sality | 5b318d19d32ab37e37711ec351a00c952edfea259a367ccad3817039c0a50ce2

Modify Existing Service

T1031

Processes:

virussign.exeexplorer.exe

description	ioc	process
Set value (int)	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\EnableFirewall = "0"	virussign.exe
Set value (int)	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\DoNotAllowExceptions = "0"	virussign.exe
Set value (int)	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\DisableNotifications = "1"	virussign.exe
Set value (int)	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\EnableFirewall = "0"	explorer.exe
Set value (int)	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\DoNotAllowExceptions = "0"	explorer.exe
Set value (int)	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\DisableNotifications = "1"	explorer.exe

Sality
Sality is backdoor written in C++, first discovered in 2003.
backdoor sality

UAC bypass 3 TTPs 2 IoCs

Bypass User Account Control

T1088

Disabling Security Tools

Modify Registry

Processes:

virussign.exeexplorer.exe

description	ioc	process
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	virussign.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	explorer.exe

Windows security bypass 2 TTPs 12 IoCs

Disabling Security Tools

Modify Registry

Processes:

virussign.exeexplorer.exe

description	ioc	process
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\FirewallDisableNotify = "1"	virussign.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\FirewallOverride = "1"	virussign.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\AntiVirusDisableNotify = "1"	explorer.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\FirewallOverride = "1"	explorer.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\UpdatesDisableNotify = "1"	explorer.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\UacDisableNotify = "1"	explorer.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\AntiVirusOverride = "1"	virussign.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\AntiVirusDisableNotify = "1"	virussign.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\UpdatesDisableNotify = "1"	virussign.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\UacDisableNotify = "1"	virussign.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\AntiVirusOverride = "1"	explorer.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\FirewallDisableNotify = "1"	explorer.exe

Executes dropped EXE 64 IoCs

Processes:

explorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exesmss.exeexplorer.exesmss.exeexplorer.exesmss.exeexplorer.exeexplorer.exeexplorer.exesmss.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exesmss.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exesmss.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exesmss.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exesmss.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exesmss.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exesmss.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exesmss.exeexplorer.exeexplorer.exeexplorer.exesmss.exeexplorer.exe

pid	process
4412	explorer.exe
1760	explorer.exe
4712	explorer.exe
2336	explorer.exe
3868	explorer.exe
4260	explorer.exe
4980	explorer.exe
2288	explorer.exe
4492	smss.exe
968	explorer.exe
4844	smss.exe
2208	explorer.exe
2520	smss.exe
1472	explorer.exe
2672	explorer.exe
952	explorer.exe
4736	smss.exe
1392	explorer.exe
956	explorer.exe
1984	explorer.exe
3032	explorer.exe
2956	smss.exe
1248	explorer.exe
4748	explorer.exe
2960	explorer.exe
3480	explorer.exe
4276	explorer.exe
2832	smss.exe
1600	explorer.exe
1624	explorer.exe
3760	explorer.exe
1556	explorer.exe
4340	explorer.exe
3448	smss.exe
4308	explorer.exe
3576	explorer.exe
1536	explorer.exe
3720	explorer.exe
3152	explorer.exe
4476	smss.exe
972	explorer.exe
4672	explorer.exe
3552	explorer.exe
1844	explorer.exe
4452	explorer.exe
1744	explorer.exe
4536	explorer.exe
4820	explorer.exe
3256	smss.exe
3632	explorer.exe
3288	explorer.exe
740	explorer.exe
2176	explorer.exe
2820	smss.exe
2292	explorer.exe
1728	explorer.exe
4376	explorer.exe
3680	explorer.exe
2648	smss.exe
3044	explorer.exe
3916	explorer.exe
1860	explorer.exe
4272	smss.exe
3764	explorer.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

Processes:

resource	yara_rule
behavioral2/memory/1964-130-0x00000000021D0000-0x000000000328A000-memory.dmp	upx
behavioral2/memory/1964-131-0x0000000000400000-0x000000000046B000-memory.dmp	upx
behavioral2/memory/1964-132-0x00000000021D0000-0x000000000328A000-memory.dmp	upx
C:\Windows\SysWOW64\msnmerjydy\explorer.exe	upx
C:\Windows\SysWOW64\msnmerjydy\explorer.exe	upx
behavioral2/memory/4412-136-0x0000000000400000-0x000000000046B000-memory.dmp	upx
C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe	upx
C:\Windows\SysWOW64\msnmerjydy\explorer.exe	upx
behavioral2/memory/1760-140-0x0000000000400000-0x000000000046B000-memory.dmp	upx
C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe	upx
C:\Windows\SysWOW64\msnmerjydy\explorer.exe	upx
behavioral2/memory/1964-144-0x0000000000400000-0x000000000046B000-memory.dmp	upx
behavioral2/memory/1964-145-0x00000000021D0000-0x000000000328A000-memory.dmp	upx
behavioral2/memory/4712-146-0x0000000000400000-0x000000000046B000-memory.dmp	upx
behavioral2/memory/4412-147-0x0000000000400000-0x000000000046B000-memory.dmp	upx
C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe	upx
C:\Windows\SysWOW64\msnmerjydy\explorer.exe	upx
behavioral2/memory/2336-151-0x0000000000400000-0x000000000046B000-memory.dmp	upx
behavioral2/memory/1760-152-0x0000000000400000-0x000000000046B000-memory.dmp	upx
C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe	upx
C:\Windows\SysWOW64\msnmerjydy\explorer.exe	upx
behavioral2/memory/3868-156-0x0000000000400000-0x000000000046B000-memory.dmp	upx
behavioral2/memory/4712-157-0x0000000000400000-0x000000000046B000-memory.dmp	upx
C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe	upx
C:\Windows\SysWOW64\msnmerjydy\explorer.exe	upx
behavioral2/memory/4260-161-0x0000000000400000-0x000000000046B000-memory.dmp	upx
behavioral2/memory/2336-162-0x0000000000400000-0x000000000046B000-memory.dmp	upx
C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe	upx
C:\Windows\SysWOW64\msnmerjydy\explorer.exe	upx
behavioral2/memory/4980-166-0x0000000000400000-0x000000000046B000-memory.dmp	upx
behavioral2/memory/3868-167-0x0000000000400000-0x000000000046B000-memory.dmp	upx
C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe	upx
C:\Windows\SysWOW64\msnmerjydy\explorer.exe	upx
behavioral2/memory/2288-171-0x0000000000400000-0x000000000046B000-memory.dmp	upx
C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe	upx
C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe	upx
behavioral2/memory/4492-175-0x0000000000400000-0x000000000046B000-memory.dmp	upx
behavioral2/memory/4260-176-0x0000000000400000-0x000000000046B000-memory.dmp	upx
C:\Windows\SysWOW64\msnmerjydy\explorer.exe	upx
C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe	upx
behavioral2/memory/968-181-0x0000000000400000-0x000000000046B000-memory.dmp	upx
behavioral2/memory/4844-182-0x0000000000400000-0x000000000046B000-memory.dmp	upx
C:\Windows\SysWOW64\msnmerjydy\explorer.exe	upx
behavioral2/memory/4980-185-0x0000000000400000-0x000000000046B000-memory.dmp	upx
behavioral2/memory/2208-186-0x0000000000400000-0x000000000046B000-memory.dmp	upx
C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe	upx
behavioral2/memory/2520-189-0x0000000000400000-0x000000000046B000-memory.dmp	upx
C:\Windows\SysWOW64\msnmerjydy\explorer.exe	upx
C:\Windows\SysWOW64\msnmerjydy\explorer.exe	upx
behavioral2/memory/2288-194-0x0000000000400000-0x000000000046B000-memory.dmp	upx
behavioral2/memory/1472-195-0x0000000000400000-0x000000000046B000-memory.dmp	upx
behavioral2/memory/2672-196-0x0000000000400000-0x000000000046B000-memory.dmp	upx
C:\Windows\SysWOW64\msnmerjydy\explorer.exe	upx
behavioral2/memory/4492-199-0x0000000000400000-0x000000000046B000-memory.dmp	upx
behavioral2/memory/952-200-0x0000000000400000-0x000000000046B000-memory.dmp	upx
C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe	upx
behavioral2/memory/4736-203-0x0000000000400000-0x000000000046B000-memory.dmp	upx
C:\Windows\SysWOW64\msnmerjydy\explorer.exe	upx
behavioral2/memory/1392-206-0x0000000000400000-0x000000000046B000-memory.dmp	upx
C:\Windows\SysWOW64\msnmerjydy\explorer.exe	upx
C:\Windows\SysWOW64\msnmerjydy\explorer.exe	upx
behavioral2/memory/968-211-0x0000000000400000-0x000000000046B000-memory.dmp	upx
behavioral2/memory/4844-212-0x0000000000400000-0x000000000046B000-memory.dmp	upx
behavioral2/memory/956-213-0x0000000000400000-0x000000000046B000-memory.dmp	upx

Windows security modification 2 TTPs 14 IoCs

Disabling Security Tools

Modify Registry

Processes:

explorer.exevirussign.exe

description	ioc	process
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\AntiVirusOverride = "1"	explorer.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\AntiVirusDisableNotify = "1"	explorer.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\UpdatesDisableNotify = "1"	virussign.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\FirewallOverride = "1"	virussign.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\Svc	virussign.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\FirewallDisableNotify = "1"	explorer.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\FirewallOverride = "1"	explorer.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\AntiVirusOverride = "1"	virussign.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\FirewallDisableNotify = "1"	virussign.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\UacDisableNotify = "1"	virussign.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\UpdatesDisableNotify = "1"	explorer.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\UacDisableNotify = "1"	explorer.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\Svc	explorer.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Security Center\AntiVirusDisableNotify = "1"	virussign.exe

Checks whether UAC is enabled 1 TTPs 2 IoCs

System Information Discovery

T1082

Processes:

virussign.exeexplorer.exe

description	ioc	process
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	virussign.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	explorer.exe

Enumerates connected drives 3 TTPs 64 IoCs

Attempts to read the root path of hard drives other than the default C: drive.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

Processes:

explorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exesmss.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exesmss.exeexplorer.exesmss.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exesmss.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exesmss.exeexplorer.exesmss.exesmss.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exesmss.exeexplorer.exeexplorer.exesmss.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exe

description	ioc	process
File opened (read-only)	\??\w:	explorer.exe
File opened (read-only)	\??\v:	explorer.exe
File opened (read-only)	\??\n:	explorer.exe
File opened (read-only)	\??\m:	explorer.exe
File opened (read-only)	\??\z:	explorer.exe
File opened (read-only)	\??\k:	explorer.exe
File opened (read-only)	\??\s:	explorer.exe
File opened (read-only)	\??\i:	explorer.exe
File opened (read-only)	\??\x:	explorer.exe
File opened (read-only)	\??\u:	explorer.exe
File opened (read-only)	\??\q:	explorer.exe
File opened (read-only)	\??\h:	explorer.exe
File opened (read-only)	\??\v:	explorer.exe
File opened (read-only)	\??\x:	explorer.exe
File opened (read-only)	\??\k:	explorer.exe
File opened (read-only)	\??\q:	explorer.exe
File opened (read-only)	\??\o:	explorer.exe
File opened (read-only)	\??\u:	smss.exe
File opened (read-only)	\??\t:	explorer.exe
File opened (read-only)	\??\k:	explorer.exe
File opened (read-only)	\??\s:	explorer.exe
File opened (read-only)	\??\n:	explorer.exe
File opened (read-only)	\??\p:	explorer.exe
File opened (read-only)	\??\o:	explorer.exe
File opened (read-only)	\??\r:	explorer.exe
File opened (read-only)	\??\h:	explorer.exe
File opened (read-only)	\??\j:	smss.exe
File opened (read-only)	\??\o:	explorer.exe
File opened (read-only)	\??\s:	smss.exe
File opened (read-only)	\??\l:	explorer.exe
File opened (read-only)	\??\n:	explorer.exe
File opened (read-only)	\??\n:	explorer.exe
File opened (read-only)	\??\l:	explorer.exe
File opened (read-only)	\??\s:	smss.exe
File opened (read-only)	\??\p:	explorer.exe
File opened (read-only)	\??\l:	explorer.exe
File opened (read-only)	\??\j:	explorer.exe
File opened (read-only)	\??\e:	explorer.exe
File opened (read-only)	\??\x:	explorer.exe
File opened (read-only)	\??\m:	smss.exe
File opened (read-only)	\??\v:	explorer.exe
File opened (read-only)	\??\o:	explorer.exe
File opened (read-only)	\??\m:	explorer.exe
File opened (read-only)	\??\z:	smss.exe
File opened (read-only)	\??\g:	explorer.exe
File opened (read-only)	\??\q:	smss.exe
File opened (read-only)	\??\o:	explorer.exe
File opened (read-only)	\??\j:	explorer.exe
File opened (read-only)	\??\j:	smss.exe
File opened (read-only)	\??\n:	explorer.exe
File opened (read-only)	\??\g:	explorer.exe
File opened (read-only)	\??\x:	explorer.exe
File opened (read-only)	\??\y:	smss.exe
File opened (read-only)	\??\f:	explorer.exe
File opened (read-only)	\??\t:	explorer.exe
File opened (read-only)	\??\q:	explorer.exe
File opened (read-only)	\??\f:	explorer.exe
File opened (read-only)	\??\g:	smss.exe
File opened (read-only)	\??\z:	explorer.exe
File opened (read-only)	\??\v:	smss.exe
File opened (read-only)	\??\n:	explorer.exe
File opened (read-only)	\??\f:	explorer.exe
File opened (read-only)	\??\u:	explorer.exe
File opened (read-only)	\??\p:	explorer.exe

Drops autorun.inf file 1 TTPs 1 IoCs
Malware can abuse Windows Autorun to spread further via attached volumes.

Replication Through Removable Media
T1091

Processes:

virussign.exe

description ioc process

File opened for modification C:\autorun.inf virussign.exe

description	ioc	process
File opened for modification	C:\autorun.inf	virussign.exe

Drops file in System32 directory 64 IoCs

Processes:

smss.exeexplorer.exesmss.exeexplorer.exesmss.exeexplorer.exeexplorer.exeexplorer.exesmss.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exesmss.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exesmss.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exesmss.exeexplorer.exeexplorer.exesmss.exesmss.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exesmss.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exesmss.exevirussign.exesmss.exeexplorer.exeexplorer.exeexplorer.exe

description	ioc	process
File created	C:\Windows\SysWOW64\msnmerjydy\explorer.exe	smss.exe
File opened for modification	C:\Windows\SysWOW64\msnmerjydy\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\msnmerjydy\explorer.exe	smss.exe
File opened for modification	C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\msnmerjydy\explorer.exe	smss.exe
File created	C:\Windows\SysWOW64\msnmerjydy\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\msnmerjydy\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe	smss.exe
File opened for modification	C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\msnmerjydy\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\msnmerjydy\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\msnmerjydy\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe	smss.exe
File created	C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\msnmerjydy\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\msnmerjydy\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\msnmerjydy\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\msnmerjydy\explorer.exe	smss.exe
File opened for modification	C:\Windows\SysWOW64\msnmerjydy\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe	smss.exe
File created	C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\msnmerjydy\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\msnmerjydy\explorer.exe	smss.exe
File created	C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe	smss.exe
File opened for modification	C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\msnmerjydy\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\msnmerjydy\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\msnmerjydy\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\msnmerjydy\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe	smss.exe
File created	C:\Windows\SysWOW64\msnmerjydy\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\msnmerjydy\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\msnmerjydy\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\msnmerjydy\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\msnmerjydy\explorer.exe	smss.exe
File opened for modification	C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\msnmerjydy\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\msnmerjydy\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\msnmerjydy\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\msnmerjydy\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe	smss.exe
File created	C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe	virussign.exe
File opened for modification	C:\Windows\SysWOW64\msnmerjydy\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\msnmerjydy\explorer.exe	smss.exe
File created	C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\msnmerjydy\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\msnmerjydy\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe	explorer.exe

Drops file in Program Files directory 22 IoCs

Processes:

virussign.exeexplorer.exe

description	ioc	process
File opened for modification	C:\Program Files\Common Files\microsoft shared\ClickToRun\AppVShNotify.exe	virussign.exe
File opened for modification	C:\Program Files\Common Files\microsoft shared\ClickToRun\MavInject32.exe	virussign.exe
File opened for modification	C:\Program Files\7-Zip\Uninstall.exe	explorer.exe
File opened for modification	C:\Program Files\Common Files\microsoft shared\ClickToRun\appvcleaner.exe	explorer.exe
File opened for modification	C:\Program Files\Common Files\microsoft shared\ClickToRun\AppVShNotify.exe	explorer.exe
File opened for modification	C:\Program Files\Common Files\microsoft shared\ClickToRun\MavInject32.exe	explorer.exe
File opened for modification	C:\Program Files\Common Files\microsoft shared\ClickToRun\IntegratedOffice.exe	virussign.exe
File opened for modification	C:\Program Files\Common Files\microsoft shared\ClickToRun\OfficeClickToRun.exe	virussign.exe
File opened for modification	C:\Program Files\7-Zip\7z.exe	explorer.exe
File opened for modification	C:\Program Files\7-Zip\7zG.exe	explorer.exe
File opened for modification	C:\Program Files\Common Files\microsoft shared\ClickToRun\appvcleaner.exe	virussign.exe
File opened for modification	C:\Program Files\Common Files\microsoft shared\ClickToRun\InspectorOfficeGadget.exe	virussign.exe
File opened for modification	C:\Program Files\Common Files\microsoft shared\ClickToRun\OfficeC2RClient.exe	virussign.exe
File opened for modification	C:\Program Files\Common Files\microsoft shared\ClickToRun\OfficeClickToRun.exe	explorer.exe
File opened for modification	C:\Program Files\7-Zip\7zFM.exe	explorer.exe
File opened for modification	C:\Program Files\Common Files\microsoft shared\ClickToRun\InspectorOfficeGadget.exe	explorer.exe
File opened for modification	C:\Program Files\Common Files\microsoft shared\ClickToRun\IntegratedOffice.exe	explorer.exe
File opened for modification	C:\Program Files\Common Files\microsoft shared\ClickToRun\OfficeC2RClient.exe	explorer.exe
File opened for modification	C:\Program Files\7-Zip\7z.exe	virussign.exe
File opened for modification	C:\Program Files\7-Zip\7zFM.exe	virussign.exe
File opened for modification	C:\Program Files\7-Zip\7zG.exe	virussign.exe
File opened for modification	C:\Program Files\7-Zip\Uninstall.exe	virussign.exe

Drops file in Windows directory 3 IoCs

Processes:

virussign.exeexplorer.exe

description	ioc	process
File created	C:\Windows\e56e256	virussign.exe
File opened for modification	C:\Windows\SYSTEM.INI	virussign.exe
File created	C:\Windows\e57d9e5	explorer.exe

Suspicious behavior: EnumeratesProcesses 64 IoCs

Processes:

virussign.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exesmss.exeexplorer.exesmss.exeexplorer.exesmss.exeexplorer.exeexplorer.exeexplorer.exesmss.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exesmss.exeexplorer.exeexplorer.exeexplorer.exe

pid	process
1964	virussign.exe
1964	virussign.exe
1964	virussign.exe
1964	virussign.exe
4412	explorer.exe
4412	explorer.exe
1760	explorer.exe
1760	explorer.exe
1964	virussign.exe
1964	virussign.exe
4712	explorer.exe
4712	explorer.exe
2336	explorer.exe
2336	explorer.exe
3868	explorer.exe
3868	explorer.exe
1964	virussign.exe
1964	virussign.exe
4260	explorer.exe
4260	explorer.exe
4980	explorer.exe
4980	explorer.exe
1964	virussign.exe
1964	virussign.exe
2288	explorer.exe
2288	explorer.exe
4492	smss.exe
4492	smss.exe
968	explorer.exe
968	explorer.exe
4844	smss.exe
4844	smss.exe
2208	explorer.exe
2208	explorer.exe
2520	smss.exe
2520	smss.exe
1964	virussign.exe
1964	virussign.exe
1472	explorer.exe
1472	explorer.exe
2672	explorer.exe
2672	explorer.exe
952	explorer.exe
952	explorer.exe
4736	smss.exe
4736	smss.exe
1392	explorer.exe
1392	explorer.exe
956	explorer.exe
956	explorer.exe
1984	explorer.exe
1984	explorer.exe
3032	explorer.exe
3032	explorer.exe
2956	smss.exe
2956	smss.exe
1248	explorer.exe
1248	explorer.exe
4748	explorer.exe
4748	explorer.exe
1964	virussign.exe
1964	virussign.exe
2960	explorer.exe
2960	explorer.exe

Suspicious use of AdjustPrivilegeToken 64 IoCs

Processes:

virussign.exe

description	pid	process
Token: SeLoadDriverPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe
Token: SeDebugPrivilege	1964	virussign.exe

Suspicious use of WriteProcessMemory 64 IoCs

Processes:

virussign.exeexplorer.exeexplorer.exeexplorer.exeexplorer.exe

description	pid	process	target process
PID 1964 wrote to memory of 776	1964	virussign.exe	fontdrvhost.exe
PID 1964 wrote to memory of 780	1964	virussign.exe	fontdrvhost.exe
PID 1964 wrote to memory of 312	1964	virussign.exe	dwm.exe
PID 1964 wrote to memory of 2352	1964	virussign.exe	sihost.exe
PID 1964 wrote to memory of 2380	1964	virussign.exe	svchost.exe
PID 1964 wrote to memory of 2452	1964	virussign.exe	taskhostw.exe
PID 1964 wrote to memory of 2156	1964	virussign.exe	Explorer.EXE
PID 1964 wrote to memory of 3024	1964	virussign.exe	svchost.exe
PID 1964 wrote to memory of 3264	1964	virussign.exe	DllHost.exe
PID 1964 wrote to memory of 3356	1964	virussign.exe	StartMenuExperienceHost.exe
PID 1964 wrote to memory of 3492	1964	virussign.exe	RuntimeBroker.exe
PID 1964 wrote to memory of 3584	1964	virussign.exe	SearchApp.exe
PID 1964 wrote to memory of 3784	1964	virussign.exe	RuntimeBroker.exe
PID 1964 wrote to memory of 832	1964	virussign.exe	RuntimeBroker.exe
PID 1964 wrote to memory of 4412	1964	virussign.exe	explorer.exe
PID 1964 wrote to memory of 4412	1964	virussign.exe	explorer.exe
PID 1964 wrote to memory of 4412	1964	virussign.exe	explorer.exe
PID 4412 wrote to memory of 1760	4412	explorer.exe	explorer.exe
PID 4412 wrote to memory of 1760	4412	explorer.exe	explorer.exe
PID 4412 wrote to memory of 1760	4412	explorer.exe	explorer.exe
PID 1760 wrote to memory of 4712	1760	explorer.exe	explorer.exe
PID 1760 wrote to memory of 4712	1760	explorer.exe	explorer.exe
PID 1760 wrote to memory of 4712	1760	explorer.exe	explorer.exe
PID 1964 wrote to memory of 776	1964	virussign.exe	fontdrvhost.exe
PID 1964 wrote to memory of 780	1964	virussign.exe	fontdrvhost.exe
PID 1964 wrote to memory of 312	1964	virussign.exe	dwm.exe
PID 1964 wrote to memory of 2352	1964	virussign.exe	sihost.exe
PID 1964 wrote to memory of 2380	1964	virussign.exe	svchost.exe
PID 1964 wrote to memory of 2452	1964	virussign.exe	taskhostw.exe
PID 1964 wrote to memory of 2156	1964	virussign.exe	Explorer.EXE
PID 1964 wrote to memory of 3024	1964	virussign.exe	svchost.exe
PID 1964 wrote to memory of 3264	1964	virussign.exe	DllHost.exe
PID 1964 wrote to memory of 3356	1964	virussign.exe	StartMenuExperienceHost.exe
PID 1964 wrote to memory of 3492	1964	virussign.exe	RuntimeBroker.exe
PID 1964 wrote to memory of 3584	1964	virussign.exe	SearchApp.exe
PID 1964 wrote to memory of 3784	1964	virussign.exe	RuntimeBroker.exe
PID 1964 wrote to memory of 832	1964	virussign.exe	RuntimeBroker.exe
PID 1964 wrote to memory of 4412	1964	virussign.exe	explorer.exe
PID 1964 wrote to memory of 4412	1964	virussign.exe	explorer.exe
PID 1964 wrote to memory of 1760	1964	virussign.exe	explorer.exe
PID 1964 wrote to memory of 1760	1964	virussign.exe	explorer.exe
PID 1964 wrote to memory of 4712	1964	virussign.exe	explorer.exe
PID 1964 wrote to memory of 4712	1964	virussign.exe	explorer.exe
PID 4712 wrote to memory of 2336	4712	explorer.exe	explorer.exe
PID 4712 wrote to memory of 2336	4712	explorer.exe	explorer.exe
PID 4712 wrote to memory of 2336	4712	explorer.exe	explorer.exe
PID 2336 wrote to memory of 3868	2336	explorer.exe	explorer.exe
PID 2336 wrote to memory of 3868	2336	explorer.exe	explorer.exe
PID 2336 wrote to memory of 3868	2336	explorer.exe	explorer.exe
PID 1964 wrote to memory of 776	1964	virussign.exe	fontdrvhost.exe
PID 1964 wrote to memory of 780	1964	virussign.exe	fontdrvhost.exe
PID 1964 wrote to memory of 312	1964	virussign.exe	dwm.exe
PID 1964 wrote to memory of 2352	1964	virussign.exe	sihost.exe
PID 1964 wrote to memory of 2380	1964	virussign.exe	svchost.exe
PID 1964 wrote to memory of 2452	1964	virussign.exe	taskhostw.exe
PID 1964 wrote to memory of 2156	1964	virussign.exe	Explorer.EXE
PID 1964 wrote to memory of 3024	1964	virussign.exe	svchost.exe
PID 1964 wrote to memory of 3264	1964	virussign.exe	DllHost.exe
PID 1964 wrote to memory of 3356	1964	virussign.exe	StartMenuExperienceHost.exe
PID 1964 wrote to memory of 3492	1964	virussign.exe	RuntimeBroker.exe
PID 1964 wrote to memory of 3584	1964	virussign.exe	SearchApp.exe
PID 1964 wrote to memory of 3784	1964	virussign.exe	RuntimeBroker.exe
PID 1964 wrote to memory of 832	1964	virussign.exe	RuntimeBroker.exe
PID 1964 wrote to memory of 2336	1964	virussign.exe	explorer.exe

System policy modification 1 TTPs 2 IoCs

evasion

Modify Registry

Processes:

virussign.exeexplorer.exe

description	ioc	process
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	virussign.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA = "0"	explorer.exe

C:\Windows\system32\fontdrvhost.exe
"fontdrvhost.exe"
1⤵
PID:776

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
PID:312

C:\Windows\system32\sihost.exe
sihost.exe
1⤵
PID:2352

C:\Windows\Explorer.EXE
C:\Windows\Explorer.EXE
1⤵
PID:2156

C:\Users\Admin\AppData\Local\Temp\virussign.exe
"C:\Users\Admin\AppData\Local\Temp\virussign.exe"
2⤵
- Modifies firewall policy service
- UAC bypass
- Windows security bypass
- Windows security modification
- Checks whether UAC is enabled
- Drops autorun.inf file
- Drops file in System32 directory
- Drops file in Program Files directory
- Drops file in Windows directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
- System policy modification
PID:1964

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
3⤵
- Executes dropped EXE
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of WriteProcessMemory
PID:4412

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
4⤵
- Executes dropped EXE
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of WriteProcessMemory
PID:1760

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
5⤵
- Executes dropped EXE
- Enumerates connected drives
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of WriteProcessMemory
PID:4712

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
6⤵
- Executes dropped EXE
- Enumerates connected drives
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of WriteProcessMemory
PID:2336

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
7⤵
- Executes dropped EXE
- Suspicious behavior: EnumeratesProcesses
PID:3868

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
8⤵
- Executes dropped EXE
- Suspicious behavior: EnumeratesProcesses
PID:4260

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
9⤵
- Executes dropped EXE
- Suspicious behavior: EnumeratesProcesses
PID:4980

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
- Executes dropped EXE
- Suspicious behavior: EnumeratesProcesses
PID:2288

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
- Executes dropped EXE
- Suspicious behavior: EnumeratesProcesses
PID:968

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
- Executes dropped EXE
- Drops file in System32 directory
- Suspicious behavior: EnumeratesProcesses
PID:1472

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
- Executes dropped EXE
- Drops file in System32 directory
- Suspicious behavior: EnumeratesProcesses
PID:956

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
- Executes dropped EXE
- Drops file in System32 directory
- Suspicious behavior: EnumeratesProcesses
PID:2960

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
- Executes dropped EXE
- Drops file in System32 directory
PID:1556

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
- Executes dropped EXE
PID:972

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
- Executes dropped EXE
- Enumerates connected drives
PID:3288

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
18⤵
- Executes dropped EXE
- Drops file in System32 directory
PID:3764

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
19⤵
- Drops file in System32 directory
PID:5808

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
20⤵
- Drops file in System32 directory
PID:4076

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
21⤵
- Drops file in System32 directory
PID:7164

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
22⤵
- Enumerates connected drives
PID:7800

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
23⤵
PID:9312

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
24⤵
PID:10296

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
25⤵
PID:12880

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
26⤵
PID:14388

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
27⤵
PID:4216

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
28⤵
PID:3984

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
29⤵
PID:27604

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
25⤵
PID:27972

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
24⤵
PID:24936

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
23⤵
PID:22680

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
22⤵
PID:20452

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
21⤵
PID:6780

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
22⤵
PID:20936

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
23⤵
PID:8832

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
20⤵
PID:13900

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
21⤵
PID:3564

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
22⤵
PID:21340

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
19⤵
PID:12300

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
20⤵
PID:14144

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
21⤵
PID:17756

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
22⤵
PID:3052

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
23⤵
PID:10364

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
18⤵
PID:4516

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
19⤵
PID:12340

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
20⤵
PID:14160

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
21⤵
PID:18008

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
22⤵
PID:21620

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
23⤵
PID:26368

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
19⤵
PID:5352

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
17⤵
PID:9180

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
18⤵
PID:1060

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
19⤵
PID:12432

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
20⤵
PID:14280

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
21⤵
PID:17848

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
22⤵
PID:21628

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
19⤵
PID:27912

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
18⤵
PID:24340

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
16⤵
PID:7496

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
PID:9208

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
18⤵
PID:9780

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
19⤵
PID:12452

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
20⤵
PID:2392

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
21⤵
PID:18016

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
22⤵
PID:21704

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
23⤵
PID:26356

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
19⤵
PID:27460

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
17⤵
PID:22260

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
15⤵
- Enumerates connected drives
PID:6952

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:7532

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
- Drops file in System32 directory
PID:9200

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
18⤵
PID:9720

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
19⤵
PID:12424

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
20⤵
PID:14264

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
21⤵
PID:17808

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
22⤵
PID:21548

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
19⤵
PID:27320

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
17⤵
PID:22244

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
16⤵
PID:19744

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
PID:9580

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
18⤵
PID:27632

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
14⤵
PID:4896

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:6944

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:7524

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
PID:8668

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
18⤵
PID:4352

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
19⤵
PID:12660

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
20⤵
PID:2404

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
21⤵
PID:18348

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
22⤵
PID:22308

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
23⤵
PID:26260

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
20⤵
PID:31268

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
19⤵
PID:12772

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
17⤵
PID:22332

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
16⤵
PID:19752

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
PID:2980

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
15⤵
PID:17120

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:7964

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
13⤵
PID:5640

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:1616

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
- Drops file in System32 directory
PID:6916

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
- Enumerates connected drives
- Drops file in System32 directory
PID:7476

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
PID:8688

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
18⤵
PID:9752

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
19⤵
PID:12444

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
20⤵
PID:4564

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
21⤵
PID:18108

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
22⤵
PID:22008

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
19⤵
PID:27424

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
17⤵
PID:22316

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
16⤵
PID:19332

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
PID:9628

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
15⤵
PID:17052

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:20140

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
PID:24040

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
14⤵
PID:13596

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:17192

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:3296

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
PID:9728

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
12⤵
- Executes dropped EXE
- Drops file in System32 directory
PID:2648

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
- Enumerates connected drives
PID:5660

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:5572

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
- Enumerates connected drives
PID:6984

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:7564

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
PID:8796

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
18⤵
PID:9828

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
19⤵
PID:12476

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
20⤵
PID:14272

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
21⤵
PID:17816

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
22⤵
PID:8924

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
19⤵
PID:27336

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
17⤵
PID:22448

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
16⤵
PID:19812

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
15⤵
PID:17172

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:7916

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
PID:23924

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
14⤵
PID:13660

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:16068

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:20988

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
13⤵
PID:12172

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:13796

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:17432

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:21352

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
14⤵
PID:4380

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
11⤵
- Executes dropped EXE
PID:3256

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
- Executes dropped EXE
PID:3916

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:5700

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
- Enumerates connected drives
PID:5796

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
- Enumerates connected drives
PID:7012

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
- Enumerates connected drives
- Drops file in System32 directory
PID:7596

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
- Enumerates connected drives
PID:9004

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
18⤵
PID:772

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
19⤵
PID:12724

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
20⤵
PID:5452

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
21⤵
PID:3908

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
22⤵
PID:2544

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
23⤵
PID:27624

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
20⤵
PID:31396

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
19⤵
PID:26400

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
18⤵
PID:24648

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
17⤵
PID:9376

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
16⤵
PID:19784

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
PID:9616

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
15⤵
PID:17232

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:20668

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
14⤵
PID:13724

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:2440

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:21332

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
PID:24780

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
13⤵
PID:5648

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:13816

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:6980

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:21136

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
PID:3596

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
14⤵
PID:30108

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
12⤵
PID:10160

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:12084

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:13936

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:17424

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:21360

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
PID:25464

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
14⤵
PID:5436

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
13⤵
PID:26484

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
10⤵
- Executes dropped EXE
- Drops file in System32 directory
PID:4476

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
- Executes dropped EXE
- Enumerates connected drives
PID:3632

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
- Executes dropped EXE
PID:1860

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
- Drops file in System32 directory
PID:5724

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
- Enumerates connected drives
PID:2332

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:7052

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:7608

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
- Enumerates connected drives
PID:8972

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
18⤵
PID:1508

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
19⤵
PID:12716

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
20⤵
PID:1952

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
21⤵
PID:7112

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
22⤵
PID:9408

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
20⤵
PID:31352

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
19⤵
PID:13040

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
18⤵
PID:8968

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
17⤵
PID:22224

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
18⤵
PID:26392

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
16⤵
PID:19804

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
15⤵
PID:17260

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:8024

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
PID:25856

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
14⤵
PID:13756

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:2640

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:21040

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
PID:24796

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
13⤵
PID:5732

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:13916

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:17536

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:20952

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
12⤵
PID:10204

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:6760

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:14052

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:17600

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:4828

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
13⤵
PID:5776

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
11⤵
PID:9044

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:10184

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:12112

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:14184

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:18044

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:21992

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
13⤵
PID:2672

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
9⤵
- Executes dropped EXE
PID:3448

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
- Executes dropped EXE
- Enumerates connected drives
- Drops file in System32 directory
PID:3552

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
- Executes dropped EXE
PID:2176

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:2100

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:5900

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
- Enumerates connected drives
- Drops file in System32 directory
PID:4884

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:6852

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
- Drops file in System32 directory
PID:8044

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
- Enumerates connected drives
PID:9592

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
18⤵
PID:10588

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
19⤵
PID:13180

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
20⤵
PID:15032

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
21⤵
PID:18504

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
22⤵
PID:7304

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
19⤵
PID:28704

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
18⤵
PID:25296

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
17⤵
PID:23084

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
18⤵
PID:29928

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
16⤵
PID:20960

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
PID:24692

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
15⤵
PID:17580

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:21224

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
14⤵
PID:14324

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:17772

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:2748

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
13⤵
PID:12576

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:3960

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:18236

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:22128

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
PID:26348

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
12⤵
PID:1832

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:12676

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:4108

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:18320

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:22068

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
PID:25872

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
14⤵
PID:31292

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
13⤵
PID:12756

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
11⤵
PID:1960

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:3196

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:12708

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:3220

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:18132

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:21984

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
13⤵
PID:3000

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
12⤵
PID:24584

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
10⤵
- Enumerates connected drives
- Drops file in System32 directory
PID:7680

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:9232

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:10264

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:12916

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:14532

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:18200

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:22216

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
PID:28092

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
13⤵
PID:28036

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
12⤵
PID:24908

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
11⤵
PID:22644

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
8⤵
- Executes dropped EXE
PID:2832

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
9⤵
- Executes dropped EXE
PID:3576

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
- Executes dropped EXE
PID:4452

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
- Executes dropped EXE
- Drops file in System32 directory
PID:1728

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
- Drops file in System32 directory
PID:5484

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:6020

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:6616

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:1348

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
- Enumerates connected drives
PID:8692

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
- Enumerates connected drives
PID:9700

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
18⤵
PID:11896

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
19⤵
PID:5992

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
20⤵
PID:16048

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
21⤵
PID:18820

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
22⤵
PID:23184

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
23⤵
PID:27612

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
19⤵
PID:28768

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
18⤵
PID:25388

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
17⤵
PID:692

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
18⤵
PID:28140

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
16⤵
PID:21268

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
PID:24768

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
15⤵
PID:18032

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:21608

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
PID:4624

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
14⤵
PID:14356

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:18328

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:22044

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
PID:25888

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
13⤵
PID:13032

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:14540

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:4304

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:948

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
12⤵
PID:10492

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:13108

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:14700

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:18852

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:22988

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
PID:29864

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
13⤵
PID:3580

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
11⤵
PID:9572

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:10532

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:13160

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:14684

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:18548

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:22740

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
PID:28108

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
13⤵
PID:5432

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
12⤵
PID:24952

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
10⤵
- Drops file in System32 directory
PID:8004

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:9640

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:10596

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:13172

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:15452

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:18688

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:23200

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
PID:28132

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
14⤵
PID:1568

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
13⤵
PID:28684

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
12⤵
PID:25324

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
11⤵
PID:23116

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:5908

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
9⤵
- Drops file in System32 directory
PID:2788

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
- Drops file in System32 directory
PID:8052

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:9600

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:10580

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:13188

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:15004

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:18540

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:22540

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
14⤵
PID:6628

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
13⤵
PID:28728

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
12⤵
PID:25304

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
11⤵
PID:23092

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:28148

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
10⤵
PID:20968

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:23916

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
7⤵
- Executes dropped EXE
- Enumerates connected drives
- Drops file in System32 directory
- Suspicious behavior: EnumeratesProcesses
PID:2956

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
8⤵
- Executes dropped EXE
- Enumerates connected drives
PID:1600

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
9⤵
- Executes dropped EXE
PID:1536

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
- Executes dropped EXE
- Enumerates connected drives
- Drops file in System32 directory
PID:1744

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
- Executes dropped EXE
PID:4376

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
- Drops file in System32 directory
PID:5532

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:6080

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
- Enumerates connected drives
PID:6680

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
- Enumerates connected drives
- Drops file in System32 directory
PID:7224

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:8836

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
PID:9916

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
18⤵
PID:12116

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
19⤵
PID:13420

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
20⤵
PID:16996

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
21⤵
PID:20044

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
19⤵
PID:13620

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
18⤵
PID:10624

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
17⤵
PID:10020

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
18⤵
PID:12388

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
16⤵
PID:2204

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
PID:24672

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
15⤵
PID:392

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:22276

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
PID:26244

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
14⤵
PID:15308

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:18532

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:22780

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
PID:27932

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
13⤵
PID:12984

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:15952

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:18860

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:23216

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
PID:29920

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
12⤵
PID:11916

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:3156

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:16076

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:18844

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:23504

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
13⤵
PID:28784

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
11⤵
PID:9760

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:11960

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:12556

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:16740

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:19056

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:23480

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
PID:29872

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
13⤵
PID:29280

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
12⤵
PID:25568

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
10⤵
- Enumerates connected drives
PID:8728

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:9772

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:11988

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:4212

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:16752

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:19076

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:23464

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
PID:29912

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
13⤵
PID:29356

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
12⤵
PID:10432

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:29852

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
11⤵
PID:9512

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:3864

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
9⤵
- Drops file in System32 directory
PID:4556

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
- Enumerates connected drives
PID:8760

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:9820

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:11980

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:4020

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:16760

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:19048

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:23448

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
13⤵
PID:29372

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
12⤵
PID:10472

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
11⤵
PID:22688

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:28100

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
10⤵
PID:21444

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
8⤵
PID:6636

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
9⤵
- Drops file in System32 directory
PID:7116

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
- Enumerates connected drives
PID:8776

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:9800

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:11972

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:2132

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:16768

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:19360

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:23456

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
PID:29244

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
13⤵
PID:29364

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
12⤵
PID:25560

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
11⤵
PID:1608

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:28180

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
10⤵
PID:21452

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:24736

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
9⤵
PID:18140

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
PID:21728

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:27640

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
6⤵
- Executes dropped EXE
- Suspicious behavior: EnumeratesProcesses
PID:4736

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
7⤵
- Executes dropped EXE
- Suspicious behavior: EnumeratesProcesses
PID:1248

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
8⤵
- Executes dropped EXE
- Enumerates connected drives
- Drops file in System32 directory
PID:1624

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
9⤵
- Executes dropped EXE
PID:3720

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
- Executes dropped EXE
PID:4536

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
- Executes dropped EXE
- Enumerates connected drives
PID:3680

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:5600

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
- Drops file in System32 directory
PID:4692

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
- Drops file in System32 directory
PID:6864

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:7448

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:9152

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
PID:404

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
18⤵
PID:12320

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
19⤵
PID:14176

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
20⤵
PID:17712

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
21⤵
PID:21712

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
18⤵
PID:12464

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
16⤵
PID:22152

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
15⤵
PID:18972

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:9548

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
PID:13304

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
14⤵
PID:16936

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:19760

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:23472

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
13⤵
PID:13464

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:17036

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:20052

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
12⤵
PID:12232

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:13604

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:17204

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:8000

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:5288

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
13⤵
PID:30076

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
11⤵
PID:9952

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:12164

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:13480

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:17100

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:7936

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:23944

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
13⤵
PID:29264

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
12⤵
PID:12036

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
10⤵
PID:8856

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:9928

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:12156

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:13432

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:17044

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:20216

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:648

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
13⤵
PID:10092

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
12⤵
PID:11924

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
11⤵
PID:9844

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:13296

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
9⤵
PID:7256

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
PID:8896

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:10028

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:12256

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:13680

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:6992

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:21200

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:8684

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
13⤵
PID:30132

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
11⤵
PID:23684

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:2308

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
10⤵
PID:3576

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:24744

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
8⤵
- Drops file in System32 directory
PID:6724

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
9⤵
PID:7284

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
PID:8916

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:10036

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:12248

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:13692

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:16852

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:21416

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
13⤵
PID:30116

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
11⤵
PID:23700

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:29012

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
10⤵
PID:21572

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:24760

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:29828

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
9⤵
PID:6156

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
PID:9380

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:12572

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
7⤵
- Enumerates connected drives
- Drops file in System32 directory
PID:6104

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
8⤵
- Enumerates connected drives
- Drops file in System32 directory
PID:6708

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
9⤵
- Enumerates connected drives
- Drops file in System32 directory
PID:7244

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
PID:8876

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:9976

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:12240

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:13700

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:560

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:21304

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:10348

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
13⤵
PID:30124

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
11⤵
PID:23656

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:28060

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
10⤵
PID:856

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:24752

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
9⤵
PID:17996

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
PID:22268

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:12616

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
8⤵
PID:15516

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
9⤵
PID:18876

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
PID:22980

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:29948

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
5⤵
- Executes dropped EXE
- Suspicious behavior: EnumeratesProcesses
PID:2520

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
6⤵
- Executes dropped EXE
- Suspicious behavior: EnumeratesProcesses
PID:1392

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
7⤵
- Executes dropped EXE
- Suspicious behavior: EnumeratesProcesses
PID:4748

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
8⤵
- Executes dropped EXE
- Drops file in System32 directory
PID:3760

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
9⤵
- Executes dropped EXE
PID:3152

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
- Executes dropped EXE
PID:4820

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
- Executes dropped EXE
- Drops file in System32 directory
PID:3044

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:5680

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
- Drops file in System32 directory
PID:1880

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
- Enumerates connected drives
PID:7004

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
- Enumerates connected drives
PID:7588

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:2784

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
PID:9892

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
18⤵
PID:12804

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
19⤵
PID:2472

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
20⤵
PID:18456

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
21⤵
PID:22876

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
22⤵
PID:29836

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
19⤵
PID:31276

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
18⤵
PID:27892

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
17⤵
PID:24664

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
16⤵
PID:4476

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
15⤵
PID:19792

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:24700

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
PID:29956

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
14⤵
PID:17268

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:4316

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:25864

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
13⤵
PID:13672

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:17400

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:21128

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:4892

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
PID:29252

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
12⤵
PID:464

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:13952

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:1976

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:21368

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:25488

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
13⤵
PID:13848

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
11⤵
PID:10140

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:12204

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:13944

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:16944

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:21380

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
13⤵
PID:13876

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
12⤵
PID:26504

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
10⤵
PID:9020

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:10120

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:12148

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:13788

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:6888

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:21312

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
13⤵
PID:4036

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
12⤵
PID:26496

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
9⤵
PID:7376

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
PID:9064

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:9248

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:3608

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:14168

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:17764

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:21516

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:26320

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
12⤵
PID:12364

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
10⤵
PID:22108

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
8⤵
PID:6772

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
9⤵
- Drops file in System32 directory
PID:7356

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
PID:9072

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:1964

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:2716

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:14124

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:17780

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:21556

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
12⤵
PID:5932

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
10⤵
PID:22092

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
9⤵
PID:18828

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
PID:7468

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:30024

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
7⤵
PID:2976

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
8⤵
PID:6800

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
9⤵
- Enumerates connected drives
PID:7408

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
PID:9092

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:9352

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:12328

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:14132

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:17800

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:21540

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:25848

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
12⤵
PID:12484

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
10⤵
PID:22144

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:25472

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
9⤵
PID:18904

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
PID:3340

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
8⤵
PID:16856

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
9⤵
PID:19368

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
PID:23520

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:29844

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
6⤵
- Enumerates connected drives
PID:5580

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
7⤵
PID:5464

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
8⤵
PID:6792

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
9⤵
PID:7400

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
- Enumerates connected drives
PID:9080

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:10228

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:1812

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:13964

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:17416

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:21320

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:24788

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
12⤵
PID:26568

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
10⤵
PID:22116

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:25480

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
9⤵
PID:18896

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
PID:9568

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:29992

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
8⤵
PID:16864

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
9⤵
PID:19732

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
PID:23496

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:28124

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
7⤵
PID:13376

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
8⤵
PID:17004

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
9⤵
PID:20148

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
PID:24032

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
4⤵
- Executes dropped EXE
- Drops file in System32 directory
- Suspicious behavior: EnumeratesProcesses
PID:4844

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
5⤵
- Executes dropped EXE
- Suspicious behavior: EnumeratesProcesses
PID:2672

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
6⤵
- Executes dropped EXE
- Enumerates connected drives
- Suspicious behavior: EnumeratesProcesses
PID:1984

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
7⤵
- Executes dropped EXE
PID:3480

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
8⤵
- Executes dropped EXE
PID:4340

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
9⤵
- Executes dropped EXE
PID:4672

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
- Executes dropped EXE
- Drops file in System32 directory
PID:740

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:4732

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
- Drops file in System32 directory
PID:5840

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:6140

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
- Drops file in System32 directory
PID:6676

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
- Drops file in System32 directory
PID:7828

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:9368

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
PID:10288

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
18⤵
PID:12872

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
19⤵
PID:6644

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
20⤵
PID:7232

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
21⤵
PID:22796

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
22⤵
PID:29888

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
18⤵
PID:27956

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
17⤵
PID:24884

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
16⤵
PID:22672

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
15⤵
PID:2952

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:10008

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
14⤵
PID:3216

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:21024

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:27064

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
13⤵
PID:14064

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:17548

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:21288

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:24680

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
12⤵
PID:12468

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:13392

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:18244

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:22080

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:10088

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
11⤵
PID:9896

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:12536

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:13560

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:18100

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:21976

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:26252

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
12⤵
PID:27568

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
10⤵
PID:8956

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:4632

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:12620

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:13532

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:18024

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:21908

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
12⤵
PID:12764

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
11⤵
PID:3996

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
9⤵
PID:7640

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
PID:9016

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:4920

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:12820

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:2856

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:18356

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:22188

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:26332

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
13⤵
PID:31372

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
12⤵
PID:27868

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
11⤵
PID:24656

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
10⤵
PID:9292

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:12528

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
8⤵
- Enumerates connected drives
PID:7044

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
9⤵
PID:7664

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
- Enumerates connected drives
PID:9008

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:2208

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:12812

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:2652

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:18312

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:22060

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
13⤵
PID:31284

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
12⤵
PID:27876

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
11⤵
PID:24816

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
10⤵
PID:22568

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
9⤵
PID:19836

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
PID:23832

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
7⤵
PID:5952

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
8⤵
PID:7084

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
9⤵
- Drops file in System32 directory
PID:7700

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
PID:9224

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:3892

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:12888

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:14444

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:18436

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:9404

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
13⤵
PID:13860

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
12⤵
PID:27988

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
11⤵
PID:24892

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
10⤵
PID:22596

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:29228

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
9⤵
PID:19828

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
PID:9460

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
8⤵
PID:17316

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
9⤵
PID:19724

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
PID:23488

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
6⤵
PID:5748

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
7⤵
PID:5964

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
8⤵
PID:7136

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
9⤵
PID:7744

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
PID:9260

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:2004

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:12792

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:4812

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:18364

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:22300

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
13⤵
PID:31388

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
12⤵
PID:27884

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
11⤵
PID:24824

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
10⤵
PID:22560

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:26376

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
9⤵
PID:20076

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
PID:25840

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
8⤵
PID:17384

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
9⤵
PID:20980

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
7⤵
PID:13868

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
8⤵
PID:2960

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
9⤵
PID:21388

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
PID:26340

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
5⤵
- Executes dropped EXE
PID:4272

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
6⤵
- Enumerates connected drives
- Drops file in System32 directory
PID:5760

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
7⤵
PID:5968

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
8⤵
PID:7124

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
9⤵
- Enumerates connected drives
- Drops file in System32 directory
PID:7732

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
- Enumerates connected drives
PID:9268

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:10272

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:12908

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:14480

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:18120

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:3116

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:29904

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
12⤵
PID:28020

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
11⤵
PID:24900

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
10⤵
PID:22636

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
9⤵
PID:20068

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
PID:24024

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
8⤵
PID:17340

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
9⤵
PID:20692

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
7⤵
PID:13832

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
8⤵
PID:17148

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
9⤵
PID:21192

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
6⤵
PID:5816

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
7⤵
PID:14152

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
8⤵
PID:17732

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
9⤵
PID:21508

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
3⤵
- Executes dropped EXE
- Enumerates connected drives
- Suspicious behavior: EnumeratesProcesses
PID:4492

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
4⤵
- Executes dropped EXE
- Drops file in System32 directory
- Suspicious behavior: EnumeratesProcesses
PID:2208

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
5⤵
- Executes dropped EXE
- Suspicious behavior: EnumeratesProcesses
PID:952

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
6⤵
- Executes dropped EXE
- Drops file in System32 directory
- Suspicious behavior: EnumeratesProcesses
PID:3032

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
7⤵
- Modifies firewall policy service
- UAC bypass
- Windows security bypass
- Executes dropped EXE
- Windows security modification
- Checks whether UAC is enabled
- Enumerates connected drives
- Drops file in Program Files directory
- Drops file in Windows directory
- System policy modification
PID:4276

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
8⤵
- Executes dropped EXE
PID:4308

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
9⤵
- Executes dropped EXE
- Drops file in System32 directory
PID:1844

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
- Executes dropped EXE
PID:2292

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:5268

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
- Drops file in System32 directory
PID:5980

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:1308

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:1956

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
- Enumerates connected drives
PID:8088

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:9672

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
17⤵
PID:11540

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
18⤵
PID:4724

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
19⤵
PID:16056

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
20⤵
PID:18868

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
21⤵
PID:23004

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
22⤵
PID:27116

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
18⤵
PID:28776

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
17⤵
PID:25368

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
16⤵
PID:23132

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
15⤵
PID:21080

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
14⤵
PID:17952

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:21720

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:25456

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
13⤵
PID:3376

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:18228

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:22016

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
12⤵
PID:12844

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:1112

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:17352

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:7308

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:29896

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
11⤵
PID:10368

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:12924

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:14496

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:7272

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:22892

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
12⤵
PID:28212

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
10⤵
- Enumerates connected drives
PID:9428

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:10400

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:12988

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:14524

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:18556

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:22884

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:28156

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
12⤵
PID:28028

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
11⤵
PID:24976

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
9⤵
PID:7908

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
PID:9480

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:10456

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:13096

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:14576

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:3132

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:1148

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:28116

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
12⤵
PID:27948

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
11⤵
PID:25012

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
10⤵
PID:23012

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:28164

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
8⤵
PID:3708

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
9⤵
PID:7928

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
- Enumerates connected drives
PID:9464

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:10420

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:13080

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:14568

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:18480

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:22756

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:29964

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
12⤵
PID:28188

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
11⤵
PID:25004

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
10⤵
PID:22972

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:29880

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
9⤵
PID:20716

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
PID:24140

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:14232

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
7⤵
- Drops file in System32 directory
PID:2108

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
8⤵
PID:6048

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
9⤵
- Enumerates connected drives
- Drops file in System32 directory
PID:7980

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
PID:9532

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:10500

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:13144

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:15016

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:18700

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:23512

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:29936

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
12⤵
PID:13388

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
11⤵
PID:24960

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
10⤵
PID:23240

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:28172

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
9⤵
PID:20808

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
PID:23932

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
8⤵
PID:17460

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
9⤵
PID:20828

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
6⤵
- Drops file in System32 directory
PID:5860

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
7⤵
- Drops file in System32 directory
PID:3488

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
8⤵
PID:5628

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
9⤵
PID:7948

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
PID:9500

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:10448

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:13060

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:14648

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:18660

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:22860

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:29436

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
12⤵
PID:28204

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
11⤵
PID:24968

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
10⤵
PID:23020

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
9⤵
PID:7848

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
8⤵
PID:5044

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
9⤵
PID:21276

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
PID:26384

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
7⤵
PID:14248

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
8⤵
PID:17720

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
9⤵
PID:1536

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
PID:25496

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
5⤵
PID:1792

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
6⤵
- Enumerates connected drives
PID:5876

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
7⤵
PID:4224

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
8⤵
- Enumerates connected drives
- Drops file in System32 directory
PID:3732

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
9⤵
- Enumerates connected drives
- Drops file in System32 directory
PID:7956

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
PID:9524

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:10508

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:13152

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:14636

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:18564

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:22772

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
12⤵
PID:29412

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
11⤵
PID:24944

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
10⤵
PID:23036

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
9⤵
PID:4040

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
8⤵
PID:7152

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
9⤵
PID:21296

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
PID:10380

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
7⤵
PID:14216

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
8⤵
PID:17692

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
9⤵
PID:21532

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
PID:10284

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
6⤵
PID:12564

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
7⤵
PID:13572

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
8⤵
PID:4636

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
9⤵
PID:4800

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
PID:28044

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
7⤵
PID:31380

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
4⤵
- Executes dropped EXE
PID:2820

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
5⤵
- Enumerates connected drives
PID:496

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
6⤵
PID:5920

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
7⤵
- Enumerates connected drives
PID:6044

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
8⤵
PID:6836

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
9⤵
PID:8016

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
- Enumerates connected drives
PID:9632

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:10632

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
12⤵
PID:13240

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
13⤵
PID:14692

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
14⤵
PID:18668

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
15⤵
PID:9656

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
16⤵
PID:29392

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
12⤵
PID:28272

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
11⤵
PID:25340

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
10⤵
PID:23124

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:27444

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
9⤵
PID:20912

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
PID:23896

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
11⤵
PID:28068

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
8⤵
PID:17528

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
9⤵
PID:21564

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
PID:10308

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
7⤵
PID:13352

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
8⤵
PID:17788

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
9⤵
PID:21524

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
PID:10304

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
6⤵
PID:12588

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
7⤵
PID:6008

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
8⤵
PID:18336

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
9⤵
PID:22284

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
PID:26268

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
5⤵
PID:9296

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
6⤵
PID:12732

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
7⤵
PID:1808

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
8⤵
PID:4924

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
9⤵
PID:22292

C:\Windows\SysWOW64\msnmerjydy\explorer.exe
C:\Windows\system32\msnmerjydy\explorer.exe
10⤵
PID:12632

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
7⤵
PID:31360

C:\Windows\SysWOW64\xbmhsfxxwi\smss.exe
C:\Windows\system32\xbmhsfxxwi\smss.exe
6⤵
PID:12760

C:\Windows\system32\DllHost.exe
C:\Windows\system32\DllHost.exe /Processid:{3EB3C877-1F16-487C-9050-104DBCD66683}
1⤵
PID:3264

C:\Windows\System32\RuntimeBroker.exe
C:\Windows\System32\RuntimeBroker.exe -Embedding
1⤵
PID:3492

C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\SearchApp.exe
"C:\Windows\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\SearchApp.exe" -ServerName:CortanaUI.AppX8z9r6jm96hw4bsbneegw0kyxx296wr9t.mca
1⤵
PID:3584

C:\Windows\System32\RuntimeBroker.exe
C:\Windows\System32\RuntimeBroker.exe -Embedding
1⤵
PID:832

C:\Windows\System32\RuntimeBroker.exe
C:\Windows\System32\RuntimeBroker.exe -Embedding
1⤵
PID:3784

C:\Windows\SystemApps\Microsoft.Windows.StartMenuExperienceHost_cw5n1h2txyewy\StartMenuExperienceHost.exe
"C:\Windows\SystemApps\Microsoft.Windows.StartMenuExperienceHost_cw5n1h2txyewy\StartMenuExperienceHost.exe" -ServerName:App.AppXywbrabmsek0gm3tkwpr5kwzbs55tkqay.mca
1⤵
PID:3356

C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe -k ClipboardSvcGroup -p -s cbdhsvc
1⤵
PID:3024

C:\Windows\system32\taskhostw.exe
taskhostw.exe {222A245B-E637-4AE9-A93F-A59CA119A75E}
1⤵
PID:2452

C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe -k UnistackSvcGroup -s CDPUserSvc
1⤵
PID:2380

C:\Windows\system32\fontdrvhost.exe
"fontdrvhost.exe"
1⤵
PID:780

Network

MITRE ATT&CK Matrix ATT&CK v6

Initial Access

Replication Through Removable Media

T1091

Execution

Persistence

Modify Existing Service

T1031

Privilege Escalation

Bypass User Account Control

T1088

Defense Evasion

Modify Registry

Bypass User Account Control

T1088

Disabling Security Tools