847a4fbf0d162073ff3c0f08e5beb3a94729dbb9778f495c2e42860404d15f9e

Analysis

max time kernel
49s
max time network
179s
platform
windows10-2004_x64
resource
win10v2004-20231215-en
resource tags

arch:x64arch:x86image:win10v2004-20231215-enlocale:en-usos:windows10-2004-x64system
submitted
31-12-2023 02:50

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

2527ce19ca8117d5bfee6555a2e1f408.exe
Size

45KB
MD5

2527ce19ca8117d5bfee6555a2e1f408
SHA1

b0023a3c1cbb12289cdce2a9cef796cedc0aba45
SHA256

847a4fbf0d162073ff3c0f08e5beb3a94729dbb9778f495c2e42860404d15f9e
SHA512

ad51396033c04c6bcb9f60d7792abb8549ea2f4941b3ed2807fd218b14ad3c45807917d3b654edbefa6f672e4719b54982bf90c2fa2c4151a124703c8ef8f5fb
SSDEEP

768:Ldv+Xqd1szndUe9I+N68Jop8pwYbX2oi1Sb3CvJMsbc08K9/:4Xqd1sxl5Up8pwYbX28e1l

Score

7^/10

Malware Config

Signatures

Checks computer location settings 2 TTPs 7 IoCs

Looks up country code configured in the registry, likely geofence.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\USER\S-1-5-21-3073191680-435865314-2862784915-1000\Control Panel\International\Geo\Nation	2527ce19ca8117d5bfee6555a2e1f408.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3073191680-435865314-2862784915-1000\Control Panel\International\Geo\Nation	ktluwfh.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3073191680-435865314-2862784915-1000\Control Panel\International\Geo\Nation	fwkvgfo.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3073191680-435865314-2862784915-1000\Control Panel\International\Geo\Nation	fwkvgfo.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3073191680-435865314-2862784915-1000\Control Panel\International\Geo\Nation	ktluwfh.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3073191680-435865314-2862784915-1000\Control Panel\International\Geo\Nation	ktluwfh.exe
Key value queried	\REGISTRY\USER\S-1-5-21-3073191680-435865314-2862784915-1000\Control Panel\International\Geo\Nation	ktluwfh.exe

Executes dropped EXE 14 IoCs

pid	Process
4992	ktluwfh.exe
2920	fwkvgfo.exe
728	ktluwfh.exe
1800	fwkvgfo.exe
2172	ktluwfh.exe
1944	ktluwfh.exe
4980	fwkvgfo.exe
4388	fwkvgfo.exe
2044	ktluwfh.exe
4220	fwkvgfo.exe
1584	Process not Found
2944	ktluwfh.exe
4636	fwkvgfo.exe
2164	Process not Found

Drops file in System32 directory 31 IoCs

description	ioc	Process
File created	C:\Windows\SysWOW64\ktluwfh.exe	ktluwfh.exe
File created	C:\Windows\SysWOW64\fwkvgfo.exe	ktluwfh.exe
File created	C:\Windows\SysWOW64\ktluwfh.exe	fwkvgfo.exe
File created	C:\Windows\SysWOW64\fwkvgfo.exe	fwkvgfo.exe
File created	C:\Windows\SysWOW64\ktluwfh.exe	ktluwfh.exe
File created	C:\Windows\SysWOW64\fwkvgfo.exe	fwkvgfo.exe
File created	C:\Windows\SysWOW64\fwkvgfo.exe	fwkvgfo.exe
File created	C:\Windows\SysWOW64\fwkvgfo.exe	fwkvgfo.exe
File opened for modification	C:\Windows\SysWOW64\ktluwfh.exe	2527ce19ca8117d5bfee6555a2e1f408.exe
File created	C:\Windows\SysWOW64\fwkvgfo.exe	ktluwfh.exe
File created	C:\Windows\SysWOW64\ktluwfh.exe	Process not Found
File created	C:\Windows\SysWOW64\ktluwfh.exe	2527ce19ca8117d5bfee6555a2e1f408.exe
File created	C:\Windows\SysWOW64\ktluwfh.exe	ktluwfh.exe
File created	C:\Windows\SysWOW64\fwkvgfo.exe	ktluwfh.exe
File created	C:\Windows\SysWOW64\ktluwfh.exe	fwkvgfo.exe
File created	C:\Windows\SysWOW64\fwkvgfo.exe	2527ce19ca8117d5bfee6555a2e1f408.exe
File created	C:\Windows\SysWOW64\ktluwfh.exe	Process not Found
File created	C:\Windows\SysWOW64\fwkvgfo.exe	Process not Found
File created	C:\Windows\SysWOW64\ktluwfh.exe	ktluwfh.exe
File created	C:\Windows\SysWOW64\ktluwfh.exe	ktluwfh.exe
File created	C:\Windows\SysWOW64\ktluwfh.exe	fwkvgfo.exe
File created	C:\Windows\SysWOW64\ktluwfh.exe	ktluwfh.exe
File created	C:\Windows\SysWOW64\fwkvgfo.exe	ktluwfh.exe
File created	C:\Windows\SysWOW64\ktluwfh.exe	fwkvgfo.exe
File created	C:\Windows\SysWOW64\fwkvgfo.exe	fwkvgfo.exe
File created	C:\Windows\SysWOW64\ktluwfh.exe	fwkvgfo.exe
File created	C:\Windows\SysWOW64\fwkvgfo.exe	fwkvgfo.exe
File created	C:\Windows\SysWOW64\fwkvgfo.exe	ktluwfh.exe
File created	C:\Windows\SysWOW64\fwkvgfo.exe	ktluwfh.exe
File created	C:\Windows\SysWOW64\ktluwfh.exe	fwkvgfo.exe
File created	C:\Windows\SysWOW64\fwkvgfo.exe	Process not Found

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

Suspicious use of WriteProcessMemory 42 IoCs

description	pid	Process	procid_target
PID 1860 wrote to memory of 4992	1860	2527ce19ca8117d5bfee6555a2e1f408.exe	94
PID 1860 wrote to memory of 4992	1860	2527ce19ca8117d5bfee6555a2e1f408.exe	94
PID 1860 wrote to memory of 4992	1860	2527ce19ca8117d5bfee6555a2e1f408.exe	94
PID 1860 wrote to memory of 2920	1860	2527ce19ca8117d5bfee6555a2e1f408.exe	95
PID 1860 wrote to memory of 2920	1860	2527ce19ca8117d5bfee6555a2e1f408.exe	95
PID 1860 wrote to memory of 2920	1860	2527ce19ca8117d5bfee6555a2e1f408.exe	95
PID 4992 wrote to memory of 728	4992	ktluwfh.exe	143
PID 4992 wrote to memory of 728	4992	ktluwfh.exe	143
PID 4992 wrote to memory of 728	4992	ktluwfh.exe	143
PID 4992 wrote to memory of 1800	4992	ktluwfh.exe	97
PID 4992 wrote to memory of 1800	4992	ktluwfh.exe	97
PID 4992 wrote to memory of 1800	4992	ktluwfh.exe	97
PID 2920 wrote to memory of 2172	2920	fwkvgfo.exe	320
PID 2920 wrote to memory of 2172	2920	fwkvgfo.exe	320
PID 2920 wrote to memory of 2172	2920	fwkvgfo.exe	320
PID 1800 wrote to memory of 1944	1800	fwkvgfo.exe	102
PID 1800 wrote to memory of 1944	1800	fwkvgfo.exe	102
PID 1800 wrote to memory of 1944	1800	fwkvgfo.exe	102
PID 1800 wrote to memory of 4980	1800	fwkvgfo.exe	99
PID 1800 wrote to memory of 4980	1800	fwkvgfo.exe	99
PID 1800 wrote to memory of 4980	1800	fwkvgfo.exe	99
PID 2920 wrote to memory of 4388	2920	fwkvgfo.exe	98
PID 2920 wrote to memory of 4388	2920	fwkvgfo.exe	98
PID 2920 wrote to memory of 4388	2920	fwkvgfo.exe	98
PID 728 wrote to memory of 2044	728	ktluwfh.exe	219
PID 728 wrote to memory of 2044	728	ktluwfh.exe	219
PID 728 wrote to memory of 2044	728	ktluwfh.exe	219
PID 728 wrote to memory of 4220	728	ktluwfh.exe	103
PID 728 wrote to memory of 4220	728	ktluwfh.exe	103
PID 728 wrote to memory of 4220	728	ktluwfh.exe	103
PID 2172 wrote to memory of 1584	2172	ktluwfh.exe	1408
PID 2172 wrote to memory of 1584	2172	ktluwfh.exe	1408
PID 2172 wrote to memory of 1584	2172	ktluwfh.exe	1408
PID 1944 wrote to memory of 2944	1944	ktluwfh.exe	105
PID 1944 wrote to memory of 2944	1944	ktluwfh.exe	105
PID 1944 wrote to memory of 2944	1944	ktluwfh.exe	105
PID 2172 wrote to memory of 4636	2172	ktluwfh.exe	106
PID 2172 wrote to memory of 4636	2172	ktluwfh.exe	106
PID 2172 wrote to memory of 4636	2172	ktluwfh.exe	106
PID 1944 wrote to memory of 2164	1944	ktluwfh.exe	848
PID 1944 wrote to memory of 2164	1944	ktluwfh.exe	848
PID 1944 wrote to memory of 2164	1944	ktluwfh.exe	848

C:\Users\Admin\AppData\Local\Temp\2527ce19ca8117d5bfee6555a2e1f408.exe
"C:\Users\Admin\AppData\Local\Temp\2527ce19ca8117d5bfee6555a2e1f408.exe"
1⤵
- Checks computer location settings
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:1860
- C:\Windows\SysWOW64\ktluwfh.exe
  "C:\Windows\system32\ktluwfh.exe"
  2⤵
  - Checks computer location settings
  - Executes dropped EXE
  - Drops file in System32 directory
  - Suspicious use of WriteProcessMemory
  PID:4992
- - C:\Windows\SysWOW64\ktluwfh.exe
    "C:\Windows\system32\ktluwfh.exe"
    3⤵
    PID:728
  - - C:\Windows\SysWOW64\ktluwfh.exe
      "C:\Windows\system32\ktluwfh.exe"
      4⤵
      PID:2044
    - - C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        5⤵
        
        PID:4104
      - C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        6⤵
        
        PID:1124
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        7⤵
        
        PID:2812
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:3560
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:7896
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:10504
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:16464
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:19948
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:5384
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:18624
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:23036
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:9092
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:13036
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:10576
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:8776
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:23736
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:6636
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:9068
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:12868
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:10744
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:9776
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:23904
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:3564
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:15584
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:12284
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        7⤵
        
        PID:764
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:2456
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:8244
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:6088
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:1128
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:13372
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:14528
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:23388
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:10052
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:9252
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:13564
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:2404
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:3548
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:10044
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:9384
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:11408
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:2896
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:7812
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:6600
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:10448
      - C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        6⤵
        
        PID:2072
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        7⤵
        
        PID:2236
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:4252
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:5888
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:6828
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:11656
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:11820
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:14432
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:12188
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:9564
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:14044
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:10408
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:16608
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:7116
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:9636
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:13984
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:12640
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:16480
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:6512
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:17320
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:10628
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        7⤵
        
        PID:5260
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:6696
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:8792
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:12840
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:12368
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:4148
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:23712
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:5240
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:15760
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:18688
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:7280
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:6236
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:4620
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:19896
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:8036
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:10048
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:11312
    - - C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        5⤵
        
        PID:3568
      - C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        6⤵
        
        PID:3136
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        7⤵
        
        PID:640
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:5752
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:5720
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:6836
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:14152
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        12⤵
        
        PID:11228
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:9600
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:11792
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:17808
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:7324
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:1956
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:7952
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:11788
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:13332
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:14380
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:12096
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:236
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:7192
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:7816
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:6304
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:21368
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:7584
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:21184
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:3604
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:7760
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:21276
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:16152
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        7⤵
        
        PID:1880
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:4788
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:2552
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:5396
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:9796
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:11400
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:14668
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:23352
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:9732
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:14096
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:11424
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:8604
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:7036
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:9436
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:14036
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:10340
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:16592
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:6668
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:3448
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:12592
      - C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        6⤵
        
        PID:4940
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        7⤵
        
        PID:3216
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:1696
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:1276
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:7920
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:11824
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:11628
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:14388
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:5280
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:9720
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:5664
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:1144
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:1656
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:6800
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:6336
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:8864
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:21084
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:15892
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:10332
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:8560
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:19772
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        7⤵
        
        PID:5208
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:6420
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:8780
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:13044
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:19928
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:3772
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:23952
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:228
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:15736
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:11760
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:528
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:2268
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:15820
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:18764
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:8188
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:18000
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:1208
  - - C:\Windows\SysWOW64\fwkvgfo.exe
      "C:\Windows\system32\fwkvgfo.exe"
      4⤵
      Executes dropped EXE
      Drops file in System32 directory
      PID:4220
    - - C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        5⤵
        
        PID:3592
      - C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        6⤵
        
        PID:3356
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        7⤵
        
        PID:2996
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:6296
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:8388
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:8208
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:19636
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:24088
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:4580
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:23928
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:6932
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:6116
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:7668
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:17416
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:2844
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:6912
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:14548
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:23140
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:18036
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:11952
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:17816
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:6604
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        7⤵
        
        PID:6028
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:2632
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:9356
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:14504
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:5584
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:18044
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:12012
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:17768
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:10472
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:5580
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:7748
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:11928
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:13128
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:14448
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:22628
      - C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        6⤵
        
        PID:3044
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        7⤵
        
        PID:5744
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:4892
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:9240
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:9468
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:13808
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:11608
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:11768
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:17572
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:22404
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:5468
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:7752
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:1136
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:21432
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:9016
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:21260
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        7⤵
        
        PID:3464
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:8176
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:4260
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:2320
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:21440
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:8948
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:10676
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:6152
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:7960
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:21100
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:15956
    - - C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        5⤵
        
        PID:3740
      - C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        6⤵
        
        PID:4328
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        7⤵
        
        PID:5724
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:5336
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:9680
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:4284
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:13692
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:17396
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:7244
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:6404
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:10892
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:7852
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:11208
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:6440
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:5948
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:12792
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:19800
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        7⤵
        
        PID:560
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:7904
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:10496
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:5332
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:19444
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:5136
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:19496
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:23632
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:9084
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:7984
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:21292
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:15840
      - C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        6⤵
        
        PID:4864
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        7⤵
        
        PID:3528
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:7980
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:10528
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:8784
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:19468
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:5944
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:19512
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:23676
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:9132
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:13012
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:10580
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:10112
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:23720
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        7⤵
        
        PID:6432
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:8772
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:1192
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:10044
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:23064
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:15248
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:23412
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:3828
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:4452
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:19808
- - C:\Windows\SysWOW64\fwkvgfo.exe
    "C:\Windows\system32\fwkvgfo.exe"
    3⤵
    - Checks computer location settings
    - Executes dropped EXE
    - Drops file in System32 directory
    - Suspicious use of WriteProcessMemory
    PID:1800
  - - C:\Windows\SysWOW64\fwkvgfo.exe
      "C:\Windows\system32\fwkvgfo.exe"
      4⤵
      Executes dropped EXE
      Drops file in System32 directory
      PID:4980
    - - C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        5⤵
        
        PID:3192
      - C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        6⤵
        
        PID:4632
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        7⤵
        
        PID:5296
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:6828
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:8716
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:8916
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:21212
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:16144
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:6164
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:5568
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:19436
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:7372
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:11072
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:5176
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:12596
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:12688
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:12364
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        7⤵
        
        PID:6112
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:7312
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:1860
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:15616
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:7152
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:7804
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:6852
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:21740
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:8440
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:8196
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:19680
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:23988
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:8272
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:23880
      - C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        6⤵
        
        PID:2440
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        7⤵
        
        PID:3168
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:7320
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:5196
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:15768
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:18672
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:8240
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:6932
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:23108
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:8468
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:5724
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:19704
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:23980
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:5748
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        7⤵
        
        PID:6248
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:8452
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:5740
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:11984
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:23088
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:15160
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:492
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:3560
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:15724
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:18320
    - - C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        5⤵
        
        PID:1824
      - C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        6⤵
        
        PID:4592
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        7⤵
        
        PID:5556
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:7108
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:9628
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:7976
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:11288
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:10764
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:6300
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:9044
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:10484
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:7596
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:11216
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:9068
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:11068
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:12732
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:11996
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        7⤵
        
        PID:4780
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:7448
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:10536
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:1832
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:9700
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:12496
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:19964
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:8548
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:8320
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:19644
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:23968
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:4288
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:7100
      - C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        6⤵
        
        PID:3752
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        7⤵
        Executes dropped EXE
        Drops file in System32 directory
        
        PID:2044
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:5856
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:11472
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:744
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:7800
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:14364
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:23440
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:3468
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:14052
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:12788
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:16544
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        7⤵
        
        PID:6896
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:3792
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:1008
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:21076
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:16108
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:10268
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:15600
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:2752
  - - C:\Windows\SysWOW64\ktluwfh.exe
      "C:\Windows\system32\ktluwfh.exe"
      4⤵
      Checks computer location settings
      Executes dropped EXE
      Drops file in System32 directory
      Suspicious use of WriteProcessMemory
      PID:1944
    - - C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        5⤵
        Executes dropped EXE
        Drops file in System32 directory
        
        PID:2944
      - C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        6⤵
        
        PID:2280
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        7⤵
        
        PID:3596
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:3848
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:6304
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:8372
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:5392
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        12⤵
        
        PID:3780
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        12⤵
        
        PID:23072
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:15232
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        12⤵
        
        PID:23912
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:6104
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:9476
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        12⤵
        
        PID:5160
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:3468
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:5596
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:6876
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:2732
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        12⤵
        
        PID:12072
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:9528
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:11808
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:17596
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:22396
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:5576
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:5688
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:9688
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:5540
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        12⤵
        
        PID:11720
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:6312
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:6344
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:8468
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:11128
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:7820
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:10488
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:16688
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:10632
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:5800
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:19744
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:24012
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        7⤵
        
        PID:4952
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:4736
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:3448
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:5264
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:7240
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        12⤵
        
        PID:6788
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        12⤵
        
        PID:23028
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:14472
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        12⤵
        
        PID:23308
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:9884
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:6360
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        12⤵
        
        PID:7020
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:9464
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:5420
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:9656
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:14216
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        12⤵
        
        PID:12936
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:16768
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:6356
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:8792
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:10564
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:5680
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:5612
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:9984
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:5624
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        12⤵
        
        PID:11332
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:9820
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:6832
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:10292
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:10512
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:3208
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:6636
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:16820
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:21228
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:8996
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:21092
      - C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        6⤵
        
        PID:4356
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        7⤵
        
        PID:860
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:1824
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:6164
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:8364
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:2040
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        12⤵
        
        PID:10156
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        12⤵
        
        PID:12060
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:14424
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        12⤵
        
        PID:6964
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:10212
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:7116
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        12⤵
        
        PID:7848
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:10168
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:5452
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:9700
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:5284
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        12⤵
        
        PID:6128
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:6308
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:6460
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:2280
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:10780
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:5536
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:7100
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:9576
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:14020
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        12⤵
        
        PID:22456
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:16560
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:6652
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:9088
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:12332
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:7504
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:10464
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:15848
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:18788
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:1028
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:19600
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:23920
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        7⤵
        
        PID:4584
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:5640
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:4864
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:10092
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:9312
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        12⤵
        
        PID:13884
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:6096
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:7568
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:10328
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:20960
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:3628
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:3776
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:9732
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:11672
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:4128
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:22500
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:216
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:5208
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:7832
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:5436
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:21396
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:7644
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:21052
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:6556
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:13316
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:21252
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:6176
    - - C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        5⤵
        
        PID:2164
      - C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        6⤵
        
        PID:3128
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        7⤵
        
        PID:4432
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:5284
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:7004
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:10076
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:5656
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        12⤵
        
        PID:11168
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:11652
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:11428
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:17588
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:22364
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:7496
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:11168
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:8700
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:12440
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:12676
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:10568
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:6104
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:7208
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:4296
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:15744
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:18680
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:2676
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:324
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:11236
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:8352
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:6544
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:11280
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:13552
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:14372
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:13744
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        7⤵
        
        PID:2468
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:5760
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:4204
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:9460
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:7440
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        12⤵
        
        PID:6612
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:17248
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:11236
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:5676
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:11120
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:7720
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:7020
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:9184
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:10980
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:7900
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:21284
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:4272
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:8044
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:4480
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:17360
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:7156
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:7692
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:10664
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:9168
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:6200
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:21068
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:16100
      - C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        6⤵
        
        PID:5060
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        7⤵
        
        PID:2456
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:5700
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:4016
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:10232
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:5932
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        12⤵
        
        PID:13900
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:11604
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:11488
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:9868
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:7164
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:5340
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:7088
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:10640
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:21568
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:7560
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:21032
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:1352
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:7964
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:6768
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:1828
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:11232
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:8904
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:11048
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:9140
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:7672
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:1764
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:15972
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        7⤵
        
        PID:4364
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:1148
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:4372
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:5320
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:1568
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        11⤵
        
        PID:23048
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:14644
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:23428
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:9672
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:7876
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:22636
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:17284
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:7028
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:9008
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:9040
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:21268
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:16008
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:852
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:16488
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:20056
- C:\Windows\SysWOW64\fwkvgfo.exe
  "C:\Windows\system32\fwkvgfo.exe"
  2⤵
  - Checks computer location settings
  - Executes dropped EXE
  - Drops file in System32 directory
  - Suspicious use of WriteProcessMemory
  PID:2920
- - C:\Windows\SysWOW64\fwkvgfo.exe
    "C:\Windows\system32\fwkvgfo.exe"
    3⤵
    - Executes dropped EXE
    - Drops file in System32 directory
    PID:4388
  - - C:\Windows\SysWOW64\ktluwfh.exe
      "C:\Windows\system32\ktluwfh.exe"
      4⤵
      PID:1320
    - - C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        5⤵
        
        PID:1708
      - C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        6⤵
        
        PID:3572
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        7⤵
        
        PID:5512
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:4948
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:9444
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:14100
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:21484
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:16624
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:11184
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:16684
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:12460
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:7668
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:10512
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:6272
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:19820
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:12340
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:19736
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:23996
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        7⤵
        
        PID:3792
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:7424
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:10472
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:8608
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:19792
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:6620
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:19724
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:24020
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:8508
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:5368
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:9388
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:23080
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:14488
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:5388
      - C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        6⤵
        
        PID:2884
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        7⤵
        
        PID:1724
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:7512
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:10456
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:5940
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:19760
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:5148
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:19504
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:23616
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:8652
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:13020
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:10468
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:5976
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:23896
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        7⤵
        
        PID:6348
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:8432
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:8300
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:19488
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:23624
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:14916
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:14808
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:4360
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:14176
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:2160
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:3952
    - - C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        5⤵
        
        PID:228
      - C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        6⤵
        
        PID:2108
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        7⤵
        
        PID:5392
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:7056
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:9516
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:14060
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:22516
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:16552
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:11200
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:1872
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:11136
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:7440
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:10544
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:9136
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:19460
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:4016
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:19940
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        7⤵
        
        PID:1876
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:8092
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:7780
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:9624
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:21512
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:8900
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:5444
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:984
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:6040
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:22484
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:16136
      - C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        6⤵
        
        PID:1280
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        7⤵
        
        PID:5872
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:5100
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:3396
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:14540
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:14812
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:17968
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:11832
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:17792
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:7392
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:3596
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:5308
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:12276
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:23056
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:14496
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:7812
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        7⤵
        
        PID:3004
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:7956
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:10520
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:8644
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:19784
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:12352
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:19712
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:9112
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:6064
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:21044
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:16044
  - - C:\Windows\SysWOW64\fwkvgfo.exe
      "C:\Windows\system32\fwkvgfo.exe"
      4⤵
      PID:3816
    - - C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        5⤵
        
        PID:2488
      - C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        6⤵
        
        PID:2368
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        7⤵
        
        PID:1872
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        Checks computer location settings
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of WriteProcessMemory
        
        PID:2172
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:2564
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:9724
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:13652
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:14480
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:13924
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:9992
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:14080
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:11072
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:6812
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        7⤵
        
        PID:220
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:9452
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:14004
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:22468
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:16584
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:11176
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:9212
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:10540
      - C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        6⤵
        
        PID:5276
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        7⤵
        
        PID:6996
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:9592
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:14028
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:3136
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:16600
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:6612
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:17348
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:10600
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        7⤵
        
        PID:7400
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:10448
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:2392
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:15284
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:4936
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:19608
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:23936
    - - C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        5⤵
        
        PID:4860
      - C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        6⤵
        
        PID:1884
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        7⤵
        
        PID:1832
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:5556
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:7236
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:11908
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:12100
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:14464
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:23400
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:9528
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:14012
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:11436
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:16576
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        7⤵
        
        PID:6820
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:3952
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:14104
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:22492
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:16536
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:5948
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:15624
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:12268
      - C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        6⤵
        
        PID:5216
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        7⤵
        
        PID:6380
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:8688
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:5828
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:19752
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:24004
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:2592
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:23744
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:3044
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:15828
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:18696
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        7⤵
        
        PID:3592
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:2752
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:14636
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:23340
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:18020
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:11800
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:17800
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:5412
- - C:\Windows\SysWOW64\ktluwfh.exe
    "C:\Windows\system32\ktluwfh.exe"
    3⤵
    PID:2172
  - - C:\Windows\SysWOW64\ktluwfh.exe
      "C:\Windows\system32\ktluwfh.exe"
      4⤵
      PID:1584
    - - C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        5⤵
        
        PID:4680
      - C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        6⤵
        
        PID:3568
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        7⤵
        
        PID:5816
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:4828
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:6120
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:5628
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:11488
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:9780
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:11840
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:17636
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:22420
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:6048
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:4080
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:8764
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:21220
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:13632
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:22448
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        7⤵
        
        PID:2296
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:7972
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:6340
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:16864
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:21412
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:7768
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:10688
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:6032
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:8484
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:21244
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:16060
      - C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        6⤵
        
        PID:392
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        7⤵
        
        PID:5020
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:7876
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:11224
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:6148
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:12456
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:12740
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:5772
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:9076
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:7696
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:21060
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:15900
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        7⤵
        
        PID:6704
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:9180
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:8148
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:22476
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:16180
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:3612
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:16696
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:20168
    - - C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        5⤵
        
        PID:4456
      - C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        6⤵
        Checks computer location settings
        Executes dropped EXE
        Drops file in System32 directory
        Suspicious use of WriteProcessMemory
        
        PID:728
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        7⤵
        
        PID:1296
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:8052
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:5252
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:10300
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:21404
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:7524
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:12388
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:6072
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:13640
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:22508
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:4324
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        7⤵
        
        PID:6372
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:8644
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:3988
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:19932
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:15280
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:1468
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:2064
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:15700
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:216
      - C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        6⤵
        
        PID:3228
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        7⤵
        
        PID:4648
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:5728
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:740
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:11904
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:14256
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:14724
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:220
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:10012
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:9512
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:6832
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:17444
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        7⤵
        
        PID:6808
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:4344
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:13324
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:21236
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:15964
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:5168
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:15592
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:1352
  - - C:\Windows\SysWOW64\fwkvgfo.exe
      "C:\Windows\system32\fwkvgfo.exe"
      4⤵
      Executes dropped EXE
      Drops file in System32 directory
      PID:4636
    - - C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        5⤵
        
        PID:1876
      - C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        6⤵
        
        PID:4828
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        7⤵
        
        PID:4360
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:7484
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:10480
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:6012
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:19476
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:8084
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:19956
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:8764
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:13052
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:7304
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:15428
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:23960
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        7⤵
        
        PID:6340
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:8700
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:13028
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:19628
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:23944
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:2440
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:23752
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:1844
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:15652
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:6912
      - C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        6⤵
        
        PID:3348
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        7⤵
        
        PID:6316
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:8720
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:12880
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:2468
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:9852
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:23728
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:6232
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:15608
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:2164
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        7⤵
        
        PID:3228
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:6188
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:15264
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:23420
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:3464
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:12172
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:17728
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:12888
    - - C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        5⤵
        
        PID:4816
      - C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        6⤵
        
        PID:4324
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        7⤵
        
        PID:5668
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:3748
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:10084
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:5640
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        11⤵
        
        PID:13672
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:9860
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:6864
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:4648
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:21496
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:5184
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:11504
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:6480
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:21524
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:13696
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:21672
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        7⤵
        
        PID:1432
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:7988
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:6484
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:10708
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:10952
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:7592
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:12292
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:3492
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:9020
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:21360
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:15940
      - C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        6⤵
        
        PID:4152
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        7⤵
        
        PID:2268
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:4164
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:6964
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:8780
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        10⤵
        
        PID:21424
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:7740
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:9100
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:9028
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:7552
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:12452
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:15948
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        7⤵
        
        PID:6768
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        8⤵
        
        PID:9044
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:12952
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:10244
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:10020
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        10⤵
        
        PID:23888
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        8⤵
        
        PID:3520
        
        C:\Windows\SysWOW64\ktluwfh.exe
        
        "C:\Windows\system32\ktluwfh.exe"
        9⤵
        
        PID:15856
        
        C:\Windows\SysWOW64\fwkvgfo.exe
        
        "C:\Windows\system32\fwkvgfo.exe"
        9⤵
        
        PID:18772

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\SysWOW64\ktluwfh.exe

Filesize
45KB

MD5
2527ce19ca8117d5bfee6555a2e1f408

SHA1
b0023a3c1cbb12289cdce2a9cef796cedc0aba45

SHA256
847a4fbf0d162073ff3c0f08e5beb3a94729dbb9778f495c2e42860404d15f9e

SHA512
ad51396033c04c6bcb9f60d7792abb8549ea2f4941b3ed2807fd218b14ad3c45807917d3b654edbefa6f672e4719b54982bf90c2fa2c4151a124703c8ef8f5fb

Download Submit
memory/228-100-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/640-130-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/728-138-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/728-59-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/860-117-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/1124-112-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/1280-134-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/1320-69-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/1584-67-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/1708-97-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/1800-71-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/1824-105-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/1860-0-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/1860-58-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/1860-3-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/1876-111-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/1944-62-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/2044-65-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/2072-115-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/2108-125-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/2164-57-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/2172-61-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/2280-77-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/2440-135-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/2456-128-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/2468-129-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/2488-116-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/2884-137-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/2920-64-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/2944-66-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/3044-131-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/3128-96-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/3136-109-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/3192-101-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/3356-120-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/3568-133-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/3568-54-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/3572-124-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/3592-87-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/3596-118-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/3740-104-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/3816-56-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/4104-55-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/4220-73-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/4324-126-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/4328-127-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/4356-85-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/4388-63-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/4432-121-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/4456-110-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/4584-132-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/4592-123-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/4632-122-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/4636-70-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/4680-108-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/4816-107-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/4828-136-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/4860-114-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/4864-139-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/4940-113-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/4952-119-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/4980-68-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/4992-60-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download
memory/5060-106-0x0000000000400000-0x0000000000413000-memory.dmp

Filesize
76KB

Download