xmrig | c3aa356ae10c2e208a923a71b1789d0b921aa5bdeeb4bfe4a0b6760bbd848e62

Analysis

max time kernel
1s
max time network
143s
platform
windows10-2004_x64
resource
win10v2004-20231215-en
resource tags

arch:x64arch:x86image:win10v2004-20231215-enlocale:en-usos:windows10-2004-x64system
submitted
31/12/2023, 01:53

Sharing

Copy URL Twitter E-mail

Report Analysis Logs

General

Target

237a6285a7c8b444b05a9a6cc708051a.exe
Size

1.4MB
MD5

237a6285a7c8b444b05a9a6cc708051a
SHA1

c23bf8484514727d7c851c407b21c9455a5a3446
SHA256

c3aa356ae10c2e208a923a71b1789d0b921aa5bdeeb4bfe4a0b6760bbd848e62
SHA512

525b74003b1f108241c11b1f02481f41d1825ba7b0dfb18af041b6a075e9ea3802898b29e5a9e36ecaf9f5516864edcb2c1442cd524a0d44acb81fc1a60ed48a
SSDEEP

24576:JanwhSe11QSONCpGJCjETPlW6m3pPcqHLjpIT33hkalGqdCI0YGXtJuG:knw9oUUEEDlMrL6T33dvCUG1

Score

10^/10

xmrig miner upx

Malware Config

Signatures

xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 30 IoCs

miner

resource	yara_rule
behavioral2/memory/2628-36-0x00007FF7B3070000-0x00007FF7B3461000-memory.dmp	xmrig
behavioral2/memory/2496-53-0x00007FF6EA8B0000-0x00007FF6EACA1000-memory.dmp	xmrig
behavioral2/memory/224-61-0x00007FF7A1930000-0x00007FF7A1D21000-memory.dmp	xmrig
behavioral2/memory/1944-219-0x00007FF6386F0000-0x00007FF638AE1000-memory.dmp	xmrig
behavioral2/memory/3248-229-0x00007FF77D920000-0x00007FF77DD11000-memory.dmp	xmrig
behavioral2/memory/3364-278-0x00007FF651B10000-0x00007FF651F01000-memory.dmp	xmrig
behavioral2/memory/1100-318-0x00007FF636380000-0x00007FF636771000-memory.dmp	xmrig
behavioral2/memory/5152-333-0x00007FF7A49F0000-0x00007FF7A4DE1000-memory.dmp	xmrig
behavioral2/memory/5204-353-0x00007FF67B730000-0x00007FF67BB21000-memory.dmp	xmrig
behavioral2/memory/5260-366-0x00007FF7167A0000-0x00007FF716B91000-memory.dmp	xmrig
behavioral2/memory/5280-370-0x00007FF7F2C90000-0x00007FF7F3081000-memory.dmp	xmrig
behavioral2/memory/5424-382-0x00007FF60C330000-0x00007FF60C721000-memory.dmp	xmrig
behavioral2/memory/5640-409-0x00007FF7BED60000-0x00007FF7BF151000-memory.dmp	xmrig
behavioral2/memory/5664-410-0x00007FF7AE600000-0x00007FF7AE9F1000-memory.dmp	xmrig
behavioral2/memory/5680-411-0x00007FF700890000-0x00007FF700C81000-memory.dmp	xmrig
behavioral2/memory/5836-412-0x00007FF623FA0000-0x00007FF624391000-memory.dmp	xmrig
behavioral2/memory/5856-413-0x00007FF64D470000-0x00007FF64D861000-memory.dmp	xmrig
behavioral2/memory/5800-414-0x00007FF67B060000-0x00007FF67B451000-memory.dmp	xmrig
behavioral2/memory/5356-519-0x00007FF738780000-0x00007FF738B71000-memory.dmp	xmrig
behavioral2/memory/6004-416-0x00007FF626A70000-0x00007FF626E61000-memory.dmp	xmrig
behavioral2/memory/5876-415-0x00007FF6C86C0000-0x00007FF6C8AB1000-memory.dmp	xmrig
behavioral2/memory/5624-408-0x00007FF6C35C0000-0x00007FF6C39B1000-memory.dmp	xmrig
behavioral2/memory/5560-396-0x00007FF6B9080000-0x00007FF6B9471000-memory.dmp	xmrig
behavioral2/memory/5220-357-0x00007FF6AAC90000-0x00007FF6AB081000-memory.dmp	xmrig
behavioral2/memory/5168-341-0x00007FF7F9920000-0x00007FF7F9D11000-memory.dmp	xmrig
behavioral2/memory/4980-248-0x00007FF71B4E0000-0x00007FF71B8D1000-memory.dmp	xmrig
behavioral2/memory/3776-237-0x00007FF637EE0000-0x00007FF6382D1000-memory.dmp	xmrig
behavioral2/memory/4552-225-0x00007FF7F9E60000-0x00007FF7FA251000-memory.dmp	xmrig
behavioral2/memory/2124-57-0x00007FF791A50000-0x00007FF791E41000-memory.dmp	xmrig
behavioral2/memory/2948-44-0x00007FF645440000-0x00007FF645831000-memory.dmp	xmrig

Executes dropped EXE 21 IoCs

pid	Process
2032	dghiSqJ.exe
2988	sqsbdOr.exe
4040	VoUmTEV.exe
2628	pYwYCeD.exe
2948	cApvmqy.exe
2496	DjkBwCu.exe
2124	wgwmIsO.exe
4436	lkAjzMd.exe
4644	UtnESVu.exe
224	fkWuTZz.exe
3180	ftPmuJh.exe
2936	uEwGsBB.exe
2304	bcrmOaf.exe
244	etrEaGc.exe
4724	BWIGUyx.exe
4984	uWKUDhB.exe
3700	qQzsIdG.exe
1968	RVaiqrJ.exe
4668	WXssvbu.exe
1616	MFWVNFg.exe
4340	hRhVjKn.exe

UPX packed file 33 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/4932-0-0x00007FF761FD0000-0x00007FF7623C1000-memory.dmp	upx
behavioral2/memory/2628-36-0x00007FF7B3070000-0x00007FF7B3461000-memory.dmp	upx
behavioral2/memory/2496-53-0x00007FF6EA8B0000-0x00007FF6EACA1000-memory.dmp	upx
behavioral2/memory/224-61-0x00007FF7A1930000-0x00007FF7A1D21000-memory.dmp	upx
behavioral2/memory/1944-219-0x00007FF6386F0000-0x00007FF638AE1000-memory.dmp	upx
behavioral2/memory/3248-229-0x00007FF77D920000-0x00007FF77DD11000-memory.dmp	upx
behavioral2/memory/3364-278-0x00007FF651B10000-0x00007FF651F01000-memory.dmp	upx
behavioral2/memory/1100-318-0x00007FF636380000-0x00007FF636771000-memory.dmp	upx
behavioral2/memory/5152-333-0x00007FF7A49F0000-0x00007FF7A4DE1000-memory.dmp	upx
behavioral2/memory/5204-353-0x00007FF67B730000-0x00007FF67BB21000-memory.dmp	upx
behavioral2/memory/5260-366-0x00007FF7167A0000-0x00007FF716B91000-memory.dmp	upx
behavioral2/memory/5280-370-0x00007FF7F2C90000-0x00007FF7F3081000-memory.dmp	upx
behavioral2/memory/5424-382-0x00007FF60C330000-0x00007FF60C721000-memory.dmp	upx
behavioral2/memory/5640-409-0x00007FF7BED60000-0x00007FF7BF151000-memory.dmp	upx
behavioral2/memory/5664-410-0x00007FF7AE600000-0x00007FF7AE9F1000-memory.dmp	upx
behavioral2/memory/5680-411-0x00007FF700890000-0x00007FF700C81000-memory.dmp	upx
behavioral2/memory/5836-412-0x00007FF623FA0000-0x00007FF624391000-memory.dmp	upx
behavioral2/memory/5856-413-0x00007FF64D470000-0x00007FF64D861000-memory.dmp	upx
behavioral2/memory/5800-414-0x00007FF67B060000-0x00007FF67B451000-memory.dmp	upx
behavioral2/memory/5356-519-0x00007FF738780000-0x00007FF738B71000-memory.dmp	upx
behavioral2/memory/6004-416-0x00007FF626A70000-0x00007FF626E61000-memory.dmp	upx
behavioral2/memory/5876-415-0x00007FF6C86C0000-0x00007FF6C8AB1000-memory.dmp	upx
behavioral2/memory/5624-408-0x00007FF6C35C0000-0x00007FF6C39B1000-memory.dmp	upx
behavioral2/memory/5560-396-0x00007FF6B9080000-0x00007FF6B9471000-memory.dmp	upx
behavioral2/memory/5220-357-0x00007FF6AAC90000-0x00007FF6AB081000-memory.dmp	upx
behavioral2/memory/5168-341-0x00007FF7F9920000-0x00007FF7F9D11000-memory.dmp	upx
behavioral2/memory/4980-248-0x00007FF71B4E0000-0x00007FF71B8D1000-memory.dmp	upx
behavioral2/memory/3776-237-0x00007FF637EE0000-0x00007FF6382D1000-memory.dmp	upx
behavioral2/memory/4552-225-0x00007FF7F9E60000-0x00007FF7FA251000-memory.dmp	upx
behavioral2/memory/2988-75-0x00007FF734170000-0x00007FF734561000-memory.dmp	upx
behavioral2/memory/2124-57-0x00007FF791A50000-0x00007FF791E41000-memory.dmp	upx
behavioral2/memory/2948-44-0x00007FF645440000-0x00007FF645831000-memory.dmp	upx
behavioral2/memory/2032-24-0x00007FF7AEDB0000-0x00007FF7AF1A1000-memory.dmp	upx

Drops file in System32 directory 22 IoCs

description	ioc	Process
File created	C:\Windows\System32\pYwYCeD.exe	237a6285a7c8b444b05a9a6cc708051a.exe
File created	C:\Windows\System32\bcrmOaf.exe	237a6285a7c8b444b05a9a6cc708051a.exe
File created	C:\Windows\System32\BWIGUyx.exe	237a6285a7c8b444b05a9a6cc708051a.exe
File created	C:\Windows\System32\MFWVNFg.exe	237a6285a7c8b444b05a9a6cc708051a.exe
File created	C:\Windows\System32\dghiSqJ.exe	237a6285a7c8b444b05a9a6cc708051a.exe
File created	C:\Windows\System32\VoUmTEV.exe	237a6285a7c8b444b05a9a6cc708051a.exe
File created	C:\Windows\System32\lkAjzMd.exe	237a6285a7c8b444b05a9a6cc708051a.exe
File created	C:\Windows\System32\RVaiqrJ.exe	237a6285a7c8b444b05a9a6cc708051a.exe
File created	C:\Windows\System32\WXssvbu.exe	237a6285a7c8b444b05a9a6cc708051a.exe
File created	C:\Windows\System32\wgwmIsO.exe	237a6285a7c8b444b05a9a6cc708051a.exe
File created	C:\Windows\System32\qQzsIdG.exe	237a6285a7c8b444b05a9a6cc708051a.exe
File created	C:\Windows\System32\uEwGsBB.exe	237a6285a7c8b444b05a9a6cc708051a.exe
File created	C:\Windows\System32\etrEaGc.exe	237a6285a7c8b444b05a9a6cc708051a.exe
File created	C:\Windows\System32\sqsbdOr.exe	237a6285a7c8b444b05a9a6cc708051a.exe
File created	C:\Windows\System32\cApvmqy.exe	237a6285a7c8b444b05a9a6cc708051a.exe
File created	C:\Windows\System32\DjkBwCu.exe	237a6285a7c8b444b05a9a6cc708051a.exe
File created	C:\Windows\System32\UtnESVu.exe	237a6285a7c8b444b05a9a6cc708051a.exe
File created	C:\Windows\System32\fkWuTZz.exe	237a6285a7c8b444b05a9a6cc708051a.exe
File created	C:\Windows\System32\ftPmuJh.exe	237a6285a7c8b444b05a9a6cc708051a.exe
File created	C:\Windows\System32\uWKUDhB.exe	237a6285a7c8b444b05a9a6cc708051a.exe
File created	C:\Windows\System32\hRhVjKn.exe	237a6285a7c8b444b05a9a6cc708051a.exe
File created	C:\Windows\System32\JSFmPXQ.exe	237a6285a7c8b444b05a9a6cc708051a.exe

Suspicious use of WriteProcessMemory 42 IoCs

description	pid	Process	procid_target
PID 4932 wrote to memory of 2032	4932	237a6285a7c8b444b05a9a6cc708051a.exe	372
PID 4932 wrote to memory of 2032	4932	237a6285a7c8b444b05a9a6cc708051a.exe	372
PID 4932 wrote to memory of 2988	4932	237a6285a7c8b444b05a9a6cc708051a.exe	371
PID 4932 wrote to memory of 2988	4932	237a6285a7c8b444b05a9a6cc708051a.exe	371
PID 4932 wrote to memory of 4040	4932	237a6285a7c8b444b05a9a6cc708051a.exe	370
PID 4932 wrote to memory of 4040	4932	237a6285a7c8b444b05a9a6cc708051a.exe	370
PID 4932 wrote to memory of 2628	4932	237a6285a7c8b444b05a9a6cc708051a.exe	17
PID 4932 wrote to memory of 2628	4932	237a6285a7c8b444b05a9a6cc708051a.exe	17
PID 4932 wrote to memory of 2948	4932	237a6285a7c8b444b05a9a6cc708051a.exe	369
PID 4932 wrote to memory of 2948	4932	237a6285a7c8b444b05a9a6cc708051a.exe	369
PID 4932 wrote to memory of 2496	4932	237a6285a7c8b444b05a9a6cc708051a.exe	368
PID 4932 wrote to memory of 2496	4932	237a6285a7c8b444b05a9a6cc708051a.exe	368
PID 4932 wrote to memory of 2124	4932	237a6285a7c8b444b05a9a6cc708051a.exe	367
PID 4932 wrote to memory of 2124	4932	237a6285a7c8b444b05a9a6cc708051a.exe	367
PID 4932 wrote to memory of 4436	4932	237a6285a7c8b444b05a9a6cc708051a.exe	366
PID 4932 wrote to memory of 4436	4932	237a6285a7c8b444b05a9a6cc708051a.exe	366
PID 4932 wrote to memory of 4644	4932	237a6285a7c8b444b05a9a6cc708051a.exe	365
PID 4932 wrote to memory of 4644	4932	237a6285a7c8b444b05a9a6cc708051a.exe	365
PID 4932 wrote to memory of 224	4932	237a6285a7c8b444b05a9a6cc708051a.exe	18
PID 4932 wrote to memory of 224	4932	237a6285a7c8b444b05a9a6cc708051a.exe	18
PID 4932 wrote to memory of 3180	4932	237a6285a7c8b444b05a9a6cc708051a.exe	364
PID 4932 wrote to memory of 3180	4932	237a6285a7c8b444b05a9a6cc708051a.exe	364
PID 4932 wrote to memory of 2936	4932	237a6285a7c8b444b05a9a6cc708051a.exe	363
PID 4932 wrote to memory of 2936	4932	237a6285a7c8b444b05a9a6cc708051a.exe	363
PID 4932 wrote to memory of 2304	4932	237a6285a7c8b444b05a9a6cc708051a.exe	362
PID 4932 wrote to memory of 2304	4932	237a6285a7c8b444b05a9a6cc708051a.exe	362
PID 4932 wrote to memory of 244	4932	237a6285a7c8b444b05a9a6cc708051a.exe	361
PID 4932 wrote to memory of 244	4932	237a6285a7c8b444b05a9a6cc708051a.exe	361
PID 4932 wrote to memory of 4984	4932	237a6285a7c8b444b05a9a6cc708051a.exe	360
PID 4932 wrote to memory of 4984	4932	237a6285a7c8b444b05a9a6cc708051a.exe	360
PID 4932 wrote to memory of 4724	4932	237a6285a7c8b444b05a9a6cc708051a.exe	19
PID 4932 wrote to memory of 4724	4932	237a6285a7c8b444b05a9a6cc708051a.exe	19
PID 4932 wrote to memory of 3700	4932	237a6285a7c8b444b05a9a6cc708051a.exe	358
PID 4932 wrote to memory of 3700	4932	237a6285a7c8b444b05a9a6cc708051a.exe	358
PID 4932 wrote to memory of 1968	4932	237a6285a7c8b444b05a9a6cc708051a.exe	356
PID 4932 wrote to memory of 1968	4932	237a6285a7c8b444b05a9a6cc708051a.exe	356
PID 4932 wrote to memory of 4668	4932	237a6285a7c8b444b05a9a6cc708051a.exe	355
PID 4932 wrote to memory of 4668	4932	237a6285a7c8b444b05a9a6cc708051a.exe	355
PID 4932 wrote to memory of 1616	4932	237a6285a7c8b444b05a9a6cc708051a.exe	20
PID 4932 wrote to memory of 1616	4932	237a6285a7c8b444b05a9a6cc708051a.exe	20
PID 4932 wrote to memory of 4340	4932	237a6285a7c8b444b05a9a6cc708051a.exe	354
PID 4932 wrote to memory of 4340	4932	237a6285a7c8b444b05a9a6cc708051a.exe	354

C:\Windows\System32\pYwYCeD.exe
C:\Windows\System32\pYwYCeD.exe
1⤵
- Executes dropped EXE
PID:2628

C:\Windows\System32\fkWuTZz.exe
C:\Windows\System32\fkWuTZz.exe
1⤵
- Executes dropped EXE
PID:224

C:\Windows\System32\BWIGUyx.exe
C:\Windows\System32\BWIGUyx.exe
1⤵
- Executes dropped EXE
PID:4724

C:\Windows\System32\MFWVNFg.exe
C:\Windows\System32\MFWVNFg.exe
1⤵
- Executes dropped EXE
PID:1616

C:\Windows\System32\FQQnxLz.exe
C:\Windows\System32\FQQnxLz.exe
1⤵
PID:1628

C:\Windows\System32\PEMkfQw.exe
C:\Windows\System32\PEMkfQw.exe
1⤵
PID:5076

C:\Windows\System32\eSVNKRH.exe
C:\Windows\System32\eSVNKRH.exe
1⤵
PID:4376

C:\Windows\System32\GbRNcAl.exe
C:\Windows\System32\GbRNcAl.exe
1⤵
PID:2944

C:\Windows\System32\XgCRSit.exe
C:\Windows\System32\XgCRSit.exe
1⤵
PID:5004

C:\Windows\System32\qqQoWnW.exe
C:\Windows\System32\qqQoWnW.exe
1⤵
PID:2776

C:\Windows\System32\pdyPHXH.exe
C:\Windows\System32\pdyPHXH.exe
1⤵
PID:2800

C:\Windows\System32\iJDQpFY.exe
C:\Windows\System32\iJDQpFY.exe
1⤵
PID:5184

C:\Windows\System32\opDPMvH.exe
C:\Windows\System32\opDPMvH.exe
1⤵
PID:5424

C:\Windows\System32\wlHltFY.exe
C:\Windows\System32\wlHltFY.exe
1⤵
PID:5508

C:\Windows\System32\UPbLvuu.exe
C:\Windows\System32\UPbLvuu.exe
1⤵
PID:5560

C:\Windows\System32\dbGJdNW.exe
C:\Windows\System32\dbGJdNW.exe
1⤵
PID:5700

C:\Windows\System32\jNQZaHp.exe
C:\Windows\System32\jNQZaHp.exe
1⤵
PID:5876

C:\Windows\System32\YEMdunR.exe
C:\Windows\System32\YEMdunR.exe
1⤵
PID:5924

C:\Windows\System32\MKRxdrF.exe
C:\Windows\System32\MKRxdrF.exe
1⤵
PID:6112

C:\Windows\System32\DIWuebP.exe
C:\Windows\System32\DIWuebP.exe
1⤵
PID:3780

C:\Windows\System32\UPyJREO.exe
C:\Windows\System32\UPyJREO.exe
1⤵
PID:5552

C:\Windows\System32\oTjJxUY.exe
C:\Windows\System32\oTjJxUY.exe
1⤵
PID:5772

C:\Windows\System32\sjWScgK.exe
C:\Windows\System32\sjWScgK.exe
1⤵
PID:6100

C:\Windows\System32\iRsrDTW.exe
C:\Windows\System32\iRsrDTW.exe
1⤵
PID:6256

C:\Windows\System32\GTpSuvL.exe
C:\Windows\System32\GTpSuvL.exe
1⤵
PID:6320

C:\Windows\System32\KpYGIwP.exe
C:\Windows\System32\KpYGIwP.exe
1⤵
PID:6604

C:\Windows\System32\LoOyQbJ.exe
C:\Windows\System32\LoOyQbJ.exe
1⤵
PID:6776

C:\Windows\System32\hQobWOO.exe
C:\Windows\System32\hQobWOO.exe
1⤵
PID:6820

C:\Windows\System32\ZdKtYWW.exe
C:\Windows\System32\ZdKtYWW.exe
1⤵
PID:6936

C:\Windows\System32\UdrgBnu.exe
C:\Windows\System32\UdrgBnu.exe
1⤵
PID:7024

C:\Windows\System32\JjVnkfn.exe
C:\Windows\System32\JjVnkfn.exe
1⤵
PID:7096

C:\Windows\System32\lZtCUpN.exe
C:\Windows\System32\lZtCUpN.exe
1⤵
PID:4200

C:\Windows\System32\bINfrtk.exe
C:\Windows\System32\bINfrtk.exe
1⤵
PID:5160

C:\Windows\System32\aeygJWH.exe
C:\Windows\System32\aeygJWH.exe
1⤵
PID:6336

C:\Windows\System32\zlEqhDj.exe
C:\Windows\System32\zlEqhDj.exe
1⤵
PID:3168

C:\Windows\System32\MwnTgnt.exe
C:\Windows\System32\MwnTgnt.exe
1⤵
PID:5828

C:\Windows\System32\rpgvOXk.exe
C:\Windows\System32\rpgvOXk.exe
1⤵
PID:6576

C:\Windows\System32\UvaXsIT.exe
C:\Windows\System32\UvaXsIT.exe
1⤵
PID:6736

C:\Windows\System32\lkzfVWS.exe
C:\Windows\System32\lkzfVWS.exe
1⤵
PID:6996

C:\Windows\System32\jxMjZxS.exe
C:\Windows\System32\jxMjZxS.exe
1⤵
PID:7052

C:\Windows\System32\wcGTxNP.exe
C:\Windows\System32\wcGTxNP.exe
1⤵
PID:6252

C:\Windows\System32\xDnBQMt.exe
C:\Windows\System32\xDnBQMt.exe
1⤵
PID:5396

C:\Windows\System32\AhiRjOj.exe
C:\Windows\System32\AhiRjOj.exe
1⤵
PID:6292

C:\Windows\System32\dYwRjYg.exe
C:\Windows\System32\dYwRjYg.exe
1⤵
PID:6968

C:\Windows\System32\lCFuBoz.exe
C:\Windows\System32\lCFuBoz.exe
1⤵
PID:6856

C:\Windows\System32\RfDonKb.exe
C:\Windows\System32\RfDonKb.exe
1⤵
PID:6036

C:\Windows\System32\OVbZVZz.exe
C:\Windows\System32\OVbZVZz.exe
1⤵
PID:6784

C:\Windows\System32\QRDanNp.exe
C:\Windows\System32\QRDanNp.exe
1⤵
PID:6176

C:\Windows\System32\sfQCzNR.exe
C:\Windows\System32\sfQCzNR.exe
1⤵
PID:7000

C:\Windows\System32\aZcaKQP.exe
C:\Windows\System32\aZcaKQP.exe
1⤵
PID:7208

C:\Windows\System32\qVCymPn.exe
C:\Windows\System32\qVCymPn.exe
1⤵
PID:7236

C:\Windows\System32\DKLazJO.exe
C:\Windows\System32\DKLazJO.exe
1⤵
PID:7288

C:\Windows\System32\uBXEIOH.exe
C:\Windows\System32\uBXEIOH.exe
1⤵
PID:7372

C:\Windows\System32\lEgbFca.exe
C:\Windows\System32\lEgbFca.exe
1⤵
PID:7428

C:\Windows\System32\eKYTzmN.exe
C:\Windows\System32\eKYTzmN.exe
1⤵
PID:7408

C:\Windows\System32\HHrZFUl.exe
C:\Windows\System32\HHrZFUl.exe
1⤵
PID:7520

C:\Windows\System32\LgwVJbF.exe
C:\Windows\System32\LgwVJbF.exe
1⤵
PID:7544

C:\Windows\System32\KfrSzdT.exe
C:\Windows\System32\KfrSzdT.exe
1⤵
PID:7624

C:\Windows\System32\CvgYySB.exe
C:\Windows\System32\CvgYySB.exe
1⤵
PID:7640

C:\Windows\System32\QtjDBOT.exe
C:\Windows\System32\QtjDBOT.exe
1⤵
PID:7740

C:\Windows\System32\SeeYJwA.exe
C:\Windows\System32\SeeYJwA.exe
1⤵
PID:7788

C:\Windows\System32\pdJexzD.exe
C:\Windows\System32\pdJexzD.exe
1⤵
PID:7844

C:\Windows\System32\aGTfUWP.exe
C:\Windows\System32\aGTfUWP.exe
1⤵
PID:7996

C:\Windows\System32\IJeqyVm.exe
C:\Windows\System32\IJeqyVm.exe
1⤵
PID:8072

C:\Windows\System32\wFmfYsg.exe
C:\Windows\System32\wFmfYsg.exe
1⤵
PID:7180

C:\Windows\System32\wvGxhrv.exe
C:\Windows\System32\wvGxhrv.exe
1⤵
PID:7268

C:\Windows\System32\enuAzRa.exe
C:\Windows\System32\enuAzRa.exe
1⤵
PID:7416

C:\Windows\System32\zNjREBO.exe
C:\Windows\System32\zNjREBO.exe
1⤵
PID:7572

C:\Windows\System32\xBkZhin.exe
C:\Windows\System32\xBkZhin.exe
1⤵
PID:7656

C:\Windows\System32\PfgewzP.exe
C:\Windows\System32\PfgewzP.exe
1⤵
PID:7748

C:\Windows\System32\mMcSWML.exe
C:\Windows\System32\mMcSWML.exe
1⤵
PID:7920

C:\Windows\System32\ZKPpCED.exe
C:\Windows\System32\ZKPpCED.exe
1⤵
PID:7936

C:\Windows\System32\xUuQtVd.exe
C:\Windows\System32\xUuQtVd.exe
1⤵
PID:8116

C:\Windows\System32\YdSkdHH.exe
C:\Windows\System32\YdSkdHH.exe
1⤵
PID:7468

C:\Windows\System32\mFuawNC.exe
C:\Windows\System32\mFuawNC.exe
1⤵
PID:7940

C:\Windows\System32\cIGCzRA.exe
C:\Windows\System32\cIGCzRA.exe
1⤵
PID:7988

C:\Windows\System32\CQYfRCu.exe
C:\Windows\System32\CQYfRCu.exe
1⤵
PID:7800

C:\Windows\System32\UeKjjfS.exe
C:\Windows\System32\UeKjjfS.exe
1⤵
PID:7196

C:\Windows\System32\bheTYoe.exe
C:\Windows\System32\bheTYoe.exe
1⤵
PID:7856

C:\Windows\System32\rcxtOso.exe
C:\Windows\System32\rcxtOso.exe
1⤵
PID:8152

C:\Windows\System32\qZrLSqN.exe
C:\Windows\System32\qZrLSqN.exe
1⤵
PID:8356

C:\Windows\System32\CZTHkay.exe
C:\Windows\System32\CZTHkay.exe
1⤵
PID:8420

C:\Windows\System32\GZtSMwo.exe
C:\Windows\System32\GZtSMwo.exe
1⤵
PID:8480

C:\Windows\System32\flURuRX.exe
C:\Windows\System32\flURuRX.exe
1⤵
PID:8464

C:\Windows\System32\OpwqhKE.exe
C:\Windows\System32\OpwqhKE.exe
1⤵
PID:8636

C:\Windows\System32\xLxuudy.exe
C:\Windows\System32\xLxuudy.exe
1⤵
PID:8592

C:\Windows\System32\aEEXdaL.exe
C:\Windows\System32\aEEXdaL.exe
1⤵
PID:8720

C:\Windows\System32\CFCtRyX.exe
C:\Windows\System32\CFCtRyX.exe
1⤵
PID:8780

C:\Windows\System32\RkNdigZ.exe
C:\Windows\System32\RkNdigZ.exe
1⤵
PID:8764

C:\Windows\System32\yHzipoj.exe
C:\Windows\System32\yHzipoj.exe
1⤵
PID:8884

C:\Windows\System32\WiMqYtS.exe
C:\Windows\System32\WiMqYtS.exe
1⤵
PID:8964

C:\Windows\System32\nUOffhO.exe
C:\Windows\System32\nUOffhO.exe
1⤵
PID:8992

C:\Windows\System32\aWaDnBH.exe
C:\Windows\System32\aWaDnBH.exe
1⤵
PID:9072

C:\Windows\System32\DfQMRlO.exe
C:\Windows\System32\DfQMRlO.exe
1⤵
PID:9112

C:\Windows\System32\VTJkAGE.exe
C:\Windows\System32\VTJkAGE.exe
1⤵
PID:7304

C:\Windows\System32\byijcdp.exe
C:\Windows\System32\byijcdp.exe
1⤵
PID:8264

C:\Windows\System32\jpGaBBU.exe
C:\Windows\System32\jpGaBBU.exe
1⤵
PID:8396

C:\Windows\System32\NvXrJNe.exe
C:\Windows\System32\NvXrJNe.exe
1⤵
PID:8572

C:\Windows\System32\clepoRC.exe
C:\Windows\System32\clepoRC.exe
1⤵
PID:8384

C:\Windows\System32\LbXoMbe.exe
C:\Windows\System32\LbXoMbe.exe
1⤵
PID:3200

C:\Windows\System32\WaxfYIm.exe
C:\Windows\System32\WaxfYIm.exe
1⤵
PID:8960

C:\Windows\System32\pphYEbv.exe
C:\Windows\System32\pphYEbv.exe
1⤵
PID:9088

C:\Windows\System32\DcJnrRI.exe
C:\Windows\System32\DcJnrRI.exe
1⤵
PID:8368

C:\Windows\System32\rUAhfbs.exe
C:\Windows\System32\rUAhfbs.exe
1⤵
PID:8472

C:\Windows\System32\MnAjnOU.exe
C:\Windows\System32\MnAjnOU.exe
1⤵
PID:8940

C:\Windows\System32\oXQRjOU.exe
C:\Windows\System32\oXQRjOU.exe
1⤵
PID:8872

C:\Windows\System32\leCZBQj.exe
C:\Windows\System32\leCZBQj.exe
1⤵
PID:3000

C:\Windows\System32\WPDXSsd.exe
C:\Windows\System32\WPDXSsd.exe
1⤵
PID:9124

C:\Windows\System32\bgUfQsb.exe
C:\Windows\System32\bgUfQsb.exe
1⤵
PID:8248

C:\Windows\System32\lQCQEgB.exe
C:\Windows\System32\lQCQEgB.exe
1⤵
PID:8868

C:\Windows\System32\TNaazbv.exe
C:\Windows\System32\TNaazbv.exe
1⤵
PID:9224

C:\Windows\System32\gObLlPT.exe
C:\Windows\System32\gObLlPT.exe
1⤵
PID:9268

C:\Windows\System32\nuhoXLe.exe
C:\Windows\System32\nuhoXLe.exe
1⤵
PID:9348

C:\Windows\System32\TDpqvRa.exe
C:\Windows\System32\TDpqvRa.exe
1⤵
PID:9416

C:\Windows\System32\stjkAqm.exe
C:\Windows\System32\stjkAqm.exe
1⤵
PID:9324

C:\Windows\System32\huizZOr.exe
C:\Windows\System32\huizZOr.exe
1⤵
PID:9484

C:\Windows\System32\CqYDlmy.exe
C:\Windows\System32\CqYDlmy.exe
1⤵
PID:9520

C:\Windows\System32\skpKJXk.exe
C:\Windows\System32\skpKJXk.exe
1⤵
PID:9564

C:\Windows\System32\xgaCBuW.exe
C:\Windows\System32\xgaCBuW.exe
1⤵
PID:9620

C:\Windows\System32\dfFxXaC.exe
C:\Windows\System32\dfFxXaC.exe
1⤵
PID:9700

C:\Windows\System32\MvAiHLx.exe
C:\Windows\System32\MvAiHLx.exe
1⤵
PID:9756

C:\Windows\System32\POaLjZG.exe
C:\Windows\System32\POaLjZG.exe
1⤵
PID:9880

C:\Windows\System32\UAlXfqW.exe
C:\Windows\System32\UAlXfqW.exe
1⤵
PID:9856

C:\Windows\System32\YWuOfzS.exe
C:\Windows\System32\YWuOfzS.exe
1⤵
PID:9956

C:\Windows\System32\IJbEClJ.exe
C:\Windows\System32\IJbEClJ.exe
1⤵
PID:10056

C:\Windows\System32\zIbOxJY.exe
C:\Windows\System32\zIbOxJY.exe
1⤵
PID:10036

C:\Windows\System32\DhlhDjp.exe
C:\Windows\System32\DhlhDjp.exe
1⤵
PID:10184

C:\Windows\System32\aljoWgJ.exe
C:\Windows\System32\aljoWgJ.exe
1⤵
PID:10220

C:\Windows\System32\bpAafHg.exe
C:\Windows\System32\bpAafHg.exe
1⤵
PID:4348

C:\Windows\System32\DSEhytR.exe
C:\Windows\System32\DSEhytR.exe
1⤵
PID:3960

C:\Windows\System32\hKxiOOX.exe
C:\Windows\System32\hKxiOOX.exe
1⤵
PID:4600

C:\Windows\System32\uPcGsau.exe
C:\Windows\System32\uPcGsau.exe
1⤵
PID:9424

C:\Windows\System32\RbdSUjx.exe
C:\Windows\System32\RbdSUjx.exe
1⤵
PID:9316

C:\Windows\System32\jFeDjZa.exe
C:\Windows\System32\jFeDjZa.exe
1⤵
PID:10204

C:\Windows\System32\pzsJbIq.exe
C:\Windows\System32\pzsJbIq.exe
1⤵
PID:10168

C:\Windows\System32\JKodEkt.exe
C:\Windows\System32\JKodEkt.exe
1⤵
PID:10148

C:\Windows\System32\YKMMTeA.exe
C:\Windows\System32\YKMMTeA.exe
1⤵
PID:10128

C:\Windows\System32\CdtqEbt.exe
C:\Windows\System32\CdtqEbt.exe
1⤵
PID:10012

C:\Windows\System32\xlYqoyz.exe
C:\Windows\System32\xlYqoyz.exe
1⤵
PID:9836

C:\Windows\System32\qdPUBUZ.exe
C:\Windows\System32\qdPUBUZ.exe
1⤵
PID:9788

C:\Windows\System32\QcLzpCo.exe
C:\Windows\System32\QcLzpCo.exe
1⤵
PID:9740

C:\Windows\System32\DjHnFjc.exe
C:\Windows\System32\DjHnFjc.exe
1⤵
PID:9720

C:\Windows\System32\KiRowBm.exe
C:\Windows\System32\KiRowBm.exe
1⤵
PID:9684

C:\Windows\System32\Keyhlwf.exe
C:\Windows\System32\Keyhlwf.exe
1⤵
PID:9664

C:\Windows\System32\vHkBUVT.exe
C:\Windows\System32\vHkBUVT.exe
1⤵
PID:9640

C:\Windows\System32\QwMRYkh.exe
C:\Windows\System32\QwMRYkh.exe
1⤵
PID:9596

C:\Windows\System32\IZkNxDO.exe
C:\Windows\System32\IZkNxDO.exe
1⤵
PID:9504

C:\Windows\System32\QmljSTW.exe
C:\Windows\System32\QmljSTW.exe
1⤵
PID:9244

C:\Windows\System32\xXFDFLv.exe
C:\Windows\System32\xXFDFLv.exe
1⤵
PID:1464

C:\Windows\System32\lgpQQHw.exe
C:\Windows\System32\lgpQQHw.exe
1⤵
PID:8660

C:\Windows\System32\WieEmeb.exe
C:\Windows\System32\WieEmeb.exe
1⤵
PID:8624

C:\Windows\System32\UmKcvGk.exe
C:\Windows\System32\UmKcvGk.exe
1⤵
PID:8332

C:\Windows\System32\TRFgeKr.exe
C:\Windows\System32\TRFgeKr.exe
1⤵
PID:4060

C:\Windows\System32\YRGnqXe.exe
C:\Windows\System32\YRGnqXe.exe
1⤵
PID:8776

C:\Windows\System32\yJYcwyi.exe
C:\Windows\System32\yJYcwyi.exe
1⤵
PID:8916

C:\Windows\System32\ujXANCx.exe
C:\Windows\System32\ujXANCx.exe
1⤵
PID:8536

C:\Windows\System32\stvPsRf.exe
C:\Windows\System32\stvPsRf.exe
1⤵
PID:4532

C:\Windows\System32\VvekTEn.exe
C:\Windows\System32\VvekTEn.exe
1⤵
PID:7200

C:\Windows\System32\aCMhEMV.exe
C:\Windows\System32\aCMhEMV.exe
1⤵
PID:9172

C:\Windows\System32\hAqwLgS.exe
C:\Windows\System32\hAqwLgS.exe
1⤵
PID:9068

C:\Windows\System32\nllxiXV.exe
C:\Windows\System32\nllxiXV.exe
1⤵
PID:8988

C:\Windows\System32\TNiFsFS.exe
C:\Windows\System32\TNiFsFS.exe
1⤵
PID:8904

C:\Windows\System32\FKzNbei.exe
C:\Windows\System32\FKzNbei.exe
1⤵
PID:8824

C:\Windows\System32\MYgdUZu.exe
C:\Windows\System32\MYgdUZu.exe
1⤵
PID:8756

C:\Windows\System32\EbvEyHV.exe
C:\Windows\System32\EbvEyHV.exe
1⤵
PID:8740

C:\Windows\System32\yzeSDFk.exe
C:\Windows\System32\yzeSDFk.exe
1⤵
PID:8732

C:\Windows\System32\nxVQnkf.exe
C:\Windows\System32\nxVQnkf.exe
1⤵
PID:8316

C:\Windows\System32\zSQhgja.exe
C:\Windows\System32\zSQhgja.exe
1⤵
PID:8220

C:\Windows\System32\HgANFFB.exe
C:\Windows\System32\HgANFFB.exe
1⤵
PID:7716

C:\Windows\System32\wNAnJpk.exe
C:\Windows\System32\wNAnJpk.exe
1⤵
PID:9200

C:\Windows\System32\IAZqPYI.exe
C:\Windows\System32\IAZqPYI.exe
1⤵
PID:9184

C:\Windows\System32\dBeGqVz.exe
C:\Windows\System32\dBeGqVz.exe
1⤵
PID:9144

C:\Windows\System32\dKEBREQ.exe
C:\Windows\System32\dKEBREQ.exe
1⤵
PID:9092

C:\Windows\System32\xArEBJa.exe
C:\Windows\System32\xArEBJa.exe
1⤵
PID:8944

C:\Windows\System32\WaxZeMk.exe
C:\Windows\System32\WaxZeMk.exe
1⤵
PID:8924

C:\Windows\System32\lQVrAsf.exe
C:\Windows\System32\lQVrAsf.exe
1⤵
PID:8908

C:\Windows\System32\VlatJov.exe
C:\Windows\System32\VlatJov.exe
1⤵
PID:8860

C:\Windows\System32\ashJTXF.exe
C:\Windows\System32\ashJTXF.exe
1⤵
PID:8748

C:\Windows\System32\TMiXUWO.exe
C:\Windows\System32\TMiXUWO.exe
1⤵
PID:8672

C:\Windows\System32\ezjfCVQ.exe
C:\Windows\System32\ezjfCVQ.exe
1⤵
PID:8576

C:\Windows\System32\nvpeWRT.exe
C:\Windows\System32\nvpeWRT.exe
1⤵
PID:8560

C:\Windows\System32\qCAUrjL.exe
C:\Windows\System32\qCAUrjL.exe
1⤵
PID:8404

C:\Windows\System32\cCsOyvq.exe
C:\Windows\System32\cCsOyvq.exe
1⤵
PID:8372

C:\Windows\System32\VzVxiFA.exe
C:\Windows\System32\VzVxiFA.exe
1⤵
PID:8336

C:\Windows\System32\rrDjjQe.exe
C:\Windows\System32\rrDjjQe.exe
1⤵
PID:8320

C:\Windows\System32\EVjqzly.exe
C:\Windows\System32\EVjqzly.exe
1⤵
PID:8304

C:\Windows\System32\JUtGJcQ.exe
C:\Windows\System32\JUtGJcQ.exe
1⤵
PID:8284

C:\Windows\System32\ncdoSmr.exe
C:\Windows\System32\ncdoSmr.exe
1⤵
PID:8020

C:\Windows\System32\gWiTNdA.exe
C:\Windows\System32\gWiTNdA.exe
1⤵
PID:7764

C:\Windows\System32\scsNiUs.exe
C:\Windows\System32\scsNiUs.exe
1⤵
PID:7816

C:\Windows\System32\LhefFCq.exe
C:\Windows\System32\LhefFCq.exe
1⤵
PID:7636

C:\Windows\System32\xoQabte.exe
C:\Windows\System32\xoQabte.exe
1⤵
PID:7664

C:\Windows\System32\mDXjsXn.exe
C:\Windows\System32\mDXjsXn.exe
1⤵
PID:7588

C:\Windows\System32\eEhPZRs.exe
C:\Windows\System32\eEhPZRs.exe
1⤵
PID:7896

C:\Windows\System32\IJhDNKZ.exe
C:\Windows\System32\IJhDNKZ.exe
1⤵
PID:7872

C:\Windows\System32\pdOhueR.exe
C:\Windows\System32\pdOhueR.exe
1⤵
PID:7768

C:\Windows\System32\sFuJbjx.exe
C:\Windows\System32\sFuJbjx.exe
1⤵
PID:7752

C:\Windows\System32\mxxpkmI.exe
C:\Windows\System32\mxxpkmI.exe
1⤵
PID:7420

C:\Windows\System32\Eyzjymg.exe
C:\Windows\System32\Eyzjymg.exe
1⤵
PID:6908

C:\Windows\System32\gUtMonc.exe
C:\Windows\System32\gUtMonc.exe
1⤵
PID:8188

C:\Windows\System32\HJvCHQg.exe
C:\Windows\System32\HJvCHQg.exe
1⤵
PID:8164

C:\Windows\System32\hMOVpSc.exe
C:\Windows\System32\hMOVpSc.exe
1⤵
PID:8140

C:\Windows\System32\bSorkvJ.exe
C:\Windows\System32\bSorkvJ.exe
1⤵
PID:8048

C:\Windows\System32\yKlhTLH.exe
C:\Windows\System32\yKlhTLH.exe
1⤵
PID:8028

C:\Windows\System32\HmDGFzJ.exe
C:\Windows\System32\HmDGFzJ.exe
1⤵
PID:7980

C:\Windows\System32\BJUFtvV.exe
C:\Windows\System32\BJUFtvV.exe
1⤵
PID:7960

C:\Windows\System32\PPnxgCr.exe
C:\Windows\System32\PPnxgCr.exe
1⤵
PID:7944

C:\Windows\System32\BZWIxDw.exe
C:\Windows\System32\BZWIxDw.exe
1⤵
PID:7928

C:\Windows\System32\aPqdgZE.exe
C:\Windows\System32\aPqdgZE.exe
1⤵
PID:7912

C:\Windows\System32\oyZuMxd.exe
C:\Windows\System32\oyZuMxd.exe
1⤵
PID:7880

C:\Windows\System32\VyRJYzA.exe
C:\Windows\System32\VyRJYzA.exe
1⤵
PID:7720

C:\Windows\System32\FdpbWVV.exe
C:\Windows\System32\FdpbWVV.exe
1⤵
PID:7704

C:\Windows\System32\YsYYXjH.exe
C:\Windows\System32\YsYYXjH.exe
1⤵
PID:7676

C:\Windows\System32\mSRvmQx.exe
C:\Windows\System32\mSRvmQx.exe
1⤵
PID:7596

C:\Windows\System32\BRonqJv.exe
C:\Windows\System32\BRonqJv.exe
1⤵
PID:7576

C:\Windows\System32\cVBwIvt.exe
C:\Windows\System32\cVBwIvt.exe
1⤵
PID:7388

C:\Windows\System32\NllVfXI.exe
C:\Windows\System32\NllVfXI.exe
1⤵
PID:7352

C:\Windows\System32\XwdKZhD.exe
C:\Windows\System32\XwdKZhD.exe
1⤵
PID:7332

C:\Windows\System32\uWBvCYD.exe
C:\Windows\System32\uWBvCYD.exe
1⤵
PID:7184

C:\Windows\System32\kiqbdqM.exe
C:\Windows\System32\kiqbdqM.exe
1⤵
PID:6272

C:\Windows\System32\tlJMuwp.exe
C:\Windows\System32\tlJMuwp.exe
1⤵
PID:6172

C:\Windows\System32\hXbuMlD.exe
C:\Windows\System32\hXbuMlD.exe
1⤵
PID:6676

C:\Windows\System32\PzkDpjF.exe
C:\Windows\System32\PzkDpjF.exe
1⤵
PID:6580

C:\Windows\System32\oRsXJrg.exe
C:\Windows\System32\oRsXJrg.exe
1⤵
PID:5996

C:\Windows\System32\XtfkyAl.exe
C:\Windows\System32\XtfkyAl.exe
1⤵
PID:7108

C:\Windows\System32\vwIHZCp.exe
C:\Windows\System32\vwIHZCp.exe
1⤵
PID:6976

C:\Windows\System32\Zcaytmp.exe
C:\Windows\System32\Zcaytmp.exe
1⤵
PID:6688

C:\Windows\System32\cKiRRMk.exe
C:\Windows\System32\cKiRRMk.exe
1⤵
PID:6644

C:\Windows\System32\dlPeyKr.exe
C:\Windows\System32\dlPeyKr.exe
1⤵
PID:6632

C:\Windows\System32\RPEEctu.exe
C:\Windows\System32\RPEEctu.exe
1⤵
PID:5212

C:\Windows\System32\ttRciNw.exe
C:\Windows\System32\ttRciNw.exe
1⤵
PID:7152

C:\Windows\System32\ldaoVsf.exe
C:\Windows\System32\ldaoVsf.exe
1⤵
PID:7128

C:\Windows\System32\OzaUYFt.exe
C:\Windows\System32\OzaUYFt.exe
1⤵
PID:7076

C:\Windows\System32\YHEbkbb.exe
C:\Windows\System32\YHEbkbb.exe
1⤵
PID:7060

C:\Windows\System32\WTQtfFZ.exe
C:\Windows\System32\WTQtfFZ.exe
1⤵
PID:7008

C:\Windows\System32\gkUTgls.exe
C:\Windows\System32\gkUTgls.exe
1⤵
PID:6988

C:\Windows\System32\yxPzphX.exe
C:\Windows\System32\yxPzphX.exe
1⤵
PID:6868

C:\Windows\System32\slbyUeJ.exe
C:\Windows\System32\slbyUeJ.exe
1⤵
PID:6800

C:\Windows\System32\QSuGLNW.exe
C:\Windows\System32\QSuGLNW.exe
1⤵
PID:6756

C:\Windows\System32\CkbxWtO.exe
C:\Windows\System32\CkbxWtO.exe
1⤵
PID:6740

C:\Windows\System32\hFasNzc.exe
C:\Windows\System32\hFasNzc.exe
1⤵
PID:6584

C:\Windows\System32\qccJkHN.exe
C:\Windows\System32\qccJkHN.exe
1⤵
PID:6564

C:\Windows\System32\butLmKk.exe
C:\Windows\System32\butLmKk.exe
1⤵
PID:6536

C:\Windows\System32\hXCRWnD.exe
C:\Windows\System32\hXCRWnD.exe
1⤵
PID:6476

C:\Windows\System32\NPWypHt.exe
C:\Windows\System32\NPWypHt.exe
1⤵
PID:6392

C:\Windows\System32\zMvZrtY.exe
C:\Windows\System32\zMvZrtY.exe
1⤵
PID:6300

C:\Windows\System32\mDMwvlA.exe
C:\Windows\System32\mDMwvlA.exe
1⤵
PID:6280

C:\Windows\System32\OtUwMEO.exe
C:\Windows\System32\OtUwMEO.exe
1⤵
PID:6236

C:\Windows\System32\GeQjCwa.exe
C:\Windows\System32\GeQjCwa.exe
1⤵
PID:6216

C:\Windows\System32\ImxnfKt.exe
C:\Windows\System32\ImxnfKt.exe
1⤵
PID:6200

C:\Windows\System32\xhfyNlt.exe
C:\Windows\System32\xhfyNlt.exe
1⤵
PID:6180

C:\Windows\System32\gmUZmfl.exe
C:\Windows\System32\gmUZmfl.exe
1⤵
PID:6160

C:\Windows\System32\eiOlGxi.exe
C:\Windows\System32\eiOlGxi.exe
1⤵
PID:6016

C:\Windows\System32\oQVJOUH.exe
C:\Windows\System32\oQVJOUH.exe
1⤵
PID:5968

C:\Windows\System32\wphyeiK.exe
C:\Windows\System32\wphyeiK.exe
1⤵
PID:5696

C:\Windows\System32\IqJjFPZ.exe
C:\Windows\System32\IqJjFPZ.exe
1⤵
PID:5504

C:\Windows\System32\rexHIPU.exe
C:\Windows\System32\rexHIPU.exe
1⤵
PID:5352

C:\Windows\System32\VHWLOJD.exe
C:\Windows\System32\VHWLOJD.exe
1⤵
PID:5296

C:\Windows\System32\KzOIvXb.exe
C:\Windows\System32\KzOIvXb.exe
1⤵
PID:5164

C:\Windows\System32\zQfDjdw.exe
C:\Windows\System32\zQfDjdw.exe
1⤵
PID:3344

C:\Windows\System32\HaHIPBm.exe
C:\Windows\System32\HaHIPBm.exe
1⤵
PID:6088

C:\Windows\System32\MNVxJTS.exe
C:\Windows\System32\MNVxJTS.exe
1⤵
PID:5992

C:\Windows\System32\aoRdZQo.exe
C:\Windows\System32\aoRdZQo.exe
1⤵
PID:5952

C:\Windows\System32\wqNcZvO.exe
C:\Windows\System32\wqNcZvO.exe
1⤵
PID:5900

C:\Windows\System32\sJsbLgB.exe
C:\Windows\System32\sJsbLgB.exe
1⤵
PID:5872

C:\Windows\System32\NIsfYiX.exe
C:\Windows\System32\NIsfYiX.exe
1⤵
PID:5864

C:\Windows\System32\RXHOEqs.exe
C:\Windows\System32\RXHOEqs.exe
1⤵
PID:5420

C:\Windows\System32\AXgdwNU.exe
C:\Windows\System32\AXgdwNU.exe
1⤵
PID:5356

C:\Windows\System32\hEVjcKF.exe
C:\Windows\System32\hEVjcKF.exe
1⤵
PID:5176

C:\Windows\System32\HtbCgaz.exe
C:\Windows\System32\HtbCgaz.exe
1⤵
PID:5236

C:\Windows\System32\AAOgKVj.exe
C:\Windows\System32\AAOgKVj.exe
1⤵
PID:5140

C:\Windows\System32\oYJQpDj.exe
C:\Windows\System32\oYJQpDj.exe
1⤵
PID:6092

C:\Windows\System32\kBFnjUR.exe
C:\Windows\System32\kBFnjUR.exe
1⤵
PID:6072

C:\Windows\System32\VkUZCuD.exe
C:\Windows\System32\VkUZCuD.exe
1⤵
PID:6056

C:\Windows\System32\LGKNETw.exe
C:\Windows\System32\LGKNETw.exe
1⤵
PID:6024

C:\Windows\System32\MojqttU.exe
C:\Windows\System32\MojqttU.exe
1⤵
PID:6004

C:\Windows\System32\pomItzp.exe
C:\Windows\System32\pomItzp.exe
1⤵
PID:5984

C:\Windows\System32\YozgoAx.exe
C:\Windows\System32\YozgoAx.exe
1⤵
PID:5856

C:\Windows\System32\vPyrUYO.exe
C:\Windows\System32\vPyrUYO.exe
1⤵
PID:5836

C:\Windows\System32\rQSDaki.exe
C:\Windows\System32\rQSDaki.exe
1⤵
PID:5816

C:\Windows\System32\LJlvxZk.exe
C:\Windows\System32\LJlvxZk.exe
1⤵
PID:5800

C:\Windows\System32\DBaMHQW.exe
C:\Windows\System32\DBaMHQW.exe
1⤵
PID:5680

C:\Windows\System32\EUrFRJj.exe
C:\Windows\System32\EUrFRJj.exe
1⤵
PID:5664

C:\Windows\System32\ArmhbTh.exe
C:\Windows\System32\ArmhbTh.exe
1⤵
PID:5640

C:\Windows\System32\ILQxbuA.exe
C:\Windows\System32\ILQxbuA.exe
1⤵
PID:5624

C:\Windows\System32\pQXLWfH.exe
C:\Windows\System32\pQXLWfH.exe
1⤵
PID:5604

C:\Windows\System32\GbRESmj.exe
C:\Windows\System32\GbRESmj.exe
1⤵
PID:5584

C:\Windows\System32\krUfiiv.exe
C:\Windows\System32\krUfiiv.exe
1⤵
PID:5488

C:\Windows\System32\gSdljvM.exe
C:\Windows\System32\gSdljvM.exe
1⤵
PID:5400

C:\Windows\System32\AyoADZi.exe
C:\Windows\System32\AyoADZi.exe
1⤵
PID:5384

C:\Windows\System32\dLHFiey.exe
C:\Windows\System32\dLHFiey.exe
1⤵
PID:5368

C:\Windows\System32\GjouKCk.exe
C:\Windows\System32\GjouKCk.exe
1⤵
PID:5280

C:\Windows\System32\OYHhbni.exe
C:\Windows\System32\OYHhbni.exe
1⤵
PID:5260

C:\Windows\System32\AyzUfxB.exe
C:\Windows\System32\AyzUfxB.exe
1⤵
PID:5240

C:\Windows\System32\eHUTWCC.exe
C:\Windows\System32\eHUTWCC.exe
1⤵
PID:5220

C:\Windows\System32\HnojkjI.exe
C:\Windows\System32\HnojkjI.exe
1⤵
PID:5204

C:\Windows\System32\vQDANoX.exe
C:\Windows\System32\vQDANoX.exe
1⤵
PID:5168

C:\Windows\System32\GtCVrDX.exe
C:\Windows\System32\GtCVrDX.exe
1⤵
PID:5152

C:\Windows\System32\daiYFLs.exe
C:\Windows\System32\daiYFLs.exe
1⤵
PID:1100

C:\Windows\System32\fLKuSym.exe
C:\Windows\System32\fLKuSym.exe
1⤵
PID:4964

C:\Windows\System32\AFIoTEd.exe
C:\Windows\System32\AFIoTEd.exe
1⤵
PID:3920

C:\Windows\System32\eUOAarG.exe
C:\Windows\System32\eUOAarG.exe
1⤵
PID:4940

C:\Windows\System32\vpoqTXn.exe
C:\Windows\System32\vpoqTXn.exe
1⤵
PID:3364

C:\Windows\System32\hsaVAXd.exe
C:\Windows\System32\hsaVAXd.exe
1⤵
PID:628

C:\Windows\System32\efvCxbx.exe
C:\Windows\System32\efvCxbx.exe
1⤵
PID:1740

C:\Windows\System32\hrgltnL.exe
C:\Windows\System32\hrgltnL.exe
1⤵
PID:2452

C:\Windows\System32\YQNDSGz.exe
C:\Windows\System32\YQNDSGz.exe
1⤵
PID:3604

C:\Windows\System32\OdNUxwq.exe
C:\Windows\System32\OdNUxwq.exe
1⤵
PID:4484

C:\Windows\System32\XXfYVIK.exe
C:\Windows\System32\XXfYVIK.exe
1⤵
PID:2388

C:\Windows\System32\QkKchpT.exe
C:\Windows\System32\QkKchpT.exe
1⤵
PID:2516

C:\Windows\System32\rgRyqNQ.exe
C:\Windows\System32\rgRyqNQ.exe
1⤵
PID:4148

C:\Windows\System32\pKtutKj.exe
C:\Windows\System32\pKtutKj.exe
1⤵
PID:4980

C:\Windows\System32\FCDOqOv.exe
C:\Windows\System32\FCDOqOv.exe
1⤵
PID:3776

C:\Windows\System32\obaYZwp.exe
C:\Windows\System32\obaYZwp.exe
1⤵
PID:3248

C:\Windows\System32\ogoLIPk.exe
C:\Windows\System32\ogoLIPk.exe
1⤵
PID:4552

C:\Windows\System32\WLErLfl.exe
C:\Windows\System32\WLErLfl.exe
1⤵
PID:4616

C:\Windows\System32\mpcQhtW.exe
C:\Windows\System32\mpcQhtW.exe
1⤵
PID:2040

C:\Windows\System32\yEcjaav.exe
C:\Windows\System32\yEcjaav.exe
1⤵
PID:1944

C:\Windows\System32\rpoyZrT.exe
C:\Windows\System32\rpoyZrT.exe
1⤵
PID:3224

C:\Windows\System32\DDTmhUd.exe
C:\Windows\System32\DDTmhUd.exe
1⤵
PID:4620

C:\Windows\System32\iAtRnZz.exe
C:\Windows\System32\iAtRnZz.exe
1⤵
PID:4408

C:\Windows\System32\UwavGyS.exe
C:\Windows\System32\UwavGyS.exe
1⤵
PID:2836

C:\Windows\System32\WLEmvIp.exe
C:\Windows\System32\WLEmvIp.exe
1⤵
PID:3472

C:\Windows\System32\KlvLmLV.exe
C:\Windows\System32\KlvLmLV.exe
1⤵
PID:2372

C:\Windows\System32\UzdtPLG.exe
C:\Windows\System32\UzdtPLG.exe
1⤵
PID:4104

C:\Windows\System32\FcEUTXo.exe
C:\Windows\System32\FcEUTXo.exe
1⤵
PID:5104

C:\Windows\System32\JBaZmSz.exe
C:\Windows\System32\JBaZmSz.exe
1⤵
PID:4204

C:\Windows\System32\JSFmPXQ.exe
C:\Windows\System32\JSFmPXQ.exe
1⤵
PID:2856

C:\Windows\System32\hRhVjKn.exe
C:\Windows\System32\hRhVjKn.exe
1⤵
- Executes dropped EXE
PID:4340

C:\Windows\System32\WXssvbu.exe
C:\Windows\System32\WXssvbu.exe
1⤵
- Executes dropped EXE
PID:4668

C:\Windows\System32\RVaiqrJ.exe
C:\Windows\System32\RVaiqrJ.exe
1⤵
- Executes dropped EXE
PID:1968

C:\Windows\System32\qQzsIdG.exe
C:\Windows\System32\qQzsIdG.exe
1⤵
- Executes dropped EXE
PID:3700

C:\Windows\System32\uWKUDhB.exe
C:\Windows\System32\uWKUDhB.exe
1⤵
- Executes dropped EXE
PID:4984

C:\Windows\System32\etrEaGc.exe
C:\Windows\System32\etrEaGc.exe
1⤵
- Executes dropped EXE
PID:244

C:\Windows\System32\bcrmOaf.exe
C:\Windows\System32\bcrmOaf.exe
1⤵
- Executes dropped EXE
PID:2304

C:\Windows\System32\uEwGsBB.exe
C:\Windows\System32\uEwGsBB.exe
1⤵
- Executes dropped EXE
PID:2936

C:\Windows\System32\ftPmuJh.exe
C:\Windows\System32\ftPmuJh.exe
1⤵
- Executes dropped EXE
PID:3180

C:\Windows\System32\UtnESVu.exe
C:\Windows\System32\UtnESVu.exe
1⤵
- Executes dropped EXE
PID:4644

C:\Windows\System32\lkAjzMd.exe
C:\Windows\System32\lkAjzMd.exe
1⤵
- Executes dropped EXE
PID:4436

C:\Windows\System32\wgwmIsO.exe
C:\Windows\System32\wgwmIsO.exe
1⤵
- Executes dropped EXE
PID:2124

C:\Windows\System32\DjkBwCu.exe
C:\Windows\System32\DjkBwCu.exe
1⤵
- Executes dropped EXE
PID:2496

C:\Windows\System32\cApvmqy.exe
C:\Windows\System32\cApvmqy.exe
1⤵
- Executes dropped EXE
PID:2948

C:\Windows\System32\VoUmTEV.exe
C:\Windows\System32\VoUmTEV.exe
1⤵
- Executes dropped EXE
PID:4040

C:\Windows\System32\sqsbdOr.exe
C:\Windows\System32\sqsbdOr.exe
1⤵
- Executes dropped EXE
PID:2988

C:\Windows\System32\dghiSqJ.exe
C:\Windows\System32\dghiSqJ.exe
1⤵
- Executes dropped EXE
PID:2032

C:\Users\Admin\AppData\Local\Temp\237a6285a7c8b444b05a9a6cc708051a.exe
"C:\Users\Admin\AppData\Local\Temp\237a6285a7c8b444b05a9a6cc708051a.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:4932

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
PID:5708

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads

memory/224-61-0x00007FF7A1930000-0x00007FF7A1D21000-memory.dmp

Filesize
3.9MB

Download
memory/244-125-0x00007FF793460000-0x00007FF793851000-memory.dmp

Filesize
3.9MB

Download
memory/628-273-0x00007FF6AB880000-0x00007FF6ABC71000-memory.dmp

Filesize
3.9MB

Download
memory/1100-318-0x00007FF636380000-0x00007FF636771000-memory.dmp

Filesize
3.9MB

Download
memory/1628-194-0x00007FF63B8E0000-0x00007FF63BCD1000-memory.dmp

Filesize
3.9MB

Download
memory/1944-219-0x00007FF6386F0000-0x00007FF638AE1000-memory.dmp

Filesize
3.9MB

Download
memory/2032-24-0x00007FF7AEDB0000-0x00007FF7AF1A1000-memory.dmp

Filesize
3.9MB

Download
memory/2124-57-0x00007FF791A50000-0x00007FF791E41000-memory.dmp

Filesize
3.9MB

Download
memory/2372-185-0x00007FF62C9D0000-0x00007FF62CDC1000-memory.dmp

Filesize
3.9MB

Download
memory/2496-53-0x00007FF6EA8B0000-0x00007FF6EACA1000-memory.dmp

Filesize
3.9MB

Download
memory/2516-253-0x00007FF643FE0000-0x00007FF6443D1000-memory.dmp

Filesize
3.9MB

Download
memory/2628-36-0x00007FF7B3070000-0x00007FF7B3461000-memory.dmp

Filesize
3.9MB

Download
memory/2936-116-0x00007FF662640000-0x00007FF662A31000-memory.dmp

Filesize
3.9MB

Download
memory/2948-44-0x00007FF645440000-0x00007FF645831000-memory.dmp

Filesize
3.9MB

Download
memory/2988-75-0x00007FF734170000-0x00007FF734561000-memory.dmp

Filesize
3.9MB

Download
memory/3180-110-0x00007FF7DF6E0000-0x00007FF7DFAD1000-memory.dmp

Filesize
3.9MB

Download
memory/3248-229-0x00007FF77D920000-0x00007FF77DD11000-memory.dmp

Filesize
3.9MB

Download
memory/3364-278-0x00007FF651B10000-0x00007FF651F01000-memory.dmp

Filesize
3.9MB

Download
memory/3604-260-0x00007FF7F4110000-0x00007FF7F4501000-memory.dmp

Filesize
3.9MB

Download
memory/3776-237-0x00007FF637EE0000-0x00007FF6382D1000-memory.dmp

Filesize
3.9MB

Download
memory/3920-292-0x00007FF76ECF0000-0x00007FF76F0E1000-memory.dmp

Filesize
3.9MB

Download
memory/4040-89-0x00007FF610320000-0x00007FF610711000-memory.dmp

Filesize
3.9MB

Download
memory/4104-173-0x00007FF7A7F20000-0x00007FF7A8311000-memory.dmp

Filesize
3.9MB

Download
memory/4204-166-0x00007FF6DA850000-0x00007FF6DAC41000-memory.dmp

Filesize
3.9MB

Download
memory/4340-152-0x00007FF644FB0000-0x00007FF6453A1000-memory.dmp

Filesize
3.9MB

Download
memory/4408-202-0x00007FF755160000-0x00007FF755551000-memory.dmp

Filesize
3.9MB

Download
memory/4436-96-0x00007FF7D52B0000-0x00007FF7D56A1000-memory.dmp

Filesize
3.9MB

Download
memory/4552-225-0x00007FF7F9E60000-0x00007FF7FA251000-memory.dmp

Filesize
3.9MB

Download
memory/4620-208-0x00007FF7A9D80000-0x00007FF7AA171000-memory.dmp

Filesize
3.9MB

Download
memory/4644-103-0x00007FF733870000-0x00007FF733C61000-memory.dmp

Filesize
3.9MB

Download
memory/4724-131-0x00007FF724110000-0x00007FF724501000-memory.dmp

Filesize
3.9MB

Download
memory/4932-0-0x00007FF761FD0000-0x00007FF7623C1000-memory.dmp

Filesize
3.9MB

Download
memory/4932-1-0x00000216E4E20000-0x00000216E4E30000-memory.dmp

Filesize
64KB

Download
memory/4940-288-0x00007FF7260C0000-0x00007FF7264B1000-memory.dmp

Filesize
3.9MB

Download
memory/4964-311-0x00007FF7C0BF0000-0x00007FF7C0FE1000-memory.dmp

Filesize
3.9MB

Download
memory/4980-248-0x00007FF71B4E0000-0x00007FF71B8D1000-memory.dmp

Filesize
3.9MB

Download
memory/4984-140-0x00007FF62C470000-0x00007FF62C861000-memory.dmp

Filesize
3.9MB

Download
memory/5004-306-0x00007FF65DE50000-0x00007FF65E241000-memory.dmp

Filesize
3.9MB

Download
memory/5076-212-0x00007FF7ED170000-0x00007FF7ED561000-memory.dmp

Filesize
3.9MB

Download
memory/5152-333-0x00007FF7A49F0000-0x00007FF7A4DE1000-memory.dmp

Filesize
3.9MB

Download
memory/5168-341-0x00007FF7F9920000-0x00007FF7F9D11000-memory.dmp

Filesize
3.9MB

Download
memory/5204-353-0x00007FF67B730000-0x00007FF67BB21000-memory.dmp

Filesize
3.9MB

Download
memory/5220-357-0x00007FF6AAC90000-0x00007FF6AB081000-memory.dmp

Filesize
3.9MB

Download
memory/5236-515-0x00007FF735B80000-0x00007FF735F71000-memory.dmp

Filesize
3.9MB

Download
memory/5260-366-0x00007FF7167A0000-0x00007FF716B91000-memory.dmp

Filesize
3.9MB

Download
memory/5280-370-0x00007FF7F2C90000-0x00007FF7F3081000-memory.dmp

Filesize
3.9MB

Download
memory/5356-519-0x00007FF738780000-0x00007FF738B71000-memory.dmp

Filesize
3.9MB

Download
memory/5384-389-0x00007FF773150000-0x00007FF773541000-memory.dmp

Filesize
3.9MB

Download
memory/5420-527-0x00007FF747160000-0x00007FF747551000-memory.dmp

Filesize
3.9MB

Download
memory/5424-382-0x00007FF60C330000-0x00007FF60C721000-memory.dmp

Filesize
3.9MB

Download
memory/5560-396-0x00007FF6B9080000-0x00007FF6B9471000-memory.dmp

Filesize
3.9MB

Download
memory/5584-402-0x00007FF6C5570000-0x00007FF6C5961000-memory.dmp

Filesize
3.9MB

Download
memory/5624-408-0x00007FF6C35C0000-0x00007FF6C39B1000-memory.dmp

Filesize
3.9MB

Download
memory/5640-409-0x00007FF7BED60000-0x00007FF7BF151000-memory.dmp

Filesize
3.9MB

Download
memory/5664-410-0x00007FF7AE600000-0x00007FF7AE9F1000-memory.dmp

Filesize
3.9MB

Download
memory/5680-411-0x00007FF700890000-0x00007FF700C81000-memory.dmp

Filesize
3.9MB

Download
memory/5800-414-0x00007FF67B060000-0x00007FF67B451000-memory.dmp

Filesize
3.9MB

Download
memory/5836-412-0x00007FF623FA0000-0x00007FF624391000-memory.dmp

Filesize
3.9MB

Download
memory/5856-413-0x00007FF64D470000-0x00007FF64D861000-memory.dmp

Filesize
3.9MB

Download
memory/5876-415-0x00007FF6C86C0000-0x00007FF6C8AB1000-memory.dmp

Filesize
3.9MB

Download
memory/6004-416-0x00007FF626A70000-0x00007FF626E61000-memory.dmp

Filesize
3.9MB

Download
memory/6024-508-0x00007FF662E00000-0x00007FF6631F1000-memory.dmp

Filesize
3.9MB

Download
memory/6056-480-0x00007FF7FFA30000-0x00007FF7FFE21000-memory.dmp

Filesize
3.9MB

Download
memory/6092-435-0x00007FF6AE500000-0x00007FF6AE8F1000-memory.dmp

Filesize
3.9MB

Download
memory/6112-484-0x00007FF6D0520000-0x00007FF6D0911000-memory.dmp

Filesize
3.9MB

Download