4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

Analysis

max time kernel
156s
max time network
160s
platform
windows10-2004_x64
resource
win10v2004-20220812-en
resource tags

arch:x64arch:x86image:win10v2004-20220812-enlocale:en-usos:windows10-2004-x64system
submitted
30/10/2022, 20:52

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677.exe
Size

83KB
MD5

91be301cffc170a608da46f7123a95ef
SHA1

c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9
SHA256

4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677
SHA512

3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92
SSDEEP

1536:WnKZViWUC/JV16uXKqVXxs7djVBMEuyQ5gO:W0ViWhz161qE7dVeEuyXO

Score

8^/10

upx

Malware Config

Signatures

Executes dropped EXE 64 IoCs

pid	Process
1944	explorer.exe
3884	explorer.exe
3364	explorer.exe
444	explorer.exe
3020	explorer.exe
3152	explorer.exe
4972	explorer.exe
4648	explorer.exe
4800	smss.exe
3536	explorer.exe
2008	smss.exe
4300	explorer.exe
780	smss.exe
4484	explorer.exe
4504	explorer.exe
4212	explorer.exe
4944	smss.exe
1204	explorer.exe
1388	explorer.exe
5004	explorer.exe
4952	explorer.exe
2788	smss.exe
4380	explorer.exe
4964	explorer.exe
1416	explorer.exe
3648	explorer.exe
3668	explorer.exe
3052	smss.exe
4328	explorer.exe
2236	explorer.exe
4000	explorer.exe
4620	explorer.exe
5096	explorer.exe
4020	smss.exe
100	explorer.exe
4584	explorer.exe
2180	explorer.exe
3912	explorer.exe
4124	smss.exe
3480	explorer.exe
1336	explorer.exe
3620	explorer.exe
4992	explorer.exe
3380	explorer.exe
3876	explorer.exe
4008	explorer.exe
3040	explorer.exe
5020	smss.exe
3508	explorer.exe
1708	explorer.exe
3024	explorer.exe
5008	explorer.exe
3452	explorer.exe
1236	smss.exe
1488	explorer.exe
1132	explorer.exe
5108	explorer.exe
1392	explorer.exe
4136	explorer.exe
2492	smss.exe
1272	explorer.exe
4820	explorer.exe
2376	explorer.exe
4948	smss.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/4264-132-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/files/0x0007000000022f78-134.dat	upx
behavioral2/files/0x0007000000022f78-135.dat	upx
behavioral2/memory/1944-136-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/files/0x0007000000022f7f-137.dat	upx
behavioral2/files/0x0007000000022f78-139.dat	upx
behavioral2/memory/3884-140-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/files/0x0008000000022f7f-141.dat	upx
behavioral2/files/0x0007000000022f78-143.dat	upx
behavioral2/memory/3364-144-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/memory/1944-145-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/files/0x0009000000022f7f-146.dat	upx
behavioral2/files/0x0007000000022f78-148.dat	upx
behavioral2/memory/444-149-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/memory/3884-150-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/files/0x000a000000022f7f-151.dat	upx
behavioral2/files/0x0007000000022f78-153.dat	upx
behavioral2/memory/3020-154-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/memory/3364-155-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/files/0x0006000000022f86-156.dat	upx
behavioral2/files/0x0007000000022f78-158.dat	upx
behavioral2/memory/3152-159-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/memory/444-160-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/files/0x0007000000022f86-161.dat	upx
behavioral2/files/0x0007000000022f78-163.dat	upx
behavioral2/memory/4972-164-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/memory/3020-165-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/files/0x0008000000022f86-166.dat	upx
behavioral2/files/0x0007000000022f78-168.dat	upx
behavioral2/memory/4648-169-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/files/0x0009000000022f86-171.dat	upx
behavioral2/files/0x0009000000022f86-172.dat	upx
behavioral2/memory/3152-173-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/memory/4800-174-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/files/0x0007000000022f78-176.dat	upx
behavioral2/memory/3536-177-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/files/0x0009000000022f86-179.dat	upx
behavioral2/memory/4972-180-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/memory/2008-181-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/files/0x0007000000022f78-183.dat	upx
behavioral2/memory/4300-184-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/files/0x0009000000022f86-186.dat	upx
behavioral2/files/0x0007000000022f78-188.dat	upx
behavioral2/memory/4648-189-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/memory/780-190-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/memory/4484-191-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/files/0x0007000000022f78-193.dat	upx
behavioral2/memory/4504-194-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/files/0x0007000000022f78-196.dat	upx
behavioral2/memory/4800-197-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/memory/4212-198-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/files/0x0009000000022f86-200.dat	upx
behavioral2/memory/4944-201-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/files/0x0007000000022f78-203.dat	upx
behavioral2/files/0x0007000000022f78-205.dat	upx
behavioral2/memory/3536-206-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/memory/1204-207-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/memory/1388-208-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/files/0x0007000000022f78-210.dat	upx
behavioral2/memory/2008-211-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/memory/5004-212-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/files/0x0007000000022f78-214.dat	upx
behavioral2/memory/4300-215-0x0000000000400000-0x000000000045A000-memory.dmp	upx
behavioral2/memory/4952-216-0x0000000000400000-0x000000000045A000-memory.dmp	upx

Enumerates connected drives 3 TTPs 64 IoCs

Attempts to read the root path of hard drives other than the default C: drive.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
File opened (read-only)	\??\g:	explorer.exe
File opened (read-only)	\??\l:	smss.exe
File opened (read-only)	\??\g:	explorer.exe
File opened (read-only)	\??\g:	explorer.exe
File opened (read-only)	\??\l:	explorer.exe
File opened (read-only)	\??\n:	explorer.exe
File opened (read-only)	\??\g:	explorer.exe
File opened (read-only)	\??\p:	explorer.exe
File opened (read-only)	\??\p:	explorer.exe
File opened (read-only)	\??\w:	explorer.exe
File opened (read-only)	\??\y:	smss.exe
File opened (read-only)	\??\z:	explorer.exe
File opened (read-only)	\??\r:	explorer.exe
File opened (read-only)	\??\k:	smss.exe
File opened (read-only)	\??\z:	explorer.exe
File opened (read-only)	\??\l:	explorer.exe
File opened (read-only)	\??\l:	smss.exe
File opened (read-only)	\??\p:	explorer.exe
File opened (read-only)	\??\y:	explorer.exe
File opened (read-only)	\??\r:	explorer.exe
File opened (read-only)	\??\f:	explorer.exe
File opened (read-only)	\??\k:	explorer.exe
File opened (read-only)	\??\n:	explorer.exe
File opened (read-only)	\??\h:	smss.exe
File opened (read-only)	\??\n:	smss.exe
File opened (read-only)	\??\x:	explorer.exe
File opened (read-only)	\??\z:	smss.exe
File opened (read-only)	\??\m:	explorer.exe
File opened (read-only)	\??\y:	explorer.exe
File opened (read-only)	\??\u:	explorer.exe
File opened (read-only)	\??\w:	smss.exe
File opened (read-only)	\??\e:	explorer.exe
File opened (read-only)	\??\h:	explorer.exe
File opened (read-only)	\??\y:	explorer.exe
File opened (read-only)	\??\w:	explorer.exe
File opened (read-only)	\??\x:	smss.exe
File opened (read-only)	\??\t:	explorer.exe
File opened (read-only)	\??\h:	explorer.exe
File opened (read-only)	\??\y:	explorer.exe
File opened (read-only)	\??\s:	smss.exe
File opened (read-only)	\??\f:	explorer.exe
File opened (read-only)	\??\j:	explorer.exe
File opened (read-only)	\??\h:	explorer.exe
File opened (read-only)	\??\f:	explorer.exe
File opened (read-only)	\??\k:	explorer.exe
File opened (read-only)	\??\s:	explorer.exe
File opened (read-only)	\??\f:	explorer.exe
File opened (read-only)	\??\t:	explorer.exe
File opened (read-only)	\??\h:	explorer.exe
File opened (read-only)	\??\q:	explorer.exe
File opened (read-only)	\??\h:	explorer.exe
File opened (read-only)	\??\i:	explorer.exe
File opened (read-only)	\??\e:	explorer.exe
File opened (read-only)	\??\w:	smss.exe
File opened (read-only)	\??\t:	explorer.exe
File opened (read-only)	\??\q:	explorer.exe
File opened (read-only)	\??\q:	explorer.exe
File opened (read-only)	\??\l:	explorer.exe
File opened (read-only)	\??\k:	smss.exe
File opened (read-only)	\??\t:	explorer.exe
File opened (read-only)	\??\h:	explorer.exe
File opened (read-only)	\??\g:	explorer.exe
File opened (read-only)	\??\p:	explorer.exe
File opened (read-only)	\??\m:	explorer.exe

Drops file in System32 directory 64 IoCs

description	ioc	Process
File opened for modification	C:\Windows\SysWOW64\qqkixbbvpx\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\gvasltkllr\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\gvasltkllr\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\gvasltkllr\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\gvasltkllr\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\gvasltkllr\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\qqkixbbvpx\smss.exe	smss.exe
File opened for modification	C:\Windows\SysWOW64\gvasltkllr\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\gvasltkllr\explorer.exe	smss.exe
File opened for modification	C:\Windows\SysWOW64\qqkixbbvpx\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\qqkixbbvpx\smss.exe	smss.exe
File created	C:\Windows\SysWOW64\gvasltkllr\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\qqkixbbvpx\smss.exe	smss.exe
File created	C:\Windows\SysWOW64\gvasltkllr\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\qqkixbbvpx\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\gvasltkllr\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\qqkixbbvpx\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\qqkixbbvpx\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\gvasltkllr\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\qqkixbbvpx\smss.exe	smss.exe
File created	C:\Windows\SysWOW64\qqkixbbvpx\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\qqkixbbvpx\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\gvasltkllr\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\gvasltkllr\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\qqkixbbvpx\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\gvasltkllr\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\qqkixbbvpx\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\gvasltkllr\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\gvasltkllr\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\gvasltkllr\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\gvasltkllr\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\qqkixbbvpx\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\gvasltkllr\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\qqkixbbvpx\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\qqkixbbvpx\smss.exe	smss.exe
File opened for modification	C:\Windows\SysWOW64\gvasltkllr\explorer.exe	smss.exe
File created	C:\Windows\SysWOW64\qqkixbbvpx\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\qqkixbbvpx\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\gvasltkllr\explorer.exe	smss.exe
File opened for modification	C:\Windows\SysWOW64\gvasltkllr\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\gvasltkllr\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\qqkixbbvpx\smss.exe	smss.exe
File opened for modification	C:\Windows\SysWOW64\qqkixbbvpx\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\qqkixbbvpx\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\gvasltkllr\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\gvasltkllr\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\qqkixbbvpx\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\qqkixbbvpx\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\qqkixbbvpx\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\gvasltkllr\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\qqkixbbvpx\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\gvasltkllr\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\qqkixbbvpx\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\qqkixbbvpx\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\qqkixbbvpx\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\gvasltkllr\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\gvasltkllr\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\gvasltkllr\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\qqkixbbvpx\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\gvasltkllr\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\gvasltkllr\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\gvasltkllr\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\gvasltkllr\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\qqkixbbvpx\smss.exe	explorer.exe

Suspicious behavior: EnumeratesProcesses 64 IoCs

pid	Process
4264	4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677.exe
4264	4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677.exe
1944	explorer.exe
1944	explorer.exe
3884	explorer.exe
3884	explorer.exe
3364	explorer.exe
3364	explorer.exe
444	explorer.exe
444	explorer.exe
3020	explorer.exe
3020	explorer.exe
3152	explorer.exe
3152	explorer.exe
4972	explorer.exe
4972	explorer.exe
4648	explorer.exe
4648	explorer.exe
4800	smss.exe
4800	smss.exe
3536	explorer.exe
3536	explorer.exe
2008	smss.exe
2008	smss.exe
4300	explorer.exe
4300	explorer.exe
780	smss.exe
780	smss.exe
4484	explorer.exe
4484	explorer.exe
4504	explorer.exe
4504	explorer.exe
4212	explorer.exe
4212	explorer.exe
4944	smss.exe
4944	smss.exe
1204	explorer.exe
1204	explorer.exe
1388	explorer.exe
1388	explorer.exe
5004	explorer.exe
5004	explorer.exe
4952	explorer.exe
4952	explorer.exe
2788	smss.exe
2788	smss.exe
4380	explorer.exe
4380	explorer.exe
4964	explorer.exe
4964	explorer.exe
1416	explorer.exe
1416	explorer.exe
3648	explorer.exe
3648	explorer.exe
3668	explorer.exe
3668	explorer.exe
3052	smss.exe
3052	smss.exe
4328	explorer.exe
4328	explorer.exe
2236	explorer.exe
2236	explorer.exe
4000	explorer.exe
4000	explorer.exe

Suspicious use of AdjustPrivilegeToken 64 IoCs

description	pid	Process
Token: SeLoadDriverPrivilege	4264	4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677.exe
Token: SeLoadDriverPrivilege	1944	explorer.exe
Token: SeLoadDriverPrivilege	3884	explorer.exe
Token: SeLoadDriverPrivilege	3364	explorer.exe
Token: SeLoadDriverPrivilege	444	explorer.exe
Token: SeLoadDriverPrivilege	3020	explorer.exe
Token: SeLoadDriverPrivilege	3152	explorer.exe
Token: SeLoadDriverPrivilege	4972	explorer.exe
Token: SeLoadDriverPrivilege	4648	explorer.exe
Token: SeLoadDriverPrivilege	4800	smss.exe
Token: SeLoadDriverPrivilege	3536	explorer.exe
Token: SeLoadDriverPrivilege	2008	smss.exe
Token: SeLoadDriverPrivilege	4300	explorer.exe
Token: SeLoadDriverPrivilege	780	smss.exe
Token: SeLoadDriverPrivilege	4484	explorer.exe
Token: SeLoadDriverPrivilege	4504	explorer.exe
Token: SeLoadDriverPrivilege	4212	explorer.exe
Token: SeLoadDriverPrivilege	4944	smss.exe
Token: SeLoadDriverPrivilege	1204	explorer.exe
Token: SeLoadDriverPrivilege	1388	explorer.exe
Token: SeLoadDriverPrivilege	5004	explorer.exe
Token: SeLoadDriverPrivilege	4952	explorer.exe
Token: SeLoadDriverPrivilege	2788	smss.exe
Token: SeLoadDriverPrivilege	4380	explorer.exe
Token: SeLoadDriverPrivilege	4964	explorer.exe
Token: SeLoadDriverPrivilege	1416	explorer.exe
Token: SeLoadDriverPrivilege	3648	explorer.exe
Token: SeLoadDriverPrivilege	3668	explorer.exe
Token: SeLoadDriverPrivilege	3052	smss.exe
Token: SeLoadDriverPrivilege	4328	explorer.exe
Token: SeLoadDriverPrivilege	2236	explorer.exe
Token: SeLoadDriverPrivilege	4000	explorer.exe
Token: SeLoadDriverPrivilege	4620	explorer.exe
Token: SeLoadDriverPrivilege	4020	smss.exe
Token: SeLoadDriverPrivilege	5096	explorer.exe
Token: SeLoadDriverPrivilege	100	explorer.exe
Token: SeLoadDriverPrivilege	4584	explorer.exe
Token: SeLoadDriverPrivilege	2180	explorer.exe
Token: SeLoadDriverPrivilege	3912	explorer.exe
Token: SeLoadDriverPrivilege	4124	smss.exe
Token: SeLoadDriverPrivilege	3480	explorer.exe
Token: SeLoadDriverPrivilege	1336	explorer.exe
Token: SeLoadDriverPrivilege	3620	explorer.exe
Token: SeLoadDriverPrivilege	4992	explorer.exe
Token: SeLoadDriverPrivilege	3380	explorer.exe
Token: SeLoadDriverPrivilege	3876	explorer.exe
Token: SeLoadDriverPrivilege	4008	explorer.exe
Token: SeLoadDriverPrivilege	3040	explorer.exe
Token: SeLoadDriverPrivilege	5020	smss.exe
Token: SeLoadDriverPrivilege	3508	explorer.exe
Token: SeLoadDriverPrivilege	1708	explorer.exe
Token: SeLoadDriverPrivilege	3024	explorer.exe
Token: SeLoadDriverPrivilege	5008	explorer.exe
Token: SeLoadDriverPrivilege	3452	explorer.exe
Token: SeLoadDriverPrivilege	1236	smss.exe
Token: SeLoadDriverPrivilege	1488	explorer.exe
Token: SeLoadDriverPrivilege	1132	explorer.exe
Token: SeLoadDriverPrivilege	5108	explorer.exe
Token: SeLoadDriverPrivilege	1392	explorer.exe
Token: SeLoadDriverPrivilege	4136	explorer.exe
Token: SeLoadDriverPrivilege	2492	smss.exe
Token: SeLoadDriverPrivilege	1272	explorer.exe
Token: SeLoadDriverPrivilege	4820	explorer.exe
Token: SeLoadDriverPrivilege	2376	explorer.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 4264 wrote to memory of 1944	4264	4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677.exe	80
PID 4264 wrote to memory of 1944	4264	4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677.exe	80
PID 4264 wrote to memory of 1944	4264	4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677.exe	80
PID 1944 wrote to memory of 3884	1944	explorer.exe	81
PID 1944 wrote to memory of 3884	1944	explorer.exe	81
PID 1944 wrote to memory of 3884	1944	explorer.exe	81
PID 3884 wrote to memory of 3364	3884	explorer.exe	86
PID 3884 wrote to memory of 3364	3884	explorer.exe	86
PID 3884 wrote to memory of 3364	3884	explorer.exe	86
PID 3364 wrote to memory of 444	3364	explorer.exe	88
PID 3364 wrote to memory of 444	3364	explorer.exe	88
PID 3364 wrote to memory of 444	3364	explorer.exe	88
PID 444 wrote to memory of 3020	444	explorer.exe	92
PID 444 wrote to memory of 3020	444	explorer.exe	92
PID 444 wrote to memory of 3020	444	explorer.exe	92
PID 3020 wrote to memory of 3152	3020	explorer.exe	93
PID 3020 wrote to memory of 3152	3020	explorer.exe	93
PID 3020 wrote to memory of 3152	3020	explorer.exe	93
PID 3152 wrote to memory of 4972	3152	explorer.exe	94
PID 3152 wrote to memory of 4972	3152	explorer.exe	94
PID 3152 wrote to memory of 4972	3152	explorer.exe	94
PID 4972 wrote to memory of 4648	4972	explorer.exe	95
PID 4972 wrote to memory of 4648	4972	explorer.exe	95
PID 4972 wrote to memory of 4648	4972	explorer.exe	95
PID 4264 wrote to memory of 4800	4264	4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677.exe	96
PID 4264 wrote to memory of 4800	4264	4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677.exe	96
PID 4264 wrote to memory of 4800	4264	4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677.exe	96
PID 4648 wrote to memory of 3536	4648	explorer.exe	97
PID 4648 wrote to memory of 3536	4648	explorer.exe	97
PID 4648 wrote to memory of 3536	4648	explorer.exe	97
PID 1944 wrote to memory of 2008	1944	explorer.exe	98
PID 1944 wrote to memory of 2008	1944	explorer.exe	98
PID 1944 wrote to memory of 2008	1944	explorer.exe	98
PID 4800 wrote to memory of 4300	4800	smss.exe	99
PID 4800 wrote to memory of 4300	4800	smss.exe	99
PID 4800 wrote to memory of 4300	4800	smss.exe	99
PID 3884 wrote to memory of 780	3884	explorer.exe	100
PID 3884 wrote to memory of 780	3884	explorer.exe	100
PID 3884 wrote to memory of 780	3884	explorer.exe	100
PID 3536 wrote to memory of 4484	3536	explorer.exe	101
PID 3536 wrote to memory of 4484	3536	explorer.exe	101
PID 3536 wrote to memory of 4484	3536	explorer.exe	101
PID 2008 wrote to memory of 4504	2008	smss.exe	102
PID 2008 wrote to memory of 4504	2008	smss.exe	102
PID 2008 wrote to memory of 4504	2008	smss.exe	102
PID 4300 wrote to memory of 4212	4300	explorer.exe	103
PID 4300 wrote to memory of 4212	4300	explorer.exe	103
PID 4300 wrote to memory of 4212	4300	explorer.exe	103
PID 3364 wrote to memory of 4944	3364	explorer.exe	104
PID 3364 wrote to memory of 4944	3364	explorer.exe	104
PID 3364 wrote to memory of 4944	3364	explorer.exe	104
PID 780 wrote to memory of 1204	780	smss.exe	105
PID 780 wrote to memory of 1204	780	smss.exe	105
PID 780 wrote to memory of 1204	780	smss.exe	105
PID 4484 wrote to memory of 1388	4484	explorer.exe	106
PID 4484 wrote to memory of 1388	4484	explorer.exe	106
PID 4484 wrote to memory of 1388	4484	explorer.exe	106
PID 4504 wrote to memory of 5004	4504	explorer.exe	107
PID 4504 wrote to memory of 5004	4504	explorer.exe	107
PID 4504 wrote to memory of 5004	4504	explorer.exe	107
PID 4212 wrote to memory of 4952	4212	explorer.exe	108
PID 4212 wrote to memory of 4952	4212	explorer.exe	108
PID 4212 wrote to memory of 4952	4212	explorer.exe	108
PID 444 wrote to memory of 2788	444	explorer.exe	109

C:\Users\Admin\AppData\Local\Temp\4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677.exe
"C:\Users\Admin\AppData\Local\Temp\4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677.exe"
1⤵
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:4264
- C:\Windows\SysWOW64\gvasltkllr\explorer.exe
  C:\Windows\system32\gvasltkllr\explorer.exe
  2⤵
  - Executes dropped EXE
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious use of AdjustPrivilegeToken
  - Suspicious use of WriteProcessMemory
  PID:1944
- - C:\Windows\SysWOW64\gvasltkllr\explorer.exe
    C:\Windows\system32\gvasltkllr\explorer.exe
    3⤵
    - Executes dropped EXE
    - Suspicious behavior: EnumeratesProcesses
    - Suspicious use of AdjustPrivilegeToken
    - Suspicious use of WriteProcessMemory
    PID:3884
  - - C:\Windows\SysWOW64\gvasltkllr\explorer.exe
      C:\Windows\system32\gvasltkllr\explorer.exe
      4⤵
      Executes dropped EXE
      Enumerates connected drives
      Suspicious behavior: EnumeratesProcesses
      Suspicious use of AdjustPrivilegeToken
      Suspicious use of WriteProcessMemory
      PID:3364
    - - C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        5⤵
        Executes dropped EXE
        Enumerates connected drives
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:444
      - C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        6⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:3020
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        7⤵
        Executes dropped EXE
        Enumerates connected drives
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:3152
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        8⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:4972
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:4648
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        10⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:3536
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:4484
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:1388
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:1416
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:4620
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of AdjustPrivilegeToken
        
        PID:1336
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:3024
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        17⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:2376
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        18⤵
        
        PID:1940
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        19⤵
        
        PID:3860
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        20⤵
        
        PID:4516
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        21⤵
        
        PID:5916
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        22⤵
        
        PID:3456
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        23⤵
        Drops file in System32 directory
        
        PID:6652
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        24⤵
        
        PID:7432
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        25⤵
        Drops file in System32 directory
        
        PID:9020
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        26⤵
        
        PID:10648
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        27⤵
        
        PID:12624
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        28⤵
        
        PID:14656
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        22⤵
        
        PID:14388
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        21⤵
        
        PID:12268
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        22⤵
        
        PID:14800
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        20⤵
        
        PID:10300
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        21⤵
        
        PID:11540
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        22⤵
        
        PID:14816
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        19⤵
        
        PID:2168
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        20⤵
        
        PID:10396
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        21⤵
        
        PID:5836
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        22⤵
        
        PID:15024
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        18⤵
        
        PID:8016
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        19⤵
        Drops file in System32 directory
        
        PID:8576
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        20⤵
        
        PID:10496
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        21⤵
        
        PID:12440
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        22⤵
        
        PID:15288
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        17⤵
        
        PID:6364
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        18⤵
        
        PID:8076
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        19⤵
        
        PID:8932
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        20⤵
        
        PID:10564
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        21⤵
        
        PID:12568
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        22⤵
        
        PID:15352
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        16⤵
        
        PID:4392
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        17⤵
        
        PID:1876
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        18⤵
        Drops file in System32 directory
        
        PID:7352
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        19⤵
        
        PID:8948
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        20⤵
        
        PID:10580
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        21⤵
        
        PID:12560
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        22⤵
        
        PID:15248
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        15⤵
        
        PID:5816
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:2648
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        17⤵
        Enumerates connected drives
        
        PID:6348
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        18⤵
        
        PID:8096
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        19⤵
        
        PID:8584
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        20⤵
        
        PID:10456
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        21⤵
        
        PID:12324
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        22⤵
        
        PID:15148
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        16⤵
        
        PID:4532
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        14⤵
        
        PID:4628
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:5824
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:4720
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        17⤵
        Enumerates connected drives
        
        PID:4004
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        18⤵
        Drops file in System32 directory
        
        PID:8024
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        19⤵
        
        PID:8600
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        20⤵
        
        PID:10488
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        21⤵
        
        PID:12460
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        22⤵
        
        PID:15180
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        16⤵
        
        PID:1692
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        15⤵
        
        PID:11708
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:14520
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        13⤵
        
        PID:4284
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:5040
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:5792
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:4296
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        17⤵
        
        PID:6204
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        18⤵
        
        PID:8032
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        19⤵
        
        PID:8592
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        20⤵
        
        PID:10448
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        21⤵
        
        PID:12352
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        22⤵
        
        PID:15036
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        16⤵
        
        PID:4268
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        15⤵
        
        PID:11680
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:14512
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        14⤵
        
        PID:4708
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:11904
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:14960
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        12⤵
        
        PID:1636
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        Enumerates connected drives
        Drops file in System32 directory
        
        PID:4892
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        Enumerates connected drives
        
        PID:2864
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:5784
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:3120
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        17⤵
        
        PID:6232
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        18⤵
        
        PID:8048
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        19⤵
        
        PID:8872
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        20⤵
        
        PID:10572
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        21⤵
        
        PID:12576
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        22⤵
        
        PID:6256
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        16⤵
        
        PID:13996
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        15⤵
        
        PID:11672
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:14532
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        14⤵
        
        PID:9436
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:32
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:14952
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        13⤵
        
        PID:9104
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:3096
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:11856
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:14624
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        11⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:2492
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:4968
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:2144
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:2920
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:5848
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:6012
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        17⤵
        
        PID:3068
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        18⤵
        
        PID:8112
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        19⤵
        
        PID:4876
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        20⤵
        
        PID:10556
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        21⤵
        
        PID:12600
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        22⤵
        
        PID:5668
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        16⤵
        
        PID:5088
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        15⤵
        
        PID:11744
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:14740
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        14⤵
        
        PID:9492
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:11844
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:14616
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        13⤵
        
        PID:9124
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:1788
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:3236
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:14824
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        12⤵
        
        PID:7880
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:9196
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:10412
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:12380
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:15156
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        10⤵
        Executes dropped EXE
        Enumerates connected drives
        Suspicious use of AdjustPrivilegeToken
        
        PID:5020
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:4136
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:4076
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        Enumerates connected drives
        Drops file in System32 directory
        
        PID:2904
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        Enumerates connected drives
        
        PID:3960
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        Enumerates connected drives
        Drops file in System32 directory
        
        PID:5856
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:1552
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        17⤵
        
        PID:3968
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        18⤵
        
        PID:8104
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        19⤵
        Enumerates connected drives
        
        PID:4944
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        20⤵
        
        PID:10548
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        21⤵
        
        PID:12588
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        22⤵
        
        PID:1336
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        17⤵
        
        PID:16976
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        16⤵
        
        PID:6000
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        15⤵
        
        PID:11724
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:14540
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        14⤵
        
        PID:9604
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:5892
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:14968
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        13⤵
        Enumerates connected drives
        
        PID:9132
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:4756
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:5908
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:14732
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        12⤵
        
        PID:7872
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        Drops file in System32 directory
        
        PID:9184
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:10348
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:2236
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:15324
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        11⤵
        
        PID:7140
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        Enumerates connected drives
        
        PID:8056
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:8884
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:10588
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:12548
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:15296
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        9⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:4124
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        10⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:3508
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:1272
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:1160
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:2792
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        Enumerates connected drives
        
        PID:1472
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:5880
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        Drops file in System32 directory
        
        PID:4900
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        17⤵
        Enumerates connected drives
        
        PID:1872
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        18⤵
        
        PID:7372
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        19⤵
        
        PID:2584
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        20⤵
        
        PID:10680
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        21⤵
        
        PID:12704
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        22⤵
        
        PID:15716
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        16⤵
        
        PID:3480
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        15⤵
        
        PID:11864
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:14632
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        14⤵
        
        PID:4964
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:11628
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:15172
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        13⤵
        
        PID:9156
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:10248
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:3388
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:14808
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        12⤵
        Drops file in System32 directory
        
        PID:7904
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:9168
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:10364
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:6096
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:15016
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        11⤵
        Enumerates connected drives
        
        PID:7132
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        Drops file in System32 directory
        
        PID:7972
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        Enumerates connected drives
        Drops file in System32 directory
        
        PID:4280
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:10428
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:12372
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:15280
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        10⤵
        
        PID:5024
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        Enumerates connected drives
        
        PID:7096
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:7912
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:9176
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:10268
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:1164
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:14724
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        8⤵
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of AdjustPrivilegeToken
        
        PID:4020
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        Executes dropped EXE
        Enumerates connected drives
        Suspicious use of AdjustPrivilegeToken
        
        PID:3620
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        10⤵
        Executes dropped EXE
        Enumerates connected drives
        Suspicious use of AdjustPrivilegeToken
        
        PID:5008
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        
        PID:3144
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:512
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        Drops file in System32 directory
        
        PID:1400
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        Enumerates connected drives
        
        PID:5216
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        Drops file in System32 directory
        
        PID:6112
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        Enumerates connected drives
        
        PID:6372
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        17⤵
        
        PID:6716
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        18⤵
        
        PID:7600
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        19⤵
        
        PID:9448
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        20⤵
        
        PID:11208
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        21⤵
        
        PID:13192
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        22⤵
        
        PID:15680
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        16⤵
        
        PID:14856
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        15⤵
        
        PID:12804
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:15368
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        14⤵
        
        PID:10900
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:13004
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:15864
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        13⤵
        
        PID:1604
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:10912
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:12920
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:15664
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        12⤵
        Enumerates connected drives
        Drops file in System32 directory
        
        PID:7824
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:9252
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:11016
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:13024
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:15908
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        11⤵
        
        PID:6872
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:1836
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:1172
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:11036
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:13016
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:15672
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        10⤵
        
        PID:6236
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        
        PID:4660
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:2292
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:9236
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:11068
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:13036
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:15984
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        9⤵
        
        PID:6076
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        10⤵
        Drops file in System32 directory
        
        PID:6260
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        
        PID:3536
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:3216
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:9400
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:11140
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:13112
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:15724
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        10⤵
        
        PID:14716
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        7⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:3052
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        8⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:4584
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:3876
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        10⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:1132
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        
        PID:364
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:2280
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:2468
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:5440
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:1460
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:6608
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        17⤵
        Enumerates connected drives
        
        PID:7324
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        18⤵
        
        PID:8432
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        19⤵
        
        PID:10016
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        20⤵
        
        PID:11584
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        21⤵
        
        PID:13692
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        22⤵
        
        PID:5696
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        16⤵
        
        PID:15412
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        15⤵
        
        PID:5512
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:15588
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        14⤵
        
        PID:5432
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:13520
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:16420
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        13⤵
        
        PID:9804
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:11304
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:13436
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        12⤵
        
        PID:8308
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:9856
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:11372
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:13500
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        11⤵
        Enumerates connected drives
        
        PID:7244
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:8344
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:9896
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:11456
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:13704
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        10⤵
        
        PID:6552
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        
        PID:7260
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:8380
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:10008
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:11560
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:13764
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:15828
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        9⤵
        
        PID:1780
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        10⤵
        
        PID:6544
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        
        PID:7268
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:8372
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        Drops file in System32 directory
        
        PID:9968
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:11516
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:13608
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        10⤵
        
        PID:6564
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        8⤵
        Enumerates connected drives
        
        PID:5408
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:5580
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        10⤵
        
        PID:6576
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        Drops file in System32 directory
        
        PID:7292
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:8360
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:9960
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:11500
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:13712
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:6824
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        10⤵
        
        PID:6620
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        9⤵
        
        PID:13284
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        10⤵
        
        PID:15780
      - C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        6⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:2788
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        7⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:4328
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        8⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:2180
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:4008
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        10⤵
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of AdjustPrivilegeToken
        
        PID:5108
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        
        PID:4476
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:4572
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:5104
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:5548
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        Enumerates connected drives
        
        PID:5964
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:6812
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        17⤵
        
        PID:7576
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        18⤵
        Drops file in System32 directory
        
        PID:8720
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        19⤵
        
        PID:10196
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        20⤵
        
        PID:11976
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        21⤵
        
        PID:14172
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        16⤵
        
        PID:16080
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        15⤵
        
        PID:13728
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:6932
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        14⤵
        
        PID:11692
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:13888
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:16436
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        13⤵
        
        PID:10056
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:11732
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:13908
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:16444
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        12⤵
        
        PID:8616
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:10072
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:11804
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:13976
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        11⤵
        
        PID:7496
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:8632
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:10104
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:11820
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:13984
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        10⤵
        
        PID:6748
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        
        PID:7528
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        Drops file in System32 directory
        
        PID:8656
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:10160
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:11920
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:14088
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        9⤵
        
        PID:2208
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        10⤵
        
        PID:6772
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        
        PID:7536
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:8680
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        Enumerates connected drives
        
        PID:10124
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:11884
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:14080
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        10⤵
        
        PID:15844
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        8⤵
        
        PID:5516
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:1492
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        10⤵
        Enumerates connected drives
        
        PID:6764
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        Enumerates connected drives
        Drops file in System32 directory
        
        PID:7512
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        Drops file in System32 directory
        
        PID:8672
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        Enumerates connected drives
        
        PID:10120
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:11876
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:14044
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:16760
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        10⤵
        
        PID:15832
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        9⤵
        
        PID:13656
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        10⤵
        
        PID:6960
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        7⤵
        
        PID:2808
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        8⤵
        Drops file in System32 directory
        
        PID:5524
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:5748
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        10⤵
        
        PID:6780
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        Drops file in System32 directory
        
        PID:7516
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:8664
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:10136
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:11868
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:14052
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        10⤵
        
        PID:15852
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        9⤵
        
        PID:13568
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        8⤵
        
        PID:11616
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:13720
    - - C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        5⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:4944
      - C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        6⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:4380
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        7⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:2236
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        8⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:3912
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:3040
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        10⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:1392
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        Drops file in System32 directory
        
        PID:3680
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:4052
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:764
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:5640
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        Drops file in System32 directory
        
        PID:5288
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        Enumerates connected drives
        
        PID:6968
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        17⤵
        
        PID:7760
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        18⤵
        
        PID:8892
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        19⤵
        
        PID:4252
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        20⤵
        
        PID:12152
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        21⤵
        
        PID:13864
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        16⤵
        
        PID:16372
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        15⤵
        
        PID:14032
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        14⤵
        
        PID:12000
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:14196
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        13⤵
        
        PID:3128
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:12024
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:14292
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        12⤵
        Drops file in System32 directory
        
        PID:8772
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:3612
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:12072
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:14324
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        11⤵
        
        PID:7692
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:8820
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:9784
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:12120
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:532
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        10⤵
        Enumerates connected drives
        
        PID:6936
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        
        PID:7708
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        Enumerates connected drives
        
        PID:8856
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:3800
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:12204
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:5568
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        9⤵
        Drops file in System32 directory
        
        PID:2024
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        10⤵
        
        PID:6904
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        
        PID:7672
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:8796
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:3232
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:12076
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:14332
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        10⤵
        
        PID:16340
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        8⤵
        
        PID:5608
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        Enumerates connected drives
        
        PID:1104
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        10⤵
        
        PID:6896
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        
        PID:7644
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:8764
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:9532
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:12040
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:4320
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        10⤵
        
        PID:16332
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        9⤵
        
        PID:13956
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        7⤵
        
        PID:996
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        8⤵
        
        PID:5620
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:5272
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        10⤵
        
        PID:6952
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        
        PID:7744
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:8888
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:10216
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:12184
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:4324
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        10⤵
        
        PID:16364
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        9⤵
        
        PID:14000
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        8⤵
        
        PID:11940
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:14112
      - C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        6⤵
        
        PID:4716
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        7⤵
        Enumerates connected drives
        
        PID:2916
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        8⤵
        
        PID:5592
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        Enumerates connected drives
        
        PID:2420
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        10⤵
        Enumerates connected drives
        
        PID:6888
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        
        PID:7652
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        Enumerates connected drives
        
        PID:8756
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:9556
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:12048
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:14308
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        10⤵
        
        PID:16348
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        9⤵
        
        PID:13936
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        8⤵
        
        PID:11948
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:14204
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        7⤵
        
        PID:4664
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        8⤵
        
        PID:11992
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:14228
  - - C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
      C:\Windows\system32\qqkixbbvpx\smss.exe
      4⤵
      Executes dropped EXE
      Suspicious behavior: EnumeratesProcesses
      Suspicious use of AdjustPrivilegeToken
      Suspicious use of WriteProcessMemory
      PID:780
    - - C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        5⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:1204
      - C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        6⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:4964
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        7⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:4000
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        8⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:3480
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        Executes dropped EXE
        Enumerates connected drives
        Suspicious use of AdjustPrivilegeToken
        
        PID:1708
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        10⤵
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of AdjustPrivilegeToken
        
        PID:4820
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        Enumerates connected drives
        
        PID:3636
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        Enumerates connected drives
        
        PID:4616
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        Drops file in System32 directory
        
        PID:3704
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        Enumerates connected drives
        
        PID:5896
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:4848
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:6632
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        17⤵
        
        PID:7388
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        18⤵
        
        PID:1564
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        19⤵
        
        PID:10672
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        20⤵
        
        PID:12656
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        21⤵
        
        PID:15652
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        15⤵
        
        PID:5680
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        14⤵
        
        PID:5760
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:14788
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        13⤵
        
        PID:10284
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:11660
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:15124
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        12⤵
        
        PID:8444
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:10404
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:6100
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:15008
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        11⤵
        
        PID:7940
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:8468
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:10420
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:12360
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:15116
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        10⤵
        
        PID:6156
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        
        PID:8064
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:8964
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:10632
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:12632
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:4992
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        9⤵
        
        PID:4368
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        10⤵
        
        PID:6164
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        
        PID:8040
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:8780
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:10540
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:12468
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:6524
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        8⤵
        
        PID:5768
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:2388
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        10⤵
        
        PID:7120
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        Drops file in System32 directory
        
        PID:7952
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        Enumerates connected drives
        
        PID:8528
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:10464
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:12340
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:15164
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        9⤵
        
        PID:5264
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        7⤵
        Drops file in System32 directory
        
        PID:1796
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        8⤵
        Drops file in System32 directory
        
        PID:5752
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:4960
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        10⤵
        
        PID:7092
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        
        PID:7960
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:8536
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:10388
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:12316
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:15140
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        9⤵
        
        PID:5456
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        8⤵
        
        PID:5560
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:5704
      - C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        6⤵
        
        PID:4196
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        7⤵
        
        PID:1528
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        8⤵
        Drops file in System32 directory
        
        PID:5724
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:1816
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        10⤵
        Drops file in System32 directory
        
        PID:7072
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        
        PID:7844
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:9076
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:10232
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:11812
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:14784
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        10⤵
        
        PID:16548
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        9⤵
        
        PID:13396
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        8⤵
        
        PID:11332
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:4124
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        7⤵
        
        PID:888
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        8⤵
        
        PID:11652
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:14488
    - - C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        5⤵
        
        PID:4032
      - C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        6⤵
        Drops file in System32 directory
        
        PID:5072
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        7⤵
        
        PID:2824
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        8⤵
        
        PID:5716
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:4784
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        10⤵
        
        PID:7060
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        Enumerates connected drives
        
        PID:7836
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:9072
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:2784
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:11796
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:14748
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        10⤵
        
        PID:16536
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        9⤵
        
        PID:13636
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        8⤵
        
        PID:5416
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:13972
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        7⤵
        
        PID:548
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        8⤵
        
        PID:2272
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:5712
      - C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        6⤵
        Drops file in System32 directory
        
        PID:9044
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        7⤵
        
        PID:2612
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        8⤵
        
        PID:11644
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:14460
- - C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
    C:\Windows\system32\qqkixbbvpx\smss.exe
    3⤵
    - Executes dropped EXE
    - Drops file in System32 directory
    - Suspicious behavior: EnumeratesProcesses
    - Suspicious use of AdjustPrivilegeToken
    - Suspicious use of WriteProcessMemory
    PID:2008
  - - C:\Windows\SysWOW64\gvasltkllr\explorer.exe
      C:\Windows\system32\gvasltkllr\explorer.exe
      4⤵
      Executes dropped EXE
      Suspicious behavior: EnumeratesProcesses
      Suspicious use of AdjustPrivilegeToken
      Suspicious use of WriteProcessMemory
      PID:4504
    - - C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        5⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:5004
      - C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        6⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:3648
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        7⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:5096
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        8⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:4992
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        Executes dropped EXE
        Enumerates connected drives
        Drops file in System32 directory
        Suspicious use of AdjustPrivilegeToken
        
        PID:3452
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        10⤵
        
        PID:2908
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        Enumerates connected drives
        
        PID:2160
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:3416
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:5232
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:6128
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        Drops file in System32 directory
        
        PID:6396
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        Drops file in System32 directory
        
        PID:4436
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        17⤵
        Drops file in System32 directory
        
        PID:7736
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        18⤵
        
        PID:9520
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        19⤵
        
        PID:11260
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        20⤵
        
        PID:13308
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        21⤵
        
        PID:15896
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        15⤵
        
        PID:14896
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        14⤵
        
        PID:12832
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:15572
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        13⤵
        
        PID:10956
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:13044
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:15696
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        12⤵
        
        PID:9244
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:11076
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:13136
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:15960
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        11⤵
        Enumerates connected drives
        
        PID:7936
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:9304
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:11128
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:13104
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:15772
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        10⤵
        
        PID:7028
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        
        PID:3116
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:9316
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:11100
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:13120
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:15948
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        9⤵
        
        PID:6268
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        10⤵
        
        PID:2628
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        
        PID:7480
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:9384
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:11220
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:13292
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:16040
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        8⤵
        Enumerates connected drives
        Drops file in System32 directory
        
        PID:6084
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:6288
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        10⤵
        
        PID:4904
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        
        PID:7472
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:9376
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:11192
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:5308
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:15868
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        9⤵
        
        PID:14692
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        7⤵
        
        PID:5196
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        8⤵
        
        PID:6064
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:6296
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        10⤵
        
        PID:7048
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        
        PID:8072
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:9368
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:11184
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:13184
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:15764
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        9⤵
        
        PID:14708
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        8⤵
        
        PID:12528
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:15228
      - C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        6⤵
        
        PID:744
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        7⤵
        Enumerates connected drives
        
        PID:5172
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        8⤵
        
        PID:6048
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:6224
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        10⤵
        
        PID:6860
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        
        PID:1072
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:9324
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:11108
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:13128
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:15748
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        9⤵
        
        PID:14680
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        8⤵
        
        PID:12496
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:15256
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        7⤵
        
        PID:10784
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        8⤵
        
        PID:12776
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:15384
    - - C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        5⤵
        
        PID:4292
      - C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        6⤵
        
        PID:3428
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        7⤵
        
        PID:5148
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        8⤵
        
        PID:6016
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        Drops file in System32 directory
        
        PID:6192
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        10⤵
        
        PID:6836
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        
        PID:7632
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:1204
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:10920
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:13052
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:15688
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        9⤵
        
        PID:14648
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        8⤵
        
        PID:12480
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:15272
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        7⤵
        
        PID:10724
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        8⤵
        
        PID:12740
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:15404
      - C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        6⤵
        
        PID:2248
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        7⤵
        
        PID:10752
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        8⤵
        
        PID:12760
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:3908
  - - C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
      C:\Windows\system32\qqkixbbvpx\smss.exe
      4⤵
      Executes dropped EXE
      PID:4948
    - - C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        5⤵
        Enumerates connected drives
        Drops file in System32 directory
        
        PID:3752
      - C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        6⤵
        
        PID:4872
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        7⤵
        Enumerates connected drives
        
        PID:5164
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        8⤵
        
        PID:6032
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:6184
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        10⤵
        
        PID:6732
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        Drops file in System32 directory
        
        PID:7608
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:3500
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:10832
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:12788
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:6532
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        9⤵
        
        PID:14604
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        8⤵
        
        PID:12504
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:15240
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        7⤵
        
        PID:10768
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        8⤵
        
        PID:12844
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:15580
      - C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        6⤵
        
        PID:3368
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        7⤵
        
        PID:10760
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        8⤵
        
        PID:12768
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:4448
    - - C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        5⤵
        
        PID:7492
      - C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        6⤵
        
        PID:1476
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        7⤵
        
        PID:10824
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        8⤵
        
        PID:12796
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:15804
- C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
  C:\Windows\system32\qqkixbbvpx\smss.exe
  2⤵
  - Executes dropped EXE
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious use of AdjustPrivilegeToken
  - Suspicious use of WriteProcessMemory
  PID:4800
- - C:\Windows\SysWOW64\gvasltkllr\explorer.exe
    C:\Windows\system32\gvasltkllr\explorer.exe
    3⤵
    - Executes dropped EXE
    - Drops file in System32 directory
    - Suspicious behavior: EnumeratesProcesses
    - Suspicious use of AdjustPrivilegeToken
    - Suspicious use of WriteProcessMemory
    PID:4300
  - - C:\Windows\SysWOW64\gvasltkllr\explorer.exe
      C:\Windows\system32\gvasltkllr\explorer.exe
      4⤵
      Executes dropped EXE
      Enumerates connected drives
      Drops file in System32 directory
      Suspicious behavior: EnumeratesProcesses
      Suspicious use of AdjustPrivilegeToken
      Suspicious use of WriteProcessMemory
      PID:4212
    - - C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        5⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:4952
      - C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        6⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:3668
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        7⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:100
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        8⤵
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of AdjustPrivilegeToken
        
        PID:3380
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:1488
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        10⤵
        Drops file in System32 directory
        
        PID:4312
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        
        PID:828
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:444
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:5424
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        Enumerates connected drives
        
        PID:4684
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        Drops file in System32 directory
        
        PID:6592
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        16⤵
        
        PID:7300
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        17⤵
        
        PID:8392
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        18⤵
        
        PID:9948
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        19⤵
        
        PID:11492
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        20⤵
        
        PID:13616
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        21⤵
        
        PID:15708
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        15⤵
        
        PID:6600
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        14⤵
        
        PID:5468
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:15788
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        13⤵
        
        PID:11088
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:13400
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:16428
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        12⤵
        
        PID:9760
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:11296
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:13484
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:16412
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        11⤵
        
        PID:8248
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:9796
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:11320
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:13468
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:6912
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        10⤵
        
        PID:7204
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        
        PID:8316
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:9868
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:11400
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:13492
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:16404
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        9⤵
        
        PID:6516
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        10⤵
        
        PID:7196
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        
        PID:8272
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:9828
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:11392
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:13476
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        8⤵
        
        PID:2408
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:6472
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        10⤵
        
        PID:1484
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        
        PID:8200
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:9728
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:5228
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:13448
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:16396
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        9⤵
        
        PID:14496
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        7⤵
        
        PID:5360
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        8⤵
        
        PID:3100
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:6464
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        10⤵
        Enumerates connected drives
        Drops file in System32 directory
        
        PID:6712
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        
        PID:2608
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:9692
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:11120
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:13332
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:16124
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        9⤵
        
        PID:6312
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        8⤵
        
        PID:13200
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:15796
      - C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        6⤵
        
        PID:2324
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        7⤵
        
        PID:5376
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        8⤵
        Drops file in System32 directory
        
        PID:5496
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:6508
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        10⤵
        
        PID:7184
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        Enumerates connected drives
        
        PID:8280
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:9848
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:11356
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:13512
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:16176
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        9⤵
        
        PID:6528
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        8⤵
        
        PID:13220
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:15972
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        7⤵
        
        PID:5244
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        8⤵
        
        PID:3660
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:16116
    - - C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        5⤵
        
        PID:2708
      - C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        6⤵
        
        PID:4156
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        7⤵
        Drops file in System32 directory
        
        PID:5344
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        8⤵
        
        PID:5312
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:6448
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        10⤵
        
        PID:2928
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        
        PID:8228
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:9748
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:3668
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:13420
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        9⤵
        
        PID:15344
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        8⤵
        
        PID:13168
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:15596
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        7⤵
        
        PID:5192
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        8⤵
        
        PID:12644
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:16016
      - C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        6⤵
        
        PID:9596
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        7⤵
        
        PID:5356
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        8⤵
        
        PID:5296
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:15880
  - - C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
      C:\Windows\system32\qqkixbbvpx\smss.exe
      4⤵
      Enumerates connected drives
      PID:3124
    - - C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        5⤵
        
        PID:4500
      - C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        6⤵
        
        PID:2060
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        7⤵
        
        PID:5328
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        8⤵
        
        PID:2404
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:6432
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        10⤵
        
        PID:2008
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        
        PID:3280
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:9704
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:11272
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:13412
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        9⤵
        
        PID:6200
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        8⤵
        
        PID:13160
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:15604
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        7⤵
        
        PID:5156
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        8⤵
        
        PID:12404
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:16088
      - C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        6⤵
        
        PID:9560
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        7⤵
        
        PID:11252
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        8⤵
        
        PID:13300
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:15740
    - - C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        5⤵
        
        PID:3464
      - C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        6⤵
        
        PID:9588
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        7⤵
        
        PID:5372
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        8⤵
        
        PID:100
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:16032
- - C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
    C:\Windows\system32\qqkixbbvpx\smss.exe
    3⤵
    - Executes dropped EXE
    - Suspicious use of AdjustPrivilegeToken
    PID:1236
  - - C:\Windows\SysWOW64\gvasltkllr\explorer.exe
      C:\Windows\system32\gvasltkllr\explorer.exe
      4⤵
      Enumerates connected drives
      PID:2152
    - - C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        5⤵
        
        PID:2380
      - C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        6⤵
        
        PID:2948
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        7⤵
        
        PID:5388
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        8⤵
        Enumerates connected drives
        
        PID:5484
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:6496
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        10⤵
        Enumerates connected drives
        
        PID:7180
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        11⤵
        Drops file in System32 directory
        
        PID:8264
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        12⤵
        
        PID:9836
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        13⤵
        
        PID:11364
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        14⤵
        
        PID:13456
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        15⤵
        
        PID:16452
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        9⤵
        
        PID:14888
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        8⤵
        
        PID:13228
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:15756
        
        C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        7⤵
        
        PID:10844
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        8⤵
        
        PID:5144
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:16024
      - C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        6⤵
        Enumerates connected drives
        
        PID:9628
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        7⤵
        
        PID:5396
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        8⤵
        
        PID:4540
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:16192
    - - C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
        
        C:\Windows\system32\qqkixbbvpx\smss.exe
        5⤵
        
        PID:3488
      - C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        6⤵
        
        PID:9648
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        7⤵
        
        PID:10984
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        8⤵
        
        PID:13348
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:16156
  - - C:\Windows\SysWOW64\qqkixbbvpx\smss.exe
      C:\Windows\system32\qqkixbbvpx\smss.exe
      4⤵
      PID:4496
    - - C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        5⤵
        
        PID:3332
      - C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        6⤵
        
        PID:9656
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        7⤵
        
        PID:5384
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        8⤵
        
        PID:13316
        
        C:\Windows\SysWOW64\gvasltkllr\explorer.exe
        
        C:\Windows\system32\gvasltkllr\explorer.exe
        9⤵
        
        PID:15888

Network

MITRE ATT&CK Enterprise v6

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\gvasltkllr\explorer.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\qqkixbbvpx\smss.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\qqkixbbvpx\smss.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\qqkixbbvpx\smss.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\qqkixbbvpx\smss.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\qqkixbbvpx\smss.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\qqkixbbvpx\smss.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\qqkixbbvpx\smss.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\qqkixbbvpx\smss.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\qqkixbbvpx\smss.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\qqkixbbvpx\smss.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\qqkixbbvpx\smss.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\qqkixbbvpx\smss.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\qqkixbbvpx\smss.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\qqkixbbvpx\smss.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\qqkixbbvpx\smss.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\qqkixbbvpx\smss.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\qqkixbbvpx\smss.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
C:\Windows\SysWOW64\qqkixbbvpx\smss.exe

Filesize
83KB

MD5
91be301cffc170a608da46f7123a95ef

SHA1
c1c61e5e8324311c9e4d28b0dbc3ce0a1b2183c9

SHA256
4df8715f8ca18b4a200302b94c408dd80abc75bd7bdc682fee6944c308469677

SHA512
3448c508642026502041363bb5edff45c8efc827e77f3dffa3aaa4c4221e19308b81c8ac20e88c76ca024f911797e73f163e2b14f989de4780cb9f7f17ad1c92

Download Submit
memory/100-269-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/444-149-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/444-160-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/780-227-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/780-190-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/1204-253-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/1204-207-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/1388-208-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/1388-254-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/1416-230-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/1416-286-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/1944-145-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/1944-136-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/2008-211-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/2008-181-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/2180-274-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/2236-248-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/2788-273-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/2788-219-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/3020-165-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/3020-154-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/3052-241-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/3152-159-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/3152-173-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/3364-144-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/3364-155-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/3536-206-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/3536-177-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/3648-234-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/3668-240-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/3884-150-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/3884-140-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/3912-278-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4000-255-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4020-263-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4212-198-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4212-239-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4264-132-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4300-215-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4300-184-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4328-244-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4380-222-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4380-277-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4484-191-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4484-228-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4504-194-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4504-233-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4584-270-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4620-256-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4648-169-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4648-189-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4800-174-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4800-197-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4944-201-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4944-247-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4952-216-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4952-268-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4964-229-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4964-285-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4972-180-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/4972-164-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/5004-261-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/5004-212-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download
memory/5096-262-0x0000000000400000-0x000000000045A000-memory.dmp

Filesize
360KB

Download