Technical Information
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Encrypting Windows AutoConfig Security' = '%APPDATA%\hkscdunlkzdi\twgbiiocs.exe'
- '%APPDATA%\hkscdunlkzdi\bcawahs.exe' "%APPDATA%\hkscdunlkzdi\twgbiiocs.exe"
- '%APPDATA%\hkscdunlkzdi\twgbiiocs.exe'
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
- %APPDATA%\hkscdunlkzdi\twgbiiocs.jzzh
- %APPDATA%\hkscdunlkzdi\bcawahs.exe
- %APPDATA%\hkscdunlkzdi\twgbiiocs.exe
- %APPDATA%\hkscdunlkzdi\twgbiiocs.exe
- 'am####method.net':80
- 'hi####ybrought.net':80
- 'st####ebrought.net':80
- 'we####raction.net':80
- 'am####action.net':80
- 'we####rmethod.net':80
- 'st####eaction.net':80
- 'hi####ymethod.net':80
- 'st####emethod.net':80
- 'hi####ydirect.net':80
- 'st####edirect.net':80
- 'hi####yaction.net':80
- 'th###direct.net':80
- 'cl###action.net':80
- 'th###action.net':80
- 'cl####rought.net':80
- 'th####rought.net':80
- 'cl###direct.net':80
- 'am####brought.net':80
- 'we####rdirect.net':80
- 'am####direct.net':80
- 'cl###method.net':80
- 'th###method.net':80
- 'we####rbrought.net':80
- 'mo####gbrought.net':80
- 'al####rought.net':80
- 'of####rought.net':80
- 'al###direct.net':80
- 'mi####action.net':80
- 'tw####method.net':80
- 'mi####method.net':80
- 'al###method.net':80
- 'of###method.net':80
- 'co####ebrought.net':80
- 'of###direct.net':80
- 'al###action.net':80
- 'of###action.net':80
- 'mo####gaction.net':80
- 'ra####action.net':80
- 'mo####gmethod.net':80
- 'ra####brought.net':80
- 'mo####gdirect.net':80
- 'ra####direct.net':80
- 'tw####direct.net':80
- 'mi####direct.net':80
- 'tw####action.net':80
- 'ra####method.net':80
- 'tw####brought.net':80
- 'mi####brought.net':80
- am####method.net/index.php?em########################################
- hi####ybrought.net/index.php?em########################################
- st####ebrought.net/index.php?em########################################
- we####raction.net/index.php?em########################################
- am####action.net/index.php?em########################################
- we####rmethod.net/index.php?em########################################
- st####eaction.net/index.php?em########################################
- hi####ymethod.net/index.php?em########################################
- st####emethod.net/index.php?em########################################
- hi####ydirect.net/index.php?em########################################
- st####edirect.net/index.php?em########################################
- hi####yaction.net/index.php?em########################################
- th###direct.net/index.php?em########################################
- cl###action.net/index.php?em########################################
- th###action.net/index.php?em########################################
- cl####rought.net/index.php?em########################################
- th####rought.net/index.php?em########################################
- cl###direct.net/index.php?em########################################
- am####brought.net/index.php?em########################################
- we####rdirect.net/index.php?em########################################
- am####direct.net/index.php?em########################################
- cl###method.net/index.php?em########################################
- th###method.net/index.php?em########################################
- we####rbrought.net/index.php?em########################################
- mo####gbrought.net/index.php?em########################################
- al####rought.net/index.php?em########################################
- of####rought.net/index.php?em########################################
- al###direct.net/index.php?em########################################
- mi####action.net/index.php?em########################################
- tw####method.net/index.php?em########################################
- mi####method.net/index.php?em########################################
- al###method.net/index.php?em########################################
- of###method.net/index.php?em########################################
- co####ebrought.net/index.php?em########################################
- of###direct.net/index.php?em########################################
- al###action.net/index.php?em########################################
- of###action.net/index.php?em########################################
- mo####gaction.net/index.php?em########################################
- ra####action.net/index.php?em########################################
- mo####gmethod.net/index.php?em########################################
- ra####brought.net/index.php?em########################################
- mo####gdirect.net/index.php?em########################################
- ra####direct.net/index.php?em########################################
- tw####direct.net/index.php?em########################################
- mi####direct.net/index.php?em########################################
- tw####action.net/index.php?em########################################
- ra####method.net/index.php?em########################################
- tw####brought.net/index.php?em########################################
- mi####brought.net/index.php?em########################################
- DNS ASK am####method.net
- DNS ASK hi####ybrought.net
- DNS ASK st####ebrought.net
- DNS ASK we####raction.net
- DNS ASK am####action.net
- DNS ASK we####rmethod.net
- DNS ASK st####eaction.net
- DNS ASK hi####ymethod.net
- DNS ASK st####emethod.net
- DNS ASK hi####ydirect.net
- DNS ASK st####edirect.net
- DNS ASK hi####yaction.net
- DNS ASK am####direct.net
- DNS ASK cl###direct.net
- DNS ASK th###direct.net
- DNS ASK cl###action.net
- DNS ASK th###speak.net
- DNS ASK cl####rought.net
- DNS ASK th####rought.net
- DNS ASK we####rbrought.net
- DNS ASK am####brought.net
- DNS ASK we####rdirect.net
- DNS ASK th###action.net
- DNS ASK cl###method.net
- DNS ASK th###method.net
- DNS ASK al####rought.net
- DNS ASK of####rought.net
- DNS ASK al###direct.net
- DNS ASK mi####action.net
- DNS ASK tw####method.net
- DNS ASK mi####method.net
- DNS ASK al###method.net
- DNS ASK of###method.net
- DNS ASK co####ebrought.net
- DNS ASK of###direct.net
- DNS ASK al###action.net
- DNS ASK of###action.net
- DNS ASK tw####action.net
- DNS ASK ra####direct.net
- DNS ASK mo####gaction.net
- DNS ASK ra####action.net
- DNS ASK mo####gbrought.net
- DNS ASK ra####brought.net
- DNS ASK mo####gdirect.net
- DNS ASK mi####brought.net
- DNS ASK tw####direct.net
- DNS ASK mi####direct.net
- DNS ASK mo####gmethod.net
- DNS ASK ra####method.net
- DNS ASK tw####brought.net
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'Indicator' WindowName: ''