6ad57d1038b1e4db9ea3755aa77d9fe780440c40098c2b9b2bf77229d62c64f8

Analysis

max time kernel
144s
max time network
145s
platform
windows10-2004_x64
resource
win10v2004-20231215-en
resource tags

arch:x64arch:x86image:win10v2004-20231215-enlocale:en-usos:windows10-2004-x64system
submitted
25-12-2023 15:51

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

2ac542b9da647699c8fc8c20405500d1.exe
Size

80KB
MD5

2ac542b9da647699c8fc8c20405500d1
SHA1

a2d9c98b73f9a40c722569aab683b8997acf3e36
SHA256

6ad57d1038b1e4db9ea3755aa77d9fe780440c40098c2b9b2bf77229d62c64f8
SHA512

a210b1f2596a644faf0d467f310cac3dd6c8089d98dc016cf58d15152a25958fcb9cddc86d98c4408f34c19e388336120f921b020dbc554f5fb5cfcf3d5c306d
SSDEEP

768:52NtaxVWZKrTM+1Z6/25l6FxD90My9625y1uRpAo3X53MPWELTb5SQSgj8+kudKv:5ZVW2ToLXm/6q9ELH5SQPiQKyhQxgy

Score

7^/10

upx

Malware Config

Signatures

Executes dropped EXE 64 IoCs

pid	Process
3532	explorer.exe
2156	explorer.exe
220	explorer.exe
4668	explorer.exe
1656	explorer.exe
2168	explorer.exe
3272	explorer.exe
544	explorer.exe
3800	smss.exe
2352	explorer.exe
4444	smss.exe
5084	explorer.exe
680	smss.exe
1304	explorer.exe
3460	explorer.exe
372	explorer.exe
4552	smss.exe
1184	explorer.exe
3956	explorer.exe
1952	explorer.exe
3164	explorer.exe
1764	smss.exe
2152	explorer.exe
2016	explorer.exe
4708	explorer.exe
5000	explorer.exe
2672	explorer.exe
4392	smss.exe
1812	explorer.exe
4560	explorer.exe
4208	explorer.exe
4364	explorer.exe
684	smss.exe
3136	explorer.exe
1268	explorer.exe
2056	explorer.exe
2584	explorer.exe
4072	explorer.exe
64	smss.exe
3624	explorer.exe
3300	explorer.exe
4540	explorer.exe
336	explorer.exe
3252	explorer.exe
4896	explorer.exe
3912	explorer.exe
3248	explorer.exe
3736	explorer.exe
3548	explorer.exe
2860	smss.exe
4372	explorer.exe
5056	explorer.exe
5116	explorer.exe
2748	smss.exe
1516	explorer.exe
3288	explorer.exe
1912	explorer.exe
3684	explorer.exe
1588	explorer.exe
3472	explorer.exe
4492	explorer.exe
1536	smss.exe
2300	explorer.exe
2580	smss.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/4380-0-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/files/0x0009000000023213-5.dat	upx
behavioral2/memory/2156-9-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/4380-13-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/3532-14-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/4668-18-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/2156-19-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/220-23-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/2168-29-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/4668-30-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/3272-35-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/1656-36-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/544-41-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/4380-44-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/2168-47-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/3800-48-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/3272-53-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/4444-54-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/544-59-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/680-60-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/3532-65-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/3800-67-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/372-68-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/4552-71-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/2352-73-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/2156-76-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/4444-78-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/1952-79-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/3164-82-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/5084-81-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/1764-85-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/files/0x0009000000023213-86.dat	upx
behavioral2/memory/2152-88-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/680-87-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/2016-95-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/4708-98-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/3460-97-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/1304-94-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/220-91-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/5000-102-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/372-101-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/1184-112-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/4392-111-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/2672-110-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/4552-109-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/3956-114-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/1812-115-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/4560-120-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/1952-119-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/4668-117-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/4208-126-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/4364-129-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/1764-128-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/3164-125-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/3136-138-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/684-137-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/2152-136-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/1268-143-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/2056-146-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/4708-145-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/2016-142-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/2584-151-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/5000-150-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/1656-148-0x0000000000400000-0x0000000000458000-memory.dmp	upx

Enumerates connected drives 3 TTPs 64 IoCs

Attempts to read the root path of hard drives other than the default C: drive.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
File opened (read-only)	\??\i:	explorer.exe
File opened (read-only)	\??\y:	explorer.exe
File opened (read-only)	\??\e:	explorer.exe
File opened (read-only)	\??\r:	explorer.exe
File opened (read-only)	\??\l:	explorer.exe
File opened (read-only)	\??\i:	explorer.exe
File opened (read-only)	\??\t:	smss.exe
File opened (read-only)	\??\j:	explorer.exe
File opened (read-only)	\??\w:	explorer.exe
File opened (read-only)	\??\l:	smss.exe
File opened (read-only)	\??\e:	explorer.exe
File opened (read-only)	\??\j:	explorer.exe
File opened (read-only)	\??\y:	explorer.exe
File opened (read-only)	\??\w:	smss.exe
File opened (read-only)	\??\x:	explorer.exe
File opened (read-only)	\??\w:	explorer.exe
File opened (read-only)	\??\n:	explorer.exe
File opened (read-only)	\??\g:	explorer.exe
File opened (read-only)	\??\t:	explorer.exe
File opened (read-only)	\??\q:	explorer.exe
File opened (read-only)	\??\q:	explorer.exe
File opened (read-only)	\??\p:	explorer.exe
File opened (read-only)	\??\w:	explorer.exe
File opened (read-only)	\??\x:	explorer.exe
File opened (read-only)	\??\n:	smss.exe
File opened (read-only)	\??\q:	explorer.exe
File opened (read-only)	\??\p:	explorer.exe
File opened (read-only)	\??\r:	smss.exe
File opened (read-only)	\??\h:	explorer.exe
File opened (read-only)	\??\y:	explorer.exe
File opened (read-only)	\??\m:	explorer.exe
File opened (read-only)	\??\e:	explorer.exe
File opened (read-only)	\??\n:	explorer.exe
File opened (read-only)	\??\u:	explorer.exe
File opened (read-only)	\??\z:	explorer.exe
File opened (read-only)	\??\v:	explorer.exe
File opened (read-only)	\??\m:	explorer.exe
File opened (read-only)	\??\p:	explorer.exe
File opened (read-only)	\??\h:	explorer.exe
File opened (read-only)	\??\g:	explorer.exe
File opened (read-only)	\??\n:	explorer.exe
File opened (read-only)	\??\m:	explorer.exe
File opened (read-only)	\??\p:	explorer.exe
File opened (read-only)	\??\u:	explorer.exe
File opened (read-only)	\??\p:	smss.exe
File opened (read-only)	\??\x:	explorer.exe
File opened (read-only)	\??\l:	explorer.exe
File opened (read-only)	\??\l:	explorer.exe
File opened (read-only)	\??\l:	explorer.exe
File opened (read-only)	\??\u:	smss.exe
File opened (read-only)	\??\q:	explorer.exe
File opened (read-only)	\??\u:	explorer.exe
File opened (read-only)	\??\w:	smss.exe
File opened (read-only)	\??\j:	explorer.exe
File opened (read-only)	\??\l:	smss.exe
File opened (read-only)	\??\q:	smss.exe
File opened (read-only)	\??\s:	explorer.exe
File opened (read-only)	\??\u:	explorer.exe
File opened (read-only)	\??\g:	explorer.exe
File opened (read-only)	\??\q:	explorer.exe
File opened (read-only)	\??\t:	explorer.exe
File opened (read-only)	\??\e:	explorer.exe
File opened (read-only)	\??\q:	explorer.exe
File opened (read-only)	\??\e:	explorer.exe

Drops file in System32 directory 64 IoCs

description	ioc	Process
File opened for modification	C:\Windows\SysWOW64\scsjfmvmqv\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	smss.exe
File opened for modification	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\scsjfmvmqv\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	smss.exe
File opened for modification	C:\Windows\SysWOW64\scsjfmvmqv\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\scsjfmvmqv\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\scsjfmvmqv\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\scsjfmvmqv\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	smss.exe
File opened for modification	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\scsjfmvmqv\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\scsjfmvmqv\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\scsjfmvmqv\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\scsjfmvmqv\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	smss.exe
File opened for modification	C:\Windows\SysWOW64\scsjfmvmqv\smss.exe	smss.exe
File opened for modification	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\scsjfmvmqv\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	smss.exe
File created	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\scsjfmvmqv\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	smss.exe
File opened for modification	C:\Windows\SysWOW64\scsjfmvmqv\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	smss.exe
File opened for modification	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	smss.exe
File created	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\scsjfmvmqv\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\scsjfmvmqv\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	smss.exe
File opened for modification	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	smss.exe
File created	C:\Windows\SysWOW64\scsjfmvmqv\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	smss.exe
File created	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\scsjfmvmqv\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\scsjfmvmqv\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\xarxxhvurc\explorer.exe	explorer.exe

Suspicious behavior: EnumeratesProcesses 64 IoCs

pid	Process
4380	2ac542b9da647699c8fc8c20405500d1.exe
4380	2ac542b9da647699c8fc8c20405500d1.exe
3532	explorer.exe
3532	explorer.exe
2156	explorer.exe
2156	explorer.exe
220	explorer.exe
220	explorer.exe
4668	explorer.exe
4668	explorer.exe
1656	explorer.exe
1656	explorer.exe
2168	explorer.exe
2168	explorer.exe
3272	explorer.exe
3272	explorer.exe
544	explorer.exe
544	explorer.exe
3800	smss.exe
3800	smss.exe
2352	explorer.exe
2352	explorer.exe
4444	smss.exe
4444	smss.exe
5084	explorer.exe
5084	explorer.exe
680	smss.exe
680	smss.exe
1304	explorer.exe
1304	explorer.exe
3460	explorer.exe
3460	explorer.exe
372	explorer.exe
372	explorer.exe
4552	smss.exe
4552	smss.exe
1184	explorer.exe
1184	explorer.exe
3956	explorer.exe
3956	explorer.exe
1952	explorer.exe
1952	explorer.exe
3164	explorer.exe
3164	explorer.exe
1764	smss.exe
1764	smss.exe
2152	explorer.exe
2152	explorer.exe
2016	explorer.exe
2016	explorer.exe
4708	explorer.exe
4708	explorer.exe
5000	explorer.exe
5000	explorer.exe
2672	explorer.exe
2672	explorer.exe
4392	smss.exe
4392	smss.exe
1812	explorer.exe
1812	explorer.exe
4560	explorer.exe
4560	explorer.exe
4208	explorer.exe
4208	explorer.exe

Suspicious use of AdjustPrivilegeToken 64 IoCs

description	pid	Process
Token: SeLoadDriverPrivilege	4380	2ac542b9da647699c8fc8c20405500d1.exe
Token: SeLoadDriverPrivilege	3532	explorer.exe
Token: SeLoadDriverPrivilege	2156	explorer.exe
Token: SeLoadDriverPrivilege	220	explorer.exe
Token: SeLoadDriverPrivilege	4668	explorer.exe
Token: SeLoadDriverPrivilege	1656	explorer.exe
Token: SeLoadDriverPrivilege	2168	explorer.exe
Token: SeLoadDriverPrivilege	3272	explorer.exe
Token: SeLoadDriverPrivilege	544	explorer.exe
Token: SeLoadDriverPrivilege	3800	smss.exe
Token: SeLoadDriverPrivilege	2352	explorer.exe
Token: SeLoadDriverPrivilege	4444	smss.exe
Token: SeLoadDriverPrivilege	5084	explorer.exe
Token: SeLoadDriverPrivilege	680	smss.exe
Token: SeLoadDriverPrivilege	1304	explorer.exe
Token: SeLoadDriverPrivilege	3460	explorer.exe
Token: SeLoadDriverPrivilege	372	explorer.exe
Token: SeLoadDriverPrivilege	4552	smss.exe
Token: SeLoadDriverPrivilege	1184	explorer.exe
Token: SeLoadDriverPrivilege	3956	explorer.exe
Token: SeLoadDriverPrivilege	1952	explorer.exe
Token: SeLoadDriverPrivilege	3164	explorer.exe
Token: SeLoadDriverPrivilege	1764	smss.exe
Token: SeLoadDriverPrivilege	2152	explorer.exe
Token: SeLoadDriverPrivilege	2016	explorer.exe
Token: SeLoadDriverPrivilege	4708	explorer.exe
Token: SeLoadDriverPrivilege	5000	explorer.exe
Token: SeLoadDriverPrivilege	2672	explorer.exe
Token: SeLoadDriverPrivilege	4392	smss.exe
Token: SeLoadDriverPrivilege	1812	explorer.exe
Token: SeLoadDriverPrivilege	4560	explorer.exe
Token: SeLoadDriverPrivilege	4208	explorer.exe
Token: SeLoadDriverPrivilege	4364	explorer.exe
Token: SeLoadDriverPrivilege	684	smss.exe
Token: SeLoadDriverPrivilege	3136	explorer.exe
Token: SeLoadDriverPrivilege	1268	explorer.exe
Token: SeLoadDriverPrivilege	2056	explorer.exe
Token: SeLoadDriverPrivilege	2584	explorer.exe
Token: SeLoadDriverPrivilege	4072	explorer.exe
Token: SeLoadDriverPrivilege	64	smss.exe
Token: SeLoadDriverPrivilege	3624	explorer.exe
Token: SeLoadDriverPrivilege	3300	explorer.exe
Token: SeLoadDriverPrivilege	4540	explorer.exe
Token: SeLoadDriverPrivilege	336	explorer.exe
Token: SeLoadDriverPrivilege	3252	explorer.exe
Token: SeLoadDriverPrivilege	4896	explorer.exe
Token: SeLoadDriverPrivilege	3912	explorer.exe
Token: SeLoadDriverPrivilege	3248	explorer.exe
Token: SeLoadDriverPrivilege	3548	explorer.exe
Token: SeLoadDriverPrivilege	3736	explorer.exe
Token: SeLoadDriverPrivilege	2860	smss.exe
Token: SeLoadDriverPrivilege	4372	explorer.exe
Token: SeLoadDriverPrivilege	5056	explorer.exe
Token: SeLoadDriverPrivilege	5116	explorer.exe
Token: SeLoadDriverPrivilege	2748	smss.exe
Token: SeLoadDriverPrivilege	1516	explorer.exe
Token: SeLoadDriverPrivilege	3288	explorer.exe
Token: SeLoadDriverPrivilege	1912	explorer.exe
Token: SeLoadDriverPrivilege	3684	explorer.exe
Token: SeLoadDriverPrivilege	1588	explorer.exe
Token: SeLoadDriverPrivilege	3472	explorer.exe
Token: SeLoadDriverPrivilege	4492	explorer.exe
Token: SeLoadDriverPrivilege	1536	smss.exe
Token: SeLoadDriverPrivilege	2300	explorer.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 4380 wrote to memory of 3532	4380	2ac542b9da647699c8fc8c20405500d1.exe	92
PID 4380 wrote to memory of 3532	4380	2ac542b9da647699c8fc8c20405500d1.exe	92
PID 4380 wrote to memory of 3532	4380	2ac542b9da647699c8fc8c20405500d1.exe	92
PID 3532 wrote to memory of 2156	3532	explorer.exe	93
PID 3532 wrote to memory of 2156	3532	explorer.exe	93
PID 3532 wrote to memory of 2156	3532	explorer.exe	93
PID 2156 wrote to memory of 220	2156	explorer.exe	96
PID 2156 wrote to memory of 220	2156	explorer.exe	96
PID 2156 wrote to memory of 220	2156	explorer.exe	96
PID 220 wrote to memory of 4668	220	explorer.exe	97
PID 220 wrote to memory of 4668	220	explorer.exe	97
PID 220 wrote to memory of 4668	220	explorer.exe	97
PID 4668 wrote to memory of 1656	4668	explorer.exe	98
PID 4668 wrote to memory of 1656	4668	explorer.exe	98
PID 4668 wrote to memory of 1656	4668	explorer.exe	98
PID 1656 wrote to memory of 2168	1656	explorer.exe	99
PID 1656 wrote to memory of 2168	1656	explorer.exe	99
PID 1656 wrote to memory of 2168	1656	explorer.exe	99
PID 2168 wrote to memory of 3272	2168	explorer.exe	100
PID 2168 wrote to memory of 3272	2168	explorer.exe	100
PID 2168 wrote to memory of 3272	2168	explorer.exe	100
PID 3272 wrote to memory of 544	3272	explorer.exe	105
PID 3272 wrote to memory of 544	3272	explorer.exe	105
PID 3272 wrote to memory of 544	3272	explorer.exe	105
PID 4380 wrote to memory of 3800	4380	2ac542b9da647699c8fc8c20405500d1.exe	107
PID 4380 wrote to memory of 3800	4380	2ac542b9da647699c8fc8c20405500d1.exe	107
PID 4380 wrote to memory of 3800	4380	2ac542b9da647699c8fc8c20405500d1.exe	107
PID 544 wrote to memory of 2352	544	explorer.exe	109
PID 544 wrote to memory of 2352	544	explorer.exe	109
PID 544 wrote to memory of 2352	544	explorer.exe	109
PID 3532 wrote to memory of 4444	3532	explorer.exe	111
PID 3532 wrote to memory of 4444	3532	explorer.exe	111
PID 3532 wrote to memory of 4444	3532	explorer.exe	111
PID 3800 wrote to memory of 5084	3800	smss.exe	112
PID 3800 wrote to memory of 5084	3800	smss.exe	112
PID 3800 wrote to memory of 5084	3800	smss.exe	112
PID 2156 wrote to memory of 680	2156	explorer.exe	114
PID 2156 wrote to memory of 680	2156	explorer.exe	114
PID 2156 wrote to memory of 680	2156	explorer.exe	114
PID 2352 wrote to memory of 1304	2352	explorer.exe	115
PID 2352 wrote to memory of 1304	2352	explorer.exe	115
PID 2352 wrote to memory of 1304	2352	explorer.exe	115
PID 4444 wrote to memory of 3460	4444	smss.exe	116
PID 4444 wrote to memory of 3460	4444	smss.exe	116
PID 4444 wrote to memory of 3460	4444	smss.exe	116
PID 5084 wrote to memory of 372	5084	explorer.exe	117
PID 5084 wrote to memory of 372	5084	explorer.exe	117
PID 5084 wrote to memory of 372	5084	explorer.exe	117
PID 220 wrote to memory of 4552	220	explorer.exe	120
PID 220 wrote to memory of 4552	220	explorer.exe	120
PID 220 wrote to memory of 4552	220	explorer.exe	120
PID 680 wrote to memory of 1184	680	smss.exe	121
PID 680 wrote to memory of 1184	680	smss.exe	121
PID 680 wrote to memory of 1184	680	smss.exe	121
PID 1304 wrote to memory of 3956	1304	explorer.exe	122
PID 1304 wrote to memory of 3956	1304	explorer.exe	122
PID 1304 wrote to memory of 3956	1304	explorer.exe	122
PID 3460 wrote to memory of 1952	3460	explorer.exe	123
PID 3460 wrote to memory of 1952	3460	explorer.exe	123
PID 3460 wrote to memory of 1952	3460	explorer.exe	123
PID 372 wrote to memory of 3164	372	explorer.exe	124
PID 372 wrote to memory of 3164	372	explorer.exe	124
PID 372 wrote to memory of 3164	372	explorer.exe	124
PID 4668 wrote to memory of 1764	4668	explorer.exe	125

C:\Users\Admin\AppData\Local\Temp\2ac542b9da647699c8fc8c20405500d1.exe
"C:\Users\Admin\AppData\Local\Temp\2ac542b9da647699c8fc8c20405500d1.exe"
1⤵
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:4380
- C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
  C:\Windows\system32\xarxxhvurc\explorer.exe
  2⤵
  - Executes dropped EXE
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious use of AdjustPrivilegeToken
  - Suspicious use of WriteProcessMemory
  PID:3532
- - C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
    C:\Windows\system32\xarxxhvurc\explorer.exe
    3⤵
    - Executes dropped EXE
    - Suspicious behavior: EnumeratesProcesses
    - Suspicious use of AdjustPrivilegeToken
    - Suspicious use of WriteProcessMemory
    PID:2156
  - - C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
      C:\Windows\system32\xarxxhvurc\explorer.exe
      4⤵
      Executes dropped EXE
      Drops file in System32 directory
      Suspicious behavior: EnumeratesProcesses
      Suspicious use of AdjustPrivilegeToken
      Suspicious use of WriteProcessMemory
      PID:220
    - - C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        5⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:4668
      - C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        6⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:1656
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        7⤵
        Executes dropped EXE
        Enumerates connected drives
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:2168
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        8⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:3272
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:544
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:2352
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:1304
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        Executes dropped EXE
        Enumerates connected drives
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:3956
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:4708
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:4364
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        Executes dropped EXE
        Enumerates connected drives
        Suspicious use of AdjustPrivilegeToken
        
        PID:3300
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of AdjustPrivilegeToken
        
        PID:4372
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:2300
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        18⤵
        
        PID:5156
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        19⤵
        
        PID:5756
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        20⤵
        
        PID:5596
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        21⤵
        Drops file in System32 directory
        
        PID:6148
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        22⤵
        
        PID:1480
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        23⤵
        Drops file in System32 directory
        
        PID:7916
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        24⤵
        
        PID:8708
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        25⤵
        
        PID:10092
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        26⤵
        
        PID:11548
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        27⤵
        
        PID:13524
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        28⤵
        
        PID:16120
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        29⤵
        
        PID:19292
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        23⤵
        
        PID:7628
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        20⤵
        
        PID:10592
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        19⤵
        
        PID:9720
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        18⤵
        
        PID:8476
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        19⤵
        
        PID:9816
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        17⤵
        
        PID:7692
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        18⤵
        
        PID:8600
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        19⤵
        
        PID:5540
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        20⤵
        
        PID:11680
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        21⤵
        
        PID:13580
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        22⤵
        
        PID:16148
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        23⤵
        
        PID:19300
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        16⤵
        
        PID:7140
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        Drops file in System32 directory
        
        PID:7764
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        18⤵
        Enumerates connected drives
        
        PID:8608
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        19⤵
        
        PID:10024
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        20⤵
        
        PID:11560
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        21⤵
        
        PID:13512
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        22⤵
        
        PID:16132
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        23⤵
        
        PID:19272
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        17⤵
        
        PID:17952
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        15⤵
        
        PID:5436
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:7100
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:7720
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        18⤵
        
        PID:8560
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        19⤵
        
        PID:9924
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        20⤵
        
        PID:11572
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        21⤵
        
        PID:13464
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        17⤵
        
        PID:7428
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        14⤵
        
        PID:5468
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        Enumerates connected drives
        Drops file in System32 directory
        
        PID:4928
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        Drops file in System32 directory
        
        PID:7164
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:7880
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        18⤵
        
        PID:8724
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        19⤵
        
        PID:10116
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        20⤵
        
        PID:11584
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        21⤵
        
        PID:13456
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        17⤵
        
        PID:7748
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        15⤵
        
        PID:6136
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        13⤵
        Drops file in System32 directory
        
        PID:5740
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:5576
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        Enumerates connected drives
        
        PID:2168
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        Drops file in System32 directory
        
        PID:6300
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:7900
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        18⤵
        
        PID:8716
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        19⤵
        
        PID:10084
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        20⤵
        
        PID:11648
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        21⤵
        
        PID:13560
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        22⤵
        
        PID:16200
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        23⤵
        
        PID:19308
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        17⤵
        
        PID:7708
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        16⤵
        
        PID:3524
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:18448
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        12⤵
        
        PID:1232
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:5716
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:4624
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:4268
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:6348
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:7872
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        18⤵
        
        PID:8744
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        19⤵
        
        PID:10124
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        20⤵
        
        PID:11696
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        21⤵
        
        PID:13588
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        17⤵
        
        PID:7808
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        13⤵
        
        PID:9660
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:11460
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        11⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:1536
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:1036
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:5692
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:820
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        Drops file in System32 directory
        
        PID:3272
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        Enumerates connected drives
        
        PID:6208
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:7832
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        18⤵
        
        PID:8676
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        19⤵
        
        PID:10060
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        20⤵
        
        PID:11472
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        17⤵
        
        PID:4980
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        13⤵
        
        PID:8508
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        12⤵
        
        PID:8416
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:1304
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:5340
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        10⤵
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of AdjustPrivilegeToken
        
        PID:2860
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:4492
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        Enumerates connected drives
        
        PID:1124
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:5664
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:5560
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        Drops file in System32 directory
        
        PID:5088
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:6336
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:7908
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        18⤵
        
        PID:8732
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        19⤵
        
        PID:4552
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        20⤵
        
        PID:11504
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        21⤵
        
        PID:13392
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        17⤵
        
        PID:7652
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        15⤵
        
        PID:12976
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        13⤵
        
        PID:9460
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        12⤵
        
        PID:8364
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:8844
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        11⤵
        
        PID:7636
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:8460
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:9852
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:11424
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:12556
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        9⤵
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of AdjustPrivilegeToken
        
        PID:64
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:3736
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:1588
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:2144
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        Enumerates connected drives
        
        PID:5656
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        Enumerates connected drives
        Drops file in System32 directory
        
        PID:5476
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:4576
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:7156
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:7840
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        18⤵
        
        PID:8700
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        19⤵
        
        PID:10072
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        20⤵
        
        PID:11492
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        17⤵
        
        PID:7772
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        16⤵
        
        PID:7132
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:17704
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        13⤵
        
        PID:9456
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        12⤵
        
        PID:8356
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:9372
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        11⤵
        
        PID:7608
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:8396
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:8848
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        10⤵
        
        PID:7016
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:7672
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:8544
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:9888
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        11⤵
        
        PID:17676
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        8⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:684
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:4540
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:5056
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        Drops file in System32 directory
        
        PID:1512
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        Drops file in System32 directory
        
        PID:5292
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:5892
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:5852
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:6372
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        Drops file in System32 directory
        
        PID:2744
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:3104
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        18⤵
        
        PID:8252
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        19⤵
        
        PID:10336
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        20⤵
        
        PID:11416
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        21⤵
        
        PID:14276
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        22⤵
        
        PID:16784
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        23⤵
        
        PID:20144
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        17⤵
        
        PID:19408
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        14⤵
        
        PID:12036
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:14008
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:16412
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:19576
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        13⤵
        
        PID:5676
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:12064
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:14016
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        12⤵
        
        PID:9028
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:5208
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:12180
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:14096
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:16600
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:19920
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        11⤵
        Enumerates connected drives
        
        PID:8108
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:9060
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:4692
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:12136
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:14112
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        10⤵
        Drops file in System32 directory
        
        PID:6816
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:8160
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:9212
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:10356
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:6092
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:14252
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:16620
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:19936
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        11⤵
        
        PID:19340
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        9⤵
        
        PID:6252
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:6756
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:8144
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:9116
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:10292
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:11528
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:14236
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:16636
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:19944
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        11⤵
        
        PID:19324
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        10⤵
        
        PID:16356
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:7184
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        7⤵
        Executes dropped EXE
        Enumerates connected drives
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:4392
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        8⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:2056
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        Executes dropped EXE
        Enumerates connected drives
        Suspicious use of AdjustPrivilegeToken
        
        PID:4896
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:3288
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:2388
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:5408
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        Enumerates connected drives
        
        PID:6080
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        Enumerates connected drives
        
        PID:1368
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:6624
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:3800
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:7408
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        18⤵
        
        PID:9220
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        19⤵
        
        PID:10908
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        20⤵
        
        PID:12388
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        21⤵
        
        PID:14592
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        22⤵
        
        PID:6448
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        23⤵
        
        PID:20840
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        17⤵
        
        PID:20448
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        16⤵
        
        PID:17104
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        15⤵
        
        PID:6576
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:17148
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        14⤵
        
        PID:11580
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:14376
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:16824
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:21064
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        13⤵
        
        PID:10576
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:12224
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:6580
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:17320
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:20696
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        12⤵
        
        PID:8980
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:10672
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:3476
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:14408
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:17400
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:20660
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        11⤵
        
        PID:1628
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:1500
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:10752
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:2248
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:14368
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:6640
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:20900
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        10⤵
        
        PID:6688
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        Enumerates connected drives
        
        PID:7860
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:9044
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:10820
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:12356
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:14500
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:16976
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:21020
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        11⤵
        
        PID:20252
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        9⤵
        
        PID:6516
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:6880
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:8052
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:8280
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:10856
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:12372
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:14616
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:17452
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:20996
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        11⤵
        
        PID:20332
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        10⤵
        
        PID:16988
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        8⤵
        
        PID:5284
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        
        PID:6532
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:6796
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:8068
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:5016
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:10916
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:12520
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:14564
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:17412
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:21012
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        11⤵
        
        PID:20360
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        10⤵
        
        PID:16980
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        9⤵
        
        PID:13820
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:17016
      - C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        6⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:1764
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        7⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:1812
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        8⤵
        Executes dropped EXE
        Enumerates connected drives
        Suspicious use of AdjustPrivilegeToken
        
        PID:2584
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        Executes dropped EXE
        Enumerates connected drives
        Suspicious use of AdjustPrivilegeToken
        
        PID:3912
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:1912
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:4276
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        Enumerates connected drives
        
        PID:5488
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:2116
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:5812
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        Drops file in System32 directory
        
        PID:6768
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        Drops file in System32 directory
        
        PID:7272
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:1532
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        18⤵
        
        PID:9744
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        19⤵
        
        PID:6132
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        20⤵
        
        PID:12760
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        21⤵
        
        PID:14988
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        22⤵
        
        PID:17864
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        23⤵
        
        PID:7804
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        17⤵
        
        PID:21220
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        16⤵
        
        PID:17656
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:21340
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        15⤵
        
        PID:14796
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:17680
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:21312
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        14⤵
        
        PID:12636
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:14804
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:17620
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:21348
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        13⤵
        
        PID:11188
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:12720
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:14936
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:17788
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:8140
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        12⤵
        
        PID:9612
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:11168
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:12688
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:14896
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:17732
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:2968
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        11⤵
        
        PID:7552
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:9640
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:11204
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:12704
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:14920
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:17780
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:20392
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        10⤵
        
        PID:7240
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        Enumerates connected drives
        
        PID:4332
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:9736
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:10424
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:12736
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:14952
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:17820
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:1796
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        11⤵
        
        PID:21180
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        9⤵
        Enumerates connected drives
        
        PID:6728
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:7212
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:3576
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:9692
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:10280
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:12752
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:15000
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:17848
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:21388
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        11⤵
        
        PID:21144
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        10⤵
        
        PID:17580
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:21196
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        8⤵
        
        PID:5784
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        Enumerates connected drives
        
        PID:6748
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:7232
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        Enumerates connected drives
        
        PID:4712
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:9752
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:10392
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:12744
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:14960
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:17812
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:6560
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        11⤵
        
        PID:21172
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        10⤵
        
        PID:17596
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:21188
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        9⤵
        
        PID:14788
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:17740
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:21424
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        7⤵
        
        PID:4864
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        8⤵
        
        PID:3928
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        Drops file in System32 directory
        
        PID:6808
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:7308
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        Enumerates connected drives
        
        PID:2352
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:9820
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:10624
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:12800
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:14984
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:17856
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:7200
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        11⤵
        
        PID:21272
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        10⤵
        
        PID:17708
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:21368
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        9⤵
        
        PID:14852
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:17748
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:21416
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        8⤵
        
        PID:12628
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        
        PID:14812
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:17628
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:21264
    - - C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        5⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:4552
      - C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        6⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:2152
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        7⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:4560
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        8⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:4072
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:3248
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of AdjustPrivilegeToken
        
        PID:3684
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:772
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:5552
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:2160
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:6140
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        Drops file in System32 directory
        
        PID:6916
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:7456
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:8212
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        18⤵
        
        PID:9292
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        19⤵
        
        PID:10432
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        20⤵
        
        PID:13100
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        21⤵
        
        PID:14456
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        22⤵
        
        PID:18332
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        23⤵
        
        PID:22008
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        17⤵
        
        PID:21548
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        16⤵
        
        PID:18076
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:21660
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        15⤵
        
        PID:15168
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:18088
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:21748
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        14⤵
        
        PID:12900
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:15216
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:18140
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:21784
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        13⤵
        
        PID:10880
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:12944
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:15264
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:18216
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:21816
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        12⤵
        
        PID:9976
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:11024
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:12984
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:15272
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:18228
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:21792
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        11⤵
        
        PID:5076
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:9992
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:11032
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:12936
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:15248
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:18212
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:21800
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        10⤵
        
        PID:7356
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:7496
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:10132
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:11140
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:13036
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:15296
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:18292
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:22040
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        11⤵
        
        PID:4812
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        9⤵
        Enumerates connected drives
        
        PID:6852
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        Enumerates connected drives
        
        PID:7364
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:4700
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:10096
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:11108
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:13040
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:15304
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:18268
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:21832
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        11⤵
        
        PID:8200
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        10⤵
        
        PID:17944
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:21576
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        8⤵
        
        PID:5940
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        
        PID:6892
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        Drops file in System32 directory
        
        PID:7416
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        Drops file in System32 directory
        
        PID:7632
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:10140
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:2028
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:13052
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:15312
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:18260
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:21824
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        11⤵
        
        PID:21212
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        10⤵
        
        PID:18036
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:21732
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        9⤵
        
        PID:15116
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:18000
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:21684
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        7⤵
        
        PID:2252
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        8⤵
        Enumerates connected drives
        
        PID:5136
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        
        PID:6944
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        Drops file in System32 directory
        
        PID:7476
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        Enumerates connected drives
        
        PID:4116
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:9304
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:10372
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:13108
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:13816
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:18324
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:22056
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        11⤵
        
        PID:21556
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        10⤵
        
        PID:18132
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:21776
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        9⤵
        
        PID:15188
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:18116
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:21768
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        8⤵
        
        PID:12896
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        
        PID:15220
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:18124
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:21808
      - C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        6⤵
        Drops file in System32 directory
        
        PID:5532
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        7⤵
        
        PID:5188
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        8⤵
        
        PID:5880
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        
        PID:6872
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        Enumerates connected drives
        
        PID:7392
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:4600
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:10164
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:1920
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:13060
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:15320
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:18300
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:22000
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        11⤵
        
        PID:7204
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        10⤵
        
        PID:17984
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:21600
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        9⤵
        
        PID:15076
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:17968
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:3684
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        8⤵
        
        PID:12872
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        
        PID:15124
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:18024
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:21668
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        7⤵
        
        PID:10788
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        8⤵
        
        PID:12856
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        
        PID:15084
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:17976
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:21608
  - - C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
      C:\Windows\system32\scsjfmvmqv\smss.exe
      4⤵
      Executes dropped EXE
      Suspicious behavior: EnumeratesProcesses
      Suspicious use of AdjustPrivilegeToken
      Suspicious use of WriteProcessMemory
      PID:680
    - - C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        5⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:1184
      - C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        6⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:2016
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        7⤵
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:4208
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        8⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:3624
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:3548
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:3472
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:452
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:5648
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        Drops file in System32 directory
        
        PID:3096
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        Drops file in System32 directory
        
        PID:4676
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        Enumerates connected drives
        
        PID:7108
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:7792
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:8620
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        18⤵
        
        PID:10004
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        19⤵
        
        PID:11520
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        16⤵
        
        PID:3248
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        12⤵
        
        PID:624
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        11⤵
        
        PID:8348
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:9636
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        10⤵
        
        PID:7600
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:8404
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:8760
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        9⤵
        Enumerates connected drives
        
        PID:7024
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:7664
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        Enumerates connected drives
        
        PID:8492
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:9840
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:11336
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        10⤵
        
        PID:3912
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        
        PID:7492
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        8⤵
        Enumerates connected drives
        
        PID:3388
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        Drops file in System32 directory
        
        PID:7032
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:7656
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:8552
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:9880
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:11400
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        10⤵
        
        PID:6720
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        7⤵
        
        PID:3356
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        8⤵
        Enumerates connected drives
        
        PID:1740
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        Drops file in System32 directory
        
        PID:7084
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:7780
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:8628
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:9916
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:11388
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        10⤵
        
        PID:18152
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        8⤵
        
        PID:13268
      - C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        6⤵
        
        PID:5632
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        7⤵
        
        PID:5448
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        8⤵
        Drops file in System32 directory
        
        PID:5124
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        
        PID:7076
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:7728
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:8532
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:9896
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        10⤵
        
        PID:7468
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        9⤵
        
        PID:6912
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:7380
    - - C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        5⤵
        Drops file in System32 directory
        
        PID:2276
      - C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        6⤵
        
        PID:5640
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        7⤵
        
        PID:4684
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        8⤵
        Drops file in System32 directory
        
        PID:376
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        
        PID:6196
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:7812
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:8668
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:10172
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:11672
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:13568
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:16140
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:19264
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        10⤵
        
        PID:18204
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        7⤵
        
        PID:11220
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        8⤵
        
        PID:13308
      - C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        6⤵
        
        PID:9452
- - C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
    C:\Windows\system32\scsjfmvmqv\smss.exe
    3⤵
    - Executes dropped EXE
    - Enumerates connected drives
    - Drops file in System32 directory
    - Suspicious behavior: EnumeratesProcesses
    - Suspicious use of AdjustPrivilegeToken
    - Suspicious use of WriteProcessMemory
    PID:4444
  - - C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
      C:\Windows\system32\xarxxhvurc\explorer.exe
      4⤵
      Executes dropped EXE
      Drops file in System32 directory
      Suspicious behavior: EnumeratesProcesses
      Suspicious use of AdjustPrivilegeToken
      Suspicious use of WriteProcessMemory
      PID:3460
    - - C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        5⤵
        Executes dropped EXE
        Enumerates connected drives
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:1952
      - C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        6⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:5000
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        7⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:3136
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        8⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:336
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        Executes dropped EXE
        Enumerates connected drives
        Suspicious use of AdjustPrivilegeToken
        
        PID:5116
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:2420
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        Drops file in System32 directory
        
        PID:5300
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:5884
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:6060
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:6380
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:7060
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:7388
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:8264
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        18⤵
        
        PID:10320
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        19⤵
        
        PID:11692
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        20⤵
        
        PID:14296
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        21⤵
        
        PID:16764
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        22⤵
        
        PID:20008
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        16⤵
        
        PID:7332
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        15⤵
        
        PID:16244
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:19484
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        13⤵
        
        PID:12028
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:13976
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        12⤵
        
        PID:8644
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:11976
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        11⤵
        
        PID:9024
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:5948
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:12188
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:14136
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:16648
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:19912
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        10⤵
        Enumerates connected drives
        
        PID:8112
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:9052
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:9732
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:12172
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:14104
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        9⤵
        
        PID:6800
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:8152
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:9164
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:8516
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:12252
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:14200
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:16628
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:19904
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        10⤵
        
        PID:19356
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        8⤵
        
        PID:6244
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        
        PID:6784
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        Enumerates connected drives
        
        PID:8176
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:9124
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:10248
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:11468
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:14264
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:16812
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:20036
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        10⤵
        
        PID:19316
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        7⤵
        Enumerates connected drives
        
        PID:5836
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        8⤵
        
        PID:6236
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        Enumerates connected drives
        Drops file in System32 directory
        
        PID:6460
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:8168
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:9108
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:5944
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:12200
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:14088
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        10⤵
        
        PID:19348
      - C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        6⤵
        
        PID:5856
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        7⤵
        
        PID:5956
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        8⤵
        
        PID:6312
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        Enumerates connected drives
        
        PID:6968
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:7172
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:9184
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:10272
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:12268
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:14216
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:16804
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:20084
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        10⤵
        
        PID:19400
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        7⤵
        
        PID:11924
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        8⤵
        
        PID:13864
    - - C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        5⤵
        
        PID:5232
      - C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        6⤵
        Drops file in System32 directory
        
        PID:5908
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        7⤵
        
        PID:5960
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        8⤵
        Drops file in System32 directory
        
        PID:6304
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        Drops file in System32 directory
        
        PID:6976
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:7188
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:9156
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:10284
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:12276
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:14192
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:16580
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:19952
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        10⤵
        
        PID:19392
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        7⤵
        
        PID:11932
      - C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        6⤵
        
        PID:9964
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        7⤵
        
        PID:11988
  - - C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
      C:\Windows\system32\scsjfmvmqv\smss.exe
      4⤵
      Executes dropped EXE
      PID:2580
    - - C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        5⤵
        
        PID:5212
      - C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        6⤵
        Drops file in System32 directory
        
        PID:5900
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        7⤵
        
        PID:6036
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        8⤵
        
        PID:6364
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        Drops file in System32 directory
        
        PID:7092
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        Enumerates connected drives
        Drops file in System32 directory
        
        PID:1508
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:8220
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:10344
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:6088
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:14320
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:16776
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:20016
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        10⤵
        
        PID:19432
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        7⤵
        
        PID:12044
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        8⤵
        
        PID:13984
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        
        PID:16452
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:19748
      - C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        6⤵
        
        PID:5952
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        7⤵
        
        PID:11996
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        8⤵
        
        PID:13932
    - - C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        5⤵
        
        PID:8996
      - C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        6⤵
        
        PID:4428
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        7⤵
        
        PID:12096
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        8⤵
        
        PID:14048
- C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
  C:\Windows\system32\scsjfmvmqv\smss.exe
  2⤵
  - Executes dropped EXE
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious use of AdjustPrivilegeToken
  - Suspicious use of WriteProcessMemory
  PID:3800
- - C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
    C:\Windows\system32\xarxxhvurc\explorer.exe
    3⤵
    - Executes dropped EXE
    - Suspicious behavior: EnumeratesProcesses
    - Suspicious use of AdjustPrivilegeToken
    - Suspicious use of WriteProcessMemory
    PID:5084
  - - C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
      C:\Windows\system32\xarxxhvurc\explorer.exe
      4⤵
      Executes dropped EXE
      Drops file in System32 directory
      Suspicious behavior: EnumeratesProcesses
      Suspicious use of AdjustPrivilegeToken
      Suspicious use of WriteProcessMemory
      PID:372
    - - C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        5⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:3164
      - C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        6⤵
        Executes dropped EXE
        Enumerates connected drives
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:2672
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        7⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:1268
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        8⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:3252
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:1516
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:3588
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        Drops file in System32 directory
        
        PID:5360
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        Enumerates connected drives
        
        PID:6028
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:2612
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        Enumerates connected drives
        
        PID:6488
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        Enumerates connected drives
        
        PID:6704
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        Drops file in System32 directory
        
        PID:7848
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        17⤵
        
        PID:1840
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        18⤵
        
        PID:10804
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        19⤵
        
        PID:12320
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        20⤵
        
        PID:14524
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        21⤵
        
        PID:16952
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        22⤵
        
        PID:21056
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        16⤵
        
        PID:20228
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        14⤵
        
        PID:13784
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:16960
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        13⤵
        
        PID:11916
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:5816
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:17132
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        12⤵
        
        PID:10488
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:11968
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:14492
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:6452
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:20848
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        11⤵
        
        PID:8904
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:10504
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:11960
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:14228
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:17180
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:20524
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        10⤵
        Drops file in System32 directory
        
        PID:2668
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:8940
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:10656
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:2400
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:14000
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:17376
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:20740
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        9⤵
        Drops file in System32 directory
        
        PID:6716
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        Enumerates connected drives
        
        PID:8008
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:9016
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:10760
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:5684
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:14416
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:17384
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:20876
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        10⤵
        
        PID:20236
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        8⤵
        
        PID:6464
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        Enumerates connected drives
        
        PID:6612
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:7680
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:8972
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:10692
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:11836
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:14384
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:16616
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:20820
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        10⤵
        
        PID:20260
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        7⤵
        Drops file in System32 directory
        
        PID:2128
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        8⤵
        Enumerates connected drives
        
        PID:6568
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        
        PID:6480
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        Drops file in System32 directory
        
        PID:3208
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:5200
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:10836
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:12428
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:14608
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:7264
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:20908
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        10⤵
        
        PID:20352
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        9⤵
        
        PID:17008
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        8⤵
        
        PID:13844
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        
        PID:17140
      - C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        6⤵
        
        PID:6020
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        7⤵
        Enumerates connected drives
        
        PID:5260
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        8⤵
        Enumerates connected drives
        
        PID:6544
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        
        PID:6708
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        Enumerates connected drives
        
        PID:8076
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:5180
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:10872
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:12380
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:14600
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:4068
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:21004
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        10⤵
        
        PID:20372
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        9⤵
        
        PID:17032
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:1596
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        8⤵
        
        PID:5824
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        
        PID:17024
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:20508
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        7⤵
        
        PID:4220
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        8⤵
        
        PID:6680
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        
        PID:17328
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:20668
      - C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        6⤵
        
        PID:12620
    - - C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        5⤵
        
        PID:5388
      - C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        6⤵
        Drops file in System32 directory
        
        PID:6064
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        7⤵
        
        PID:5516
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        8⤵
        
        PID:6632
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        Enumerates connected drives
        Drops file in System32 directory
        
        PID:3228
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:7440
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:9228
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:10900
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:12396
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:14576
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:17428
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:21040
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        10⤵
        
        PID:20456
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        9⤵
        
        PID:17172
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:20556
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        8⤵
        
        PID:14308
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        
        PID:17188
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:20548
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        7⤵
        
        PID:11644
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        8⤵
        
        PID:14392
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        
        PID:3336
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:20856
      - C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        6⤵
        
        PID:10556
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        7⤵
        
        PID:12072
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        8⤵
        
        PID:6644
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        
        PID:17352
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:20688
  - - C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
      C:\Windows\system32\scsjfmvmqv\smss.exe
      4⤵
      Enumerates connected drives
      PID:4484
    - - C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        5⤵
        
        PID:5396
      - C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        6⤵
        
        PID:6072
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        7⤵
        Drops file in System32 directory
        
        PID:4720
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        8⤵
        
        PID:6664
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        Drops file in System32 directory
        
        PID:3196
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:7336
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:5168
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:10884
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:12496
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:14696
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:17460
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:20988
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        10⤵
        
        PID:20440
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        9⤵
        
        PID:17164
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        8⤵
        
        PID:6604
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        
        PID:17292
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:20576
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        7⤵
        
        PID:1352
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        8⤵
        
        PID:6656
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        
        PID:17280
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:20732
      - C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        6⤵
        
        PID:10568
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        7⤵
        
        PID:12092
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        8⤵
        
        PID:984
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        
        PID:17344
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:20748
    - - C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        5⤵
        
        PID:8948
      - C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        6⤵
        
        PID:10664
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        7⤵
        
        PID:11812
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        8⤵
        
        PID:14400
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        
        PID:3916
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:20916
- - C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
    C:\Windows\system32\scsjfmvmqv\smss.exe
    3⤵
    - Executes dropped EXE
    - Suspicious use of AdjustPrivilegeToken
    PID:2748
  - - C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
      C:\Windows\system32\xarxxhvurc\explorer.exe
      4⤵
      PID:2708
    - - C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        5⤵
        Drops file in System32 directory
        
        PID:5348
      - C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        6⤵
        Drops file in System32 directory
        
        PID:6000
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        7⤵
        
        PID:1152
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        8⤵
        Enumerates connected drives
        
        PID:6484
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        Enumerates connected drives
        
        PID:6696
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        Enumerates connected drives
        
        PID:7924
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        11⤵
        
        PID:9148
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        12⤵
        
        PID:10892
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        13⤵
        
        PID:12480
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        14⤵
        
        PID:14584
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        15⤵
        
        PID:17420
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        16⤵
        
        PID:21048
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        10⤵
        
        PID:20244
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        8⤵
        
        PID:13776
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        
        PID:16968
        
        C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        7⤵
        
        PID:11896
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        8⤵
        
        PID:13752
      - C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        6⤵
        
        PID:10496
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        7⤵
        
        PID:10976
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        8⤵
        
        PID:6476
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        
        PID:17156
    - - C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
        
        C:\Windows\system32\scsjfmvmqv\smss.exe
        5⤵
        
        PID:5316
      - C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        6⤵
        
        PID:10512
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        7⤵
        
        PID:12168
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        8⤵
        
        PID:13640
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        
        PID:17336
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:20472
  - - C:\Windows\SysWOW64\scsjfmvmqv\smss.exe
      C:\Windows\system32\scsjfmvmqv\smss.exe
      4⤵
      PID:5096
    - - C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        5⤵
        
        PID:9048
      - C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        6⤵
        
        PID:10828
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        7⤵
        
        PID:12364
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        8⤵
        
        PID:14516
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        9⤵
        
        PID:2840
        
        C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
        
        C:\Windows\system32\xarxxhvurc\explorer.exe
        10⤵
        
        PID:21028

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:2736

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:4456

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:2920

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:6860
- C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
  C:\Windows\system32\xarxxhvurc\explorer.exe
  2⤵
  PID:7968

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:15464
- C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
  C:\Windows\system32\xarxxhvurc\explorer.exe
  2⤵
  PID:18548

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:15540
- C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
  C:\Windows\system32\xarxxhvurc\explorer.exe
  2⤵
  PID:18968

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:15616
- C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
  C:\Windows\system32\xarxxhvurc\explorer.exe
  2⤵
  PID:18760

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:15740
- C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
  C:\Windows\system32\xarxxhvurc\explorer.exe
  2⤵
  PID:18936

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:15852
- C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
  C:\Windows\system32\xarxxhvurc\explorer.exe
  2⤵
  PID:19116

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:16008
- C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
  C:\Windows\system32\xarxxhvurc\explorer.exe
  2⤵
  PID:19100

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:16076
- C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
  C:\Windows\system32\xarxxhvurc\explorer.exe
  2⤵
  PID:19208

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:6924
- C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
  C:\Windows\system32\xarxxhvurc\explorer.exe
  2⤵
  PID:7252

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:6216
- C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
  C:\Windows\system32\xarxxhvurc\explorer.exe
  2⤵
  PID:19732

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:7372

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:18168

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:7980

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:3432

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:18512

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:18644

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:18636

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:18812

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:18984

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:19068

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:19220

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:19500

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:19492

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:396

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:19740

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:8100

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:20564

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:20540

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:20532

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:20516

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:20496

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:20484

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:19508

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:7736

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:7508

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:8028

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:19416

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:20424

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:20416

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:20324

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:20288

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:19980

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:19972

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:19964

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:19928

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:19896

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:19888

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:19724

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:19616

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:19596

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:19568

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:5116

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:19364

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:19148

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:7448

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:7180

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:8132

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:8136

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:19200

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:19180

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:19152

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:19140

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:19108

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:19084

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:19048

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:19032

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:19008

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:18976

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:18960

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:18944

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:18928

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:18920

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:18908

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:18900

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:18888

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:18804

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:18788

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:18752

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:18728

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:18716

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:18708

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:18560

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:18540

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:18532

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:18524

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:18492

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:18460

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:7616

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:17844

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:17956

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:7972

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:18192

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:18100

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:18084

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe
C:\Windows\system32\xarxxhvurc\explorer.exe
1⤵
PID:17728

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\SysWOW64\xarxxhvurc\explorer.exe

Filesize
80KB

MD5
2ac542b9da647699c8fc8c20405500d1

SHA1
a2d9c98b73f9a40c722569aab683b8997acf3e36

SHA256
6ad57d1038b1e4db9ea3755aa77d9fe780440c40098c2b9b2bf77229d62c64f8

SHA512
a210b1f2596a644faf0d467f310cac3dd6c8089d98dc016cf58d15152a25958fcb9cddc86d98c4408f34c19e388336120f921b020dbc554f5fb5cfcf3d5c306d

Download Submit
memory/64-166-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/220-91-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/220-23-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/336-178-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/372-101-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/372-68-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/544-41-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/544-59-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/680-87-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/680-60-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/684-194-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/684-137-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1184-112-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1268-201-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1268-143-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1304-94-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1656-36-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1656-148-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1764-85-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1764-128-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1812-115-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1812-169-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1952-79-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1952-119-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2016-142-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2016-95-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2056-146-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2056-212-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2152-136-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2152-88-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2156-76-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2156-19-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2156-9-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2168-47-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2168-29-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2352-73-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2584-151-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2672-154-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2672-110-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/3136-138-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/3136-195-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/3164-82-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/3164-125-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/3248-202-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/3252-190-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/3272-53-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/3272-35-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/3300-170-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/3460-97-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/3532-65-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/3532-14-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/3624-167-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/3736-213-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/3800-48-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/3800-67-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/3912-196-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/3956-114-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4072-156-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4208-126-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4208-189-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4364-129-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4364-191-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4380-13-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4380-44-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4380-182-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4380-0-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4392-111-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4392-155-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4444-78-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4444-54-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4540-177-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4552-71-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4552-109-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4560-176-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4560-120-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4668-30-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4668-18-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4668-117-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4708-98-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4708-145-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4896-188-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/5000-150-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/5000-102-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/5084-81-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download