159218637fbec2b6a1b9a2ec6dd77952d5515678613f22d9e5589cabdbcb265f

Analysis

max time kernel
121s
max time network
36s
platform
windows7_x64
resource
win7-20231215-en
resource tags

arch:x64arch:x86image:win7-20231215-enlocale:en-usos:windows7-x64system
submitted
30/12/2023, 22:16

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

1e3227b6e1af877507e32a93c5441fd4.exe
Size

83KB
MD5

1e3227b6e1af877507e32a93c5441fd4
SHA1

308439bd46f09e2c762e70c8d9a3ebf9eb527fcf
SHA256

159218637fbec2b6a1b9a2ec6dd77952d5515678613f22d9e5589cabdbcb265f
SHA512

e8ae2c362dd163f51ce15bd60de6c2e4e770d090030ec2480a30d865821cae414cd728ce732d3e20657d6a585f22b4e6e0362ca8ed7d38eb08707271bc00e2f7
SSDEEP

768:52NtaxVWZKrTM+1Z6/25l6FxD90My9625y1uRpAo3X53MPWELTb5SQSgj8+kudKV:5ZVW2ToLXm/6q9ELH5SQPiQKyhQxgc

Score

7^/10

upx

Malware Config

Signatures

Executes dropped EXE 64 IoCs

pid	Process
2092	explorer.exe
2248	explorer.exe
2700	explorer.exe
2572	explorer.exe
3052	explorer.exe
2036	explorer.exe
2872	explorer.exe
536	explorer.exe
1908	smss.exe
1876	smss.exe
440	explorer.exe
2864	smss.exe
1328	explorer.exe
1676	explorer.exe
2344	explorer.exe
552	smss.exe
1352	explorer.exe
2060	explorer.exe
1708	explorer.exe
2140	explorer.exe
400	smss.exe
2452	explorer.exe
1380	explorer.exe
1820	explorer.exe
1176	explorer.exe
2428	smss.exe
1824	explorer.exe
972	explorer.exe
904	explorer.exe
836	explorer.exe
868	explorer.exe
2068	explorer.exe
3020	smss.exe
2276	explorer.exe
2020	explorer.exe
1580	explorer.exe
1600	explorer.exe
2712	smss.exe
2752	explorer.exe
1652	explorer.exe
2504	explorer.exe
2616	explorer.exe
2580	explorer.exe
2768	explorer.exe
2444	explorer.exe
2400	explorer.exe
2852	explorer.exe
2540	explorer.exe
1636	explorer.exe
1732	explorer.exe
1148	explorer.exe
604	explorer.exe
1408	smss.exe
1644	explorer.exe
3032	explorer.exe
1296	explorer.exe
984	explorer.exe
2660	explorer.exe
2968	smss.exe
1488	explorer.exe
952	smss.exe
988	explorer.exe
2072	explorer.exe
1760	explorer.exe

Loads dropped DLL 64 IoCs

pid	Process
1744	1e3227b6e1af877507e32a93c5441fd4.exe
1744	1e3227b6e1af877507e32a93c5441fd4.exe
2092	explorer.exe
2092	explorer.exe
2248	explorer.exe
2248	explorer.exe
2700	explorer.exe
2700	explorer.exe
2572	explorer.exe
2572	explorer.exe
3052	explorer.exe
3052	explorer.exe
2036	explorer.exe
2036	explorer.exe
2872	explorer.exe
2872	explorer.exe
1744	1e3227b6e1af877507e32a93c5441fd4.exe
1744	1e3227b6e1af877507e32a93c5441fd4.exe
2092	explorer.exe
2092	explorer.exe
536	explorer.exe
536	explorer.exe
2248	explorer.exe
2248	explorer.exe
1908	smss.exe
1908	smss.exe
1876	smss.exe
1876	smss.exe
440	explorer.exe
440	explorer.exe
2700	explorer.exe
2700	explorer.exe
2864	smss.exe
2864	smss.exe
1328	explorer.exe
1328	explorer.exe
1676	explorer.exe
1676	explorer.exe
2344	explorer.exe
2344	explorer.exe
2572	explorer.exe
2572	explorer.exe
552	smss.exe
552	smss.exe
1352	explorer.exe
1352	explorer.exe
2060	explorer.exe
2060	explorer.exe
1708	explorer.exe
1708	explorer.exe
3052	explorer.exe
3052	explorer.exe
2140	explorer.exe
2140	explorer.exe
400	smss.exe
400	smss.exe
2452	explorer.exe
2452	explorer.exe
1380	explorer.exe
1380	explorer.exe
1820	explorer.exe
1820	explorer.exe
1176	explorer.exe
1176	explorer.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral1/memory/1744-0-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/files/0x0028000000015596-7.dat	upx
behavioral1/memory/2248-17-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/1744-23-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/2092-24-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/2572-30-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/2248-31-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/2700-37-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/2036-45-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/2572-46-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/3052-53-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/536-60-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/1744-61-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/2036-63-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/1908-70-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/2872-76-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/1876-77-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/536-82-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/440-83-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/2864-90-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/1908-95-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/1328-96-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/1876-102-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/1676-103-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/2092-105-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/2344-109-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/552-116-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/440-114-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/1352-121-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/2248-123-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/1908-125-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/2864-127-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/2060-128-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/1328-129-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/1708-133-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/1676-135-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/2140-136-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/2344-137-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/400-139-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/552-140-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/1352-141-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/2452-142-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/2700-144-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/2060-147-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/1380-148-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/1708-150-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/2140-153-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/1176-154-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/2428-156-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/400-158-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/1824-159-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/972-161-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/2572-162-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/552-163-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/1380-167-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/904-166-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/2452-164-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/1352-170-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/836-172-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/2060-173-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/868-175-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/1820-176-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/1708-178-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral1/memory/1176-179-0x0000000000400000-0x0000000000458000-memory.dmp	upx

Enumerates connected drives 3 TTPs 64 IoCs

Attempts to read the root path of hard drives other than the default C: drive.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
File opened (read-only)	\??\q:	explorer.exe
File opened (read-only)	\??\k:	explorer.exe
File opened (read-only)	\??\n:	smss.exe
File opened (read-only)	\??\m:	explorer.exe
File opened (read-only)	\??\q:	explorer.exe
File opened (read-only)	\??\j:	smss.exe
File opened (read-only)	\??\w:	smss.exe
File opened (read-only)	\??\h:	smss.exe
File opened (read-only)	\??\g:	explorer.exe
File opened (read-only)	\??\x:	explorer.exe
File opened (read-only)	\??\n:	explorer.exe
File opened (read-only)	\??\y:	smss.exe
File opened (read-only)	\??\j:	explorer.exe
File opened (read-only)	\??\x:	explorer.exe
File opened (read-only)	\??\g:	explorer.exe
File opened (read-only)	\??\q:	explorer.exe
File opened (read-only)	\??\l:	explorer.exe
File opened (read-only)	\??\p:	smss.exe
File opened (read-only)	\??\n:	explorer.exe
File opened (read-only)	\??\x:	smss.exe
File opened (read-only)	\??\i:	explorer.exe
File opened (read-only)	\??\m:	explorer.exe
File opened (read-only)	\??\x:	explorer.exe
File opened (read-only)	\??\q:	smss.exe
File opened (read-only)	\??\n:	explorer.exe
File opened (read-only)	\??\j:	explorer.exe
File opened (read-only)	\??\h:	explorer.exe
File opened (read-only)	\??\n:	smss.exe
File opened (read-only)	\??\m:	explorer.exe
File opened (read-only)	\??\o:	explorer.exe
File opened (read-only)	\??\x:	explorer.exe
File opened (read-only)	\??\o:	explorer.exe
File opened (read-only)	\??\n:	explorer.exe
File opened (read-only)	\??\g:	explorer.exe
File opened (read-only)	\??\n:	explorer.exe
File opened (read-only)	\??\v:	explorer.exe
File opened (read-only)	\??\z:	explorer.exe
File opened (read-only)	\??\g:	smss.exe
File opened (read-only)	\??\n:	explorer.exe
File opened (read-only)	\??\p:	explorer.exe
File opened (read-only)	\??\i:	explorer.exe
File opened (read-only)	\??\h:	explorer.exe
File opened (read-only)	\??\x:	explorer.exe
File opened (read-only)	\??\q:	explorer.exe
File opened (read-only)	\??\w:	explorer.exe
File opened (read-only)	\??\r:	smss.exe
File opened (read-only)	\??\k:	explorer.exe
File opened (read-only)	\??\t:	smss.exe
File opened (read-only)	\??\z:	explorer.exe
File opened (read-only)	\??\g:	explorer.exe
File opened (read-only)	\??\n:	explorer.exe
File opened (read-only)	\??\t:	smss.exe
File opened (read-only)	\??\k:	explorer.exe
File opened (read-only)	\??\m:	explorer.exe
File opened (read-only)	\??\q:	explorer.exe
File opened (read-only)	\??\v:	explorer.exe
File opened (read-only)	\??\k:	smss.exe
File opened (read-only)	\??\j:	smss.exe
File opened (read-only)	\??\e:	explorer.exe
File opened (read-only)	\??\u:	explorer.exe
File opened (read-only)	\??\x:	explorer.exe
File opened (read-only)	\??\i:	explorer.exe
File opened (read-only)	\??\x:	explorer.exe
File opened (read-only)	\??\h:	smss.exe

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\yforhleohv\smss.exe	smss.exe
File opened for modification	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	smss.exe
File created	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	smss.exe
File opened for modification	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	smss.exe
File created	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	smss.exe
File created	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	smss.exe
File opened for modification	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	smss.exe
File opened for modification	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	smss.exe
File opened for modification	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\yforhleohv\smss.exe	smss.exe
File opened for modification	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	smss.exe
File opened for modification	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	smss.exe
File opened for modification	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe

Suspicious behavior: EnumeratesProcesses 64 IoCs

pid	Process
1744	1e3227b6e1af877507e32a93c5441fd4.exe
2092	explorer.exe
2248	explorer.exe
2700	explorer.exe
2572	explorer.exe
3052	explorer.exe
2036	explorer.exe
2872	explorer.exe
536	explorer.exe
1908	smss.exe
1876	smss.exe
440	explorer.exe
2864	smss.exe
1328	explorer.exe
1676	explorer.exe
2344	explorer.exe
552	smss.exe
1352	explorer.exe
2060	explorer.exe
1708	explorer.exe
2140	explorer.exe
400	smss.exe
2452	explorer.exe
1380	explorer.exe
1820	explorer.exe
1176	explorer.exe
2428	smss.exe
1824	explorer.exe
972	explorer.exe
904	explorer.exe
836	explorer.exe
868	explorer.exe
2068	explorer.exe
3020	smss.exe
2276	explorer.exe
2020	explorer.exe
1580	explorer.exe
1600	explorer.exe
2712	smss.exe
2752	explorer.exe
1652	explorer.exe
2504	explorer.exe
2616	explorer.exe
2580	explorer.exe
2768	explorer.exe
2444	explorer.exe
2400	explorer.exe
2852	explorer.exe
2540	explorer.exe
1636	explorer.exe
1732	explorer.exe
1148	explorer.exe
604	explorer.exe
1408	smss.exe
1644	explorer.exe
3032	explorer.exe
1296	explorer.exe
984	explorer.exe
2660	explorer.exe
2968	smss.exe
1488	explorer.exe
952	smss.exe
988	explorer.exe
2072	explorer.exe

Suspicious use of AdjustPrivilegeToken 64 IoCs

description	pid	Process
Token: SeLoadDriverPrivilege	1744	1e3227b6e1af877507e32a93c5441fd4.exe
Token: SeLoadDriverPrivilege	2092	explorer.exe
Token: SeLoadDriverPrivilege	2248	explorer.exe
Token: SeLoadDriverPrivilege	2700	explorer.exe
Token: SeLoadDriverPrivilege	2572	explorer.exe
Token: SeLoadDriverPrivilege	3052	explorer.exe
Token: SeLoadDriverPrivilege	2036	explorer.exe
Token: SeLoadDriverPrivilege	2872	explorer.exe
Token: SeLoadDriverPrivilege	536	explorer.exe
Token: SeLoadDriverPrivilege	1908	smss.exe
Token: SeLoadDriverPrivilege	1876	smss.exe
Token: SeLoadDriverPrivilege	440	explorer.exe
Token: SeLoadDriverPrivilege	2864	smss.exe
Token: SeLoadDriverPrivilege	1328	explorer.exe
Token: SeLoadDriverPrivilege	1676	explorer.exe
Token: SeLoadDriverPrivilege	2344	explorer.exe
Token: SeLoadDriverPrivilege	552	smss.exe
Token: SeLoadDriverPrivilege	1352	explorer.exe
Token: SeLoadDriverPrivilege	2060	explorer.exe
Token: SeLoadDriverPrivilege	1708	explorer.exe
Token: SeLoadDriverPrivilege	2140	explorer.exe
Token: SeLoadDriverPrivilege	400	smss.exe
Token: SeLoadDriverPrivilege	2452	explorer.exe
Token: SeLoadDriverPrivilege	1380	explorer.exe
Token: SeLoadDriverPrivilege	1820	explorer.exe
Token: SeLoadDriverPrivilege	1176	explorer.exe
Token: SeLoadDriverPrivilege	2428	smss.exe
Token: SeLoadDriverPrivilege	1824	explorer.exe
Token: SeLoadDriverPrivilege	972	explorer.exe
Token: SeLoadDriverPrivilege	904	explorer.exe
Token: SeLoadDriverPrivilege	836	explorer.exe
Token: SeLoadDriverPrivilege	868	explorer.exe
Token: SeLoadDriverPrivilege	2068	explorer.exe
Token: SeLoadDriverPrivilege	3020	smss.exe
Token: SeLoadDriverPrivilege	2276	explorer.exe
Token: SeLoadDriverPrivilege	2020	explorer.exe
Token: SeLoadDriverPrivilege	1580	explorer.exe
Token: SeLoadDriverPrivilege	1600	explorer.exe
Token: SeLoadDriverPrivilege	2712	smss.exe
Token: SeLoadDriverPrivilege	2752	explorer.exe
Token: SeLoadDriverPrivilege	1652	explorer.exe
Token: SeLoadDriverPrivilege	2504	explorer.exe
Token: SeLoadDriverPrivilege	2616	explorer.exe
Token: SeLoadDriverPrivilege	2580	explorer.exe
Token: SeLoadDriverPrivilege	2768	explorer.exe
Token: SeLoadDriverPrivilege	2444	explorer.exe
Token: SeLoadDriverPrivilege	2400	explorer.exe
Token: SeLoadDriverPrivilege	2852	explorer.exe
Token: SeLoadDriverPrivilege	2540	explorer.exe
Token: SeLoadDriverPrivilege	1636	explorer.exe
Token: SeLoadDriverPrivilege	1732	explorer.exe
Token: SeLoadDriverPrivilege	1148	explorer.exe
Token: SeLoadDriverPrivilege	604	explorer.exe
Token: SeLoadDriverPrivilege	1408	smss.exe
Token: SeLoadDriverPrivilege	1644	explorer.exe
Token: SeLoadDriverPrivilege	3032	explorer.exe
Token: SeLoadDriverPrivilege	1296	explorer.exe
Token: SeLoadDriverPrivilege	984	explorer.exe
Token: SeLoadDriverPrivilege	2660	explorer.exe
Token: SeLoadDriverPrivilege	2968	smss.exe
Token: SeLoadDriverPrivilege	1488	explorer.exe
Token: SeLoadDriverPrivilege	952	smss.exe
Token: SeLoadDriverPrivilege	988	explorer.exe
Token: SeLoadDriverPrivilege	2072	explorer.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 1744 wrote to memory of 2092	1744	1e3227b6e1af877507e32a93c5441fd4.exe	28
PID 1744 wrote to memory of 2092	1744	1e3227b6e1af877507e32a93c5441fd4.exe	28
PID 1744 wrote to memory of 2092	1744	1e3227b6e1af877507e32a93c5441fd4.exe	28
PID 1744 wrote to memory of 2092	1744	1e3227b6e1af877507e32a93c5441fd4.exe	28
PID 2092 wrote to memory of 2248	2092	explorer.exe	31
PID 2092 wrote to memory of 2248	2092	explorer.exe	31
PID 2092 wrote to memory of 2248	2092	explorer.exe	31
PID 2092 wrote to memory of 2248	2092	explorer.exe	31
PID 2248 wrote to memory of 2700	2248	explorer.exe	32
PID 2248 wrote to memory of 2700	2248	explorer.exe	32
PID 2248 wrote to memory of 2700	2248	explorer.exe	32
PID 2248 wrote to memory of 2700	2248	explorer.exe	32
PID 2700 wrote to memory of 2572	2700	explorer.exe	33
PID 2700 wrote to memory of 2572	2700	explorer.exe	33
PID 2700 wrote to memory of 2572	2700	explorer.exe	33
PID 2700 wrote to memory of 2572	2700	explorer.exe	33
PID 2572 wrote to memory of 3052	2572	explorer.exe	34
PID 2572 wrote to memory of 3052	2572	explorer.exe	34
PID 2572 wrote to memory of 3052	2572	explorer.exe	34
PID 2572 wrote to memory of 3052	2572	explorer.exe	34
PID 3052 wrote to memory of 2036	3052	explorer.exe	35
PID 3052 wrote to memory of 2036	3052	explorer.exe	35
PID 3052 wrote to memory of 2036	3052	explorer.exe	35
PID 3052 wrote to memory of 2036	3052	explorer.exe	35
PID 2036 wrote to memory of 2872	2036	explorer.exe	36
PID 2036 wrote to memory of 2872	2036	explorer.exe	36
PID 2036 wrote to memory of 2872	2036	explorer.exe	36
PID 2036 wrote to memory of 2872	2036	explorer.exe	36
PID 2872 wrote to memory of 536	2872	explorer.exe	37
PID 2872 wrote to memory of 536	2872	explorer.exe	37
PID 2872 wrote to memory of 536	2872	explorer.exe	37
PID 2872 wrote to memory of 536	2872	explorer.exe	37
PID 1744 wrote to memory of 1908	1744	1e3227b6e1af877507e32a93c5441fd4.exe	38
PID 1744 wrote to memory of 1908	1744	1e3227b6e1af877507e32a93c5441fd4.exe	38
PID 1744 wrote to memory of 1908	1744	1e3227b6e1af877507e32a93c5441fd4.exe	38
PID 1744 wrote to memory of 1908	1744	1e3227b6e1af877507e32a93c5441fd4.exe	38
PID 2092 wrote to memory of 1876	2092	explorer.exe	39
PID 2092 wrote to memory of 1876	2092	explorer.exe	39
PID 2092 wrote to memory of 1876	2092	explorer.exe	39
PID 2092 wrote to memory of 1876	2092	explorer.exe	39
PID 536 wrote to memory of 440	536	explorer.exe	40
PID 536 wrote to memory of 440	536	explorer.exe	40
PID 536 wrote to memory of 440	536	explorer.exe	40
PID 536 wrote to memory of 440	536	explorer.exe	40
PID 2248 wrote to memory of 2864	2248	explorer.exe	41
PID 2248 wrote to memory of 2864	2248	explorer.exe	41
PID 2248 wrote to memory of 2864	2248	explorer.exe	41
PID 2248 wrote to memory of 2864	2248	explorer.exe	41
PID 1908 wrote to memory of 1328	1908	smss.exe	42
PID 1908 wrote to memory of 1328	1908	smss.exe	42
PID 1908 wrote to memory of 1328	1908	smss.exe	42
PID 1908 wrote to memory of 1328	1908	smss.exe	42
PID 1876 wrote to memory of 1676	1876	smss.exe	43
PID 1876 wrote to memory of 1676	1876	smss.exe	43
PID 1876 wrote to memory of 1676	1876	smss.exe	43
PID 1876 wrote to memory of 1676	1876	smss.exe	43
PID 440 wrote to memory of 2344	440	explorer.exe	44
PID 440 wrote to memory of 2344	440	explorer.exe	44
PID 440 wrote to memory of 2344	440	explorer.exe	44
PID 440 wrote to memory of 2344	440	explorer.exe	44
PID 2700 wrote to memory of 552	2700	explorer.exe	45
PID 2700 wrote to memory of 552	2700	explorer.exe	45
PID 2700 wrote to memory of 552	2700	explorer.exe	45
PID 2700 wrote to memory of 552	2700	explorer.exe	45

C:\Users\Admin\AppData\Local\Temp\1e3227b6e1af877507e32a93c5441fd4.exe
"C:\Users\Admin\AppData\Local\Temp\1e3227b6e1af877507e32a93c5441fd4.exe"
1⤵
- Loads dropped DLL
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:1744
- C:\Windows\SysWOW64\rsijtioswo\explorer.exe
  C:\Windows\system32\rsijtioswo\explorer.exe
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious use of AdjustPrivilegeToken
  - Suspicious use of WriteProcessMemory
  PID:2092
- - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
    C:\Windows\system32\rsijtioswo\explorer.exe
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    - Drops file in System32 directory
    - Suspicious behavior: EnumeratesProcesses
    - Suspicious use of AdjustPrivilegeToken
    - Suspicious use of WriteProcessMemory
    PID:2248
  - - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
      C:\Windows\system32\rsijtioswo\explorer.exe
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      Drops file in System32 directory
      Suspicious behavior: EnumeratesProcesses
      Suspicious use of AdjustPrivilegeToken
      Suspicious use of WriteProcessMemory
      PID:2700
    - - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        5⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:2572
      - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        6⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:3052
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:2036
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:2872
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        Executes dropped EXE
        Loads dropped DLL
        Enumerates connected drives
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:536
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:440
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:2344
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        Executes dropped EXE
        Loads dropped DLL
        Drops file in System32 directory
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:2140
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:1824
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:2020
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:2768
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:1644
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:3048
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        18⤵
        
        PID:2044
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        19⤵
        
        PID:2012
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        20⤵
        
        PID:3624
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        21⤵
        Drops file in System32 directory
        
        PID:3588
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        22⤵
        
        PID:4536
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        23⤵
        Drops file in System32 directory
        
        PID:5256
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        24⤵
        
        PID:6176
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        25⤵
        
        PID:7392
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        26⤵
        
        PID:9156
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        23⤵
        
        PID:12276
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        22⤵
        
        PID:10772
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        21⤵
        
        PID:9672
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        20⤵
        
        PID:8440
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        21⤵
        
        PID:11072
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        19⤵
        Enumerates connected drives
        
        PID:7252
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        20⤵
        
        PID:8844
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        18⤵
        
        PID:5524
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        19⤵
        Enumerates connected drives
        
        PID:7316
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        20⤵
        
        PID:9200
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        17⤵
        Drops file in System32 directory
        
        PID:5184
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        18⤵
        Enumerates connected drives
        
        PID:5908
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        19⤵
        
        PID:7244
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        20⤵
        
        PID:9092
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        16⤵
        
        PID:4448
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:5168
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        18⤵
        
        PID:1676
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        19⤵
        
        PID:7300
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        20⤵
        
        PID:9112
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        17⤵
        
        PID:12260
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        15⤵
        
        PID:2652
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:4424
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:5196
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        18⤵
        Drops file in System32 directory
        
        PID:5704
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        19⤵
        
        PID:7340
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        20⤵
        
        PID:9164
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        17⤵
        
        PID:12244
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        16⤵
        
        PID:10664
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        14⤵
        
        PID:3480
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        Drops file in System32 directory
        
        PID:3176
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        Enumerates connected drives
        
        PID:4460
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:5176
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        18⤵
        
        PID:5912
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        19⤵
        Drops file in System32 directory
        
        PID:7308
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        20⤵
        
        PID:9128
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        17⤵
        
        PID:12236
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        16⤵
        
        PID:10696
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        15⤵
        
        PID:9592
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        13⤵
        
        PID:1880
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        Enumerates connected drives
        
        PID:3508
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:3096
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:4432
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:5212
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        18⤵
        
        PID:6152
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        19⤵
        
        PID:7348
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        20⤵
        
        PID:9192
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        17⤵
        
        PID:12228
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        16⤵
        
        PID:10672
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        15⤵
        
        PID:9568
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        14⤵
        
        PID:8372
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:10988
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        12⤵
        
        PID:2392
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        Enumerates connected drives
        
        PID:2152
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:3564
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:3276
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:4496
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:5300
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        18⤵
        Enumerates connected drives
        
        PID:6224
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        19⤵
        
        PID:7432
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        20⤵
        
        PID:1480
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        17⤵
        
        PID:3688
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        16⤵
        
        PID:10724
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        15⤵
        
        PID:9608
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        14⤵
        
        PID:8388
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:2732
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        13⤵
        
        PID:7204
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:8836
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        Enumerates connected drives
        Drops file in System32 directory
        
        PID:1316
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:2252
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:1924
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:3556
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        Drops file in System32 directory
        
        PID:3264
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:4520
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        Drops file in System32 directory
        
        PID:5288
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        18⤵
        
        PID:6212
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        19⤵
        
        PID:7416
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        20⤵
        
        PID:1520
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        17⤵
        
        PID:3748
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        16⤵
        
        PID:10744
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        15⤵
        
        PID:9640
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        14⤵
        
        PID:8396
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:3600
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        13⤵
        
        PID:2536
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:8828
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        12⤵
        
        PID:2864
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:7196
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:8976
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:1408
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:2480
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:2292
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        Enumerates connected drives
        
        PID:928
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:3500
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:2872
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:4468
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:5204
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        18⤵
        
        PID:2340
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        19⤵
        Drops file in System32 directory
        
        PID:7368
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        20⤵
        
        PID:9172
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        17⤵
        
        PID:12252
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        16⤵
        
        PID:10688
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        15⤵
        
        PID:9580
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        14⤵
        
        PID:8364
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:11004
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        13⤵
        Enumerates connected drives
        
        PID:1476
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:8812
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        12⤵
        
        PID:5388
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:7176
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:9080
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        Enumerates connected drives
        
        PID:5132
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        Drops file in System32 directory
        
        PID:1668
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:7236
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:8996
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:2712
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:2852
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:984
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:2200
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:1660
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        Drops file in System32 directory
        
        PID:1420
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:3192
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:4100
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:4860
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        18⤵
        
        PID:5708
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        19⤵
        Drops file in System32 directory
        
        PID:6756
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        20⤵
        
        PID:7612
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        21⤵
        
        PID:11592
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        18⤵
        
        PID:12908
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        17⤵
        
        PID:11324
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        16⤵
        
        PID:3020
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        15⤵
        
        PID:9136
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:13272
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        14⤵
        
        PID:7904
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:10364
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        13⤵
        
        PID:6604
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:7964
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:10640
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        12⤵
        
        PID:5600
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        Drops file in System32 directory
        
        PID:6624
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:7992
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:10912
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        
        PID:4804
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:5660
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:6632
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:400
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:11064
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        12⤵
        
        PID:12864
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:3272
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:4784
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:5592
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:6616
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:7936
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:10836
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        12⤵
        
        PID:12816
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        
        PID:2408
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        8⤵
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:3020
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:2616
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:1148
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:2072
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:528
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:2596
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:3380
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:3836
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:4316
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:2948
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        18⤵
        Enumerates connected drives
        
        PID:6032
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        19⤵
        
        PID:2268
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        20⤵
        
        PID:8936
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        17⤵
        
        PID:11748
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        16⤵
        
        PID:10328
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        15⤵
        
        PID:9292
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        14⤵
        
        PID:2248
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:10608
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        13⤵
        
        PID:7024
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:8520
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:12000
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        12⤵
        
        PID:5968
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:7080
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:8632
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:984
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        
        PID:5092
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        Enumerates connected drives
        Drops file in System32 directory
        
        PID:5992
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        Drops file in System32 directory
        
        PID:7108
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:8696
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        12⤵
        
        PID:12560
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:4272
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        Drops file in System32 directory
        
        PID:5076
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:6000
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:7120
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:8804
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        12⤵
        
        PID:1968
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        
        PID:11692
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        Enumerates connected drives
        
        PID:3772
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:4284
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:2772
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:6040
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:2628
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:8868
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        
        PID:11732
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:10292
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        7⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:2428
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:2276
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:2580
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:604
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        Executes dropped EXE
        
        PID:1760
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:2760
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        Drops file in System32 directory
        
        PID:3024
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:3548
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:3288
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:4488
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:5240
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        18⤵
        
        PID:6160
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        19⤵
        Drops file in System32 directory
        
        PID:7376
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        20⤵
        
        PID:9184
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        17⤵
        
        PID:12220
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        16⤵
        
        PID:10704
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        15⤵
        
        PID:9616
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        14⤵
        
        PID:8408
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:10412
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        13⤵
        
        PID:7004
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:8820
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        12⤵
        
        PID:2516
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:7184
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:8984
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        
        PID:5056
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:440
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        Enumerates connected drives
        Drops file in System32 directory
        
        PID:7224
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:9048
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:4392
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:1872
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        Drops file in System32 directory
        
        PID:5156
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:1124
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:8964
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        
        PID:12268
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        Enumerates connected drives
        
        PID:4064
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:4404
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:5140
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:2260
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:7292
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:9120
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        
        PID:12212
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:10624
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        8⤵
        
        PID:3488
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:3316
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:4512
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:5264
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:6200
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:7424
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:2168
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        
        PID:12284
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:10732
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:9632
      - C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        6⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:400
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:972
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:1580
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:2444
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:3032
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:1648
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:824
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:2640
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:3824
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        Enumerates connected drives
        
        PID:1716
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:4608
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:5376
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        18⤵
        
        PID:6316
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        19⤵
        
        PID:7552
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        20⤵
        
        PID:9528
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        17⤵
        
        PID:4364
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        16⤵
        
        PID:10920
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        15⤵
        
        PID:9784
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        14⤵
        
        PID:8580
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:3616
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        13⤵
        
        PID:7472
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:676
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        12⤵
        
        PID:6268
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:7500
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:9560
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        
        PID:5328
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:6248
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:7484
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:9392
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:4580
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:5340
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:6256
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:7508
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:9552
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        
        PID:3676
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        Enumerates connected drives
        
        PID:3136
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:4592
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        Enumerates connected drives
        
        PID:5360
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        Enumerates connected drives
        
        PID:6296
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:7520
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:9520
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        
        PID:2540
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:10900
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        8⤵
        Enumerates connected drives
        
        PID:3756
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        Enumerates connected drives
        
        PID:4084
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:4572
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:5352
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        Drops file in System32 directory
        
        PID:6280
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:7492
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:9512
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        
        PID:792
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:10888
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:9752
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        7⤵
        Enumerates connected drives
        
        PID:288
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        Enumerates connected drives
        Drops file in System32 directory
        
        PID:3720
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:3984
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:4560
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:5316
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        Enumerates connected drives
        
        PID:6236
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:7460
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:9340
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        
        PID:11840
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:10872
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:9740
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        8⤵
        
        PID:8552
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:11152
    - - C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        5⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:552
      - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        6⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:2452
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:904
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:1600
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:2400
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:1296
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:3060
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:560
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        Enumerates connected drives
        
        PID:324
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:3912
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:3660
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:4688
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:5476
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        18⤵
        
        PID:6448
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        19⤵
        
        PID:7716
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        20⤵
        
        PID:10260
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        17⤵
        
        PID:12680
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        16⤵
        
        PID:11116
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        15⤵
        
        PID:9940
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        14⤵
        
        PID:8720
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:1796
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        13⤵
        
        PID:7616
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:9884
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        12⤵
        Drops file in System32 directory
        
        PID:6368
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:7636
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:9984
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        
        PID:5404
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:6400
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:7668
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:10180
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:4636
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        Drops file in System32 directory
        
        PID:5412
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:6380
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:7660
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:10060
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        
        PID:12352
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        Enumerates connected drives
        Drops file in System32 directory
        
        PID:3664
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        Enumerates connected drives
        Drops file in System32 directory
        
        PID:4652
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:5424
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:6356
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:7628
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:9992
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        
        PID:12360
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:11088
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        8⤵
        
        PID:3868
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:3640
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:4644
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:5440
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:6388
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:7652
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:10172
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        
        PID:12568
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:11076
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:9912
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        7⤵
        
        PID:2588
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:3928
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:3892
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        Drops file in System32 directory
        
        PID:4672
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:5468
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        Drops file in System32 directory
        
        PID:6428
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:7736
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:4020
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        
        PID:12688
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:11124
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:9952
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        8⤵
        
        PID:8736
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:4620
      - C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        6⤵
        
        PID:1704
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        
        PID:2956
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:3904
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:3940
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        Enumerates connected drives
        
        PID:4680
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:5452
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        Enumerates connected drives
        
        PID:6456
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:7744
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:10268
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        
        PID:12696
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:11132
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:9964
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        8⤵
        
        PID:8728
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:4884
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        7⤵
        
        PID:7596
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:9728
  - - C:\Windows\SysWOW64\yforhleohv\smss.exe
      C:\Windows\system32\yforhleohv\smss.exe
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      Enumerates connected drives
      Suspicious behavior: EnumeratesProcesses
      Suspicious use of AdjustPrivilegeToken
      PID:2864
    - - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        5⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:1352
      - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        6⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:1380
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        Executes dropped EXE
        Enumerates connected drives
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:836
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        Executes dropped EXE
        Enumerates connected drives
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:2752
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:2540
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:2660
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:2380
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:2960
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:2288
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:3204
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:4108
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:4832
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:5672
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        18⤵
        
        PID:6736
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        19⤵
        
        PID:2792
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        20⤵
        
        PID:11200
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        17⤵
        
        PID:12888
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        16⤵
        
        PID:11292
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        15⤵
        
        PID:3248
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        14⤵
        
        PID:9148
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:1144
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        13⤵
        Enumerates connected drives
        
        PID:7892
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:10372
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        12⤵
        Enumerates connected drives
        
        PID:6580
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:7928
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:10580
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        
        PID:5612
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:6640
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:7984
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:10852
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:4796
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:5636
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        Enumerates connected drives
        
        PID:6660
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        Enumerates connected drives
        
        PID:796
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:11164
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        
        PID:12844
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:3692
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        Drops file in System32 directory
        
        PID:4816
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:5644
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        Enumerates connected drives
        Drops file in System32 directory
        
        PID:6672
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:8020
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:10648
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        
        PID:12836
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:11280
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        8⤵
        
        PID:2604
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:3200
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:4848
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:5724
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:6796
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:2156
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:11868
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        
        PID:12924
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:11312
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:3212
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        7⤵
        
        PID:2368
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:3104
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:2024
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:4840
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:5696
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:6820
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:1560
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:11972
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        
        PID:12916
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:11304
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:3244
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        8⤵
        
        PID:9100
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:13264
      - C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        6⤵
        
        PID:2420
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        Enumerates connected drives
        
        PID:2128
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:4068
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:3980
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        Drops file in System32 directory
        
        PID:4768
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        Enumerates connected drives
        
        PID:5580
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:6592
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:7944
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:10656
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        
        PID:12800
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:4000
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:10220
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        8⤵
        
        PID:9056
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:2312
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        7⤵
        
        PID:7856
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:2692
    - - C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        5⤵
        Enumerates connected drives
        Drops file in System32 directory
        
        PID:3056
      - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        6⤵
        
        PID:2280
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        Enumerates connected drives
        
        PID:2612
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:4044
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        Drops file in System32 directory
        
        PID:3832
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:4760
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        Enumerates connected drives
        Drops file in System32 directory
        
        PID:5572
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:6572
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:7912
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:10844
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        
        PID:12784
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:4052
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:10212
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        8⤵
        
        PID:9036
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:13248
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        7⤵
        
        PID:7836
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:4032
      - C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        6⤵
        
        PID:6540
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        
        PID:7848
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:10512
- - C:\Windows\SysWOW64\yforhleohv\smss.exe
    C:\Windows\system32\yforhleohv\smss.exe
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    - Suspicious behavior: EnumeratesProcesses
    - Suspicious use of AdjustPrivilegeToken
    - Suspicious use of WriteProcessMemory
    PID:1876
  - - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
      C:\Windows\system32\rsijtioswo\explorer.exe
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      Suspicious behavior: EnumeratesProcesses
      Suspicious use of AdjustPrivilegeToken
      PID:1676
    - - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        5⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:1708
      - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        6⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:1176
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:2068
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        Executes dropped EXE
        Enumerates connected drives
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:2504
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:1732
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:988
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:664
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        Enumerates connected drives
        
        PID:1088
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:3396
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:3896
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:4344
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        Drops file in System32 directory
        
        PID:4632
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        Drops file in System32 directory
        
        PID:6052
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        18⤵
        
        PID:1712
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        19⤵
        
        PID:8884
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        16⤵
        
        PID:11760
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        15⤵
        
        PID:10352
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        14⤵
        
        PID:9308
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        13⤵
        
        PID:2140
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:10780
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        12⤵
        
        PID:7064
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:8532
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:12188
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        Drops file in System32 directory
        
        PID:5944
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        Enumerates connected drives
        
        PID:7048
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:8564
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:12716
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:5040
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:5932
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:7032
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:8592
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:13152
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        
        PID:4732
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:4264
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:5068
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:5980
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        Enumerates connected drives
        
        PID:7096
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:8684
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        
        PID:12708
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:11680
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        8⤵
        
        PID:3732
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:4244
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:5048
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:5952
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:7056
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:8600
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:4736
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        
        PID:2112
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:11668
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:10280
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        7⤵
        
        PID:3320
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:3752
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        Drops file in System32 directory
        
        PID:4256
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:5084
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        Enumerates connected drives
        
        PID:6024
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:6312
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:8896
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        
        PID:13068
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:11700
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:10312
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        8⤵
        
        PID:9256
      - C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        6⤵
        
        PID:1076
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        
        PID:3328
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:3816
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        Drops file in System32 directory
        
        PID:4324
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        Enumerates connected drives
        
        PID:4420
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:6016
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:6556
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:8904
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        
        PID:2744
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:11724
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:10340
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        8⤵
        
        PID:9276
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        7⤵
        
        PID:8180
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:10616
    - - C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        5⤵
        
        PID:2092
      - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        6⤵
        Enumerates connected drives
        
        PID:1508
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        
        PID:3348
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        Drops file in System32 directory
        
        PID:3796
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:4300
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:5104
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:6008
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:7128
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:8768
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        
        PID:13160
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:11712
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:10304
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        8⤵
        
        PID:9284
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        7⤵
        
        PID:2360
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:10936
      - C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        6⤵
        
        PID:6996
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        
        PID:8468
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:12008
  - - C:\Windows\SysWOW64\yforhleohv\smss.exe
      C:\Windows\system32\yforhleohv\smss.exe
      4⤵
      Executes dropped EXE
      Suspicious behavior: EnumeratesProcesses
      Suspicious use of AdjustPrivilegeToken
      PID:952
    - - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        5⤵
        
        PID:300
      - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        6⤵
        Drops file in System32 directory
        
        PID:736
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        
        PID:3296
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:3696
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:4232
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        Drops file in System32 directory
        
        PID:5028
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:5916
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:7012
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:8540
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:11888
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        
        PID:13296
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:11652
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:9976
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        8⤵
        
        PID:9244
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:12536
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        7⤵
        
        PID:8156
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:10524
      - C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        6⤵
        
        PID:6980
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        
        PID:8344
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:12096
    - - C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        5⤵
        
        PID:5896
      - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        6⤵
        
        PID:6964
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        
        PID:8476
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:11784
- C:\Windows\SysWOW64\yforhleohv\smss.exe
  C:\Windows\system32\yforhleohv\smss.exe
  2⤵
  - Executes dropped EXE
  - Loads dropped DLL
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious use of AdjustPrivilegeToken
  - Suspicious use of WriteProcessMemory
  PID:1908
- - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
    C:\Windows\system32\rsijtioswo\explorer.exe
    3⤵
    - Executes dropped EXE
    - Loads dropped DLL
    - Suspicious behavior: EnumeratesProcesses
    - Suspicious use of AdjustPrivilegeToken
    PID:1328
  - - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
      C:\Windows\system32\rsijtioswo\explorer.exe
      4⤵
      Executes dropped EXE
      Loads dropped DLL
      Suspicious behavior: EnumeratesProcesses
      Suspicious use of AdjustPrivilegeToken
      PID:2060
    - - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        5⤵
        Executes dropped EXE
        Loads dropped DLL
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:1820
      - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        6⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:868
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:1652
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:1636
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        Executes dropped EXE
        Enumerates connected drives
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:1488
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        Drops file in System32 directory
        
        PID:460
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:1788
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        Enumerates connected drives
        
        PID:3224
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        Enumerates connected drives
        
        PID:3448
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:4196
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:4984
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:5860
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        Drops file in System32 directory
        
        PID:6924
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        18⤵
        
        PID:1396
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        19⤵
        
        PID:11632
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        16⤵
        
        PID:13020
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        15⤵
        
        PID:11432
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        14⤵
        
        PID:2276
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        13⤵
        
        PID:8320
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:12896
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        12⤵
        
        PID:8072
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:10600
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        
        PID:6856
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:1548
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:2800
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:5788
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        Drops file in System32 directory
        
        PID:6812
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:2084
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:11608
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:4936
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:5820
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:6888
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:8176
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:11640
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:13012
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        8⤵
        Drops file in System32 directory
        
        PID:4184
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:4956
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:5828
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:6880
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:8100
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:12104
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:12956
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:11404
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        7⤵
        
        PID:3392
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:4172
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:4968
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:5844
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:6896
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:1120
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:11624
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:13004
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:11412
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        8⤵
        
        PID:3456
      - C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        6⤵
        
        PID:3168
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        
        PID:3404
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:4160
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:4944
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        Drops file in System32 directory
        
        PID:5812
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:6912
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:8240
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:12068
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:12984
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:11376
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        8⤵
        
        PID:3468
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        7⤵
        
        PID:8428
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:2372
    - - C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        5⤵
        
        PID:2816
      - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        6⤵
        
        PID:3148
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        
        PID:2824
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:4148
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        Enumerates connected drives
        Drops file in System32 directory
        
        PID:4920
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:5748
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        Enumerates connected drives
        
        PID:6772
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:1380
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:11572
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:12932
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:11352
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        8⤵
        
        PID:9448
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        7⤵
        
        PID:8416
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:13256
      - C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        6⤵
        Enumerates connected drives
        
        PID:8040
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        
        PID:10532
  - - C:\Windows\SysWOW64\yforhleohv\smss.exe
      C:\Windows\system32\yforhleohv\smss.exe
      4⤵
      Drops file in System32 directory
      PID:2920
    - - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        5⤵
        
        PID:2544
      - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        6⤵
        
        PID:3124
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        
        PID:3304
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:4124
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        Drops file in System32 directory
        
        PID:4892
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:5756
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:6780
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:2328
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:11616
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:12940
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:11340
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        8⤵
        
        PID:848
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        7⤵
        
        PID:9212
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:4756
      - C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        6⤵
        
        PID:7976
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        
        PID:10572
    - - C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        5⤵
        
        PID:6700
      - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        6⤵
        
        PID:8028
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        
        PID:11220
- - C:\Windows\SysWOW64\yforhleohv\smss.exe
    C:\Windows\system32\yforhleohv\smss.exe
    3⤵
    - Executes dropped EXE
    - Suspicious behavior: EnumeratesProcesses
    - Suspicious use of AdjustPrivilegeToken
    PID:2968
  - - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
      C:\Windows\system32\rsijtioswo\explorer.exe
      4⤵
      PID:2908
    - - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        5⤵
        
        PID:1576
      - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        6⤵
        
        PID:3112
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        
        PID:1340
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:4132
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        Enumerates connected drives
        
        PID:4904
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        Enumerates connected drives
        Drops file in System32 directory
        
        PID:5772
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        Enumerates connected drives
        
        PID:6828
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:7872
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:11580
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:12948
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:11364
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        8⤵
        
        PID:1416
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        7⤵
        
        PID:1816
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:12736
      - C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        6⤵
        
        PID:8000
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        
        PID:10540
    - - C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        5⤵
        
        PID:6688
      - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        6⤵
        
        PID:8168
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        
        PID:10996
  - - C:\Windows\SysWOW64\yforhleohv\smss.exe
      C:\Windows\system32\yforhleohv\smss.exe
      4⤵
      PID:5684
    - - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        5⤵
        
        PID:6748
      - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        6⤵
        
        PID:2452
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        
        PID:4036

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\SysWOW64\rsijtioswo\explorer.exe

Filesize
83KB

MD5
1e3227b6e1af877507e32a93c5441fd4

SHA1
308439bd46f09e2c762e70c8d9a3ebf9eb527fcf

SHA256
159218637fbec2b6a1b9a2ec6dd77952d5515678613f22d9e5589cabdbcb265f

SHA512
e8ae2c362dd163f51ce15bd60de6c2e4e770d090030ec2480a30d865821cae414cd728ce732d3e20657d6a585f22b4e6e0362ca8ed7d38eb08707271bc00e2f7

Download Submit
memory/400-190-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/400-158-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/400-160-0x0000000001DC0000-0x0000000001E18000-memory.dmp

Filesize
352KB

Download
memory/400-139-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/440-114-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/440-83-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/536-82-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/536-60-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/552-140-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/552-116-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/552-163-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/836-172-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/868-175-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/904-166-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/904-191-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/972-188-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/972-161-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1176-154-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1176-212-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1176-179-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1328-129-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1328-96-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1352-170-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1352-141-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1352-121-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1380-167-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1380-148-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1380-171-0x00000000004A0000-0x00000000004F8000-memory.dmp

Filesize
352KB

Download
memory/1380-201-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1676-103-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1676-135-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1708-150-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1708-133-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1708-178-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1744-23-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1744-61-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1744-0-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1744-9-0x0000000000290000-0x00000000002E8000-memory.dmp

Filesize
352KB

Download
memory/1820-176-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1824-159-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1824-185-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1876-77-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1876-102-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1908-95-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1908-70-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1908-125-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2020-189-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2036-75-0x0000000000340000-0x0000000000398000-memory.dmp

Filesize
352KB

Download
memory/2036-216-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2036-45-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2036-63-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2060-128-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2060-147-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2060-173-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2068-180-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2092-24-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2092-105-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2092-97-0x0000000000460000-0x00000000004B8000-memory.dmp

Filesize
352KB

Download
memory/2092-100-0x0000000000460000-0x00000000004B8000-memory.dmp

Filesize
352KB

Download
memory/2140-184-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2140-153-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2140-136-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2248-120-0x0000000002150000-0x00000000021A8000-memory.dmp

Filesize
352KB

Download
memory/2248-31-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2248-17-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2248-123-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2276-186-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2344-109-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2344-137-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2428-182-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2428-156-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2452-164-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2452-142-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2452-165-0x0000000000260000-0x00000000002B8000-memory.dmp

Filesize
352KB

Download
memory/2452-194-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2572-162-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2572-46-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2572-30-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2700-144-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2700-115-0x0000000002190000-0x00000000021E8000-memory.dmp

Filesize
352KB

Download
memory/2700-37-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2864-127-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2864-90-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2872-76-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/3020-181-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/3052-187-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/3052-53-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/3052-67-0x0000000001E50000-0x0000000001EA8000-memory.dmp

Filesize
352KB

Download