Windows 7 deprecation
Windows 7 will be removed from tria.ge on 2025-03-31
Analysis
-
max time kernel
54s -
max time network
121s -
platform
windows7_x64 -
resource
win7-20231215-en -
resource tags
-
submitted
25/12/2023, 15:51
General
-
Target
2ac542b9da647699c8fc8c20405500d1.exe
-
Size
80KB
-
MD5
2ac542b9da647699c8fc8c20405500d1
-
SHA1
a2d9c98b73f9a40c722569aab683b8997acf3e36
-
SHA256
6ad57d1038b1e4db9ea3755aa77d9fe780440c40098c2b9b2bf77229d62c64f8
-
SHA512
a210b1f2596a644faf0d467f310cac3dd6c8089d98dc016cf58d15152a25958fcb9cddc86d98c4408f34c19e388336120f921b020dbc554f5fb5cfcf3d5c306d
-
SSDEEP
768:52NtaxVWZKrTM+1Z6/25l6FxD90My9625y1uRpAo3X53MPWELTb5SQSgj8+kudKv:5ZVW2ToLXm/6q9ELH5SQPiQKyhQxgy
Score
7/10
Malware Config
Signatures
-
Executes dropped EXE 28 IoCs
-
Loads dropped DLL 57 IoCs
-
UPX packed file 64 IoCs
Detects executables packed with UPX/modified UPX open source packer.
-
Enumerates connected drives 3 TTPs 64 IoCs
Attempts to read the root path of hard drives other than the default C: drive.
-
Drops file in System32 directory 64 IoCs
-
Suspicious behavior: EnumeratesProcesses 29 IoCs
-
Suspicious use of AdjustPrivilegeToken 29 IoCs
-
Suspicious use of WriteProcessMemory 64 IoCs
Processes
-
C:\Users\Admin\AppData\Local\Temp\2ac542b9da647699c8fc8c20405500d1.exe"C:\Users\Admin\AppData\Local\Temp\2ac542b9da647699c8fc8c20405500d1.exe"1⤵
- Loads dropped DLL
- Enumerates connected drives
- Drops file in System32 directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe2⤵
- Executes dropped EXE
- Loads dropped DLL
- Enumerates connected drives
- Drops file in System32 directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe3⤵
- Executes dropped EXE
- Loads dropped DLL
- Enumerates connected drives
- Drops file in System32 directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe4⤵
- Executes dropped EXE
- Loads dropped DLL
- Enumerates connected drives
- Drops file in System32 directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe5⤵
- Executes dropped EXE
- Loads dropped DLL
- Enumerates connected drives
- Drops file in System32 directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe6⤵
- Executes dropped EXE
- Loads dropped DLL
- Drops file in System32 directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe7⤵
- Executes dropped EXE
- Loads dropped DLL
- Enumerates connected drives
- Drops file in System32 directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe8⤵
- Executes dropped EXE
- Loads dropped DLL
- Enumerates connected drives
- Drops file in System32 directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe9⤵
- Executes dropped EXE
- Loads dropped DLL
- Enumerates connected drives
- Drops file in System32 directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe10⤵
- Executes dropped EXE
- Loads dropped DLL
- Drops file in System32 directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe11⤵
- Executes dropped EXE
- Loads dropped DLL
- Drops file in System32 directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe12⤵
- Executes dropped EXE
- Loads dropped DLL
- Enumerates connected drives
- Drops file in System32 directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe13⤵
- Executes dropped EXE
- Enumerates connected drives
- Drops file in System32 directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe14⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe15⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe16⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe17⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe18⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe19⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe20⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe21⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe22⤵
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe19⤵
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe18⤵
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe17⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe18⤵
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe16⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe17⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe18⤵
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe15⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe16⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe17⤵
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe14⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe15⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe16⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe17⤵
-
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe13⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe14⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe15⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe16⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe17⤵
-
-
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe12⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe13⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe14⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe15⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe16⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe17⤵
-
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe13⤵
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe11⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe12⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe13⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe14⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe15⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe16⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe17⤵
-
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe13⤵
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe12⤵
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe10⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe11⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe12⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe13⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe14⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe15⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe16⤵
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe13⤵
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe12⤵
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe11⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe12⤵
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe9⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe10⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe11⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe12⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe13⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe14⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe15⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe16⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe17⤵
-
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe13⤵
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe12⤵
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe11⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe12⤵
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe10⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe11⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe12⤵
-
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe8⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe9⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe10⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe11⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe12⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe13⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe14⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe15⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe16⤵
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe13⤵
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe12⤵
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe11⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe12⤵
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe10⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe11⤵
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe9⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe10⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe11⤵
-
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe7⤵
- Executes dropped EXE
- Enumerates connected drives
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe8⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe9⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe10⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe11⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe12⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe13⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe14⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe15⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe16⤵
-
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe12⤵
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe11⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe12⤵
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe10⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe11⤵
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe9⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe10⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe11⤵
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe8⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe9⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe10⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe11⤵
-
-
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe6⤵
- Executes dropped EXE
- Loads dropped DLL
- Enumerates connected drives
- Drops file in System32 directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe7⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe8⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe9⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe10⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe11⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe12⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe13⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe14⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe15⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe16⤵
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe13⤵
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe12⤵
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe11⤵
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe10⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe11⤵
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe9⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe10⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe11⤵
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe8⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe9⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe10⤵
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe7⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe8⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe9⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe10⤵
-
-
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe5⤵
- Executes dropped EXE
- Loads dropped DLL
- Enumerates connected drives
- Drops file in System32 directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe6⤵
- Executes dropped EXE
- Enumerates connected drives
- Drops file in System32 directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe7⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe8⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe9⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe10⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe11⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe12⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe13⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe14⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe15⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe16⤵
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe13⤵
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe12⤵
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe11⤵
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe10⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe11⤵
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe9⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe10⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe11⤵
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe8⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe9⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe10⤵
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe7⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe8⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe9⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe10⤵
-
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe6⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe7⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe8⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe9⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe10⤵
-
-
-
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe4⤵
- Executes dropped EXE
- Loads dropped DLL
- Enumerates connected drives
- Drops file in System32 directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe5⤵
- Executes dropped EXE
- Loads dropped DLL
- Enumerates connected drives
- Drops file in System32 directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe6⤵
- Executes dropped EXE
- Enumerates connected drives
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe7⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe8⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe9⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe10⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe11⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe12⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe13⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe14⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe15⤵
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe12⤵
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe11⤵
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe10⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe11⤵
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe9⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe10⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe11⤵
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe8⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe9⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe10⤵
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe7⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe8⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe9⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe10⤵
-
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe6⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe7⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe8⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe9⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe10⤵
-
-
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe5⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe6⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe7⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe8⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe9⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe10⤵
-
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe6⤵
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe3⤵
- Executes dropped EXE
- Loads dropped DLL
- Enumerates connected drives
- Drops file in System32 directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe4⤵
- Executes dropped EXE
- Loads dropped DLL
- Enumerates connected drives
- Drops file in System32 directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe5⤵
- Executes dropped EXE
- Loads dropped DLL
- Drops file in System32 directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe6⤵
- Executes dropped EXE
- Enumerates connected drives
- Drops file in System32 directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe7⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe8⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe9⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe10⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe11⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe12⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe13⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe14⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe15⤵
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe12⤵
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe11⤵
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe10⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe11⤵
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe9⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe10⤵
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe8⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe9⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe10⤵
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe7⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe8⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe9⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe10⤵
-
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe6⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe7⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe8⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe9⤵
-
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe5⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe6⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe7⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe8⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe9⤵
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe6⤵
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe4⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe5⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe6⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe7⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe8⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe9⤵
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe6⤵
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe5⤵
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe2⤵
- Executes dropped EXE
- Loads dropped DLL
- Enumerates connected drives
- Drops file in System32 directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe3⤵
- Executes dropped EXE
- Loads dropped DLL
- Enumerates connected drives
- Drops file in System32 directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe4⤵
- Executes dropped EXE
- Loads dropped DLL
- Enumerates connected drives
- Drops file in System32 directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe5⤵
- Executes dropped EXE
- Loads dropped DLL
- Drops file in System32 directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe6⤵
- Executes dropped EXE
- Enumerates connected drives
- Drops file in System32 directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe7⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe8⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe9⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe10⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe11⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe12⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe13⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe14⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe15⤵
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe13⤵
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe12⤵
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe11⤵
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe10⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe11⤵
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe9⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe10⤵
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe8⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe9⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe10⤵
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe7⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe8⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe9⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe10⤵
-
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe6⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe7⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe8⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe9⤵
-
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe5⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe6⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe7⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe8⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe9⤵
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe6⤵
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe4⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe5⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe6⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe7⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe8⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe9⤵
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe6⤵
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe5⤵
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe3⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe4⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe5⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe6⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe7⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe8⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe9⤵
-
-
-
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe5⤵
-
-
-
C:\Windows\SysWOW64\scsjfmvmqv\smss.exeC:\Windows\system32\scsjfmvmqv\smss.exe4⤵
-
C:\Windows\SysWOW64\xarxxhvurc\explorer.exeC:\Windows\system32\xarxxhvurc\explorer.exe5⤵
-
-
-
-
Network
MITRE ATT&CK Enterprise v15
Replay Monitor
Loading Replay Monitor...
Downloads
-
Filesize
3KB
MD56aa2e845a445c1c88ae4b7422b1a4bcf
SHA1462d43e08dbdefc6003d4660874dc1bd9f36f07c
SHA256e4ff1e66b68bc8072e37c90a8f9baa1de597b4565843bccdbc3c5747a0faa462
SHA51281152375017b964beb251b4ad6dee9cc5e4efc09f628b20f7ca662fb750285d1cceb0b6bb2f6836d6bcce397047857e63f779f556d10b04c4cfe97b42b80cb91
-
Filesize
80KB
MD52ac542b9da647699c8fc8c20405500d1
SHA1a2d9c98b73f9a40c722569aab683b8997acf3e36
SHA2566ad57d1038b1e4db9ea3755aa77d9fe780440c40098c2b9b2bf77229d62c64f8
SHA512a210b1f2596a644faf0d467f310cac3dd6c8089d98dc016cf58d15152a25958fcb9cddc86d98c4408f34c19e388336120f921b020dbc554f5fb5cfcf3d5c306d
-
Filesize
12KB
MD53cff72e43a2463f840a643358b24385f
SHA1a158e8c24e24f89ae2674d11b756d0707a606a04
SHA25658eb9388fafbf365c83cb245166d6d9c83ca96ae73995b964c6b2148bd63fb9d
SHA512ee06b733bf3113f1dbd6ffa9358e7f35d2448a72f84c00c1830944204617ea931f27673818520983d84a25eb30313f801637df5ed46aa1952d5294d00ee4255b
-
Filesize
37KB
MD5093104381c036faf78aaae3552da2c9b
SHA1a7e28f0368b9fd9f04c0af0526cebd3b3e807138
SHA256f1de5d4f4156940d72351855e8ebe6068384172f427a3cec1b27c45493ed29b9
SHA512f36cb682c4392a345d8de34fb1c4183cde55fbaac845aeaf21833d036fe3b846190d7bf0b4f3bf7986677943f01c8c0be76fe2d777a32a18f863d5213462ab22
-
Filesize
16KB
MD567fc13deac873123a3155477694f1f14
SHA15e17a28045e5878943ec5c67d0afcc5e28f59b0c
SHA2566b9a5f1cd0950b3aeb2cd7262606265eeb22cae29515d54b3cf45e90e3d978d7
SHA5128f8524fe5decbcd369af32d5fffa1aec302eb9949142b9544e7dc63edded6b79d112c3949995ee58b70405843e78cd7887f38ac952461ddd512571a0b9ebe25e
-
Filesize
63KB
MD510bd9f081c7b2131c43c3f1ed530ae32
SHA11971d4006907924f9fb6df707b633709b148ea81
SHA2560a61e8ff98fb8456d3af755526108486cf0bb2d0c1e001db4b3034ff572cca35
SHA512fd719b606bdbb55185c9718697ff3662bf60793014412a6e91265a890580bf63d5eac2a5b9428fd5bf316f974e7e3e2b8115425680610b44be53a9dc7f6f5984
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB
-
Filesize
352KB