':49604

'localhost':49602

'localhost':49600

'localhost':49598

'localhost':49596

'localhost':49594

'localhost':49592

'localhost':49590

'localhost':49552

'localhost':49548

'localhost':49544

'localhost':49585

'localhost':49583

'localhost':49561

'ca#####eriaeguren.es':443

'localhost':49627

'localhost':49578

'localhost':49676

'sw###qbi.com':443

'localhost':49674

'localhost':49672

'localhost':49670

'localhost':49668

'localhost':49666

'localhost':49664

'localhost':49662

'vi##eb.com':443

'br######oilandgravel.com':443

'localhost':49660

'localhost':49658

'localhost':49656

'localhost':49654

'localhost':49651

'localhost':49623

'localhost':49615

'localhost':49649

'localhost':49647

'localhost':49645

'localhost':49643

'localhost':49641

'localhost':49639

'localhost':49769

'cl##d.ca':443

'localhost':49586

'localhost':49611

'localhost':49597

'localhost':49605

'localhost':49601

'localhost':49593

'localhost':49779

'localhost':49445

'localhost':49781

'localhost':49785

'id##ew.sk':443

'sc####ijzfit6.pl':443

'fl###-back.eu':443

'xt###erain.com':443

'localhost':49849

'localhost':49929

'localhost':49919

'localhost':49869

'localhost':49840

'localhost':49836

'localhost':49826

'localhost':49861

'localhost':49873

'localhost':49865

'localhost':49885

'localhost':49845

'localhost':49915

'localhost':49913

'localhost':49911

'localhost':49909

'localhost':49907

'localhost':49905

'localhost':49903

'localhost':49901

'localhost':49899

'localhost':49897

'localhost':49895

'localhost':49893

'localhost':49891

'localhost':49889

'localhost':49917

'localhost':49887

'localhost':49932

'localhost':49963

'localhost':49967

'localhost':49969

'localhost':49971

'localhost':49973

'localhost':49975

'localhost':49977

'14#2.cl':443

'localhost':49783

'localhost':49981

'localhost':49983

'localhost':49886

'localhost':49882

'localhost':49890

'localhost':49898

'localhost':49936

'localhost':49934

'localhost':49961

'localhost':49878

'localhost':49958

'localhost':49956

'localhost':49954

'localhost':49952

'localhost':49950

'localhost':49948

'tu##mer.com':443

'localhost':49946

'localhost':49944

'localhost':49942

'localhost':49940

'localhost':49938

'localhost':49965

'localhost':49883

'localhost':49881

'localhost':49879

'lu######riphotography.com':443

'localhost':49790

'localhost':49750

'localhost':49786

'localhost':49782

'localhost':49774

'localhost':49825

'localhost':49766

'localhost':49823

'localhost':49758

'localhost':49736

'localhost':49762

'localhost':49740

'localhost':49835

'localhost':49817

'localhost':49813

'localhost':49811

'localhost':49809

'localhost':49807

'localhost':49805

'localhost':49803

'localhost':49801

'localhost':49799

'localhost':49797

'localhost':49795

'localhost':49793

'localhost':49791

'localhost':49789

'localhost':49787

'localhost':49815

'localhost':49837

'localhost':49833

'ad###egels.be':443

'th#.xyz':443

'localhost':49810

'localhost':49877

'localhost':49875

'localhost':49818

'localhost':49872

'localhost':49870

'localhost':49868

'localhost':49866

'localhost':49864

'localhost':49862

'la####iabouix.com':443

'localhost':49860

'localhost':49858

'wh####ishenergy.com':443

'ro#####ckchamber.org':443

'localhost':49754

'va###ghhuis.com':443

'localhost':49802

'localhost':49806

'localhost':49814

'localhost':49778

'ra####yoolaws.com':443

'localhost':49798

'localhost':49770

'localhost':49848

'localhost':49846

'localhost':49844

'localhost':49842

'ma###slab.it':443

'localhost':49839

'localhost':49794

'localhost':49581

'localhost':49579

'localhost':49577

'localhost':49562

'localhost':49309

'localhost':49325

'localhost':49323

'localhost':49305

'localhost':49320

'localhost':49318

'localhost':49316

'localhost':49314

'localhost':49312

'localhost':49310

'localhost':49308

'localhost':49306

'localhost':49304

'localhost':49302

'localhost':49283

'localhost':49277

'in########nalsalsashinescontest.com':443

'ma#####ta.plmr.digital':443

'localhost':49290

'pi#####echromedur.fr':443

'localhost':49268

'localhost':49272

'du###astop.de':443

'th####vintage.fr':443

'localhost':49263

'localhost':49258

'localhost':49293

'localhost':49291

'localhost':49289

'localhost':49287

'localhost':49286

'localhost':49285

'localhost':49328

'localhost':49356

'localhost':49343

'ma####sports.com':443

'localhost':49294

'localhost':49354

'localhost':49348

'be#####.homedec.club':443

'localhost':49364

'ma####ditcard.com':443

'localhost':49366

'localhost':49368

'sh####fukuda.com':443

'localhost':49370

'localhost':49372

'localhost':49374

'localhost':49332

'localhost':49330

'localhost':49335

'localhost':49353

'localhost':49351

'localhost':49331

'localhost':49313

'localhost':49347

'localhost':49345

'localhost':49326

'localhost':49342

'localhost':49340

'af#####60degrees.com':443

'localhost':49338

'localhost':49336

'localhost':49334

'localhost':49358

'localhost':49281

'localhost':49279

'ne##d.pl':443

'localhost':49228

'localhost':49226

'localhost':49224

'localhost':49205

'localhost':49201

'localhost':49220

'localhost':49218

'localhost':49216

'localhost':49214

'localhost':49212

'localhost':49210

'localhost':49208

'localhost':49206

'localhost':49209

'localhost':49213

'localhost':49204

'localhost':49198

'localhost':49202

'te##te.in':443

'qz.##pcurnet.ru':443

'uu#.#hifink.ru':443

'localhost':49176

'localhost':49178

'localhost':49179

'bd#s.co':443

'localhost':49181

'localhost':49184

'localhost':49187

'n2.##jndad.ru':443

'localhost':49195

'localhost':49200

'localhost':49217

'localhost':49227

'localhost':49254

'localhost':49251

'localhost':49276

'localhost':49274

'localhost':49250

'localhost':49271

'localhost':49269

'localhost':49267

'localhost':49264

'localhost':49246

'localhost':49262

'localhost':49259

'localhost':49240

'localhost':49257

'localhost':49255

'localhost':49253

'localhost':49249

'localhost':49230

'localhost':49247

'localhost':49245

'localhost':49243

'bi#####gestorage.com.au':443

'localhost':49231

'jo####sfitness.com':443

'ba###find.com':443

'ma##ry.info':443

'localhost':49239

'localhost':49237

'co###urger.it':443

'xe##ode.com':443

'ty##helo.be':443

'localhost':49221

'localhost':49376

'localhost':49979

'localhost':49910

'localhost':49367

'localhost':49506

'localhost':49502

'localhost':49498

'localhost':49470

'localhost':49466

'localhost':49493

'localhost':49489

'in###zuki.com':443

'localhost':49517

'localhost':49515

'localhost':49513

'localhost':49511

'localhost':49509

'localhost':49507

'localhost':49462

'localhost':49505

'localhost':49501

'localhost':49499

'localhost':49497

'localhost':49494

'localhost':49454

'localhost':49492

'localhost':49490

'yo#####eich-leben.de':443

'ko##aika.fi':443

'su####4x4hire.com':443

'sm####dankert.de':443

'me######entalclinic.co.uk':443

'localhost':49488

'localhost':49486

'localhost':49503

'be#####ndbalfestival.nl':443

'localhost':49526

'localhost':49547

'localhost':49529

'localhost':49551

'localhost':49554

'localhost':49556

'localhost':49558

'localhost':49560

'localhost':49564

'localhost':49575

'localhost':49566

'localhost':49537

'he#####nyonmarine.com':443

'localhost':49568

'localhost':49571

'localhost':49573

'localhost':49530

'localhost':49528

'localhost':49545

'localhost':49543

'localhost':49541

'kd##b.org':443

'zw###zbuk.pl':443

'co####eyaaron.com':443

'localhost':49518

'localhost':49514

'ca###nvoice.it':443

'localhost':49510

'wa##vn.net':443

'localhost':49536

'localhost':49534

'localhost':49532

'localhost':49549

'localhost':49458

'localhost':49446

'localhost':49438

'localhost':49419

'localhost':49417

'localhost':49415

'localhost':49391

'localhost':49412

'localhost':49410

'localhost':49408

'localhost':49406

'localhost':49404

'localhost':49402

'localhost':49400

'localhost':49398

'localhost':49387

'localhost':49423

'gr###tube.com':443

'hk###tair.com':443

'localhost':49379

'localhost':49317

'localhost':49321

'localhost':49375

'localhost':49282

'localhost':49390

'localhost':49388

'localhost':49386

'localhost':49384

'localhost':49339

'th##assa.ch':443

'localhost':49371

'ka####global.com':443

'nj##jn.com':443

'localhost':49425

'localhost':49421

'localhost':49427

'localhost':49450

'localhost':49461

'localhost':49442

'localhost':49434

'localhost':49422

'localhost':49430

'localhost':49401

'localhost':49426

'localhost':49405

'localhost':49418

'localhost':49413

'localhost':49409

'localhost':49469

'localhost':49467

'localhost':49465

'localhost':49463

'localhost':49459

'localhost':49429

'localhost':49457

'localhost':49455

'localhost':49453

'localhost':49451

'localhost':49449

'localhost':49447

'localhost':49378

'localhost':49443

'localhost':49441

'localhost':49439

'localhost':49437

'localhost':49435

'localhost':49433

'localhost':49431

'localhost':49359

'localhost':49918

• DNS ASK 10###########lder1002002131-service1002.space
• DNS ASK ru##ch.eu
• DNS ASK si####adrianne.com
• DNS ASK ta##na.fr
• DNS ASK da########boroughsfirstlife.co.uk
• DNS ASK gr#####astermurah.com
• DNS ASK an###lena.at
• DNS ASK al#####oorsafrica.com
• DNS ASK it####rtsnepal.com
• DNS ASK an###-ah.com
• DNS ASK na####alstrings.com
• DNS ASK ik##iro.com
• DNS ASK 80###twife.com
• DNS ASK xi###inuoma.lt
• DNS ASK we###truly.it
• DNS ASK lo###tegal.id
• DNS ASK mo####elianmeng.com
• DNS ASK nu###gkart.com
• DNS ASK vi##eb.com
• DNS ASK bl###nama.com
• DNS ASK od####inners.co.uk
• DNS ASK h-#a.nl
• DNS ASK pd##.com
• DNS ASK ly###rra.com
• DNS ASK sh##das.in
• DNS ASK ei####in.gatech.edu
• DNS ASK so########icresourceslimited.com.au
• DNS ASK ja####classic.com
• DNS ASK sw###qbi.com
• DNS ASK cl##d.ca
• DNS ASK fe#####ouce-laine.com
• DNS ASK ha###roehl.de
• DNS ASK ti###norway.no
• DNS ASK br######oilandgravel.com
• DNS ASK ho###-europe.ch
• DNS ASK ex###didate.com
• DNS ASK sw###foxit.com
• DNS ASK ca#####eriaeguren.es
• DNS ASK fo#####ngs-werkstatt.de
• DNS ASK im#####lhackspace.com
• DNS ASK fa#####wardesports.com
• DNS ASK ds###kurs.de
• DNS ASK sc####ijzfit6.pl
• DNS ASK pi####research.org
• DNS ASK tu##mer.com
• DNS ASK id##ew.sk
• DNS ASK fl###-back.eu
• DNS ASK no####atklubb.se
• DNS ASK ea####brucebeef.ca
• DNS ASK mi######-viborg-husflid.dk
• DNS ASK xt###erain.com
• DNS ASK vi###rmusik.com
• DNS ASK ph.##c-argo.org
• DNS ASK un###dhn.com
• DNS ASK er#####t-saarland.de
• DNS ASK he####nnovations.de
• DNS ASK np###bije.rs
• DNS ASK 14#2.cl
• DNS ASK so#i.pl
• DNS ASK th#.xyz
• DNS ASK me###erde.lu
• DNS ASK gr####acreativa.cl
• DNS ASK ps#7.fr
• DNS ASK ro#####ckchamber.org
• DNS ASK kw###movers.com
• DNS ASK lu######riphotography.com
• DNS ASK ra####yoolaws.com
• DNS ASK ma###slab.it
• DNS ASK fe######rlypsychosis.org
• DNS ASK bi###kirken.no
• DNS ASK ad###egels.be
• DNS ASK va###ghhuis.com
• DNS ASK di####butormdf.com
• DNS ASK wh####ishenergy.com
• DNS ASK ar###cafandb.it
• DNS ASK pr###news.net
• DNS ASK te#####a-istanbul.com
• DNS ASK cn##reza.cz
• DNS ASK ka###anew.com
• DNS ASK he#####nyonmarine.com
• DNS ASK 5k##ks.co
• DNS ASK la####iabouix.com
• DNS ASK ba###find.com
• DNS ASK bi#####gestorage.com.au
• DNS ASK ne##d.pl
• DNS ASK ma####nrooijen.com
• DNS ASK du###astop.de
• DNS ASK th####vintage.fr
• DNS ASK pi#####echromedur.fr
• DNS ASK ma##ry.info
• DNS ASK jo####sfitness.com
• DNS ASK ma#####ta.plmr.digital
• DNS ASK ae#f.cn
• DNS ASK nj##jn.com
• DNS ASK in###zuki.com
• DNS ASK 10####adgets.com
• DNS ASK th###py-sana.jp
• DNS ASK af#####60degrees.com
• DNS ASK pa##e.pl
• DNS ASK ba######echlerferrari.com
• DNS ASK in########nalsalsashinescontest.com
• DNS ASK xe##ode.com
• DNS ASK ma####ditcard.com
• DNS ASK 10##########older3100231-service1002.space
• DNS ASK 10###########lder1002002431-service1002.space
• DNS ASK 10###########lder1002002531-service1002.space
• DNS ASK 10##########older33417-01242510022020.space
• DNS ASK 10############5831-service1002012510022020.space
• DNS ASK 10############6831-service1002012510022020.space
• DNS ASK 10############7831-service1002012510022020.space
• DNS ASK 10###########lder1002002231-service1002.space
• DNS ASK te##te.in
• DNS ASK uu#.#hifink.ru
• DNS ASK bd#s.co
• DNS ASK k6###847.lib
• DNS ASK n2.##jndad.ru
• DNS ASK ca##ad.club
• DNS ASK co###urger.it
• DNS ASK ty##helo.be
• DNS ASK qz.##pcurnet.ru
• DNS ASK el###ilson.com
• DNS ASK bo###igi.com
• DNS ASK zw###zbuk.pl
• DNS ASK gj###.wpengine.com
• DNS ASK su####4x4hire.com
• DNS ASK ne#.#ogow.pl
• DNS ASK ac###ance.com
• DNS ASK no####nemovies.com
• DNS ASK er###affer.com
• DNS ASK cb###-yy.com
• DNS ASK me######entalclinic.co.uk
• DNS ASK sm####dankert.de
• DNS ASK yo#####eich-leben.de
• DNS ASK re####methink.fr
• DNS ASK se######ancejobcenter.com
• DNS ASK ca###nvoice.it
• DNS ASK co####eyaaron.com
• DNS ASK ya###ngliu.com
• DNS ASK kd##b.org
• DNS ASK pr#####y360online.com
• DNS ASK wa##vn.net
• DNS ASK ko##aika.fi
• DNS ASK be#####ndbalfestival.nl
• DNS ASK ma###ali.com
• DNS ASK ca###carmen.com
• DNS ASK ma####sports.com
• DNS ASK hk###tair.com
• DNS ASK be#####.homedec.club
• DNS ASK or###.nk.com.ua
• DNS ASK sh####fukuda.com
• DNS ASK ka####global.com
• DNS ASK ge####gmill.co.uk
• DNS ASK th##assa.ch
• DNS ASK my#######nairecottagecare.com
• DNS ASK gr###tube.com
• DNS ASK se###trees.se
• DNS ASK me####thlorch.com
• DNS ASK be###gunduz.com
• DNS ASK mi####enardella.it
• DNS ASK bi##i.xyz
• DNS ASK me###hadteb.com
• DNS ASK xn#####hngare-w2ac.com
• DNS ASK de#####romantico.com

• ClassName: '' WindowName: ''

• '%TEMP%\1ba8.tmp.exe'
• '%TEMP%\232b.tmp.exe'
• '%TEMP%\29e2.tmp.exe'
• '%TEMP%\326f.tmp.exe'
• '%TEMP%\3956.tmp.exe'
• '%TEMP%\401d.tmp.exe'
• '%APPDATA%\ddyauzsc.exe'
• '%APPDATA%\svchostw.exe'

• '%WINDIR%\syswow64\cmd.exe' /C ping 1.1.1.1 -n 1 -w -n 1 -w3000 > Nul & Del /f /q "%TEMP%\3956.tmp.exe"/f /q "(null)"
• '%WINDIR%\syswow64\ping.exe' 1.1.1.1 -n 1 -w -n 1 -w3000
• '%WINDIR%\syswow64\explorer.exe'
• '%WINDIR%\explorer.exe'
• '%WINDIR%\microsoft.net\framework\v4.0.30319\addinprocess32.exe'
• '%WINDIR%\syswow64\cmd.exe' /C taskkill /F /PID 1040 && choice /C Y /N /D Y /T 3 & Del "%WINDIR%\Microsoft.NET\Framework\v4.0.30319\AddInProcess32.exe"
• '%WINDIR%\syswow64\choice.exe' /C Y /N /D Y /T 3