c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

Analysis

max time kernel
136s
max time network
173s
platform
windows10-2004_x64
resource
win10v2004-20220812-en
resource tags

arch:x64arch:x86image:win10v2004-20220812-enlocale:en-usos:windows10-2004-x64system
submitted
19/09/2022, 19:40

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267.exe
Size

29KB
MD5

f9fcf46f677082a2f55c146aa44d245d
SHA1

81beb90b1ce4b45e52fe6ea0a25e53eb79935e21
SHA256

c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267
SHA512

ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0
SSDEEP

768:D3rnGHcFIKtK3y89pXdqKIsG4qTDMqR7AtmqDgfj70f:TrGmt2y8kLDMqNANgX0f

Score

8^/10

persistence

Malware Config

Signatures

Executes dropped EXE 64 IoCs

pid	Process
2328	secsrvrc.exe
1380	secsrvrc.exe
5044	secsrvrc.exe
4324	secsrvrc.exe
4768	secsrvrc.exe
4288	secsrvrc.exe
4728	secsrvrc.exe
4660	secsrvrc.exe
4644	secsrvrc.exe
1092	secsrvrc.exe
4896	secsrvrc.exe
4992	secsrvrc.exe
4440	secsrvrc.exe
3308	secsrvrc.exe
3452	secsrvrc.exe
1868	secsrvrc.exe
1748	secsrvrc.exe
3360	secsrvrc.exe
2416	secsrvrc.exe
2288	secsrvrc.exe
1568	secsrvrc.exe
5076	secsrvrc.exe
1676	secsrvrc.exe
3920	secsrvrc.exe
4016	secsrvrc.exe
208	secsrvrc.exe
4020	secsrvrc.exe
3900	secsrvrc.exe
2596	secsrvrc.exe
4316	secsrvrc.exe
1224	secsrvrc.exe
3744	secsrvrc.exe
3364	secsrvrc.exe
3880	secsrvrc.exe
1496	secsrvrc.exe
3508	secsrvrc.exe
4872	secsrvrc.exe
1948	secsrvrc.exe
4496	secsrvrc.exe
4968	secsrvrc.exe
4180	secsrvrc.exe
4224	secsrvrc.exe
3200	secsrvrc.exe
4244	secsrvrc.exe
2444	secsrvrc.exe
360	secsrvrc.exe
3492	secsrvrc.exe
3356	secsrvrc.exe
1520	secsrvrc.exe
1008	secsrvrc.exe
3944	secsrvrc.exe
4824	secsrvrc.exe
3192	secsrvrc.exe
4088	secsrvrc.exe
4220	secsrvrc.exe
4424	secsrvrc.exe
5012	secsrvrc.exe
2128	secsrvrc.exe
1432	secsrvrc.exe
1492	secsrvrc.exe
1240	secsrvrc.exe
4812	secsrvrc.exe
3860	secsrvrc.exe
376	secsrvrc.exe

Adds Run key to start application 2 TTPs 64 IoCs

persistence

Registry Run Keys / Startup Folder

T1060

Modify Registry

T1112

description	ioc	Process
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\secsrvrc = "C:\\Windows\\system32\\secsrvrc.exe"	Process not Found
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run	Process not Found
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run	Process not Found
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run	Process not Found
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\secsrvrc = "C:\\Windows\\system32\\secsrvrc.exe"	secsrvrc.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\secsrvrc = "C:\\Windows\\system32\\secsrvrc.exe"	Process not Found
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\secsrvrc = "C:\\Windows\\system32\\secsrvrc.exe"	Process not Found
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run	Process not Found
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\secsrvrc = "C:\\Windows\\system32\\secsrvrc.exe"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\secsrvrc = "C:\\Windows\\system32\\secsrvrc.exe"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\secsrvrc = "C:\\Windows\\system32\\secsrvrc.exe"	Process not Found
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run	Process not Found
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run	Process not Found
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run	Process not Found
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\secsrvrc = "C:\\Windows\\system32\\secsrvrc.exe"	Process not Found
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\secsrvrc = "C:\\Windows\\system32\\secsrvrc.exe"	Process not Found
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run	secsrvrc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\secsrvrc = "C:\\Windows\\system32\\secsrvrc.exe"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\secsrvrc = "C:\\Windows\\system32\\secsrvrc.exe"	Process not Found
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run	Process not Found
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\secsrvrc = "C:\\Windows\\system32\\secsrvrc.exe"	secsrvrc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\secsrvrc = "C:\\Windows\\system32\\secsrvrc.exe"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\secsrvrc = "C:\\Windows\\system32\\secsrvrc.exe"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\secsrvrc = "C:\\Windows\\system32\\secsrvrc.exe"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\secsrvrc = "C:\\Windows\\system32\\secsrvrc.exe"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\secsrvrc = "C:\\Windows\\system32\\secsrvrc.exe"	Process not Found
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\secsrvrc = "C:\\Windows\\system32\\secsrvrc.exe"	secsrvrc.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run	Process not Found
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run	Process not Found
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run	Process not Found
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run	Process not Found
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\secsrvrc = "C:\\Windows\\system32\\secsrvrc.exe"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\secsrvrc = "C:\\Windows\\system32\\secsrvrc.exe"	secsrvrc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\secsrvrc = "C:\\Windows\\system32\\secsrvrc.exe"	Process not Found
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\secsrvrc = "C:\\Windows\\system32\\secsrvrc.exe"	Process not Found
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\secsrvrc = "C:\\Windows\\system32\\secsrvrc.exe"	Process not Found
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run	Process not Found
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run	Process not Found
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run	secsrvrc.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run	secsrvrc.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run	Process not Found
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\secsrvrc = "C:\\Windows\\system32\\secsrvrc.exe"	Process not Found
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\secsrvrc = "C:\\Windows\\system32\\secsrvrc.exe"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\secsrvrc = "C:\\Windows\\system32\\secsrvrc.exe"	secsrvrc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\secsrvrc = "C:\\Windows\\system32\\secsrvrc.exe"	Process not Found
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run	secsrvrc.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\secsrvrc = "C:\\Windows\\system32\\secsrvrc.exe"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\secsrvrc = "C:\\Windows\\system32\\secsrvrc.exe"	Process not Found
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run	Process not Found

Modifies WinLogon 2 TTPs 64 IoCs

persistence

Winlogon Helper DLL

T1004

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\StartScreenSaver = "WLEStartScreenSaver"	secsrvrc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\StopScreenSaver = "WLEStopScreenSaver"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\Asynchronous = "0"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\Asynchronous = "0"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\StopScreenSaver = "WLEStopScreenSaver"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\DllName = "secsrvrc.dll"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\Impersonate = "0"	secsrvrc.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\Asynchronous = "0"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\Unlock = "WLEUnlock"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\Logoff = "WLELogoff"	secsrvrc.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\Asynchronous = "0"	secsrvrc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\Logon = "WLELogon"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\Unlock = "WLEUnlock"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\Lock = "WLELock"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\Asynchronous = "0"	secsrvrc.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\Impersonate = "0"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\DllName = "secsrvrc.dll"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\Impersonate = "0"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\Logoff = "WLELogoff"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\Logoff = "WLELogoff"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\StartScreenSaver = "WLEStartScreenSaver"	secsrvrc.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\Asynchronous = "0"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\DllName = "secsrvrc.dll"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\Impersonate = "0"	Process not Found
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify	Process not Found
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\Lock = "WLELock"	Process not Found
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify	secsrvrc.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\Impersonate = "0"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\DllName = "secsrvrc.dll"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\DllName = "secsrvrc.dll"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\Asynchronous = "0"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\Shutdown = "WLEShutdown"	Process not Found
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\Startup = "WLEStartup"	secsrvrc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\Logoff = "WLELogoff"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\Impersonate = "0"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\StartScreenSaver = "WLEStartScreenSaver"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\Logon = "WLELogon"	Process not Found
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc	secsrvrc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\Logon = "WLELogon"	Process not Found
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\Asynchronous = "0"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\Lock = "WLELock"	Process not Found
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\Logon = "WLELogon"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\Unlock = "WLEUnlock"	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\Impersonate = "0"	Process not Found
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\StopScreenSaver = "WLEStopScreenSaver"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\Shutdown = "WLEShutdown"	Process not Found
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\Logon = "WLELogon"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\Logoff = "WLELogoff"	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\StartScreenSaver = "WLEStartScreenSaver"	secsrvrc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\Startup = "WLEStartup"	Process not Found
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\DllName = "secsrvrc.dll"	Process not Found
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify	Process not Found
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\Asynchronous = "0"	Process not Found
Key created	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc	Process not Found
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\Logoff = "WLELogoff"	secsrvrc.exe
Set value (int)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\Asynchronous = "0"	secsrvrc.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\secsrvrc\Startup = "WLEStartup"	secsrvrc.exe

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	secsrvrc.exe
File created	C:\Windows\SysWOW64\secsrvrc.exe	secsrvrc.exe
File created	C:\Windows\SysWOW64\secsrvrc.exe	secsrvrc.exe
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	secsrvrc.exe
File created	C:\Windows\SysWOW64\secsrvrc.exe	secsrvrc.exe
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	secsrvrc.exe
File created	C:\Windows\SysWOW64\secsrvrc.exe	secsrvrc.exe
File created	C:\Windows\SysWOW64\secsrvrc.exe	secsrvrc.exe
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	secsrvrc.exe
File created	C:\Windows\SysWOW64\secsrvrc.exe	secsrvrc.exe
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	secsrvrc.exe
File created	C:\Windows\SysWOW64\secsrvrc.exe	secsrvrc.exe
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	secsrvrc.exe
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	secsrvrc.exe
File created	C:\Windows\SysWOW64\secsrvrc.exe	secsrvrc.exe
File created	C:\Windows\SysWOW64\secsrvrc.exe	secsrvrc.exe
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	Process not Found
File created	C:\Windows\SysWOW64\secsrvrc.exe	secsrvrc.exe
File created	C:\Windows\SysWOW64\secsrvrc.exe	secsrvrc.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 1664 wrote to memory of 2328	1664	c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267.exe	80
PID 1664 wrote to memory of 2328	1664	c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267.exe	80
PID 1664 wrote to memory of 2328	1664	c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267.exe	80
PID 2328 wrote to memory of 1380	2328	secsrvrc.exe	81
PID 2328 wrote to memory of 1380	2328	secsrvrc.exe	81
PID 2328 wrote to memory of 1380	2328	secsrvrc.exe	81
PID 1380 wrote to memory of 5044	1380	secsrvrc.exe	82
PID 1380 wrote to memory of 5044	1380	secsrvrc.exe	82
PID 1380 wrote to memory of 5044	1380	secsrvrc.exe	82
PID 5044 wrote to memory of 4324	5044	secsrvrc.exe	83
PID 5044 wrote to memory of 4324	5044	secsrvrc.exe	83
PID 5044 wrote to memory of 4324	5044	secsrvrc.exe	83
PID 4324 wrote to memory of 4768	4324	secsrvrc.exe	84
PID 4324 wrote to memory of 4768	4324	secsrvrc.exe	84
PID 4324 wrote to memory of 4768	4324	secsrvrc.exe	84
PID 4768 wrote to memory of 4288	4768	secsrvrc.exe	85
PID 4768 wrote to memory of 4288	4768	secsrvrc.exe	85
PID 4768 wrote to memory of 4288	4768	secsrvrc.exe	85
PID 4288 wrote to memory of 4728	4288	secsrvrc.exe	86
PID 4288 wrote to memory of 4728	4288	secsrvrc.exe	86
PID 4288 wrote to memory of 4728	4288	secsrvrc.exe	86
PID 4728 wrote to memory of 4660	4728	secsrvrc.exe	87
PID 4728 wrote to memory of 4660	4728	secsrvrc.exe	87
PID 4728 wrote to memory of 4660	4728	secsrvrc.exe	87
PID 4660 wrote to memory of 4644	4660	secsrvrc.exe	88
PID 4660 wrote to memory of 4644	4660	secsrvrc.exe	88
PID 4660 wrote to memory of 4644	4660	secsrvrc.exe	88
PID 4644 wrote to memory of 1092	4644	secsrvrc.exe	89
PID 4644 wrote to memory of 1092	4644	secsrvrc.exe	89
PID 4644 wrote to memory of 1092	4644	secsrvrc.exe	89
PID 1092 wrote to memory of 4896	1092	secsrvrc.exe	90
PID 1092 wrote to memory of 4896	1092	secsrvrc.exe	90
PID 1092 wrote to memory of 4896	1092	secsrvrc.exe	90
PID 4896 wrote to memory of 4992	4896	secsrvrc.exe	91
PID 4896 wrote to memory of 4992	4896	secsrvrc.exe	91
PID 4896 wrote to memory of 4992	4896	secsrvrc.exe	91
PID 4992 wrote to memory of 4440	4992	secsrvrc.exe	92
PID 4992 wrote to memory of 4440	4992	secsrvrc.exe	92
PID 4992 wrote to memory of 4440	4992	secsrvrc.exe	92
PID 4440 wrote to memory of 3308	4440	secsrvrc.exe	93
PID 4440 wrote to memory of 3308	4440	secsrvrc.exe	93
PID 4440 wrote to memory of 3308	4440	secsrvrc.exe	93
PID 3308 wrote to memory of 3452	3308	secsrvrc.exe	94
PID 3308 wrote to memory of 3452	3308	secsrvrc.exe	94
PID 3308 wrote to memory of 3452	3308	secsrvrc.exe	94
PID 3452 wrote to memory of 1868	3452	secsrvrc.exe	95
PID 3452 wrote to memory of 1868	3452	secsrvrc.exe	95
PID 3452 wrote to memory of 1868	3452	secsrvrc.exe	95
PID 1868 wrote to memory of 1748	1868	secsrvrc.exe	96
PID 1868 wrote to memory of 1748	1868	secsrvrc.exe	96
PID 1868 wrote to memory of 1748	1868	secsrvrc.exe	96
PID 1748 wrote to memory of 3360	1748	secsrvrc.exe	97
PID 1748 wrote to memory of 3360	1748	secsrvrc.exe	97
PID 1748 wrote to memory of 3360	1748	secsrvrc.exe	97
PID 3360 wrote to memory of 2416	3360	secsrvrc.exe	98
PID 3360 wrote to memory of 2416	3360	secsrvrc.exe	98
PID 3360 wrote to memory of 2416	3360	secsrvrc.exe	98
PID 2416 wrote to memory of 2288	2416	secsrvrc.exe	100
PID 2416 wrote to memory of 2288	2416	secsrvrc.exe	100
PID 2416 wrote to memory of 2288	2416	secsrvrc.exe	100
PID 2288 wrote to memory of 1568	2288	secsrvrc.exe	99
PID 2288 wrote to memory of 1568	2288	secsrvrc.exe	99
PID 2288 wrote to memory of 1568	2288	secsrvrc.exe	99
PID 1568 wrote to memory of 5076	1568	secsrvrc.exe	101

C:\Users\Admin\AppData\Local\Temp\c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267.exe
"C:\Users\Admin\AppData\Local\Temp\c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267.exe"
1⤵
- Suspicious use of WriteProcessMemory
PID:1664
- C:\Windows\SysWOW64\secsrvrc.exe
  C:\Windows\system32\secsrvrc.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of WriteProcessMemory
  PID:2328
- - C:\Windows\SysWOW64\secsrvrc.exe
    C:\Windows\system32\secsrvrc.exe
    3⤵
    - Executes dropped EXE
    - Modifies WinLogon
    - Suspicious use of WriteProcessMemory
    PID:1380
  - - C:\Windows\SysWOW64\secsrvrc.exe
      C:\Windows\system32\secsrvrc.exe
      4⤵
      Executes dropped EXE
      Suspicious use of WriteProcessMemory
      PID:5044
    - - C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        5⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:4324
      - C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        6⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:4768
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        7⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:4288
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        8⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:4728
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        9⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:4660
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        10⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:4644
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        11⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:1092
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        12⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:4896
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        13⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:4992
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        14⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:4440
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        15⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:3308
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        16⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:3452
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        17⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:1868
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        18⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:1748
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        19⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:3360
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        20⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:2416
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        21⤵
        Executes dropped EXE
        Suspicious use of WriteProcessMemory
        
        PID:2288

C:\Windows\SysWOW64\secsrvrc.exe
C:\Windows\system32\secsrvrc.exe
1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:1568
- C:\Windows\SysWOW64\secsrvrc.exe
  C:\Windows\system32\secsrvrc.exe
  2⤵
  - Executes dropped EXE
  PID:5076
- - C:\Windows\SysWOW64\secsrvrc.exe
    C:\Windows\system32\secsrvrc.exe
    3⤵
    - Executes dropped EXE
    PID:1676
  - - C:\Windows\SysWOW64\secsrvrc.exe
      C:\Windows\system32\secsrvrc.exe
      4⤵
      Executes dropped EXE
      PID:3920
    - - C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        5⤵
        Executes dropped EXE
        
        PID:4016
      - C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        6⤵
        Executes dropped EXE
        
        PID:208
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        7⤵
        Executes dropped EXE
        
        PID:4020
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        8⤵
        Executes dropped EXE
        
        PID:3900
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        9⤵
        Executes dropped EXE
        
        PID:2596
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        10⤵
        Executes dropped EXE
        
        PID:4316
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        11⤵
        Executes dropped EXE
        
        PID:1224
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        12⤵
        Executes dropped EXE
        
        PID:3744
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        13⤵
        Executes dropped EXE
        
        PID:3364
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        14⤵
        Executes dropped EXE
        
        PID:3880
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        15⤵
        Executes dropped EXE
        Modifies WinLogon
        
        PID:1496
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        16⤵
        Executes dropped EXE
        
        PID:3508
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        17⤵
        Executes dropped EXE
        
        PID:4872
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        18⤵
        Executes dropped EXE
        
        PID:1948
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        19⤵
        Executes dropped EXE
        
        PID:4496
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        20⤵
        Executes dropped EXE
        
        PID:4968
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        21⤵
        Executes dropped EXE
        
        PID:4180

C:\Windows\SysWOW64\secsrvrc.exe
C:\Windows\system32\secsrvrc.exe
1⤵
- Executes dropped EXE
- Modifies WinLogon
PID:4224
- C:\Windows\SysWOW64\secsrvrc.exe
  C:\Windows\system32\secsrvrc.exe
  2⤵
  - Executes dropped EXE
  PID:3200
- - C:\Windows\SysWOW64\secsrvrc.exe
    C:\Windows\system32\secsrvrc.exe
    3⤵
    - Executes dropped EXE
    PID:4244
  - - C:\Windows\SysWOW64\secsrvrc.exe
      C:\Windows\system32\secsrvrc.exe
      4⤵
      Executes dropped EXE
      PID:2444
    - - C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        5⤵
        Executes dropped EXE
        
        PID:360
      - C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        6⤵
        Executes dropped EXE
        
        PID:3492
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        7⤵
        Executes dropped EXE
        
        PID:3356
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        8⤵
        Executes dropped EXE
        
        PID:1520
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        9⤵
        Executes dropped EXE
        
        PID:1008
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        10⤵
        Executes dropped EXE
        
        PID:3944
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        11⤵
        Executes dropped EXE
        
        PID:4824
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        12⤵
        Executes dropped EXE
        
        PID:3192
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        13⤵
        Executes dropped EXE
        
        PID:4088
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        14⤵
        Executes dropped EXE
        
        PID:4220
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        15⤵
        Executes dropped EXE
        
        PID:4424
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        16⤵
        Executes dropped EXE
        
        PID:5012
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        17⤵
        Executes dropped EXE
        
        PID:2128
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        18⤵
        Executes dropped EXE
        
        PID:1432
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        19⤵
        Executes dropped EXE
        
        PID:1492
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        20⤵
        Executes dropped EXE
        
        PID:1240
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        21⤵
        Executes dropped EXE
        
        PID:4812
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        22⤵
        Executes dropped EXE
        
        PID:3860
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        23⤵
        Executes dropped EXE
        
        PID:376
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        24⤵
        
        PID:4840
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        25⤵
        
        PID:3024
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        26⤵
        
        PID:4844
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        27⤵
        
        PID:3756
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        28⤵
        
        PID:3196
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        29⤵
        
        PID:1776
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        30⤵
        
        PID:1456
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        31⤵
        
        PID:4900
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        32⤵
        
        PID:2968
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        33⤵
        
        PID:1516
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        34⤵
        
        PID:4420
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        35⤵
        
        PID:1448
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        36⤵
        
        PID:3056
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        37⤵
        
        PID:2924
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        38⤵
        
        PID:4864
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        39⤵
        
        PID:3596
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        40⤵
        
        PID:416
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        41⤵
        Drops file in System32 directory
        
        PID:3352
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        42⤵
        
        PID:2832
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        43⤵
        
        PID:3028
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        44⤵
        
        PID:2692
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        45⤵
        
        PID:3932
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        46⤵
        
        PID:3908
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        47⤵
        
        PID:2188
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        48⤵
        
        PID:2164
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        49⤵
        
        PID:3528
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        50⤵
        
        PID:1652

C:\Windows\SysWOW64\secsrvrc.exe
C:\Windows\system32\secsrvrc.exe
1⤵
PID:4692
- C:\Windows\SysWOW64\secsrvrc.exe
  C:\Windows\system32\secsrvrc.exe
  2⤵
  PID:4852
- - C:\Windows\SysWOW64\secsrvrc.exe
    C:\Windows\system32\secsrvrc.exe
    3⤵
    PID:2224
  - - C:\Windows\SysWOW64\secsrvrc.exe
      C:\Windows\system32\secsrvrc.exe
      4⤵
      PID:4732
    - - C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        5⤵
        
        PID:1960
      - C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        6⤵
        
        PID:1924
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        7⤵
        
        PID:3452
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        8⤵
        
        PID:2328
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        9⤵
        
        PID:4288
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        10⤵
        
        PID:4828
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        11⤵
        
        PID:3068
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        12⤵
        
        PID:4796
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        13⤵
        
        PID:4444
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        14⤵
        
        PID:4400
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        15⤵
        
        PID:5080
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        16⤵
        
        PID:1580
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        17⤵
        
        PID:4768
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        18⤵
        
        PID:5084
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        19⤵
        
        PID:4324
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        20⤵
        
        PID:4748

C:\Windows\SysWOW64\secsrvrc.exe
C:\Windows\system32\secsrvrc.exe
1⤵
PID:4660
- C:\Windows\SysWOW64\secsrvrc.exe
  C:\Windows\system32\secsrvrc.exe
  2⤵
  PID:3988
- - C:\Windows\SysWOW64\secsrvrc.exe
    C:\Windows\system32\secsrvrc.exe
    3⤵
    PID:4332
  - - C:\Windows\SysWOW64\secsrvrc.exe
      C:\Windows\system32\secsrvrc.exe
      4⤵
      PID:4908
    - - C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        5⤵
        
        PID:2752
      - C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        6⤵
        Modifies WinLogon
        
        PID:2416
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        7⤵
        
        PID:4792
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        8⤵
        
        PID:1944
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        9⤵
        
        PID:3008
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        10⤵
        
        PID:1568
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        11⤵
        
        PID:1324
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        12⤵
        
        PID:2944
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        13⤵
        
        PID:2080
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        14⤵
        
        PID:4036
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        15⤵
        
        PID:212
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        16⤵
        
        PID:4048
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        13⤵
        
        PID:116
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        14⤵
        
        PID:4004
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        15⤵
        
        PID:4012
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        16⤵
        
        PID:4008
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        17⤵
        
        PID:3900
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        18⤵
        
        PID:2504
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        19⤵
        
        PID:316
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        20⤵
        
        PID:4260
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        21⤵
        Drops file in System32 directory
        
        PID:3876
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        22⤵
        
        PID:4316
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        23⤵
        
        PID:1048
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        24⤵
        
        PID:3840
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        8⤵
        
        PID:1944
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        9⤵
        
        PID:5076
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        10⤵
        
        PID:2588
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        11⤵
        
        PID:2944

C:\Windows\SysWOW64\secsrvrc.exe
C:\Windows\system32\secsrvrc.exe
1⤵
PID:4044
- C:\Windows\SysWOW64\secsrvrc.exe
  C:\Windows\system32\secsrvrc.exe
  2⤵
  PID:316
- - C:\Windows\SysWOW64\secsrvrc.exe
    C:\Windows\system32\secsrvrc.exe
    3⤵
    PID:4020
  - - C:\Windows\SysWOW64\secsrvrc.exe
      C:\Windows\system32\secsrvrc.exe
      4⤵
      PID:3896
    - - C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        5⤵
        
        PID:4256
      - C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        6⤵
        
        PID:3876
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        7⤵
        
        PID:4304
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        8⤵
        
        PID:4232
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        9⤵
        
        PID:4816
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        10⤵
        
        PID:740
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        11⤵
        
        PID:616
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        12⤵
        
        PID:1224
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        13⤵
        
        PID:4372
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        14⤵
        
        PID:3880
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        15⤵
        
        PID:4492
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        16⤵
        
        PID:1788
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        17⤵
        
        PID:3268
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        18⤵
        
        PID:4952
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        19⤵
        
        PID:3348
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        20⤵
        
        PID:1980
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        21⤵
        
        PID:2272
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        22⤵
        
        PID:4936
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        23⤵
        
        PID:1376
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        24⤵
        
        PID:4180
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        25⤵
        
        PID:3200
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        26⤵
        
        PID:1308
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        27⤵
        
        PID:1700
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        28⤵
        
        PID:4612
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        29⤵
        Drops file in System32 directory
        
        PID:1968
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        30⤵
        
        PID:3492
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        31⤵
        
        PID:3356
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        32⤵
        
        PID:4552
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        33⤵
        
        PID:4392
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        34⤵
        
        PID:4388
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        35⤵
        
        PID:2168
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        36⤵
        
        PID:1404
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        37⤵
        
        PID:3796
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        38⤵
        
        PID:2108
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        39⤵
        
        PID:3296
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        40⤵
        
        PID:5000
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        41⤵
        
        PID:4336
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        42⤵
        
        PID:4668
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        43⤵
        
        PID:4348
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        44⤵
        
        PID:2324
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        45⤵
        
        PID:2252
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        46⤵
        
        PID:2712
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        47⤵
        
        PID:2196
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        48⤵
        
        PID:928
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        49⤵
        
        PID:1432
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        50⤵
        
        PID:3304
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        51⤵
        
        PID:1228
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        52⤵
        
        PID:4684
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        53⤵
        
        PID:456
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        54⤵
        
        PID:3040
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        55⤵
        Modifies WinLogon
        
        PID:3860
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        56⤵
        
        PID:1732
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        57⤵
        
        PID:376
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        58⤵
        
        PID:1244
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        59⤵
        
        PID:828
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        60⤵
        
        PID:2528
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        61⤵
        
        PID:2928
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        62⤵
        
        PID:1012
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        63⤵
        
        PID:4808
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        64⤵
        
        PID:4900
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        65⤵
        
        PID:1844
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        66⤵
        
        PID:1140
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        67⤵
        
        PID:1368
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        68⤵
        
        PID:908
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        69⤵
        
        PID:4864
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        70⤵
        
        PID:1276
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        71⤵
        
        PID:416
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        72⤵
        
        PID:3352
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        73⤵
        
        PID:2832
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        74⤵
        
        PID:2356
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        75⤵
        
        PID:3028
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        76⤵
        
        PID:820
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        77⤵
        
        PID:2432
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        78⤵
        
        PID:3084
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        79⤵
        
        PID:2164
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        80⤵
        
        PID:3528
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        81⤵
        
        PID:4296
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        82⤵
        
        PID:4672
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        83⤵
        
        PID:2764
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        84⤵
        
        PID:1176
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        85⤵
        
        PID:664
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        86⤵
        
        PID:2212
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        87⤵
        
        PID:1988
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        88⤵
        
        PID:420
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        89⤵
        
        PID:4720
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        90⤵
        
        PID:3836
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        91⤵
        
        PID:4428
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        92⤵
        Adds Run key to start application
        
        PID:3332
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        93⤵
        
        PID:4440
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        94⤵
        
        PID:4632
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        95⤵
        
        PID:4716
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        96⤵
        
        PID:4544
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        97⤵
        
        PID:4772
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        98⤵
        
        PID:4712
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        99⤵
        
        PID:792
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        100⤵
        
        PID:2896
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        101⤵
        
        PID:3396
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        102⤵
        
        PID:1812
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        103⤵
        
        PID:2732
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        104⤵
        
        PID:4592
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        75⤵
        
        PID:2188
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        76⤵
        
        PID:4140
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        77⤵
        
        PID:2832
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        78⤵
        
        PID:1216
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        38⤵
        
        PID:3296
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        39⤵
        
        PID:2108
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        40⤵
        
        PID:3892
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        41⤵
        
        PID:4220
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        42⤵
        
        PID:3324
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        43⤵
        
        PID:4152
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        44⤵
        
        PID:5012
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        45⤵
        
        PID:1144
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        46⤵
        
        PID:1232
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        47⤵
        
        PID:2512
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        48⤵
        
        PID:2480
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        49⤵
        
        PID:2364
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        50⤵
        Adds Run key to start application
        
        PID:4064
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        51⤵
        
        PID:1240
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        52⤵
        
        PID:4812
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        53⤵
        
        PID:4688
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        54⤵
        
        PID:4948
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        55⤵
        
        PID:1044
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        56⤵
        
        PID:2500
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        57⤵
        Adds Run key to start application
        
        PID:1136
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        58⤵
        
        PID:1952
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        59⤵
        
        PID:3808
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        60⤵
        
        PID:1456
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        61⤵
        
        PID:1840
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        62⤵
        
        PID:1776
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        63⤵
        
        PID:2968
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        64⤵
        
        PID:1516
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        65⤵
        
        PID:1672
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        66⤵
        
        PID:1448
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        67⤵
        
        PID:3056
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        68⤵
        
        PID:1704
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        69⤵
        
        PID:3204
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        70⤵
        
        PID:2592
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        71⤵
        
        PID:3352
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        72⤵
        
        PID:900
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        73⤵
        
        PID:960
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        74⤵
        
        PID:528
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        75⤵
        
        PID:3936
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        76⤵
        
        PID:4140
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        77⤵
        
        PID:3252
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        78⤵
        
        PID:2180
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        79⤵
        
        PID:3084
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        80⤵
        
        PID:3528
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        81⤵
        
        PID:4296
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        82⤵
        
        PID:4636
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        83⤵
        
        PID:2764
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        84⤵
        
        PID:1176
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        85⤵
        
        PID:3032
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        86⤵
        
        PID:4752
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        87⤵
        
        PID:4720
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        88⤵
        
        PID:3836
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        89⤵
        
        PID:4428
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        90⤵
        
        PID:4796
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        91⤵
        
        PID:4444
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        92⤵
        
        PID:4400
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        93⤵
        
        PID:5080
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        94⤵
        
        PID:1380
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        95⤵
        
        PID:4644
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        96⤵
        
        PID:3996
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        97⤵
        
        PID:1208
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        98⤵
        
        PID:1884
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        99⤵
        
        PID:4640
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        100⤵
        
        PID:4592
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        101⤵
        
        PID:1888
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        102⤵
        
        PID:540
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        103⤵
        
        PID:2416
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        104⤵
        
        PID:3360
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        105⤵
        
        PID:3176
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        106⤵
        
        PID:4368
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        107⤵
        
        PID:4000
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        108⤵
        
        PID:3916
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        109⤵
        Drops file in System32 directory
        
        PID:3920
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        110⤵
        
        PID:212
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        111⤵
        
        PID:220
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        112⤵
        
        PID:4016
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        113⤵
        
        PID:204
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        114⤵
        
        PID:208
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        115⤵
        
        PID:2904
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        116⤵
        Drops file in System32 directory
        
        PID:4020
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        117⤵
        
        PID:2360
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        118⤵
        
        PID:3772
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        119⤵
        
        PID:4304
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        120⤵
        
        PID:4820
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        121⤵
        
        PID:3364
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        122⤵
        
        PID:1496
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        123⤵
        
        PID:616
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        124⤵
        
        PID:3600
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        125⤵
        
        PID:1200
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        126⤵
        
        PID:2824
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        127⤵
        
        PID:1852
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        128⤵
        
        PID:2112
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        129⤵
        
        PID:4952
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        130⤵
        
        PID:3348
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        131⤵
        
        PID:620
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        132⤵
        
        PID:1948
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        133⤵
        
        PID:4912
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        134⤵
        
        PID:2160
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        135⤵
        
        PID:4228
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        136⤵
        
        PID:1716
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        137⤵
        
        PID:1128
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        138⤵
        
        PID:2900
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        139⤵
        
        PID:3636
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        140⤵
        
        PID:1968
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        141⤵
        
        PID:3492
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        142⤵
        
        PID:1204
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        143⤵
        
        PID:4388
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        144⤵
        
        PID:2168
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        145⤵
        
        PID:380
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        146⤵
        
        PID:4884
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        147⤵
        
        PID:1976
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        148⤵
        
        PID:2156
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        149⤵
        
        PID:5000
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        150⤵
        
        PID:4336
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        151⤵
        
        PID:4668
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        152⤵
        
        PID:2324
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        153⤵
        
        PID:4348
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        154⤵
        
        PID:2252
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        155⤵
        
        PID:4980
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        156⤵
        
        PID:5116
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        157⤵
        
        PID:928
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        158⤵
        
        PID:1492
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        159⤵
        
        PID:3304
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        160⤵
        
        PID:1228
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        161⤵
        
        PID:456
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        162⤵
        
        PID:4484
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        163⤵
        
        PID:788
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        164⤵
        Modifies WinLogon
        
        PID:3860
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        165⤵
        
        PID:1808
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        166⤵
        
        PID:1244
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        167⤵
        
        PID:828
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        168⤵
        
        PID:2928
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        169⤵
        
        PID:1456
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        170⤵
        
        PID:3024
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        171⤵
        
        PID:3700
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        172⤵
        
        PID:1388
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        173⤵
        
        PID:4900
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        174⤵
        
        PID:1140
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        175⤵
        
        PID:4200
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        176⤵
        
        PID:2076
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        177⤵
        
        PID:3820
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        130⤵
        
        PID:3348
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        131⤵
        
        PID:620
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        132⤵
        
        PID:1948
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        133⤵
        
        PID:4912
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        134⤵
        
        PID:4932
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        135⤵
        
        PID:3200
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        136⤵
        
        PID:1716
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        137⤵
        
        PID:1128
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        138⤵
        
        PID:2900
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        139⤵
        
        PID:3636
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        140⤵
        
        PID:3540
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        141⤵
        
        PID:3492
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        142⤵
        
        PID:3696
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        143⤵
        
        PID:1204
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        144⤵
        
        PID:2168
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        145⤵
        
        PID:380
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        146⤵
        
        PID:4884
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        147⤵
        
        PID:1976
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        148⤵
        
        PID:2108
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        149⤵
        
        PID:3892
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        103⤵
        
        PID:176
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        104⤵
        
        PID:868
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        105⤵
        
        PID:3004
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        106⤵
        
        PID:1568
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        107⤵
        
        PID:2588
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        108⤵
        
        PID:4032
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        109⤵
        
        PID:4028
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        110⤵
        
        PID:4024
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        111⤵
        
        PID:220
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        112⤵
        
        PID:4048
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        113⤵
        
        PID:3744
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        114⤵
        
        PID:204
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        115⤵
        
        PID:2596
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        116⤵
        
        PID:316
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        117⤵
        
        PID:4548
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        118⤵
        
        PID:4260
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        119⤵
        
        PID:4996
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        120⤵
        
        PID:3840
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        121⤵
        
        PID:3552
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        122⤵
        
        PID:4820
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        123⤵
        
        PID:1496
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        124⤵
        
        PID:4680
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        125⤵
        
        PID:3508
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        126⤵
        
        PID:2824
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        127⤵
        
        PID:1788
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        128⤵
        
        PID:5020
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        129⤵
        
        PID:2144
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        130⤵
        
        PID:1852
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        131⤵
        
        PID:1376
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        132⤵
        
        PID:4532
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        133⤵
        
        PID:4932
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        134⤵
        
        PID:4620
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        135⤵
        
        PID:1908
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        136⤵
        
        PID:3200
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        137⤵
        
        PID:2548
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        138⤵
        
        PID:1460
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        139⤵
        
        PID:5112
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        140⤵
        
        PID:1968
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        141⤵
        
        PID:2300
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        142⤵
        
        PID:1464
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        143⤵
        
        PID:1472
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        144⤵
        
        PID:1452
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        145⤵
        
        PID:2560
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        146⤵
        
        PID:3192
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        147⤵
        
        PID:3464
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        148⤵
        
        PID:380
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        149⤵
        
        PID:2156
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        150⤵
        
        PID:4336
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        151⤵
        
        PID:2352
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        152⤵
        
        PID:2712
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        153⤵
        
        PID:3216
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        154⤵
        
        PID:1232
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        155⤵
        
        PID:1432
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        156⤵
        
        PID:2480
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        157⤵
        
        PID:3304
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        158⤵
        
        PID:2428
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        159⤵
        
        PID:3104
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        160⤵
        
        PID:4688
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        161⤵
        
        PID:4948
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        162⤵
        
        PID:3860
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        163⤵
        
        PID:4844
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        164⤵
        
        PID:1244
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        165⤵
        
        PID:1136
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        166⤵
        
        PID:2380
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        167⤵
        
        PID:1776
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        168⤵
        
        PID:3756
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        169⤵
        
        PID:1844
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        170⤵
        
        PID:4420
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        171⤵
        
        PID:1388
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        172⤵
        
        PID:4900
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        173⤵
        
        PID:1368
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        174⤵
        
        PID:908
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        175⤵
        
        PID:3056
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        176⤵
        
        PID:3596
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        177⤵
        
        PID:4504
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        178⤵
        
        PID:2592
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        179⤵
        
        PID:4864
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        180⤵
        
        PID:528
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        181⤵
        
        PID:2356
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        107⤵
        
        PID:2588
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        108⤵
        
        PID:960
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        109⤵
        
        PID:212
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        110⤵
        
        PID:208
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        111⤵
        
        PID:3896
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        112⤵
        
        PID:3912
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        113⤵
        
        PID:3900
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        114⤵
        
        PID:260
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        115⤵
        
        PID:3876
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        116⤵
        
        PID:4700
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        117⤵
        Drops file in System32 directory
        
        PID:1048
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        118⤵
        
        PID:4996
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        119⤵
        
        PID:3840
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        120⤵
        
        PID:3552
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        121⤵
        
        PID:740
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        122⤵
        
        PID:3428
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        56⤵
        
        PID:2500
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        57⤵
        
        PID:1136
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        58⤵
        
        PID:1708
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        59⤵
        Drops file in System32 directory
        
        PID:2928
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        60⤵
        Modifies WinLogon
        
        PID:1456
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        61⤵
        
        PID:3024
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        62⤵
        
        PID:3700
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        63⤵
        
        PID:1388
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        64⤵
        
        PID:1832
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        65⤵
        
        PID:1140
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        66⤵
        
        PID:4200
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        67⤵
        
        PID:2076
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        68⤵
        
        PID:3820
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        69⤵
        
        PID:2844
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        41⤵
        
        PID:4220
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        42⤵
        
        PID:4668
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        43⤵
        
        PID:2324
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        44⤵
        
        PID:4348
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        45⤵
        
        PID:2252
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        46⤵
        
        PID:4980
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        47⤵
        
        PID:2428
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        48⤵
        
        PID:2364
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        49⤵
        
        PID:4404
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        50⤵
        
        PID:4684
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        51⤵
        
        PID:4688
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        52⤵
        
        PID:3040
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        53⤵
        
        PID:1044
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        44⤵
        
        PID:4348
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        45⤵
        
        PID:2252
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        46⤵
        
        PID:4540
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        47⤵
        
        PID:2428
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        48⤵
        
        PID:1492
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        49⤵
        
        PID:5092
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        50⤵
        
        PID:4812
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        51⤵
        
        PID:4484
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        52⤵
        
        PID:1732
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        53⤵
        
        PID:2276
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        54⤵
        
        PID:4808
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        55⤵
        Adds Run key to start application
        
        PID:1952
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        56⤵
        Drops file in System32 directory
        
        PID:828
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        57⤵
        
        PID:2528
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        58⤵
        
        PID:1012
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        59⤵
        
        PID:1840
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        60⤵
        
        PID:2968
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        61⤵
        
        PID:1516
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        62⤵
        
        PID:3420
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        63⤵
        
        PID:2384
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        64⤵
        
        PID:3056
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        65⤵
        
        PID:4200
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        66⤵
        
        PID:2844
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        67⤵
        
        PID:4864
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        68⤵
        
        PID:4520
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        69⤵
        
        PID:2692
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        70⤵
        
        PID:4528
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        71⤵
        
        PID:3932
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        72⤵
        
        PID:848
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        73⤵
        
        PID:5004
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        74⤵
        
        PID:2988
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        75⤵
        
        PID:5008
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        76⤵
        
        PID:4780
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        77⤵
        
        PID:2764
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        78⤵
        
        PID:3452
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        79⤵
        
        PID:3032
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        80⤵
        
        PID:1092
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        81⤵
        
        PID:4720
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        82⤵
        
        PID:3068
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        83⤵
        
        PID:5088
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        84⤵
        
        PID:4796
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        85⤵
        
        PID:4444
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        86⤵
        
        PID:5028
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        87⤵
        
        PID:4644
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        88⤵
        
        PID:3308
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        89⤵
        
        PID:1380
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        90⤵
        
        PID:4916
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        91⤵
        
        PID:4660
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        92⤵
        
        PID:1208
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        93⤵
        
        PID:4592
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        94⤵
        
        PID:1328
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        95⤵
        
        PID:1712
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        96⤵
        
        PID:4052
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        97⤵
        
        PID:868
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        98⤵
        
        PID:3004
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        99⤵
        
        PID:1568
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        100⤵
        
        PID:2588
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        101⤵
        
        PID:4032
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        102⤵
        
        PID:4028
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        103⤵
        
        PID:116
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        104⤵
        
        PID:220
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        105⤵
        
        PID:3896
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        106⤵
        
        PID:1276
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        107⤵
        
        PID:3912
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        108⤵
        
        PID:260
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        109⤵
        
        PID:3844
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        110⤵
        
        PID:4236
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        111⤵
        
        PID:4260
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        112⤵
        Adds Run key to start application
        
        PID:4856
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        113⤵
        
        PID:3772
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        114⤵
        
        PID:1880
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        115⤵
        
        PID:5056
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        116⤵
        
        PID:3576
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        117⤵
        
        PID:1224
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        118⤵
        Modifies WinLogon
        
        PID:3880
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        119⤵
        
        PID:3600
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        120⤵
        
        PID:1200
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        121⤵
        
        PID:4872
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        122⤵
        
        PID:4604
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        123⤵
        
        PID:3448
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        124⤵
        
        PID:3348
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        125⤵
        
        PID:1980
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        126⤵
        
        PID:4804
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        127⤵
        
        PID:2160
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        128⤵
        
        PID:440
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        129⤵
        
        PID:4228
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        130⤵
        
        PID:4904
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        131⤵
        
        PID:1716
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        132⤵
        
        PID:1128
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        133⤵
        
        PID:628
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        134⤵
        
        PID:2900
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        135⤵
        
        PID:3540
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        136⤵
        
        PID:4392
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        137⤵
        
        PID:3696
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        138⤵
        
        PID:1204
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        139⤵
        
        PID:2168
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        140⤵
        
        PID:4884
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        141⤵
        
        PID:3000
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        142⤵
        
        PID:4572
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        143⤵
        
        PID:3892
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        144⤵
        
        PID:4196
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        145⤵
        
        PID:4220
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        146⤵
        
        PID:4668
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        147⤵
        
        PID:2268
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        148⤵
        
        PID:4348
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        149⤵
        
        PID:2252
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        150⤵
        Adds Run key to start application
        
        PID:4540
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        151⤵
        
        PID:1228
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        152⤵
        
        PID:1492
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        49⤵
        
        PID:5092
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        50⤵
        
        PID:4812
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        51⤵
        
        PID:4484
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        52⤵
        
        PID:1732
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        53⤵
        
        PID:2276
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        54⤵
        
        PID:4808
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        55⤵
        
        PID:2496
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        56⤵
        
        PID:828
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        57⤵
        
        PID:2528
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        58⤵
        
        PID:1012
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        59⤵
        
        PID:1840
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        60⤵
        
        PID:2968
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        61⤵
        
        PID:2256
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        62⤵
        
        PID:3420
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        63⤵
        
        PID:2384
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        64⤵
        
        PID:1576
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        65⤵
        
        PID:3784
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        66⤵
        
        PID:4200
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        67⤵
        
        PID:2844
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        68⤵
        
        PID:900
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        69⤵
        
        PID:416
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        70⤵
        
        PID:3936
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        71⤵
        
        PID:4080
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        72⤵
        Drops file in System32 directory
        
        PID:2172
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        73⤵
        
        PID:5004
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        74⤵
        
        PID:3084
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        11⤵
        
        PID:5056
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        12⤵
        
        PID:4480
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        13⤵
        
        PID:4680
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        14⤵
        
        PID:4580
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        15⤵
        
        PID:4492
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        16⤵
        
        PID:1788
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        17⤵
        
        PID:1836
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        16⤵
        
        PID:612
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        17⤵
        Drops file in System32 directory
        
        PID:1980
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        18⤵
        
        PID:5020
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        19⤵
        
        PID:3952
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        20⤵
        
        PID:3348
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        21⤵
        
        PID:4180
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        22⤵
        
        PID:440
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        23⤵
        
        PID:4868
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        24⤵
        
        PID:4912
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        25⤵
        
        PID:2036

C:\Windows\SysWOW64\secsrvrc.exe
C:\Windows\system32\secsrvrc.exe
1⤵
PID:1888
- C:\Windows\SysWOW64\secsrvrc.exe
  C:\Windows\system32\secsrvrc.exe
  2⤵
  PID:4248
- - C:\Windows\SysWOW64\secsrvrc.exe
    C:\Windows\system32\secsrvrc.exe
    3⤵
    PID:2416
  - - C:\Windows\SysWOW64\secsrvrc.exe
      C:\Windows\system32\secsrvrc.exe
      4⤵
      PID:868
    - - C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        5⤵
        
        PID:3008
      - C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        6⤵
        
        PID:4792

C:\Windows\SysWOW64\secsrvrc.exe
C:\Windows\system32\secsrvrc.exe
1⤵
PID:740

C:\Windows\SysWOW64\secsrvrc.exe
C:\Windows\system32\secsrvrc.exe
1⤵
PID:4604
- C:\Windows\SysWOW64\secsrvrc.exe
  C:\Windows\system32\secsrvrc.exe
  2⤵
  PID:4496
- - C:\Windows\SysWOW64\secsrvrc.exe
    C:\Windows\system32\secsrvrc.exe
    3⤵
    PID:4532
  - - C:\Windows\SysWOW64\secsrvrc.exe
      C:\Windows\system32\secsrvrc.exe
      4⤵
      PID:2036
    - - C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        5⤵
        Modifies WinLogon
        
        PID:4620
      - C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        6⤵
        
        PID:4936
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        7⤵
        
        PID:4180
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        8⤵
        
        PID:2144
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        9⤵
        
        PID:4868
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        10⤵
        
        PID:3372
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        11⤵
        
        PID:3540
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        12⤵
        
        PID:4376
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        13⤵
        
        PID:4552
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        14⤵
        
        PID:1260
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        15⤵
        Adds Run key to start application
        
        PID:1464
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        16⤵
        
        PID:1452
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        17⤵
        
        PID:3796

C:\Windows\SysWOW64\secsrvrc.exe
C:\Windows\system32\secsrvrc.exe
1⤵
PID:2844
- C:\Windows\SysWOW64\secsrvrc.exe
  C:\Windows\system32\secsrvrc.exe
  2⤵
  PID:3212
- - C:\Windows\SysWOW64\secsrvrc.exe
    C:\Windows\system32\secsrvrc.exe
    3⤵
    PID:4520
  - - C:\Windows\SysWOW64\secsrvrc.exe
      C:\Windows\system32\secsrvrc.exe
      4⤵
      PID:416
    - - C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        5⤵
        
        PID:3160
      - C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        6⤵
        
        PID:4528
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        7⤵
        
        PID:2832
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        8⤵
        
        PID:3028
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        9⤵
        Drops file in System32 directory
        
        PID:848
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        10⤵
        
        PID:3252
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        11⤵
        
        PID:4736
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        12⤵
        
        PID:5008
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        13⤵
        
        PID:4296
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        14⤵
        
        PID:388
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        15⤵
        
        PID:3532
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        16⤵
        Drops file in System32 directory
        
        PID:1668
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        17⤵
        
        PID:3032
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        18⤵
        
        PID:3140
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        19⤵
        
        PID:4720
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        20⤵
        
        PID:3256
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        21⤵
        
        PID:4744
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        22⤵
        Drops file in System32 directory
        
        PID:4444
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        23⤵
        
        PID:3260
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        24⤵
        Drops file in System32 directory
        
        PID:4756
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        25⤵
        
        PID:5080
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        26⤵
        
        PID:1380
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        27⤵
        
        PID:792
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        28⤵
        
        PID:4748
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        29⤵
        
        PID:1208
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        30⤵
        
        PID:1884
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        31⤵
        
        PID:3388
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        32⤵
        
        PID:3156
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        33⤵
        
        PID:1888
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        34⤵
        
        PID:4292
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        35⤵
        
        PID:2416
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        36⤵
        
        PID:3360
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        37⤵
        
        PID:3176
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        38⤵
        
        PID:4368
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        39⤵
        
        PID:4000
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        40⤵
        
        PID:4024
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        41⤵
        Adds Run key to start application
        
        PID:3916
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        42⤵
        
        PID:212
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        43⤵
        
        PID:4048
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        44⤵
        
        PID:4964
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        45⤵
        
        PID:204
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        46⤵
        
        PID:208
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        47⤵
        
        PID:4236
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        48⤵
        
        PID:4256
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        49⤵
        
        PID:3516
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        50⤵
        
        PID:3772
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        51⤵
        
        PID:4304
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        52⤵
        
        PID:4820
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        53⤵
        
        PID:3364
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        54⤵
        
        PID:1496
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        55⤵
        
        PID:3880
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        56⤵
        
        PID:3600
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        57⤵
        
        PID:1200
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        58⤵
        
        PID:612
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        59⤵
        
        PID:1852
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        60⤵
        
        PID:2112
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        61⤵
        
        PID:4952
- C:\Windows\SysWOW64\secsrvrc.exe
  C:\Windows\system32\secsrvrc.exe
  2⤵
  PID:2592
- - C:\Windows\SysWOW64\secsrvrc.exe
    C:\Windows\system32\secsrvrc.exe
    3⤵
    PID:960
  - - C:\Windows\SysWOW64\secsrvrc.exe
      C:\Windows\system32\secsrvrc.exe
      4⤵
      PID:416
    - - C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        5⤵
        
        PID:3932
      - C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        6⤵
        
        PID:4080
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        7⤵
        
        PID:2832
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        8⤵
        
        PID:2988
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        9⤵
        
        PID:3084
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        10⤵
        
        PID:4692
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        11⤵
        
        PID:3528
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        12⤵
        
        PID:4852
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        13⤵
        
        PID:2764
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        14⤵
        
        PID:388
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        15⤵
        
        PID:1176
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        16⤵
        
        PID:4752
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        17⤵
        
        PID:4288
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        18⤵
        
        PID:3836
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        19⤵
        
        PID:3416
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        20⤵
        Drops file in System32 directory
        
        PID:3432
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        21⤵
        
        PID:4796
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        22⤵
        
        PID:4444
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        23⤵
        
        PID:3260
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        24⤵
        
        PID:4712
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        25⤵
        
        PID:3988
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        26⤵
        
        PID:1380
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        27⤵
        
        PID:792
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        28⤵
        
        PID:3396
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        29⤵
        
        PID:1208
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        30⤵
        
        PID:1884
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        31⤵
        
        PID:3388
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        32⤵
        
        PID:1040
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        33⤵
        
        PID:1504
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        34⤵
        
        PID:4292
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        35⤵
        
        PID:2416
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        36⤵
        
        PID:1568
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        37⤵
        
        PID:1944
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        38⤵
        
        PID:5076
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        39⤵
        
        PID:4000
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        40⤵
        
        PID:4024
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        41⤵
        
        PID:3916
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        42⤵
        
        PID:4008
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        43⤵
        
        PID:4048
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        44⤵
        
        PID:4964
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        45⤵
        Modifies WinLogon
        
        PID:204
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        46⤵
        
        PID:316
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        47⤵
        
        PID:4236
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        48⤵
        
        PID:4260
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        49⤵
        
        PID:3516
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        50⤵
        
        PID:3772
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        51⤵
        
        PID:4816
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        52⤵
        
        PID:4820
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        53⤵
        
        PID:740
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        54⤵
        
        PID:1224
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        55⤵
        
        PID:3880
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        56⤵
        
        PID:3600
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        57⤵
        
        PID:1200
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        58⤵
        Modifies WinLogon
        
        PID:612
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        59⤵
        
        PID:1852
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        60⤵
        
        PID:1916
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        61⤵
        
        PID:1980
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        62⤵
        
        PID:3348
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        63⤵
        
        PID:4804
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        64⤵
        
        PID:2036
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        65⤵
        
        PID:4932
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        66⤵
        Drops file in System32 directory
        
        PID:4912
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        67⤵
        
        PID:4904
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        68⤵
        
        PID:1716
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        69⤵
        
        PID:1128
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        70⤵
        
        PID:628
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        71⤵
        
        PID:2900
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        72⤵
        
        PID:3540
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        73⤵
        
        PID:3696
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        74⤵
        
        PID:4392
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        75⤵
        
        PID:1204
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        76⤵
        
        PID:2168
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        77⤵
        
        PID:4884
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        78⤵
        
        PID:380
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        79⤵
        
        PID:4572
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        80⤵
        
        PID:3892
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        81⤵
        
        PID:4196
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        82⤵
        
        PID:4220
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        83⤵
        
        PID:4668
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        84⤵
        
        PID:2324
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        10⤵
        Drops file in System32 directory
        
        PID:4736
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        11⤵
        
        PID:2248
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        12⤵
        
        PID:1668
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        13⤵
        
        PID:2764
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        14⤵
        
        PID:4892
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        15⤵
        
        PID:4896
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        16⤵
        
        PID:1400
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        17⤵
        
        PID:1580
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        18⤵
        
        PID:4444
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        19⤵
        
        PID:5084
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        20⤵
        
        PID:3308
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        21⤵
        
        PID:1380
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        22⤵
        
        PID:4248
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        23⤵
        
        PID:4660
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        24⤵
        
        PID:1208
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        25⤵
        
        PID:3388
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        26⤵
        
        PID:3156
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        27⤵
        
        PID:540

C:\Windows\System32\mousocoreworker.exe
C:\Windows\System32\mousocoreworker.exe -Embedding
1⤵
PID:3032

C:\Windows\SysWOW64\secsrvrc.exe
C:\Windows\system32\secsrvrc.exe
1⤵
PID:2224
- C:\Windows\SysWOW64\secsrvrc.exe
  C:\Windows\system32\secsrvrc.exe
  2⤵
  PID:1412
- - C:\Windows\SysWOW64\secsrvrc.exe
    C:\Windows\system32\secsrvrc.exe
    3⤵
    PID:4636
  - - C:\Windows\SysWOW64\secsrvrc.exe
      C:\Windows\system32\secsrvrc.exe
      4⤵
      PID:3532
    - - C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        5⤵
        
        PID:4752
      - C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        6⤵
        
        PID:1092
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        7⤵
        
        PID:5088
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        8⤵
        
        PID:4796
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        9⤵
        
        PID:4712
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        10⤵
        
        PID:4676
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        11⤵
        
        PID:4748
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        12⤵
        
        PID:2732
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        13⤵
        
        PID:4860
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        14⤵
        
        PID:4640
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        15⤵
        
        PID:1712
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        16⤵
        
        PID:1040
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        17⤵
        
        PID:4292
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        18⤵
        
        PID:5052
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        19⤵
        
        PID:3360
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        20⤵
        
        PID:3004
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        21⤵
        
        PID:1568

C:\Windows\SysWOW64\secsrvrc.exe
C:\Windows\system32\secsrvrc.exe
1⤵
- Adds Run key to start application
PID:2296
- C:\Windows\SysWOW64\secsrvrc.exe
  C:\Windows\system32\secsrvrc.exe
  2⤵
  PID:3268
- - C:\Windows\SysWOW64\secsrvrc.exe
    C:\Windows\system32\secsrvrc.exe
    3⤵
    PID:5036
  - - C:\Windows\SysWOW64\secsrvrc.exe
      C:\Windows\system32\secsrvrc.exe
      4⤵
      PID:3832
    - - C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        5⤵
        
        PID:620
      - C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        6⤵
        
        PID:4936
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        7⤵
        
        PID:4496
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        8⤵
        
        PID:3448
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        9⤵
        
        PID:440
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        10⤵
        
        PID:2344
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        11⤵
        
        PID:2772
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        12⤵
        
        PID:2036
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        13⤵
        
        PID:4912
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        14⤵
        
        PID:4612
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        15⤵
        
        PID:2548
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        16⤵
        
        PID:1460
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        17⤵
        
        PID:3356
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        18⤵
        
        PID:1968
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        19⤵
        
        PID:1404
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        20⤵
        
        PID:2300
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        21⤵
        
        PID:1472
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        22⤵
        
        PID:1452
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        23⤵
        
        PID:2560
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        24⤵
        
        PID:3192
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        25⤵
        
        PID:3464
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        26⤵
        
        PID:2156
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        27⤵
        
        PID:3872
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        28⤵
        
        PID:4336
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        29⤵
        
        PID:2352
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        30⤵
        
        PID:2712
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        31⤵
        
        PID:2324
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        32⤵
        
        PID:1232
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        33⤵
        
        PID:1432
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        34⤵
        
        PID:3304
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        35⤵
        
        PID:2252
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        36⤵
        
        PID:2428
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        37⤵
        
        PID:3104
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        38⤵
        
        PID:1116
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        39⤵
        
        PID:4948
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        40⤵
        
        PID:3860
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        41⤵
        
        PID:1708
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        42⤵
        
        PID:2500
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        43⤵
        
        PID:2440
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        44⤵
        
        PID:2380
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        45⤵
        
        PID:1776
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        46⤵
        
        PID:3756
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        47⤵
        
        PID:1844
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        48⤵
        
        PID:1840
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        49⤵
        
        PID:2968
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        50⤵
        
        PID:4900
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        51⤵
        
        PID:1368
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        52⤵
        
        PID:908
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        53⤵
        
        PID:1576
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        54⤵
        
        PID:3056
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        55⤵
        
        PID:4504
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        56⤵
        
        PID:2592
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        57⤵
        
        PID:4864
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        58⤵
        
        PID:528
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        59⤵
        
        PID:2180
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        60⤵
        
        PID:3028
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        61⤵
        
        PID:4140
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        62⤵
        
        PID:5004
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        63⤵
        
        PID:2224
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        64⤵
        
        PID:4672
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        65⤵
        
        PID:1412
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        66⤵
        
        PID:1668
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        67⤵
        
        PID:4288
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        68⤵
        
        PID:4752
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        69⤵
        
        PID:1092
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        70⤵
        
        PID:5088
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        71⤵
        
        PID:4796
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        72⤵
        
        PID:4644
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        73⤵
        
        PID:4676
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        74⤵
        
        PID:3396
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        75⤵
        
        PID:4908
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        76⤵
        
        PID:3008
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        77⤵
        
        PID:4660
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        78⤵
        
        PID:4592
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        79⤵
        
        PID:1328
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        80⤵
        
        PID:540
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        81⤵
        Drops file in System32 directory
        
        PID:176
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        82⤵
        
        PID:868
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        83⤵
        
        PID:5076
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        84⤵
        
        PID:4004
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        85⤵
        
        PID:4032
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        86⤵
        
        PID:960
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        87⤵
        Modifies WinLogon
        
        PID:4028
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        88⤵
        
        PID:220
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        89⤵
        
        PID:4048
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        90⤵
        
        PID:3744
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        91⤵
        
        PID:4316
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        92⤵
        
        PID:2596
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        93⤵
        
        PID:2360
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        94⤵
        
        PID:4548
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        95⤵
        
        PID:3772
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        96⤵
        
        PID:4816
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        97⤵
        
        PID:5056
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        98⤵
        
        PID:4520
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        99⤵
        
        PID:1944
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        100⤵
        
        PID:3576
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        101⤵
        
        PID:3108
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        102⤵
        
        PID:4144
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        103⤵
        
        PID:1520
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        104⤵
        
        PID:4436
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        105⤵
        
        PID:1224
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        106⤵
        
        PID:4492
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        13⤵
        
        PID:5108
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        14⤵
        
        PID:2548
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        15⤵
        
        PID:5112
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        16⤵
        
        PID:2900
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        17⤵
        
        PID:4392
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        18⤵
        
        PID:4976
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        19⤵
        
        PID:1204
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        20⤵
        
        PID:5000
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        21⤵
        
        PID:3796
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        22⤵
        
        PID:4884
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        23⤵
        
        PID:4424
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        24⤵
        
        PID:4152
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        25⤵
        
        PID:2108
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        26⤵
        
        PID:4196
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        27⤵
        
        PID:2352
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        28⤵
        
        PID:2712
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        29⤵
        
        PID:928
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        30⤵
        
        PID:1232
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        31⤵
        
        PID:1432
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        32⤵
        
        PID:3304
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        33⤵
        
        PID:2252
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        34⤵
        
        PID:1492
        
        C:\Windows\SysWOW64\secsrvrc.exe
        
        C:\Windows\system32\secsrvrc.exe
        35⤵
        
        PID:3104

C:\Windows\System32\sihclient.exe
C:\Windows\System32\sihclient.exe /cv HZPLxf1oIkiq2LWDxmoZ3Q.0.2
1⤵
PID:1200

Network

MITRE ATT&CK Enterprise v6

Initial Access

Execution

Persistence

Registry Run Keys / Startup Folder

T1060

Winlogon Helper DLL

T1004

Privilege Escalation

Defense Evasion

Modify Registry

T1112

Credential Access

Discovery

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit
C:\Windows\SysWOW64\secsrvrc.exe

Filesize
29KB

MD5
f9fcf46f677082a2f55c146aa44d245d

SHA1
81beb90b1ce4b45e52fe6ea0a25e53eb79935e21

SHA256
c1ba69880bc3be0ddb6ce94f89d692c8bffb154bbef375769dfb0b4e61502267

SHA512
ea3169fc06052eda4b181ce7770345f3ae600946eeef5d857ef3e040457f84ca3b8b2064d0f8eb4e8c82debe75d9900ba2ce00d6b31e5237aa332c42d9d47eb0

Download Submit

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v6

Replay Monitor

Loading Replay Monitor...

Downloads