metasploit | 39b8223acf5a3a8a7102bb297d750a12654e1192cf7d55a01cf5561efa323b9c

Analysis

max time kernel
147s
max time network
152s
platform
windows10-2004_x64
resource
win10v2004-20231215-en
resource tags

arch:x64arch:x86image:win10v2004-20231215-enlocale:en-usos:windows10-2004-x64system
submitted
26/12/2023, 06:43

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

5a65e4b822a31fdfed2051c11edaaa89.exe
Size

525KB
MD5

5a65e4b822a31fdfed2051c11edaaa89
SHA1

61747ddc2c29f2fea860c8d0829e438ef66a32e9
SHA256

39b8223acf5a3a8a7102bb297d750a12654e1192cf7d55a01cf5561efa323b9c
SHA512

1ff035836bd0f2143b696bb93def60c4c55d9cdc99a1aafc723b140122ecf001714f0580c54cf749499ea3cc4033ea386193e351ad7a8f77aa4b56557e1ce00d
SSDEEP

6144:dwVPqTSTVFhaae3OR3wxJXSMaAA4OUi1DZyRn5ERmnfN/05YacxIBnn8H2QYvM4X:Gxfw3OR3cdAV51ch5ERa/3nxIl4i6A/

Score

10^/10

metasploit backdoor trojan

Malware Config

Extracted

Family

metasploit

Version

encoder/call4_dword_xor

Signatures

MetaSploit
Detected malicious payload which is part of the Metasploit Framework, likely generated with msfvenom or similar.
trojan backdoor metasploit

Executes dropped EXE 4 IoCs

pid	Process
3740	tqltuj.exe
3744	tqltuj.exe
1116	ghqurd.exe
2692	ghqurd.exe

Drops file in System32 directory 4 IoCs

description	ioc	Process
File created	C:\Windows\SysWOW64\ghqurd.exe	tqltuj.exe
File opened for modification	C:\Windows\SysWOW64\ghqurd.exe	tqltuj.exe
File created	C:\Windows\SysWOW64\tqltuj.exe	5a65e4b822a31fdfed2051c11edaaa89.exe
File opened for modification	C:\Windows\SysWOW64\tqltuj.exe	5a65e4b822a31fdfed2051c11edaaa89.exe

Suspicious use of SetThreadContext 3 IoCs

description	pid	Process	procid_target
PID 5084 set thread context of 488	5084	iwefdu.exe	88
PID 3740 set thread context of 3744	3740	tqltuj.exe	91
PID 1116 set thread context of 2692	1116	ghqurd.exe	92

Suspicious use of WriteProcessMemory 33 IoCs

description	pid	Process	procid_target
PID 5084 wrote to memory of 488	5084	iwefdu.exe	88
PID 5084 wrote to memory of 488	5084	iwefdu.exe	88
PID 5084 wrote to memory of 488	5084	iwefdu.exe	88
PID 5084 wrote to memory of 488	5084	iwefdu.exe	88
PID 5084 wrote to memory of 488	5084	iwefdu.exe	88
PID 5084 wrote to memory of 488	5084	iwefdu.exe	88
PID 5084 wrote to memory of 488	5084	iwefdu.exe	88
PID 5084 wrote to memory of 488	5084	iwefdu.exe	88
PID 5084 wrote to memory of 488	5084	iwefdu.exe	88
PID 488 wrote to memory of 3740	488	5a65e4b822a31fdfed2051c11edaaa89.exe	125
PID 488 wrote to memory of 3740	488	5a65e4b822a31fdfed2051c11edaaa89.exe	125
PID 488 wrote to memory of 3740	488	5a65e4b822a31fdfed2051c11edaaa89.exe	125
PID 3740 wrote to memory of 3744	3740	tqltuj.exe	91
PID 3740 wrote to memory of 3744	3740	tqltuj.exe	91
PID 3740 wrote to memory of 3744	3740	tqltuj.exe	91
PID 3740 wrote to memory of 3744	3740	tqltuj.exe	91
PID 3740 wrote to memory of 3744	3740	tqltuj.exe	91
PID 3740 wrote to memory of 3744	3740	tqltuj.exe	91
PID 3740 wrote to memory of 3744	3740	tqltuj.exe	91
PID 3740 wrote to memory of 3744	3740	tqltuj.exe	91
PID 3740 wrote to memory of 3744	3740	tqltuj.exe	91
PID 3744 wrote to memory of 1116	3744	tqltuj.exe	123
PID 3744 wrote to memory of 1116	3744	tqltuj.exe	123
PID 3744 wrote to memory of 1116	3744	tqltuj.exe	123
PID 1116 wrote to memory of 2692	1116	ghqurd.exe	92
PID 1116 wrote to memory of 2692	1116	ghqurd.exe	92
PID 1116 wrote to memory of 2692	1116	ghqurd.exe	92
PID 1116 wrote to memory of 2692	1116	ghqurd.exe	92
PID 1116 wrote to memory of 2692	1116	ghqurd.exe	92
PID 1116 wrote to memory of 2692	1116	ghqurd.exe	92
PID 1116 wrote to memory of 2692	1116	ghqurd.exe	92
PID 1116 wrote to memory of 2692	1116	ghqurd.exe	92
PID 1116 wrote to memory of 2692	1116	ghqurd.exe	92

C:\Users\Admin\AppData\Local\Temp\5a65e4b822a31fdfed2051c11edaaa89.exe
"C:\Users\Admin\AppData\Local\Temp\5a65e4b822a31fdfed2051c11edaaa89.exe"
1⤵
PID:5084
- C:\Users\Admin\AppData\Local\Temp\5a65e4b822a31fdfed2051c11edaaa89.exe
  "C:\Users\Admin\AppData\Local\Temp\5a65e4b822a31fdfed2051c11edaaa89.exe"
  2⤵
  - Drops file in System32 directory
  - Suspicious use of WriteProcessMemory
  PID:488
- - C:\Windows\SysWOW64\tqltuj.exe
    C:\Windows\system32\tqltuj.exe 1004 "C:\Users\Admin\AppData\Local\Temp\5a65e4b822a31fdfed2051c11edaaa89.exe"
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetThreadContext
    - Suspicious use of WriteProcessMemory
    PID:3740

C:\Windows\SysWOW64\tqltuj.exe
C:\Windows\system32\tqltuj.exe 1004 "C:\Users\Admin\AppData\Local\Temp\5a65e4b822a31fdfed2051c11edaaa89.exe"
1⤵
- Executes dropped EXE
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:3744
- C:\Windows\SysWOW64\ghqurd.exe
  C:\Windows\system32\ghqurd.exe 1120 "C:\Windows\SysWOW64\tqltuj.exe"
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  - Suspicious use of WriteProcessMemory
  PID:1116

C:\Windows\SysWOW64\ghqurd.exe
C:\Windows\system32\ghqurd.exe 1120 "C:\Windows\SysWOW64\tqltuj.exe"
1⤵
- Executes dropped EXE
PID:2692
- C:\Windows\SysWOW64\wuqpnq.exe
  C:\Windows\system32\wuqpnq.exe 1124 "C:\Windows\SysWOW64\ghqurd.exe"
  2⤵
  PID:4500
- - C:\Windows\SysWOW64\wuqpnq.exe
    C:\Windows\system32\wuqpnq.exe 1124 "C:\Windows\SysWOW64\ghqurd.exe"
    3⤵
    PID:1412
  - - C:\Windows\SysWOW64\zptmze.exe
      C:\Windows\system32\zptmze.exe 1120 "C:\Windows\SysWOW64\wuqpnq.exe"
      4⤵
      PID:2604
    - - C:\Windows\SysWOW64\zptmze.exe
        
        C:\Windows\system32\zptmze.exe 1120 "C:\Windows\SysWOW64\wuqpnq.exe"
        5⤵
        
        PID:4628
      - C:\Windows\SysWOW64\oiqzjs.exe
        
        C:\Windows\system32\oiqzjs.exe 1108 "C:\Windows\SysWOW64\zptmze.exe"
        6⤵
        
        PID:4540

C:\Windows\SysWOW64\oiqzjs.exe
C:\Windows\system32\oiqzjs.exe 1108 "C:\Windows\SysWOW64\zptmze.exe"
1⤵
PID:2588
- C:\Windows\SysWOW64\wmamal.exe
  C:\Windows\system32\wmamal.exe 1120 "C:\Windows\SysWOW64\oiqzjs.exe"
  2⤵
  PID:4436
- - C:\Windows\SysWOW64\wmamal.exe
    C:\Windows\system32\wmamal.exe 1120 "C:\Windows\SysWOW64\oiqzjs.exe"
    3⤵
    PID:816
  - - C:\Windows\SysWOW64\gleklj.exe
      C:\Windows\system32\gleklj.exe 1120 "C:\Windows\SysWOW64\wmamal.exe"
      4⤵
      PID:4400

C:\Windows\SysWOW64\gleklj.exe
C:\Windows\system32\gleklj.exe 1120 "C:\Windows\SysWOW64\wmamal.exe"
1⤵
PID:4796
- C:\Windows\SysWOW64\ojaxwm.exe
  C:\Windows\system32\ojaxwm.exe 1124 "C:\Windows\SysWOW64\gleklj.exe"
  2⤵
  PID:5000
- - C:\Windows\SysWOW64\ojaxwm.exe
    C:\Windows\system32\ojaxwm.exe 1124 "C:\Windows\SysWOW64\gleklj.exe"
    3⤵
    PID:3476
  - - C:\Windows\SysWOW64\bwjncq.exe
      C:\Windows\system32\bwjncq.exe 1120 "C:\Windows\SysWOW64\ojaxwm.exe"
      4⤵
      PID:3940

C:\Windows\SysWOW64\djmpxq.exe
C:\Windows\system32\djmpxq.exe 1080 "C:\Windows\SysWOW64\bwjncq.exe"
1⤵
PID:4940
- C:\Windows\SysWOW64\djmpxq.exe
  C:\Windows\system32\djmpxq.exe 1080 "C:\Windows\SysWOW64\bwjncq.exe"
  2⤵
  PID:3936
- - C:\Windows\SysWOW64\iwefdu.exe
    C:\Windows\system32\iwefdu.exe 1120 "C:\Windows\SysWOW64\djmpxq.exe"
    3⤵
    PID:4424
  - - C:\Windows\SysWOW64\iwefdu.exe
      C:\Windows\system32\iwefdu.exe 1120 "C:\Windows\SysWOW64\djmpxq.exe"
      4⤵
      Suspicious use of SetThreadContext
      Suspicious use of WriteProcessMemory
      PID:5084
    - - C:\Windows\SysWOW64\wfkqgl.exe
        
        C:\Windows\system32\wfkqgl.exe 1088 "C:\Windows\SysWOW64\iwefdu.exe"
        5⤵
        
        PID:3520

C:\Windows\SysWOW64\wfkqgl.exe
C:\Windows\system32\wfkqgl.exe 1088 "C:\Windows\SysWOW64\iwefdu.exe"
1⤵
PID:4976
- C:\Windows\SysWOW64\gfonqk.exe
  C:\Windows\system32\gfonqk.exe 1120 "C:\Windows\SysWOW64\wfkqgl.exe"
  2⤵
  PID:4384

C:\Windows\SysWOW64\gfonqk.exe
C:\Windows\system32\gfonqk.exe 1120 "C:\Windows\SysWOW64\wfkqgl.exe"
1⤵
PID:2432
- C:\Windows\SysWOW64\lktvel.exe
  C:\Windows\system32\lktvel.exe 1120 "C:\Windows\SysWOW64\gfonqk.exe"
  2⤵
  PID:2324

C:\Windows\SysWOW64\lktvel.exe
C:\Windows\system32\lktvel.exe 1120 "C:\Windows\SysWOW64\gfonqk.exe"
1⤵
PID:2256
- C:\Windows\SysWOW64\vjxtok.exe
  C:\Windows\system32\vjxtok.exe 1128 "C:\Windows\SysWOW64\lktvel.exe"
  2⤵
  PID:2864

C:\Windows\SysWOW64\rxoqjv.exe
C:\Windows\system32\rxoqjv.exe 1120 "C:\Windows\SysWOW64\gfylef.exe"
1⤵
PID:2728
- C:\Windows\SysWOW64\rxoqjv.exe
  C:\Windows\system32\rxoqjv.exe 1120 "C:\Windows\SysWOW64\gfylef.exe"
  2⤵
  PID:1112
- - C:\Windows\SysWOW64\rbajxh.exe
    C:\Windows\system32\rbajxh.exe 1092 "C:\Windows\SysWOW64\rxoqjv.exe"
    3⤵
    PID:1236
  - - C:\Windows\SysWOW64\rbajxh.exe
      C:\Windows\system32\rbajxh.exe 1092 "C:\Windows\SysWOW64\rxoqjv.exe"
      4⤵
      PID:2508

C:\Windows\SysWOW64\gfylef.exe
C:\Windows\system32\gfylef.exe 1124 "C:\Windows\SysWOW64\vjxtok.exe"
1⤵
PID:1332

C:\Windows\SysWOW64\gfylef.exe
C:\Windows\system32\gfylef.exe 1124 "C:\Windows\SysWOW64\vjxtok.exe"
1⤵
PID:4680

C:\Windows\SysWOW64\vjxtok.exe
C:\Windows\system32\vjxtok.exe 1128 "C:\Windows\SysWOW64\lktvel.exe"
1⤵
PID:944

C:\Windows\SysWOW64\bwjncq.exe
C:\Windows\system32\bwjncq.exe 1120 "C:\Windows\SysWOW64\ojaxwm.exe"
1⤵
PID:4316

C:\Windows\SysWOW64\gjhfau.exe
C:\Windows\system32\gjhfau.exe 1120 "C:\Windows\SysWOW64\rbajxh.exe"
1⤵
PID:3292
- C:\Windows\SysWOW64\vztngl.exe
  C:\Windows\system32\vztngl.exe 1120 "C:\Windows\SysWOW64\gjhfau.exe"
  2⤵
  PID:4084
- - C:\Windows\SysWOW64\vztngl.exe
    C:\Windows\system32\vztngl.exe 1120 "C:\Windows\SysWOW64\gjhfau.exe"
    3⤵
    PID:1628
  - - C:\Windows\SysWOW64\iwoozs.exe
      C:\Windows\system32\iwoozs.exe 1100 "C:\Windows\SysWOW64\vztngl.exe"
      4⤵
      PID:1188
    - - C:\Windows\SysWOW64\iwoozs.exe
        
        C:\Windows\system32\iwoozs.exe 1100 "C:\Windows\SysWOW64\vztngl.exe"
        5⤵
        
        PID:1968
      - C:\Windows\SysWOW64\adcsuu.exe
        
        C:\Windows\system32\adcsuu.exe 1120 "C:\Windows\SysWOW64\iwoozs.exe"
        6⤵
        
        PID:1480
        
        C:\Windows\SysWOW64\adcsuu.exe
        
        C:\Windows\system32\adcsuu.exe 1120 "C:\Windows\SysWOW64\iwoozs.exe"
        7⤵
        
        PID:1408
        
        C:\Windows\SysWOW64\yitoxl.exe
        
        C:\Windows\system32\yitoxl.exe 1120 "C:\Windows\SysWOW64\adcsuu.exe"
        8⤵
        
        PID:920
        
        C:\Windows\SysWOW64\yitoxl.exe
        
        C:\Windows\system32\yitoxl.exe 1120 "C:\Windows\SysWOW64\adcsuu.exe"
        9⤵
        
        PID:1564
        
        C:\Windows\SysWOW64\voacyj.exe
        
        C:\Windows\system32\voacyj.exe 1120 "C:\Windows\SysWOW64\yitoxl.exe"
        10⤵
        
        PID:4396
        
        C:\Windows\SysWOW64\voacyj.exe
        
        C:\Windows\system32\voacyj.exe 1120 "C:\Windows\SysWOW64\yitoxl.exe"
        11⤵
        
        PID:3176
        
        C:\Windows\SysWOW64\afdevi.exe
        
        C:\Windows\system32\afdevi.exe 1092 "C:\Windows\SysWOW64\voacyj.exe"
        12⤵
        
        PID:4024

C:\Windows\SysWOW64\gjhfau.exe
C:\Windows\system32\gjhfau.exe 1120 "C:\Windows\SysWOW64\rbajxh.exe"
1⤵
PID:3696

C:\Windows\SysWOW64\afdevi.exe
C:\Windows\system32\afdevi.exe 1092 "C:\Windows\SysWOW64\voacyj.exe"
1⤵
PID:3872
- C:\Windows\SysWOW64\vqipnw.exe
  C:\Windows\system32\vqipnw.exe 1120 "C:\Windows\SysWOW64\afdevi.exe"
  2⤵
  PID:3080
- - C:\Windows\SysWOW64\vqipnw.exe
    C:\Windows\system32\vqipnw.exe 1120 "C:\Windows\SysWOW64\afdevi.exe"
    3⤵
    PID:4792
  - - C:\Windows\SysWOW64\rwiobe.exe
      C:\Windows\system32\rwiobe.exe 1008 "C:\Windows\SysWOW64\vqipnw.exe"
      4⤵
      PID:1516
    - - C:\Windows\SysWOW64\rwiobe.exe
        
        C:\Windows\system32\rwiobe.exe 1008 "C:\Windows\SysWOW64\vqipnw.exe"
        5⤵
        
        PID:576
      - C:\Windows\SysWOW64\ccnhdp.exe
        
        C:\Windows\system32\ccnhdp.exe 1120 "C:\Windows\SysWOW64\rwiobe.exe"
        6⤵
        
        PID:432
        
        C:\Windows\SysWOW64\ccnhdp.exe
        
        C:\Windows\system32\ccnhdp.exe 1120 "C:\Windows\SysWOW64\rwiobe.exe"
        7⤵
        
        PID:3716
        
        C:\Windows\SysWOW64\hfkpaa.exe
        
        C:\Windows\system32\hfkpaa.exe 1120 "C:\Windows\SysWOW64\ccnhdp.exe"
        8⤵
        
        PID:2232
        
        C:\Windows\SysWOW64\hfkpaa.exe
        
        C:\Windows\system32\hfkpaa.exe 1120 "C:\Windows\SysWOW64\ccnhdp.exe"
        9⤵
        
        PID:3984
        
        C:\Windows\SysWOW64\jansvb.exe
        
        C:\Windows\system32\jansvb.exe 1112 "C:\Windows\SysWOW64\hfkpaa.exe"
        10⤵
        
        PID:4572
        
        C:\Windows\SysWOW64\jansvb.exe
        
        C:\Windows\system32\jansvb.exe 1112 "C:\Windows\SysWOW64\hfkpaa.exe"
        11⤵
        
        PID:528
        
        C:\Windows\SysWOW64\capxat.exe
        
        C:\Windows\system32\capxat.exe 1128 "C:\Windows\SysWOW64\jansvb.exe"
        12⤵
        
        PID:3000
        
        C:\Windows\SysWOW64\capxat.exe
        
        C:\Windows\system32\capxat.exe 1128 "C:\Windows\SysWOW64\jansvb.exe"
        13⤵
        
        PID:3532
        
        C:\Windows\SysWOW64\hyvxzh.exe
        
        C:\Windows\system32\hyvxzh.exe 1120 "C:\Windows\SysWOW64\capxat.exe"
        14⤵
        
        PID:1524

C:\Windows\SysWOW64\hyvxzh.exe
C:\Windows\system32\hyvxzh.exe 1120 "C:\Windows\SysWOW64\capxat.exe"
1⤵
PID:4684
- C:\Windows\SysWOW64\uacikh.exe
  C:\Windows\system32\uacikh.exe 1128 "C:\Windows\SysWOW64\hyvxzh.exe"
  2⤵
  PID:3280
- - C:\Windows\SysWOW64\uacikh.exe
    C:\Windows\system32\uacikh.exe 1128 "C:\Windows\SysWOW64\hyvxzh.exe"
    3⤵
    PID:4564
  - - C:\Windows\SysWOW64\cppaxw.exe
      C:\Windows\system32\cppaxw.exe 1120 "C:\Windows\SysWOW64\uacikh.exe"
      4⤵
      PID:4772
    - - C:\Windows\SysWOW64\pabjpf.exe
        
        C:\Windows\system32\pabjpf.exe 1120 "C:\Windows\SysWOW64\cqdhmf.exe"
        5⤵
        
        PID:840
      - C:\Windows\SysWOW64\avccxz.exe
        
        C:\Windows\system32\avccxz.exe 1120 "C:\Windows\SysWOW64\pabjpf.exe"
        6⤵
        
        PID:212

C:\Windows\SysWOW64\cppaxw.exe
C:\Windows\system32\cppaxw.exe 1120 "C:\Windows\SysWOW64\uacikh.exe"
1⤵
PID:4360
- C:\Windows\SysWOW64\widnwz.exe
  C:\Windows\system32\widnwz.exe 1120 "C:\Windows\SysWOW64\cppaxw.exe"
  2⤵
  PID:4980
- - C:\Windows\SysWOW64\widnwz.exe
    C:\Windows\system32\widnwz.exe 1120 "C:\Windows\SysWOW64\cppaxw.exe"
    3⤵
    PID:1524
  - - C:\Windows\SysWOW64\mnijhp.exe
      C:\Windows\system32\mnijhp.exe 1120 "C:\Windows\SysWOW64\widnwz.exe"
      4⤵
      PID:1144
    - - C:\Windows\SysWOW64\mnijhp.exe
        
        C:\Windows\system32\mnijhp.exe 1120 "C:\Windows\SysWOW64\widnwz.exe"
        5⤵
        
        PID:1204
      - C:\Windows\SysWOW64\ursxya.exe
        
        C:\Windows\system32\ursxya.exe 1120 "C:\Windows\SysWOW64\mnijhp.exe"
        6⤵
        
        PID:3492

C:\Windows\SysWOW64\ursxya.exe
C:\Windows\system32\ursxya.exe 1120 "C:\Windows\SysWOW64\mnijhp.exe"
1⤵
PID:3880
- C:\Windows\SysWOW64\jbhhbk.exe
  C:\Windows\system32\jbhhbk.exe 1020 "C:\Windows\SysWOW64\ursxya.exe"
  2⤵
  PID:3468

C:\Windows\SysWOW64\jbhhbk.exe
C:\Windows\system32\jbhhbk.exe 1020 "C:\Windows\SysWOW64\ursxya.exe"
1⤵
PID:1336
- C:\Windows\SysWOW64\rfkmsv.exe
  C:\Windows\system32\rfkmsv.exe 1120 "C:\Windows\SysWOW64\jbhhbk.exe"
  2⤵
  PID:4140
- - C:\Windows\SysWOW64\rfkmsv.exe
    C:\Windows\system32\rfkmsv.exe 1120 "C:\Windows\SysWOW64\jbhhbk.exe"
    3⤵
    PID:2988
  - - C:\Windows\SysWOW64\wrdpvs.exe
      C:\Windows\system32\wrdpvs.exe 1092 "C:\Windows\SysWOW64\rfkmsv.exe"
      4⤵
      PID:1296
    - - C:\Windows\SysWOW64\wrdpvs.exe
        
        C:\Windows\system32\wrdpvs.exe 1092 "C:\Windows\SysWOW64\rfkmsv.exe"
        5⤵
        
        PID:1660
      - C:\Windows\SysWOW64\wgbuui.exe
        
        C:\Windows\system32\wgbuui.exe 1124 "C:\Windows\SysWOW64\wrdpvs.exe"
        6⤵
        
        PID:4452
        
        C:\Windows\SysWOW64\wgbuui.exe
        
        C:\Windows\system32\wgbuui.exe 1124 "C:\Windows\SysWOW64\wrdpvs.exe"
        7⤵
        
        PID:4052
        
        C:\Windows\SysWOW64\ocbfjj.exe
        
        C:\Windows\system32\ocbfjj.exe 1120 "C:\Windows\SysWOW64\wgbuui.exe"
        8⤵
        
        PID:1820
        
        C:\Windows\SysWOW64\ocbfjj.exe
        
        C:\Windows\system32\ocbfjj.exe 1120 "C:\Windows\SysWOW64\wgbuui.exe"
        9⤵
        
        PID:2952
        
        C:\Windows\SysWOW64\wkoxdz.exe
        
        C:\Windows\system32\wkoxdz.exe 1120 "C:\Windows\SysWOW64\ocbfjj.exe"
        10⤵
        
        PID:5064

C:\Windows\SysWOW64\wkoxdz.exe
C:\Windows\system32\wkoxdz.exe 1120 "C:\Windows\SysWOW64\ocbfjj.exe"
1⤵
PID:1428
- C:\Windows\SysWOW64\jxgvjd.exe
  C:\Windows\system32\jxgvjd.exe 1120 "C:\Windows\SysWOW64\wkoxdz.exe"
  2⤵
  PID:4304
- - C:\Windows\SysWOW64\jxgvjd.exe
    C:\Windows\system32\jxgvjd.exe 1120 "C:\Windows\SysWOW64\wkoxdz.exe"
    3⤵
    PID:2336
  - - C:\Windows\SysWOW64\ttzfqx.exe
      C:\Windows\system32\ttzfqx.exe 1120 "C:\Windows\SysWOW64\jxgvjd.exe"
      4⤵
      PID:316
    - - C:\Windows\SysWOW64\ttzfqx.exe
        
        C:\Windows\system32\ttzfqx.exe 1120 "C:\Windows\SysWOW64\jxgvjd.exe"
        5⤵
        
        PID:4140
      - C:\Windows\SysWOW64\bxjsii.exe
        
        C:\Windows\system32\bxjsii.exe 1088 "C:\Windows\SysWOW64\ttzfqx.exe"
        6⤵
        
        PID:1828
- - C:\Windows\SysWOW64\hdjkji.exe
    C:\Windows\system32\hdjkji.exe 1120 "C:\Windows\SysWOW64\eaguwu.exe"
    3⤵
    PID:3976
  - - C:\Windows\SysWOW64\tuemrq.exe
      C:\Windows\system32\tuemrq.exe 1120 "C:\Windows\SysWOW64\hdjkji.exe"
      4⤵
      PID:4060
    - - C:\Windows\SysWOW64\tuemrq.exe
        
        C:\Windows\system32\tuemrq.exe 1120 "C:\Windows\SysWOW64\hdjkji.exe"
        5⤵
        
        PID:5068
      - C:\Windows\SysWOW64\ljcsiy.exe
        
        C:\Windows\system32\ljcsiy.exe 1120 "C:\Windows\SysWOW64\tuemrq.exe"
        6⤵
        
        PID:2888
        
        C:\Windows\SysWOW64\ljcsiy.exe
        
        C:\Windows\system32\ljcsiy.exe 1120 "C:\Windows\SysWOW64\tuemrq.exe"
        7⤵
        
        PID:3696
        
        C:\Windows\SysWOW64\ottpbu.exe
        
        C:\Windows\system32\ottpbu.exe 1120 "C:\Windows\SysWOW64\ljcsiy.exe"
        8⤵
        
        PID:1248

C:\Windows\SysWOW64\bxjsii.exe
C:\Windows\system32\bxjsii.exe 1088 "C:\Windows\SysWOW64\ttzfqx.exe"
1⤵
PID:2000
- C:\Windows\SysWOW64\gvoavj.exe
  C:\Windows\system32\gvoavj.exe 1128 "C:\Windows\SysWOW64\bxjsii.exe"
  2⤵
  PID:3136
- - C:\Windows\SysWOW64\gvoavj.exe
    C:\Windows\system32\gvoavj.exe 1128 "C:\Windows\SysWOW64\bxjsii.exe"
    3⤵
    PID:4988
  - - C:\Windows\SysWOW64\rndfaz.exe
      C:\Windows\system32\rndfaz.exe 1128 "C:\Windows\SysWOW64\gvoavj.exe"
      4⤵
      PID:4312
    - - C:\Windows\SysWOW64\rndfaz.exe
        
        C:\Windows\system32\rndfaz.exe 1128 "C:\Windows\SysWOW64\gvoavj.exe"
        5⤵
        
        PID:4212
      - C:\Windows\SysWOW64\biwqiu.exe
        
        C:\Windows\system32\biwqiu.exe 1120 "C:\Windows\SysWOW64\rndfaz.exe"
        6⤵
        
        PID:4508
        
        C:\Windows\SysWOW64\biwqiu.exe
        
        C:\Windows\system32\biwqiu.exe 1120 "C:\Windows\SysWOW64\rndfaz.exe"
        7⤵
        
        PID:1608
        
        C:\Windows\SysWOW64\jngdzn.exe
        
        C:\Windows\system32\jngdzn.exe 1120 "C:\Windows\SysWOW64\biwqiu.exe"
        8⤵
        
        PID:1848
        
        C:\Windows\SysWOW64\jngdzn.exe
        
        C:\Windows\system32\jngdzn.exe 1120 "C:\Windows\SysWOW64\biwqiu.exe"
        9⤵
        
        PID:3704
        
        C:\Windows\SysWOW64\jueiqv.exe
        
        C:\Windows\system32\jueiqv.exe 1120 "C:\Windows\SysWOW64\jngdzn.exe"
        10⤵
        
        PID:412

C:\Windows\SysWOW64\jueiqv.exe
C:\Windows\system32\jueiqv.exe 1120 "C:\Windows\SysWOW64\jngdzn.exe"
1⤵
PID:1788
- C:\Windows\SysWOW64\tpftyq.exe
  C:\Windows\system32\tpftyq.exe 1128 "C:\Windows\SysWOW64\jueiqv.exe"
  2⤵
  PID:3768
- - C:\Windows\SysWOW64\tpftyq.exe
    C:\Windows\system32\tpftyq.exe 1128 "C:\Windows\SysWOW64\jueiqv.exe"
    3⤵
    PID:3580
  - - C:\Windows\SysWOW64\elydgk.exe
      C:\Windows\system32\elydgk.exe 1120 "C:\Windows\SysWOW64\tpftyq.exe"
      4⤵
      PID:3460
    - - C:\Windows\SysWOW64\elydgk.exe
        
        C:\Windows\system32\elydgk.exe 1120 "C:\Windows\SysWOW64\tpftyq.exe"
        5⤵
        
        PID:2896
      - C:\Windows\SysWOW64\rueork.exe
        
        C:\Windows\system32\rueork.exe 1120 "C:\Windows\SysWOW64\elydgk.exe"
        6⤵
        
        PID:748
        
        C:\Windows\SysWOW64\rueork.exe
        
        C:\Windows\system32\rueork.exe 1120 "C:\Windows\SysWOW64\elydgk.exe"
        7⤵
        
        PID:1728
        
        C:\Windows\SysWOW64\yczgdz.exe
        
        C:\Windows\system32\yczgdz.exe 1128 "C:\Windows\SysWOW64\rueork.exe"
        8⤵
        
        PID:4400
        
        C:\Windows\SysWOW64\yczgdz.exe
        
        C:\Windows\system32\yczgdz.exe 1128 "C:\Windows\SysWOW64\rueork.exe"
        9⤵
        
        PID:2540
        
        C:\Windows\SysWOW64\eljpfe.exe
        
        C:\Windows\system32\eljpfe.exe 1128 "C:\Windows\SysWOW64\yczgdz.exe"
        10⤵
        
        PID:3976
        
        C:\Windows\SysWOW64\eljpfe.exe
        
        C:\Windows\system32\eljpfe.exe 1128 "C:\Windows\SysWOW64\yczgdz.exe"
        11⤵
        
        PID:3148
        
        C:\Windows\SysWOW64\rnpwqr.exe
        
        C:\Windows\system32\rnpwqr.exe 1120 "C:\Windows\SysWOW64\eljpfe.exe"
        12⤵
        
        PID:3644
        
        C:\Windows\SysWOW64\rnpwqr.exe
        
        C:\Windows\system32\rnpwqr.exe 1120 "C:\Windows\SysWOW64\eljpfe.exe"
        13⤵
        
        PID:792
        
        C:\Windows\SysWOW64\eaguwu.exe
        
        C:\Windows\system32\eaguwu.exe 1120 "C:\Windows\SysWOW64\rnpwqr.exe"
        14⤵
        
        PID:2236
        
        C:\Windows\SysWOW64\eaguwu.exe
        
        C:\Windows\system32\eaguwu.exe 1120 "C:\Windows\SysWOW64\rnpwqr.exe"
        15⤵
        
        PID:920
        
        C:\Windows\SysWOW64\hdjkji.exe
        
        C:\Windows\system32\hdjkji.exe 1120 "C:\Windows\SysWOW64\eaguwu.exe"
        16⤵
        
        PID:4304

C:\Windows\SysWOW64\ottpbu.exe
C:\Windows\system32\ottpbu.exe 1120 "C:\Windows\SysWOW64\ljcsiy.exe"
1⤵
PID:4788
- C:\Windows\SysWOW64\bgdfgy.exe
  C:\Windows\system32\bgdfgy.exe 1100 "C:\Windows\SysWOW64\ottpbu.exe"
  2⤵
  PID:4156
- - C:\Windows\SysWOW64\bgdfgy.exe
    C:\Windows\system32\bgdfgy.exe 1100 "C:\Windows\SysWOW64\ottpbu.exe"
    3⤵
    PID:3996
  - - C:\Windows\SysWOW64\ljfdis.exe
      C:\Windows\system32\ljfdis.exe 1100 "C:\Windows\SysWOW64\bgdfgy.exe"
      4⤵
      PID:4612

C:\Windows\SysWOW64\ljfdis.exe
C:\Windows\system32\ljfdis.exe 1100 "C:\Windows\SysWOW64\bgdfgy.exe"
1⤵
PID:1736
- C:\Windows\SysWOW64\vmcfvw.exe
  C:\Windows\system32\vmcfvw.exe 1128 "C:\Windows\SysWOW64\ljfdis.exe"
  2⤵
  PID:316
- - C:\Windows\SysWOW64\vmcfvw.exe
    C:\Windows\system32\vmcfvw.exe 1128 "C:\Windows\SysWOW64\ljfdis.exe"
    3⤵
    PID:3752
  - - C:\Windows\SysWOW64\vjochd.exe
      C:\Windows\system32\vjochd.exe 1120 "C:\Windows\SysWOW64\vmcfvw.exe"
      4⤵
      PID:1728
    - - C:\Windows\SysWOW64\vjochd.exe
        
        C:\Windows\system32\vjochd.exe 1120 "C:\Windows\SysWOW64\vmcfvw.exe"
        5⤵
        
        PID:3516
      - C:\Windows\SysWOW64\ynlewh.exe
        
        C:\Windows\system32\ynlewh.exe 1096 "C:\Windows\SysWOW64\vjochd.exe"
        6⤵
        
        PID:4740

C:\Windows\SysWOW64\ynlewh.exe
C:\Windows\system32\ynlewh.exe 1096 "C:\Windows\SysWOW64\vjochd.exe"
1⤵
PID:1724
- C:\Windows\SysWOW64\ltdekm.exe
  C:\Windows\system32\ltdekm.exe 1120 "C:\Windows\SysWOW64\ynlewh.exe"
  2⤵
  PID:2036
- - C:\Windows\SysWOW64\ltdekm.exe
    C:\Windows\system32\ltdekm.exe 1120 "C:\Windows\SysWOW64\ynlewh.exe"
    3⤵
    PID:4948
  - - C:\Windows\SysWOW64\vxmkow.exe
      C:\Windows\system32\vxmkow.exe 1128 "C:\Windows\SysWOW64\ltdekm.exe"
      4⤵
      PID:412
    - - C:\Windows\SysWOW64\vxmkow.exe
        
        C:\Windows\system32\vxmkow.exe 1128 "C:\Windows\SysWOW64\ltdekm.exe"
        5⤵
        
        PID:3768
      - C:\Windows\SysWOW64\dqlkdd.exe
        
        C:\Windows\system32\dqlkdd.exe 1128 "C:\Windows\SysWOW64\vxmkow.exe"
        6⤵
        
        PID:3464

C:\Windows\SysWOW64\dqlkdd.exe
C:\Windows\system32\dqlkdd.exe 1128 "C:\Windows\SysWOW64\vxmkow.exe"
1⤵
PID:4304
- C:\Windows\SysWOW64\luvyuw.exe
  C:\Windows\system32\luvyuw.exe 1120 "C:\Windows\SysWOW64\dqlkdd.exe"
  2⤵
  PID:1476
- - C:\Windows\SysWOW64\luvyuw.exe
    C:\Windows\system32\luvyuw.exe 1120 "C:\Windows\SysWOW64\dqlkdd.exe"
    3⤵
    PID:3696
  - - C:\Windows\SysWOW64\kjtdmf.exe
      C:\Windows\system32\kjtdmf.exe 1120 "C:\Windows\SysWOW64\luvyuw.exe"
      4⤵
      PID:3800

C:\Windows\SysWOW64\kjtdmf.exe
C:\Windows\system32\kjtdmf.exe 1120 "C:\Windows\SysWOW64\luvyuw.exe"
1⤵
PID:1796
- C:\Windows\SysWOW64\tygqph.exe
  C:\Windows\system32\tygqph.exe 1120 "C:\Windows\SysWOW64\kjtdmf.exe"
  2⤵
  PID:3464
- - C:\Windows\SysWOW64\tygqph.exe
    C:\Windows\system32\tygqph.exe 1120 "C:\Windows\SysWOW64\kjtdmf.exe"
    3⤵
    PID:752
  - - C:\Windows\SysWOW64\azfqew.exe
      C:\Windows\system32\azfqew.exe 1120 "C:\Windows\SysWOW64\tygqph.exe"
      4⤵
      PID:2560

C:\Windows\SysWOW64\azfqew.exe
C:\Windows\system32\azfqew.exe 1120 "C:\Windows\SysWOW64\tygqph.exe"
1⤵
PID:2360
- C:\Windows\SysWOW64\iseqld.exe
  C:\Windows\system32\iseqld.exe 1124 "C:\Windows\SysWOW64\azfqew.exe"
  2⤵
  PID:5076
- - C:\Windows\SysWOW64\iseqld.exe
    C:\Windows\system32\iseqld.exe 1124 "C:\Windows\SysWOW64\azfqew.exe"
    3⤵
    PID:820
  - - C:\Windows\SysWOW64\ihajfs.exe
      C:\Windows\system32\ihajfs.exe 1120 "C:\Windows\SysWOW64\iseqld.exe"
      4⤵
      PID:5036

C:\Windows\SysWOW64\ihajfs.exe
C:\Windows\system32\ihajfs.exe 1120 "C:\Windows\SysWOW64\iseqld.exe"
1⤵
PID:3464
- C:\Windows\SysWOW64\sdstnm.exe
  C:\Windows\system32\sdstnm.exe 1120 "C:\Windows\SysWOW64\ihajfs.exe"
  2⤵
  PID:2760
- - C:\Windows\SysWOW64\sdstnm.exe
    C:\Windows\system32\sdstnm.exe 1120 "C:\Windows\SysWOW64\ihajfs.exe"
    3⤵
    PID:4756
  - - C:\Windows\SysWOW64\ypmwxj.exe
      C:\Windows\system32\ypmwxj.exe 1124 "C:\Windows\SysWOW64\sdstnm.exe"
      4⤵
      PID:1992
    - - C:\Windows\SysWOW64\ypmwxj.exe
        
        C:\Windows\system32\ypmwxj.exe 1124 "C:\Windows\SysWOW64\sdstnm.exe"
        5⤵
        
        PID:3808
      - C:\Windows\SysWOW64\fuwjhc.exe
        
        C:\Windows\system32\fuwjhc.exe 1128 "C:\Windows\SysWOW64\ypmwxj.exe"
        6⤵
        
        PID:1472
        
        C:\Windows\SysWOW64\fuwjhc.exe
        
        C:\Windows\system32\fuwjhc.exe 1128 "C:\Windows\SysWOW64\ypmwxj.exe"
        7⤵
        
        PID:3064
        
        C:\Windows\SysWOW64\lrtruv.exe
        
        C:\Windows\system32\lrtruv.exe 1120 "C:\Windows\SysWOW64\fuwjhc.exe"
        8⤵
        
        PID:2356
        
        C:\Windows\SysWOW64\lrtruv.exe
        
        C:\Windows\system32\lrtruv.exe 1120 "C:\Windows\SysWOW64\fuwjhc.exe"
        9⤵
        
        PID:3524
        
        C:\Windows\SysWOW64\qbcmlb.exe
        
        C:\Windows\system32\qbcmlb.exe 1128 "C:\Windows\SysWOW64\lrtruv.exe"
        10⤵
        
        PID:844

C:\Windows\SysWOW64\qbcmlb.exe
C:\Windows\system32\qbcmlb.exe 1128 "C:\Windows\SysWOW64\lrtruv.exe"
1⤵
PID:4056
- C:\Windows\SysWOW64\vfvuel.exe
  C:\Windows\system32\vfvuel.exe 1088 "C:\Windows\SysWOW64\qbcmlb.exe"
  2⤵
  PID:3020

C:\Windows\SysWOW64\vfvuel.exe
C:\Windows\system32\vfvuel.exe 1088 "C:\Windows\SysWOW64\qbcmlb.exe"
1⤵
PID:2240
- C:\Windows\SysWOW64\iankko.exe
  C:\Windows\system32\iankko.exe 1120 "C:\Windows\SysWOW64\vfvuel.exe"
  2⤵
  PID:2652

C:\Windows\SysWOW64\iankko.exe
C:\Windows\system32\iankko.exe 1120 "C:\Windows\SysWOW64\vfvuel.exe"
1⤵
PID:2688
- C:\Windows\SysWOW64\sarhuf.exe
  C:\Windows\system32\sarhuf.exe 1120 "C:\Windows\SysWOW64\iankko.exe"
  2⤵
  PID:5048
- - C:\Windows\SysWOW64\sarhuf.exe
    C:\Windows\system32\sarhuf.exe 1120 "C:\Windows\SysWOW64\iankko.exe"
    3⤵
    PID:2040
  - - C:\Windows\SysWOW64\nrtkrc.exe
      C:\Windows\system32\nrtkrc.exe 988 "C:\Windows\SysWOW64\sarhuf.exe"
      4⤵
      PID:1544
    - - C:\Windows\SysWOW64\nrtkrc.exe
        
        C:\Windows\system32\nrtkrc.exe 988 "C:\Windows\SysWOW64\sarhuf.exe"
        5⤵
        
        PID:224
      - C:\Windows\SysWOW64\fyvxov.exe
        
        C:\Windows\system32\fyvxov.exe 1096 "C:\Windows\SysWOW64\nrtkrc.exe"
        6⤵
        
        PID:452
- - C:\Windows\SysWOW64\fkcumq.exe
    C:\Windows\system32\fkcumq.exe 1120 "C:\Windows\SysWOW64\vobbfw.exe"
    3⤵
    PID:3828
  - - C:\Windows\SysWOW64\qurzrg.exe
      C:\Windows\system32\qurzrg.exe 1120 "C:\Windows\SysWOW64\fkcumq.exe"
      4⤵
      PID:4984

C:\Windows\SysWOW64\fyvxov.exe
C:\Windows\system32\fyvxov.exe 1096 "C:\Windows\SysWOW64\nrtkrc.exe"
1⤵
PID:4352
- C:\Windows\SysWOW64\quwiep.exe
  C:\Windows\system32\quwiep.exe 1120 "C:\Windows\SysWOW64\fyvxov.exe"
  2⤵
  PID:212
- - C:\Windows\SysWOW64\quwiep.exe
    C:\Windows\system32\quwiep.exe 1120 "C:\Windows\SysWOW64\fyvxov.exe"
    3⤵
    PID:3728
  - - C:\Windows\SysWOW64\klpkte.exe
      C:\Windows\system32\klpkte.exe 1120 "C:\Windows\SysWOW64\quwiep.exe"
      4⤵
      PID:2128
    - - C:\Windows\SysWOW64\klpkte.exe
        
        C:\Windows\system32\klpkte.exe 1120 "C:\Windows\SysWOW64\quwiep.exe"
        5⤵
        
        PID:1148
      - C:\Windows\SysWOW64\sdolil.exe
        
        C:\Windows\system32\sdolil.exe 1088 "C:\Windows\SysWOW64\klpkte.exe"
        6⤵
        
        PID:3364
        
        C:\Windows\SysWOW64\sdolil.exe
        
        C:\Windows\system32\sdolil.exe 1088 "C:\Windows\SysWOW64\klpkte.exe"
        7⤵
        
        PID:2920
        
        C:\Windows\SysWOW64\dzpvpg.exe
        
        C:\Windows\system32\dzpvpg.exe 1120 "C:\Windows\SysWOW64\sdolil.exe"
        8⤵
        
        PID:3500
        
        C:\Windows\SysWOW64\dzpvpg.exe
        
        C:\Windows\system32\dzpvpg.exe 1120 "C:\Windows\SysWOW64\sdolil.exe"
        9⤵
        
        PID:2040
        
        C:\Windows\SysWOW64\nvqnxa.exe
        
        C:\Windows\system32\nvqnxa.exe 1128 "C:\Windows\SysWOW64\dzpvpg.exe"
        10⤵
        
        PID:1060
- - C:\Windows\SysWOW64\avccxz.exe
    C:\Windows\system32\avccxz.exe 1120 "C:\Windows\SysWOW64\pabjpf.exe"
    3⤵
    PID:4344
  - - C:\Windows\SysWOW64\kuozpy.exe
      C:\Windows\system32\kuozpy.exe 1120 "C:\Windows\SysWOW64\avccxz.exe"
      4⤵
      PID:2232
    - - C:\Windows\SysWOW64\kuozpy.exe
        
        C:\Windows\system32\kuozpy.exe 1120 "C:\Windows\SysWOW64\avccxz.exe"
        5⤵
        
        PID:1060
      - C:\Windows\SysWOW64\vmefuo.exe
        
        C:\Windows\system32\vmefuo.exe 1120 "C:\Windows\SysWOW64\kuozpy.exe"
        6⤵
        
        PID:3120

C:\Windows\SysWOW64\nvqnxa.exe
C:\Windows\system32\nvqnxa.exe 1128 "C:\Windows\SysWOW64\dzpvpg.exe"
1⤵
PID:4056
- C:\Windows\SysWOW64\xuulpz.exe
  C:\Windows\system32\xuulpz.exe 1096 "C:\Windows\SysWOW64\nvqnxa.exe"
  2⤵
  PID:1384
- - C:\Windows\SysWOW64\fcfxes.exe
    C:\Windows\system32\fcfxes.exe 1128 "C:\Windows\SysWOW64\vsprzu.exe"
    3⤵
    PID:3780
  - - C:\Windows\SysWOW64\nkaxyh.exe
      C:\Windows\system32\nkaxyh.exe 1112 "C:\Windows\SysWOW64\fcfxes.exe"
      4⤵
      PID:436
    - - C:\Windows\SysWOW64\xpivry.exe
        
        C:\Windows\system32\xpivry.exe 1120 "C:\Windows\SysWOW64\nuplbe.exe"
        5⤵
        
        PID:4812
      - C:\Windows\SysWOW64\hljozt.exe
        
        C:\Windows\system32\hljozt.exe 1036 "C:\Windows\SysWOW64\xpivry.exe"
        6⤵
        
        PID:1544
        
        C:\Windows\SysWOW64\hljozt.exe
        
        C:\Windows\system32\hljozt.exe 1036 "C:\Windows\SysWOW64\xpivry.exe"
        7⤵
        
        PID:1428
        
        C:\Windows\SysWOW64\shkygn.exe
        
        C:\Windows\system32\shkygn.exe 1096 "C:\Windows\SysWOW64\hljozt.exe"
        8⤵
        
        PID:2344

C:\Windows\SysWOW64\xuulpz.exe
C:\Windows\system32\xuulpz.exe 1096 "C:\Windows\SysWOW64\nvqnxa.exe"
1⤵
PID:4144
- C:\Windows\SysWOW64\ipvvxt.exe
  C:\Windows\system32\ipvvxt.exe 1084 "C:\Windows\SysWOW64\xuulpz.exe"
  2⤵
  PID:1940
- - C:\Windows\SysWOW64\ipvvxt.exe
    C:\Windows\system32\ipvvxt.exe 1084 "C:\Windows\SysWOW64\xuulpz.exe"
    3⤵
    PID:5088
  - - C:\Windows\SysWOW64\sloofo.exe
      C:\Windows\system32\sloofo.exe 1120 "C:\Windows\SysWOW64\ipvvxt.exe"
      4⤵
      PID:3932
    - - C:\Windows\SysWOW64\sloofo.exe
        
        C:\Windows\system32\sloofo.exe 1120 "C:\Windows\SysWOW64\ipvvxt.exe"
        5⤵
        
        PID:2896
      - C:\Windows\SysWOW64\dddlre.exe
        
        C:\Windows\system32\dddlre.exe 1136 "C:\Windows\SysWOW64\sloofo.exe"
        6⤵
        
        PID:1688

C:\Windows\SysWOW64\dddlre.exe
C:\Windows\system32\dddlre.exe 1136 "C:\Windows\SysWOW64\sloofo.exe"
1⤵
PID:4288
- C:\Windows\SysWOW64\qqvbxi.exe
  C:\Windows\system32\qqvbxi.exe 1120 "C:\Windows\SysWOW64\dddlre.exe"
  2⤵
  PID:452
- - C:\Windows\SysWOW64\qqvbxi.exe
    C:\Windows\system32\qqvbxi.exe 1120 "C:\Windows\SysWOW64\dddlre.exe"
    3⤵
    PID:3644
  - - C:\Windows\SysWOW64\xyqbjx.exe
      C:\Windows\system32\xyqbjx.exe 1092 "C:\Windows\SysWOW64\qqvbxi.exe"
      4⤵
      PID:2372
    - - C:\Windows\SysWOW64\xyqbjx.exe
        
        C:\Windows\system32\xyqbjx.exe 1092 "C:\Windows\SysWOW64\qqvbxi.exe"
        5⤵
        
        PID:3460
      - C:\Windows\SysWOW64\ktarpb.exe
        
        C:\Windows\system32\ktarpb.exe 1108 "C:\Windows\SysWOW64\xyqbjx.exe"
        6⤵
        
        PID:4532

C:\Windows\SysWOW64\ktarpb.exe
C:\Windows\system32\ktarpb.exe 1108 "C:\Windows\SysWOW64\xyqbjx.exe"
1⤵
PID:3884
- C:\Windows\SysWOW64\vobbfw.exe
  C:\Windows\system32\vobbfw.exe 1120 "C:\Windows\SysWOW64\ktarpb.exe"
  2⤵
  PID:456

C:\Windows\SysWOW64\vobbfw.exe
C:\Windows\system32\vobbfw.exe 1120 "C:\Windows\SysWOW64\ktarpb.exe"
1⤵
PID:4936
- C:\Windows\SysWOW64\fkcumq.exe
  C:\Windows\system32\fkcumq.exe 1120 "C:\Windows\SysWOW64\vobbfw.exe"
  2⤵
  PID:5048

C:\Windows\SysWOW64\qurzrg.exe
C:\Windows\system32\qurzrg.exe 1120 "C:\Windows\SysWOW64\fkcumq.exe"
1⤵
PID:2372
- C:\Windows\SysWOW64\abvwcf.exe
  C:\Windows\system32\abvwcf.exe 1132 "C:\Windows\SysWOW64\qurzrg.exe"
  2⤵
  PID:4516

C:\Windows\SysWOW64\abvwcf.exe
C:\Windows\system32\abvwcf.exe 1132 "C:\Windows\SysWOW64\qurzrg.exe"
1⤵
PID:4240
- C:\Windows\SysWOW64\kxwhrz.exe
  C:\Windows\system32\kxwhrz.exe 1120 "C:\Windows\SysWOW64\abvwcf.exe"
  2⤵
  PID:1428
- - C:\Windows\SysWOW64\kxwhrz.exe
    C:\Windows\system32\kxwhrz.exe 1120 "C:\Windows\SysWOW64\abvwcf.exe"
    3⤵
    PID:1996
  - - C:\Windows\SysWOW64\vsprzu.exe
      C:\Windows\system32\vsprzu.exe 1120 "C:\Windows\SysWOW64\kxwhrz.exe"
      4⤵
      PID:2312
    - - C:\Windows\SysWOW64\vsprzu.exe
        
        C:\Windows\system32\vsprzu.exe 1120 "C:\Windows\SysWOW64\kxwhrz.exe"
        5⤵
        
        PID:3800
      - C:\Windows\SysWOW64\fcfxes.exe
        
        C:\Windows\system32\fcfxes.exe 1128 "C:\Windows\SysWOW64\vsprzu.exe"
        6⤵
        
        PID:1384
    - - C:\Windows\SysWOW64\nuplbe.exe
        
        C:\Windows\system32\nuplbe.exe 1120 "C:\Windows\SysWOW64\cypauj.exe"
        5⤵
        
        PID:952
      - C:\Windows\SysWOW64\xpivry.exe
        
        C:\Windows\system32\xpivry.exe 1120 "C:\Windows\SysWOW64\nuplbe.exe"
        6⤵
        
        PID:436

C:\Windows\SysWOW64\nkaxyh.exe
C:\Windows\system32\nkaxyh.exe 1112 "C:\Windows\SysWOW64\fcfxes.exe"
1⤵
PID:1548
- C:\Windows\SysWOW64\xcqudy.exe
  C:\Windows\system32\xcqudy.exe 1092 "C:\Windows\SysWOW64\nkaxyh.exe"
  2⤵
  PID:316
- - C:\Windows\SysWOW64\xcqudy.exe
    C:\Windows\system32\xcqudy.exe 1092 "C:\Windows\SysWOW64\nkaxyh.exe"
    3⤵
    PID:452
  - - C:\Windows\SysWOW64\fgaiuj.exe
      C:\Windows\system32\fgaiuj.exe 1128 "C:\Windows\SysWOW64\xcqudy.exe"
      4⤵
      PID:4952

C:\Windows\SysWOW64\fgaiuj.exe
C:\Windows\system32\fgaiuj.exe 1128 "C:\Windows\SysWOW64\xcqudy.exe"
1⤵
PID:1052
- C:\Windows\SysWOW64\stkxan.exe
  C:\Windows\system32\stkxan.exe 1128 "C:\Windows\SysWOW64\fgaiuj.exe"
  2⤵
  PID:3212
- - C:\Windows\SysWOW64\atgxfl.exe
    C:\Windows\system32\atgxfl.exe 1120 "C:\Windows\SysWOW64\ncduxd.exe"
    3⤵
    PID:436
  - - C:\Windows\SysWOW64\kozpnf.exe
      C:\Windows\system32\kozpnf.exe 1088 "C:\Windows\SysWOW64\atgxfl.exe"
      4⤵
      PID:2752
    - - C:\Windows\SysWOW64\kozpnf.exe
        
        C:\Windows\system32\kozpnf.exe 1088 "C:\Windows\SysWOW64\atgxfl.exe"
        5⤵
        
        PID:2760
      - C:\Windows\SysWOW64\jwuihv.exe
        
        C:\Windows\system32\jwuihv.exe 1136 "C:\Windows\SysWOW64\kozpnf.exe"
        6⤵
        
        PID:2916
        
        C:\Windows\SysWOW64\jwuihv.exe
        
        C:\Windows\system32\jwuihv.exe 1136 "C:\Windows\SysWOW64\kozpnf.exe"
        7⤵
        
        PID:1120
        
        C:\Windows\SysWOW64\usvapp.exe
        
        C:\Windows\system32\usvapp.exe 1120 "C:\Windows\SysWOW64\jwuihv.exe"
        8⤵
        
        PID:740
        
        C:\Windows\SysWOW64\usvapp.exe
        
        C:\Windows\system32\usvapp.exe 1120 "C:\Windows\SysWOW64\jwuihv.exe"
        9⤵
        
        PID:5076
        
        C:\Windows\SysWOW64\hbbdsp.exe
        
        C:\Windows\system32\hbbdsp.exe 1120 "C:\Windows\SysWOW64\usvapp.exe"
        10⤵
        
        PID:3504
        
        C:\Windows\SysWOW64\hbbdsp.exe
        
        C:\Windows\system32\hbbdsp.exe 1120 "C:\Windows\SysWOW64\usvapp.exe"
        11⤵
        
        PID:4452
        
        C:\Windows\SysWOW64\ragakn.exe
        
        C:\Windows\system32\ragakn.exe 1128 "C:\Windows\SysWOW64\hbbdsp.exe"
        12⤵
        
        PID:2652
        
        C:\Windows\SysWOW64\ragakn.exe
        
        C:\Windows\system32\ragakn.exe 1128 "C:\Windows\SysWOW64\hbbdsp.exe"
        13⤵
        
        PID:1148
        
        C:\Windows\SysWOW64\cwgtsi.exe
        
        C:\Windows\system32\cwgtsi.exe 1120 "C:\Windows\SysWOW64\ragakn.exe"
        14⤵
        
        PID:3132
        
        C:\Windows\SysWOW64\cwgtsi.exe
        
        C:\Windows\system32\cwgtsi.exe 1120 "C:\Windows\SysWOW64\ragakn.exe"
        15⤵
        
        PID:5036
        
        C:\Windows\SysWOW64\jaryjt.exe
        
        C:\Windows\system32\jaryjt.exe 1096 "C:\Windows\SysWOW64\cwgtsi.exe"
        16⤵
        
        PID:4824
        
        C:\Windows\SysWOW64\jaryjt.exe
        
        C:\Windows\system32\jaryjt.exe 1096 "C:\Windows\SysWOW64\cwgtsi.exe"
        17⤵
        
        PID:4392
        
        C:\Windows\SysWOW64\zmrtfy.exe
        
        C:\Windows\system32\zmrtfy.exe 1120 "C:\Windows\SysWOW64\jaryjt.exe"
        18⤵
        
        PID:5064
        
        C:\Windows\SysWOW64\zmrtfy.exe
        
        C:\Windows\system32\zmrtfy.exe 1120 "C:\Windows\SysWOW64\jaryjt.exe"
        19⤵
        
        PID:3828
        
        C:\Windows\SysWOW64\kislvb.exe
        
        C:\Windows\system32\kislvb.exe 1128 "C:\Windows\SysWOW64\zmrtfy.exe"
        20⤵
        
        PID:840
        
        C:\Windows\SysWOW64\kislvb.exe
        
        C:\Windows\system32\kislvb.exe 1128 "C:\Windows\SysWOW64\zmrtfy.exe"
        21⤵
        
        PID:3276
        
        C:\Windows\SysWOW64\uelwcv.exe
        
        C:\Windows\system32\uelwcv.exe 1108 "C:\Windows\SysWOW64\kislvb.exe"
        22⤵
        
        PID:4612
        
        C:\Windows\SysWOW64\uelwcv.exe
        
        C:\Windows\system32\uelwcv.exe 1108 "C:\Windows\SysWOW64\kislvb.exe"
        23⤵
        
        PID:2652
        
        C:\Windows\SysWOW64\edxtnu.exe
        
        C:\Windows\system32\edxtnu.exe 1120 "C:\Windows\SysWOW64\uelwcv.exe"
        24⤵
        
        PID:3096
        
        C:\Windows\SysWOW64\edxtnu.exe
        
        C:\Windows\system32\edxtnu.exe 1120 "C:\Windows\SysWOW64\uelwcv.exe"
        25⤵
        
        PID:4112
        
        C:\Windows\SysWOW64\rqgjsq.exe
        
        C:\Windows\system32\rqgjsq.exe 1124 "C:\Windows\SysWOW64\edxtnu.exe"
        26⤵
        
        PID:840
        
        C:\Windows\SysWOW64\rqgjsq.exe
        
        C:\Windows\system32\rqgjsq.exe 1124 "C:\Windows\SysWOW64\edxtnu.exe"
        27⤵
        
        PID:1472
        
        C:\Windows\SysWOW64\ciwofg.exe
        
        C:\Windows\system32\ciwofg.exe 1132 "C:\Windows\SysWOW64\rqgjsq.exe"
        28⤵
        
        PID:4260
        
        C:\Windows\SysWOW64\ciwofg.exe
        
        C:\Windows\system32\ciwofg.exe 1132 "C:\Windows\SysWOW64\rqgjsq.exe"
        29⤵
        
        PID:4192
        
        C:\Windows\SysWOW64\mktztj.exe
        
        C:\Windows\system32\mktztj.exe 1112 "C:\Windows\SysWOW64\ciwofg.exe"
        30⤵
        
        PID:3096
        
        C:\Windows\SysWOW64\mktztj.exe
        
        C:\Windows\system32\mktztj.exe 1112 "C:\Windows\SysWOW64\ciwofg.exe"
        31⤵
        
        PID:4912
        
        C:\Windows\SysWOW64\wgmjae.exe
        
        C:\Windows\system32\wgmjae.exe 1128 "C:\Windows\SysWOW64\mktztj.exe"
        32⤵
        
        PID:3132
        
        C:\Windows\SysWOW64\wgmjae.exe
        
        C:\Windows\system32\wgmjae.exe 1128 "C:\Windows\SysWOW64\mktztj.exe"
        33⤵
        
        PID:3932
        
        C:\Windows\SysWOW64\hcnbqy.exe
        
        C:\Windows\system32\hcnbqy.exe 1088 "C:\Windows\SysWOW64\wgmjae.exe"
        34⤵
        
        PID:4740
        
        C:\Windows\SysWOW64\hcnbqy.exe
        
        C:\Windows\system32\hcnbqy.exe 1088 "C:\Windows\SysWOW64\wgmjae.exe"
        35⤵
        
        PID:4772
        
        C:\Windows\SysWOW64\ultety.exe
        
        C:\Windows\system32\ultety.exe 1128 "C:\Windows\SysWOW64\hcnbqy.exe"
        36⤵
        
        PID:2652
        
        C:\Windows\SysWOW64\ultety.exe
        
        C:\Windows\system32\ultety.exe 1128 "C:\Windows\SysWOW64\hcnbqy.exe"
        37⤵
        
        PID:3012
        
        C:\Windows\SysWOW64\cthwfn.exe
        
        C:\Windows\system32\cthwfn.exe 1128 "C:\Windows\SysWOW64\ultety.exe"
        38⤵
        
        PID:3832
        
        C:\Windows\SysWOW64\cthwfn.exe
        
        C:\Windows\system32\cthwfn.exe 1128 "C:\Windows\SysWOW64\ultety.exe"
        39⤵
        
        PID:1544
        
        C:\Windows\SysWOW64\mhtphh.exe
        
        C:\Windows\system32\mhtphh.exe 1128 "C:\Windows\SysWOW64\cthwfn.exe"
        40⤵
        
        PID:4808
        
        C:\Windows\SysWOW64\mhtphh.exe
        
        C:\Windows\system32\mhtphh.exe 1128 "C:\Windows\SysWOW64\cthwfn.exe"
        41⤵
        
        PID:2128
        
        C:\Windows\SysWOW64\ccorrg.exe
        
        C:\Windows\system32\ccorrg.exe 1120 "C:\Windows\SysWOW64\mhtphh.exe"
        42⤵
        
        PID:5048

C:\Windows\SysWOW64\stkxan.exe
C:\Windows\system32\stkxan.exe 1128 "C:\Windows\SysWOW64\fgaiuj.exe"
1⤵
PID:3832
- C:\Windows\SysWOW64\dpkihh.exe
  C:\Windows\system32\dpkihh.exe 1120 "C:\Windows\SysWOW64\stkxan.exe"
  2⤵
  PID:4516
- - C:\Windows\SysWOW64\dpkihh.exe
    C:\Windows\system32\dpkihh.exe 1120 "C:\Windows\SysWOW64\stkxan.exe"
    3⤵
    PID:2904
  - - C:\Windows\SysWOW64\pofkqp.exe
      C:\Windows\system32\pofkqp.exe 1120 "C:\Windows\SysWOW64\dpkihh.exe"
      4⤵
      PID:4112
    - - C:\Windows\SysWOW64\pofkqp.exe
        
        C:\Windows\system32\pofkqp.exe 1120 "C:\Windows\SysWOW64\dpkihh.exe"
        5⤵
        
        PID:316
      - C:\Windows\SysWOW64\ayvqvf.exe
        
        C:\Windows\system32\ayvqvf.exe 1120 "C:\Windows\SysWOW64\pofkqp.exe"
        6⤵
        
        PID:4260
        
        C:\Windows\SysWOW64\cypauj.exe
        
        C:\Windows\system32\cypauj.exe 1120 "C:\Windows\SysWOW64\sdoimp.exe"
        7⤵
        
        PID:1300
        
        C:\Windows\SysWOW64\nuplbe.exe
        
        C:\Windows\system32\nuplbe.exe 1120 "C:\Windows\SysWOW64\cypauj.exe"
        8⤵
        
        PID:2312
- - C:\Windows\SysWOW64\snctai.exe
    C:\Windows\system32\snctai.exe 1120 "C:\Windows\SysWOW64\kmdttb.exe"
    3⤵
    PID:1384
  - - C:\Windows\SysWOW64\cmhqkh.exe
      C:\Windows\system32\cmhqkh.exe 1124 "C:\Windows\SysWOW64\snctai.exe"
      4⤵
      PID:3076
    - - C:\Windows\SysWOW64\cmhqkh.exe
        
        C:\Windows\system32\cmhqkh.exe 1124 "C:\Windows\SysWOW64\snctai.exe"
        5⤵
        
        PID:2504
      - C:\Windows\SysWOW64\newwxx.exe
        
        C:\Windows\system32\newwxx.exe 1124 "C:\Windows\SysWOW64\cmhqkh.exe"
        6⤵
        
        PID:3504
        
        C:\Windows\SysWOW64\newwxx.exe
        
        C:\Windows\system32\newwxx.exe 1124 "C:\Windows\SysWOW64\cmhqkh.exe"
        7⤵
        
        PID:1616
        
        C:\Windows\SysWOW64\uagbgi.exe
        
        C:\Windows\system32\uagbgi.exe 1128 "C:\Windows\SysWOW64\newwxx.exe"
        8⤵
        
        PID:5048
        
        C:\Windows\SysWOW64\uagbgi.exe
        
        C:\Windows\system32\uagbgi.exe 1128 "C:\Windows\SysWOW64\newwxx.exe"
        9⤵
        
        PID:4984
        
        C:\Windows\SysWOW64\knhwkv.exe
        
        C:\Windows\system32\knhwkv.exe 1136 "C:\Windows\SysWOW64\uagbgi.exe"
        10⤵
        
        PID:3136
        
        C:\Windows\SysWOW64\ccorrg.exe
        
        C:\Windows\system32\ccorrg.exe 1120 "C:\Windows\SysWOW64\mhtphh.exe"
        9⤵
        
        PID:1296
        
        C:\Windows\SysWOW64\utpjfm.exe
        
        C:\Windows\system32\utpjfm.exe 1128 "C:\Windows\SysWOW64\ccorrg.exe"
        10⤵
        
        PID:1688
        
        C:\Windows\SysWOW64\utpjfm.exe
        
        C:\Windows\system32\utpjfm.exe 1128 "C:\Windows\SysWOW64\ccorrg.exe"
        11⤵
        
        PID:3552
        
        C:\Windows\SysWOW64\rldbup.exe
        
        C:\Windows\system32\rldbup.exe 1120 "C:\Windows\SysWOW64\utpjfm.exe"
        12⤵
        
        PID:5100
        
        C:\Windows\SysWOW64\rldbup.exe
        
        C:\Windows\system32\rldbup.exe 1120 "C:\Windows\SysWOW64\utpjfm.exe"
        13⤵
        
        PID:2916
        
        C:\Windows\SysWOW64\jpsrhh.exe
        
        C:\Windows\system32\jpsrhh.exe 1120 "C:\Windows\SysWOW64\rldbup.exe"
        14⤵
        
        PID:4476
        
        C:\Windows\SysWOW64\jpsrhh.exe
        
        C:\Windows\system32\jpsrhh.exe 1120 "C:\Windows\SysWOW64\rldbup.exe"
        15⤵
        
        PID:3736
        
        C:\Windows\SysWOW64\jelguo.exe
        
        C:\Windows\system32\jelguo.exe 1120 "C:\Windows\SysWOW64\jpsrhh.exe"
        16⤵
        
        PID:1508
        
        C:\Windows\SysWOW64\jelguo.exe
        
        C:\Windows\system32\jelguo.exe 1120 "C:\Windows\SysWOW64\jpsrhh.exe"
        17⤵
        
        PID:740
        
        C:\Windows\SysWOW64\dhzpll.exe
        
        C:\Windows\system32\dhzpll.exe 1124 "C:\Windows\SysWOW64\jelguo.exe"
        18⤵
        
        PID:3928
        
        C:\Windows\SysWOW64\dhzpll.exe
        
        C:\Windows\system32\dhzpll.exe 1124 "C:\Windows\SysWOW64\jelguo.exe"
        19⤵
        
        PID:3156
        
        C:\Windows\SysWOW64\ghborz.exe
        
        C:\Windows\system32\ghborz.exe 1104 "C:\Windows\SysWOW64\dhzpll.exe"
        20⤵
        
        PID:4476
        
        C:\Windows\SysWOW64\ghborz.exe
        
        C:\Windows\system32\ghborz.exe 1104 "C:\Windows\SysWOW64\dhzpll.exe"
        21⤵
        
        PID:1000
        
        C:\Windows\SysWOW64\rccygt.exe
        
        C:\Windows\system32\rccygt.exe 1088 "C:\Windows\SysWOW64\ghborz.exe"
        22⤵
        
        PID:2108
        
        C:\Windows\SysWOW64\rccygt.exe
        
        C:\Windows\system32\rccygt.exe 1088 "C:\Windows\SysWOW64\ghborz.exe"
        23⤵
        
        PID:2252
        
        C:\Windows\SysWOW64\wmuuzw.exe
        
        C:\Windows\system32\wmuuzw.exe 1128 "C:\Windows\SysWOW64\rccygt.exe"
        24⤵
        
        PID:3136
        
        C:\Windows\SysWOW64\wmuuzw.exe
        
        C:\Windows\system32\wmuuzw.exe 1128 "C:\Windows\SysWOW64\rccygt.exe"
        25⤵
        
        PID:2328
        
        C:\Windows\SysWOW64\jzovet.exe
        
        C:\Windows\system32\jzovet.exe 1128 "C:\Windows\SysWOW64\wmuuzw.exe"
        26⤵
        
        PID:2652
        
        C:\Windows\SysWOW64\jzovet.exe
        
        C:\Windows\system32\jzovet.exe 1128 "C:\Windows\SysWOW64\wmuuzw.exe"
        27⤵
        
        PID:4904
        
        C:\Windows\SysWOW64\zhktrx.exe
        
        C:\Windows\system32\zhktrx.exe 1092 "C:\Windows\SysWOW64\jzovet.exe"
        28⤵
        
        PID:2580
        
        C:\Windows\SysWOW64\zhktrx.exe
        
        C:\Windows\system32\zhktrx.exe 1092 "C:\Windows\SysWOW64\jzovet.exe"
        29⤵
        
        PID:3212
        
        C:\Windows\SysWOW64\jhvqqd.exe
        
        C:\Windows\system32\jhvqqd.exe 1120 "C:\Windows\SysWOW64\zhktrx.exe"
        30⤵
        
        PID:1952
        
        C:\Windows\SysWOW64\jhvqqd.exe
        
        C:\Windows\system32\jhvqqd.exe 1120 "C:\Windows\SysWOW64\zhktrx.exe"
        31⤵
        
        PID:1652
        
        C:\Windows\SysWOW64\lewimw.exe
        
        C:\Windows\system32\lewimw.exe 1120 "C:\Windows\SysWOW64\jhvqqd.exe"
        32⤵
        
        PID:3604
        
        C:\Windows\SysWOW64\lewimw.exe
        
        C:\Windows\system32\lewimw.exe 1120 "C:\Windows\SysWOW64\jhvqqd.exe"
        33⤵
        
        PID:3668
        
        C:\Windows\SysWOW64\ynlmzl.exe
        
        C:\Windows\system32\ynlmzl.exe 1128 "C:\Windows\SysWOW64\lewimw.exe"
        34⤵
        
        PID:1388
        
        C:\Windows\SysWOW64\ynlmzl.exe
        
        C:\Windows\system32\ynlmzl.exe 1128 "C:\Windows\SysWOW64\lewimw.exe"
        35⤵
        
        PID:3212
        
        C:\Windows\SysWOW64\ynwpqn.exe
        
        C:\Windows\system32\ynwpqn.exe 1080 "C:\Windows\SysWOW64\ynlmzl.exe"
        36⤵
        
        PID:4960
        
        C:\Windows\SysWOW64\ynwpqn.exe
        
        C:\Windows\system32\ynwpqn.exe 1080 "C:\Windows\SysWOW64\ynlmzl.exe"
        37⤵
        
        PID:2376
        
        C:\Windows\SysWOW64\tfqsoc.exe
        
        C:\Windows\system32\tfqsoc.exe 1120 "C:\Windows\SysWOW64\ynwpqn.exe"
        38⤵
        
        PID:1032
        
        C:\Windows\SysWOW64\tfqsoc.exe
        
        C:\Windows\system32\tfqsoc.exe 1120 "C:\Windows\SysWOW64\ynwpqn.exe"
        39⤵
        
        PID:3504
        
        C:\Windows\SysWOW64\gsiity.exe
        
        C:\Windows\system32\gsiity.exe 1120 "C:\Windows\SysWOW64\tfqsoc.exe"
        40⤵
        
        PID:2948
        
        C:\Windows\SysWOW64\gsiity.exe
        
        C:\Windows\system32\gsiity.exe 1120 "C:\Windows\SysWOW64\tfqsoc.exe"
        41⤵
        
        PID:1592
        
        C:\Windows\SysWOW64\iczfmu.exe
        
        C:\Windows\system32\iczfmu.exe 1120 "C:\Windows\SysWOW64\gsiity.exe"
        42⤵
        
        PID:3260

C:\Windows\SysWOW64\ayvqvf.exe
C:\Windows\system32\ayvqvf.exe 1120 "C:\Windows\SysWOW64\pofkqp.exe"
1⤵
PID:4800
- C:\Windows\SysWOW64\kikaqi.exe
  C:\Windows\system32\kikaqi.exe 1128 "C:\Windows\SysWOW64\ayvqvf.exe"
  2⤵
  PID:4324
- - C:\Windows\SysWOW64\cqdhmf.exe
    C:\Windows\system32\cqdhmf.exe 1120 "C:\Windows\SysWOW64\svcwfl.exe"
    3⤵
    PID:1552
  - - C:\Windows\SysWOW64\pabjpf.exe
      C:\Windows\system32\pabjpf.exe 1120 "C:\Windows\SysWOW64\cqdhmf.exe"
      4⤵
      PID:4772

C:\Windows\SysWOW64\kikaqi.exe
C:\Windows\system32\kikaqi.exe 1128 "C:\Windows\SysWOW64\ayvqvf.exe"
1⤵
PID:1724
- C:\Windows\SysWOW64\mellyd.exe
  C:\Windows\system32\mellyd.exe 1120 "C:\Windows\SysWOW64\kikaqi.exe"
  2⤵
  PID:3136
- - C:\Windows\SysWOW64\mellyd.exe
    C:\Windows\system32\mellyd.exe 1120 "C:\Windows\SysWOW64\kikaqi.exe"
    3⤵
    PID:3468
  - - C:\Windows\SysWOW64\anrvbc.exe
      C:\Windows\system32\anrvbc.exe 1128 "C:\Windows\SysWOW64\mellyd.exe"
      4⤵
      PID:1768
    - - C:\Windows\SysWOW64\anrvbc.exe
        
        C:\Windows\system32\anrvbc.exe 1128 "C:\Windows\SysWOW64\mellyd.exe"
        5⤵
        
        PID:3236
      - C:\Windows\SysWOW64\kmdttb.exe
        
        C:\Windows\system32\kmdttb.exe 1120 "C:\Windows\SysWOW64\anrvbc.exe"
        6⤵
        
        PID:3932
        
        C:\Windows\SysWOW64\kmdttb.exe
        
        C:\Windows\system32\kmdttb.exe 1120 "C:\Windows\SysWOW64\anrvbc.exe"
        7⤵
        
        PID:2112
        
        C:\Windows\SysWOW64\snctai.exe
        
        C:\Windows\system32\snctai.exe 1120 "C:\Windows\SysWOW64\kmdttb.exe"
        8⤵
        
        PID:4516
- - C:\Windows\SysWOW64\knhwkv.exe
    C:\Windows\system32\knhwkv.exe 1136 "C:\Windows\SysWOW64\uagbgi.exe"
    3⤵
    PID:1476
  - - C:\Windows\SysWOW64\svcwfl.exe
      C:\Windows\system32\svcwfl.exe 1120 "C:\Windows\SysWOW64\knhwkv.exe"
      4⤵
      PID:2236
    - - C:\Windows\SysWOW64\svcwfl.exe
        
        C:\Windows\system32\svcwfl.exe 1120 "C:\Windows\SysWOW64\knhwkv.exe"
        5⤵
        
        PID:4532
      - C:\Windows\SysWOW64\cqdhmf.exe
        
        C:\Windows\system32\cqdhmf.exe 1120 "C:\Windows\SysWOW64\svcwfl.exe"
        6⤵
        
        PID:4324

C:\Windows\SysWOW64\vmefuo.exe
C:\Windows\system32\vmefuo.exe 1120 "C:\Windows\SysWOW64\kuozpy.exe"
1⤵
PID:1788
- C:\Windows\SysWOW64\fixpcj.exe
  C:\Windows\system32\fixpcj.exe 1128 "C:\Windows\SysWOW64\vmefuo.exe"
  2⤵
  PID:3012
- - C:\Windows\SysWOW64\fixpcj.exe
    C:\Windows\system32\fixpcj.exe 1128 "C:\Windows\SysWOW64\vmefuo.exe"
    3⤵
    PID:820
  - - C:\Windows\SysWOW64\pexhjd.exe
      C:\Windows\system32\pexhjd.exe 1120 "C:\Windows\SysWOW64\fixpcj.exe"
      4⤵
      PID:2128
    - - C:\Windows\SysWOW64\pexhjd.exe
        
        C:\Windows\system32\pexhjd.exe 1120 "C:\Windows\SysWOW64\fixpcj.exe"
        5⤵
        
        PID:3888
      - C:\Windows\SysWOW64\zdcfcc.exe
        
        C:\Windows\system32\zdcfcc.exe 980 "C:\Windows\SysWOW64\pexhjd.exe"
        6⤵
        
        PID:3276
        
        C:\Windows\SysWOW64\zdcfcc.exe
        
        C:\Windows\system32\zdcfcc.exe 980 "C:\Windows\SysWOW64\pexhjd.exe"
        7⤵
        
        PID:1940
        
        C:\Windows\SysWOW64\kvrcgs.exe
        
        C:\Windows\system32\kvrcgs.exe 1128 "C:\Windows\SysWOW64\zdcfcc.exe"
        8⤵
        
        PID:4612
        
        C:\Windows\SysWOW64\kvrcgs.exe
        
        C:\Windows\system32\kvrcgs.exe 1128 "C:\Windows\SysWOW64\zdcfcc.exe"
        9⤵
        
        PID:412
        
        C:\Windows\SysWOW64\uudirr.exe
        
        C:\Windows\system32\uudirr.exe 1120 "C:\Windows\SysWOW64\kvrcgs.exe"
        10⤵
        
        PID:2084
        
        C:\Windows\SysWOW64\uudirr.exe
        
        C:\Windows\system32\uudirr.exe 1120 "C:\Windows\SysWOW64\kvrcgs.exe"
        11⤵
        
        PID:2356
        
        C:\Windows\SysWOW64\fqesgl.exe
        
        C:\Windows\system32\fqesgl.exe 1120 "C:\Windows\SysWOW64\uudirr.exe"
        12⤵
        
        PID:3932
        
        C:\Windows\SysWOW64\fqesgl.exe
        
        C:\Windows\system32\fqesgl.exe 1120 "C:\Windows\SysWOW64\uudirr.exe"
        13⤵
        
        PID:4988
        
        C:\Windows\SysWOW64\sdoimp.exe
        
        C:\Windows\system32\sdoimp.exe 1128 "C:\Windows\SysWOW64\fqesgl.exe"
        14⤵
        
        PID:4144
        
        C:\Windows\SysWOW64\sdoimp.exe
        
        C:\Windows\system32\sdoimp.exe 1128 "C:\Windows\SysWOW64\fqesgl.exe"
        15⤵
        
        PID:212
        
        C:\Windows\SysWOW64\cypauj.exe
        
        C:\Windows\system32\cypauj.exe 1120 "C:\Windows\SysWOW64\sdoimp.exe"
        16⤵
        
        PID:4260
        
        C:\Windows\SysWOW64\mbpogh.exe
        
        C:\Windows\system32\mbpogh.exe 1120 "C:\Windows\SysWOW64\cgovzm.exe"
        9⤵
        
        PID:1992
        
        C:\Windows\SysWOW64\alvrjg.exe
        
        C:\Windows\system32\alvrjg.exe 1120 "C:\Windows\SysWOW64\mbpogh.exe"
        10⤵
        
        PID:3504
        
        C:\Windows\SysWOW64\alvrjg.exe
        
        C:\Windows\system32\alvrjg.exe 1120 "C:\Windows\SysWOW64\mbpogh.exe"
        11⤵
        
        PID:2560
        
        C:\Windows\SysWOW64\kgojrb.exe
        
        C:\Windows\system32\kgojrb.exe 1120 "C:\Windows\SysWOW64\alvrjg.exe"
        12⤵
        
        PID:3356
        
        C:\Windows\SysWOW64\kgojrb.exe
        
        C:\Windows\system32\kgojrb.exe 1120 "C:\Windows\SysWOW64\alvrjg.exe"
        13⤵
        
        PID:3120
        
        C:\Windows\SysWOW64\vcpugv.exe
        
        C:\Windows\system32\vcpugv.exe 1120 "C:\Windows\SysWOW64\kgojrb.exe"
        14⤵
        
        PID:4612
        
        C:\Windows\SysWOW64\vcpugv.exe
        
        C:\Windows\system32\vcpugv.exe 1120 "C:\Windows\SysWOW64\kgojrb.exe"
        15⤵
        
        PID:3832
        
        C:\Windows\SysWOW64\eneeuy.exe
        
        C:\Windows\system32\eneeuy.exe 1120 "C:\Windows\SysWOW64\vcpugv.exe"
        16⤵
        
        PID:3468
        
        C:\Windows\SysWOW64\eneeuy.exe
        
        C:\Windows\system32\eneeuy.exe 1120 "C:\Windows\SysWOW64\vcpugv.exe"
        17⤵
        
        PID:772
        
        C:\Windows\SysWOW64\pifobt.exe
        
        C:\Windows\system32\pifobt.exe 1120 "C:\Windows\SysWOW64\eneeuy.exe"
        18⤵
        
        PID:1688
        
        C:\Windows\SysWOW64\pifobt.exe
        
        C:\Windows\system32\pifobt.exe 1120 "C:\Windows\SysWOW64\eneeuy.exe"
        19⤵
        
        PID:2312
        
        C:\Windows\SysWOW64\zeghrn.exe
        
        C:\Windows\system32\zeghrn.exe 1120 "C:\Windows\SysWOW64\pifobt.exe"
        20⤵
        
        PID:3708
        
        C:\Windows\SysWOW64\zeghrn.exe
        
        C:\Windows\system32\zeghrn.exe 1120 "C:\Windows\SysWOW64\pifobt.exe"
        21⤵
        
        PID:844
        
        C:\Windows\SysWOW64\fcdpwo.exe
        
        C:\Windows\system32\fcdpwo.exe 1120 "C:\Windows\SysWOW64\zeghrn.exe"
        22⤵
        
        PID:5036
        
        C:\Windows\SysWOW64\fcdpwo.exe
        
        C:\Windows\system32\fcdpwo.exe 1120 "C:\Windows\SysWOW64\zeghrn.exe"
        23⤵
        
        PID:4696
        
        C:\Windows\SysWOW64\spvecs.exe
        
        C:\Windows\system32\spvecs.exe 1128 "C:\Windows\SysWOW64\fcdpwo.exe"
        24⤵
        
        PID:4488
        
        C:\Windows\SysWOW64\spvecs.exe
        
        C:\Windows\system32\spvecs.exe 1128 "C:\Windows\SysWOW64\fcdpwo.exe"
        25⤵
        
        PID:4952
        
        C:\Windows\SysWOW64\ckoxsn.exe
        
        C:\Windows\system32\ckoxsn.exe 1116 "C:\Windows\SysWOW64\spvecs.exe"
        26⤵
        
        PID:4616
        
        C:\Windows\SysWOW64\ckoxsn.exe
        
        C:\Windows\system32\ckoxsn.exe 1116 "C:\Windows\SysWOW64\spvecs.exe"
        27⤵
        
        PID:2344
        
        C:\Windows\SysWOW64\ncduxd.exe
        
        C:\Windows\system32\ncduxd.exe 1128 "C:\Windows\SysWOW64\ckoxsn.exe"
        28⤵
        
        PID:4392
        
        C:\Windows\SysWOW64\vefnxg.exe
        
        C:\Windows\system32\vefnxg.exe 1120 "C:\Windows\SysWOW64\iczfmu.exe"
        27⤵
        
        PID:1364
        
        C:\Windows\SysWOW64\xzgffb.exe
        
        C:\Windows\system32\xzgffb.exe 1128 "C:\Windows\SysWOW64\vefnxg.exe"
        28⤵
        
        PID:3168
        
        C:\Windows\SysWOW64\xzgffb.exe
        
        C:\Windows\system32\xzgffb.exe 1128 "C:\Windows\SysWOW64\vefnxg.exe"
        29⤵
        
        PID:3504
        
        C:\Windows\SysWOW64\ivzquv.exe
        
        C:\Windows\system32\ivzquv.exe 1120 "C:\Windows\SysWOW64\xzgffb.exe"
        30⤵
        
        PID:3588

C:\Windows\SysWOW64\shkygn.exe
C:\Windows\system32\shkygn.exe 1096 "C:\Windows\SysWOW64\hljozt.exe"
1⤵
PID:3500
- C:\Windows\SysWOW64\cgovzm.exe
  C:\Windows\system32\cgovzm.exe 1128 "C:\Windows\SysWOW64\shkygn.exe"
  2⤵
  PID:1492

C:\Windows\SysWOW64\cgovzm.exe
C:\Windows\system32\cgovzm.exe 1128 "C:\Windows\SysWOW64\shkygn.exe"
1⤵
PID:4324
- C:\Windows\SysWOW64\mbpogh.exe
  C:\Windows\system32\mbpogh.exe 1120 "C:\Windows\SysWOW64\cgovzm.exe"
  2⤵
  PID:4612

C:\Windows\SysWOW64\ncduxd.exe
C:\Windows\system32\ncduxd.exe 1128 "C:\Windows\SysWOW64\ckoxsn.exe"
1⤵
PID:3468
- C:\Windows\SysWOW64\atgxfl.exe
  C:\Windows\system32\atgxfl.exe 1120 "C:\Windows\SysWOW64\ncduxd.exe"
  2⤵
  PID:3212

C:\Windows\SysWOW64\iczfmu.exe
C:\Windows\system32\iczfmu.exe 1120 "C:\Windows\SysWOW64\gsiity.exe"
1⤵
PID:2752
- C:\Windows\SysWOW64\vefnxg.exe
  C:\Windows\system32\vefnxg.exe 1120 "C:\Windows\SysWOW64\iczfmu.exe"
  2⤵
  PID:4616

C:\Windows\SysWOW64\ivzquv.exe
C:\Windows\system32\ivzquv.exe 1120 "C:\Windows\SysWOW64\xzgffb.exe"
1⤵
PID:4012
- C:\Windows\SysWOW64\virgaz.exe
  C:\Windows\system32\virgaz.exe 1120 "C:\Windows\SysWOW64\ivzquv.exe"
  2⤵
  PID:1952
- - C:\Windows\SysWOW64\virgaz.exe
    C:\Windows\system32\virgaz.exe 1120 "C:\Windows\SysWOW64\ivzquv.exe"
    3⤵
    PID:2036
  - - C:\Windows\SysWOW64\gaglfp.exe
      C:\Windows\system32\gaglfp.exe 1120 "C:\Windows\SysWOW64\virgaz.exe"
      4⤵
      PID:2948
    - - C:\Windows\SysWOW64\gaglfp.exe
        
        C:\Windows\system32\gaglfp.exe 1120 "C:\Windows\SysWOW64\virgaz.exe"
        5⤵
        
        PID:5100
      - C:\Windows\SysWOW64\qvhwmk.exe
        
        C:\Windows\system32\qvhwmk.exe 1128 "C:\Windows\SysWOW64\gaglfp.exe"
        6⤵
        
        PID:1812

C:\Windows\SysWOW64\qvhwmk.exe
C:\Windows\system32\qvhwmk.exe 1128 "C:\Windows\SysWOW64\gaglfp.exe"
1⤵
PID:812

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\SysWOW64\ghqurd.exe

Filesize
92KB

MD5
e0a59d2838bd563518fecfa19359f77f

SHA1
167f762462082232242d35384e12b3ca98f728c0

SHA256
84100cc16059f00bc8504366dedb35f564710852682d6da877cc349d9c1fb1a5

SHA512
3a9f00a150ed40ec8950aec742c9fb37cfba574898f4e3f84eb742fa9a140ef492dfc40c74c85a6e723b356a85043312c7e0c4f16c7c4949fe906bd84e44154f

Download Submit
C:\Windows\SysWOW64\tqltuj.exe

Filesize
57KB

MD5
1da04208757d13927aeddff4deef0e78

SHA1
58b73f9ddf36991f3d615a44cbe2eaf01e8642f0

SHA256
b63419595ef7b20d60282000709e6c14fec5f41e42ac5abb6bf1c41b87373119

SHA512
deb33ef815cf0c9677972ec18b78bd9ab99226c600527358c6a007dae81480b264a770ab0fa383578320a17acba756e600648422dfcf4996094683954f9fe9f0

Download Submit
memory/488-15-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/488-0-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/488-2-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/488-3-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/528-368-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/528-353-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/576-323-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/576-340-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/816-87-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/816-74-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/944-184-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/944-202-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/1112-210-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/1112-231-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/1204-429-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/1204-413-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/1332-215-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/1332-197-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/1336-433-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/1408-286-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/1408-273-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/1412-38-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/1412-51-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/1524-403-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/1524-418-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/1564-298-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/1564-283-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/1628-267-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/1628-249-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/1968-262-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/1968-278-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/2256-191-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/2256-171-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/2432-179-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/2432-158-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/2508-223-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/2508-241-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/2588-75-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/2588-62-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/2692-39-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/2692-26-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/3176-308-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/3176-293-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/3292-236-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/3292-254-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/3476-111-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/3476-98-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/3532-363-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/3532-379-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/3716-333-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/3716-349-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/3744-27-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/3744-14-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/3872-303-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/3872-312-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/3880-423-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/3936-135-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/3936-122-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/3984-343-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/3984-358-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/4316-123-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/4316-110-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/4360-409-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/4360-393-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/4564-398-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/4564-383-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/4628-50-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/4628-63-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/4684-373-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/4684-386-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/4792-326-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/4792-316-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/4796-99-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/4796-86-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/4976-163-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/4976-146-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/5084-134-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download
memory/5084-147-0x0000000000400000-0x000000000050D000-memory.dmp

Filesize
1.1MB

Download