c6e1325d7043ee9af9529565e9a2ac16d56c2f1f8365d1dd469a0d3ea497c62a

Analysis

max time kernel
0s
max time network
118s
platform
windows7_x64
resource
win7-20231129-en
resource tags

arch:x64arch:x86image:win7-20231129-enlocale:en-usos:windows7-x64system
submitted
30/12/2023, 01:21

Sharing

Copy URL Twitter E-mail

Report Analysis Logs

General

Target

09ec2458a746ed795c88a62729a3d30e.exe
Size

46KB
MD5

09ec2458a746ed795c88a62729a3d30e
SHA1

750cbd39b147e19cd38c6cf305487ee7d25243d8
SHA256

c6e1325d7043ee9af9529565e9a2ac16d56c2f1f8365d1dd469a0d3ea497c62a
SHA512

8e96b91af9e65097c41f4edade11219962220418a770d57977fe979bd2c50fe505f8eac367de22c53c9b4baf11cbac73d5a6d5f2190f3e70d672cfbc5402fca4
SSDEEP

768:j7RNHmpC97r/hgGxtPuC+uwkIuIe98PXs4/wKUUpWL9Sfc3VkX0BoEoc5un:j7x97r/doawVur4YKUOWxVFIi5un

Score

6^/10

persistence

Malware Config

Signatures

Adds Run key to start application 2 TTPs 2 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\USER\S-1-5-21-3470981204-343661084-3367201002-1000\Software\Microsoft\Windows\CurrentVersion\RunOnce\gcasServ32 Microsoft® Fix = "gcasServ32.exe"	kbqpfisejy.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\gcasServ32 Microsoft® Fix = "gcasServ32.exe"	kbqpfisejy.exe

Drops file in System32 directory 2 IoCs

description	ioc	Process
File created	C:\WINDOWS\SysWOW64\gcasServ32.exe	kbqpfisejy.exe
File opened for modification	C:\WINDOWS\SysWOW64\gcasServ32.exe	kbqpfisejy.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

C:\Users\Admin\AppData\Local\Temp\09ec2458a746ed795c88a62729a3d30e.exe
"C:\Users\Admin\AppData\Local\Temp\09ec2458a746ed795c88a62729a3d30e.exe"
1⤵
PID:2872

C:\WINDOWS\SysWOW64\jxfjbjxmdu.exe
"C:\WINDOWS\SYSTEM32\jxfjbjxmdu.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
1⤵
PID:1716
- C:\WINDOWS\SysWOW64\gcasServ32.exe
  "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\JXFJBJXMDU.EXE
  2⤵
  PID:1796
- - C:\WINDOWS\SysWOW64\yjcofkjuxt.exe
    "C:\WINDOWS\SYSTEM32\yjcofkjuxt.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
    3⤵
    PID:1196
  - - C:\WINDOWS\SysWOW64\gcasServ32.exe
      "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\YJCOFKJUXT.EXE
      4⤵
      PID:2116

C:\WINDOWS\SysWOW64\yupgbwnoee.exe
"C:\WINDOWS\SYSTEM32\yupgbwnoee.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
1⤵
PID:600
- C:\WINDOWS\SysWOW64\gcasServ32.exe
  "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\YUPGBWNOEE.EXE
  2⤵
  PID:1956
- - C:\WINDOWS\SysWOW64\swiwzpbirn.exe
    "C:\WINDOWS\SYSTEM32\swiwzpbirn.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
    3⤵
    PID:1660
  - - C:\WINDOWS\SysWOW64\gcasServ32.exe
      "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\SWIWZPBIRN.EXE
      4⤵
      PID:2052
    - - C:\WINDOWS\SysWOW64\czhronstsk.exe
        
        "C:\WINDOWS\SYSTEM32\czhronstsk.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        5⤵
        
        PID:1760
      - C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\CZHRONSTSK.EXE
        6⤵
        
        PID:1648
        
        C:\WINDOWS\SysWOW64\wumhohiqfu.exe
        
        "C:\WINDOWS\SYSTEM32\wumhohiqfu.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        7⤵
        
        PID:2572
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\WUMHOHIQFU.EXE
        8⤵
        
        PID:2884
        
        C:\WINDOWS\SysWOW64\ojlwlvrifu.exe
        
        "C:\WINDOWS\SYSTEM32\ojlwlvrifu.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        9⤵
        
        PID:2660
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\OJLWLVRIFU.EXE
        10⤵
        
        PID:2584
        
        C:\WINDOWS\SysWOW64\idqmlozfbd.exe
        
        "C:\WINDOWS\SYSTEM32\idqmlozfbd.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        11⤵
        
        PID:776
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\IDQMLOZFBD.EXE
        12⤵
        
        PID:2860
        
        C:\WINDOWS\SysWOW64\svdcxzrvhn.exe
        
        "C:\WINDOWS\SYSTEM32\svdcxzrvhn.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        13⤵
        
        PID:2020
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\SVDCXZRVHN.EXE
        14⤵
        
        PID:2904
        
        C:\WINDOWS\SysWOW64\mffkvbepuw.exe
        
        "C:\WINDOWS\SYSTEM32\mffkvbepuw.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        15⤵
        
        PID:652
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\YHEDMDVFMG.EXE
        16⤵
        
        PID:280
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\MFFKVBEPUW.EXE
        16⤵
        
        PID:448
        
        C:\WINDOWS\SysWOW64\dlwzaqvhbe.exe
        
        "C:\WINDOWS\SYSTEM32\dlwzaqvhbe.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        17⤵
        
        PID:1324
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\DLWZAQVHBE.EXE
        18⤵
        
        PID:1904
        
        C:\WINDOWS\SysWOW64\tursaubmjq.exe
        
        "C:\WINDOWS\SYSTEM32\tursaubmjq.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        19⤵
        
        PID:3000
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\TURSAUBMJQ.EXE
        20⤵
        
        PID:3008
        
        C:\WINDOWS\SysWOW64\kbqpfisejy.exe
        
        "C:\WINDOWS\SYSTEM32\kbqpfisejy.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        21⤵
        Adds Run key to start application
        Drops file in System32 directory
        
        PID:2872
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\KBQPFISEJY.EXE
        22⤵
        
        PID:2804
        
        C:\WINDOWS\SysWOW64\hvmcdlyjxw.exe
        
        "C:\WINDOWS\SYSTEM32\hvmcdlyjxw.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        23⤵
        
        PID:1124
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\HVMCDLYJXW.EXE
        24⤵
        
        PID:2660
        
        C:\WINDOWS\SysWOW64\birxmjlfws.exe
        
        "C:\WINDOWS\SYSTEM32\birxmjlfws.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        25⤵
        
        PID:2752
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\BIRXMJLFWS.EXE
        26⤵
        
        PID:1716
        
        C:\WINDOWS\SysWOW64\odenectckt.exe
        
        "C:\WINDOWS\SYSTEM32\odenectckt.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        27⤵
        
        PID:1444
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\ODENECTCKT.EXE
        28⤵
        
        PID:1988
        
        C:\WINDOWS\SysWOW64\ixjvevchgd.exe
        
        "C:\WINDOWS\SYSTEM32\ixjvevchgd.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        29⤵
        
        PID:1992
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\IXJVEVCHGD.EXE
        30⤵
        
        PID:652
        
        C:\WINDOWS\SysWOW64\aeisirtqfl.exe
        
        "C:\WINDOWS\SYSTEM32\aeisirtqfl.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        31⤵
        
        PID:1100
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\AEISIRTQFL.EXE
        32⤵
        
        PID:2740
        
        C:\WINDOWS\SysWOW64\rtiingkint.exe
        
        "C:\WINDOWS\SYSTEM32\rtiingkint.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        33⤵
        
        PID:864
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\RTIINGKINT.EXE
        34⤵
        
        PID:2248
        
        C:\WINDOWS\SysWOW64\jahfsutsmt.exe
        
        "C:\WINDOWS\SYSTEM32\jahfsutsmt.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        35⤵
        
        PID:2672
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\JAHFSUTSMT.EXE
        36⤵
        
        PID:2552
        
        C:\WINDOWS\SysWOW64\bdvqmediho.exe
        
        "C:\WINDOWS\SYSTEM32\bdvqmediho.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        37⤵
        
        PID:784
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\BDVQMEDIHO.EXE
        38⤵
        
        PID:1528
        
        C:\WINDOWS\SysWOW64\vnpyrgrjuy.exe
        
        "C:\WINDOWS\SYSTEM32\vnpyrgrjuy.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        39⤵
        
        PID:2332
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\VNPYRGRJUY.EXE
        40⤵
        
        PID:1896
        
        C:\WINDOWS\SysWOW64\hshgzwzfpi.exe
        
        "C:\WINDOWS\SYSTEM32\hshgzwzfpi.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        41⤵
        
        PID:1476
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\HSHGZWZFPI.EXE
        42⤵
        
        PID:2560
        
        C:\WINDOWS\SysWOW64\exlyymsjpt.exe
        
        "C:\WINDOWS\SYSTEM32\exlyymsjpt.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        43⤵
        
        PID:2188
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\EXLYYMSJPT.EXE
        44⤵
        
        PID:2644
        
        C:\WINDOWS\SysWOW64\brhtogyvdq.exe
        
        "C:\WINDOWS\SYSTEM32\brhtogyvdq.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        45⤵
        
        PID:448
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\BRHTOGYVDQ.EXE
        46⤵
        
        PID:2388
        
        C:\WINDOWS\SysWOW64\wpporenudn.exe
        
        "C:\WINDOWS\SYSTEM32\wpporenudn.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        47⤵
        
        PID:2176
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\WPPORENUDN.EXE
        48⤵
        
        PID:2676
        
        C:\WINDOWS\SysWOW64\nwodvsxedn.exe
        
        "C:\WINDOWS\SYSTEM32\nwodvsxedn.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        49⤵
        
        PID:2592
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\NWODVSXEDN.EXE
        50⤵
        
        PID:2952
        
        C:\WINDOWS\SysWOW64\flobaoowlv.exe
        
        "C:\WINDOWS\SYSTEM32\flobaoowlv.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        51⤵
        
        PID:1068
        
        C:\WINDOWS\SysWOW64\sbrejpldlh.exe
        
        "C:\WINDOWS\SYSTEM32\sbrejpldlh.exe" mElTC:\WINDOWS\SYSWOW64\FLOBAOOWLV.EXE
        52⤵
        
        PID:2356
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\SBREJPLDLH.EXE
        53⤵
        
        PID:2784
        
        C:\WINDOWS\SysWOW64\behyyejoee.exe
        
        "C:\WINDOWS\SYSTEM32\behyyejoee.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        54⤵
        
        PID:2300
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\BEHYYEJOEE.EXE
        55⤵
        
        PID:2276
        
        C:\WINDOWS\SysWOW64\qfbzzjpumy.exe
        
        "C:\WINDOWS\SYSTEM32\qfbzzjpumy.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        56⤵
        
        PID:1556
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\QFBZZJPUMY.EXE
        57⤵
        
        PID:2068
        
        C:\WINDOWS\SysWOW64\dzizeilugj.exe
        
        "C:\WINDOWS\SYSTEM32\dzizeilugj.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        58⤵
        
        PID:1948
        
        C:\WINDOWS\SysWOW64\nyuwwgluoh.exe
        
        "C:\WINDOWS\SYSTEM32\nyuwwgluoh.exe" mElTC:\WINDOWS\SYSWOW64\DZIZEILUGJ.EXE
        59⤵
        
        PID:2372
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\NYUWWGLUOH.EXE
        60⤵
        
        PID:2916
        
        C:\WINDOWS\SysWOW64\kzfjskwdtf.exe
        
        "C:\WINDOWS\SYSTEM32\kzfjskwdtf.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        61⤵
        
        PID:2876
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\KZFJSKWDTF.EXE
        62⤵
        
        PID:2724
        
        C:\WINDOWS\SysWOW64\eckzsdfapg.exe
        
        "C:\WINDOWS\SYSTEM32\eckzsdfapg.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        63⤵
        
        PID:2288
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\ECKZSDFAPG.EXE
        64⤵
        
        PID:2456
        
        C:\WINDOWS\SysWOW64\wfgcuvppcb.exe
        
        "C:\WINDOWS\SYSTEM32\wfgcuvppcb.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        65⤵
        
        PID:2412
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\WFGCUVPPCB.EXE
        66⤵
        
        PID:1084
        
        C:\WINDOWS\SysWOW64\ialsmoxmqk.exe
        
        "C:\WINDOWS\SYSTEM32\ialsmoxmqk.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        67⤵
        
        PID:2792
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\IALSMOXMQK.EXE
        68⤵
        
        PID:324
        
        C:\WINDOWS\SysWOW64\vussanunjv.exe
        
        "C:\WINDOWS\SYSTEM32\vussanunjv.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        69⤵
        
        PID:2852
        
        C:\WINDOWS\SysWOW64\zdxmotfpqr.exe
        
        "C:\WINDOWS\SYSTEM32\zdxmotfpqr.exe" mElTC:\WINDOWS\SYSWOW64\VUSSANUNJV.EXE
        70⤵
        
        PID:2752
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\ZDXMOTFPQR.EXE
        71⤵
        
        PID:2256
        
        C:\WINDOWS\SysWOW64\rrwcsiohyr.exe
        
        "C:\WINDOWS\SYSTEM32\rrwcsiohyr.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        72⤵
        
        PID:1588
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\RRWCSIOHYR.EXE
        73⤵
        
        PID:1160
        
        C:\WINDOWS\SysWOW64\mjqfpwyczn.exe
        
        "C:\WINDOWS\SYSTEM32\mjqfpwyczn.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        74⤵
        
        PID:2112
        
        C:\WINDOWS\SysWOW64\wiccavxbzl.exe
        
        "C:\WINDOWS\SYSTEM32\wiccavxbzl.exe" mElTC:\WINDOWS\SYSWOW64\MJQFPWYCZN.EXE
        75⤵
        
        PID:876
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\WICCAVXBZL.EXE
        76⤵
        
        PID:2444
        
        C:\WINDOWS\SysWOW64\kxlvgiqegy.exe
        
        "C:\WINDOWS\SYSTEM32\kxlvgiqegy.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        77⤵
        
        PID:3028
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\KXLVGIQEGY.EXE
        78⤵
        
        PID:2708
        
        C:\WINDOWS\SysWOW64\cmkslwhwfg.exe
        
        "C:\WINDOWS\SYSTEM32\cmkslwhwfg.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        79⤵
        
        PID:2668
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\CMKSLWHWFG.EXE
        80⤵
        
        PID:1880
        
        C:\WINDOWS\SysWOW64\mdpixirmuq.exe
        
        "C:\WINDOWS\SYSTEM32\mdpixirmuq.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        81⤵
        
        PID:1696
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\MDPIXIRMUQ.EXE
        82⤵
        
        PID:2660
        
        C:\WINDOWS\SysWOW64\gcgdafglum.exe
        
        "C:\WINDOWS\SYSTEM32\gcgdafglum.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        83⤵
        
        PID:2448
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\GCGDAFGLUM.EXE
        84⤵
        
        PID:1168
        
        C:\WINDOWS\SysWOW64\ddyqwrsnhj.exe
        
        "C:\WINDOWS\SYSTEM32\ddyqwrsnhj.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        85⤵
        
        PID:1404
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\DDYQWRSNHJ.EXE
        86⤵
        
        PID:716
        
        C:\WINDOWS\SysWOW64\dokikvwhov.exe
        
        "C:\WINDOWS\SYSTEM32\dokikvwhov.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        87⤵
        
        PID:1636
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\DOKIKVWHOV.EXE
        88⤵
        
        PID:1804
        
        C:\WINDOWS\SysWOW64\saioodipjc.exe
        
        "C:\WINDOWS\SYSTEM32\saioodipjc.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        89⤵
        
        PID:2312
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\SAIOODIPJC.EXE
        90⤵
        
        PID:2920
        
        C:\WINDOWS\SysWOW64\hqrgcibrqo.exe
        
        "C:\WINDOWS\SYSTEM32\hqrgcibrqo.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        91⤵
        
        PID:1116
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\HQRGCIBRQO.EXE
        92⤵
        
        PID:3036
        
        C:\WINDOWS\SysWOW64\bzsoakplcx.exe
        
        "C:\WINDOWS\SYSTEM32\bzsoakplcx.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        93⤵
        
        PID:2680
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\BZSOAKPLCX.EXE
        94⤵
        
        PID:3012
        
        C:\WINDOWS\SysWOW64\trvlzpsglx.exe
        
        "C:\WINDOWS\SYSTEM32\trvlzpsglx.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        95⤵
        
        PID:2288
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\TRVLZPSGLX.EXE
        96⤵
        
        PID:780
        
        C:\WINDOWS\SysWOW64\kukwbhdvys.exe
        
        "C:\WINDOWS\SYSTEM32\kukwbhdvys.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        97⤵
        
        PID:2868
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\KUKWBHDVYS.EXE
        98⤵
        
        PID:596
        
        C:\WINDOWS\SysWOW64\hvcbflpwlq.exe
        
        "C:\WINDOWS\SYSTEM32\hvcbflpwlq.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        99⤵
        
        PID:2792
        
        C:\WINDOWS\SysWOW64\rgrlsodyyb.exe
        
        "C:\WINDOWS\SYSTEM32\rgrlsodyyb.exe" mElTC:\WINDOWS\SYSWOW64\HVCBFLPWLQ.EXE
        100⤵
        
        PID:2824
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\RGRLSODYYB.EXE
        101⤵
        
        PID:2116
        
        C:\WINDOWS\SysWOW64\jgcjrtgmgj.exe
        
        "C:\WINDOWS\SYSTEM32\jgcjrtgmgj.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        102⤵
        
        PID:2748
        
        C:\WINDOWS\SysWOW64\tfgobsolhh.exe
        
        "C:\WINDOWS\SYSTEM32\tfgobsolhh.exe" mElTC:\WINDOWS\SYSWOW64\JGCJRTGMGJ.EXE
        103⤵
        
        PID:1176
        
        C:\WINDOWS\SysWOW64\yvlbxgzwnv.exe
        
        "C:\WINDOWS\SYSTEM32\yvlbxgzwnv.exe" mElTC:\WINDOWS\SYSWOW64\TFGOBSOLHH.EXE
        104⤵
        
        PID:2036
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\YVLBXGZWNV.EXE
        105⤵
        
        PID:2268
        
        C:\WINDOWS\SysWOW64\anqrcsreuf.exe
        
        "C:\WINDOWS\SYSTEM32\anqrcsreuf.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        106⤵
        
        PID:2388
        
        C:\WINDOWS\SysWOW64\woiegddohc.exe
        
        "C:\WINDOWS\SYSTEM32\woiegddohc.exe" mElTC:\WINDOWS\SYSWOW64\ANQRCSREUF.EXE
        107⤵
        
        PID:2596
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\WOIEGDDOHC.EXE
        108⤵
        
        PID:2724
        
        C:\WINDOWS\SysWOW64\oviukrmfpl.exe
        
        "C:\WINDOWS\SYSTEM32\oviukrmfpl.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        109⤵
        
        PID:2148
        
        C:\WINDOWS\SysWOW64\teqobwsloy.exe
        
        "C:\WINDOWS\SYSTEM32\teqobwsloy.exe" mElTC:\WINDOWS\SYSWOW64\OVIUKRMFPL.EXE
        110⤵
        
        PID:2572
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\TEQOBWSLOY.EXE
        111⤵
        
        PID:2796
        
        C:\WINDOWS\SysWOW64\qficxaeucw.exe
        
        "C:\WINDOWS\SYSTEM32\qficxaeucw.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        112⤵
        
        PID:960
        
        C:\WINDOWS\SysWOW64\dzorimiwpv.exe
        
        "C:\WINDOWS\SYSTEM32\dzorimiwpv.exe" mElTC:\WINDOWS\SYSWOW64\QFICXAEUCW.EXE
        113⤵
        
        PID:2200
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\DZORIMIWPV.EXE
        114⤵
        
        PID:3024
        
        C:\WINDOWS\SysWOW64\xfwmlkxvps.exe
        
        "C:\WINDOWS\SYSTEM32\xfwmlkxvps.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        115⤵
        
        PID:2120
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\XFWMLKXVPS.EXE
        116⤵
        
        PID:2792
        
        C:\WINDOWS\SysWOW64\zpwkdgfuwz.exe
        
        "C:\WINDOWS\SYSTEM32\zpwkdgfuwz.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        117⤵
        
        PID:2276
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\ZPWKDGFUWZ.EXE
        118⤵
        
        PID:860
        
        C:\WINDOWS\SysWOW64\uvmegdmtfo.exe
        
        "C:\WINDOWS\SYSTEM32\uvmegdmtfo.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        119⤵
        
        PID:3004
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\UVMEGDMTFO.EXE
        120⤵
        
        PID:1948
        
        C:\WINDOWS\SysWOW64\lcmclsdlew.exe
        
        "C:\WINDOWS\SYSTEM32\lcmclsdlew.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        121⤵
        
        PID:2112
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\LCMCLSDLEW.EXE
        122⤵
        
        PID:2916
        
        C:\WINDOWS\SysWOW64\gtgxagfgfs.exe
        
        "C:\WINDOWS\SYSTEM32\gtgxagfgfs.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        123⤵
        
        PID:3064
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\GTGXAGFGFS.EXE
        124⤵
        
        PID:2216
        
        C:\WINDOWS\SysWOW64\cybxgoxjfc.exe
        
        "C:\WINDOWS\SYSTEM32\cybxgoxjfc.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        125⤵
        
        PID:2676
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\CYBXGOXJFC.EXE
        126⤵
        
        PID:2672
        
        C:\WINDOWS\SysWOW64\xtgfyhfotm.exe
        
        "C:\WINDOWS\SYSTEM32\xtgfyhfotm.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        127⤵
        
        PID:2284
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\XTGFYHFOTM.EXE
        128⤵
        
        PID:1596
        
        C:\WINDOWS\SysWOW64\rchvejtign.exe
        
        "C:\WINDOWS\SYSTEM32\rchvejtign.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        129⤵
        
        PID:1720
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\RCHVEJTIGN.EXE
        130⤵
        
        PID:2860
        
        C:\WINDOWS\SysWOW64\oaovxqgphx.exe
        
        "C:\WINDOWS\SYSTEM32\oaovxqgphx.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        131⤵
        
        PID:2020
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\OAOVXQGPHX.EXE
        132⤵
        
        PID:904
        
        C:\WINDOWS\SysWOW64\gddxzarect.exe
        
        "C:\WINDOWS\SYSTEM32\gddxzarect.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        133⤵
        
        PID:2652
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\GDDXZARECT.EXE
        134⤵
        
        PID:280
        
        C:\WINDOWS\SysWOW64\anenfcfypc.exe
        
        "C:\WINDOWS\SYSTEM32\anenfcfypc.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        135⤵
        
        PID:2644
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\ANENFCFYPC.EXE
        136⤵
        
        PID:1524
        
        C:\WINDOWS\SysWOW64\mzlnkbtyin.exe
        
        "C:\WINDOWS\SYSTEM32\mzlnkbtyin.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        137⤵
        
        PID:448
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\MZLNKBTYIN.EXE
        138⤵
        
        PID:1072
        
        C:\WINDOWS\SysWOW64\edzymldodi.exe
        
        "C:\WINDOWS\SYSTEM32\edzymldodi.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        139⤵
        
        PID:2732
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\EDZYMLDODI.EXE
        140⤵
        
        PID:2444
        
        C:\WINDOWS\SysWOW64\yfegmellrr.exe
        
        "C:\WINDOWS\SYSTEM32\yfegmellrr.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        141⤵
        
        PID:2528
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\YFEGMELLRR.EXE
        142⤵
        
        PID:320
        
        C:\WINDOWS\SysWOW64\vkigsueoru.exe
        
        "C:\WINDOWS\SYSTEM32\vkigsueoru.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        143⤵
        
        PID:1888
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\VKIGSUEORU.EXE
        144⤵
        
        PID:1068
        
        C:\WINDOWS\SysWOW64\qbcjijfrsq.exe
        
        "C:\WINDOWS\SYSTEM32\qbcjijfrsq.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        145⤵
        
        PID:792
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\QBCJIJFRSQ.EXE
        146⤵
        
        PID:1124
        
        C:\WINDOWS\SysWOW64\ptctcvpiyb.exe
        
        "C:\WINDOWS\SYSTEM32\ptctcvpiyb.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        147⤵
        
        PID:488
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\PTCTCVPIYB.EXE
        148⤵
        
        PID:1056
        
        C:\WINDOWS\SysWOW64\evvggzbrmz.exe
        
        "C:\WINDOWS\SYSTEM32\evvggzbrmz.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        149⤵
        
        PID:1304
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\EVVGGZBRMZ.EXE
        150⤵
        
        PID:1752
        
        C:\WINDOWS\SysWOW64\ytlbiwqimv.exe
        
        "C:\WINDOWS\SYSTEM32\ytlbiwqimv.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        151⤵
        
        PID:1728
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\YTLBIWQIMV.EXE
        152⤵
        
        PID:2748
        
        C:\WINDOWS\SysWOW64\qlolqpgvgr.exe
        
        "C:\WINDOWS\SYSTEM32\qlolqpgvgr.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        153⤵
        
        PID:1568
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\QLOLQPGVGR.EXE
        154⤵
        
        PID:2576
        
        C:\WINDOWS\SysWOW64\vjttvqfgbr.exe
        
        "C:\WINDOWS\SYSTEM32\vjttvqfgbr.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        155⤵
        
        PID:2764
        
        C:\WINDOWS\SysWOW64\zdbtuiqlva.exe
        
        "C:\WINDOWS\SYSTEM32\zdbtuiqlva.exe" mElTC:\WINDOWS\SYSWOW64\VJTTVQFGBR.EXE
        156⤵
        
        PID:1700
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\ZDBTUIQLVA.EXE
        157⤵
        
        PID:2680
        
        C:\WINDOWS\SysWOW64\waibvhdsol.exe
        
        "C:\WINDOWS\SYSTEM32\waibvhdsol.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        158⤵
        
        PID:1248
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\WAIBVHDSOL.EXE
        159⤵
        
        PID:2624
        
        C:\WINDOWS\SysWOW64\ohhrsdukvt.exe
        
        "C:\WINDOWS\SYSTEM32\ohhrsdukvt.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        160⤵
        
        PID:808
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\OHHRSDUKVT.EXE
        161⤵
        
        PID:2788
        
        C:\WINDOWS\SysWOW64\inxmvtbjvh.exe
        
        "C:\WINDOWS\SYSTEM32\inxmvtbjvh.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        162⤵
        
        PID:3024
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\INXMVTBJVH.EXE
        163⤵
        
        PID:1472
        
        C:\WINDOWS\SysWOW64\ykhztthmro.exe
        
        "C:\WINDOWS\SYSTEM32\ykhztthmro.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        164⤵
        
        PID:2168
        
        C:\WINDOWS\SysWOW64\ijlwlspmrm.exe
        
        "C:\WINDOWS\SYSTEM32\ijlwlspmrm.exe" mElTC:\WINDOWS\SYSWOW64\YKHZTTHMRO.EXE
        165⤵
        
        PID:868
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\IJLWLSPMRM.EXE
        166⤵
        
        PID:2264
        
        C:\WINDOWS\SysWOW64\sbymqdgcxw.exe
        
        "C:\WINDOWS\SYSTEM32\sbymqdgcxw.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        167⤵
        
        PID:2152
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\SBYMQDGCXW.EXE
        168⤵
        
        PID:3004
        
        C:\WINDOWS\SysWOW64\mkruvfuwsf.exe
        
        "C:\WINDOWS\SYSTEM32\mkruvfuwsf.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        169⤵
        
        PID:3052
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\MKRUVFUWSF.EXE
        170⤵
        
        PID:2476
        
        C:\WINDOWS\SysWOW64\jiyuomzdlq.exe
        
        "C:\WINDOWS\SYSTEM32\jiyuomzdlq.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        171⤵
        
        PID:2628
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\JIYUOMZDLQ.EXE
        172⤵
        
        PID:1700
        
        C:\WINDOWS\SysWOW64\asjxwfppfd.exe
        
        "C:\WINDOWS\SYSTEM32\asjxwfppfd.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        173⤵
        
        PID:1640
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\ASJXWFPPFD.EXE
        174⤵
        
        PID:1248
        
        C:\WINDOWS\SysWOW64\pbdxwjddnx.exe
        
        "C:\WINDOWS\SYSTEM32\pbdxwjddnx.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        175⤵
        
        PID:2756
        
        C:\WINDOWS\SysWOW64\awwhmddaai.exe
        
        "C:\WINDOWS\SYSTEM32\awwhmddaai.exe" mElTC:\WINDOWS\SYSWOW64\PBDXWJDDNX.EXE
        176⤵
        
        PID:2684
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\AWWHMDDAAI.EXE
        177⤵
        
        PID:2300
        
        C:\WINDOWS\SysWOW64\zsifjuulth.exe
        
        "C:\WINDOWS\SYSTEM32\zsifjuulth.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        178⤵
        
        PID:1444
        
        C:\WINDOWS\SysWOW64\jzukttulbf.exe
        
        "C:\WINDOWS\SYSTEM32\jzukttulbf.exe" mElTC:\WINDOWS\SYSWOW64\ZSIFJUULTH.EXE
        179⤵
        
        PID:572
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\JZUKTTULBF.EXE
        180⤵
        
        PID:584
        
        C:\WINDOWS\SysWOW64\trhsgelbhp.exe
        
        "C:\WINDOWS\SYSTEM32\trhsgelbhp.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        181⤵
        
        PID:2164
        
        C:\WINDOWS\SysWOW64\iohssxuvip.exe
        
        "C:\WINDOWS\SYSTEM32\iohssxuvip.exe" mElTC:\WINDOWS\SYSWOW64\TRHSGELBHP.EXE
        182⤵
        
        PID:908
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\IOHSSXUVIP.EXE
        183⤵
        
        PID:2696
        
        C:\WINDOWS\SysWOW64\knxvcjfijv.exe
        
        "C:\WINDOWS\SYSTEM32\knxvcjfijv.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        184⤵
        
        PID:2740
        
        C:\WINDOWS\SysWOW64\kfffwwpyxh.exe
        
        "C:\WINDOWS\SYSTEM32\kfffwwpyxh.exe" mElTC:\WINDOWS\SYSWOW64\KNXVCJFIJV.EXE
        185⤵
        
        PID:3036
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\KFFFWWPYXH.EXE
        186⤵
        
        PID:2524
        
        C:\WINDOWS\SysWOW64\opkladonkq.exe
        
        "C:\WINDOWS\SYSTEM32\opkladonkq.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        187⤵
        
        PID:3040
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\OPKLADONKQ.EXE
        188⤵
        
        PID:2760
        
        C:\WINDOWS\SysWOW64\ezudnlbvsh.exe
        
        "C:\WINDOWS\SYSTEM32\ezudnlbvsh.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        189⤵
        
        PID:2332
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\EZUDNLBVSH.EXE
        190⤵
        
        PID:2412
        
        C:\WINDOWS\SysWOW64\eokjmumkug.exe
        
        "C:\WINDOWS\SYSTEM32\eokjmumkug.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        191⤵
        
        PID:2368
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\EOKJMUMKUG.EXE
        192⤵
        
        PID:2968
        
        C:\WINDOWS\SysWOW64\qizjstbcoz.exe
        
        "C:\WINDOWS\SYSTEM32\qizjstbcoz.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        193⤵
        
        PID:2964
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\QIZJSTBCOZ.EXE
        194⤵
        
        PID:1548
        
        C:\WINDOWS\SysWOW64\fuwovbnkiy.exe
        
        "C:\WINDOWS\SYSTEM32\fuwovbnkiy.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        195⤵
        
        PID:2308
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\FUWOVBNKIY.EXE
        196⤵
        
        PID:1592
        
        C:\WINDOWS\SysWOW64\ckdowaarji.exe
        
        "C:\WINDOWS\SYSTEM32\ckdowaarji.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        197⤵
        
        PID:2268
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\CKDOWAARJI.EXE
        198⤵
        
        PID:3004
        
        C:\WINDOWS\SysWOW64\wxijxgmnif.exe
        
        "C:\WINDOWS\SYSTEM32\wxijxgmnif.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        199⤵
        
        PID:2324
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\WXIJXGMNIF.EXE
        200⤵
        
        PID:292
        
        C:\WINDOWS\SysWOW64\zewtmywrcr.exe
        
        "C:\WINDOWS\SYSTEM32\zewtmywrcr.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        201⤵
        
        PID:2668
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\ZEWTMYWRCR.EXE
        202⤵
        
        PID:2288
        
        C:\WINDOWS\SysWOW64\wbdtnfbydc.exe
        
        "C:\WINDOWS\SYSTEM32\wbdtnfbydc.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        203⤵
        
        PID:2976
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\WBDTNFBYDC.EXE
        204⤵
        
        PID:2796
        
        C:\WINDOWS\SysWOW64\qlxblhpsql.exe
        
        "C:\WINDOWS\SYSTEM32\qlxblhpsql.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        205⤵
        
        PID:2828
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\QLXBLHPSQL.EXE
        206⤵
        
        PID:2180
        
        C:\WINDOWS\SysWOW64\phjzqyflrk.exe
        
        "C:\WINDOWS\SYSTEM32\phjzqyflrk.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        207⤵
        
        PID:2752
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\PHJZQYFLRK.EXE
        208⤵
        
        PID:1476
        
        C:\WINDOWS\SysWOW64\kylbfnhfsg.exe
        
        "C:\WINDOWS\SYSTEM32\kylbfnhfsg.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        209⤵
        
        PID:1652
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\KYLBFNHFSG.EXE
        210⤵
        
        PID:1676
        
        C:\WINDOWS\SysWOW64\eebwikwfsc.exe
        
        "C:\WINDOWS\SYSTEM32\eebwikwfsc.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        211⤵
        
        PID:3044
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\EEBWIKWFSC.EXE
        212⤵
        
        PID:2400
        
        C:\WINDOWS\SysWOW64\gsezdldfmp.exe
        
        "C:\WINDOWS\SYSTEM32\gsezdldfmp.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        213⤵
        
        PID:2616
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\GSEZDLDFMP.EXE
        214⤵
        
        PID:2544
        
        C:\WINDOWS\SysWOW64\ykgjkdssgk.exe
        
        "C:\WINDOWS\SYSTEM32\ykgjkdssgk.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        215⤵
        
        PID:2776
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\YKGJKDSSGK.EXE
        216⤵
        
        PID:2456
        
        C:\WINDOWS\SysWOW64\forpcovhth.exe
        
        "C:\WINDOWS\SYSTEM32\forpcovhth.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        217⤵
        
        PID:1832
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\FORPCOVHTH.EXE
        218⤵
        
        PID:2536
        
        C:\WINDOWS\SysWOW64\xrfzvgnxgu.exe
        
        "C:\WINDOWS\SYSTEM32\xrfzvgnxgu.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        219⤵
        
        PID:1528
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\XRFZVGNXGU.EXE
        220⤵
        
        PID:2660
        
        C:\WINDOWS\SysWOW64\oyfxauwpnc.exe
        
        "C:\WINDOWS\SYSTEM32\oyfxauwpnc.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        221⤵
        
        PID:1124
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\OYFXAUWPNC.EXE
        222⤵
        
        PID:2004
        
        C:\WINDOWS\SysWOW64\dzazdlulba.exe
        
        "C:\WINDOWS\SYSTEM32\dzazdlulba.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        223⤵
        
        PID:2752
        
        C:\WINDOWS\SysWOW64\xmdkymaevv.exe
        
        "C:\WINDOWS\SYSTEM32\xmdkymaevv.exe" mElTC:\WINDOWS\SYSWOW64\DZAZDLULBA.EXE
        224⤵
        
        PID:668
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\XMDKYMAEVV.EXE
        225⤵
        
        PID:2780
        
        C:\WINDOWS\SysWOW64\xflusykvjg.exe
        
        "C:\WINDOWS\SYSTEM32\xflusykvjg.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        226⤵
        
        PID:2256
        
        C:\WINDOWS\SysWOW64\heqscxsuje.exe
        
        "C:\WINDOWS\SYSTEM32\heqscxsuje.exe" mElTC:\WINDOWS\SYSWOW64\XFLUSYKVJG.EXE
        227⤵
        
        PID:2112
        
        C:\WINDOWS\SysWOW64\ecwsdwxbkp.exe
        
        "C:\WINDOWS\SYSTEM32\ecwsdwxbkp.exe" mElTC:\WINDOWS\SYSWOW64\HEQSCXSUJE.EXE
        228⤵
        
        PID:2708
        
        C:\WINDOWS\SysWOW64\bzdawdkilz.exe
        
        "C:\WINDOWS\SYSTEM32\bzdawdkilz.exe" mElTC:\WINDOWS\SYSWOW64\ECWSDWXBKP.EXE
        229⤵
        
        PID:1932
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\BZDAWDKILZ.EXE
        230⤵
        
        PID:2544
        
        C:\WINDOWS\SysWOW64\vminfjxekw.exe
        
        "C:\WINDOWS\SYSTEM32\vminfjxekw.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        231⤵
        
        PID:2528
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\VMINFJXEKW.EXE
        232⤵
        
        PID:2456
        
        C:\WINDOWS\SysWOW64\vfjfzwhvrh.exe
        
        "C:\WINDOWS\SYSTEM32\vfjfzwhvrh.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        233⤵
        
        PID:3040
        
        C:\WINDOWS\SysWOW64\hvmihemcrt.exe
        
        "C:\WINDOWS\SYSTEM32\hvmihemcrt.exe" mElTC:\WINDOWS\SYSWOW64\VFJFZWHVRH.EXE
        234⤵
        
        PID:708
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\HVMIHEMCRT.EXE
        235⤵
        
        PID:2352
        
        C:\WINDOWS\SysWOW64\zklxmsduzc.exe
        
        "C:\WINDOWS\SYSTEM32\zklxmsduzc.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        236⤵
        
        PID:2828
        
        C:\WINDOWS\SysWOW64\jjqderlmza.exe
        
        "C:\WINDOWS\SYSTEM32\jjqderlmza.exe" mElTC:\WINDOWS\SYSWOW64\ZKLXMSDUZC.EXE
        237⤵
        
        PID:792
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\JJQDERLMZA.EXE
        238⤵
        
        PID:2948
        
        C:\WINDOWS\SysWOW64\jcqnzencfl.exe
        
        "C:\WINDOWS\SYSTEM32\jcqnzencfl.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        239⤵
        
        PID:1156
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\JCQNZENCFL.EXE
        240⤵
        
        PID:1652
        
        C:\WINDOWS\SysWOW64\yowscmhkak.exe
        
        "C:\WINDOWS\SYSTEM32\yowscmhkak.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        241⤵
        
        PID:1176
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\YOWSCMHKAK.EXE
        242⤵
        
        PID:1572
        
        C:\WINDOWS\SysWOW64\prkdewravg.exe
        
        "C:\WINDOWS\SYSTEM32\prkdewravg.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        243⤵
        
        PID:1624
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\PRKDEWRAVG.EXE
        244⤵
        
        PID:1632
        
        C:\WINDOWS\SysWOW64\zfmggdcooc.exe
        
        "C:\WINDOWS\SYSTEM32\zfmggdcooc.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        245⤵
        
        PID:816
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\ZFMGGDCOOC.EXE
        246⤵
        
        PID:1600
        
        C:\WINDOWS\SysWOW64\rpxinwsajp.exe
        
        "C:\WINDOWS\SYSTEM32\rpxinwsajp.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        247⤵
        
        PID:1892
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\RPXINWSAJP.EXE
        248⤵
        
        PID:780
        
        C:\WINDOWS\SysWOW64\lvnlqthzjm.exe
        
        "C:\WINDOWS\SYSTEM32\lvnlqthzjm.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        249⤵
        
        PID:2764
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\LVNLQTHZJM.EXE
        250⤵
        
        PID:2328
        
        C:\WINDOWS\SysWOW64\loowkorqpx.exe
        
        "C:\WINDOWS\SYSTEM32\loowkorqpx.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        251⤵
        
        PID:1556
        
        C:\WINDOWS\SysWOW64\ybglqkpddf.exe
        
        "C:\WINDOWS\SYSTEM32\ybglqkpddf.exe" mElTC:\WINDOWS\SYSWOW64\LOOWKORQPX.EXE
        252⤵
        
        PID:2348
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\YBGLQKPDDF.EXE
        253⤵
        
        PID:488
        
        C:\WINDOWS\SysWOW64\xfsrvjyoed.exe
        
        "C:\WINDOWS\SYSTEM32\xfsrvjyoed.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        254⤵
        
        PID:2948
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\XFSRVJYOED.EXE
        255⤵
        
        PID:860
        
        C:\WINDOWS\SysWOW64\mfejvfluep.exe
        
        "C:\WINDOWS\SYSTEM32\mfejvfluep.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        256⤵
        
        PID:1092
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\MFEJVFLUEP.EXE
        257⤵
        
        PID:2728
        
        C:\WINDOWS\SysWOW64\jgwwrqxdrn.exe
        
        "C:\WINDOWS\SYSTEM32\jgwwrqxdrn.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        258⤵
        
        PID:2512
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\JGWWRQXDRN.EXE
        259⤵
        
        PID:1840
        
        C:\WINDOWS\SysWOW64\jvmbizartl.exe
        
        "C:\WINDOWS\SYSTEM32\jvmbizartl.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        260⤵
        
        PID:3012
        
        C:\WINDOWS\SysWOW64\qhthfsrefi.exe
        
        "C:\WINDOWS\SYSTEM32\qhthfsrefi.exe" mElTC:\WINDOWS\SYSWOW64\JVMBIZARTL.EXE
        261⤵
        
        PID:2628
        
        C:\WINDOWS\SysWOW64\nerhyzwlgt.exe
        
        "C:\WINDOWS\SYSTEM32\nerhyzwlgt.exe" mElTC:\WINDOWS\SYSWOW64\QHTHFSREFI.EXE
        262⤵
        
        PID:1980
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\NERHYZWLGT.EXE
        263⤵
        
        PID:2164
        
        C:\WINDOWS\SysWOW64\iorwrvejns.exe
        
        "C:\WINDOWS\SYSTEM32\iorwrvejns.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        264⤵
        
        PID:2584
        
        C:\WINDOWS\SysWOW64\pwewllnbuc.exe
        
        "C:\WINDOWS\SYSTEM32\pwewllnbuc.exe" mElTC:\WINDOWS\SYSWOW64\IORWRVEJNS.EXE
        265⤵
        
        PID:2712
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\PWEWLLNBUC.EXE
        266⤵
        
        PID:2120
        
        C:\WINDOWS\SysWOW64\elnpryyebw.exe
        
        "C:\WINDOWS\SYSTEM32\elnpryyebw.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        267⤵
        
        PID:2784
        
        C:\WINDOWS\SysWOW64\mmmpgeczby.exe
        
        "C:\WINDOWS\SYSTEM32\mmmpgeczby.exe" mElTC:\WINDOWS\SYSWOW64\ELNPRYYEBW.EXE
        268⤵
        
        PID:2420
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\MMMPGECZBY.EXE
        269⤵
        
        PID:1140
        
        C:\WINDOWS\SysWOW64\jjtpzlpgcj.exe
        
        "C:\WINDOWS\SYSTEM32\jjtpzlpgcj.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        270⤵
        
        PID:2172
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\JJTPZLPGCJ.EXE
        271⤵
        
        PID:2700
        
        C:\WINDOWS\SysWOW64\auergefsoe.exe
        
        "C:\WINDOWS\SYSTEM32\auergefsoe.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        272⤵
        
        PID:2400
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\AUERGEFSOE.EXE
        273⤵
        
        PID:1608
        
        C:\WINDOWS\SysWOW64\ajcxymigqd.exe
        
        "C:\WINDOWS\SYSTEM32\ajcxymigqd.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        274⤵
        
        PID:2132
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\AJCXYMIGQD.EXE
        275⤵
        
        PID:1624
        
        C:\WINDOWS\SysWOW64\pvzcbvvokc.exe
        
        "C:\WINDOWS\SYSTEM32\pvzcbvvokc.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        276⤵
        
        PID:2588
        
        C:\WINDOWS\SysWOW64\zxpnwyjqxn.exe
        
        "C:\WINDOWS\SYSTEM32\zxpnwyjqxn.exe" mElTC:\WINDOWS\SYSWOW64\PVZCBVVOKC.EXE
        277⤵
        
        PID:1056
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\ZXPNWYJQXN.EXE
        278⤵
        
        PID:2704
        
        C:\WINDOWS\SysWOW64\wrkanspvek.exe
        
        "C:\WINDOWS\SYSTEM32\wrkanspvek.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        279⤵
        
        PID:960
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\WRKANSPVEK.EXE
        280⤵
        
        PID:820
        
        C:\WINDOWS\SysWOW64\dvsxehhymt.exe
        
        "C:\WINDOWS\SYSTEM32\dvsxehhymt.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        281⤵
        
        PID:1248
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\DVSXEHHYMT.EXE
        282⤵
        
        PID:2540
        
        C:\WINDOWS\SysWOW64\fbtixievma.exe
        
        "C:\WINDOWS\SYSTEM32\fbtixievma.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
        27⤵
        
        PID:2520
        
        C:\WINDOWS\SysWOW64\gcasServ32.exe
        
        "C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\USERS\ADMIN\APPDATA\LOCAL\TEMP\09EC2458A746ED795C88A62729A3D30E.EXE
        22⤵
        
        PID:3060

C:\WINDOWS\SysWOW64\gcasServ32.exe
"C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\AQVBRHAZPC.EXE
1⤵
PID:2976

C:\WINDOWS\SysWOW64\aqvbrhazpc.exe
"C:\WINDOWS\SYSTEM32\aqvbrhazpc.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
1⤵
PID:2584

C:\WINDOWS\SysWOW64\gcasServ32.exe
"C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\FSFGORTAPN.EXE
1⤵
PID:2660

C:\WINDOWS\SysWOW64\fsfgortapn.exe
"C:\WINDOWS\SYSTEM32\fsfgortapn.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
1⤵
PID:2552

C:\WINDOWS\SysWOW64\gcasServ32.exe
"C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\BFMYVIGAVF.EXE
1⤵
PID:1976

C:\WINDOWS\SysWOW64\bfmyvigavf.exe
"C:\WINDOWS\SYSTEM32\bfmyvigavf.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
1⤵
PID:628

C:\WINDOWS\SysWOW64\gcasServ32.exe
"C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\WBAQCYBRBE.EXE
1⤵
PID:924

C:\WINDOWS\SysWOW64\wbaqcybrbe.exe
"C:\WINDOWS\SYSTEM32\wbaqcybrbe.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
1⤵
PID:1568

C:\WINDOWS\SysWOW64\yhedmdvfmg.exe
"C:\WINDOWS\SYSTEM32\yhedmdvfmg.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
1⤵
PID:652

C:\WINDOWS\SysWOW64\gcasServ32.exe
"C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\ZLKYPEMUTA.EXE
1⤵
PID:1736

C:\WINDOWS\SysWOW64\zlkypemuta.exe
"C:\WINDOWS\SYSTEM32\zlkypemuta.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
1⤵
PID:2424

C:\WINDOWS\SysWOW64\gcasServ32.exe
"C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\FBTIXIEVMA.EXE
1⤵
PID:2772

C:\WINDOWS\SysWOW64\gcasServ32.exe
"C:\WINDOWS\SYSTEM32\gcasServ32.exe" mElTC:\WINDOWS\SYSWOW64\IDMIWJRPLQ.EXE
1⤵
PID:1716

C:\WINDOWS\SysWOW64\idmiwjrplq.exe
"C:\WINDOWS\SYSTEM32\idmiwjrplq.exe" mElTC:\WINDOWS\SYSWOW64\YTWYJGLMZE.EXE
1⤵
PID:2524

C:\WINDOWS\SysWOW64\ytwyjglmze.exe
"C:\WINDOWS\SYSTEM32\ytwyjglmze.exe" mElTC:\WINDOWS\SYSWOW64\GCASSERV32.EXE
1⤵
PID:2692

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Defense Evasion

Modify Registry

T1112

Credential Access

Discovery

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\WINDOWS\SYSWOW64\YHEDMDVFMG.EXE

Filesize
46KB

MD5
09ec2458a746ed795c88a62729a3d30e

SHA1
750cbd39b147e19cd38c6cf305487ee7d25243d8

SHA256
c6e1325d7043ee9af9529565e9a2ac16d56c2f1f8365d1dd469a0d3ea497c62a

SHA512
8e96b91af9e65097c41f4edade11219962220418a770d57977fe979bd2c50fe505f8eac367de22c53c9b4baf11cbac73d5a6d5f2190f3e70d672cfbc5402fca4

Download Submit
memory/280-180-0x0000000000300000-0x0000000000301000-memory.dmp

Filesize
4KB

Download
memory/280-188-0x0000000000400000-0x00000000004655C0-memory.dmp

Filesize
405KB

Download
memory/280-173-0x0000000000400000-0x00000000004655C0-memory.dmp

Filesize
405KB

Download
memory/628-224-0x0000000000400000-0x00000000004655C0-memory.dmp

Filesize
405KB

Download
memory/628-239-0x0000000000400000-0x00000000004655C0-memory.dmp

Filesize
405KB

Download
memory/628-297-0x00000000031F0000-0x0000000003256000-memory.dmp

Filesize
408KB

Download
memory/628-230-0x0000000000390000-0x0000000000391000-memory.dmp

Filesize
4KB

Download
memory/652-162-0x0000000000380000-0x0000000000381000-memory.dmp

Filesize
4KB

Download
memory/652-172-0x0000000000400000-0x00000000004655C0-memory.dmp

Filesize
405KB

Download
memory/924-222-0x0000000000400000-0x00000000004655C0-memory.dmp

Filesize
405KB

Download
memory/924-211-0x0000000000300000-0x0000000000301000-memory.dmp

Filesize
4KB

Download
memory/1196-361-0x0000000003260000-0x00000000032C6000-memory.dmp

Filesize
408KB

Download
memory/1196-353-0x0000000000230000-0x0000000000231000-memory.dmp

Filesize
4KB

Download
memory/1568-196-0x0000000000230000-0x0000000000231000-memory.dmp

Filesize
4KB

Download
memory/1568-206-0x0000000000400000-0x00000000004655C0-memory.dmp

Filesize
405KB

Download
memory/1716-329-0x00000000034D0000-0x0000000003536000-memory.dmp

Filesize
408KB

Download
memory/1716-75-0x0000000000300000-0x0000000000301000-memory.dmp

Filesize
4KB

Download
memory/1716-333-0x00000000034D0000-0x0000000003536000-memory.dmp

Filesize
408KB

Download
memory/1716-335-0x0000000000400000-0x00000000004655C0-memory.dmp

Filesize
405KB

Download
memory/1716-320-0x0000000000400000-0x00000000004655C0-memory.dmp

Filesize
405KB

Download
memory/1716-83-0x0000000000400000-0x00000000004655C0-memory.dmp

Filesize
405KB

Download
memory/1716-323-0x0000000000230000-0x0000000000231000-memory.dmp

Filesize
4KB

Download
memory/1716-148-0x0000000003230000-0x0000000003296000-memory.dmp

Filesize
408KB

Download
memory/1716-86-0x0000000003230000-0x0000000003296000-memory.dmp

Filesize
408KB

Download
memory/1736-153-0x0000000000400000-0x00000000004655C0-memory.dmp

Filesize
405KB

Download
memory/1736-156-0x0000000003270000-0x00000000032D6000-memory.dmp

Filesize
408KB

Download
memory/1736-144-0x0000000000300000-0x0000000000301000-memory.dmp

Filesize
4KB

Download
memory/1796-340-0x0000000000230000-0x0000000000231000-memory.dmp

Filesize
4KB

Download
memory/1796-339-0x0000000000400000-0x00000000004655C0-memory.dmp

Filesize
405KB

Download
memory/1796-348-0x0000000003270000-0x00000000032D6000-memory.dmp

Filesize
408KB

Download
memory/1976-253-0x0000000000400000-0x00000000004655C0-memory.dmp

Filesize
405KB

Download
memory/1976-256-0x0000000003350000-0x00000000033B6000-memory.dmp

Filesize
408KB

Download
memory/1976-315-0x0000000003350000-0x00000000033B6000-memory.dmp

Filesize
408KB

Download
memory/1976-247-0x0000000000230000-0x0000000000231000-memory.dmp

Filesize
4KB

Download
memory/1976-254-0x0000000003350000-0x00000000033B6000-memory.dmp

Filesize
408KB

Download
memory/1976-240-0x0000000000400000-0x00000000004655C0-memory.dmp

Filesize
405KB

Download
memory/2116-376-0x0000000003260000-0x00000000032C6000-memory.dmp

Filesize
408KB

Download
memory/2116-368-0x00000000003D0000-0x00000000003D1000-memory.dmp

Filesize
4KB

Download
memory/2116-363-0x0000000000400000-0x00000000004655C0-memory.dmp

Filesize
405KB

Download
memory/2116-377-0x0000000000400000-0x00000000004655C0-memory.dmp

Filesize
405KB

Download
memory/2424-138-0x0000000000400000-0x00000000004655C0-memory.dmp

Filesize
405KB

Download
memory/2424-127-0x0000000000300000-0x0000000000301000-memory.dmp

Filesize
4KB

Download
memory/2520-102-0x0000000000400000-0x00000000004655C0-memory.dmp

Filesize
405KB

Download
memory/2520-92-0x0000000000300000-0x0000000000301000-memory.dmp

Filesize
4KB

Download
memory/2524-69-0x0000000000400000-0x00000000004655C0-memory.dmp

Filesize
405KB

Download
memory/2524-58-0x0000000000300000-0x0000000000301000-memory.dmp

Filesize
4KB

Download
memory/2524-51-0x0000000000400000-0x00000000004655C0-memory.dmp

Filesize
405KB

Download
memory/2552-261-0x0000000000380000-0x0000000000381000-memory.dmp

Filesize
4KB

Download
memory/2552-336-0x0000000003340000-0x00000000033A6000-memory.dmp

Filesize
408KB

Download
memory/2552-267-0x0000000000400000-0x00000000004655C0-memory.dmp

Filesize
405KB

Download
memory/2552-269-0x0000000003340000-0x00000000033A6000-memory.dmp

Filesize
408KB

Download
memory/2584-290-0x0000000000300000-0x0000000000301000-memory.dmp

Filesize
4KB

Download
memory/2584-303-0x0000000003210000-0x0000000003276000-memory.dmp

Filesize
408KB

Download
memory/2584-301-0x0000000003210000-0x0000000003276000-memory.dmp

Filesize
408KB

Download
memory/2584-300-0x0000000000400000-0x00000000004655C0-memory.dmp

Filesize
405KB

Download
memory/2584-367-0x0000000003210000-0x0000000003276000-memory.dmp

Filesize
408KB

Download
memory/2660-271-0x0000000000400000-0x00000000004655C0-memory.dmp

Filesize
405KB

Download
memory/2660-285-0x0000000003120000-0x0000000003186000-memory.dmp

Filesize
408KB

Download
memory/2660-275-0x0000000000230000-0x0000000000231000-memory.dmp

Filesize
4KB

Download
memory/2660-281-0x0000000003120000-0x0000000003186000-memory.dmp

Filesize
408KB

Download
memory/2660-284-0x0000000000400000-0x00000000004655C0-memory.dmp

Filesize
405KB

Download
memory/2692-52-0x0000000003360000-0x00000000033C6000-memory.dmp

Filesize
408KB

Download
memory/2692-41-0x0000000000230000-0x0000000000231000-memory.dmp

Filesize
4KB

Download
memory/2692-34-0x0000000000400000-0x00000000004655C0-memory.dmp

Filesize
405KB

Download
memory/2692-49-0x0000000000400000-0x00000000004655C0-memory.dmp

Filesize
405KB

Download
memory/2692-114-0x0000000003360000-0x00000000033C6000-memory.dmp

Filesize
408KB

Download
memory/2772-119-0x0000000000400000-0x00000000004655C0-memory.dmp

Filesize
405KB

Download
memory/2772-103-0x0000000000400000-0x00000000004655C0-memory.dmp

Filesize
405KB

Download
memory/2772-104-0x0000000000400000-0x00000000004655C0-memory.dmp

Filesize
405KB

Download
memory/2772-110-0x00000000003B0000-0x00000000003B1000-memory.dmp

Filesize
4KB

Download
memory/2872-67-0x0000000003230000-0x0000000003296000-memory.dmp

Filesize
408KB

Download
memory/2872-14-0x0000000003230000-0x0000000003296000-memory.dmp

Filesize
408KB

Download
memory/2872-16-0x0000000000400000-0x00000000004655C0-memory.dmp

Filesize
405KB

Download
memory/2872-6-0x00000000003B0000-0x00000000003B1000-memory.dmp

Filesize
4KB

Download
memory/2872-18-0x0000000003230000-0x0000000003296000-memory.dmp

Filesize
408KB

Download
memory/2872-1-0x0000000000400000-0x00000000004655C0-memory.dmp

Filesize
405KB

Download
memory/2872-0-0x0000000000400000-0x00000000004655C0-memory.dmp

Filesize
405KB

Download
memory/2976-306-0x0000000000400000-0x00000000004655C0-memory.dmp

Filesize
405KB

Download
memory/2976-317-0x0000000000400000-0x00000000004655C0-memory.dmp

Filesize
405KB

Download
memory/2976-318-0x0000000003310000-0x0000000003376000-memory.dmp

Filesize
408KB

Download
memory/2976-307-0x0000000000230000-0x0000000000231000-memory.dmp

Filesize
4KB

Download
memory/3060-32-0x0000000003560000-0x00000000035C6000-memory.dmp

Filesize
408KB

Download
memory/3060-35-0x0000000000400000-0x00000000004655C0-memory.dmp

Filesize
405KB

Download
memory/3060-17-0x0000000000400000-0x00000000004655C0-memory.dmp

Filesize
405KB

Download
memory/3060-24-0x0000000000380000-0x0000000000381000-memory.dmp

Filesize
4KB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads