159218637fbec2b6a1b9a2ec6dd77952d5515678613f22d9e5589cabdbcb265f

Analysis

max time kernel
150s
max time network
151s
platform
windows10-2004_x64
resource
win10v2004-20231215-en
resource tags

arch:x64arch:x86image:win10v2004-20231215-enlocale:en-usos:windows10-2004-x64system
submitted
30-12-2023 22:16

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

1e3227b6e1af877507e32a93c5441fd4.exe
Size

83KB
MD5

1e3227b6e1af877507e32a93c5441fd4
SHA1

308439bd46f09e2c762e70c8d9a3ebf9eb527fcf
SHA256

159218637fbec2b6a1b9a2ec6dd77952d5515678613f22d9e5589cabdbcb265f
SHA512

e8ae2c362dd163f51ce15bd60de6c2e4e770d090030ec2480a30d865821cae414cd728ce732d3e20657d6a585f22b4e6e0362ca8ed7d38eb08707271bc00e2f7
SSDEEP

768:52NtaxVWZKrTM+1Z6/25l6FxD90My9625y1uRpAo3X53MPWELTb5SQSgj8+kudKV:5ZVW2ToLXm/6q9ELH5SQPiQKyhQxgc

Score

7^/10

upx

Malware Config

Signatures

Executes dropped EXE 64 IoCs

pid	Process
4944	explorer.exe
3016	explorer.exe
4652	explorer.exe
4148	explorer.exe
3588	explorer.exe
820	explorer.exe
876	explorer.exe
3160	explorer.exe
1636	smss.exe
4672	explorer.exe
3332	smss.exe
3576	explorer.exe
2160	smss.exe
5080	explorer.exe
684	explorer.exe
3696	explorer.exe
4384	smss.exe
3604	explorer.exe
1532	explorer.exe
4024	explorer.exe
5064	explorer.exe
4848	smss.exe
3648	explorer.exe
4592	explorer.exe
4228	explorer.exe
4552	explorer.exe
1416	explorer.exe
628	smss.exe
2700	explorer.exe
1524	explorer.exe
736	explorer.exe
4892	explorer.exe
2448	smss.exe
3528	explorer.exe
4544	explorer.exe
3600	explorer.exe
4264	explorer.exe
2380	explorer.exe
2104	explorer.exe
3052	smss.exe
4336	explorer.exe
1056	explorer.exe
404	explorer.exe
3216	explorer.exe
3524	explorer.exe
3580	explorer.exe
1520	explorer.exe
4004	explorer.exe
4212	smss.exe
4628	explorer.exe
3632	explorer.exe
3644	explorer.exe
4292	explorer.exe
4724	smss.exe
4180	explorer.exe
536	explorer.exe
3152	explorer.exe
680	explorer.exe
4940	smss.exe
464	explorer.exe
4604	explorer.exe
5136	explorer.exe
5200	explorer.exe
5244	smss.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/4180-0-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/files/0x0003000000022e6a-5.dat	upx
behavioral2/memory/4180-12-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/4944-13-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/3016-17-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/4652-21-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/820-27-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/4148-28-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/876-33-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/3588-34-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/3160-39-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/4180-43-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/820-45-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/1636-46-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/4672-49-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/876-52-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/3332-53-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/3160-58-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/2160-59-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/684-63-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/4944-65-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/1636-67-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/3696-68-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/4384-71-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/4672-73-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/3604-74-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/3016-77-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/3332-79-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/4024-80-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/3576-82-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/5064-83-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/4848-86-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/2160-88-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/3648-89-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/4652-92-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/5080-95-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/684-98-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/4228-99-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/4592-97-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/3696-102-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/4552-103-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/4384-110-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/1416-111-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/628-112-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/3604-113-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/2700-116-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/1532-115-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/4148-118-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/1524-121-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/4024-120-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/5064-126-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/4848-127-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/4892-130-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/736-128-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/3648-137-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/4592-140-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/3528-139-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/2448-138-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/4544-145-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/3600-148-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/4552-147-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/4228-144-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/3588-150-0x0000000000400000-0x0000000000458000-memory.dmp	upx
behavioral2/memory/4264-154-0x0000000000400000-0x0000000000458000-memory.dmp	upx

Enumerates connected drives 3 TTPs 64 IoCs

Attempts to read the root path of hard drives other than the default C: drive.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
File opened (read-only)	\??\s:	smss.exe
File opened (read-only)	\??\g:	explorer.exe
File opened (read-only)	\??\l:	explorer.exe
File opened (read-only)	\??\e:	explorer.exe
File opened (read-only)	\??\k:	explorer.exe
File opened (read-only)	\??\m:	explorer.exe
File opened (read-only)	\??\q:	explorer.exe
File opened (read-only)	\??\x:	explorer.exe
File opened (read-only)	\??\u:	explorer.exe
File opened (read-only)	\??\p:	explorer.exe
File opened (read-only)	\??\w:	explorer.exe
File opened (read-only)	\??\e:	explorer.exe
File opened (read-only)	\??\h:	explorer.exe
File opened (read-only)	\??\g:	explorer.exe
File opened (read-only)	\??\w:	smss.exe
File opened (read-only)	\??\y:	explorer.exe
File opened (read-only)	\??\v:	explorer.exe
File opened (read-only)	\??\q:	smss.exe
File opened (read-only)	\??\z:	smss.exe
File opened (read-only)	\??\z:	explorer.exe
File opened (read-only)	\??\w:	explorer.exe
File opened (read-only)	\??\x:	explorer.exe
File opened (read-only)	\??\z:	smss.exe
File opened (read-only)	\??\e:	smss.exe
File opened (read-only)	\??\n:	smss.exe
File opened (read-only)	\??\v:	explorer.exe
File opened (read-only)	\??\h:	explorer.exe
File opened (read-only)	\??\e:	explorer.exe
File opened (read-only)	\??\k:	smss.exe
File opened (read-only)	\??\r:	smss.exe
File opened (read-only)	\??\g:	explorer.exe
File opened (read-only)	\??\z:	smss.exe
File opened (read-only)	\??\k:	smss.exe
File opened (read-only)	\??\p:	explorer.exe
File opened (read-only)	\??\v:	explorer.exe
File opened (read-only)	\??\x:	explorer.exe
File opened (read-only)	\??\y:	explorer.exe
File opened (read-only)	\??\x:	explorer.exe
File opened (read-only)	\??\o:	explorer.exe
File opened (read-only)	\??\s:	smss.exe
File opened (read-only)	\??\m:	explorer.exe
File opened (read-only)	\??\t:	smss.exe
File opened (read-only)	\??\l:	explorer.exe
File opened (read-only)	\??\u:	explorer.exe
File opened (read-only)	\??\q:	smss.exe
File opened (read-only)	\??\e:	explorer.exe
File opened (read-only)	\??\n:	explorer.exe
File opened (read-only)	\??\h:	explorer.exe
File opened (read-only)	\??\y:	explorer.exe
File opened (read-only)	\??\q:	explorer.exe
File opened (read-only)	\??\h:	smss.exe
File opened (read-only)	\??\t:	explorer.exe
File opened (read-only)	\??\k:	explorer.exe
File opened (read-only)	\??\u:	explorer.exe
File opened (read-only)	\??\w:	smss.exe
File opened (read-only)	\??\v:	explorer.exe
File opened (read-only)	\??\v:	smss.exe
File opened (read-only)	\??\g:	smss.exe
File opened (read-only)	\??\x:	explorer.exe
File opened (read-only)	\??\v:	explorer.exe
File opened (read-only)	\??\n:	explorer.exe
File opened (read-only)	\??\e:	smss.exe
File opened (read-only)	\??\e:	explorer.exe
File opened (read-only)	\??\q:	explorer.exe

Drops file in System32 directory 64 IoCs

description	ioc	Process
File opened for modification	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	smss.exe
File created	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	smss.exe
File created	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	smss.exe
File created	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	smss.exe
File opened for modification	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	smss.exe
File opened for modification	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\yforhleohv\smss.exe	smss.exe
File opened for modification	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	smss.exe
File opened for modification	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File opened for modification	C:\Windows\SysWOW64\yforhleohv\smss.exe	smss.exe
File opened for modification	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe
File created	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	smss.exe
File opened for modification	C:\Windows\SysWOW64\yforhleohv\smss.exe	explorer.exe
File created	C:\Windows\SysWOW64\rsijtioswo\explorer.exe	explorer.exe

Suspicious behavior: EnumeratesProcesses 64 IoCs

pid	Process
4180	1e3227b6e1af877507e32a93c5441fd4.exe
4180	1e3227b6e1af877507e32a93c5441fd4.exe
4944	explorer.exe
4944	explorer.exe
3016	explorer.exe
3016	explorer.exe
4652	explorer.exe
4652	explorer.exe
4148	explorer.exe
4148	explorer.exe
3588	explorer.exe
3588	explorer.exe
820	explorer.exe
820	explorer.exe
876	explorer.exe
876	explorer.exe
3160	explorer.exe
3160	explorer.exe
1636	smss.exe
1636	smss.exe
4672	explorer.exe
4672	explorer.exe
3332	smss.exe
3332	smss.exe
3576	explorer.exe
3576	explorer.exe
2160	smss.exe
2160	smss.exe
5080	explorer.exe
5080	explorer.exe
684	explorer.exe
684	explorer.exe
3696	explorer.exe
3696	explorer.exe
4384	smss.exe
4384	smss.exe
3604	explorer.exe
3604	explorer.exe
1532	explorer.exe
1532	explorer.exe
4024	explorer.exe
4024	explorer.exe
5064	explorer.exe
5064	explorer.exe
4848	smss.exe
4848	smss.exe
3648	explorer.exe
3648	explorer.exe
4592	explorer.exe
4592	explorer.exe
4228	explorer.exe
4228	explorer.exe
4552	explorer.exe
4552	explorer.exe
1416	explorer.exe
1416	explorer.exe
628	smss.exe
628	smss.exe
2700	explorer.exe
2700	explorer.exe
1524	explorer.exe
1524	explorer.exe
736	explorer.exe
736	explorer.exe

Suspicious use of AdjustPrivilegeToken 64 IoCs

description	pid	Process
Token: SeLoadDriverPrivilege	4180	1e3227b6e1af877507e32a93c5441fd4.exe
Token: SeLoadDriverPrivilege	4944	explorer.exe
Token: SeLoadDriverPrivilege	3016	explorer.exe
Token: SeLoadDriverPrivilege	4652	explorer.exe
Token: SeLoadDriverPrivilege	4148	explorer.exe
Token: SeLoadDriverPrivilege	3588	explorer.exe
Token: SeLoadDriverPrivilege	820	explorer.exe
Token: SeLoadDriverPrivilege	876	explorer.exe
Token: SeLoadDriverPrivilege	3160	explorer.exe
Token: SeLoadDriverPrivilege	1636	smss.exe
Token: SeLoadDriverPrivilege	4672	explorer.exe
Token: SeLoadDriverPrivilege	3332	smss.exe
Token: SeLoadDriverPrivilege	3576	explorer.exe
Token: SeLoadDriverPrivilege	2160	smss.exe
Token: SeLoadDriverPrivilege	5080	explorer.exe
Token: SeLoadDriverPrivilege	684	explorer.exe
Token: SeLoadDriverPrivilege	3696	explorer.exe
Token: SeLoadDriverPrivilege	4384	smss.exe
Token: SeLoadDriverPrivilege	3604	explorer.exe
Token: SeLoadDriverPrivilege	1532	explorer.exe
Token: SeLoadDriverPrivilege	4024	explorer.exe
Token: SeLoadDriverPrivilege	5064	explorer.exe
Token: SeLoadDriverPrivilege	4848	smss.exe
Token: SeLoadDriverPrivilege	3648	explorer.exe
Token: SeLoadDriverPrivilege	4592	explorer.exe
Token: SeLoadDriverPrivilege	4228	explorer.exe
Token: SeLoadDriverPrivilege	4552	explorer.exe
Token: SeLoadDriverPrivilege	1416	explorer.exe
Token: SeLoadDriverPrivilege	628	smss.exe
Token: SeLoadDriverPrivilege	2700	explorer.exe
Token: SeLoadDriverPrivilege	1524	explorer.exe
Token: SeLoadDriverPrivilege	736	explorer.exe
Token: SeLoadDriverPrivilege	4892	explorer.exe
Token: SeLoadDriverPrivilege	2448	smss.exe
Token: SeLoadDriverPrivilege	3528	explorer.exe
Token: SeLoadDriverPrivilege	4544	explorer.exe
Token: SeLoadDriverPrivilege	3600	explorer.exe
Token: SeLoadDriverPrivilege	4264	explorer.exe
Token: SeLoadDriverPrivilege	2380	explorer.exe
Token: SeLoadDriverPrivilege	2104	explorer.exe
Token: SeLoadDriverPrivilege	3052	smss.exe
Token: SeLoadDriverPrivilege	4336	explorer.exe
Token: SeLoadDriverPrivilege	1056	explorer.exe
Token: SeLoadDriverPrivilege	404	explorer.exe
Token: SeLoadDriverPrivilege	3216	explorer.exe
Token: SeLoadDriverPrivilege	3524	explorer.exe
Token: SeLoadDriverPrivilege	3580	explorer.exe
Token: SeLoadDriverPrivilege	1520	explorer.exe
Token: SeLoadDriverPrivilege	4212	smss.exe
Token: SeLoadDriverPrivilege	4004	explorer.exe
Token: SeLoadDriverPrivilege	4628	explorer.exe
Token: SeLoadDriverPrivilege	3632	explorer.exe
Token: SeLoadDriverPrivilege	3644	explorer.exe
Token: SeLoadDriverPrivilege	4292	explorer.exe
Token: SeLoadDriverPrivilege	4724	smss.exe
Token: SeLoadDriverPrivilege	4180	explorer.exe
Token: SeLoadDriverPrivilege	536	explorer.exe
Token: SeLoadDriverPrivilege	3152	explorer.exe
Token: SeLoadDriverPrivilege	680	explorer.exe
Token: SeLoadDriverPrivilege	464	explorer.exe
Token: SeLoadDriverPrivilege	4604	explorer.exe
Token: SeLoadDriverPrivilege	4940	smss.exe
Token: SeLoadDriverPrivilege	5136	explorer.exe
Token: SeLoadDriverPrivilege	5200	explorer.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 4180 wrote to memory of 4944	4180	1e3227b6e1af877507e32a93c5441fd4.exe	92
PID 4180 wrote to memory of 4944	4180	1e3227b6e1af877507e32a93c5441fd4.exe	92
PID 4180 wrote to memory of 4944	4180	1e3227b6e1af877507e32a93c5441fd4.exe	92
PID 4944 wrote to memory of 3016	4944	explorer.exe	98
PID 4944 wrote to memory of 3016	4944	explorer.exe	98
PID 4944 wrote to memory of 3016	4944	explorer.exe	98
PID 3016 wrote to memory of 4652	3016	explorer.exe	100
PID 3016 wrote to memory of 4652	3016	explorer.exe	100
PID 3016 wrote to memory of 4652	3016	explorer.exe	100
PID 4652 wrote to memory of 4148	4652	explorer.exe	103
PID 4652 wrote to memory of 4148	4652	explorer.exe	103
PID 4652 wrote to memory of 4148	4652	explorer.exe	103
PID 4148 wrote to memory of 3588	4148	explorer.exe	104
PID 4148 wrote to memory of 3588	4148	explorer.exe	104
PID 4148 wrote to memory of 3588	4148	explorer.exe	104
PID 3588 wrote to memory of 820	3588	explorer.exe	105
PID 3588 wrote to memory of 820	3588	explorer.exe	105
PID 3588 wrote to memory of 820	3588	explorer.exe	105
PID 820 wrote to memory of 876	820	explorer.exe	106
PID 820 wrote to memory of 876	820	explorer.exe	106
PID 820 wrote to memory of 876	820	explorer.exe	106
PID 876 wrote to memory of 3160	876	explorer.exe	107
PID 876 wrote to memory of 3160	876	explorer.exe	107
PID 876 wrote to memory of 3160	876	explorer.exe	107
PID 4180 wrote to memory of 1636	4180	1e3227b6e1af877507e32a93c5441fd4.exe	109
PID 4180 wrote to memory of 1636	4180	1e3227b6e1af877507e32a93c5441fd4.exe	109
PID 4180 wrote to memory of 1636	4180	1e3227b6e1af877507e32a93c5441fd4.exe	109
PID 3160 wrote to memory of 4672	3160	explorer.exe	110
PID 3160 wrote to memory of 4672	3160	explorer.exe	110
PID 3160 wrote to memory of 4672	3160	explorer.exe	110
PID 4944 wrote to memory of 3332	4944	explorer.exe	111
PID 4944 wrote to memory of 3332	4944	explorer.exe	111
PID 4944 wrote to memory of 3332	4944	explorer.exe	111
PID 1636 wrote to memory of 3576	1636	smss.exe	113
PID 1636 wrote to memory of 3576	1636	smss.exe	113
PID 1636 wrote to memory of 3576	1636	smss.exe	113
PID 3016 wrote to memory of 2160	3016	explorer.exe	115
PID 3016 wrote to memory of 2160	3016	explorer.exe	115
PID 3016 wrote to memory of 2160	3016	explorer.exe	115
PID 4672 wrote to memory of 5080	4672	explorer.exe	116
PID 4672 wrote to memory of 5080	4672	explorer.exe	116
PID 4672 wrote to memory of 5080	4672	explorer.exe	116
PID 3332 wrote to memory of 684	3332	smss.exe	117
PID 3332 wrote to memory of 684	3332	smss.exe	117
PID 3332 wrote to memory of 684	3332	smss.exe	117
PID 3576 wrote to memory of 3696	3576	explorer.exe	118
PID 3576 wrote to memory of 3696	3576	explorer.exe	118
PID 3576 wrote to memory of 3696	3576	explorer.exe	118
PID 4652 wrote to memory of 4384	4652	explorer.exe	119
PID 4652 wrote to memory of 4384	4652	explorer.exe	119
PID 4652 wrote to memory of 4384	4652	explorer.exe	119
PID 2160 wrote to memory of 3604	2160	smss.exe	120
PID 2160 wrote to memory of 3604	2160	smss.exe	120
PID 2160 wrote to memory of 3604	2160	smss.exe	120
PID 5080 wrote to memory of 1532	5080	explorer.exe	121
PID 5080 wrote to memory of 1532	5080	explorer.exe	121
PID 5080 wrote to memory of 1532	5080	explorer.exe	121
PID 684 wrote to memory of 4024	684	explorer.exe	122
PID 684 wrote to memory of 4024	684	explorer.exe	122
PID 684 wrote to memory of 4024	684	explorer.exe	122
PID 3696 wrote to memory of 5064	3696	explorer.exe	123
PID 3696 wrote to memory of 5064	3696	explorer.exe	123
PID 3696 wrote to memory of 5064	3696	explorer.exe	123
PID 4148 wrote to memory of 4848	4148	explorer.exe	124

C:\Users\Admin\AppData\Local\Temp\1e3227b6e1af877507e32a93c5441fd4.exe
"C:\Users\Admin\AppData\Local\Temp\1e3227b6e1af877507e32a93c5441fd4.exe"
1⤵
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of AdjustPrivilegeToken
- Suspicious use of WriteProcessMemory
PID:4180
- C:\Windows\SysWOW64\rsijtioswo\explorer.exe
  C:\Windows\system32\rsijtioswo\explorer.exe
  2⤵
  - Executes dropped EXE
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious use of AdjustPrivilegeToken
  - Suspicious use of WriteProcessMemory
  PID:4944
- - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
    C:\Windows\system32\rsijtioswo\explorer.exe
    3⤵
    - Executes dropped EXE
    - Drops file in System32 directory
    - Suspicious behavior: EnumeratesProcesses
    - Suspicious use of AdjustPrivilegeToken
    - Suspicious use of WriteProcessMemory
    PID:3016
  - - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
      C:\Windows\system32\rsijtioswo\explorer.exe
      4⤵
      Executes dropped EXE
      Suspicious behavior: EnumeratesProcesses
      Suspicious use of AdjustPrivilegeToken
      Suspicious use of WriteProcessMemory
      PID:4652
    - - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        5⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:4148
      - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        6⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:3588
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:820
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:876
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:3160
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:4672
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        Suspicious use of WriteProcessMemory
        
        PID:5080
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:1532
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:4228
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:4892
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:4336
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:3632
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:5200
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        18⤵
        
        PID:5776
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        19⤵
        
        PID:5468
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        20⤵
        
        PID:5076
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        21⤵
        
        PID:6528
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        22⤵
        
        PID:1536
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        23⤵
        
        PID:7572
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        24⤵
        
        PID:8444
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        25⤵
        
        PID:10244
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        26⤵
        Enumerates connected drives
        
        PID:11916
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        27⤵
        
        PID:13844
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        28⤵
        
        PID:7076
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        29⤵
        
        PID:19572
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        22⤵
        
        PID:15832
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        23⤵
        
        PID:18696
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        21⤵
        
        PID:6456
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        22⤵
        
        PID:16132
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        23⤵
        
        PID:19200
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        20⤵
        
        PID:11468
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        21⤵
        
        PID:5856
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        22⤵
        
        PID:15996
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        23⤵
        
        PID:18876
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        19⤵
        Enumerates connected drives
        
        PID:9880
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        20⤵
        
        PID:11632
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        21⤵
        
        PID:13500
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        22⤵
        
        PID:16356
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        23⤵
        
        PID:19224
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        18⤵
        
        PID:9156
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        19⤵
        
        PID:7180
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        20⤵
        
        PID:11688
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        21⤵
        
        PID:13816
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        22⤵
        
        PID:2556
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        23⤵
        
        PID:8060
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        17⤵
        
        PID:6952
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        18⤵
        
        PID:9176
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        19⤵
        
        PID:5424
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        20⤵
        
        PID:11704
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        21⤵
        
        PID:13748
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        22⤵
        
        PID:6256
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        23⤵
        
        PID:8160
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        16⤵
        Drops file in System32 directory
        
        PID:7000
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:8180
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        18⤵
        
        PID:9136
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        19⤵
        
        PID:9892
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        20⤵
        
        PID:11748
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        21⤵
        
        PID:13800
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        22⤵
        
        PID:6268
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        23⤵
        
        PID:7540
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        15⤵
        
        PID:6336
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:6208
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        Drops file in System32 directory
        
        PID:7508
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        18⤵
        
        PID:8616
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        19⤵
        Enumerates connected drives
        
        PID:2124
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        20⤵
        
        PID:11832
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        21⤵
        
        PID:13732
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        22⤵
        
        PID:16396
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        23⤵
        
        PID:19488
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        16⤵
        
        PID:15764
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        14⤵
        
        PID:5932
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        Drops file in System32 directory
        
        PID:6360
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:7080
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        Drops file in System32 directory
        
        PID:4828
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        18⤵
        
        PID:8228
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        19⤵
        
        PID:2520
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        20⤵
        Drops file in System32 directory
        
        PID:11680
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        21⤵
        
        PID:13608
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        22⤵
        
        PID:6908
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        23⤵
        
        PID:19400
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        16⤵
        
        PID:15692
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:18508
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        15⤵
        
        PID:6512
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:15984
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:19172
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        13⤵
        Drops file in System32 directory
        
        PID:4100
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:4148
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:6400
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:4692
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        Drops file in System32 directory
        
        PID:7304
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        18⤵
        
        PID:7708
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        19⤵
        Drops file in System32 directory
        
        PID:9484
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        20⤵
        
        PID:11824
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        21⤵
        
        PID:13740
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        22⤵
        
        PID:6564
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        23⤵
        
        PID:19388
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        16⤵
        
        PID:15716
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        15⤵
        
        PID:13136
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:16028
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:18824
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        14⤵
        
        PID:11332
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:13320
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:16188
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:19152
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        12⤵
        
        PID:5700
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:5392
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:6036
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:6392
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:2788
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:7584
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        18⤵
        Enumerates connected drives
        
        PID:8840
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        19⤵
        
        PID:10304
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        20⤵
        
        PID:11948
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        21⤵
        
        PID:13916
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        22⤵
        
        PID:16404
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        23⤵
        
        PID:19580
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        16⤵
        
        PID:15792
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:18976
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        15⤵
        
        PID:13148
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:16012
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:18900
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        14⤵
        
        PID:11348
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:13388
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:16004
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:19012
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        13⤵
        
        PID:9252
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:11372
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:13336
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:16264
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:19240
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:4940
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:5668
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        Enumerates connected drives
        
        PID:5384
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:6016
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:6376
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:4400
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:7564
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        18⤵
        
        PID:7248
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        19⤵
        
        PID:1208
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        20⤵
        
        PID:11796
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        21⤵
        Enumerates connected drives
        
        PID:13660
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        22⤵
        
        PID:4632
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        23⤵
        
        PID:19360
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        17⤵
        
        PID:18604
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        16⤵
        
        PID:15780
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        15⤵
        
        PID:6548
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:15860
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:18892
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        14⤵
        
        PID:11316
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:13080
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:15960
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:18948
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        13⤵
        
        PID:9228
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:11364
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:13404
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:16076
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:18984
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        12⤵
        
        PID:8996
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        Drops file in System32 directory
        
        PID:2024
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:11548
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:13556
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:3408
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:19260
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        Executes dropped EXE
        Enumerates connected drives
        Suspicious use of AdjustPrivilegeToken
        
        PID:4212
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of AdjustPrivilegeToken
        
        PID:464
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:5676
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        Drops file in System32 directory
        
        PID:5368
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:3452
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:6384
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:7096
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        Drops file in System32 directory
        
        PID:7320
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        18⤵
        
        PID:8356
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        19⤵
        Drops file in System32 directory
        
        PID:10192
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        20⤵
        
        PID:11804
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        21⤵
        Enumerates connected drives
        
        PID:13652
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        22⤵
        
        PID:4068
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        23⤵
        
        PID:19036
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        16⤵
        
        PID:15700
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        15⤵
        
        PID:12944
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:15908
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:18884
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        14⤵
        Enumerates connected drives
        
        PID:11324
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:6192
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:16020
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:18832
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        13⤵
        
        PID:9320
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:11416
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:13396
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:16140
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:19164
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        12⤵
        
        PID:8980
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:5528
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:11508
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:13432
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:15292
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:19408
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        
        PID:7996
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:8972
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:4132
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:11500
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:13420
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:16124
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:19040
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        Executes dropped EXE
        Enumerates connected drives
        Suspicious use of AdjustPrivilegeToken
        
        PID:3052
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:4628
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:5136
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        Enumerates connected drives
        Drops file in System32 directory
        
        PID:5748
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        Enumerates connected drives
        
        PID:5484
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:3596
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:6428
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:1992
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        Enumerates connected drives
        
        PID:7556
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        18⤵
        
        PID:8788
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        19⤵
        Drops file in System32 directory
        
        PID:10296
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        20⤵
        
        PID:11880
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        21⤵
        
        PID:13904
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        22⤵
        
        PID:16380
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        23⤵
        
        PID:19496
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        16⤵
        
        PID:15748
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        15⤵
        
        PID:6304
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:15976
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:18860
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        14⤵
        
        PID:11444
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:13412
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:16368
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:19268
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        13⤵
        
        PID:4960
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:11556
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:13572
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:15828
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:7400
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        12⤵
        
        PID:9096
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:9272
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:11712
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:13792
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:2824
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:19248
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        
        PID:8124
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:9068
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:6120
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:11540
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:13548
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:15672
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:19440
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:6852
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:8136
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:9108
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:692
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:11696
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:13596
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:15636
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:19352
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        8⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:2448
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of AdjustPrivilegeToken
        
        PID:1056
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:3644
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:5276
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:5880
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:5656
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        Enumerates connected drives
        
        PID:1128
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:6728
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:2684
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:6900
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        18⤵
        
        PID:5920
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        19⤵
        Enumerates connected drives
        
        PID:10852
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        20⤵
        
        PID:12212
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        21⤵
        
        PID:6948
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        22⤵
        
        PID:17136
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        23⤵
        
        PID:20360
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        17⤵
        
        PID:19588
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        16⤵
        
        PID:16568
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:19684
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        15⤵
        
        PID:14176
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:16696
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:20100
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        14⤵
        
        PID:11300
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:14208
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:16736
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:19960
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        13⤵
        Enumerates connected drives
        
        PID:10588
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:5072
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:14248
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:16860
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:20172
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        12⤵
        
        PID:2296
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:10640
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:10396
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:12428
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:16948
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:20236
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        Enumerates connected drives
        
        PID:7860
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        Enumerates connected drives
        
        PID:2160
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:10632
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        Drops file in System32 directory
        
        PID:11992
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:13384
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:16940
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:20228
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:7048
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:7896
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:9064
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:10732
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:2188
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:6624
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:16932
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:20212
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        
        PID:7932
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:6636
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:6204
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:2232
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:9044
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:10724
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:12052
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:6696
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:17028
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:20300
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        
        PID:1020
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:16436
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:19832
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        7⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:628
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:3600
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:3524
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:536
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:5428
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:6052
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:4964
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:3952
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:7056
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        Drops file in System32 directory
        
        PID:7532
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        Drops file in System32 directory
        
        PID:8340
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        18⤵
        
        PID:9832
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        19⤵
        
        PID:2332
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        20⤵
        
        PID:12736
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        21⤵
        
        PID:15044
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        22⤵
        
        PID:17632
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        16⤵
        
        PID:17240
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        15⤵
        
        PID:14692
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:17304
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        14⤵
        
        PID:12432
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:14756
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:16844
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        13⤵
        
        PID:11220
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:12628
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:14964
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:17608
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        12⤵
        
        PID:9612
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:10440
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:12676
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:14952
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:17568
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        Enumerates connected drives
        
        PID:8176
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        Drops file in System32 directory
        
        PID:9636
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:10288
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:12620
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:14944
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:17552
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:7368
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:1636
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:9684
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:10424
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:12636
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:15088
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:17616
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        Drops file in System32 directory
        
        PID:6956
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:7436
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:8232
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        Enumerates connected drives
        
        PID:9744
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:10472
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        Enumerates connected drives
        
        PID:12780
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:15136
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:17744
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:16820
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        8⤵
        
        PID:5536
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:6972
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:7404
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:8256
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        Drops file in System32 directory
        
        PID:9736
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:10400
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:12612
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:14972
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:17464
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:7316
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:14648
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:14704
      - C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        6⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:4848
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:2700
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:4264
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:3580
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:3152
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:5476
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        Drops file in System32 directory
        
        PID:6104
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:828
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:1052
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        Enumerates connected drives
        
        PID:5500
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:7720
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:8648
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        18⤵
        Drops file in System32 directory
        
        PID:9256
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        19⤵
        Enumerates connected drives
        Drops file in System32 directory
        
        PID:10704
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        20⤵
        
        PID:13220
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        21⤵
        
        PID:15132
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        22⤵
        
        PID:18092
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        16⤵
        
        PID:17916
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        15⤵
        
        PID:14444
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:17960
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        14⤵
        
        PID:13056
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:14472
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:17952
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        13⤵
        Drops file in System32 directory
        
        PID:11000
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:13112
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:1092
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:18004
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        12⤵
        Enumerates connected drives
        
        PID:10104
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:10996
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:13084
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:14512
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:17984
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        
        PID:8540
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:10144
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:11020
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:13160
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:7152
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:18052
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:7608
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        Drops file in System32 directory
        
        PID:8520
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:10152
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        Drops file in System32 directory
        
        PID:6124
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:13152
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:14036
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:18020
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:7132
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:7640
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        Drops file in System32 directory
        
        PID:8568
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:10196
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:11168
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:13192
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:14904
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:18056
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:17812
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        8⤵
        Enumerates connected drives
        
        PID:5568
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:7124
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:7648
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        Enumerates connected drives
        
        PID:8596
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:10204
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:5940
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:13184
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:6236
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:18108
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:17796
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:15340
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:17804
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        7⤵
        
        PID:4776
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:1588
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:7164
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:7692
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:8620
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        Drops file in System32 directory
        
        PID:10232
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        Enumerates connected drives
        
        PID:10784
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:13228
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:15080
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:18116
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:17864
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:6992
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:17872
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        8⤵
        
        PID:13024
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:6988
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:17856
    - - C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        5⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:4384
      - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        6⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:3648
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:1524
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:2380
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:1520
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:680
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        Drops file in System32 directory
        
        PID:5544
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:5180
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:1296
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:6220
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:6568
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:7908
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:8844
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        18⤵
        
        PID:9864
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        19⤵
        
        PID:3648
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        20⤵
        
        PID:13020
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        21⤵
        
        PID:15424
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        22⤵
        
        PID:3016
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        16⤵
        
        PID:18380
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        15⤵
        
        PID:10028
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:7660
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        14⤵
        
        PID:5864
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:9984
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:7700
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        13⤵
        
        PID:5132
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        Drops file in System32 directory
        
        PID:5876
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:4728
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:17936
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        12⤵
        
        PID:9436
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        Enumerates connected drives
        
        PID:10944
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        Drops file in System32 directory
        
        PID:12504
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:6324
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:17924
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        
        PID:8740
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:9500
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:5064
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:12908
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:15296
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:3456
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:7772
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:8716
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        Enumerates connected drives
        
        PID:9504
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        Enumerates connected drives
        
        PID:4116
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:12916
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:9996
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:7812
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:6320
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:7796
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:8732
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:9488
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:4520
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:4228
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:15368
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:7784
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:18216
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        8⤵
        
        PID:6172
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:6524
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:7872
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:8820
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:9840
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:5236
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:12976
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:15432
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:5124
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:18304
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:15332
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:7728
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        7⤵
        
        PID:5320
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:4700
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:3812
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:7756
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:8700
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:3696
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:5988
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:12896
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:14468
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:7620
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:18172
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:10076
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:18180
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        8⤵
        
        PID:13292
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:15308
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:18348
      - C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        6⤵
        Drops file in System32 directory
        
        PID:5148
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        Enumerates connected drives
        
        PID:1136
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:6156
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:6408
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        Drops file in System32 directory
        
        PID:7836
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:8800
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:9800
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        Drops file in System32 directory
        
        PID:10568
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:12924
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:15400
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:7916
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:18244
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:6248
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:18328
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        8⤵
        
        PID:13308
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:6060
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:18284
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        7⤵
        
        PID:11156
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        Drops file in System32 directory
        
        PID:12300
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:9964
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:18276
  - - C:\Windows\SysWOW64\yforhleohv\smss.exe
      C:\Windows\system32\yforhleohv\smss.exe
      4⤵
      Executes dropped EXE
      Suspicious behavior: EnumeratesProcesses
      Suspicious use of AdjustPrivilegeToken
      Suspicious use of WriteProcessMemory
      PID:2160
    - - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        5⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:3604
      - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        6⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:4592
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:736
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:2104
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of AdjustPrivilegeToken
        
        PID:4004
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:4604
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:5660
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:5400
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:3744
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        Enumerates connected drives
        
        PID:6368
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:7088
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:3988
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:8268
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        18⤵
        
        PID:2944
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        19⤵
        
        PID:11728
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        20⤵
        
        PID:13620
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        21⤵
        
        PID:15588
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        22⤵
        
        PID:19452
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        15⤵
        
        PID:15684
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        14⤵
        
        PID:5220
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:15844
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        13⤵
        
        PID:11340
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        Enumerates connected drives
        
        PID:4892
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:16336
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:19208
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        12⤵
        
        PID:5848
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:11356
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:13344
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:6100
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:19336
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        Enumerates connected drives
        
        PID:8988
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:9312
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:11432
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        Enumerates connected drives
        
        PID:13328
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:16196
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:19124
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:8004
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:8964
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        Enumerates connected drives
        
        PID:9412
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:11608
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:13452
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:3700
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:19432
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:6764
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:8012
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:8956
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        Drops file in System32 directory
        
        PID:9300
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:11424
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:13352
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:16272
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:19232
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        8⤵
        
        PID:6284
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        Enumerates connected drives
        
        PID:6280
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:8092
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:9084
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:1868
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:11720
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:13824
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:16344
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:19120
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:7360
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:15596
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:7672
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        7⤵
        
        PID:5768
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:6344
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:6244
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:7476
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:8472
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        Drops file in System32 directory
        
        PID:5600
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:11816
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:13644
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:15872
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:18916
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:15756
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        8⤵
        
        PID:1792
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:15708
      - C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        6⤵
        
        PID:3716
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        
        PID:5652
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:6292
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        Drops file in System32 directory
        
        PID:5024
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:8100
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:9076
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:5100
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:11532
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:13564
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:16324
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:19216
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:15604
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        8⤵
        
        PID:1524
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:15612
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        7⤵
        
        PID:11268
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:3912
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:15660
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:18500
    - - C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        5⤵
        
        PID:5616
      - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        6⤵
        
        PID:5272
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        
        PID:5608
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        Drops file in System32 directory
        
        PID:6328
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:6804
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:7292
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        Enumerates connected drives
        
        PID:8332
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        Drops file in System32 directory
        
        PID:9472
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:11672
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:13672
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:4056
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:19328
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:15772
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        8⤵
        
        PID:3764
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:15952
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:19024
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        7⤵
        Enumerates connected drives
        
        PID:11284
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:13120
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:15968
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:18964
      - C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        6⤵
        
        PID:10124
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        
        PID:11308
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:6500
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:15852
- - C:\Windows\SysWOW64\yforhleohv\smss.exe
    C:\Windows\system32\yforhleohv\smss.exe
    3⤵
    - Executes dropped EXE
    - Suspicious behavior: EnumeratesProcesses
    - Suspicious use of AdjustPrivilegeToken
    - Suspicious use of WriteProcessMemory
    PID:3332
  - - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
      C:\Windows\system32\rsijtioswo\explorer.exe
      4⤵
      Executes dropped EXE
      Suspicious behavior: EnumeratesProcesses
      Suspicious use of AdjustPrivilegeToken
      Suspicious use of WriteProcessMemory
      PID:684
    - - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        5⤵
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:4024
      - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        6⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:4552
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:3528
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        Executes dropped EXE
        Enumerates connected drives
        Suspicious use of AdjustPrivilegeToken
        
        PID:404
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:4292
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        Enumerates connected drives
        
        PID:5304
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        Drops file in System32 directory
        
        PID:5912
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:5772
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:388
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        Enumerates connected drives
        
        PID:6776
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:7172
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:7448
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        
        PID:5888
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        18⤵
        
        PID:10872
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        19⤵
        Enumerates connected drives
        
        PID:12184
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        20⤵
        
        PID:14060
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        21⤵
        
        PID:17128
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        16⤵
        
        PID:19732
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        15⤵
        
        PID:16624
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:19792
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        14⤵
        
        PID:14224
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:16908
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:20128
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        13⤵
        
        PID:11648
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:14276
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:16772
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:20180
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        12⤵
        
        PID:10664
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:11840
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:14332
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:16900
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:20220
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        
        PID:5224
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:10764
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:12160
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:6716
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:16956
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:20092
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:8044
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:8208
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:10740
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:12120
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:14128
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:17120
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:20276
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:6796
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:8076
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        Drops file in System32 directory
        
        PID:5760
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:10800
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:12168
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:3428
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:17220
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:20344
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:19504
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        8⤵
        Enumerates connected drives
        
        PID:6676
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:4972
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:7676
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:796
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:10716
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:12280
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:13140
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:17060
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:20284
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:19468
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:16484
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:19716
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        7⤵
        Drops file in System32 directory
        
        PID:3884
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:6736
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:6276
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:7196
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        Drops file in System32 directory
        
        PID:9200
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        Drops file in System32 directory
        
        PID:10860
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        Drops file in System32 directory
        
        PID:12248
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:6844
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:17112
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:20292
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:19596
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:16560
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:19692
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        8⤵
        
        PID:14168
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:16724
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:20156
      - C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        6⤵
        Enumerates connected drives
        
        PID:5584
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        
        PID:4504
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:6700
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:4884
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:8084
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:4612
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:10756
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:12112
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:13932
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:17068
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:20332
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:19516
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:16532
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:19800
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        8⤵
        Enumerates connected drives
        
        PID:14120
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:16580
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:19784
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        7⤵
        
        PID:12252
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:14160
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:16668
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:19840
    - - C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        5⤵
        
        PID:5820
      - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        6⤵
        Enumerates connected drives
        
        PID:5572
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        
        PID:1256
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:6644
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        Enumerates connected drives
        
        PID:876
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        Drops file in System32 directory
        
        PID:7868
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        Enumerates connected drives
        
        PID:8536
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:10708
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:12136
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:2448
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:17200
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:20352
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:19460
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:16444
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:19724
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        8⤵
        Enumerates connected drives
        
        PID:14088
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:16588
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:19880
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        7⤵
        
        PID:12228
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:14112
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:16688
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:19872
      - C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        6⤵
        
        PID:10528
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        Drops file in System32 directory
        
        PID:12196
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:14096
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:16608
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:20148
  - - C:\Windows\SysWOW64\yforhleohv\smss.exe
      C:\Windows\system32\yforhleohv\smss.exe
      4⤵
      Executes dropped EXE
      PID:5244
    - - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        5⤵
        
        PID:5828
      - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        6⤵
        Drops file in System32 directory
        
        PID:5520
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        Drops file in System32 directory
        
        PID:4472
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:6612
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        Enumerates connected drives
        
        PID:6980
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:1684
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:4496
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:10580
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        Enumerates connected drives
        
        PID:4580
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:14188
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:16756
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        
        PID:20140
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        
        PID:18612
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:7188
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:3900
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        8⤵
        
        PID:14052
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:16464
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:19636
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        7⤵
        
        PID:12216
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:14104
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:16788
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:20108
      - C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        6⤵
        
        PID:10520
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        
        PID:12188
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:14044
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:16472
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:19644
    - - C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        5⤵
        
        PID:5840
      - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        6⤵
        
        PID:10560
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        
        PID:11592
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:14216
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:16920
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:20204
- C:\Windows\SysWOW64\yforhleohv\smss.exe
  C:\Windows\system32\yforhleohv\smss.exe
  2⤵
  - Executes dropped EXE
  - Drops file in System32 directory
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious use of AdjustPrivilegeToken
  - Suspicious use of WriteProcessMemory
  PID:1636
- - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
    C:\Windows\system32\rsijtioswo\explorer.exe
    3⤵
    - Executes dropped EXE
    - Enumerates connected drives
    - Suspicious behavior: EnumeratesProcesses
    - Suspicious use of AdjustPrivilegeToken
    - Suspicious use of WriteProcessMemory
    PID:3576
  - - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
      C:\Windows\system32\rsijtioswo\explorer.exe
      4⤵
      Executes dropped EXE
      Suspicious behavior: EnumeratesProcesses
      Suspicious use of AdjustPrivilegeToken
      Suspicious use of WriteProcessMemory
      PID:3696
    - - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        5⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:5064
      - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        6⤵
        Executes dropped EXE
        Suspicious behavior: EnumeratesProcesses
        Suspicious use of AdjustPrivilegeToken
        
        PID:1416
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:4544
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:3216
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        Executes dropped EXE
        Suspicious use of AdjustPrivilegeToken
        
        PID:4180
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:5404
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:6028
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        Drops file in System32 directory
        
        PID:3876
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:940
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:7012
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        Enumerates connected drives
        Drops file in System32 directory
        
        PID:7480
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        16⤵
        Enumerates connected drives
        
        PID:8296
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        17⤵
        Drops file in System32 directory
        
        PID:9752
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        18⤵
        
        PID:10412
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        19⤵
        Enumerates connected drives
        
        PID:12728
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        20⤵
        
        PID:15160
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        21⤵
        
        PID:17712
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        15⤵
        
        PID:7432
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        14⤵
        
        PID:14668
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:60
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        13⤵
        
        PID:12404
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:14740
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:16684
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        12⤵
        
        PID:11160
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:12472
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:14828
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:17472
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        11⤵
        
        PID:9536
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:11228
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:12564
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:14916
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:17560
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        10⤵
        Enumerates connected drives
        
        PID:7524
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:9524
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:10448
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:12788
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:15152
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:17672
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:7296
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        Drops file in System32 directory
        
        PID:7280
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        Enumerates connected drives
        
        PID:9516
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:11192
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:12532
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:14924
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:17520
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        8⤵
        Drops file in System32 directory
        
        PID:6868
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:7336
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:7904
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:9596
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:10432
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:12660
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:15052
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:17704
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:10048
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        7⤵
        
        PID:2144
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:6912
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        Enumerates connected drives
        
        PID:7376
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:2164
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:9656
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:2620
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:12668
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:15064
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:17736
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:16492
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        8⤵
        
        PID:14588
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:7468
      - C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        6⤵
        
        PID:4344
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        
        PID:3168
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:6860
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:7328
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:5416
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:9584
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:10252
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:12540
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:14852
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:17416
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:17364
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        8⤵
        
        PID:14564
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:16544
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        7⤵
        
        PID:12320
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:14628
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:17264
    - - C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        5⤵
        
        PID:5952
      - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        6⤵
        
        PID:6020
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        Drops file in System32 directory
        
        PID:1692
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:6928
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:7384
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:8240
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:9704
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:10468
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:12744
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:15144
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:17676
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:7268
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        8⤵
        
        PID:14604
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:17172
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        7⤵
        Enumerates connected drives
        
        PID:12364
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:14656
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:16888
      - C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        6⤵
        
        PID:11136
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        
        PID:12464
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:14808
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:17316
  - - C:\Windows\SysWOW64\yforhleohv\smss.exe
      C:\Windows\system32\yforhleohv\smss.exe
      4⤵
      PID:5352
    - - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        5⤵
        
        PID:5980
      - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        6⤵
        
        PID:3272
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        
        PID:1440
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:6920
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:7392
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:8200
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:9716
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:10460
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:12796
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:15208
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:17752
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:16716
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        8⤵
        
        PID:14596
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:7464
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        7⤵
        
        PID:12376
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:14748
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:6820
      - C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        6⤵
        
        PID:11128
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        
        PID:12488
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:14860
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:17480
    - - C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        5⤵
        Drops file in System32 directory
        
        PID:9492
      - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        6⤵
        
        PID:11236
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        
        PID:12548
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:14868
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:17516
- - C:\Windows\SysWOW64\yforhleohv\smss.exe
    C:\Windows\system32\yforhleohv\smss.exe
    3⤵
    - Executes dropped EXE
    - Suspicious use of AdjustPrivilegeToken
    PID:4724
  - - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
      C:\Windows\system32\rsijtioswo\explorer.exe
      4⤵
      PID:5340
    - - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        5⤵
        
        PID:5944
      - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        6⤵
        
        PID:4696
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        
        PID:2472
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:6832
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:7256
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        10⤵
        
        PID:5212
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        11⤵
        
        PID:9508
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        12⤵
        
        PID:11208
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        13⤵
        
        PID:12524
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        14⤵
        
        PID:14844
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        15⤵
        
        PID:7616
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        9⤵
        
        PID:17324
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        8⤵
        
        PID:14516
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:17380
        
        C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        7⤵
        
        PID:3368
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:14524
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:17340
      - C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        6⤵
        
        PID:11096
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        
        PID:12480
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:14820
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:17624
    - - C:\Windows\SysWOW64\yforhleohv\smss.exe
        
        C:\Windows\system32\yforhleohv\smss.exe
        5⤵
        Enumerates connected drives
        
        PID:9456
      - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        6⤵
        
        PID:11076
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        
        PID:12328
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:14636
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:17300
  - - C:\Windows\SysWOW64\yforhleohv\smss.exe
      C:\Windows\system32\yforhleohv\smss.exe
      4⤵
      PID:7828
    - - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        5⤵
        
        PID:9440
      - C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        6⤵
        
        PID:11052
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        7⤵
        
        PID:820
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        8⤵
        
        PID:14532
        
        C:\Windows\SysWOW64\rsijtioswo\explorer.exe
        
        C:\Windows\system32\rsijtioswo\explorer.exe
        9⤵
        
        PID:17372

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\SysWOW64\rsijtioswo\explorer.exe

Filesize
39KB

MD5
44975fdce537e1098d5b157f38751d1f

SHA1
809ab348b2bd3bd7074b9e29b2d8b40243f7f89f

SHA256
ea98ec28fa285297cfa277f845bc76c3d11a05b38606509e5e8557e80f62849b

SHA512
8f5e2b74340c82117d06c43fbe2bd3c0fb4f8f119495bfb237336644ad8c9bd9c4154d01e3c337f968687ce2e22c1bbfbd1e7407638e7a21a2b8d3a89b2b97b5

Download Submit
C:\Windows\SysWOW64\rsijtioswo\explorer.exe

Filesize
83KB

MD5
1e3227b6e1af877507e32a93c5441fd4

SHA1
308439bd46f09e2c762e70c8d9a3ebf9eb527fcf

SHA256
159218637fbec2b6a1b9a2ec6dd77952d5515678613f22d9e5589cabdbcb265f

SHA512
e8ae2c362dd163f51ce15bd60de6c2e4e770d090030ec2480a30d865821cae414cd728ce732d3e20657d6a585f22b4e6e0362ca8ed7d38eb08707271bc00e2f7

Download Submit
memory/628-112-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/628-153-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/684-63-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/684-98-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/736-176-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/736-128-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/820-45-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/820-27-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/876-52-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/876-33-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1056-177-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1416-111-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1416-152-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1520-201-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1524-121-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1524-171-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1532-115-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1636-46-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/1636-67-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2104-168-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2160-88-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2160-59-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2448-138-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2448-189-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2700-167-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/2700-116-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/3016-77-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/3016-17-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/3052-169-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/3160-39-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/3160-58-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/3216-188-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/3332-53-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/3332-79-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/3528-139-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/3528-190-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/3576-82-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/3580-195-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/3588-150-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/3588-34-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/3600-148-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/3600-200-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/3604-113-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/3604-74-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/3648-137-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/3648-89-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/3696-102-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/3696-68-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4004-212-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4024-80-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4024-120-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4148-28-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4148-118-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4180-43-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4180-181-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4180-0-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4180-12-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4212-213-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4228-99-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4228-144-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4264-154-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4264-211-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4336-170-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4384-71-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4384-110-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4544-145-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4544-194-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4552-103-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4552-147-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4592-140-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4592-97-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4652-21-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4652-92-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4672-49-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4672-73-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4848-127-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4848-86-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4892-179-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4892-130-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4944-65-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/4944-13-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/5064-126-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/5064-83-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download
memory/5080-95-0x0000000000400000-0x0000000000458000-memory.dmp

Filesize
352KB

Download