c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

Analysis

max time kernel
155s
max time network
164s
platform
windows10-2004_x64
resource
win10v2004-20220812-en
resource tags

arch:x64arch:x86image:win10v2004-20220812-enlocale:en-usos:windows10-2004-x64system
submitted
30/10/2022, 20:52

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960.exe
Size

80KB
MD5

835a528f479be475f428c43bd7eabba1
SHA1

49131ec477f0d73cd98c54ec99f4642dba32d6e1
SHA256

c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960
SHA512

6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279
SSDEEP

1536:BnKZViWUC/JV16uXKTVXxs7djVBM5DPQ5ge:B0ViWhz161TE7dVeNPXe

Score

8^/10

upx

Malware Config

Signatures

Executes dropped EXE 64 IoCs

pid	Process
4788	explorer.exe
4980	explorer.exe
848	explorer.exe
2444	explorer.exe
1808	explorer.exe
4848	explorer.exe
4112	explorer.exe
2316	explorer.exe
1412	smss.exe
5036	explorer.exe
224	smss.exe
1872	explorer.exe
4404	smss.exe
3428	explorer.exe
2436	explorer.exe
4160	explorer.exe
2520	smss.exe
2416	explorer.exe
2572	explorer.exe
4652	explorer.exe
4552	explorer.exe
4692	smss.exe
372	explorer.exe
3412	explorer.exe
4880	explorer.exe
4436	explorer.exe
3756	smss.exe
4664	explorer.exe
2544	explorer.exe
1228	explorer.exe
3808	explorer.exe
1880	explorer.exe
3516	smss.exe
1876	explorer.exe
1448	explorer.exe
1508	explorer.exe
3632	explorer.exe
2984	explorer.exe
696	explorer.exe
4152	smss.exe
2392	explorer.exe
5104	explorer.exe
3628	explorer.exe
3932	explorer.exe
3920	explorer.exe
4748	explorer.exe
4192	explorer.exe
1400	explorer.exe
392	smss.exe
4856	explorer.exe
1752	explorer.exe
1532	explorer.exe
4776	explorer.exe
440	smss.exe
116	smss.exe
404	explorer.exe
4528	explorer.exe
3512	explorer.exe
5112	explorer.exe
3124	explorer.exe
2704	explorer.exe
1664	explorer.exe
3496	explorer.exe
648	smss.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/916-132-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/files/0x0007000000022e42-134.dat	upx
behavioral2/files/0x0007000000022e42-135.dat	upx
behavioral2/memory/4788-136-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/files/0x0006000000022e49-137.dat	upx
behavioral2/files/0x0007000000022e42-139.dat	upx
behavioral2/memory/4980-140-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/files/0x0007000000022e49-141.dat	upx
behavioral2/files/0x0007000000022e42-143.dat	upx
behavioral2/memory/916-144-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/memory/848-145-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/memory/4788-146-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/files/0x0008000000022e49-147.dat	upx
behavioral2/files/0x0007000000022e42-149.dat	upx
behavioral2/memory/2444-150-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/memory/4980-151-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/files/0x0009000000022e49-152.dat	upx
behavioral2/files/0x0007000000022e42-154.dat	upx
behavioral2/memory/1808-155-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/memory/848-156-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/files/0x000a000000022e49-157.dat	upx
behavioral2/files/0x0007000000022e42-159.dat	upx
behavioral2/memory/4848-160-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/memory/2444-161-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/files/0x000b000000022e49-162.dat	upx
behavioral2/files/0x0007000000022e42-164.dat	upx
behavioral2/memory/4112-165-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/memory/1808-166-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/files/0x0006000000022e4b-167.dat	upx
behavioral2/files/0x0007000000022e42-169.dat	upx
behavioral2/memory/2316-170-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/files/0x0007000000022e4b-172.dat	upx
behavioral2/files/0x0007000000022e4b-173.dat	upx
behavioral2/memory/4848-174-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/memory/1412-175-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/files/0x0007000000022e42-177.dat	upx
behavioral2/memory/5036-178-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/files/0x0007000000022e4b-180.dat	upx
behavioral2/memory/4112-181-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/memory/224-182-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/files/0x0007000000022e42-184.dat	upx
behavioral2/memory/1872-185-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/files/0x0007000000022e4b-187.dat	upx
behavioral2/files/0x0007000000022e42-189.dat	upx
behavioral2/memory/2316-190-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/memory/4404-192-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/memory/3428-194-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/files/0x0007000000022e42-193.dat	upx
behavioral2/files/0x0007000000022e42-196.dat	upx
behavioral2/memory/2436-197-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/memory/4160-198-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/memory/1412-199-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/files/0x0007000000022e4b-201.dat	upx
behavioral2/memory/2520-202-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/files/0x0007000000022e42-204.dat	upx
behavioral2/memory/2416-205-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/files/0x0007000000022e42-207.dat	upx
behavioral2/files/0x0007000000022e42-209.dat	upx
behavioral2/memory/5036-210-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/memory/2572-211-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/memory/4652-212-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/files/0x0007000000022e42-214.dat	upx
behavioral2/memory/224-215-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/memory/4552-216-0x0000000000400000-0x000000000045A000-memory.dmp	upx

Enumerates connected drives 3 TTPs 64 IoCs

Attempts to read the root path of hard drives other than the default C: drive.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
File opened (read-only)	\??\v:	explorer.exe
File opened (read-only)	\??\g:	explorer.exe
File opened (read-only)	\??\y:	explorer.exe
File opened (read-only)	\??\r:	smss.exe
File opened (read-only)	\??\s:	explorer.exe
File opened (read-only)	\??\o:	explorer.exe
File opened (read-only)	\??\v:	explorer.exe
File opened (read-only)	\??\l:	explorer.exe
File opened (read-only)	\??\u:	smss.exe
File opened (read-only)	\??\r:	explorer.exe
File opened (read-only)	\??\j:	smss.exe
File opened (read-only)	\??\q:	explorer.exe
File opened (read-only)	\??\l:	explorer.exe
File opened (read-only)	\??\u:	explorer.exe
File opened (read-only)	\??\j:	explorer.exe
File opened (read-only)	\??\e:	explorer.exe
File opened (read-only)	\??\r:	explorer.exe
File opened (read-only)	\??\p:	explorer.exe
File opened (read-only)	\??\g:	explorer.exe
File opened (read-only)	\??\g:	explorer.exe
File opened (read-only)	\??\g:	explorer.exe
File opened (read-only)	\??\f:	explorer.exe
File opened (read-only)	\??\n:	explorer.exe
File opened (read-only)	\??\t:	explorer.exe
File opened (read-only)	\??\u:	explorer.exe
File opened (read-only)	\??\z:	explorer.exe
File opened (read-only)	\??\r:	explorer.exe
File opened (read-only)	\??\s:	smss.exe
File opened (read-only)	\??\v:	explorer.exe
File opened (read-only)	\??\l:	explorer.exe
File opened (read-only)	\??\p:	smss.exe
File opened (read-only)	\??\y:	smss.exe
File opened (read-only)	\??\r:	explorer.exe
File opened (read-only)	\??\w:	explorer.exe
File opened (read-only)	\??\q:	explorer.exe
File opened (read-only)	\??\h:	explorer.exe
File opened (read-only)	\??\u:	explorer.exe
File opened (read-only)	\??\y:	smss.exe
File opened (read-only)	\??\t:	explorer.exe
File opened (read-only)	\??\x:	explorer.exe
File opened (read-only)	\??\v:	explorer.exe
File opened (read-only)	\??\k:	explorer.exe
File opened (read-only)	\??\j:	smss.exe
File opened (read-only)	\??\z:	smss.exe
File opened (read-only)	\??\t:	explorer.exe
File opened (read-only)	\??\h:	smss.exe
File opened (read-only)	\??\i:	explorer.exe
File opened (read-only)	\??\e:	c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960.exe
File opened (read-only)	\??\n:	explorer.exe
File opened (read-only)	\??\w:	explorer.exe
File opened (read-only)	\??\k:	explorer.exe
File opened (read-only)	\??\l:	smss.exe
File opened (read-only)	\??\t:	smss.exe
File opened (read-only)	\??\e:	explorer.exe
File opened (read-only)	\??\h:	explorer.exe
File opened (read-only)	\??\l:	explorer.exe
File opened (read-only)	\??\i:	explorer.exe
File opened (read-only)	\??\t:	explorer.exe
File opened (read-only)	\??\x:	explorer.exe
File opened (read-only)	\??\x:	explorer.exe
File opened (read-only)	\??\f:	explorer.exe
File opened (read-only)	\??\y:	explorer.exe
File opened (read-only)	\??\m:	explorer.exe
File opened (read-only)	\??\r:	explorer.exe

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\SysWOW64\irylnvgdrr\smss.exe	smss.exe
File opened for modification	C:\Windows\SysWOW64\lueixldbay\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\lueixldbay\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\irylnvgdrr\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\irylnvgdrr\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\lueixldbay\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\lueixldbay\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\irylnvgdrr\smss.exe	smss.exe
File opened for modification	C:\Windows\SysWOW64\irylnvgdrr\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\irylnvgdrr\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\irylnvgdrr\smss.exe	smss.exe
File opened for modification	C:\Windows\SysWOW64\lueixldbay\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\irylnvgdrr\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\irylnvgdrr\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\lueixldbay\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\lueixldbay\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\lueixldbay\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\lueixldbay\explorer.exe	smss.exe
File opened for modification	C:\Windows\SysWOW64\lueixldbay\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\lueixldbay\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\lueixldbay\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\lueixldbay\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\lueixldbay\explorer.exe	smss.exe
File created	C:\Windows\SysWOW64\lueixldbay\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\irylnvgdrr\smss.exe	smss.exe
File opened for modification	C:\Windows\SysWOW64\lueixldbay\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\irylnvgdrr\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\lueixldbay\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\lueixldbay\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\lueixldbay\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\irylnvgdrr\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\irylnvgdrr\smss.exe	smss.exe
File opened for modification	C:\Windows\SysWOW64\irylnvgdrr\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\lueixldbay\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\irylnvgdrr\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\irylnvgdrr\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\lueixldbay\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\lueixldbay\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\lueixldbay\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\irylnvgdrr\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\lueixldbay\explorer.exe	smss.exe
File opened for modification	C:\Windows\SysWOW64\lueixldbay\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\irylnvgdrr\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\irylnvgdrr\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\irylnvgdrr\smss.exe	smss.exe
File created	C:\Windows\SysWOW64\lueixldbay\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\irylnvgdrr\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\lueixldbay\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\irylnvgdrr\smss.exe	smss.exe
File created	C:\Windows\SysWOW64\lueixldbay\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\lueixldbay\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\lueixldbay\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\lueixldbay\explorer.exe	smss.exe
File created	C:\Windows\SysWOW64\lueixldbay\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\lueixldbay\explorer.exe	smss.exe
File opened for modification	C:\Windows\SysWOW64\irylnvgdrr\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\lueixldbay\explorer.exe	smss.exe
File created	C:\Windows\SysWOW64\lueixldbay\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\lueixldbay\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\irylnvgdrr\smss.exe	smss.exe
File opened for modification	C:\Windows\SysWOW64\lueixldbay\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\lueixldbay\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\irylnvgdrr\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\irylnvgdrr\smss.exe	explorer.exe

Suspicious behavior: EnumeratesProcesses 64 IoCs

pid	Process
916	c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960.exe
916	c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960.exe
4788	explorer.exe
4788	explorer.exe
4980	explorer.exe
4980	explorer.exe
848	explorer.exe
848	explorer.exe
2444	explorer.exe
2444	explorer.exe
1808	explorer.exe
1808	explorer.exe
4848	explorer.exe
4848	explorer.exe
4112	explorer.exe
4112	explorer.exe
2316	explorer.exe
2316	explorer.exe
1412	smss.exe
1412	smss.exe
5036	explorer.exe
5036	explorer.exe
224	smss.exe
224	smss.exe
1872	explorer.exe
1872	explorer.exe
4404	smss.exe
4404	smss.exe
3428	explorer.exe
3428	explorer.exe
2436	explorer.exe
2436	explorer.exe
4160	explorer.exe
4160	explorer.exe
2520	smss.exe
2520	smss.exe
2416	explorer.exe
2416	explorer.exe
2572	explorer.exe
2572	explorer.exe
4652	explorer.exe
4652	explorer.exe
4552	explorer.exe
4552	explorer.exe
4692	smss.exe
4692	smss.exe
372	explorer.exe
372	explorer.exe
3412	explorer.exe
3412	explorer.exe
4880	explorer.exe
4880	explorer.exe
4436	explorer.exe
4436	explorer.exe
3756	smss.exe
3756	smss.exe
4664	explorer.exe
4664	explorer.exe
2544	explorer.exe
2544	explorer.exe
1228	explorer.exe
1228	explorer.exe
3808	explorer.exe
3808	explorer.exe

Suspicious use of AdjustPrivilegeToken 64 IoCs

description	pid	Process
Token: SeLoadDriverPrivilege	916	c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960.exe
Token: SeLoadDriverPrivilege	4788	explorer.exe
Token: SeLoadDriverPrivilege	4980	explorer.exe
Token: SeLoadDriverPrivilege	848	explorer.exe
Token: SeLoadDriverPrivilege	2444	explorer.exe
Token: SeLoadDriverPrivilege	1808	explorer.exe
Token: SeLoadDriverPrivilege	4848	explorer.exe
Token: SeLoadDriverPrivilege	4112	explorer.exe
Token: SeLoadDriverPrivilege	2316	explorer.exe
Token: SeLoadDriverPrivilege	1412	smss.exe
Token: SeLoadDriverPrivilege	5036	explorer.exe
Token: SeLoadDriverPrivilege	224	smss.exe
Token: SeLoadDriverPrivilege	1872	explorer.exe
Token: SeLoadDriverPrivilege	4404	smss.exe
Token: SeLoadDriverPrivilege	3428	explorer.exe
Token: SeLoadDriverPrivilege	2436	explorer.exe
Token: SeLoadDriverPrivilege	4160	explorer.exe
Token: SeLoadDriverPrivilege	2520	smss.exe
Token: SeLoadDriverPrivilege	2416	explorer.exe
Token: SeLoadDriverPrivilege	2572	explorer.exe
Token: SeLoadDriverPrivilege	4652	explorer.exe
Token: SeLoadDriverPrivilege	4552	explorer.exe
Token: SeLoadDriverPrivilege	4692	smss.exe
Token: SeLoadDriverPrivilege	372	explorer.exe
Token: SeLoadDriverPrivilege	3412	explorer.exe
Token: SeLoadDriverPrivilege	4880	explorer.exe
Token: SeLoadDriverPrivilege	4436	explorer.exe
Token: SeLoadDriverPrivilege	3756	smss.exe
Token: SeLoadDriverPrivilege	4664	explorer.exe
Token: SeLoadDriverPrivilege	2544	explorer.exe
Token: SeLoadDriverPrivilege	1228	explorer.exe
Token: SeLoadDriverPrivilege	3808	explorer.exe
Token: SeLoadDriverPrivilege	1880	explorer.exe
Token: SeLoadDriverPrivilege	3516	smss.exe
Token: SeLoadDriverPrivilege	1876	explorer.exe
Token: SeLoadDriverPrivilege	1448	explorer.exe
Token: SeLoadDriverPrivilege	1508	explorer.exe
Token: SeLoadDriverPrivilege	3632	explorer.exe
Token: SeLoadDriverPrivilege	2984	explorer.exe
Token: SeLoadDriverPrivilege	696	explorer.exe
Token: SeLoadDriverPrivilege	4152	smss.exe
Token: SeLoadDriverPrivilege	2392	explorer.exe
Token: SeLoadDriverPrivilege	5104	explorer.exe
Token: SeLoadDriverPrivilege	3628	explorer.exe
Token: SeLoadDriverPrivilege	392	smss.exe
Token: SeLoadDriverPrivilege	1752	explorer.exe
Token: SeLoadDriverPrivilege	4748	explorer.exe
Token: SeLoadDriverPrivilege	4856	explorer.exe
Token: SeLoadDriverPrivilege	3920	explorer.exe
Token: SeLoadDriverPrivilege	3932	explorer.exe
Token: SeLoadDriverPrivilege	1400	explorer.exe
Token: SeLoadDriverPrivilege	4192	explorer.exe
Token: SeLoadDriverPrivilege	1532	explorer.exe
Token: SeLoadDriverPrivilege	4776	explorer.exe
Token: SeLoadDriverPrivilege	440	smss.exe
Token: SeLoadDriverPrivilege	116	smss.exe
Token: SeLoadDriverPrivilege	404	explorer.exe
Token: SeLoadDriverPrivilege	4528	explorer.exe
Token: SeLoadDriverPrivilege	3512	explorer.exe
Token: SeLoadDriverPrivilege	5112	explorer.exe
Token: SeLoadDriverPrivilege	3124	explorer.exe
Token: SeLoadDriverPrivilege	2704	explorer.exe
Token: SeLoadDriverPrivilege	1664	explorer.exe
Token: SeLoadDriverPrivilege	3496	explorer.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 916 wrote to memory of 4788	916	c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960.exe	80
PID 916 wrote to memory of 4788	916	c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960.exe	80
PID 916 wrote to memory of 4788	916	c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960.exe	80
PID 4788 wrote to memory of 4980	4788	explorer.exe	81
PID 4788 wrote to memory of 4980	4788	explorer.exe	81
PID 4788 wrote to memory of 4980	4788	explorer.exe	81
PID 4980 wrote to memory of 848	4980	explorer.exe	82
PID 4980 wrote to memory of 848	4980	explorer.exe	82
PID 4980 wrote to memory of 848	4980	explorer.exe	82
PID 848 wrote to memory of 2444	848	explorer.exe	83
PID 848 wrote to memory of 2444	848	explorer.exe	83
PID 848 wrote to memory of 2444	848	explorer.exe	83
PID 2444 wrote to memory of 1808	2444	explorer.exe	84
PID 2444 wrote to memory of 1808	2444	explorer.exe	84
PID 2444 wrote to memory of 1808	2444	explorer.exe	84
PID 1808 wrote to memory of 4848	1808	explorer.exe	85
PID 1808 wrote to memory of 4848	1808	explorer.exe	85
PID 1808 wrote to memory of 4848	1808	explorer.exe	85
PID 4848 wrote to memory of 4112	4848	explorer.exe	88
PID 4848 wrote to memory of 4112	4848	explorer.exe	88
PID 4848 wrote to memory of 4112	4848	explorer.exe	88
PID 4112 wrote to memory of 2316	4112	explorer.exe	89
PID 4112 wrote to memory of 2316	4112	explorer.exe	89
PID 4112 wrote to memory of 2316	4112	explorer.exe	89
PID 916 wrote to memory of 1412	916	c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960.exe	90
PID 916 wrote to memory of 1412	916	c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960.exe	90
PID 916 wrote to memory of 1412	916	c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960.exe	90
PID 2316 wrote to memory of 5036	2316	explorer.exe	94
PID 2316 wrote to memory of 5036	2316	explorer.exe	94
PID 2316 wrote to memory of 5036	2316	explorer.exe	94
PID 4788 wrote to memory of 224	4788	explorer.exe	95
PID 4788 wrote to memory of 224	4788	explorer.exe	95
PID 4788 wrote to memory of 224	4788	explorer.exe	95
PID 1412 wrote to memory of 1872	1412	smss.exe	96
PID 1412 wrote to memory of 1872	1412	smss.exe	96
PID 1412 wrote to memory of 1872	1412	smss.exe	96
PID 4980 wrote to memory of 4404	4980	explorer.exe	98
PID 4980 wrote to memory of 4404	4980	explorer.exe	98
PID 4980 wrote to memory of 4404	4980	explorer.exe	98
PID 5036 wrote to memory of 3428	5036	explorer.exe	99
PID 5036 wrote to memory of 3428	5036	explorer.exe	99
PID 5036 wrote to memory of 3428	5036	explorer.exe	99
PID 224 wrote to memory of 2436	224	smss.exe	102
PID 224 wrote to memory of 2436	224	smss.exe	102
PID 224 wrote to memory of 2436	224	smss.exe	102
PID 1872 wrote to memory of 4160	1872	explorer.exe	103
PID 1872 wrote to memory of 4160	1872	explorer.exe	103
PID 1872 wrote to memory of 4160	1872	explorer.exe	103
PID 848 wrote to memory of 2520	848	explorer.exe	104
PID 848 wrote to memory of 2520	848	explorer.exe	104
PID 848 wrote to memory of 2520	848	explorer.exe	104
PID 4404 wrote to memory of 2416	4404	smss.exe	105
PID 4404 wrote to memory of 2416	4404	smss.exe	105
PID 4404 wrote to memory of 2416	4404	smss.exe	105
PID 3428 wrote to memory of 2572	3428	explorer.exe	106
PID 3428 wrote to memory of 2572	3428	explorer.exe	106
PID 3428 wrote to memory of 2572	3428	explorer.exe	106
PID 2436 wrote to memory of 4652	2436	explorer.exe	107
PID 2436 wrote to memory of 4652	2436	explorer.exe	107
PID 2436 wrote to memory of 4652	2436	explorer.exe	107
PID 4160 wrote to memory of 4552	4160	explorer.exe	108
PID 4160 wrote to memory of 4552	4160	explorer.exe	108
PID 4160 wrote to memory of 4552	4160	explorer.exe	108
PID 2444 wrote to memory of 4692	2444	explorer.exe	109

C:\Users\Admin\AppData\Local\Temp\c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960.exe
"C:\Users\Admin\AppData\Local\Temp\c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960.exe"
1⤵
- Enumerates connected drives
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:916
- C:\Windows\SysWOW64\lueixldbay\explorer.exe
  C:\Windows\system32\lueixldbay\explorer.exe
  2⤵
  - Executes dropped EXE
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious use of AdjustPrivilegeToken
  - Suspicious use of WriteProcessMemory
  PID:4788
- - C:\Windows\SysWOW64\lueixldbay\explorer.exe
    C:\Windows\system32\lueixldbay\explorer.exe
    3⤵
    - Executes dropped EXE
    - Suspicious behavior: EnumeratesProcesses
    - Suspicious use of AdjustPrivilegeToken
    - Suspicious use of WriteProcessMemory
    PID:4980
  - - C:\Windows\SysWOW64\lueixldbay\explorer.exe
      C:\Windows\system32\lueixldbay\explorer.exe
      4⤵
      Executes dropped EXE
      Suspicious behavior: EnumeratesProcesses
      Suspicious use of AdjustPrivilegeToken
      Suspicious use of WriteProcessMemory
      PID:848
    - - C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        5⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:2444
      - C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        6⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:1808
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        7⤵
        Executes dropped EXE
        Enumerates connected drives
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:4848
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        8⤵
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:4112
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:2316
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:5036
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:3428
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:2572
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:4880
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:1880
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        Executes dropped EXE
        Enumerates connected drives
        Drops file in System32 directory
        Suspicious use of AdjustPrivilegeToken
        
        PID:2392
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:1752
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        17⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:4528
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        18⤵
        
        PID:4588
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        19⤵
        
        PID:3016
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        20⤵
        
        PID:4428
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        21⤵
        
        PID:5876
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        22⤵
        
        PID:6380
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        23⤵
        
        PID:3552
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        24⤵
        
        PID:1104
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        25⤵
        
        PID:9324
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        26⤵
        
        PID:10892
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        27⤵
        
        PID:13172
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        28⤵
        
        PID:15580
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        29⤵
        
        PID:18472
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        22⤵
        
        PID:6624
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        21⤵
        
        PID:2212
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        22⤵
        
        PID:14536
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        23⤵
        
        PID:17796
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        20⤵
        
        PID:10344
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        21⤵
        
        PID:5896
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        22⤵
        
        PID:14632
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        23⤵
        
        PID:17864
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        19⤵
        
        PID:9000
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        20⤵
        
        PID:10404
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        21⤵
        
        PID:12348
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        22⤵
        
        PID:15172
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        18⤵
        Drops file in System32 directory
        
        PID:7832
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        19⤵
        
        PID:4896
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        20⤵
        
        PID:10476
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        21⤵
        
        PID:12416
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        22⤵
        
        PID:14880
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        23⤵
        
        PID:6264
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        17⤵
        
        PID:1412
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        18⤵
        Enumerates connected drives
        
        PID:7808
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        19⤵
        
        PID:8968
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        20⤵
        Enumerates connected drives
        
        PID:10328
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        21⤵
        
        PID:11620
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        22⤵
        
        PID:14552
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        23⤵
        
        PID:17824
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        16⤵
        
        PID:6208
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        17⤵
        Drops file in System32 directory
        
        PID:6684
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        18⤵
        
        PID:7512
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        19⤵
        
        PID:8736
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        20⤵
        
        PID:2760
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        21⤵
        
        PID:3840
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        22⤵
        
        PID:6480
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        23⤵
        
        PID:7352
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        17⤵
        
        PID:16968
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        15⤵
        
        PID:5740
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:6196
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        17⤵
        
        PID:6668
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        18⤵
        
        PID:7496
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        19⤵
        
        PID:8744
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        20⤵
        
        PID:1952
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        21⤵
        
        PID:5764
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        22⤵
        
        PID:14364
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        23⤵
        
        PID:17448
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        17⤵
        
        PID:16940
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        16⤵
        
        PID:13952
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        17⤵
        
        PID:17172
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        14⤵
        
        PID:2172
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        Enumerates connected drives
        
        PID:5752
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:6232
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        17⤵
        
        PID:6752
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        18⤵
        
        PID:1740
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        19⤵
        Enumerates connected drives
        
        PID:8844
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        20⤵
        
        PID:5128
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        21⤵
        
        PID:5688
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        22⤵
        
        PID:14416
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        23⤵
        
        PID:17788
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        17⤵
        
        PID:17056
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        16⤵
        
        PID:1840
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        17⤵
        
        PID:17280
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        15⤵
        
        PID:11692
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:14144
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        13⤵
        
        PID:1976
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:4276
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:5708
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:6176
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        17⤵
        
        PID:6344
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        18⤵
        Drops file in System32 directory
        
        PID:7424
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        19⤵
        Drops file in System32 directory
        
        PID:8508
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        20⤵
        
        PID:3924
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        21⤵
        
        PID:12068
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        22⤵
        
        PID:6400
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        23⤵
        
        PID:7296
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        17⤵
        
        PID:16904
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        16⤵
        
        PID:4224
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        17⤵
        
        PID:17212
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        15⤵
        
        PID:11648
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:14160
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        14⤵
        Enumerates connected drives
        
        PID:3916
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:11732
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:14192
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        17⤵
        
        PID:17312
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        12⤵
        
        PID:4136
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:1660
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:3760
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:5716
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:6168
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        17⤵
        
        PID:6352
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        18⤵
        Drops file in System32 directory
        
        PID:7412
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        19⤵
        
        PID:8528
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        20⤵
        
        PID:4840
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        21⤵
        
        PID:12060
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        22⤵
        
        PID:5624
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        17⤵
        
        PID:16896
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        16⤵
        
        PID:6128
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        17⤵
        
        PID:17184
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        15⤵
        
        PID:11656
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:14112
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        14⤵
        
        PID:9744
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:11700
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:14152
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        13⤵
        
        PID:9144
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        Enumerates connected drives
        Drops file in System32 directory
        
        PID:4704
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:11724
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:5812
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        11⤵
        Executes dropped EXE
        Enumerates connected drives
        Suspicious use of AdjustPrivilegeToken
        
        PID:116
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        
        PID:1924
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:480
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:2408
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:5772
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        Drops file in System32 directory
        
        PID:6248
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        17⤵
        
        PID:6764
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        18⤵
        
        PID:7604
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        19⤵
        Enumerates connected drives
        
        PID:8820
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        20⤵
        
        PID:5152
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        21⤵
        
        PID:5728
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        22⤵
        
        PID:14352
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        23⤵
        
        PID:17440
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        17⤵
        
        PID:17112
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        16⤵
        
        PID:14064
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        17⤵
        
        PID:17288
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        15⤵
        
        PID:11748
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:2144
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        17⤵
        
        PID:17304
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        14⤵
        
        PID:4824
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:11824
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:6260
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        13⤵
        
        PID:9172
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:2044
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:11832
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:6228
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        12⤵
        
        PID:8124
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:9156
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:3468
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:11740
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:13280
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        10⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:392
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:404
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        
        PID:4732
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        Drops file in System32 directory
        
        PID:4316
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:3244
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:5860
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:6356
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        17⤵
        Drops file in System32 directory
        
        PID:4780
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        18⤵
        
        PID:4404
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        19⤵
        
        PID:9260
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        20⤵
        
        PID:10792
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        21⤵
        
        PID:13244
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        22⤵
        
        PID:15656
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        17⤵
        
        PID:6288
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        16⤵
        
        PID:6528
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        17⤵
        
        PID:17240
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        15⤵
        
        PID:5660
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:14396
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        17⤵
        
        PID:17696
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        14⤵
        
        PID:10284
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:11296
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:14544
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        17⤵
        
        PID:17832
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        13⤵
        
        PID:8952
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:10304
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:5868
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:14576
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        17⤵
        
        PID:17888
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        12⤵
        
        PID:7792
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:8932
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:10256
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:5384
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:14476
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        17⤵
        
        PID:17572
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        11⤵
        
        PID:6916
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        Drops file in System32 directory
        
        PID:7772
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:4836
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:10264
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:868
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:14408
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        17⤵
        
        PID:17704
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        9⤵
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of AdjustPrivilegeToken
        
        PID:4152
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of AdjustPrivilegeToken
        
        PID:4856
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:3512
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        
        PID:4928
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:3396
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        Drops file in System32 directory
        
        PID:4712
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:5884
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:6372
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        17⤵
        
        PID:3524
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        18⤵
        
        PID:8120
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        19⤵
        
        PID:4080
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        20⤵
        
        PID:10776
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        21⤵
        
        PID:13076
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        22⤵
        
        PID:15432
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        16⤵
        
        PID:6492
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        17⤵
        
        PID:17464
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        15⤵
        
        PID:5960
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:14648
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        17⤵
        
        PID:17840
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        14⤵
        
        PID:10368
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:1880
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:14568
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        17⤵
        
        PID:17780
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        13⤵
        Drops file in System32 directory
        
        PID:8992
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:10360
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:6048
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:14656
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        17⤵
        
        PID:17984
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        12⤵
        
        PID:7864
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:4784
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        Enumerates connected drives
        
        PID:10412
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:12368
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:14916
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        17⤵
        
        PID:18348
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        11⤵
        Enumerates connected drives
        
        PID:6956
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        
        PID:7972
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:8852
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:10784
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:13100
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:15532
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        17⤵
        
        PID:7948
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        10⤵
        
        PID:2124
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        
        PID:6308
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        Drops file in System32 directory
        
        PID:8176
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:4056
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:2324
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:11852
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:5632
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        17⤵
        
        PID:3684
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        11⤵
        
        PID:16824
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        8⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:3516
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        Executes dropped EXE
        Enumerates connected drives
        Suspicious use of AdjustPrivilegeToken
        
        PID:5104
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:1532
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        Drops file in System32 directory
        
        PID:3768
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        
        PID:2096
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:4596
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:5204
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:6084
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:6612
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        17⤵
        Drops file in System32 directory
        
        PID:7556
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        18⤵
        
        PID:8400
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        19⤵
        
        PID:9612
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        20⤵
        
        PID:11144
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        21⤵
        
        PID:13180
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        22⤵
        
        PID:15716
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        17⤵
        
        PID:17904
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        16⤵
        
        PID:14860
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        17⤵
        
        PID:18144
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        15⤵
        
        PID:12604
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:15164
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        17⤵
        
        PID:6272
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        14⤵
        
        PID:10740
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:12736
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:15196
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        17⤵
        
        PID:18580
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        13⤵
        
        PID:9268
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:10836
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:13108
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:15700
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        12⤵
        
        PID:1496
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:9332
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:10916
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:13140
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:15604
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        17⤵
        
        PID:18480
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        11⤵
        
        PID:7244
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        
        PID:3008
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        Drops file in System32 directory
        
        PID:9416
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:10984
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:12964
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:15352
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        10⤵
        
        PID:6516
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        
        PID:7328
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        Drops file in System32 directory
        
        PID:8264
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        Enumerates connected drives
        
        PID:9560
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:11220
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:13236
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:15684
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        11⤵
        
        PID:17556
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        9⤵
        
        PID:5984
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:6500
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        
        PID:7260
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        
        PID:2580
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:9384
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:10928
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:12820
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:14836
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        17⤵
        
        PID:18488
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        11⤵
        
        PID:1084
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        10⤵
        
        PID:14508
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        
        PID:17648
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        7⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:3756
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        8⤵
        Executes dropped EXE
        Enumerates connected drives
        Drops file in System32 directory
        Suspicious use of AdjustPrivilegeToken
        
        PID:1448
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:3932
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:5112
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        
        PID:4292
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        
        PID:176
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:3384
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:5908
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:6404
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        Enumerates connected drives
        Drops file in System32 directory
        
        PID:3136
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        17⤵
        Drops file in System32 directory
        
        PID:8112
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        18⤵
        Enumerates connected drives
        
        PID:9240
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        19⤵
        
        PID:10948
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        20⤵
        
        PID:13000
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        21⤵
        
        PID:6892
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        15⤵
        
        PID:14344
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:7520
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        14⤵
        
        PID:5992
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:14624
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:17856
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        13⤵
        
        PID:10388
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:5892
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:14640
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:17848
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        12⤵
        
        PID:2572
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:10668
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:12768
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:15244
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:18396
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        11⤵
        Drops file in System32 directory
        
        PID:7884
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        Enumerates connected drives
        
        PID:2596
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        Enumerates connected drives
        
        PID:10644
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:12548
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:14932
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:7668
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        10⤵
        
        PID:7028
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        
        PID:3452
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        
        PID:8764
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:10800
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:12940
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:15344
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:18332
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        9⤵
        
        PID:5296
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:6784
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        
        PID:7624
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        
        PID:8612
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:9956
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:11476
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:13480
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:16012
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        11⤵
        
        PID:18228
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        10⤵
        
        PID:14768
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        
        PID:7936
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        8⤵
        
        PID:5352
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:5336
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        Drops file in System32 directory
        
        PID:6832
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        
        PID:7680
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        
        PID:8652
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:10096
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:11552
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:13532
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:15896
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        11⤵
        
        PID:4864
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        10⤵
        
        PID:15380
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        
        PID:7700
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        9⤵
        
        PID:1876
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:15748
      - C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        6⤵
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:4692
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        7⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:2544
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        8⤵
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of AdjustPrivilegeToken
        
        PID:3632
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:4748
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:2704
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        Drops file in System32 directory
        
        PID:1180
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        
        PID:3436
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:3560
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:5932
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:6420
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:7196
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        17⤵
        
        PID:2852
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        18⤵
        
        PID:9340
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        19⤵
        
        PID:10936
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        20⤵
        
        PID:12912
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        21⤵
        
        PID:15336
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        22⤵
        
        PID:18572
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        16⤵
        
        PID:17412
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        15⤵
        
        PID:14380
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:17472
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        14⤵
        
        PID:6064
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:14692
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:17896
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        13⤵
        
        PID:10452
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:12408
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:14804
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:18192
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        12⤵
        
        PID:2728
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:10548
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:12620
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:15212
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        11⤵
        
        PID:3144
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        Drops file in System32 directory
        
        PID:3796
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:10556
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:12584
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:15020
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:18152
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        10⤵
        Enumerates connected drives
        
        PID:6964
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        Drops file in System32 directory
        
        PID:7856
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        
        PID:2220
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        Enumerates connected drives
        
        PID:10700
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:12760
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:15236
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:18596
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        9⤵
        
        PID:5828
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:7000
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        Enumerates connected drives
        
        PID:7940
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        
        PID:8908
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:10208
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:11924
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:13892
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:16264
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        10⤵
        
        PID:16152
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        8⤵
        
        PID:5496
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:5796
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:6968
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        
        PID:7908
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        
        PID:8876
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:10176
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:11908
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:13876
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:1844
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        10⤵
        
        PID:16076
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        9⤵
        
        PID:13732
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:16200
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        7⤵
        
        PID:380
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        8⤵
        
        PID:5512
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:3652
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        Enumerates connected drives
        Drops file in System32 directory
        
        PID:6984
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        
        PID:7924
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        
        PID:8892
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        Drops file in System32 directory
        
        PID:10192
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:11932
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:13900
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:4368
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        10⤵
        
        PID:16124
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        9⤵
        
        PID:13740
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:16192
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        8⤵
        
        PID:11892
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:13816
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:16248
    - - C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        5⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:2520
      - C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        6⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:372
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        7⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:1228
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        8⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:2984
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        Executes dropped EXE
        Enumerates connected drives
        Suspicious use of AdjustPrivilegeToken
        
        PID:4192
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:1664
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        Drops file in System32 directory
        
        PID:1900
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        
        PID:1252
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:5052
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:6004
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:6508
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        Drops file in System32 directory
        
        PID:7280
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        17⤵
        
        PID:2436
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        18⤵
        
        PID:9432
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        19⤵
        
        PID:11080
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        20⤵
        
        PID:13084
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        21⤵
        
        PID:15756
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        16⤵
        
        PID:17480
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        15⤵
        
        PID:14560
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:17804
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        14⤵
        
        PID:12340
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:14700
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:18444
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        13⤵
        Enumerates connected drives
        
        PID:10444
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:12424
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:14888
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:872
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        12⤵
        Drops file in System32 directory
        
        PID:1080
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:10564
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:12788
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:15268
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        11⤵
        
        PID:4240
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        
        PID:8796
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:10760
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:12804
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:14588
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:5844
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        10⤵
        
        PID:7020
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        
        PID:5044
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        
        PID:8444
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:10676
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:12576
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:14940
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:18504
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        9⤵
        Drops file in System32 directory
        
        PID:6140
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        Drops file in System32 directory
        
        PID:7044
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        
        PID:8000
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        Drops file in System32 directory
        
        PID:9028
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:9772
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:12168
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:14248
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:16644
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        10⤵
        
        PID:7008
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        8⤵
        
        PID:5544
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:6116
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:7036
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        
        PID:8008
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        
        PID:9008
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:9768
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:12152
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:14204
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:16668
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        10⤵
        
        PID:1068
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        9⤵
        
        PID:13944
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:16428
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        7⤵
        
        PID:1352
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        8⤵
        
        PID:5560
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:6132
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        Enumerates connected drives
        
        PID:7056
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        
        PID:8028
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        
        PID:9052
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:9804
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:12184
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:14312
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:16716
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        10⤵
        
        PID:1356
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        9⤵
        
        PID:13936
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:16416
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        8⤵
        
        PID:12104
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:13996
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:16532
      - C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        6⤵
        
        PID:2992
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        7⤵
        
        PID:4168
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        8⤵
        
        PID:5576
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:5236
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:7084
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        
        PID:8048
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        
        PID:9068
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:9816
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:12192
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:14304
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:16724
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        10⤵
        
        PID:16404
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        9⤵
        
        PID:13972
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:16500
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        8⤵
        
        PID:12120
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:13988
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:16520
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        7⤵
        
        PID:9756
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        8⤵
        
        PID:12136
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:14020
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:16600
  - - C:\Windows\SysWOW64\irylnvgdrr\smss.exe
      C:\Windows\system32\irylnvgdrr\smss.exe
      4⤵
      Executes dropped EXE
      Suspicious behavior: EnumeratesProcesses
      Suspicious use of AdjustPrivilegeToken
      Suspicious use of WriteProcessMemory
      PID:4404
    - - C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        5⤵
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:2416
      - C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        6⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:3412
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        7⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:3808
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        8⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:696
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:1400
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:3124
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        Enumerates connected drives
        
        PID:4392
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        
        PID:2612
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:3712
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:5924
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:6428
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        Drops file in System32 directory
        
        PID:7188
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        17⤵
        
        PID:8136
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        18⤵
        Drops file in System32 directory
        
        PID:9352
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        19⤵
        
        PID:11008
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        20⤵
        
        PID:13056
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        21⤵
        
        PID:15476
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        15⤵
        
        PID:14388
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:17640
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        14⤵
        
        PID:6028
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:14752
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:2040
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        13⤵
        
        PID:10396
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:12400
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:14724
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:18160
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        12⤵
        Enumerates connected drives
        
        PID:2240
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:10588
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:12796
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:3160
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        11⤵
        
        PID:7876
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        
        PID:4252
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:10428
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:12360
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:14924
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:7664
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        10⤵
        
        PID:6948
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        
        PID:7848
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        Enumerates connected drives
        
        PID:9196
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        Enumerates connected drives
        
        PID:10500
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:12444
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:14948
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:18176
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        9⤵
        
        PID:5276
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        Enumerates connected drives
        Drops file in System32 directory
        
        PID:7160
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        
        PID:8144
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        
        PID:2348
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:3056
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:12052
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:6412
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:16476
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        10⤵
        
        PID:16792
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        8⤵
        
        PID:5652
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:4144
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:7152
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        
        PID:8168
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        
        PID:8364
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:10068
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:11980
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:6396
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        10⤵
        
        PID:16772
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        9⤵
        
        PID:13640
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:16924
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        7⤵
        
        PID:3700
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        8⤵
        
        PID:5680
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:5268
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:6300
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        
        PID:2588
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        
        PID:8424
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:10072
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:12012
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:2392
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:6724
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        10⤵
        
        PID:16832
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        9⤵
        
        PID:13780
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:17036
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        8⤵
        
        PID:4664
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:13812
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:17264
      - C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        6⤵
        Drops file in System32 directory
        
        PID:2412
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        7⤵
        
        PID:944
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        8⤵
        
        PID:5636
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:5284
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:7136
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        
        PID:8152
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        
        PID:9204
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:9952
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:11840
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:5848
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:17296
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        10⤵
        
        PID:16764
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        9⤵
        
        PID:13588
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:16876
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        8⤵
        
        PID:11320
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:13848
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:17224
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        7⤵
        
        PID:4920
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        8⤵
        
        PID:5508
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:14088
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:17272
    - - C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        5⤵
        
        PID:4484
      - C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        6⤵
        
        PID:2076
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        7⤵
        
        PID:4812
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        8⤵
        
        PID:5644
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:5292
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:4740
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        
        PID:8160
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        Enumerates connected drives
        
        PID:8320
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:1808
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:11816
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:13672
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        10⤵
        
        PID:16804
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        9⤵
        
        PID:2060
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:17016
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        8⤵
        
        PID:11356
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:13788
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:17124
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        7⤵
        
        PID:9676
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        8⤵
        
        PID:11456
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:13804
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:17368
      - C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        6⤵
        
        PID:9124
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        7⤵
        
        PID:2332
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        8⤵
        
        PID:11464
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:13796
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:17092
- - C:\Windows\SysWOW64\irylnvgdrr\smss.exe
    C:\Windows\system32\irylnvgdrr\smss.exe
    3⤵
    - Executes dropped EXE
    - Suspicious behavior: EnumeratesProcesses
    - Suspicious use of AdjustPrivilegeToken
    - Suspicious use of WriteProcessMemory
    PID:224
  - - C:\Windows\SysWOW64\lueixldbay\explorer.exe
      C:\Windows\system32\lueixldbay\explorer.exe
      4⤵
      Executes dropped EXE
      Suspicious behavior: EnumeratesProcesses
      Suspicious use of AdjustPrivilegeToken
      Suspicious use of WriteProcessMemory
      PID:2436
    - - C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        5⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:4652
      - C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        6⤵
        Executes dropped EXE
        Enumerates connected drives
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:4436
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        7⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:1876
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        8⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:3628
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:4776
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:824
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        
        PID:1184
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        
        PID:3132
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:5220
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        Enumerates connected drives
        
        PID:6100
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:6636
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:7588
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        17⤵
        
        PID:8484
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        18⤵
        
        PID:9712
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        19⤵
        
        PID:10540
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        20⤵
        
        PID:2244
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        21⤵
        
        PID:15620
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        16⤵
        
        PID:17944
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        15⤵
        
        PID:14980
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:18272
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        14⤵
        
        PID:12692
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:15120
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:18136
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        13⤵
        
        PID:10900
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:12920
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:15320
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:18496
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        12⤵
        
        PID:9308
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:10872
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:13092
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:15440
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        11⤵
        
        PID:8208
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        
        PID:9468
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:11032
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:12988
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:15312
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:18340
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        10⤵
        
        PID:7340
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        
        PID:8256
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        
        PID:9456
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:11040
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:13132
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:15372
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:440
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        9⤵
        
        PID:6552
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:7356
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        
        PID:8248
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        
        PID:9516
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:5200
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:13284
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:15924
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        10⤵
        
        PID:17520
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        8⤵
        
        PID:6052
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:6580
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        Enumerates connected drives
        
        PID:7428
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        
        PID:8300
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        
        PID:9536
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:11200
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:13252
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:16032
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        10⤵
        
        PID:17664
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        9⤵
        
        PID:14760
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:18260
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        7⤵
        
        PID:5168
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        8⤵
        
        PID:6012
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:6540
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:7320
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        
        PID:8220
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        
        PID:9580
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:388
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:2236
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:15664
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        10⤵
        
        PID:17512
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        9⤵
        
        PID:14528
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:17656
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        8⤵
        
        PID:12328
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:14716
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:18016
      - C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        6⤵
        
        PID:4108
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        7⤵
        
        PID:5140
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        8⤵
        
        PID:5968
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:6468
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        Drops file in System32 directory
        
        PID:7236
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        
        PID:2176
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        Enumerates connected drives
        
        PID:9360
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:11104
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:13124
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:15708
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        9⤵
        
        PID:14440
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:18388
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        8⤵
        
        PID:12304
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:15180
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:4512
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        7⤵
        
        PID:10508
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        8⤵
        
        PID:12508
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:15048
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:18264
    - - C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        5⤵
        
        PID:3176
      - C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        6⤵
        
        PID:628
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        7⤵
        
        PID:5132
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        8⤵
        Enumerates connected drives
        
        PID:5976
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:6460
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        Enumerates connected drives
        
        PID:7216
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        
        PID:4832
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        
        PID:9424
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:11024
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:13116
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:15692
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        10⤵
        
        PID:17420
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        9⤵
        
        PID:14432
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:3940
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        8⤵
        
        PID:12296
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:15092
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:18280
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        7⤵
        
        PID:10516
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        8⤵
        
        PID:12536
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:14908
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:18588
      - C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        6⤵
        
        PID:4940
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        7⤵
        
        PID:10620
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        8⤵
        
        PID:12488
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:14848
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:18364
  - - C:\Windows\SysWOW64\irylnvgdrr\smss.exe
      C:\Windows\system32\irylnvgdrr\smss.exe
      4⤵
      Executes dropped EXE
      PID:648
    - - C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        5⤵
        Enumerates connected drives
        Drops file in System32 directory
        
        PID:1836
      - C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        6⤵
        
        PID:4256
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        7⤵
        Drops file in System32 directory
        
        PID:5188
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        8⤵
        
        PID:6068
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:6596
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:7504
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        Enumerates connected drives
        
        PID:8344
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        
        PID:9548
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:11256
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:13216
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:15648
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        10⤵
        
        PID:17812
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        9⤵
        
        PID:14972
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:18184
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        8⤵
        
        PID:12520
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:15004
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:17976
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        7⤵
        
        PID:10652
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        8⤵
        
        PID:12652
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:15028
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:18168
      - C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        6⤵
        
        PID:9224
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        7⤵
        
        PID:10844
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        8⤵
        
        PID:13068
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:15612
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:18464
    - - C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        5⤵
        
        PID:8088
      - C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        6⤵
        Enumerates connected drives
        
        PID:3784
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        7⤵
        
        PID:10864
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        8⤵
        
        PID:12864
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:64
- C:\Windows\SysWOW64\irylnvgdrr\smss.exe
  C:\Windows\system32\irylnvgdrr\smss.exe
  2⤵
  - Executes dropped EXE
  - Enumerates connected drives
  - Drops file in System32 directory
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious use of AdjustPrivilegeToken
  - Suspicious use of WriteProcessMemory
  PID:1412
- - C:\Windows\SysWOW64\lueixldbay\explorer.exe
    C:\Windows\system32\lueixldbay\explorer.exe
    3⤵
    - Executes dropped EXE
    - Suspicious behavior: EnumeratesProcesses
    - Suspicious use of AdjustPrivilegeToken
    - Suspicious use of WriteProcessMemory
    PID:1872
  - - C:\Windows\SysWOW64\lueixldbay\explorer.exe
      C:\Windows\system32\lueixldbay\explorer.exe
      4⤵
      Executes dropped EXE
      Suspicious behavior: EnumeratesProcesses
      Suspicious use of AdjustPrivilegeToken
      Suspicious use of WriteProcessMemory
      PID:4160
    - - C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        5⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:4552
      - C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        6⤵
        Executes dropped EXE
        Enumerates connected drives
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:4664
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        7⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:1508
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        8⤵
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of AdjustPrivilegeToken
        
        PID:3920
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        Executes dropped EXE
        Enumerates connected drives
        Suspicious use of AdjustPrivilegeToken
        
        PID:3496
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        Drops file in System32 directory
        
        PID:4640
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        
        PID:2484
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        Enumerates connected drives
        
        PID:1000
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:5940
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:6444
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:7204
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        16⤵
        
        PID:4912
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        17⤵
        Enumerates connected drives
        
        PID:9572
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        18⤵
        
        PID:11244
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        19⤵
        
        PID:13308
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        20⤵
        
        PID:16108
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        14⤵
        
        PID:14448
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:18404
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        13⤵
        
        PID:3060
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:14684
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:17964
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        12⤵
        
        PID:10460
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:12392
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:14740
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:6276
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        11⤵
        
        PID:8284
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        
        PID:10692
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:12644
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:15012
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:18024
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        10⤵
        
        PID:7992
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        Enumerates connected drives
        Drops file in System32 directory
        
        PID:8756
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        
        PID:10684
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:12612
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:15204
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        9⤵
        
        PID:1540
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        Drops file in System32 directory
        
        PID:7968
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        Drops file in System32 directory
        
        PID:8828
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        
        PID:10724
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:12812
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:6888
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        8⤵
        
        PID:5456
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        Drops file in System32 directory
        
        PID:6840
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        Drops file in System32 directory
        
        PID:7672
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        Enumerates connected drives
        
        PID:8660
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        
        PID:10048
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:11520
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:13516
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:15904
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        10⤵
        
        PID:4764
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        9⤵
        
        PID:6904
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        7⤵
        Enumerates connected drives
        
        PID:5400
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        8⤵
        
        PID:5488
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:6872
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:7720
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        
        PID:8684
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        
        PID:10088
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:11580
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:13580
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:15992
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        10⤵
        
        PID:5096
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        9⤵
        
        PID:15388
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:7704
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        8⤵
        
        PID:5312
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:15724
      - C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        6⤵
        Enumerates connected drives
        Drops file in System32 directory
        
        PID:3648
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        7⤵
        
        PID:5408
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        8⤵
        
        PID:5480
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:6864
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:7692
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        
        PID:8692
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        Enumerates connected drives
        
        PID:10080
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:11544
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:13508
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:15912
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        10⤵
        
        PID:4868
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        9⤵
        
        PID:15396
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:7712
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        8⤵
        
        PID:4356
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:15572
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:18564
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        7⤵
        
        PID:11364
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        8⤵
        
        PID:13356
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:15784
    - - C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        5⤵
        Enumerates connected drives
        
        PID:4320
      - C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        6⤵
        
        PID:1688
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        7⤵
        
        PID:5376
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        8⤵
        Enumerates connected drives
        
        PID:5328
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:6800
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:7644
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        
        PID:8604
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        
        PID:9964
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:11484
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:13472
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:15832
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        10⤵
        
        PID:18212
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        9⤵
        
        PID:6820
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:7616
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        8⤵
        
        PID:13292
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:15884
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        7⤵
        
        PID:11160
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        8⤵
        
        PID:5464
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:15768
      - C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        6⤵
        
        PID:9852
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        7⤵
        
        PID:11332
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        8⤵
        
        PID:5540
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:16040
  - - C:\Windows\SysWOW64\irylnvgdrr\smss.exe
      C:\Windows\system32\irylnvgdrr\smss.exe
      4⤵
      Enumerates connected drives
      PID:3864
    - - C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        5⤵
        
        PID:2208
      - C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        6⤵
        Drops file in System32 directory
        
        PID:884
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        7⤵
        
        PID:5368
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        8⤵
        Enumerates connected drives
        
        PID:5320
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:6808
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:7636
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        
        PID:8620
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        Enumerates connected drives
        Drops file in System32 directory
        
        PID:10000
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:11468
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:13456
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:15952
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        10⤵
        
        PID:18220
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        9⤵
        
        PID:2300
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        8⤵
        
        PID:13300
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:16056
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        7⤵
        
        PID:11272
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        8⤵
        
        PID:5468
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:15976
      - C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        6⤵
        Drops file in System32 directory
        
        PID:9832
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        7⤵
        
        PID:11284
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        8⤵
        
        PID:3516
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:15732
    - - C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        5⤵
        
        PID:8552
      - C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        6⤵
        Enumerates connected drives
        
        PID:9860
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        7⤵
        
        PID:11308
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        8⤵
        
        PID:4028
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:15984
- - C:\Windows\SysWOW64\irylnvgdrr\smss.exe
    C:\Windows\system32\irylnvgdrr\smss.exe
    3⤵
    - Executes dropped EXE
    - Suspicious use of AdjustPrivilegeToken
    PID:440
  - - C:\Windows\SysWOW64\lueixldbay\explorer.exe
      C:\Windows\system32\lueixldbay\explorer.exe
      4⤵
      Drops file in System32 directory
      PID:3336
    - - C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        5⤵
        
        PID:2764
      - C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        6⤵
        
        PID:816
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        7⤵
        
        PID:5432
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        8⤵
        
        PID:4688
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:6896
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:7736
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        11⤵
        
        PID:8716
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        12⤵
        
        PID:10156
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        13⤵
        
        PID:11872
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        14⤵
        
        PID:13716
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        15⤵
        
        PID:16160
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        10⤵
        
        PID:2716
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        9⤵
        
        PID:15492
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        10⤵
        
        PID:18436
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        8⤵
        
        PID:12660
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:15740
        
        C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        7⤵
        
        PID:11412
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        8⤵
        
        PID:13388
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:15960
      - C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        6⤵
        
        PID:9896
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        7⤵
        
        PID:11372
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        8⤵
        
        PID:13156
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:16100
    - - C:\Windows\SysWOW64\irylnvgdrr\smss.exe
        
        C:\Windows\system32\irylnvgdrr\smss.exe
        5⤵
        Drops file in System32 directory
        
        PID:8572
      - C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        6⤵
        
        PID:9936
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        7⤵
        
        PID:11420
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        8⤵
        
        PID:13380
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:15968
  - - C:\Windows\SysWOW64\irylnvgdrr\smss.exe
      C:\Windows\system32\irylnvgdrr\smss.exe
      4⤵
      PID:7608
    - - C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        5⤵
        
        PID:8584
      - C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        6⤵
        
        PID:9924
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        7⤵
        
        PID:11400
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        8⤵
        
        PID:13396
        
        C:\Windows\SysWOW64\lueixldbay\explorer.exe
        
        C:\Windows\system32\lueixldbay\explorer.exe
        9⤵
        
        PID:16184

Network

MITRE ATT&CK Enterprise v6

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\SysWOW64\irylnvgdrr\smss.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\irylnvgdrr\smss.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\irylnvgdrr\smss.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\irylnvgdrr\smss.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\irylnvgdrr\smss.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\irylnvgdrr\smss.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\irylnvgdrr\smss.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\irylnvgdrr\smss.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\irylnvgdrr\smss.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\irylnvgdrr\smss.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\irylnvgdrr\smss.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\irylnvgdrr\smss.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\irylnvgdrr\smss.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\irylnvgdrr\smss.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\irylnvgdrr\smss.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\irylnvgdrr\smss.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\irylnvgdrr\smss.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\irylnvgdrr\smss.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\irylnvgdrr\smss.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
C:\Windows\SysWOW64\lueixldbay\explorer.exe

Filesize
80KB

MD5
835a528f479be475f428c43bd7eabba1

SHA1
49131ec477f0d73cd98c54ec99f4642dba32d6e1

SHA256
c17b8841e04f6f7ab4deffa981158e8e33b8b0c02a789d0740560fe65f1ca960

SHA512
6e121332676380d1c53f54bb47738702d2cf7d87451955bedd27a0e0d3a138f4bfd1a0e11dcc5d1d47e15454799f3825220298df49c0f5c951e2d3c084984279

Download Submit
memory/224-182-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/224-215-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/372-223-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/372-278-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/848-145-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/848-156-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/916-144-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/916-132-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/1228-249-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/1412-175-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/1412-199-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/1448-270-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/1508-271-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/1808-155-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/1808-166-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/1872-219-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/1872-185-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/1876-264-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/1880-256-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/2316-190-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/2316-170-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/2416-254-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/2416-205-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/2436-239-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/2436-197-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/2444-150-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/2444-161-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/2520-202-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/2520-248-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/2544-245-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/2572-261-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/2572-211-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/2984-279-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/3412-286-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/3412-227-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/3428-226-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/3428-194-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/3516-263-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/3632-275-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/3756-241-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/3808-255-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4112-165-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4112-181-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4160-240-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4160-198-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4404-192-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4404-232-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4436-234-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4552-216-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4552-269-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4652-212-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4652-262-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4664-242-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4692-274-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4692-220-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4788-136-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4788-146-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4848-174-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4848-160-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4880-233-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4980-151-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4980-140-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/5036-210-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/5036-178-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download