metasploit | 7f15f65eff5f4776a7a19cb5cc922f9e2e8c4cf5b066741fc0ea5190954a682f

Analysis

max time kernel
147s
max time network
131s
platform
windows10-2004_x64
resource
win10v2004-20231215-en
resource tags

arch:x64arch:x86image:win10v2004-20231215-enlocale:en-usos:windows10-2004-x64system
submitted
31/12/2023, 14:19

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

39927b40478fb42bf73f909b1e3cbe18.exe
Size

440KB
MD5

39927b40478fb42bf73f909b1e3cbe18
SHA1

15d8cb53c2b5bf4e4e430d27a9c09584a0c741e6
SHA256

7f15f65eff5f4776a7a19cb5cc922f9e2e8c4cf5b066741fc0ea5190954a682f
SHA512

14ce0e8cb5e52a36531f45146302a0c6a965742673dde7207e7576df37a921ac6b284390bad59e9a6c03f87b33e6d9a255e052a124c34e87339adc449b75e8eb
SSDEEP

12288:dq3eTRLQp1cWhLb2LYGRfFWh9BQkgIGK+nN/a+LBaiKRqE:o3+RLQp15B2Lkh9WKQfBa1D

Score

10^/10

metasploit backdoor trojan

Malware Config

Extracted

Family

metasploit

Version

encoder/call4_dword_xor

Signatures

MetaSploit
Detected malicious payload which is part of the Metasploit Framework, likely generated with msfvenom or similar.
trojan backdoor metasploit

Executes dropped EXE 12 IoCs

pid	Process
4428	noiacui.exe
3340	ctwzwou.exe
2900	nroljps.exe
3304	jajrqde.exe
1848	pqatmxz.exe
1924	wkpctde.exe
400	fcjnqtu.exe
1240	hjbadbe.exe
532	rigxoal.exe
4644	rigxoal.exe
4304	ermaral.exe
4872	ermaral.exe

Drops file in System32 directory 12 IoCs

description	ioc	Process
File opened for modification	C:\Windows\SysWOW64\ermaral.exe	rigxoal.exe
File created	C:\Windows\SysWOW64\ctwzwou.exe	39927b40478fb42bf73f909b1e3cbe18.exe
File opened for modification	C:\Windows\SysWOW64\ctwzwou.exe	39927b40478fb42bf73f909b1e3cbe18.exe
File opened for modification	C:\Windows\SysWOW64\wkpctde.exe	jajrqde.exe
File created	C:\Windows\SysWOW64\hjbadbe.exe	wkpctde.exe
File opened for modification	C:\Windows\SysWOW64\hjbadbe.exe	wkpctde.exe
File created	C:\Windows\SysWOW64\rigxoal.exe	hjbadbe.exe
File created	C:\Windows\SysWOW64\jajrqde.exe	ctwzwou.exe
File opened for modification	C:\Windows\SysWOW64\jajrqde.exe	ctwzwou.exe
File created	C:\Windows\SysWOW64\wkpctde.exe	jajrqde.exe
File opened for modification	C:\Windows\SysWOW64\rigxoal.exe	hjbadbe.exe
File created	C:\Windows\SysWOW64\ermaral.exe	rigxoal.exe

Suspicious use of SetThreadContext 7 IoCs

description	pid	Process	procid_target
PID 232 set thread context of 720	232	39927b40478fb42bf73f909b1e3cbe18.exe	89
PID 4428 set thread context of 3340	4428	noiacui.exe	90
PID 2900 set thread context of 3304	2900	nroljps.exe	93
PID 1848 set thread context of 1924	1848	pqatmxz.exe	94
PID 400 set thread context of 1240	400	fcjnqtu.exe	95
PID 532 set thread context of 4644	532	rigxoal.exe	96
PID 4304 set thread context of 4872	4304	ermaral.exe	97

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 232 wrote to memory of 720	232	39927b40478fb42bf73f909b1e3cbe18.exe	89
PID 232 wrote to memory of 720	232	39927b40478fb42bf73f909b1e3cbe18.exe	89
PID 232 wrote to memory of 720	232	39927b40478fb42bf73f909b1e3cbe18.exe	89
PID 232 wrote to memory of 720	232	39927b40478fb42bf73f909b1e3cbe18.exe	89
PID 232 wrote to memory of 720	232	39927b40478fb42bf73f909b1e3cbe18.exe	89
PID 232 wrote to memory of 720	232	39927b40478fb42bf73f909b1e3cbe18.exe	89
PID 232 wrote to memory of 720	232	39927b40478fb42bf73f909b1e3cbe18.exe	89
PID 232 wrote to memory of 720	232	39927b40478fb42bf73f909b1e3cbe18.exe	89
PID 232 wrote to memory of 720	232	39927b40478fb42bf73f909b1e3cbe18.exe	89
PID 720 wrote to memory of 4428	720	39927b40478fb42bf73f909b1e3cbe18.exe	869
PID 720 wrote to memory of 4428	720	39927b40478fb42bf73f909b1e3cbe18.exe	869
PID 720 wrote to memory of 4428	720	39927b40478fb42bf73f909b1e3cbe18.exe	869
PID 4428 wrote to memory of 3340	4428	noiacui.exe	90
PID 4428 wrote to memory of 3340	4428	noiacui.exe	90
PID 4428 wrote to memory of 3340	4428	noiacui.exe	90
PID 4428 wrote to memory of 3340	4428	noiacui.exe	90
PID 4428 wrote to memory of 3340	4428	noiacui.exe	90
PID 4428 wrote to memory of 3340	4428	noiacui.exe	90
PID 4428 wrote to memory of 3340	4428	noiacui.exe	90
PID 4428 wrote to memory of 3340	4428	noiacui.exe	90
PID 4428 wrote to memory of 3340	4428	noiacui.exe	90
PID 3340 wrote to memory of 2900	3340	ctwzwou.exe	388
PID 3340 wrote to memory of 2900	3340	ctwzwou.exe	388
PID 3340 wrote to memory of 2900	3340	ctwzwou.exe	388
PID 2900 wrote to memory of 3304	2900	nroljps.exe	93
PID 2900 wrote to memory of 3304	2900	nroljps.exe	93
PID 2900 wrote to memory of 3304	2900	nroljps.exe	93
PID 2900 wrote to memory of 3304	2900	nroljps.exe	93
PID 2900 wrote to memory of 3304	2900	nroljps.exe	93
PID 2900 wrote to memory of 3304	2900	nroljps.exe	93
PID 2900 wrote to memory of 3304	2900	nroljps.exe	93
PID 2900 wrote to memory of 3304	2900	nroljps.exe	93
PID 2900 wrote to memory of 3304	2900	nroljps.exe	93
PID 3304 wrote to memory of 1848	3304	jajrqde.exe	541
PID 3304 wrote to memory of 1848	3304	jajrqde.exe	541
PID 3304 wrote to memory of 1848	3304	jajrqde.exe	541
PID 1848 wrote to memory of 1924	1848	pqatmxz.exe	94
PID 1848 wrote to memory of 1924	1848	pqatmxz.exe	94
PID 1848 wrote to memory of 1924	1848	pqatmxz.exe	94
PID 1848 wrote to memory of 1924	1848	pqatmxz.exe	94
PID 1848 wrote to memory of 1924	1848	pqatmxz.exe	94
PID 1848 wrote to memory of 1924	1848	pqatmxz.exe	94
PID 1848 wrote to memory of 1924	1848	pqatmxz.exe	94
PID 1848 wrote to memory of 1924	1848	pqatmxz.exe	94
PID 1848 wrote to memory of 1924	1848	pqatmxz.exe	94
PID 1924 wrote to memory of 400	1924	wkpctde.exe	983
PID 1924 wrote to memory of 400	1924	wkpctde.exe	983
PID 1924 wrote to memory of 400	1924	wkpctde.exe	983
PID 400 wrote to memory of 1240	400	fcjnqtu.exe	95
PID 400 wrote to memory of 1240	400	fcjnqtu.exe	95
PID 400 wrote to memory of 1240	400	fcjnqtu.exe	95
PID 400 wrote to memory of 1240	400	fcjnqtu.exe	95
PID 400 wrote to memory of 1240	400	fcjnqtu.exe	95
PID 400 wrote to memory of 1240	400	fcjnqtu.exe	95
PID 400 wrote to memory of 1240	400	fcjnqtu.exe	95
PID 400 wrote to memory of 1240	400	fcjnqtu.exe	95
PID 400 wrote to memory of 1240	400	fcjnqtu.exe	95
PID 1240 wrote to memory of 532	1240	hjbadbe.exe	323
PID 1240 wrote to memory of 532	1240	hjbadbe.exe	323
PID 1240 wrote to memory of 532	1240	hjbadbe.exe	323
PID 532 wrote to memory of 4644	532	rigxoal.exe	96
PID 532 wrote to memory of 4644	532	rigxoal.exe	96
PID 532 wrote to memory of 4644	532	rigxoal.exe	96
PID 532 wrote to memory of 4644	532	rigxoal.exe	96

C:\Users\Admin\AppData\Local\Temp\39927b40478fb42bf73f909b1e3cbe18.exe
"C:\Users\Admin\AppData\Local\Temp\39927b40478fb42bf73f909b1e3cbe18.exe"
1⤵
- Suspicious use of SetThreadContext
- Suspicious use of WriteProcessMemory
PID:232
- C:\Users\Admin\AppData\Local\Temp\39927b40478fb42bf73f909b1e3cbe18.exe
  "C:\Users\Admin\AppData\Local\Temp\39927b40478fb42bf73f909b1e3cbe18.exe"
  2⤵
  - Drops file in System32 directory
  - Suspicious use of WriteProcessMemory
  PID:720
- - C:\Windows\SysWOW64\ctwzwou.exe
    C:\Windows\system32\ctwzwou.exe 972 "C:\Users\Admin\AppData\Local\Temp\39927b40478fb42bf73f909b1e3cbe18.exe"
    3⤵
    PID:4428
  - - C:\Windows\SysWOW64\jxgvjde.exe
      C:\Windows\system32\jxgvjde.exe 1148 "C:\Windows\SysWOW64\whdsauy.exe"
      4⤵
      PID:828
    - - C:\Windows\SysWOW64\twkstbl.exe
        
        C:\Windows\system32\twkstbl.exe 1152 "C:\Windows\SysWOW64\jxgvjde.exe"
        5⤵
        
        PID:6088
- C:\Windows\SysWOW64\jrmsatj.exe
  C:\Windows\system32\jrmsatj.exe 1148 "C:\Windows\SysWOW64\wevuupk.exe"
  2⤵
  PID:1688
- - C:\Windows\SysWOW64\tqqptsq.exe
    C:\Windows\system32\tqqptsq.exe 1148 "C:\Windows\SysWOW64\jrmsatj.exe"
    3⤵
    PID:4900

C:\Windows\SysWOW64\ctwzwou.exe
C:\Windows\system32\ctwzwou.exe 972 "C:\Users\Admin\AppData\Local\Temp\39927b40478fb42bf73f909b1e3cbe18.exe"
1⤵
- Executes dropped EXE
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:3340
- C:\Windows\SysWOW64\jajrqde.exe
  C:\Windows\system32\jajrqde.exe 1148 "C:\Windows\SysWOW64\ctwzwou.exe"
  2⤵
  PID:2900

C:\Windows\SysWOW64\jajrqde.exe
C:\Windows\system32\jajrqde.exe 1148 "C:\Windows\SysWOW64\ctwzwou.exe"
1⤵
- Executes dropped EXE
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:3304
- C:\Windows\SysWOW64\wkpctde.exe
  C:\Windows\system32\wkpctde.exe 1148 "C:\Windows\SysWOW64\jajrqde.exe"
  2⤵
  PID:1848

C:\Windows\SysWOW64\wkpctde.exe
C:\Windows\system32\wkpctde.exe 1148 "C:\Windows\SysWOW64\jajrqde.exe"
1⤵
- Executes dropped EXE
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:1924
- C:\Windows\SysWOW64\hjbadbe.exe
  C:\Windows\system32\hjbadbe.exe 1152 "C:\Windows\SysWOW64\wkpctde.exe"
  2⤵
  PID:400

C:\Windows\SysWOW64\hjbadbe.exe
C:\Windows\system32\hjbadbe.exe 1152 "C:\Windows\SysWOW64\wkpctde.exe"
1⤵
- Executes dropped EXE
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:1240
- C:\Windows\SysWOW64\rigxoal.exe
  C:\Windows\system32\rigxoal.exe 1148 "C:\Windows\SysWOW64\hjbadbe.exe"
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  - Suspicious use of WriteProcessMemory
  PID:532

C:\Windows\SysWOW64\rigxoal.exe
C:\Windows\system32\rigxoal.exe 1148 "C:\Windows\SysWOW64\hjbadbe.exe"
1⤵
- Executes dropped EXE
- Drops file in System32 directory
PID:4644
- C:\Windows\SysWOW64\ermaral.exe
  C:\Windows\system32\ermaral.exe 1148 "C:\Windows\SysWOW64\rigxoal.exe"
  2⤵
  - Executes dropped EXE
  - Suspicious use of SetThreadContext
  PID:4304

C:\Windows\SysWOW64\ermaral.exe
C:\Windows\system32\ermaral.exe 1148 "C:\Windows\SysWOW64\rigxoal.exe"
1⤵
- Executes dropped EXE
PID:4872
- C:\Windows\SysWOW64\ozqxjyt.exe
  C:\Windows\system32\ozqxjyt.exe 1148 "C:\Windows\SysWOW64\ermaral.exe"
  2⤵
  PID:4364

C:\Windows\SysWOW64\ozqxjyt.exe
C:\Windows\system32\ozqxjyt.exe 1148 "C:\Windows\SysWOW64\ermaral.exe"
1⤵
PID:4812
- C:\Windows\SysWOW64\wvaktjv.exe
  C:\Windows\system32\wvaktjv.exe 1148 "C:\Windows\SysWOW64\ozqxjyt.exe"
  2⤵
  PID:4828

C:\Windows\SysWOW64\wvaktjv.exe
C:\Windows\system32\wvaktjv.exe 1148 "C:\Windows\SysWOW64\ozqxjyt.exe"
1⤵
PID:912
- C:\Windows\SysWOW64\jegvwjv.exe
  C:\Windows\system32\jegvwjv.exe 1148 "C:\Windows\SysWOW64\wvaktjv.exe"
  2⤵
  PID:5112

C:\Windows\SysWOW64\jegvwjv.exe
C:\Windows\system32\jegvwjv.exe 1148 "C:\Windows\SysWOW64\wvaktjv.exe"
1⤵
PID:2632
- C:\Windows\SysWOW64\tltsoiv.exe
  C:\Windows\system32\tltsoiv.exe 1148 "C:\Windows\SysWOW64\jegvwjv.exe"
  2⤵
  PID:4716

C:\Windows\SysWOW64\tltsoiv.exe
C:\Windows\system32\tltsoiv.exe 1148 "C:\Windows\SysWOW64\jegvwjv.exe"
1⤵
PID:4524
- C:\Windows\SysWOW64\hyciuec.exe
  C:\Windows\system32\hyciuec.exe 1148 "C:\Windows\SysWOW64\tltsoiv.exe"
  2⤵
  PID:3032

C:\Windows\SysWOW64\hyciuec.exe
C:\Windows\system32\hyciuec.exe 1148 "C:\Windows\SysWOW64\tltsoiv.exe"
1⤵
PID:4912
- C:\Windows\SysWOW64\rxogecb.exe
  C:\Windows\system32\rxogecb.exe 1148 "C:\Windows\SysWOW64\hyciuec.exe"
  2⤵
  PID:5000
- - C:\Windows\SysWOW64\rxogecb.exe
    C:\Windows\system32\rxogecb.exe 1148 "C:\Windows\SysWOW64\hyciuec.exe"
    3⤵
    PID:2092
  - - C:\Windows\SysWOW64\tthqmxk.exe
      C:\Windows\system32\tthqmxk.exe 1152 "C:\Windows\SysWOW64\rxogecb.exe"
      4⤵
      PID:1848

C:\Windows\SysWOW64\tthqmxk.exe
C:\Windows\system32\tthqmxk.exe 1152 "C:\Windows\SysWOW64\rxogecb.exe"
1⤵
PID:64
- C:\Windows\SysWOW64\gjktufh.exe
  C:\Windows\system32\gjktufh.exe 1152 "C:\Windows\SysWOW64\tthqmxk.exe"
  2⤵
  PID:1184
- - C:\Windows\SysWOW64\gjktufh.exe
    C:\Windows\system32\gjktufh.exe 1152 "C:\Windows\SysWOW64\tthqmxk.exe"
    3⤵
    PID:2412
  - - C:\Windows\SysWOW64\twtqijo.exe
      C:\Windows\system32\twtqijo.exe 1148 "C:\Windows\SysWOW64\gjktufh.exe"
      4⤵
      PID:4048

C:\Windows\SysWOW64\grlgonn.exe
C:\Windows\system32\grlgonn.exe 1148 "C:\Windows\SysWOW64\twtqijo.exe"
1⤵
PID:3000
- C:\Windows\SysWOW64\rrpdymv.exe
  C:\Windows\system32\rrpdymv.exe 1144 "C:\Windows\SysWOW64\grlgonn.exe"
  2⤵
  PID:4008

C:\Windows\SysWOW64\rrpdymv.exe
C:\Windows\system32\rrpdymv.exe 1144 "C:\Windows\SysWOW64\grlgonn.exe"
1⤵
PID:1208
- C:\Windows\SysWOW64\eavgbdn.exe
  C:\Windows\system32\eavgbdn.exe 1148 "C:\Windows\SysWOW64\rrpdymv.exe"
  2⤵
  PID:4604
- - C:\Windows\SysWOW64\ltofgjg.exe
    C:\Windows\system32\ltofgjg.exe 1148 "C:\Windows\SysWOW64\bynnqpx.exe"
    3⤵
    PID:4976
  - - C:\Windows\SysWOW64\zduijby.exe
      C:\Windows\system32\zduijby.exe 1156 "C:\Windows\SysWOW64\ltofgjg.exe"
      4⤵
      PID:4808
    - - C:\Windows\SysWOW64\zduijby.exe
        
        C:\Windows\system32\zduijby.exe 1156 "C:\Windows\SysWOW64\ltofgjg.exe"
        5⤵
        
        PID:4752
      - C:\Windows\SysWOW64\emcdzge.exe
        
        C:\Windows\system32\emcdzge.exe 1020 "C:\Windows\SysWOW64\zduijby.exe"
        6⤵
        
        PID:1772
        
        C:\Windows\SysWOW64\emcdzge.exe
        
        C:\Windows\system32\emcdzge.exe 1020 "C:\Windows\SysWOW64\zduijby.exe"
        7⤵
        
        PID:432
        
        C:\Windows\SysWOW64\wxqdzde.exe
        
        C:\Windows\system32\wxqdzde.exe 1148 "C:\Windows\SysWOW64\emcdzge.exe"
        8⤵
        
        PID:4964

C:\Windows\SysWOW64\odlrpgb.exe
C:\Windows\system32\odlrpgb.exe 1152 "C:\Windows\SysWOW64\eavgbdn.exe"
1⤵
PID:1716
- C:\Windows\SysWOW64\bmrbsgt.exe
  C:\Windows\system32\bmrbsgt.exe 1148 "C:\Windows\SysWOW64\odlrpgb.exe"
  2⤵
  PID:512
- - C:\Windows\SysWOW64\bmrbsgt.exe
    C:\Windows\system32\bmrbsgt.exe 1148 "C:\Windows\SysWOW64\odlrpgb.exe"
    3⤵
    PID:3772

C:\Windows\SysWOW64\ozjrxks.exe
C:\Windows\system32\ozjrxks.exe 1152 "C:\Windows\SysWOW64\bmrbsgt.exe"
1⤵
PID:3228
- C:\Windows\SysWOW64\ykybtng.exe
  C:\Windows\system32\ykybtng.exe 1148 "C:\Windows\SysWOW64\ozjrxks.exe"
  2⤵
  PID:1080

C:\Windows\SysWOW64\ykybtng.exe
C:\Windows\system32\ykybtng.exe 1148 "C:\Windows\SysWOW64\ozjrxks.exe"
1⤵
PID:4052
- C:\Windows\SysWOW64\mteewmy.exe
  C:\Windows\system32\mteewmy.exe 1140 "C:\Windows\SysWOW64\ykybtng.exe"
  2⤵
  PID:3148
- - C:\Windows\SysWOW64\mteewmy.exe
    C:\Windows\system32\mteewmy.exe 1140 "C:\Windows\SysWOW64\ykybtng.exe"
    3⤵
    PID:532
  - - C:\Windows\SysWOW64\wwupjpm.exe
      C:\Windows\system32\wwupjpm.exe 1164 "C:\Windows\SysWOW64\mteewmy.exe"
      4⤵
      PID:4308
    - - C:\Windows\SysWOW64\wwupjpm.exe
        
        C:\Windows\system32\wwupjpm.exe 1164 "C:\Windows\SysWOW64\mteewmy.exe"
        5⤵
        
        PID:864
      - C:\Windows\SysWOW64\jjlepll.exe
        
        C:\Windows\system32\jjlepll.exe 1156 "C:\Windows\SysWOW64\wwupjpm.exe"
        6⤵
        
        PID:3332
        
        C:\Windows\SysWOW64\jjlepll.exe
        
        C:\Windows\system32\jjlepll.exe 1156 "C:\Windows\SysWOW64\wwupjpm.exe"
        7⤵
        
        PID:1272
        
        C:\Windows\SysWOW64\wevuupk.exe
        
        C:\Windows\system32\wevuupk.exe 1124 "C:\Windows\SysWOW64\jjlepll.exe"
        8⤵
        
        PID:3160
        
        C:\Windows\SysWOW64\wevuupk.exe
        
        C:\Windows\system32\wevuupk.exe 1124 "C:\Windows\SysWOW64\jjlepll.exe"
        9⤵
        
        PID:2548
        
        C:\Windows\SysWOW64\jrmsatj.exe
        
        C:\Windows\system32\jrmsatj.exe 1148 "C:\Windows\SysWOW64\wevuupk.exe"
        10⤵
        
        PID:232
        
        C:\Windows\SysWOW64\wevkyti.exe
        
        C:\Windows\system32\wevkyti.exe 1148 "C:\Windows\SysWOW64\irlmspk.exe"
        9⤵
        
        PID:3548
        
        C:\Windows\SysWOW64\jrmaexp.exe
        
        C:\Windows\system32\jrmaexp.exe 1148 "C:\Windows\SysWOW64\wevkyti.exe"
        10⤵
        
        PID:5296
        
        C:\Windows\SysWOW64\jrmaexp.exe
        
        C:\Windows\system32\jrmaexp.exe 1148 "C:\Windows\SysWOW64\wevkyti.exe"
        11⤵
        
        PID:6100
        
        C:\Windows\SysWOW64\weepkto.exe
        
        C:\Windows\system32\weepkto.exe 1140 "C:\Windows\SysWOW64\jrmaexp.exe"
        12⤵
        
        PID:3148
        
        C:\Windows\SysWOW64\weepkto.exe
        
        C:\Windows\system32\weepkto.exe 1140 "C:\Windows\SysWOW64\jrmaexp.exe"
        13⤵
        
        PID:5712
        
        C:\Windows\SysWOW64\gptaxwu.exe
        
        C:\Windows\system32\gptaxwu.exe 1140 "C:\Windows\SysWOW64\weepkto.exe"
        14⤵
        
        PID:1204
        
        C:\Windows\SysWOW64\ffyqemy.exe
        
        C:\Windows\system32\ffyqemy.exe 1148 "C:\Windows\SysWOW64\asgbyiz.exe"
        11⤵
        
        PID:1264
        
        C:\Windows\SysWOW64\sspokqx.exe
        
        C:\Windows\system32\sspokqx.exe 1140 "C:\Windows\SysWOW64\ffyqemy.exe"
        12⤵
        
        PID:5828
        
        C:\Windows\SysWOW64\sspokqx.exe
        
        C:\Windows\system32\sspokqx.exe 1140 "C:\Windows\SysWOW64\ffyqemy.exe"
        13⤵
        
        PID:5040
        
        C:\Windows\SysWOW64\ffzeqmw.exe
        
        C:\Windows\system32\ffzeqmw.exe 1148 "C:\Windows\SysWOW64\sspokqx.exe"
        14⤵
        
        PID:1204
        
        C:\Windows\SysWOW64\ffzeqmw.exe
        
        C:\Windows\system32\ffzeqmw.exe 1148 "C:\Windows\SysWOW64\sspokqx.exe"
        15⤵
        
        PID:4284
        
        C:\Windows\SysWOW64\ppoolpk.exe
        
        C:\Windows\system32\ppoolpk.exe 1148 "C:\Windows\SysWOW64\ffzeqmw.exe"
        16⤵
        
        PID:4876

C:\Windows\SysWOW64\tqqptsq.exe
C:\Windows\system32\tqqptsq.exe 1148 "C:\Windows\SysWOW64\jrmsatj.exe"
1⤵
PID:2204
- C:\Windows\SysWOW64\gdifyvp.exe
  C:\Windows\system32\gdifyvp.exe 1140 "C:\Windows\SysWOW64\tqqptsq.exe"
  2⤵
  PID:1600

C:\Windows\SysWOW64\gdifyvp.exe
C:\Windows\system32\gdifyvp.exe 1140 "C:\Windows\SysWOW64\tqqptsq.exe"
1⤵
PID:3972
- C:\Windows\SysWOW64\rzjpgqq.exe
  C:\Windows\system32\rzjpgqq.exe 1152 "C:\Windows\SysWOW64\gdifyvp.exe"
  2⤵
  PID:2216

C:\Windows\SysWOW64\rzjpgqq.exe
C:\Windows\system32\rzjpgqq.exe 1152 "C:\Windows\SysWOW64\gdifyvp.exe"
1⤵
PID:2140
- C:\Windows\SysWOW64\bynnqpx.exe
  C:\Windows\system32\bynnqpx.exe 1124 "C:\Windows\SysWOW64\rzjpgqq.exe"
  2⤵
  PID:3600

C:\Windows\SysWOW64\bynnqpx.exe
C:\Windows\system32\bynnqpx.exe 1124 "C:\Windows\SysWOW64\rzjpgqq.exe"
1⤵
PID:396
- C:\Windows\SysWOW64\ltofgjg.exe
  C:\Windows\system32\ltofgjg.exe 1148 "C:\Windows\SysWOW64\bynnqpx.exe"
  2⤵
  PID:4604
- - C:\Windows\SysWOW64\eavgbdn.exe
    C:\Windows\system32\eavgbdn.exe 1148 "C:\Windows\SysWOW64\rrpdymv.exe"
    3⤵
    PID:956

C:\Windows\SysWOW64\wxqdzde.exe
C:\Windows\system32\wxqdzde.exe 1148 "C:\Windows\SysWOW64\emcdzge.exe"
1⤵
PID:2380
- C:\Windows\SysWOW64\gzfnugk.exe
  C:\Windows\system32\gzfnugk.exe 1148 "C:\Windows\SysWOW64\wxqdzde.exe"
  2⤵
  PID:3516

C:\Windows\SysWOW64\gzfnugk.exe
C:\Windows\system32\gzfnugk.exe 1148 "C:\Windows\SysWOW64\wxqdzde.exe"
1⤵
PID:3784
- C:\Windows\SysWOW64\tmpdakr.exe
  C:\Windows\system32\tmpdakr.exe 1144 "C:\Windows\SysWOW64\gzfnugk.exe"
  2⤵
  PID:3164

C:\Windows\SysWOW64\tmpdakr.exe
C:\Windows\system32\tmpdakr.exe 1144 "C:\Windows\SysWOW64\gzfnugk.exe"
1⤵
PID:4232
- C:\Windows\SysWOW64\ghgtgoq.exe
  C:\Windows\system32\ghgtgoq.exe 1152 "C:\Windows\SysWOW64\tmpdakr.exe"
  2⤵
  PID:980

C:\Windows\SysWOW64\ghgtgoq.exe
C:\Windows\system32\ghgtgoq.exe 1152 "C:\Windows\SysWOW64\tmpdakr.exe"
1⤵
PID:4484
- C:\Windows\SysWOW64\tuyimkp.exe
  C:\Windows\system32\tuyimkp.exe 1140 "C:\Windows\SysWOW64\ghgtgoq.exe"
  2⤵
  PID:3736

C:\Windows\SysWOW64\tuyimkp.exe
C:\Windows\system32\tuyimkp.exe 1140 "C:\Windows\SysWOW64\ghgtgoq.exe"
1⤵
PID:4520
- C:\Windows\SysWOW64\dxntznv.exe
  C:\Windows\system32\dxntznv.exe 1148 "C:\Windows\SysWOW64\tuyimkp.exe"
  2⤵
  PID:2312
- - C:\Windows\SysWOW64\dxntznv.exe
    C:\Windows\system32\dxntznv.exe 1148 "C:\Windows\SysWOW64\tuyimkp.exe"
    3⤵
    PID:3876
  - - C:\Windows\SysWOW64\qkxjfrc.exe
      C:\Windows\system32\qkxjfrc.exe 1148 "C:\Windows\SysWOW64\dxntznv.exe"
      4⤵
      PID:2880
- - C:\Windows\SysWOW64\rtsoaqo.exe
    C:\Windows\system32\rtsoaqo.exe 1148 "C:\Windows\SysWOW64\hunqprg.exe"
    3⤵
    PID:2080
  - - C:\Windows\SysWOW64\fgjdgun.exe
      C:\Windows\system32\fgjdgun.exe 1152 "C:\Windows\SysWOW64\rtsoaqo.exe"
      4⤵
      PID:5908
    - - C:\Windows\SysWOW64\fgjdgun.exe
        
        C:\Windows\system32\fgjdgun.exe 1152 "C:\Windows\SysWOW64\rtsoaqo.exe"
        5⤵
        
        PID:6012
      - C:\Windows\SysWOW64\pfnbqtu.exe
        
        C:\Windows\system32\pfnbqtu.exe 1144 "C:\Windows\SysWOW64\fgjdgun.exe"
        6⤵
        
        PID:4928
        
        C:\Windows\SysWOW64\pfnbqtu.exe
        
        C:\Windows\system32\pfnbqtu.exe 1144 "C:\Windows\SysWOW64\fgjdgun.exe"
        7⤵
        
        PID:5152
        
        C:\Windows\SysWOW64\cdidhbs.exe
        
        C:\Windows\system32\cdidhbs.exe 1140 "C:\Windows\SysWOW64\pfnbqtu.exe"
        8⤵
        
        PID:3436
        
        C:\Windows\SysWOW64\cdidhbs.exe
        
        C:\Windows\system32\cdidhbs.exe 1140 "C:\Windows\SysWOW64\pfnbqtu.exe"
        9⤵
        
        PID:3232
        
        C:\Windows\SysWOW64\pqatmxz.exe
        
        C:\Windows\system32\pqatmxz.exe 1144 "C:\Windows\SysWOW64\cdidhbs.exe"
        10⤵
        
        PID:1772
        
        C:\Windows\SysWOW64\pqatmxz.exe
        
        C:\Windows\system32\pqatmxz.exe 1144 "C:\Windows\SysWOW64\cdidhbs.exe"
        11⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of WriteProcessMemory
        
        PID:1848
        
        C:\Windows\SysWOW64\cdrjsbx.exe
        
        C:\Windows\system32\cdrjsbx.exe 1148 "C:\Windows\SysWOW64\pqatmxz.exe"
        12⤵
        
        PID:5308
        
        C:\Windows\SysWOW64\cppaxwj.exe
        
        C:\Windows\system32\cppaxwj.exe 1156 "C:\Windows\SysWOW64\sfaqjtd.exe"
        7⤵
        
        PID:5752
        
        C:\Windows\SysWOW64\prvlawj.exe
        
        C:\Windows\system32\prvlawj.exe 1148 "C:\Windows\SysWOW64\cppaxwj.exe"
        8⤵
        
        PID:5284
        
        C:\Windows\SysWOW64\prvlawj.exe
        
        C:\Windows\system32\prvlawj.exe 1148 "C:\Windows\SysWOW64\cppaxwj.exe"
        9⤵
        
        PID:3244
        
        C:\Windows\SysWOW64\cpqniep.exe
        
        C:\Windows\system32\cpqniep.exe 1148 "C:\Windows\SysWOW64\prvlawj.exe"
        10⤵
        
        PID:5512
        
        C:\Windows\SysWOW64\cpqniep.exe
        
        C:\Windows\system32\cpqniep.exe 1148 "C:\Windows\SysWOW64\prvlawj.exe"
        11⤵
        
        PID:5276
        
        C:\Windows\SysWOW64\pcidoin.exe
        
        C:\Windows\system32\pcidoin.exe 1148 "C:\Windows\SysWOW64\cpqniep.exe"
        12⤵
        
        PID:5048

C:\Windows\SysWOW64\qkxjfrc.exe
C:\Windows\system32\qkxjfrc.exe 1148 "C:\Windows\SysWOW64\dxntznv.exe"
1⤵
PID:4536
- C:\Windows\SysWOW64\efoylvb.exe
  C:\Windows\system32\efoylvb.exe 1152 "C:\Windows\SysWOW64\qkxjfrc.exe"
  2⤵
  PID:2328

C:\Windows\SysWOW64\efoylvb.exe
C:\Windows\system32\efoylvb.exe 1152 "C:\Windows\SysWOW64\qkxjfrc.exe"
1⤵
PID:2136
- C:\Windows\SysWOW64\oesedui.exe
  C:\Windows\system32\oesedui.exe 1148 "C:\Windows\SysWOW64\efoylvb.exe"
  2⤵
  PID:4604
- - C:\Windows\SysWOW64\oesedui.exe
    C:\Windows\system32\oesedui.exe 1148 "C:\Windows\SysWOW64\efoylvb.exe"
    3⤵
    PID:4280
  - - C:\Windows\SysWOW64\brktjph.exe
      C:\Windows\system32\brktjph.exe 1148 "C:\Windows\SysWOW64\oesedui.exe"
      4⤵
      PID:4816

C:\Windows\SysWOW64\brktjph.exe
C:\Windows\system32\brktjph.exe 1148 "C:\Windows\SysWOW64\oesedui.exe"
1⤵
PID:4088
- C:\Windows\SysWOW64\oecjptg.exe
  C:\Windows\system32\oecjptg.exe 1140 "C:\Windows\SysWOW64\brktjph.exe"
  2⤵
  PID:2076
- - C:\Windows\SysWOW64\oecjptg.exe
    C:\Windows\system32\oecjptg.exe 1140 "C:\Windows\SysWOW64\brktjph.exe"
    3⤵
    PID:1420
  - - C:\Windows\SysWOW64\brlzuxe.exe
      C:\Windows\system32\brlzuxe.exe 1152 "C:\Windows\SysWOW64\oecjptg.exe"
      4⤵
      PID:4748

C:\Windows\SysWOW64\brlzuxe.exe
C:\Windows\system32\brlzuxe.exe 1152 "C:\Windows\SysWOW64\oecjptg.exe"
1⤵
PID:3328
- C:\Windows\SysWOW64\lyxwfwm.exe
  C:\Windows\system32\lyxwfwm.exe 1156 "C:\Windows\SysWOW64\brlzuxe.exe"
  2⤵
  PID:2076
- - C:\Windows\SysWOW64\lyxwfwm.exe
    C:\Windows\system32\lyxwfwm.exe 1156 "C:\Windows\SysWOW64\brlzuxe.exe"
    3⤵
    PID:3240
  - - C:\Windows\SysWOW64\wxbupvu.exe
      C:\Windows\system32\wxbupvu.exe 1148 "C:\Windows\SysWOW64\lyxwfwm.exe"
      4⤵
      PID:980
    - - C:\Windows\SysWOW64\wxbupvu.exe
        
        C:\Windows\system32\wxbupvu.exe 1148 "C:\Windows\SysWOW64\lyxwfwm.exe"
        5⤵
        
        PID:4836
      - C:\Windows\SysWOW64\jktrdys.exe
        
        C:\Windows\system32\jktrdys.exe 1148 "C:\Windows\SysWOW64\wxbupvu.exe"
        6⤵
        
        PID:2076
- - C:\Windows\SysWOW64\jktrdys.exe
    C:\Windows\system32\jktrdys.exe 1148 "C:\Windows\SysWOW64\wxbupvu.exe"
    3⤵
    PID:4492
  - - C:\Windows\SysWOW64\wxchjur.exe
      C:\Windows\system32\wxchjur.exe 1148 "C:\Windows\SysWOW64\jktrdys.exe"
      4⤵
      PID:4304

C:\Windows\SysWOW64\wxchjur.exe
C:\Windows\system32\wxchjur.exe 1148 "C:\Windows\SysWOW64\jktrdys.exe"
1⤵
PID:2532
- C:\Windows\SysWOW64\gwpettz.exe
  C:\Windows\system32\gwpettz.exe 1148 "C:\Windows\SysWOW64\wxchjur.exe"
  2⤵
  PID:4816
- - C:\Windows\SysWOW64\gwpettz.exe
    C:\Windows\system32\gwpettz.exe 1148 "C:\Windows\SysWOW64\wxchjur.exe"
    3⤵
    PID:3164
  - - C:\Windows\SysWOW64\tgvhwtz.exe
      C:\Windows\system32\tgvhwtz.exe 1152 "C:\Windows\SysWOW64\gwpettz.exe"
      4⤵
      PID:2124

C:\Windows\SysWOW64\tgvhwtz.exe
C:\Windows\system32\tgvhwtz.exe 1152 "C:\Windows\SysWOW64\gwpettz.exe"
1⤵
PID:3844
- C:\Windows\SysWOW64\enzfhry.exe
  C:\Windows\system32\enzfhry.exe 1148 "C:\Windows\SysWOW64\tgvhwtz.exe"
  2⤵
  PID:1612
- - C:\Windows\SysWOW64\enzfhry.exe
    C:\Windows\system32\enzfhry.exe 1148 "C:\Windows\SysWOW64\tgvhwtz.exe"
    3⤵
    PID:2880
  - - C:\Windows\SysWOW64\rduhpae.exe
      C:\Windows\system32\rduhpae.exe 1140 "C:\Windows\SysWOW64\enzfhry.exe"
      4⤵
      PID:4304
    - - C:\Windows\SysWOW64\rduhpae.exe
        
        C:\Windows\system32\rduhpae.exe 1140 "C:\Windows\SysWOW64\enzfhry.exe"
        5⤵
        
        PID:3332
      - C:\Windows\SysWOW64\bdgniyl.exe
        
        C:\Windows\system32\bdgniyl.exe 1148 "C:\Windows\SysWOW64\rduhpae.exe"
        6⤵
        
        PID:2716
    - - C:\Windows\SysWOW64\dklqexq.exe
        
        C:\Windows\system32\dklqexq.exe 1152 "C:\Windows\SysWOW64\blhstyj.exe"
        5⤵
        
        PID:376
      - C:\Windows\SysWOW64\qaosmfw.exe
        
        C:\Windows\system32\qaosmfw.exe 1148 "C:\Windows\SysWOW64\dklqexq.exe"
        6⤵
        
        PID:804

C:\Windows\SysWOW64\bdgniyl.exe
C:\Windows\system32\bdgniyl.exe 1148 "C:\Windows\SysWOW64\rduhpae.exe"
1⤵
PID:4816
- C:\Windows\SysWOW64\oqpcouk.exe
  C:\Windows\system32\oqpcouk.exe 1140 "C:\Windows\SysWOW64\bdgniyl.exe"
  2⤵
  PID:4832
- - C:\Windows\SysWOW64\oqpcouk.exe
    C:\Windows\system32\oqpcouk.exe 1140 "C:\Windows\SysWOW64\bdgniyl.exe"
    3⤵
    PID:4852
  - - C:\Windows\SysWOW64\blhstyj.exe
      C:\Windows\system32\blhstyj.exe 1148 "C:\Windows\SysWOW64\oqpcouk.exe"
      4⤵
      PID:3516
    - - C:\Windows\SysWOW64\blhstyj.exe
        
        C:\Windows\system32\blhstyj.exe 1148 "C:\Windows\SysWOW64\oqpcouk.exe"
        5⤵
        
        PID:3316
      - C:\Windows\SysWOW64\dklqexq.exe
        
        C:\Windows\system32\dklqexq.exe 1152 "C:\Windows\SysWOW64\blhstyj.exe"
        6⤵
        
        PID:4304

C:\Windows\SysWOW64\ozjrxks.exe
C:\Windows\system32\ozjrxks.exe 1152 "C:\Windows\SysWOW64\bmrbsgt.exe"
1⤵
PID:2260
- C:\Windows\SysWOW64\nwyehnc.exe
  C:\Windows\system32\nwyehnc.exe 1148 "C:\Windows\SysWOW64\abpobke.exe"
  2⤵
  PID:5604
- - C:\Windows\SysWOW64\ajqbnrb.exe
    C:\Windows\system32\ajqbnrb.exe 1152 "C:\Windows\SysWOW64\nwyehnc.exe"
    3⤵
    PID:5480
  - - C:\Windows\SysWOW64\ajqbnrb.exe
      C:\Windows\system32\ajqbnrb.exe 1152 "C:\Windows\SysWOW64\nwyehnc.exe"
      4⤵
      PID:5772
    - - C:\Windows\SysWOW64\nwhrtna.exe
        
        C:\Windows\system32\nwhrtna.exe 1148 "C:\Windows\SysWOW64\ajqbnrb.exe"
        5⤵
        
        PID:3868
      - C:\Windows\SysWOW64\nwhrtna.exe
        
        C:\Windows\system32\nwhrtna.exe 1148 "C:\Windows\SysWOW64\ajqbnrb.exe"
        6⤵
        
        PID:5940
        
        C:\Windows\SysWOW64\xzxbgqo.exe
        
        C:\Windows\system32\xzxbgqo.exe 1148 "C:\Windows\SysWOW64\nwhrtna.exe"
        7⤵
        
        PID:3232

C:\Windows\SysWOW64\qaosmfw.exe
C:\Windows\system32\qaosmfw.exe 1148 "C:\Windows\SysWOW64\dklqexq.exe"
1⤵
PID:3192
- C:\Windows\SysWOW64\awhdcax.exe
  C:\Windows\system32\awhdcax.exe 1148 "C:\Windows\SysWOW64\qaosmfw.exe"
  2⤵
  PID:5200

C:\Windows\SysWOW64\awhdcax.exe
C:\Windows\system32\awhdcax.exe 1148 "C:\Windows\SysWOW64\qaosmfw.exe"
1⤵
PID:5224
- C:\Windows\SysWOW64\qapyyft.exe
  C:\Windows\system32\qapyyft.exe 1148 "C:\Windows\SysWOW64\awhdcax.exe"
  2⤵
  PID:5292
- - C:\Windows\SysWOW64\qapyyft.exe
    C:\Windows\system32\qapyyft.exe 1148 "C:\Windows\SysWOW64\awhdcax.exe"
    3⤵
    PID:5316
  - - C:\Windows\SysWOW64\bhtdqeb.exe
      C:\Windows\system32\bhtdqeb.exe 1148 "C:\Windows\SysWOW64\qapyyft.exe"
      4⤵
      PID:5384
    - - C:\Windows\SysWOW64\qbgptzc.exe
        
        C:\Windows\system32\qbgptzc.exe 1148 "C:\Windows\SysWOW64\lowzoev.exe"
        5⤵
        
        PID:784
      - C:\Windows\SysWOW64\amvzpdi.exe
        
        C:\Windows\system32\amvzpdi.exe 1148 "C:\Windows\SysWOW64\qbgptzc.exe"
        6⤵
        
        PID:4268
        
        C:\Windows\SysWOW64\amvzpdi.exe
        
        C:\Windows\system32\amvzpdi.exe 1148 "C:\Windows\SysWOW64\qbgptzc.exe"
        7⤵
        
        PID:5096
        
        C:\Windows\SysWOW64\nznpugh.exe
        
        C:\Windows\system32\nznpugh.exe 1144 "C:\Windows\SysWOW64\amvzpdi.exe"
        8⤵
        
        PID:5444
        
        C:\Windows\SysWOW64\nznpugh.exe
        
        C:\Windows\system32\nznpugh.exe 1144 "C:\Windows\SysWOW64\amvzpdi.exe"
        9⤵
        
        PID:5888
        
        C:\Windows\SysWOW64\ameeakf.exe
        
        C:\Windows\system32\ameeakf.exe 1152 "C:\Windows\SysWOW64\nznpugh.exe"
        10⤵
        
        PID:5684
        
        C:\Windows\SysWOW64\ameeakf.exe
        
        C:\Windows\system32\ameeakf.exe 1152 "C:\Windows\SysWOW64\nznpugh.exe"
        11⤵
        
        PID:5632
        
        C:\Windows\SysWOW64\nzouggm.exe
        
        C:\Windows\system32\nzouggm.exe 1140 "C:\Windows\SysWOW64\ameeakf.exe"
        12⤵
        
        PID:6112
        
        C:\Windows\SysWOW64\pimzwpk.exe
        
        C:\Windows\system32\pimzwpk.exe 1140 "C:\Windows\SysWOW64\bvdkitm.exe"
        13⤵
        
        PID:4672
        
        C:\Windows\SysWOW64\cvepbtj.exe
        
        C:\Windows\system32\cvepbtj.exe 1148 "C:\Windows\SysWOW64\pimzwpk.exe"
        14⤵
        
        PID:5908
        
        C:\Windows\SysWOW64\cvepbtj.exe
        
        C:\Windows\system32\cvepbtj.exe 1148 "C:\Windows\SysWOW64\pimzwpk.exe"
        15⤵
        
        PID:5592
        
        C:\Windows\SysWOW64\mytapwx.exe
        
        C:\Windows\system32\mytapwx.exe 1148 "C:\Windows\SysWOW64\cvepbtj.exe"
        16⤵
        
        PID:2312
        
        C:\Windows\SysWOW64\mytapwx.exe
        
        C:\Windows\system32\mytapwx.exe 1148 "C:\Windows\SysWOW64\cvepbtj.exe"
        17⤵
        
        PID:6004
        
        C:\Windows\SysWOW64\ztlpuaw.exe
        
        C:\Windows\system32\ztlpuaw.exe 1140 "C:\Windows\SysWOW64\mytapwx.exe"
        18⤵
        
        PID:5884
        
        C:\Windows\SysWOW64\odnjsaj.exe
        
        C:\Windows\system32\odnjsaj.exe 1148 "C:\Windows\SysWOW64\bqetnwk.exe"
        17⤵
        
        PID:6132
        
        C:\Windows\SysWOW64\bqfyyeh.exe
        
        C:\Windows\system32\bqfyyeh.exe 1152 "C:\Windows\SysWOW64\odnjsaj.exe"
        18⤵
        
        PID:4772
        
        C:\Windows\SysWOW64\mayhwwt.exe
        
        C:\Windows\system32\mayhwwt.exe 1148 "C:\Windows\SysWOW64\yngrqsv.exe"
        9⤵
        
        PID:4032
        
        C:\Windows\SysWOW64\znhxcas.exe
        
        C:\Windows\system32\znhxcas.exe 1152 "C:\Windows\SysWOW64\mayhwwt.exe"
        10⤵
        
        PID:4076

C:\Windows\SysWOW64\bhtdqeb.exe
C:\Windows\system32\bhtdqeb.exe 1148 "C:\Windows\SysWOW64\qapyyft.exe"
1⤵
PID:5404
- C:\Windows\SysWOW64\orzgtdb.exe
  C:\Windows\system32\orzgtdb.exe 1152 "C:\Windows\SysWOW64\bhtdqeb.exe"
  2⤵
  PID:5476

C:\Windows\SysWOW64\orzgtdb.exe
C:\Windows\system32\orzgtdb.exe 1152 "C:\Windows\SysWOW64\bhtdqeb.exe"
1⤵
PID:5496
- C:\Windows\SysWOW64\ytpqhgh.exe
  C:\Windows\system32\ytpqhgh.exe 1140 "C:\Windows\SysWOW64\orzgtdb.exe"
  2⤵
  PID:5588

C:\Windows\SysWOW64\ytpqhgh.exe
C:\Windows\system32\ytpqhgh.exe 1140 "C:\Windows\SysWOW64\orzgtdb.exe"
1⤵
PID:5612
- C:\Windows\SysWOW64\lgggmkg.exe
  C:\Windows\system32\lgggmkg.exe 1144 "C:\Windows\SysWOW64\ytpqhgh.exe"
  2⤵
  PID:5680
- - C:\Windows\SysWOW64\vjtaizl.exe
    C:\Windows\system32\vjtaizl.exe 1148 "C:\Windows\SysWOW64\lzepvwf.exe"
    3⤵
    PID:1860
  - - C:\Windows\SysWOW64\iwlpods.exe
      C:\Windows\system32\iwlpods.exe 1168 "C:\Windows\SysWOW64\vjtaizl.exe"
      4⤵
      PID:6036

C:\Windows\SysWOW64\lgggmkg.exe
C:\Windows\system32\lgggmkg.exe 1144 "C:\Windows\SysWOW64\ytpqhgh.exe"
1⤵
PID:5704
- C:\Windows\SysWOW64\ytywsof.exe
  C:\Windows\system32\ytywsof.exe 1140 "C:\Windows\SysWOW64\lgggmkg.exe"
  2⤵
  PID:5772
- - C:\Windows\SysWOW64\ytywsof.exe
    C:\Windows\system32\ytywsof.exe 1140 "C:\Windows\SysWOW64\lgggmkg.exe"
    3⤵
    PID:5792
  - - C:\Windows\SysWOW64\lohlyke.exe
      C:\Windows\system32\lohlyke.exe 1140 "C:\Windows\SysWOW64\ytywsof.exe"
      4⤵
      PID:5872
    - - C:\Windows\SysWOW64\lohlyke.exe
        
        C:\Windows\system32\lohlyke.exe 1140 "C:\Windows\SysWOW64\ytywsof.exe"
        5⤵
        
        PID:5892
      - C:\Windows\SysWOW64\vrxwtns.exe
        
        C:\Windows\system32\vrxwtns.exe 1140 "C:\Windows\SysWOW64\lohlyke.exe"
        6⤵
        
        PID:5964
        
        C:\Windows\SysWOW64\snscbgh.exe
        
        C:\Windows\system32\snscbgh.exe 1152 "C:\Windows\SysWOW64\idcsndb.exe"
        7⤵
        
        PID:6064
        
        C:\Windows\SysWOW64\fabsgkg.exe
        
        C:\Windows\system32\fabsgkg.exe 1152 "C:\Windows\SysWOW64\snscbgh.exe"
        8⤵
        
        PID:440
        
        C:\Windows\SysWOW64\fabsgkg.exe
        
        C:\Windows\system32\fabsgkg.exe 1152 "C:\Windows\SysWOW64\snscbgh.exe"
        9⤵
        
        PID:6032
        
        C:\Windows\SysWOW64\tntimgf.exe
        
        C:\Windows\system32\tntimgf.exe 1148 "C:\Windows\SysWOW64\fabsgkg.exe"
        10⤵
        
        PID:5220
    - - C:\Windows\SysWOW64\idcsndb.exe
        
        C:\Windows\system32\idcsndb.exe 1148 "C:\Windows\SysWOW64\vqlcizu.exe"
        5⤵
        
        PID:1364
      - C:\Windows\SysWOW64\snscbgh.exe
        
        C:\Windows\system32\snscbgh.exe 1152 "C:\Windows\SysWOW64\idcsndb.exe"
        6⤵
        
        PID:5964

C:\Windows\SysWOW64\odlrpgb.exe
C:\Windows\system32\odlrpgb.exe 1152 "C:\Windows\SysWOW64\eavgbdn.exe"
1⤵
PID:544

C:\Windows\SysWOW64\vrxwtns.exe
C:\Windows\system32\vrxwtns.exe 1140 "C:\Windows\SysWOW64\lohlyke.exe"
1⤵
PID:5984
- C:\Windows\SysWOW64\ieolzrr.exe
  C:\Windows\system32\ieolzrr.exe 1140 "C:\Windows\SysWOW64\vrxwtns.exe"
  2⤵
  PID:6060

C:\Windows\SysWOW64\ieolzrr.exe
C:\Windows\system32\ieolzrr.exe 1140 "C:\Windows\SysWOW64\vrxwtns.exe"
1⤵
PID:6080
- C:\Windows\SysWOW64\wrgjfup.exe
  C:\Windows\system32\wrgjfup.exe 1140 "C:\Windows\SysWOW64\ieolzrr.exe"
  2⤵
  PID:4128
- - C:\Windows\SysWOW64\wrgjfup.exe
    C:\Windows\system32\wrgjfup.exe 1140 "C:\Windows\SysWOW64\ieolzrr.exe"
    3⤵
    PID:5188
  - - C:\Windows\SysWOW64\jmqzlqo.exe
      C:\Windows\system32\jmqzlqo.exe 1148 "C:\Windows\SysWOW64\wrgjfup.exe"
      4⤵
      PID:5252

C:\Windows\SysWOW64\jmqzlqo.exe
C:\Windows\system32\jmqzlqo.exe 1148 "C:\Windows\SysWOW64\wrgjfup.exe"
1⤵
PID:5280
- C:\Windows\SysWOW64\tpfjytc.exe
  C:\Windows\system32\tpfjytc.exe 1152 "C:\Windows\SysWOW64\jmqzlqo.exe"
  2⤵
  PID:3832

C:\Windows\SysWOW64\tpfjytc.exe
C:\Windows\system32\tpfjytc.exe 1152 "C:\Windows\SysWOW64\jmqzlqo.exe"
1⤵
PID:5096
- C:\Windows\SysWOW64\gylmbtu.exe
  C:\Windows\system32\gylmbtu.exe 1144 "C:\Windows\SysWOW64\tpfjytc.exe"
  2⤵
  PID:5380

C:\Windows\SysWOW64\gylmbtu.exe
C:\Windows\system32\gylmbtu.exe 1144 "C:\Windows\SysWOW64\tpfjytc.exe"
1⤵
PID:5392
- C:\Windows\SysWOW64\tpopjba.exe
  C:\Windows\system32\tpopjba.exe 1152 "C:\Windows\SysWOW64\gylmbtu.exe"
  2⤵
  PID:5344
- - C:\Windows\SysWOW64\tpopjba.exe
    C:\Windows\system32\tpopjba.exe 1152 "C:\Windows\SysWOW64\gylmbtu.exe"
    3⤵
    PID:5488
  - - C:\Windows\SysWOW64\gkyexfz.exe
      C:\Windows\system32\gkyexfz.exe 1148 "C:\Windows\SysWOW64\tpopjba.exe"
      4⤵
      PID:5572
    - - C:\Windows\SysWOW64\gkyexfz.exe
        
        C:\Windows\system32\gkyexfz.exe 1148 "C:\Windows\SysWOW64\tpopjba.exe"
        5⤵
        
        PID:5432
      - C:\Windows\SysWOW64\qmnpkaf.exe
        
        C:\Windows\system32\qmnpkaf.exe 1148 "C:\Windows\SysWOW64\gkyexfz.exe"
        6⤵
        
        PID:5668
        
        C:\Windows\SysWOW64\qmnpkaf.exe
        
        C:\Windows\system32\qmnpkaf.exe 1148 "C:\Windows\SysWOW64\gkyexfz.exe"
        7⤵
        
        PID:5536
        
        C:\Windows\SysWOW64\dwtznaf.exe
        
        C:\Windows\system32\dwtznaf.exe 1148 "C:\Windows\SysWOW64\qmnpkaf.exe"
        8⤵
        
        PID:5764
    - - C:\Windows\SysWOW64\deegjel.exe
        
        C:\Windows\system32\deegjel.exe 1148 "C:\Windows\SysWOW64\qruqeae.exe"
        5⤵
        
        PID:5676
      - C:\Windows\SysWOW64\ndqdudk.exe
        
        C:\Windows\system32\ndqdudk.exe 1148 "C:\Windows\SysWOW64\deegjel.exe"
        6⤵
        
        PID:4420

C:\Windows\SysWOW64\grlgonn.exe
C:\Windows\system32\grlgonn.exe 1148 "C:\Windows\SysWOW64\twtqijo.exe"
1⤵
PID:3324

C:\Windows\SysWOW64\twtqijo.exe
C:\Windows\system32\twtqijo.exe 1148 "C:\Windows\SysWOW64\gjktufh.exe"
1⤵
PID:3648

C:\Windows\SysWOW64\dwtznaf.exe
C:\Windows\system32\dwtznaf.exe 1148 "C:\Windows\SysWOW64\qmnpkaf.exe"
1⤵
PID:5628
- C:\Windows\SysWOW64\rjlptde.exe
  C:\Windows\system32\rjlptde.exe 1148 "C:\Windows\SysWOW64\dwtznaf.exe"
  2⤵
  PID:5860
- - C:\Windows\SysWOW64\rjlptde.exe
    C:\Windows\system32\rjlptde.exe 1148 "C:\Windows\SysWOW64\dwtznaf.exe"
    3⤵
    PID:5720
  - - C:\Windows\SysWOW64\yqyhntn.exe
      C:\Windows\system32\yqyhntn.exe 1148 "C:\Windows\SysWOW64\rjlptde.exe"
      4⤵
      PID:5960
    - - C:\Windows\SysWOW64\yqyhntn.exe
        
        C:\Windows\system32\yqyhntn.exe 1148 "C:\Windows\SysWOW64\rjlptde.exe"
        5⤵
        
        PID:5812
      - C:\Windows\SysWOW64\ldqxtxm.exe
        
        C:\Windows\system32\ldqxtxm.exe 1152 "C:\Windows\SysWOW64\yqyhntn.exe"
        6⤵
        
        PID:6044
        
        C:\Windows\SysWOW64\ldqxtxm.exe
        
        C:\Windows\system32\ldqxtxm.exe 1152 "C:\Windows\SysWOW64\yqyhntn.exe"
        7⤵
        
        PID:6076
        
        C:\Windows\SysWOW64\vkucevu.exe
        
        C:\Windows\system32\vkucevu.exe 1152 "C:\Windows\SysWOW64\ldqxtxm.exe"
        8⤵
        
        PID:6064
        
        C:\Windows\SysWOW64\vkucevu.exe
        
        C:\Windows\system32\vkucevu.exe 1152 "C:\Windows\SysWOW64\ldqxtxm.exe"
        9⤵
        
        PID:928
        
        C:\Windows\SysWOW64\ixlsjzs.exe
        
        C:\Windows\system32\ixlsjzs.exe 1152 "C:\Windows\SysWOW64\vkucevu.exe"
        10⤵
        
        PID:4820
        
        C:\Windows\SysWOW64\ixlsjzs.exe
        
        C:\Windows\system32\ixlsjzs.exe 1152 "C:\Windows\SysWOW64\vkucevu.exe"
        11⤵
        
        PID:5244
        
        C:\Windows\SysWOW64\wkdipdz.exe
        
        C:\Windows\system32\wkdipdz.exe 1148 "C:\Windows\SysWOW64\ixlsjzs.exe"
        12⤵
        
        PID:1264
        
        C:\Windows\SysWOW64\jvrjvka.exe
        
        C:\Windows\system32\jvrjvka.exe 1152 "C:\Windows\SysWOW64\waiupgt.exe"
        13⤵
        
        PID:2356
        
        C:\Windows\SysWOW64\tudhgiz.exe
        
        C:\Windows\system32\tudhgiz.exe 1148 "C:\Windows\SysWOW64\jvrjvka.exe"
        14⤵
        
        PID:2560
        
        C:\Windows\SysWOW64\tudhgiz.exe
        
        C:\Windows\system32\tudhgiz.exe 1148 "C:\Windows\SysWOW64\jvrjvka.exe"
        15⤵
        
        PID:5588
        
        C:\Windows\SysWOW64\ghnxlmg.exe
        
        C:\Windows\system32\ghnxlmg.exe 1152 "C:\Windows\SysWOW64\tudhgiz.exe"
        16⤵
        
        PID:3260
        
        C:\Windows\SysWOW64\ghnxlmg.exe
        
        C:\Windows\system32\ghnxlmg.exe 1152 "C:\Windows\SysWOW64\tudhgiz.exe"
        17⤵
        
        PID:6088
        
        C:\Windows\SysWOW64\tuemrqf.exe
        
        C:\Windows\system32\tuemrqf.exe 1144 "C:\Windows\SysWOW64\ghnxlmg.exe"
        18⤵
        
        PID:4400
        
        C:\Windows\SysWOW64\bjwfsqu.exe
        
        C:\Windows\system32\bjwfsqu.exe 1148 "C:\Windows\SysWOW64\plbljip.exe"
        11⤵
        
        PID:3872
        
        C:\Windows\SysWOW64\pwndyut.exe
        
        C:\Windows\system32\pwndyut.exe 1148 "C:\Windows\SysWOW64\bjwfsqu.exe"
        12⤵
        
        PID:5196
        
        C:\Windows\SysWOW64\pwndyut.exe
        
        C:\Windows\system32\pwndyut.exe 1148 "C:\Windows\SysWOW64\bjwfsqu.exe"
        13⤵
        
        PID:6072
        
        C:\Windows\SysWOW64\cjxtdqs.exe
        
        C:\Windows\system32\cjxtdqs.exe 1140 "C:\Windows\SysWOW64\pwndyut.exe"
        14⤵
        
        PID:6008
        
        C:\Windows\SysWOW64\cjxtdqs.exe
        
        C:\Windows\system32\cjxtdqs.exe 1140 "C:\Windows\SysWOW64\pwndyut.exe"
        15⤵
        
        PID:4420
        
        C:\Windows\SysWOW64\mmudrtg.exe
        
        C:\Windows\system32\mmudrtg.exe 1148 "C:\Windows\SysWOW64\cjxtdqs.exe"
        16⤵
        
        PID:1052
        
        C:\Windows\SysWOW64\mmudrtg.exe
        
        C:\Windows\system32\mmudrtg.exe 1148 "C:\Windows\SysWOW64\cjxtdqs.exe"
        17⤵
        
        PID:5924
        
        C:\Windows\SysWOW64\zhetwxf.exe
        
        C:\Windows\system32\zhetwxf.exe 1140 "C:\Windows\SysWOW64\mmudrtg.exe"
        18⤵
        
        PID:4696
        
        C:\Windows\SysWOW64\pcrhdpg.exe
        
        C:\Windows\system32\pcrhdpg.exe 1148 "C:\Windows\SysWOW64\bpzrxlh.exe"
        17⤵
        
        PID:2536
        
        C:\Windows\SysWOW64\yngrqsv.exe
        
        C:\Windows\system32\yngrqsv.exe 1148 "C:\Windows\SysWOW64\pcrhdpg.exe"
        18⤵
        
        PID:2700
        
        C:\Windows\SysWOW64\yngrqsv.exe
        
        C:\Windows\system32\yngrqsv.exe 1148 "C:\Windows\SysWOW64\pcrhdpg.exe"
        19⤵
        
        PID:1396
        
        C:\Windows\SysWOW64\mayhwwt.exe
        
        C:\Windows\system32\mayhwwt.exe 1148 "C:\Windows\SysWOW64\yngrqsv.exe"
        20⤵
        
        PID:5444

C:\Windows\SysWOW64\wkdipdz.exe
C:\Windows\system32\wkdipdz.exe 1148 "C:\Windows\SysWOW64\ixlsjzs.exe"
1⤵
PID:2884
- C:\Windows\SysWOW64\jxnyvzy.exe
  C:\Windows\system32\jxnyvzy.exe 1156 "C:\Windows\SysWOW64\wkdipdz.exe"
  2⤵
  PID:3140

C:\Windows\SysWOW64\jxnyvzy.exe
C:\Windows\system32\jxnyvzy.exe 1156 "C:\Windows\SysWOW64\wkdipdz.exe"
1⤵
PID:3812
- C:\Windows\SysWOW64\twzvnyg.exe
  C:\Windows\system32\twzvnyg.exe 1148 "C:\Windows\SysWOW64\jxnyvzy.exe"
  2⤵
  PID:2584
- - C:\Windows\SysWOW64\twzvnyg.exe
    C:\Windows\system32\twzvnyg.exe 1148 "C:\Windows\SysWOW64\jxnyvzy.exe"
    3⤵
    PID:4304
  - - C:\Windows\SysWOW64\dedsyxf.exe
      C:\Windows\system32\dedsyxf.exe 1148 "C:\Windows\SysWOW64\twzvnyg.exe"
      4⤵
      PID:5368
    - - C:\Windows\SysWOW64\dedsyxf.exe
        
        C:\Windows\system32\dedsyxf.exe 1148 "C:\Windows\SysWOW64\twzvnyg.exe"
        5⤵
        
        PID:5388
      - C:\Windows\SysWOW64\qruqeae.exe
        
        C:\Windows\system32\qruqeae.exe 1148 "C:\Windows\SysWOW64\dedsyxf.exe"
        6⤵
        
        PID:5320

C:\Windows\SysWOW64\qruqeae.exe
C:\Windows\system32\qruqeae.exe 1148 "C:\Windows\SysWOW64\dedsyxf.exe"
1⤵
PID:5476
- C:\Windows\SysWOW64\deegjel.exe
  C:\Windows\system32\deegjel.exe 1148 "C:\Windows\SysWOW64\qruqeae.exe"
  2⤵
  PID:5572

C:\Windows\SysWOW64\ndqdudk.exe
C:\Windows\system32\ndqdudk.exe 1148 "C:\Windows\SysWOW64\deegjel.exe"
1⤵
PID:4844
- C:\Windows\SysWOW64\bqatazr.exe
  C:\Windows\system32\bqatazr.exe 1148 "C:\Windows\SysWOW64\ndqdudk.exe"
  2⤵
  PID:5632
- - C:\Windows\SysWOW64\bqatazr.exe
    C:\Windows\system32\bqatazr.exe 1148 "C:\Windows\SysWOW64\ndqdudk.exe"
    3⤵
    PID:5656
  - - C:\Windows\SysWOW64\olrjndq.exe
      C:\Windows\system32\olrjndq.exe 1140 "C:\Windows\SysWOW64\bqatazr.exe"
      4⤵
      PID:5856
    - - C:\Windows\SysWOW64\olrjndq.exe
        
        C:\Windows\system32\olrjndq.exe 1140 "C:\Windows\SysWOW64\bqatazr.exe"
        5⤵
        
        PID:5904
      - C:\Windows\SysWOW64\yngtbgw.exe
        
        C:\Windows\system32\yngtbgw.exe 1148 "C:\Windows\SysWOW64\olrjndq.exe"
        6⤵
        
        PID:5808
        
        C:\Windows\SysWOW64\yngtbgw.exe
        
        C:\Windows\system32\yngtbgw.exe 1148 "C:\Windows\SysWOW64\olrjndq.exe"
        7⤵
        
        PID:5820
        
        C:\Windows\SysWOW64\layjgkv.exe
        
        C:\Windows\system32\layjgkv.exe 1148 "C:\Windows\SysWOW64\yngtbgw.exe"
        8⤵
        
        PID:5740

C:\Windows\SysWOW64\layjgkv.exe
C:\Windows\system32\layjgkv.exe 1148 "C:\Windows\SysWOW64\yngtbgw.exe"
1⤵
PID:5932
- C:\Windows\SysWOW64\ynigmoc.exe
  C:\Windows\system32\ynigmoc.exe 1140 "C:\Windows\SysWOW64\layjgkv.exe"
  2⤵
  PID:5836

C:\Windows\SysWOW64\ynigmoc.exe
C:\Windows\system32\ynigmoc.exe 1140 "C:\Windows\SysWOW64\layjgkv.exe"
1⤵
PID:6020
- C:\Windows\SysWOW64\lizwsja.exe
  C:\Windows\system32\lizwsja.exe 1140 "C:\Windows\SysWOW64\ynigmoc.exe"
  2⤵
  PID:5920
- - C:\Windows\SysWOW64\lizwsja.exe
    C:\Windows\system32\lizwsja.exe 1140 "C:\Windows\SysWOW64\ynigmoc.exe"
    3⤵
    PID:6084
  - - C:\Windows\SysWOW64\vlphfmh.exe
      C:\Windows\system32\vlphfmh.exe 1148 "C:\Windows\SysWOW64\lizwsja.exe"
      4⤵
      PID:5016
    - - C:\Windows\SysWOW64\vlphfmh.exe
        
        C:\Windows\system32\vlphfmh.exe 1148 "C:\Windows\SysWOW64\lizwsja.exe"
        5⤵
        
        PID:1532
      - C:\Windows\SysWOW64\iygwtqf.exe
        
        C:\Windows\system32\iygwtqf.exe 1148 "C:\Windows\SysWOW64\vlphfmh.exe"
        6⤵
        
        PID:5300

C:\Windows\SysWOW64\iygwtqf.exe
C:\Windows\system32\iygwtqf.exe 1148 "C:\Windows\SysWOW64\vlphfmh.exe"
1⤵
PID:4276
- C:\Windows\SysWOW64\vlqmzue.exe
  C:\Windows\system32\vlqmzue.exe 1148 "C:\Windows\SysWOW64\iygwtqf.exe"
  2⤵
  PID:1052
- - C:\Windows\SysWOW64\vlqmzue.exe
    C:\Windows\system32\vlqmzue.exe 1148 "C:\Windows\SysWOW64\iygwtqf.exe"
    3⤵
    PID:5312
  - - C:\Windows\SysWOW64\jghcfql.exe
      C:\Windows\system32\jghcfql.exe 1148 "C:\Windows\SysWOW64\vlqmzue.exe"
      4⤵
      PID:4268
    - - C:\Windows\SysWOW64\jghcfql.exe
        
        C:\Windows\system32\jghcfql.exe 1148 "C:\Windows\SysWOW64\vlqmzue.exe"
        5⤵
        
        PID:5464
      - C:\Windows\SysWOW64\sixmstr.exe
        
        C:\Windows\system32\sixmstr.exe 1140 "C:\Windows\SysWOW64\jghcfql.exe"
        6⤵
        
        PID:5284

C:\Windows\SysWOW64\sixmstr.exe
C:\Windows\system32\sixmstr.exe 1140 "C:\Windows\SysWOW64\jghcfql.exe"
1⤵
PID:5144
- C:\Windows\SysWOW64\gsdpvtr.exe
  C:\Windows\system32\gsdpvtr.exe 1020 "C:\Windows\SysWOW64\sixmstr.exe"
  2⤵
  PID:4080

C:\Windows\SysWOW64\gsdpvtr.exe
C:\Windows\system32\gsdpvtr.exe 1020 "C:\Windows\SysWOW64\sixmstr.exe"
1⤵
PID:5532
- C:\Windows\SysWOW64\tfunbwq.exe
  C:\Windows\system32\tfunbwq.exe 1156 "C:\Windows\SysWOW64\gsdpvtr.exe"
  2⤵
  PID:5452

C:\Windows\SysWOW64\tfunbwq.exe
C:\Windows\system32\tfunbwq.exe 1156 "C:\Windows\SysWOW64\gsdpvtr.exe"
1⤵
PID:4712
- C:\Windows\SysWOW64\vqkxoaw.exe
  C:\Windows\system32\vqkxoaw.exe 1148 "C:\Windows\SysWOW64\tfunbwq.exe"
  2⤵
  PID:5544
- - C:\Windows\SysWOW64\vqkxoaw.exe
    C:\Windows\system32\vqkxoaw.exe 1148 "C:\Windows\SysWOW64\tfunbwq.exe"
    3⤵
    PID:3416
  - - C:\Windows\SysWOW64\idtncdv.exe
      C:\Windows\system32\idtncdv.exe 1140 "C:\Windows\SysWOW64\vqkxoaw.exe"
      4⤵
      PID:5760
    - - C:\Windows\SysWOW64\idtncdv.exe
        
        C:\Windows\system32\idtncdv.exe 1140 "C:\Windows\SysWOW64\vqkxoaw.exe"
        5⤵
        
        PID:5728
      - C:\Windows\SysWOW64\vqlcizu.exe
        
        C:\Windows\system32\vqlcizu.exe 1148 "C:\Windows\SysWOW64\idtncdv.exe"
        6⤵
        
        PID:5752
        
        C:\Windows\SysWOW64\kjodzhw.exe
        
        C:\Windows\system32\kjodzhw.exe 1148 "C:\Windows\SysWOW64\dbbdnsm.exe"
        7⤵
        
        PID:5068
        
        C:\Windows\SysWOW64\xhrfppt.exe
        
        C:\Windows\system32\xhrfppt.exe 1148 "C:\Windows\SysWOW64\kjodzhw.exe"
        8⤵
        
        PID:5484
        
        C:\Windows\SysWOW64\xhrfppt.exe
        
        C:\Windows\system32\xhrfppt.exe 1148 "C:\Windows\SysWOW64\kjodzhw.exe"
        9⤵
        
        PID:5480
        
        C:\Windows\SysWOW64\kubvvla.exe
        
        C:\Windows\system32\kubvvla.exe 1148 "C:\Windows\SysWOW64\xhrfppt.exe"
        10⤵
        
        PID:5460
        
        C:\Windows\SysWOW64\eapdphs.exe
        
        C:\Windows\system32\eapdphs.exe 1152 "C:\Windows\SysWOW64\rnxnjdu.exe"
        11⤵
        
        PID:1888
        
        C:\Windows\SysWOW64\rnytvkz.exe
        
        C:\Windows\system32\rnytvkz.exe 1148 "C:\Windows\SysWOW64\eapdphs.exe"
        12⤵
        
        PID:2312
        
        C:\Windows\SysWOW64\rnytvkz.exe
        
        C:\Windows\system32\rnytvkz.exe 1148 "C:\Windows\SysWOW64\eapdphs.exe"
        13⤵
        
        PID:5372
        
        C:\Windows\SysWOW64\faqjboy.exe
        
        C:\Windows\system32\faqjboy.exe 1148 "C:\Windows\SysWOW64\rnytvkz.exe"
        14⤵
        
        PID:4528
        
        C:\Windows\SysWOW64\faqjboy.exe
        
        C:\Windows\system32\faqjboy.exe 1148 "C:\Windows\SysWOW64\rnytvkz.exe"
        15⤵
        
        PID:2284
        
        C:\Windows\SysWOW64\pzuglnf.exe
        
        C:\Windows\system32\pzuglnf.exe 1156 "C:\Windows\SysWOW64\faqjboy.exe"
        16⤵
        
        PID:5232
        
        C:\Windows\SysWOW64\pzuglnf.exe
        
        C:\Windows\system32\pzuglnf.exe 1156 "C:\Windows\SysWOW64\faqjboy.exe"
        17⤵
        
        PID:6116
        
        C:\Windows\SysWOW64\cxxjund.exe
        
        C:\Windows\system32\cxxjund.exe 1148 "C:\Windows\SysWOW64\pzuglnf.exe"
        18⤵
        
        PID:4972
        
        C:\Windows\SysWOW64\cxxjund.exe
        
        C:\Windows\system32\cxxjund.exe 1148 "C:\Windows\SysWOW64\pzuglnf.exe"
        19⤵
        
        PID:4360
        
        C:\Windows\SysWOW64\mtpbjie.exe
        
        C:\Windows\system32\mtpbjie.exe 1152 "C:\Windows\SysWOW64\cxxjund.exe"
        20⤵
        
        PID:5660
        
        C:\Windows\SysWOW64\mtpbjie.exe
        
        C:\Windows\system32\mtpbjie.exe 1152 "C:\Windows\SysWOW64\cxxjund.exe"
        21⤵
        
        PID:2440
        
        C:\Windows\SysWOW64\zghrpml.exe
        
        C:\Windows\system32\zghrpml.exe 1148 "C:\Windows\SysWOW64\mtpbjie.exe"
        22⤵
        
        PID:5680
        
        C:\Windows\SysWOW64\zghrpml.exe
        
        C:\Windows\system32\zghrpml.exe 1148 "C:\Windows\SysWOW64\mtpbjie.exe"
        23⤵
        
        PID:5800
        
        C:\Windows\SysWOW64\mxcuyui.exe
        
        C:\Windows\system32\mxcuyui.exe 1144 "C:\Windows\SysWOW64\zghrpml.exe"
        24⤵
        
        PID:5708

C:\Windows\SysWOW64\vqlcizu.exe
C:\Windows\system32\vqlcizu.exe 1148 "C:\Windows\SysWOW64\idtncdv.exe"
1⤵
PID:5800
- C:\Windows\SysWOW64\idcsndb.exe
  C:\Windows\system32\idcsndb.exe 1148 "C:\Windows\SysWOW64\vqlcizu.exe"
  2⤵
  PID:5872

C:\Windows\SysWOW64\tntimgf.exe
C:\Windows\system32\tntimgf.exe 1148 "C:\Windows\SysWOW64\fabsgkg.exe"
1⤵
PID:5204
- C:\Windows\SysWOW64\gakgskl.exe
  C:\Windows\system32\gakgskl.exe 1148 "C:\Windows\SysWOW64\tntimgf.exe"
  2⤵
  PID:5124
- - C:\Windows\SysWOW64\gakgskl.exe
    C:\Windows\system32\gakgskl.exe 1148 "C:\Windows\SysWOW64\tntimgf.exe"
    3⤵
    PID:3140
  - - C:\Windows\SysWOW64\qlainns.exe
      C:\Windows\system32\qlainns.exe 1148 "C:\Windows\SysWOW64\gakgskl.exe"
      4⤵
      PID:5208
    - - C:\Windows\SysWOW64\dxakcnl.exe
        
        C:\Windows\system32\dxakcnl.exe 1148 "C:\Windows\SysWOW64\pnchznl.exe"
        5⤵
        
        PID:3216
      - C:\Windows\SysWOW64\qndnkvq.exe
        
        C:\Windows\system32\qndnkvq.exe 1152 "C:\Windows\SysWOW64\dxakcnl.exe"
        6⤵
        
        PID:3544
        
        C:\Windows\SysWOW64\qndnkvq.exe
        
        C:\Windows\system32\qndnkvq.exe 1152 "C:\Windows\SysWOW64\dxakcnl.exe"
        7⤵
        
        PID:3112
        
        C:\Windows\SysWOW64\dankqzp.exe
        
        C:\Windows\system32\dankqzp.exe 1144 "C:\Windows\SysWOW64\qndnkvq.exe"
        8⤵
        
        PID:6140

C:\Windows\SysWOW64\qlainns.exe
C:\Windows\system32\qlainns.exe 1148 "C:\Windows\SysWOW64\gakgskl.exe"
1⤵
PID:1928
- C:\Windows\SysWOW64\dyjgtrq.exe
  C:\Windows\system32\dyjgtrq.exe 1140 "C:\Windows\SysWOW64\qlainns.exe"
  2⤵
  PID:2640
- - C:\Windows\SysWOW64\hoapagk.exe
    C:\Windows\system32\hoapagk.exe 1156 "C:\Windows\SysWOW64\ubizucm.exe"
    3⤵
    PID:4024
  - - C:\Windows\SysWOW64\ubrmgkj.exe
      C:\Windows\system32\ubrmgkj.exe 1140 "C:\Windows\SysWOW64\hoapagk.exe"
      4⤵
      PID:5816
    - - C:\Windows\SysWOW64\ubrmgkj.exe
        
        C:\Windows\system32\ubrmgkj.exe 1140 "C:\Windows\SysWOW64\hoapagk.exe"
        5⤵
        
        PID:1112
      - C:\Windows\SysWOW64\iobclgi.exe
        
        C:\Windows\system32\iobclgi.exe 1148 "C:\Windows\SysWOW64\ubrmgkj.exe"
        6⤵
        
        PID:5208
        
        C:\Windows\SysWOW64\iobclgi.exe
        
        C:\Windows\system32\iobclgi.exe 1148 "C:\Windows\SysWOW64\ubrmgkj.exe"
        7⤵
        
        PID:5020
        
        C:\Windows\SysWOW64\szqmzjo.exe
        
        C:\Windows\system32\szqmzjo.exe 1148 "C:\Windows\SysWOW64\iobclgi.exe"
        8⤵
        
        PID:3684

C:\Windows\SysWOW64\dyjgtrq.exe
C:\Windows\system32\dyjgtrq.exe 1140 "C:\Windows\SysWOW64\qlainns.exe"
1⤵
PID:5380
- C:\Windows\SysWOW64\qlbvzvp.exe
  C:\Windows\system32\qlbvzvp.exe 1148 "C:\Windows\SysWOW64\dyjgtrq.exe"
  2⤵
  PID:3976
- - C:\Windows\SysWOW64\qlbvzvp.exe
    C:\Windows\system32\qlbvzvp.exe 1148 "C:\Windows\SysWOW64\dyjgtrq.exe"
    3⤵
    PID:5596
  - - C:\Windows\SysWOW64\dyklfqo.exe
      C:\Windows\system32\dyklfqo.exe 1148 "C:\Windows\SysWOW64\qlbvzvp.exe"
      4⤵
      PID:5348
    - - C:\Windows\SysWOW64\dyklfqo.exe
        
        C:\Windows\system32\dyklfqo.exe 1148 "C:\Windows\SysWOW64\qlbvzvp.exe"
        5⤵
        
        PID:5500
      - C:\Windows\SysWOW64\niivsuc.exe
        
        C:\Windows\system32\niivsuc.exe 1148 "C:\Windows\SysWOW64\dyklfqo.exe"
        6⤵
        
        PID:5584
        
        C:\Windows\SysWOW64\niivsuc.exe
        
        C:\Windows\system32\niivsuc.exe 1148 "C:\Windows\SysWOW64\dyklfqo.exe"
        7⤵
        
        PID:4252
        
        C:\Windows\SysWOW64\avrlyxb.exe
        
        C:\Windows\system32\avrlyxb.exe 1148 "C:\Windows\SysWOW64\niivsuc.exe"
        8⤵
        
        PID:5664
        
        C:\Windows\SysWOW64\avrlyxb.exe
        
        C:\Windows\system32\avrlyxb.exe 1148 "C:\Windows\SysWOW64\niivsuc.exe"
        9⤵
        
        PID:5600
        
        C:\Windows\SysWOW64\kuejqwj.exe
        
        C:\Windows\system32\kuejqwj.exe 1152 "C:\Windows\SysWOW64\avrlyxb.exe"
        10⤵
        
        PID:116
        
        C:\Windows\SysWOW64\kuejqwj.exe
        
        C:\Windows\system32\kuejqwj.exe 1152 "C:\Windows\SysWOW64\avrlyxb.exe"
        11⤵
        
        PID:5856
        
        C:\Windows\SysWOW64\yhnywah.exe
        
        C:\Windows\system32\yhnywah.exe 1152 "C:\Windows\SysWOW64\kuejqwj.exe"
        12⤵
        
        PID:5884
        
        C:\Windows\SysWOW64\yhnywah.exe
        
        C:\Windows\system32\yhnywah.exe 1152 "C:\Windows\SysWOW64\kuejqwj.exe"
        13⤵
        
        PID:5868
        
        C:\Windows\SysWOW64\idordui.exe
        
        C:\Windows\system32\idordui.exe 1156 "C:\Windows\SysWOW64\yhnywah.exe"
        14⤵
        
        PID:5916
        
        C:\Windows\SysWOW64\idordui.exe
        
        C:\Windows\system32\idordui.exe 1156 "C:\Windows\SysWOW64\yhnywah.exe"
        15⤵
        
        PID:5808
        
        C:\Windows\SysWOW64\vqfgjyh.exe
        
        C:\Windows\system32\vqfgjyh.exe 1148 "C:\Windows\SysWOW64\idordui.exe"
        16⤵
        
        PID:5992
        
        C:\Windows\SysWOW64\vqfgjyh.exe
        
        C:\Windows\system32\vqfgjyh.exe 1148 "C:\Windows\SysWOW64\idordui.exe"
        17⤵
        
        PID:5740
        
        C:\Windows\SysWOW64\fxkeupo.exe
        
        C:\Windows\system32\fxkeupo.exe 1148 "C:\Windows\SysWOW64\vqfgjyh.exe"
        18⤵
        
        PID:4128
        
        C:\Windows\SysWOW64\fxkeupo.exe
        
        C:\Windows\system32\fxkeupo.exe 1148 "C:\Windows\SysWOW64\vqfgjyh.exe"
        19⤵
        
        PID:3020
        
        C:\Windows\SysWOW64\tzqpxpo.exe
        
        C:\Windows\system32\tzqpxpo.exe 1148 "C:\Windows\SysWOW64\fxkeupo.exe"
        20⤵
        
        PID:632
        
        C:\Windows\SysWOW64\tzqpxpo.exe
        
        C:\Windows\system32\tzqpxpo.exe 1148 "C:\Windows\SysWOW64\fxkeupo.exe"
        21⤵
        
        PID:804
        
        C:\Windows\SysWOW64\djfrssv.exe
        
        C:\Windows\system32\djfrssv.exe 1148 "C:\Windows\SysWOW64\tzqpxpo.exe"
        22⤵
        
        PID:2236
        
        C:\Windows\SysWOW64\djfrssv.exe
        
        C:\Windows\system32\djfrssv.exe 1148 "C:\Windows\SysWOW64\tzqpxpo.exe"
        23⤵
        
        PID:3880
        
        C:\Windows\SysWOW64\qtmcvrv.exe
        
        C:\Windows\system32\qtmcvrv.exe 1152 "C:\Windows\SysWOW64\djfrssv.exe"
        24⤵
        
        PID:5212
        
        C:\Windows\SysWOW64\qtmcvrv.exe
        
        C:\Windows\system32\qtmcvrv.exe 1152 "C:\Windows\SysWOW64\djfrssv.exe"
        25⤵
        
        PID:1456
        
        C:\Windows\SysWOW64\asqzfqc.exe
        
        C:\Windows\system32\asqzfqc.exe 1148 "C:\Windows\SysWOW64\qtmcvrv.exe"
        26⤵
        
        PID:5092
        
        C:\Windows\SysWOW64\rzmjboj.exe
        
        C:\Windows\system32\rzmjboj.exe 1144 "C:\Windows\SysWOW64\emctvkc.exe"
        15⤵
        
        PID:4920
        
        C:\Windows\SysWOW64\bkjtorq.exe
        
        C:\Windows\system32\bkjtorq.exe 1128 "C:\Windows\SysWOW64\rzmjboj.exe"
        16⤵
        
        PID:2656
        
        C:\Windows\SysWOW64\bkjtorq.exe
        
        C:\Windows\system32\bkjtorq.exe 1128 "C:\Windows\SysWOW64\rzmjboj.exe"
        17⤵
        
        PID:4888
        
        C:\Windows\SysWOW64\oxtjuno.exe
        
        C:\Windows\system32\oxtjuno.exe 1152 "C:\Windows\SysWOW64\bkjtorq.exe"
        18⤵
        
        PID:220
        
        C:\Windows\SysWOW64\oxtjuno.exe
        
        C:\Windows\system32\oxtjuno.exe 1152 "C:\Windows\SysWOW64\bkjtorq.exe"
        19⤵
        
        PID:1520
        
        C:\Windows\SysWOW64\ywfgmmw.exe
        
        C:\Windows\system32\ywfgmmw.exe 1120 "C:\Windows\SysWOW64\oxtjuno.exe"
        20⤵
        
        PID:6040
        
        C:\Windows\SysWOW64\ywfgmmw.exe
        
        C:\Windows\system32\ywfgmmw.exe 1120 "C:\Windows\SysWOW64\oxtjuno.exe"
        21⤵
        
        PID:4940
        
        C:\Windows\SysWOW64\ljpwspv.exe
        
        C:\Windows\system32\ljpwspv.exe 1148 "C:\Windows\SysWOW64\ywfgmmw.exe"
        22⤵
        
        PID:2328
        
        C:\Windows\SysWOW64\ljpwspv.exe
        
        C:\Windows\system32\ljpwspv.exe 1148 "C:\Windows\SysWOW64\ywfgmmw.exe"
        23⤵
        
        PID:860
        
        C:\Windows\SysWOW64\yeglytt.exe
        
        C:\Windows\system32\yeglytt.exe 1152 "C:\Windows\SysWOW64\ljpwspv.exe"
        24⤵
        
        PID:5308
        
        C:\Windows\SysWOW64\yeglytt.exe
        
        C:\Windows\system32\yeglytt.exe 1152 "C:\Windows\SysWOW64\ljpwspv.exe"
        25⤵
        
        PID:4848
        
        C:\Windows\SysWOW64\lrqjexs.exe
        
        C:\Windows\system32\lrqjexs.exe 1148 "C:\Windows\SysWOW64\yeglytt.exe"
        26⤵
        
        PID:624
        
        C:\Windows\SysWOW64\fmjhqvt.exe
        
        C:\Windows\system32\fmjhqvt.exe 1152 "C:\Windows\SysWOW64\szzskru.exe"
        19⤵
        
        PID:2640
        
        C:\Windows\SysWOW64\pwyslqz.exe
        
        C:\Windows\system32\pwyslqz.exe 1148 "C:\Windows\SysWOW64\fmjhqvt.exe"
        20⤵
        
        PID:1404
        
        C:\Windows\SysWOW64\pwyslqz.exe
        
        C:\Windows\system32\pwyslqz.exe 1148 "C:\Windows\SysWOW64\fmjhqvt.exe"
        21⤵
        
        PID:4788
        
        C:\Windows\SysWOW64\cjqirtg.exe
        
        C:\Windows\system32\cjqirtg.exe 1156 "C:\Windows\SysWOW64\pwyslqz.exe"
        22⤵
        
        PID:4468
        
        C:\Windows\SysWOW64\cjqirtg.exe
        
        C:\Windows\system32\cjqirtg.exe 1156 "C:\Windows\SysWOW64\pwyslqz.exe"
        23⤵
        
        PID:3292
        
        C:\Windows\SysWOW64\pwhxxxf.exe
        
        C:\Windows\system32\pwhxxxf.exe 1156 "C:\Windows\SysWOW64\cjqirtg.exe"
        24⤵
        
        PID:3496
        
        C:\Windows\SysWOW64\pwhxxxf.exe
        
        C:\Windows\system32\pwhxxxf.exe 1156 "C:\Windows\SysWOW64\cjqirtg.exe"
        25⤵
        
        PID:2300
        
        C:\Windows\SysWOW64\cjrvdbd.exe
        
        C:\Windows\system32\cjrvdbd.exe 1148 "C:\Windows\SysWOW64\pwhxxxf.exe"
        26⤵
        
        PID:2976
        
        C:\Windows\SysWOW64\cjrvdbd.exe
        
        C:\Windows\system32\cjrvdbd.exe 1148 "C:\Windows\SysWOW64\pwhxxxf.exe"
        27⤵
        
        PID:3684
        
        C:\Windows\SysWOW64\nidsnal.exe
        
        C:\Windows\system32\nidsnal.exe 1152 "C:\Windows\SysWOW64\cjrvdbd.exe"
        28⤵
        
        PID:220
        
        C:\Windows\SysWOW64\nidsnal.exe
        
        C:\Windows\system32\nidsnal.exe 1152 "C:\Windows\SysWOW64\cjrvdbd.exe"
        29⤵
        
        PID:684
        
        C:\Windows\SysWOW64\adnitwk.exe
        
        C:\Windows\system32\adnitwk.exe 1140 "C:\Windows\SysWOW64\nidsnal.exe"
        30⤵
        
        PID:4460
        
        C:\Windows\SysWOW64\nqeyzai.exe
        
        C:\Windows\system32\nqeyzai.exe 1148 "C:\Windows\SysWOW64\adnitwk.exe"
        31⤵
        
        PID:4468
        
        C:\Windows\SysWOW64\xtuiudp.exe
        
        C:\Windows\system32\xtuiudp.exe 1148 "C:\Windows\SysWOW64\nqeyzai.exe"
        32⤵
        
        PID:3292
        
        C:\Windows\SysWOW64\xtuiudp.exe
        
        C:\Windows\system32\xtuiudp.exe 1148 "C:\Windows\SysWOW64\nqeyzai.exe"
        33⤵
        
        PID:6164
        
        C:\Windows\SysWOW64\krolclu.exe
        
        C:\Windows\system32\krolclu.exe 1148 "C:\Windows\SysWOW64\xtuiudp.exe"
        34⤵
        
        PID:6384
        
        C:\Windows\SysWOW64\krolclu.exe
        
        C:\Windows\system32\krolclu.exe 1148 "C:\Windows\SysWOW64\xtuiudp.exe"
        35⤵
        
        PID:6408
        
        C:\Windows\SysWOW64\xbvofku.exe
        
        C:\Windows\system32\xbvofku.exe 1148 "C:\Windows\SysWOW64\krolclu.exe"
        36⤵
        
        PID:6476
        
        C:\Windows\SysWOW64\noiacui.exe
        
        C:\Windows\system32\noiacui.exe 1148 "C:\Windows\SysWOW64\aqnxumd.exe"
        17⤵
        Executes dropped EXE
        Suspicious use of SetThreadContext
        Suspicious use of WriteProcessMemory
        
        PID:4428
        
        C:\Windows\SysWOW64\bbzpqyh.exe
        
        C:\Windows\system32\bbzpqyh.exe 1148 "C:\Windows\SysWOW64\noiacui.exe"
        18⤵
        
        PID:2976
        
        C:\Windows\SysWOW64\bbzpqyh.exe
        
        C:\Windows\system32\bbzpqyh.exe 1148 "C:\Windows\SysWOW64\noiacui.exe"
        19⤵
        
        PID:2036
        
        C:\Windows\SysWOW64\oojnwug.exe
        
        C:\Windows\system32\oojnwug.exe 1148 "C:\Windows\SysWOW64\bbzpqyh.exe"
        20⤵
        
        PID:4740
        
        C:\Windows\SysWOW64\oojnwug.exe
        
        C:\Windows\system32\oojnwug.exe 1148 "C:\Windows\SysWOW64\bbzpqyh.exe"
        21⤵
        
        PID:5936
        
        C:\Windows\SysWOW64\yzgpjxu.exe
        
        C:\Windows\system32\yzgpjxu.exe 1152 "C:\Windows\SysWOW64\oojnwug.exe"
        22⤵
        
        PID:380
        
        C:\Windows\SysWOW64\yzgpjxu.exe
        
        C:\Windows\system32\yzgpjxu.exe 1152 "C:\Windows\SysWOW64\oojnwug.exe"
        23⤵
        
        PID:2648
        
        C:\Windows\SysWOW64\lmqnpbt.exe
        
        C:\Windows\system32\lmqnpbt.exe 1148 "C:\Windows\SysWOW64\yzgpjxu.exe"
        24⤵
        
        PID:5660
        
        C:\Windows\SysWOW64\kwvcznr.exe
        
        C:\Windows\system32\kwvcznr.exe 1156 "C:\Windows\SysWOW64\xjdetjt.exe"
        13⤵
        
        PID:4264
        
        C:\Windows\SysWOW64\xjmsnrq.exe
        
        C:\Windows\system32\xjmsnrq.exe 1148 "C:\Windows\SysWOW64\kwvcznr.exe"
        14⤵
        
        PID:6036
        
        C:\Windows\SysWOW64\xjmsnrq.exe
        
        C:\Windows\system32\xjmsnrq.exe 1148 "C:\Windows\SysWOW64\kwvcznr.exe"
        15⤵
        
        PID:5552
        
        C:\Windows\SysWOW64\kwwitvp.exe
        
        C:\Windows\system32\kwwitvp.exe 1148 "C:\Windows\SysWOW64\xjmsnrq.exe"
        16⤵
        
        PID:1360
        
        C:\Windows\SysWOW64\odmdhbd.exe
        
        C:\Windows\system32\odmdhbd.exe 1148 "C:\Windows\SysWOW64\esxtmxx.exe"
        7⤵
        
        PID:4716
        
        C:\Windows\SysWOW64\bqetnwk.exe
        
        C:\Windows\system32\bqetnwk.exe 1148 "C:\Windows\SysWOW64\odmdhbd.exe"
        8⤵
        
        PID:6092
        
        C:\Windows\SysWOW64\bqetnwk.exe
        
        C:\Windows\system32\bqetnwk.exe 1148 "C:\Windows\SysWOW64\odmdhbd.exe"
        9⤵
        
        PID:1772
        
        C:\Windows\SysWOW64\odnjsaj.exe
        
        C:\Windows\system32\odnjsaj.exe 1148 "C:\Windows\SysWOW64\bqetnwk.exe"
        10⤵
        
        PID:2312
        
        C:\Windows\SysWOW64\bhtkvew.exe
        
        C:\Windows\system32\bhtkvew.exe 1152 "C:\Windows\SysWOW64\oubupax.exe"
        11⤵
        
        PID:3292
        
        C:\Windows\SysWOW64\oucabhu.exe
        
        C:\Windows\system32\oucabhu.exe 1148 "C:\Windows\SysWOW64\bhtkvew.exe"
        12⤵
        
        PID:2956

C:\Windows\SysWOW64\asqzfqc.exe
C:\Windows\system32\asqzfqc.exe 1148 "C:\Windows\SysWOW64\qtmcvrv.exe"
1⤵
PID:5320
- C:\Windows\SysWOW64\nfhplub.exe
  C:\Windows\system32\nfhplub.exe 1148 "C:\Windows\SysWOW64\asqzfqc.exe"
  2⤵
  PID:5376

C:\Windows\SysWOW64\nfhplub.exe
C:\Windows\system32\nfhplub.exe 1148 "C:\Windows\SysWOW64\asqzfqc.exe"
1⤵
PID:4760
- C:\Windows\SysWOW64\aszfrya.exe
  C:\Windows\system32\aszfrya.exe 1148 "C:\Windows\SysWOW64\nfhplub.exe"
  2⤵
  PID:5484
- - C:\Windows\SysWOW64\aszfrya.exe
    C:\Windows\system32\aszfrya.exe 1148 "C:\Windows\SysWOW64\nfhplub.exe"
    3⤵
    PID:5644
  - - C:\Windows\SysWOW64\kcopmtg.exe
      C:\Windows\system32\kcopmtg.exe 1148 "C:\Windows\SysWOW64\aszfrya.exe"
      4⤵
      PID:5272
    - - C:\Windows\SysWOW64\kcopmtg.exe
        
        C:\Windows\system32\kcopmtg.exe 1148 "C:\Windows\SysWOW64\aszfrya.exe"
        5⤵
        
        PID:5516
      - C:\Windows\SysWOW64\xpyfsxf.exe
        
        C:\Windows\system32\xpyfsxf.exe 1148 "C:\Windows\SysWOW64\kcopmtg.exe"
        6⤵
        
        PID:5744
        
        C:\Windows\SysWOW64\xpyfsxf.exe
        
        C:\Windows\system32\xpyfsxf.exe 1148 "C:\Windows\SysWOW64\kcopmtg.exe"
        7⤵
        
        PID:5768
        
        C:\Windows\SysWOW64\lzepvwf.exe
        
        C:\Windows\system32\lzepvwf.exe 1148 "C:\Windows\SysWOW64\xpyfsxf.exe"
        8⤵
        
        PID:5672
        
        C:\Windows\SysWOW64\lzepvwf.exe
        
        C:\Windows\system32\lzepvwf.exe 1148 "C:\Windows\SysWOW64\xpyfsxf.exe"
        9⤵
        
        PID:5784
        
        C:\Windows\SysWOW64\vjtaizl.exe
        
        C:\Windows\system32\vjtaizl.exe 1148 "C:\Windows\SysWOW64\lzepvwf.exe"
        10⤵
        
        PID:5680

C:\Windows\SysWOW64\iwlpods.exe
C:\Windows\system32\iwlpods.exe 1168 "C:\Windows\SysWOW64\vjtaizl.exe"
1⤵
PID:6052
- C:\Windows\SysWOW64\vjdfuzr.exe
  C:\Windows\system32\vjdfuzr.exe 1148 "C:\Windows\SysWOW64\iwlpods.exe"
  2⤵
  PID:4128
- - C:\Windows\SysWOW64\vjdfuzr.exe
    C:\Windows\system32\vjdfuzr.exe 1148 "C:\Windows\SysWOW64\iwlpods.exe"
    3⤵
    PID:5724
  - - C:\Windows\SysWOW64\iwmvzdp.exe
      C:\Windows\system32\iwmvzdp.exe 1148 "C:\Windows\SysWOW64\vjdfuzr.exe"
      4⤵
      PID:4240
    - - C:\Windows\SysWOW64\iwmvzdp.exe
        
        C:\Windows\system32\iwmvzdp.exe 1148 "C:\Windows\SysWOW64\vjdfuzr.exe"
        5⤵
        
        PID:3252
      - C:\Windows\SysWOW64\szbfvgw.exe
        
        C:\Windows\system32\szbfvgw.exe 1148 "C:\Windows\SysWOW64\iwmvzdp.exe"
        6⤵
        
        PID:5196
        
        C:\Windows\SysWOW64\uhlsgqd.exe
        
        C:\Windows\system32\uhlsgqd.exe 1148 "C:\Windows\SysWOW64\kwwitvp.exe"
        7⤵
        
        PID:4276
        
        C:\Windows\SysWOW64\iudimuc.exe
        
        C:\Windows\system32\iudimuc.exe 1148 "C:\Windows\SysWOW64\uhlsgqd.exe"
        8⤵
        
        PID:4668
        
        C:\Windows\SysWOW64\iudimuc.exe
        
        C:\Windows\system32\iudimuc.exe 1148 "C:\Windows\SysWOW64\uhlsgqd.exe"
        9⤵
        
        PID:5364
        
        C:\Windows\SysWOW64\vejkptc.exe
        
        C:\Windows\system32\vejkptc.exe 1140 "C:\Windows\SysWOW64\iudimuc.exe"
        10⤵
        
        PID:5400
        
        C:\Windows\SysWOW64\vejkptc.exe
        
        C:\Windows\system32\vejkptc.exe 1140 "C:\Windows\SysWOW64\iudimuc.exe"
        11⤵
        
        PID:3832
        
        C:\Windows\SysWOW64\fgyvcwi.exe
        
        C:\Windows\system32\fgyvcwi.exe 1148 "C:\Windows\SysWOW64\vejkptc.exe"
        12⤵
        
        PID:5376
        
        C:\Windows\SysWOW64\fgyvcwi.exe
        
        C:\Windows\system32\fgyvcwi.exe 1148 "C:\Windows\SysWOW64\vejkptc.exe"
        13⤵
        
        PID:3976
        
        C:\Windows\SysWOW64\sbqtqah.exe
        
        C:\Windows\system32\sbqtqah.exe 1148 "C:\Windows\SysWOW64\fgyvcwi.exe"
        14⤵
        
        PID:5876
        
        C:\Windows\SysWOW64\sbqtqah.exe
        
        C:\Windows\system32\sbqtqah.exe 1148 "C:\Windows\SysWOW64\fgyvcwi.exe"
        15⤵
        
        PID:5832
        
        C:\Windows\SysWOW64\cauqazp.exe
        
        C:\Windows\system32\cauqazp.exe 1148 "C:\Windows\SysWOW64\sbqtqah.exe"
        16⤵
        
        PID:5352
        
        C:\Windows\SysWOW64\cauqazp.exe
        
        C:\Windows\system32\cauqazp.exe 1148 "C:\Windows\SysWOW64\sbqtqah.exe"
        17⤵
        
        PID:6136
        
        C:\Windows\SysWOW64\sbryban.exe
        
        C:\Windows\system32\sbryban.exe 1148 "C:\Windows\SysWOW64\cauqazp.exe"
        18⤵
        
        PID:3048

C:\Windows\SysWOW64\szbfvgw.exe
C:\Windows\system32\szbfvgw.exe 1148 "C:\Windows\SysWOW64\iwmvzdp.exe"
1⤵
PID:4464
- C:\Windows\SysWOW64\futvakd.exe
  C:\Windows\system32\futvakd.exe 1148 "C:\Windows\SysWOW64\szbfvgw.exe"
  2⤵
  PID:1164
- - C:\Windows\SysWOW64\futvakd.exe
    C:\Windows\system32\futvakd.exe 1148 "C:\Windows\SysWOW64\szbfvgw.exe"
    3⤵
    PID:5264
  - - C:\Windows\SysWOW64\thltgob.exe
      C:\Windows\system32\thltgob.exe 1152 "C:\Windows\SysWOW64\futvakd.exe"
      4⤵
      PID:5376
    - - C:\Windows\SysWOW64\thltgob.exe
        
        C:\Windows\system32\thltgob.exe 1152 "C:\Windows\SysWOW64\futvakd.exe"
        5⤵
        
        PID:5420
      - C:\Windows\SysWOW64\guuimja.exe
        
        C:\Windows\system32\guuimja.exe 1148 "C:\Windows\SysWOW64\thltgob.exe"
        6⤵
        
        PID:3700

C:\Windows\SysWOW64\guuimja.exe
C:\Windows\system32\guuimja.exe 1148 "C:\Windows\SysWOW64\thltgob.exe"
1⤵
PID:5436
- C:\Windows\SysWOW64\qxjtzng.exe
  C:\Windows\system32\qxjtzng.exe 1144 "C:\Windows\SysWOW64\guuimja.exe"
  2⤵
  PID:1280
- - C:\Windows\SysWOW64\qxjtzng.exe
    C:\Windows\system32\qxjtzng.exe 1144 "C:\Windows\SysWOW64\guuimja.exe"
    3⤵
    PID:5544
  - - C:\Windows\SysWOW64\dsbjfqf.exe
      C:\Windows\system32\dsbjfqf.exe 1148 "C:\Windows\SysWOW64\qxjtzng.exe"
      4⤵
      PID:5828
- - C:\Windows\SysWOW64\kadupgp.exe
    C:\Windows\system32\kadupgp.exe 1152 "C:\Windows\SysWOW64\axojudb.exe"
    3⤵
    PID:6048
  - - C:\Windows\SysWOW64\xnvjvko.exe
      C:\Windows\system32\xnvjvko.exe 1148 "C:\Windows\SysWOW64\kadupgp.exe"
      4⤵
      PID:5032

C:\Windows\SysWOW64\dsbjfqf.exe
C:\Windows\system32\dsbjfqf.exe 1148 "C:\Windows\SysWOW64\qxjtzng.exe"
1⤵
PID:5520
- C:\Windows\SysWOW64\nrfgxpn.exe
  C:\Windows\system32\nrfgxpn.exe 1148 "C:\Windows\SysWOW64\dsbjfqf.exe"
  2⤵
  PID:3232
- - C:\Windows\SysWOW64\nrfgxpn.exe
    C:\Windows\system32\nrfgxpn.exe 1148 "C:\Windows\SysWOW64\dsbjfqf.exe"
    3⤵
    PID:2972
  - - C:\Windows\SysWOW64\aexwdtl.exe
      C:\Windows\system32\aexwdtl.exe 1140 "C:\Windows\SysWOW64\nrfgxpn.exe"
      4⤵
      PID:440
    - - C:\Windows\SysWOW64\aexwdtl.exe
        
        C:\Windows\system32\aexwdtl.exe 1140 "C:\Windows\SysWOW64\nrfgxpn.exe"
        5⤵
        
        PID:5944
      - C:\Windows\SysWOW64\nroljps.exe
        
        C:\Windows\system32\nroljps.exe 1148 "C:\Windows\SysWOW64\aexwdtl.exe"
        6⤵
        
        PID:5988
- - C:\Windows\SysWOW64\xzxbgqo.exe
    C:\Windows\system32\xzxbgqo.exe 1148 "C:\Windows\SysWOW64\nwhrtna.exe"
    3⤵
    PID:5880
  - - C:\Windows\SysWOW64\kugrmun.exe
      C:\Windows\system32\kugrmun.exe 1140 "C:\Windows\SysWOW64\xzxbgqo.exe"
      4⤵
      PID:2284
    - - C:\Windows\SysWOW64\sfaqjtd.exe
        
        C:\Windows\system32\sfaqjtd.exe 1148 "C:\Windows\SysWOW64\fsiaexe.exe"
        5⤵
        
        PID:4856
      - C:\Windows\SysWOW64\cppaxwj.exe
        
        C:\Windows\system32\cppaxwj.exe 1156 "C:\Windows\SysWOW64\sfaqjtd.exe"
        6⤵
        
        PID:4928

C:\Windows\SysWOW64\nroljps.exe
C:\Windows\system32\nroljps.exe 1148 "C:\Windows\SysWOW64\aexwdtl.exe"
1⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Suspicious use of WriteProcessMemory
PID:2900
- C:\Windows\SysWOW64\aeyjptr.exe
  C:\Windows\system32\aeyjptr.exe 1140 "C:\Windows\SysWOW64\nroljps.exe"
  2⤵
  PID:1292
- - C:\Windows\SysWOW64\aeyjptr.exe
    C:\Windows\system32\aeyjptr.exe 1140 "C:\Windows\SysWOW64\nroljps.exe"
    3⤵
    PID:5016
  - - C:\Windows\SysWOW64\konlcwx.exe
      C:\Windows\system32\konlcwx.exe 1156 "C:\Windows\SysWOW64\aeyjptr.exe"
      4⤵
      PID:5156
    - - C:\Windows\SysWOW64\konlcwx.exe
        
        C:\Windows\system32\konlcwx.exe 1156 "C:\Windows\SysWOW64\aeyjptr.exe"
        5⤵
        
        PID:3036
      - C:\Windows\SysWOW64\xbfjiaw.exe
        
        C:\Windows\system32\xbfjiaw.exe 1148 "C:\Windows\SysWOW64\konlcwx.exe"
        6⤵
        
        PID:828
        
        C:\Windows\SysWOW64\eywkpmy.exe
        
        C:\Windows\system32\eywkpmy.exe 1140 "C:\Windows\SysWOW64\rlemjia.exe"
        7⤵
        
        PID:4632
        
        C:\Windows\SysWOW64\oxihzlg.exe
        
        C:\Windows\system32\oxihzlg.exe 1148 "C:\Windows\SysWOW64\eywkpmy.exe"
        8⤵
        
        PID:5548
        
        C:\Windows\SysWOW64\oxihzlg.exe
        
        C:\Windows\system32\oxihzlg.exe 1148 "C:\Windows\SysWOW64\eywkpmy.exe"
        9⤵
        
        PID:4296
        
        C:\Windows\SysWOW64\bvdkitm.exe
        
        C:\Windows\system32\bvdkitm.exe 1148 "C:\Windows\SysWOW64\oxihzlg.exe"
        10⤵
        
        PID:2992
        
        C:\Windows\SysWOW64\bvdkitm.exe
        
        C:\Windows\system32\bvdkitm.exe 1148 "C:\Windows\SysWOW64\oxihzlg.exe"
        11⤵
        
        PID:3532
        
        C:\Windows\SysWOW64\pimzwpk.exe
        
        C:\Windows\system32\pimzwpk.exe 1140 "C:\Windows\SysWOW64\bvdkitm.exe"
        12⤵
        
        PID:6112
        
        C:\Windows\SysWOW64\rejbqie.exe
        
        C:\Windows\system32\rejbqie.exe 1152 "C:\Windows\SysWOW64\errelex.exe"
        9⤵
        
        PID:5492
        
        C:\Windows\SysWOW64\bpymmlk.exe
        
        C:\Windows\system32\bpymmlk.exe 1148 "C:\Windows\SysWOW64\rejbqie.exe"
        10⤵
        
        PID:6100
        
        C:\Windows\SysWOW64\bpymmlk.exe
        
        C:\Windows\system32\bpymmlk.exe 1148 "C:\Windows\SysWOW64\rejbqie.exe"
        11⤵
        
        PID:2452
        
        C:\Windows\SysWOW64\oyeoplk.exe
        
        C:\Windows\system32\oyeoplk.exe 1148 "C:\Windows\SysWOW64\bpymmlk.exe"
        12⤵
        
        PID:6104
        
        C:\Windows\SysWOW64\oyeoplk.exe
        
        C:\Windows\system32\oyeoplk.exe 1148 "C:\Windows\SysWOW64\bpymmlk.exe"
        13⤵
        
        PID:1056
        
        C:\Windows\SysWOW64\bpzrxlh.exe
        
        C:\Windows\system32\bpzrxlh.exe 1148 "C:\Windows\SysWOW64\oyeoplk.exe"
        14⤵
        
        PID:2036

C:\Windows\SysWOW64\xbfjiaw.exe
C:\Windows\system32\xbfjiaw.exe 1148 "C:\Windows\SysWOW64\konlcwx.exe"
1⤵
PID:3984
- C:\Windows\SysWOW64\lowzoev.exe
  C:\Windows\system32\lowzoev.exe 1148 "C:\Windows\SysWOW64\xbfjiaw.exe"
  2⤵
  PID:6132
- - C:\Windows\SysWOW64\lowzoev.exe
    C:\Windows\system32\lowzoev.exe 1148 "C:\Windows\SysWOW64\xbfjiaw.exe"
    3⤵
    PID:2968
  - - C:\Windows\SysWOW64\qbgptzc.exe
      C:\Windows\system32\qbgptzc.exe 1148 "C:\Windows\SysWOW64\lowzoev.exe"
      4⤵
      PID:5384

C:\Windows\SysWOW64\nzouggm.exe
C:\Windows\system32\nzouggm.exe 1140 "C:\Windows\SysWOW64\ameeakf.exe"
1⤵
PID:5844
- C:\Windows\SysWOW64\xjdetjt.exe
  C:\Windows\system32\xjdetjt.exe 1140 "C:\Windows\SysWOW64\nzouggm.exe"
  2⤵
  PID:5952
- - C:\Windows\SysWOW64\xjdetjt.exe
    C:\Windows\system32\xjdetjt.exe 1140 "C:\Windows\SysWOW64\nzouggm.exe"
    3⤵
    PID:736
  - - C:\Windows\SysWOW64\kwvcznr.exe
      C:\Windows\system32\kwvcznr.exe 1156 "C:\Windows\SysWOW64\xjdetjt.exe"
      4⤵
      PID:5884
    - - C:\Windows\SysWOW64\cehipdt.exe
        
        C:\Windows\system32\cehipdt.exe 1148 "C:\Windows\SysWOW64\sbryban.exe"
        5⤵
        
        PID:5200
      - C:\Windows\SysWOW64\qnnlscl.exe
        
        C:\Windows\system32\qnnlscl.exe 1148 "C:\Windows\SysWOW64\cehipdt.exe"
        6⤵
        
        PID:1120
        
        C:\Windows\SysWOW64\qnnlscl.exe
        
        C:\Windows\system32\qnnlscl.exe 1148 "C:\Windows\SysWOW64\cehipdt.exe"
        7⤵
        
        PID:3516
        
        C:\Windows\SysWOW64\dmioalq.exe
        
        C:\Windows\system32\dmioalq.exe 1148 "C:\Windows\SysWOW64\qnnlscl.exe"
        8⤵
        
        PID:632
        
        C:\Windows\SysWOW64\dmioalq.exe
        
        C:\Windows\system32\dmioalq.exe 1148 "C:\Windows\SysWOW64\qnnlscl.exe"
        9⤵
        
        PID:804
        
        C:\Windows\SysWOW64\qzzdggp.exe
        
        C:\Windows\system32\qzzdggp.exe 1148 "C:\Windows\SysWOW64\dmioalq.exe"
        10⤵
        
        PID:1060
        
        C:\Windows\SysWOW64\qzzdggp.exe
        
        C:\Windows\system32\qzzdggp.exe 1148 "C:\Windows\SysWOW64\dmioalq.exe"
        11⤵
        
        PID:3220
        
        C:\Windows\SysWOW64\abpobke.exe
        
        C:\Windows\system32\abpobke.exe 1144 "C:\Windows\SysWOW64\qzzdggp.exe"
        12⤵
        
        PID:2440
        
        C:\Windows\SysWOW64\abpobke.exe
        
        C:\Windows\system32\abpobke.exe 1144 "C:\Windows\SysWOW64\qzzdggp.exe"
        13⤵
        
        PID:2804
        
        C:\Windows\SysWOW64\nwyehnc.exe
        
        C:\Windows\system32\nwyehnc.exe 1148 "C:\Windows\SysWOW64\abpobke.exe"
        14⤵
        
        PID:2260

C:\Windows\SysWOW64\kwwitvp.exe
C:\Windows\system32\kwwitvp.exe 1148 "C:\Windows\SysWOW64\xjmsnrq.exe"
1⤵
PID:4896
- C:\Windows\SysWOW64\uhlsgqd.exe
  C:\Windows\system32\uhlsgqd.exe 1148 "C:\Windows\SysWOW64\kwwitvp.exe"
  2⤵
  PID:5196

C:\Windows\SysWOW64\sbryban.exe
C:\Windows\system32\sbryban.exe 1148 "C:\Windows\SysWOW64\cauqazp.exe"
1⤵
PID:3848
- C:\Windows\SysWOW64\cehipdt.exe
  C:\Windows\system32\cehipdt.exe 1148 "C:\Windows\SysWOW64\sbryban.exe"
  2⤵
  PID:5884
- - C:\Windows\SysWOW64\ztlpuaw.exe
    C:\Windows\system32\ztlpuaw.exe 1140 "C:\Windows\SysWOW64\mytapwx.exe"
    3⤵
    PID:5452
  - - C:\Windows\SysWOW64\eutklxc.exe
      C:\Windows\system32\eutklxc.exe 1152 "C:\Windows\SysWOW64\ztlpuaw.exe"
      4⤵
      PID:4400

C:\Windows\SysWOW64\kugrmun.exe
C:\Windows\system32\kugrmun.exe 1140 "C:\Windows\SysWOW64\xzxbgqo.exe"
1⤵
PID:5716
- C:\Windows\SysWOW64\utspetu.exe
  C:\Windows\system32\utspetu.exe 1148 "C:\Windows\SysWOW64\kugrmun.exe"
  2⤵
  PID:5936
- - C:\Windows\SysWOW64\utspetu.exe
    C:\Windows\system32\utspetu.exe 1148 "C:\Windows\SysWOW64\kugrmun.exe"
    3⤵
    PID:1120
  - - C:\Windows\SysWOW64\hgcekxt.exe
      C:\Windows\system32\hgcekxt.exe 1148 "C:\Windows\SysWOW64\utspetu.exe"
      4⤵
      PID:5324
    - - C:\Windows\SysWOW64\kwfddlw.exe
        
        C:\Windows\system32\kwfddlw.exe 1148 "C:\Windows\SysWOW64\xbonxhx.exe"
        5⤵
        
        PID:4908
      - C:\Windows\SysWOW64\xjpsjpu.exe
        
        C:\Windows\system32\xjpsjpu.exe 1152 "C:\Windows\SysWOW64\kwfddlw.exe"
        6⤵
        
        PID:2716
        
        C:\Windows\SysWOW64\xjpsjpu.exe
        
        C:\Windows\system32\xjpsjpu.exe 1152 "C:\Windows\SysWOW64\kwfddlw.exe"
        7⤵
        
        PID:1268
        
        C:\Windows\SysWOW64\hmedesj.exe
        
        C:\Windows\system32\hmedesj.exe 1152 "C:\Windows\SysWOW64\xjpsjpu.exe"
        8⤵
        
        PID:5428

C:\Windows\SysWOW64\hgcekxt.exe
C:\Windows\system32\hgcekxt.exe 1148 "C:\Windows\SysWOW64\utspetu.exe"
1⤵
PID:5124
- C:\Windows\SysWOW64\vttuqas.exe
  C:\Windows\system32\vttuqas.exe 1148 "C:\Windows\SysWOW64\hgcekxt.exe"
  2⤵
  PID:3044

C:\Windows\SysWOW64\vttuqas.exe
C:\Windows\system32\vttuqas.exe 1148 "C:\Windows\SysWOW64\hgcekxt.exe"
1⤵
PID:1060
- C:\Windows\SysWOW64\fsfraza.exe
  C:\Windows\system32\fsfraza.exe 1152 "C:\Windows\SysWOW64\vttuqas.exe"
  2⤵
  PID:5400
- - C:\Windows\SysWOW64\fsfraza.exe
    C:\Windows\system32\fsfraza.exe 1152 "C:\Windows\SysWOW64\vttuqas.exe"
    3⤵
    PID:5384
  - - C:\Windows\SysWOW64\sraujzx.exe
      C:\Windows\system32\sraujzx.exe 1148 "C:\Windows\SysWOW64\fsfraza.exe"
      4⤵
      PID:5652
    - - C:\Windows\SysWOW64\sraujzx.exe
        
        C:\Windows\system32\sraujzx.exe 1148 "C:\Windows\SysWOW64\fsfraza.exe"
        5⤵
        
        PID:5640
      - C:\Windows\SysWOW64\feksode.exe
        
        C:\Windows\system32\feksode.exe 1140 "C:\Windows\SysWOW64\sraujzx.exe"
        6⤵
        
        PID:5548

C:\Windows\SysWOW64\feksode.exe
C:\Windows\system32\feksode.exe 1140 "C:\Windows\SysWOW64\sraujzx.exe"
1⤵
PID:5348
- C:\Windows\SysWOW64\srbhuhd.exe
  C:\Windows\system32\srbhuhd.exe 1144 "C:\Windows\SysWOW64\feksode.exe"
  2⤵
  PID:4360
- - C:\Windows\SysWOW64\srbhuhd.exe
    C:\Windows\system32\srbhuhd.exe 1144 "C:\Windows\SysWOW64\feksode.exe"
    3⤵
    PID:5184
  - - C:\Windows\SysWOW64\fetxadb.exe
      C:\Windows\system32\fetxadb.exe 1148 "C:\Windows\SysWOW64\srbhuhd.exe"
      4⤵
      PID:5648

C:\Windows\SysWOW64\fetxadb.exe
C:\Windows\system32\fetxadb.exe 1148 "C:\Windows\SysWOW64\srbhuhd.exe"
1⤵
PID:5504
- C:\Windows\SysWOW64\poiivgi.exe
  C:\Windows\system32\poiivgi.exe 1148 "C:\Windows\SysWOW64\fetxadb.exe"
  2⤵
  PID:6088
- - C:\Windows\SysWOW64\poiivgi.exe
    C:\Windows\system32\poiivgi.exe 1148 "C:\Windows\SysWOW64\fetxadb.exe"
    3⤵
    PID:3616
  - - C:\Windows\SysWOW64\cbsxbko.exe
      C:\Windows\system32\cbsxbko.exe 1148 "C:\Windows\SysWOW64\poiivgi.exe"
      4⤵
      PID:5472
    - - C:\Windows\SysWOW64\cbsxbko.exe
        
        C:\Windows\system32\cbsxbko.exe 1148 "C:\Windows\SysWOW64\poiivgi.exe"
        5⤵
        
        PID:1292
      - C:\Windows\SysWOW64\pojnhon.exe
        
        C:\Windows\system32\pojnhon.exe 1148 "C:\Windows\SysWOW64\cbsxbko.exe"
        6⤵
        
        PID:4876
        
        C:\Windows\SysWOW64\ppoolpk.exe
        
        C:\Windows\system32\ppoolpk.exe 1148 "C:\Windows\SysWOW64\ffzeqmw.exe"
        7⤵
        
        PID:6044
        
        C:\Windows\SysWOW64\dzuropc.exe
        
        C:\Windows\system32\dzuropc.exe 1148 "C:\Windows\SysWOW64\ppoolpk.exe"
        8⤵
        
        PID:2940
        
        C:\Windows\SysWOW64\dzuropc.exe
        
        C:\Windows\system32\dzuropc.exe 1148 "C:\Windows\SysWOW64\ppoolpk.exe"
        9⤵
        
        PID:4400
        
        C:\Windows\SysWOW64\qpxuwxi.exe
        
        C:\Windows\system32\qpxuwxi.exe 1148 "C:\Windows\SysWOW64\dzuropc.exe"
        10⤵
        
        PID:1052
        
        C:\Windows\SysWOW64\qpxuwxi.exe
        
        C:\Windows\system32\qpxuwxi.exe 1148 "C:\Windows\SysWOW64\dzuropc.exe"
        11⤵
        
        PID:3780
        
        C:\Windows\SysWOW64\dchjctg.exe
        
        C:\Windows\system32\dchjctg.exe 1152 "C:\Windows\SysWOW64\qpxuwxi.exe"
        12⤵
        
        PID:3828
- - C:\Windows\SysWOW64\mosqsbi.exe
    C:\Windows\system32\mosqsbi.exe 1148 "C:\Windows\SysWOW64\zbiamxb.exe"
    3⤵
    PID:4080
  - - C:\Windows\SysWOW64\wypafeo.exe
      C:\Windows\system32\wypafeo.exe 1140 "C:\Windows\SysWOW64\mosqsbi.exe"
      4⤵
      PID:4820
    - - C:\Windows\SysWOW64\wypafeo.exe
        
        C:\Windows\system32\wypafeo.exe 1140 "C:\Windows\SysWOW64\mosqsbi.exe"
        5⤵
        
        PID:4412
      - C:\Windows\SysWOW64\jinlivo.exe
        
        C:\Windows\system32\jinlivo.exe 1148 "C:\Windows\SysWOW64\wypafeo.exe"
        6⤵
        
        PID:5556

C:\Windows\SysWOW64\pojnhon.exe
C:\Windows\system32\pojnhon.exe 1148 "C:\Windows\SysWOW64\cbsxbko.exe"
1⤵
PID:884
- C:\Windows\SysWOW64\dbbdnsm.exe
  C:\Windows\system32\dbbdnsm.exe 1148 "C:\Windows\SysWOW64\pojnhon.exe"
  2⤵
  PID:5248

C:\Windows\SysWOW64\dbbdnsm.exe
C:\Windows\system32\dbbdnsm.exe 1148 "C:\Windows\SysWOW64\pojnhon.exe"
1⤵
PID:2396
- C:\Windows\SysWOW64\kjodzhw.exe
  C:\Windows\system32\kjodzhw.exe 1148 "C:\Windows\SysWOW64\dbbdnsm.exe"
  2⤵
  PID:5752

C:\Windows\SysWOW64\kubvvla.exe
C:\Windows\system32\kubvvla.exe 1148 "C:\Windows\SysWOW64\xhrfppt.exe"
1⤵
PID:2828
- C:\Windows\SysWOW64\xhslbpz.exe
  C:\Windows\system32\xhslbpz.exe 1152 "C:\Windows\SysWOW64\kubvvla.exe"
  2⤵
  PID:1608

C:\Windows\SysWOW64\xhslbpz.exe
C:\Windows\system32\xhslbpz.exe 1152 "C:\Windows\SysWOW64\kubvvla.exe"
1⤵
PID:5708
- C:\Windows\SysWOW64\idlvjjz.exe
  C:\Windows\system32\idlvjjz.exe 1144 "C:\Windows\SysWOW64\xhslbpz.exe"
  2⤵
  PID:6060
- - C:\Windows\SysWOW64\idlvjjz.exe
    C:\Windows\system32\idlvjjz.exe 1144 "C:\Windows\SysWOW64\xhslbpz.exe"
    3⤵
    PID:5136
  - - C:\Windows\SysWOW64\utoyrsf.exe
      C:\Windows\system32\utoyrsf.exe 1152 "C:\Windows\SysWOW64\idlvjjz.exe"
      4⤵
      PID:380
- C:\Windows\SysWOW64\mxcuyui.exe
  C:\Windows\system32\mxcuyui.exe 1144 "C:\Windows\SysWOW64\zghrpml.exe"
  2⤵
  PID:1608
- - C:\Windows\SysWOW64\zktjdyp.exe
    C:\Windows\system32\zktjdyp.exe 1140 "C:\Windows\SysWOW64\mxcuyui.exe"
    3⤵
    PID:6092
  - - C:\Windows\SysWOW64\zktjdyp.exe
      C:\Windows\system32\zktjdyp.exe 1140 "C:\Windows\SysWOW64\mxcuyui.exe"
      4⤵
      PID:5352
    - - C:\Windows\SysWOW64\mfdzjto.exe
        
        C:\Windows\system32\mfdzjto.exe 1144 "C:\Windows\SysWOW64\zktjdyp.exe"
        5⤵
        
        PID:1056

C:\Windows\SysWOW64\utoyrsf.exe
C:\Windows\system32\utoyrsf.exe 1152 "C:\Windows\SysWOW64\idlvjjz.exe"
1⤵
PID:6108
- C:\Windows\SysWOW64\ioywxve.exe
  C:\Windows\system32\ioywxve.exe 1140 "C:\Windows\SysWOW64\utoyrsf.exe"
  2⤵
  PID:4292
- - C:\Windows\SysWOW64\ioywxve.exe
    C:\Windows\system32\ioywxve.exe 1140 "C:\Windows\SysWOW64\utoyrsf.exe"
    3⤵
    PID:4724
  - - C:\Windows\SysWOW64\vbpldrc.exe
      C:\Windows\system32\vbpldrc.exe 1152 "C:\Windows\SysWOW64\ioywxve.exe"
      4⤵
      PID:5804
    - - C:\Windows\SysWOW64\vbpldrc.exe
        
        C:\Windows\system32\vbpldrc.exe 1152 "C:\Windows\SysWOW64\ioywxve.exe"
        5⤵
        
        PID:4932
      - C:\Windows\SysWOW64\xeewyur.exe
        
        C:\Windows\system32\xeewyur.exe 1148 "C:\Windows\SysWOW64\vbpldrc.exe"
        6⤵
        
        PID:5696
        
        C:\Windows\SysWOW64\vunursg.exe
        
        C:\Windows\system32\vunursg.exe 1144 "C:\Windows\SysWOW64\lrqjexs.exe"
        7⤵
        
        PID:6104
        
        C:\Windows\SysWOW64\ihxjxwf.exe
        
        C:\Windows\system32\ihxjxwf.exe 1140 "C:\Windows\SysWOW64\vunursg.exe"
        8⤵
        
        PID:4068
        
        C:\Windows\SysWOW64\ihxjxwf.exe
        
        C:\Windows\system32\ihxjxwf.exe 1140 "C:\Windows\SysWOW64\vunursg.exe"
        9⤵
        
        PID:5680
        
        C:\Windows\SysWOW64\wqdmawf.exe
        
        C:\Windows\system32\wqdmawf.exe 1160 "C:\Windows\SysWOW64\ihxjxwf.exe"
        10⤵
        
        PID:5156
        
        C:\Windows\SysWOW64\wqdmawf.exe
        
        C:\Windows\system32\wqdmawf.exe 1160 "C:\Windows\SysWOW64\ihxjxwf.exe"
        11⤵
        
        PID:6092
        
        C:\Windows\SysWOW64\gbswvzm.exe
        
        C:\Windows\system32\gbswvzm.exe 1148 "C:\Windows\SysWOW64\wqdmawf.exe"
        12⤵
        
        PID:5248
        
        C:\Windows\SysWOW64\gbswvzm.exe
        
        C:\Windows\system32\gbswvzm.exe 1148 "C:\Windows\SysWOW64\wqdmawf.exe"
        13⤵
        
        PID:6016
        
        C:\Windows\SysWOW64\tkzhyym.exe
        
        C:\Windows\system32\tkzhyym.exe 1152 "C:\Windows\SysWOW64\gbswvzm.exe"
        14⤵
        
        PID:3420

C:\Windows\SysWOW64\xeewyur.exe
C:\Windows\system32\xeewyur.exe 1148 "C:\Windows\SysWOW64\vbpldrc.exe"
1⤵
PID:5900
- C:\Windows\SysWOW64\kolzbuj.exe
  C:\Windows\system32\kolzbuj.exe 1140 "C:\Windows\SysWOW64\xeewyur.exe"
  2⤵
  PID:1640
- - C:\Windows\SysWOW64\kolzbuj.exe
    C:\Windows\system32\kolzbuj.exe 1140 "C:\Windows\SysWOW64\xeewyur.exe"
    3⤵
    PID:5260
  - - C:\Windows\SysWOW64\uyajoxx.exe
      C:\Windows\system32\uyajoxx.exe 1140 "C:\Windows\SysWOW64\kolzbuj.exe"
      4⤵
      PID:5620
    - - C:\Windows\SysWOW64\uyajoxx.exe
        
        C:\Windows\system32\uyajoxx.exe 1140 "C:\Windows\SysWOW64\kolzbuj.exe"
        5⤵
        
        PID:5760
      - C:\Windows\SysWOW64\hlszubw.exe
        
        C:\Windows\system32\hlszubw.exe 1148 "C:\Windows\SysWOW64\uyajoxx.exe"
        6⤵
        
        PID:3484
    - - C:\Windows\SysWOW64\pnchznl.exe
        
        C:\Windows\system32\pnchznl.exe 1144 "C:\Windows\SysWOW64\cpzfqnf.exe"
        5⤵
        
        PID:5196
      - C:\Windows\SysWOW64\dxakcnl.exe
        
        C:\Windows\system32\dxakcnl.exe 1148 "C:\Windows\SysWOW64\pnchznl.exe"
        6⤵
        
        PID:5208
        
        C:\Windows\SysWOW64\kqsjnaa.exe
        
        C:\Windows\system32\kqsjnaa.exe 1152 "C:\Windows\SysWOW64\xdathwb.exe"
        7⤵
        
        PID:1216
        
        C:\Windows\SysWOW64\xdjztdz.exe
        
        C:\Windows\system32\xdjztdz.exe 1144 "C:\Windows\SysWOW64\kqsjnaa.exe"
        8⤵
        
        PID:3684
        
        C:\Windows\SysWOW64\ubizucm.exe
        
        C:\Windows\system32\ubizucm.exe 1148 "C:\Windows\SysWOW64\kqtozzx.exe"
        9⤵
        
        PID:5848
        
        C:\Windows\SysWOW64\hoapagk.exe
        
        C:\Windows\system32\hoapagk.exe 1156 "C:\Windows\SysWOW64\ubizucm.exe"
        10⤵
        
        PID:2640

C:\Windows\SysWOW64\hlszubw.exe
C:\Windows\system32\hlszubw.exe 1148 "C:\Windows\SysWOW64\uyajoxx.exe"
1⤵
PID:5872
- C:\Windows\SysWOW64\uyboaxv.exe
  C:\Windows\system32\uyboaxv.exe 1148 "C:\Windows\SysWOW64\hlszubw.exe"
  2⤵
  PID:5692
- - C:\Windows\SysWOW64\uyboaxv.exe
    C:\Windows\system32\uyboaxv.exe 1148 "C:\Windows\SysWOW64\hlszubw.exe"
    3⤵
    PID:5288
  - - C:\Windows\SysWOW64\exnusvc.exe
      C:\Windows\system32\exnusvc.exe 1148 "C:\Windows\SysWOW64\uyboaxv.exe"
      4⤵
      PID:6012
    - - C:\Windows\SysWOW64\exnusvc.exe
        
        C:\Windows\system32\exnusvc.exe 1148 "C:\Windows\SysWOW64\uyboaxv.exe"
        5⤵
        
        PID:6060
      - C:\Windows\SysWOW64\rwiobea.exe
        
        C:\Windows\system32\rwiobea.exe 1124 "C:\Windows\SysWOW64\exnusvc.exe"
        6⤵
        
        PID:5948
        
        C:\Windows\SysWOW64\rwiobea.exe
        
        C:\Windows\system32\rwiobea.exe 1124 "C:\Windows\SysWOW64\exnusvc.exe"
        7⤵
        
        PID:4396
        
        C:\Windows\SysWOW64\fjamhhh.exe
        
        C:\Windows\system32\fjamhhh.exe 1156 "C:\Windows\SysWOW64\rwiobea.exe"
        8⤵
        
        PID:3436
        
        C:\Windows\SysWOW64\fjamhhh.exe
        
        C:\Windows\system32\fjamhhh.exe 1156 "C:\Windows\SysWOW64\rwiobea.exe"
        9⤵
        
        PID:4292
        
        C:\Windows\SysWOW64\swjcmlf.exe
        
        C:\Windows\system32\swjcmlf.exe 1128 "C:\Windows\SysWOW64\fjamhhh.exe"
        10⤵
        
        PID:5716
        
        C:\Windows\SysWOW64\swjcmlf.exe
        
        C:\Windows\system32\swjcmlf.exe 1128 "C:\Windows\SysWOW64\fjamhhh.exe"
        11⤵
        
        PID:5804
        
        C:\Windows\SysWOW64\cvvzxkn.exe
        
        C:\Windows\system32\cvvzxkn.exe 1164 "C:\Windows\SysWOW64\swjcmlf.exe"
        12⤵
        
        PID:6036
        
        C:\Windows\SysWOW64\cvvzxkn.exe
        
        C:\Windows\system32\cvvzxkn.exe 1164 "C:\Windows\SysWOW64\swjcmlf.exe"
        13⤵
        
        PID:348
        
        C:\Windows\SysWOW64\pifpdgm.exe
        
        C:\Windows\system32\pifpdgm.exe 1128 "C:\Windows\SysWOW64\cvvzxkn.exe"
        14⤵
        
        PID:4144
        
        C:\Windows\SysWOW64\pifpdgm.exe
        
        C:\Windows\system32\pifpdgm.exe 1128 "C:\Windows\SysWOW64\cvvzxkn.exe"
        15⤵
        
        PID:4164
        
        C:\Windows\SysWOW64\zprmnft.exe
        
        C:\Windows\system32\zprmnft.exe 1144 "C:\Windows\SysWOW64\pifpdgm.exe"
        16⤵
        
        PID:4348
        
        C:\Windows\SysWOW64\uzwskwi.exe
        
        C:\Windows\system32\uzwskwi.exe 1148 "C:\Windows\SysWOW64\hmedesj.exe"
        15⤵
        
        PID:5968
        
        C:\Windows\SysWOW64\hunqprg.exe
        
        C:\Windows\system32\hunqprg.exe 1140 "C:\Windows\SysWOW64\uzwskwi.exe"
        16⤵
        
        PID:4348
        
        C:\Windows\SysWOW64\hunqprg.exe
        
        C:\Windows\system32\hunqprg.exe 1140 "C:\Windows\SysWOW64\uzwskwi.exe"
        17⤵
        
        PID:3484
        
        C:\Windows\SysWOW64\rtsoaqo.exe
        
        C:\Windows\system32\rtsoaqo.exe 1148 "C:\Windows\SysWOW64\hunqprg.exe"
        18⤵
        
        PID:2312

C:\Windows\SysWOW64\zprmnft.exe
C:\Windows\system32\zprmnft.exe 1144 "C:\Windows\SysWOW64\pifpdgm.exe"
1⤵
PID:4436
- C:\Windows\SysWOW64\nyxxyel.exe
  C:\Windows\system32\nyxxyel.exe 1148 "C:\Windows\SysWOW64\zprmnft.exe"
  2⤵
  PID:4992
- - C:\Windows\SysWOW64\nyxxyel.exe
    C:\Windows\system32\nyxxyel.exe 1148 "C:\Windows\SysWOW64\zprmnft.exe"
    3⤵
    PID:5616
  - - C:\Windows\SysWOW64\alhneik.exe
      C:\Windows\system32\alhneik.exe 1152 "C:\Windows\SysWOW64\nyxxyel.exe"
      4⤵
      PID:4612
    - - C:\Windows\SysWOW64\alhneik.exe
        
        C:\Windows\system32\alhneik.exe 1152 "C:\Windows\SysWOW64\nyxxyel.exe"
        5⤵
        
        PID:5980
      - C:\Windows\SysWOW64\kowxrly.exe
        
        C:\Windows\system32\kowxrly.exe 1148 "C:\Windows\SysWOW64\alhneik.exe"
        6⤵
        
        PID:5828
        
        C:\Windows\SysWOW64\kowxrly.exe
        
        C:\Windows\system32\kowxrly.exe 1148 "C:\Windows\SysWOW64\alhneik.exe"
        7⤵
        
        PID:5472
        
        C:\Windows\SysWOW64\xbonxhx.exe
        
        C:\Windows\system32\xbonxhx.exe 1148 "C:\Windows\SysWOW64\kowxrly.exe"
        8⤵
        
        PID:5952
        
        C:\Windows\SysWOW64\xbonxhx.exe
        
        C:\Windows\system32\xbonxhx.exe 1148 "C:\Windows\SysWOW64\kowxrly.exe"
        9⤵
        
        PID:5964
        
        C:\Windows\SysWOW64\kwfddlw.exe
        
        C:\Windows\system32\kwfddlw.exe 1148 "C:\Windows\SysWOW64\xbonxhx.exe"
        10⤵
        
        PID:5324

C:\Windows\SysWOW64\hmedesj.exe
C:\Windows\system32\hmedesj.exe 1152 "C:\Windows\SysWOW64\xjpsjpu.exe"
1⤵
PID:4220
- C:\Windows\SysWOW64\uzwskwi.exe
  C:\Windows\system32\uzwskwi.exe 1148 "C:\Windows\SysWOW64\hmedesj.exe"
  2⤵
  PID:4144
- - C:\Windows\SysWOW64\eshuspy.exe
    C:\Windows\system32\eshuspy.exe 1164 "C:\Windows\SysWOW64\uhskxms.exe"
    3⤵
    PID:4688
  - - C:\Windows\SysWOW64\rfzkytf.exe
      C:\Windows\system32\rfzkytf.exe 1148 "C:\Windows\SysWOW64\eshuspy.exe"
      4⤵
      PID:4696
    - - C:\Windows\SysWOW64\rfzkytf.exe
        
        C:\Windows\system32\rfzkytf.exe 1148 "C:\Windows\SysWOW64\eshuspy.exe"
        5⤵
        
        PID:4348
      - C:\Windows\SysWOW64\fsiaexe.exe
        
        C:\Windows\system32\fsiaexe.exe 1148 "C:\Windows\SysWOW64\rfzkytf.exe"
        6⤵
        
        PID:4240
        
        C:\Windows\SysWOW64\fsiaexe.exe
        
        C:\Windows\system32\fsiaexe.exe 1148 "C:\Windows\SysWOW64\rfzkytf.exe"
        7⤵
        
        PID:5212
        
        C:\Windows\SysWOW64\sfaqjtd.exe
        
        C:\Windows\system32\sfaqjtd.exe 1148 "C:\Windows\SysWOW64\fsiaexe.exe"
        8⤵
        
        PID:2284
    - - C:\Windows\SysWOW64\zhetwxf.exe
        
        C:\Windows\system32\zhetwxf.exe 1140 "C:\Windows\SysWOW64\mmudrtg.exe"
        5⤵
        
        PID:4596
      - C:\Windows\SysWOW64\mqkvzwf.exe
        
        C:\Windows\system32\mqkvzwf.exe 1160 "C:\Windows\SysWOW64\zhetwxf.exe"
        6⤵
        
        PID:1348
        
        C:\Windows\SysWOW64\mqkvzwf.exe
        
        C:\Windows\system32\mqkvzwf.exe 1160 "C:\Windows\SysWOW64\zhetwxf.exe"
        7⤵
        
        PID:2716
        
        C:\Windows\SysWOW64\wtzgval.exe
        
        C:\Windows\system32\wtzgval.exe 1148 "C:\Windows\SysWOW64\mqkvzwf.exe"
        8⤵
        
        PID:5492
        
        C:\Windows\SysWOW64\wtzgval.exe
        
        C:\Windows\system32\wtzgval.exe 1148 "C:\Windows\SysWOW64\mqkvzwf.exe"
        9⤵
        
        PID:5756
        
        C:\Windows\SysWOW64\jgrwadk.exe
        
        C:\Windows\system32\jgrwadk.exe 1148 "C:\Windows\SysWOW64\wtzgval.exe"
        10⤵
        
        PID:5268

C:\Windows\SysWOW64\cdrjsbx.exe
C:\Windows\system32\cdrjsbx.exe 1148 "C:\Windows\SysWOW64\pqatmxz.exe"
1⤵
PID:5960
- C:\Windows\SysWOW64\pqbhyfw.exe
  C:\Windows\system32\pqbhyfw.exe 1148 "C:\Windows\SysWOW64\cdrjsbx.exe"
  2⤵
  PID:2956
- - C:\Windows\SysWOW64\oucabhu.exe
    C:\Windows\system32\oucabhu.exe 1148 "C:\Windows\SysWOW64\bhtkvew.exe"
    3⤵
    PID:5308
  - - C:\Windows\SysWOW64\bhupgdb.exe
      C:\Windows\system32\bhupgdb.exe 1148 "C:\Windows\SysWOW64\oucabhu.exe"
      4⤵
      PID:2324

C:\Windows\SysWOW64\pqbhyfw.exe
C:\Windows\system32\pqbhyfw.exe 1148 "C:\Windows\SysWOW64\cdrjsbx.exe"
1⤵
PID:4756
- C:\Windows\SysWOW64\zpneide.exe
  C:\Windows\system32\zpneide.exe 1148 "C:\Windows\SysWOW64\pqbhyfw.exe"
  2⤵
  PID:5448

C:\Windows\SysWOW64\zpneide.exe
C:\Windows\system32\zpneide.exe 1148 "C:\Windows\SysWOW64\pqbhyfw.exe"
1⤵
PID:1640
- C:\Windows\SysWOW64\jwrbtcl.exe
  C:\Windows\system32\jwrbtcl.exe 1148 "C:\Windows\SysWOW64\zpneide.exe"
  2⤵
  PID:4992
- - C:\Windows\SysWOW64\jwrbtcl.exe
    C:\Windows\system32\jwrbtcl.exe 1148 "C:\Windows\SysWOW64\zpneide.exe"
    3⤵
    PID:3668
  - - C:\Windows\SysWOW64\axojudb.exe
      C:\Windows\system32\axojudb.exe 1148 "C:\Windows\SysWOW64\jwrbtcl.exe"
      4⤵
      PID:5140
    - - C:\Windows\SysWOW64\axojudb.exe
        
        C:\Windows\system32\axojudb.exe 1148 "C:\Windows\SysWOW64\jwrbtcl.exe"
        5⤵
        
        PID:5376
      - C:\Windows\SysWOW64\kadupgp.exe
        
        C:\Windows\system32\kadupgp.exe 1152 "C:\Windows\SysWOW64\axojudb.exe"
        6⤵
        
        PID:1280

C:\Windows\SysWOW64\xnvjvko.exe
C:\Windows\system32\xnvjvko.exe 1148 "C:\Windows\SysWOW64\kadupgp.exe"
1⤵
PID:4956
- C:\Windows\SysWOW64\huzhfjo.exe
  C:\Windows\system32\huzhfjo.exe 1144 "C:\Windows\SysWOW64\xnvjvko.exe"
  2⤵
  PID:5712

C:\Windows\SysWOW64\huzhfjo.exe
C:\Windows\system32\huzhfjo.exe 1144 "C:\Windows\SysWOW64\xnvjvko.exe"
1⤵
PID:5716
- C:\Windows\SysWOW64\uhqflnv.exe
  C:\Windows\system32\uhqflnv.exe 1148 "C:\Windows\SysWOW64\huzhfjo.exe"
  2⤵
  PID:4772
- - C:\Windows\SysWOW64\bqfyyeh.exe
    C:\Windows\system32\bqfyyeh.exe 1152 "C:\Windows\SysWOW64\odnjsaj.exe"
    3⤵
    PID:1980
  - - C:\Windows\SysWOW64\lbujlho.exe
      C:\Windows\system32\lbujlho.exe 1140 "C:\Windows\SysWOW64\bqfyyeh.exe"
      4⤵
      PID:4600
    - - C:\Windows\SysWOW64\lbujlho.exe
        
        C:\Windows\system32\lbujlho.exe 1140 "C:\Windows\SysWOW64\bqfyyeh.exe"
        5⤵
        
        PID:6024
      - C:\Windows\SysWOW64\yomzrlm.exe
        
        C:\Windows\system32\yomzrlm.exe 1148 "C:\Windows\SysWOW64\lbujlho.exe"
        6⤵
        
        PID:6036
        
        C:\Windows\SysWOW64\yomzrlm.exe
        
        C:\Windows\system32\yomzrlm.exe 1148 "C:\Windows\SysWOW64\lbujlho.exe"
        7⤵
        
        PID:5232
        
        C:\Windows\SysWOW64\mbvwxht.exe
        
        C:\Windows\system32\mbvwxht.exe 1140 "C:\Windows\SysWOW64\yomzrlm.exe"
        8⤵
        
        PID:5860
        
        C:\Windows\SysWOW64\mbvwxht.exe
        
        C:\Windows\system32\mbvwxht.exe 1140 "C:\Windows\SysWOW64\yomzrlm.exe"
        9⤵
        
        PID:2420
        
        C:\Windows\SysWOW64\waiupgt.exe
        
        C:\Windows\system32\waiupgt.exe 1148 "C:\Windows\SysWOW64\mbvwxht.exe"
        10⤵
        
        PID:5556
        
        C:\Windows\SysWOW64\waiupgt.exe
        
        C:\Windows\system32\waiupgt.exe 1148 "C:\Windows\SysWOW64\mbvwxht.exe"
        11⤵
        
        PID:916
        
        C:\Windows\SysWOW64\jvrjvka.exe
        
        C:\Windows\system32\jvrjvka.exe 1152 "C:\Windows\SysWOW64\waiupgt.exe"
        12⤵
        
        PID:1264
        
        C:\Windows\SysWOW64\irlmspk.exe
        
        C:\Windows\system32\irlmspk.exe 1148 "C:\Windows\SysWOW64\zhwkxmd.exe"
        9⤵
        
        PID:5336
        
        C:\Windows\SysWOW64\wevkyti.exe
        
        C:\Windows\system32\wevkyti.exe 1148 "C:\Windows\SysWOW64\irlmspk.exe"
        10⤵
        
        PID:3160
        
        C:\Windows\SysWOW64\iefvsjo.exe
        
        C:\Windows\system32\iefvsjo.exe 1120 "C:\Windows\SysWOW64\tkiaivm.exe"
        11⤵
        
        PID:1380
        
        C:\Windows\SysWOW64\vrwlynn.exe
        
        C:\Windows\system32\vrwlynn.exe 1148 "C:\Windows\SysWOW64\iefvsjo.exe"
        12⤵
        
        PID:5908
        
        C:\Windows\SysWOW64\vrwlynn.exe
        
        C:\Windows\system32\vrwlynn.exe 1148 "C:\Windows\SysWOW64\iefvsjo.exe"
        13⤵
        
        PID:3420
        
        C:\Windows\SysWOW64\javnbmn.exe
        
        C:\Windows\system32\javnbmn.exe 1148 "C:\Windows\SysWOW64\vrwlynn.exe"
        14⤵
        
        PID:5508
        
        C:\Windows\SysWOW64\javnbmn.exe
        
        C:\Windows\system32\javnbmn.exe 1148 "C:\Windows\SysWOW64\vrwlynn.exe"
        15⤵
        
        PID:440
        
        C:\Windows\SysWOW64\tlsyoit.exe
        
        C:\Windows\system32\tlsyoit.exe 1148 "C:\Windows\SysWOW64\javnbmn.exe"
        16⤵
        
        PID:2712
    - - C:\Windows\SysWOW64\ieknpmh.exe
        
        C:\Windows\system32\ieknpmh.exe 1148 "C:\Windows\SysWOW64\vrtpkji.exe"
        5⤵
        
        PID:5248
      - C:\Windows\SysWOW64\shzylpn.exe
        
        C:\Windows\system32\shzylpn.exe 1148 "C:\Windows\SysWOW64\ieknpmh.exe"
        6⤵
        
        PID:6128

C:\Windows\SysWOW64\uhqflnv.exe
C:\Windows\system32\uhqflnv.exe 1148 "C:\Windows\SysWOW64\huzhfjo.exe"
1⤵
PID:4064
- C:\Windows\SysWOW64\huaurrt.exe
  C:\Windows\system32\huaurrt.exe 1120 "C:\Windows\SysWOW64\uhqflnv.exe"
  2⤵
  PID:3968
- - C:\Windows\SysWOW64\huaurrt.exe
    C:\Windows\system32\huaurrt.exe 1120 "C:\Windows\SysWOW64\uhqflnv.exe"
    3⤵
    PID:5732
  - - C:\Windows\SysWOW64\uhskxms.exe
      C:\Windows\system32\uhskxms.exe 1144 "C:\Windows\SysWOW64\huaurrt.exe"
      4⤵
      PID:4716
    - - C:\Windows\SysWOW64\uhskxms.exe
        
        C:\Windows\system32\uhskxms.exe 1144 "C:\Windows\SysWOW64\huaurrt.exe"
        5⤵
        
        PID:6096
      - C:\Windows\SysWOW64\eshuspy.exe
        
        C:\Windows\system32\eshuspy.exe 1164 "C:\Windows\SysWOW64\uhskxms.exe"
        6⤵
        
        PID:4144

C:\Windows\SysWOW64\pcidoin.exe
C:\Windows\system32\pcidoin.exe 1148 "C:\Windows\SysWOW64\cpqniep.exe"
1⤵
PID:5652
- C:\Windows\SysWOW64\rnxnjdu.exe
  C:\Windows\system32\rnxnjdu.exe 1148 "C:\Windows\SysWOW64\pcidoin.exe"
  2⤵
  PID:4668
- - C:\Windows\SysWOW64\rnxnjdu.exe
    C:\Windows\system32\rnxnjdu.exe 1148 "C:\Windows\SysWOW64\pcidoin.exe"
    3⤵
    PID:3732
  - - C:\Windows\SysWOW64\eapdphs.exe
      C:\Windows\system32\eapdphs.exe 1152 "C:\Windows\SysWOW64\rnxnjdu.exe"
      4⤵
      PID:5460

C:\Windows\SysWOW64\mfdzjto.exe
C:\Windows\system32\mfdzjto.exe 1144 "C:\Windows\SysWOW64\zktjdyp.exe"
1⤵
PID:5976
- C:\Windows\SysWOW64\whajwxu.exe
  C:\Windows\system32\whajwxu.exe 1148 "C:\Windows\SysWOW64\mfdzjto.exe"
  2⤵
  PID:4528
- - C:\Windows\SysWOW64\whajwxu.exe
    C:\Windows\system32\whajwxu.exe 1148 "C:\Windows\SysWOW64\mfdzjto.exe"
    3⤵
    PID:2012
  - - C:\Windows\SysWOW64\jukzcat.exe
      C:\Windows\system32\jukzcat.exe 1152 "C:\Windows\SysWOW64\whajwxu.exe"
      4⤵
      PID:3268

C:\Windows\SysWOW64\jukzcat.exe
C:\Windows\system32\jukzcat.exe 1152 "C:\Windows\SysWOW64\whajwxu.exe"
1⤵
PID:4156
- C:\Windows\SysWOW64\xhbpiea.exe
  C:\Windows\system32\xhbpiea.exe 1148 "C:\Windows\SysWOW64\jukzcat.exe"
  2⤵
  PID:4892
- - C:\Windows\SysWOW64\xhbpiea.exe
    C:\Windows\system32\xhbpiea.exe 1148 "C:\Windows\SysWOW64\jukzcat.exe"
    3⤵
    PID:5484
  - - C:\Windows\SysWOW64\kclmoay.exe
      C:\Windows\system32\kclmoay.exe 1148 "C:\Windows\SysWOW64\xhbpiea.exe"
      4⤵
      PID:3548
    - - C:\Windows\SysWOW64\kclmoay.exe
        
        C:\Windows\system32\kclmoay.exe 1148 "C:\Windows\SysWOW64\xhbpiea.exe"
        5⤵
        
        PID:3540
      - C:\Windows\SysWOW64\ufipjdf.exe
        
        C:\Windows\system32\ufipjdf.exe 1128 "C:\Windows\SysWOW64\kclmoay.exe"
        6⤵
        
        PID:4632
        
        C:\Windows\SysWOW64\ufipjdf.exe
        
        C:\Windows\system32\ufipjdf.exe 1128 "C:\Windows\SysWOW64\kclmoay.exe"
        7⤵
        
        PID:4144
        
        C:\Windows\SysWOW64\hssnphd.exe
        
        C:\Windows\system32\hssnphd.exe 1148 "C:\Windows\SysWOW64\ufipjdf.exe"
        8⤵
        
        PID:6008
        
        C:\Windows\SysWOW64\hssnphd.exe
        
        C:\Windows\system32\hssnphd.exe 1148 "C:\Windows\SysWOW64\ufipjdf.exe"
        9⤵
        
        PID:5708
        
        C:\Windows\SysWOW64\ufjcvlc.exe
        
        C:\Windows\system32\ufjcvlc.exe 1148 "C:\Windows\SysWOW64\hssnphd.exe"
        10⤵
        
        PID:1052
        
        C:\Windows\SysWOW64\ufjcvlc.exe
        
        C:\Windows\system32\ufjcvlc.exe 1148 "C:\Windows\SysWOW64\hssnphd.exe"
        11⤵
        
        PID:5780
        
        C:\Windows\SysWOW64\emoafkk.exe
        
        C:\Windows\system32\emoafkk.exe 1144 "C:\Windows\SysWOW64\ufjcvlc.exe"
        12⤵
        
        PID:2312
        
        C:\Windows\SysWOW64\emoafkk.exe
        
        C:\Windows\system32\emoafkk.exe 1144 "C:\Windows\SysWOW64\ufjcvlc.exe"
        13⤵
        
        PID:5648
        
        C:\Windows\SysWOW64\rzfplni.exe
        
        C:\Windows\system32\rzfplni.exe 1148 "C:\Windows\SysWOW64\emoafkk.exe"
        14⤵
        
        PID:4528
        
        C:\Windows\SysWOW64\rzfplni.exe
        
        C:\Windows\system32\rzfplni.exe 1148 "C:\Windows\SysWOW64\emoafkk.exe"
        15⤵
        
        PID:1604
        
        C:\Windows\SysWOW64\byjndmq.exe
        
        C:\Windows\system32\byjndmq.exe 1140 "C:\Windows\SysWOW64\rzfplni.exe"
        16⤵
        
        PID:5416
        
        C:\Windows\SysWOW64\byjndmq.exe
        
        C:\Windows\system32\byjndmq.exe 1140 "C:\Windows\SysWOW64\rzfplni.exe"
        17⤵
        
        PID:4972
        
        C:\Windows\SysWOW64\plbljip.exe
        
        C:\Windows\system32\plbljip.exe 1148 "C:\Windows\SysWOW64\byjndmq.exe"
        18⤵
        
        PID:5216
        
        C:\Windows\SysWOW64\plbljip.exe
        
        C:\Windows\system32\plbljip.exe 1148 "C:\Windows\SysWOW64\byjndmq.exe"
        19⤵
        
        PID:632
        
        C:\Windows\SysWOW64\bjwfsqu.exe
        
        C:\Windows\system32\bjwfsqu.exe 1148 "C:\Windows\SysWOW64\plbljip.exe"
        20⤵
        
        PID:4820
        
        C:\Windows\SysWOW64\qrauyny.exe
        
        C:\Windows\system32\qrauyny.exe 1140 "C:\Windows\SysWOW64\deqesjz.exe"
        17⤵
        
        PID:3168
        
        C:\Windows\SysWOW64\derkdjw.exe
        
        C:\Windows\system32\derkdjw.exe 1148 "C:\Windows\SysWOW64\qrauyny.exe"
        18⤵
        
        PID:3644
        
        C:\Windows\SysWOW64\derkdjw.exe
        
        C:\Windows\system32\derkdjw.exe 1148 "C:\Windows\SysWOW64\qrauyny.exe"
        19⤵
        
        PID:2312
        
        C:\Windows\SysWOW64\qrbzjnv.exe
        
        C:\Windows\system32\qrbzjnv.exe 1148 "C:\Windows\SysWOW64\derkdjw.exe"
        20⤵
        
        PID:5860
        
        C:\Windows\SysWOW64\bcxfjjh.exe
        
        C:\Windows\system32\bcxfjjh.exe 1148 "C:\Windows\SysWOW64\npnpdfi.exe"
        19⤵
        
        PID:5876
        
        C:\Windows\SysWOW64\lnmpemn.exe
        
        C:\Windows\system32\lnmpemn.exe 1168 "C:\Windows\SysWOW64\bcxfjjh.exe"
        20⤵
        
        PID:5416
        
        C:\Windows\SysWOW64\lnmpemn.exe
        
        C:\Windows\system32\lnmpemn.exe 1168 "C:\Windows\SysWOW64\bcxfjjh.exe"
        21⤵
        
        PID:5460
        
        C:\Windows\SysWOW64\yaefkqm.exe
        
        C:\Windows\system32\yaefkqm.exe 1148 "C:\Windows\SysWOW64\lnmpemn.exe"
        22⤵
        
        PID:4792

C:\Windows\SysWOW64\jgrwadk.exe
C:\Windows\system32\jgrwadk.exe 1148 "C:\Windows\SysWOW64\wtzgval.exe"
1⤵
PID:1360
- C:\Windows\SysWOW64\tfvblcs.exe
  C:\Windows\system32\tfvblcs.exe 1148 "C:\Windows\SysWOW64\jgrwadk.exe"
  2⤵
  PID:5296
- - C:\Windows\SysWOW64\tfvblcs.exe
    C:\Windows\system32\tfvblcs.exe 1148 "C:\Windows\SysWOW64\jgrwadk.exe"
    3⤵
    PID:4668
  - - C:\Windows\SysWOW64\hanrryq.exe
      C:\Windows\system32\hanrryq.exe 1148 "C:\Windows\SysWOW64\tfvblcs.exe"
      4⤵
      PID:3532
    - - C:\Windows\SysWOW64\hanrryq.exe
        
        C:\Windows\system32\hanrryq.exe 1148 "C:\Windows\SysWOW64\tfvblcs.exe"
        5⤵
        
        PID:5928
      - C:\Windows\SysWOW64\unegwcp.exe
        
        C:\Windows\system32\unegwcp.exe 1148 "C:\Windows\SysWOW64\hanrryq.exe"
        6⤵
        
        PID:5448
        
        C:\Windows\SysWOW64\unegwcp.exe
        
        C:\Windows\system32\unegwcp.exe 1148 "C:\Windows\SysWOW64\hanrryq.exe"
        7⤵
        
        PID:5228
        
        C:\Windows\SysWOW64\haowcgo.exe
        
        C:\Windows\system32\haowcgo.exe 1148 "C:\Windows\SysWOW64\unegwcp.exe"
        8⤵
        
        PID:5592
        
        C:\Windows\SysWOW64\mazmqwr.exe
        
        C:\Windows\system32\mazmqwr.exe 1148 "C:\Windows\SysWOW64\znhxcas.exe"
        7⤵
        
        PID:5824
        
        C:\Windows\SysWOW64\whdsauy.exe
        
        C:\Windows\system32\whdsauy.exe 1148 "C:\Windows\SysWOW64\mazmqwr.exe"
        8⤵
        
        PID:1808
        
        C:\Windows\SysWOW64\ibkzlzp.exe
        
        C:\Windows\system32\ibkzlzp.exe 1148 "C:\Windows\SysWOW64\xjvtyjn.exe"
        9⤵
        
        PID:2940
        
        C:\Windows\SysWOW64\vocpqdo.exe
        
        C:\Windows\system32\vocpqdo.exe 1148 "C:\Windows\SysWOW64\ibkzlzp.exe"
        10⤵
        
        PID:3712
        
        C:\Windows\SysWOW64\vocpqdo.exe
        
        C:\Windows\system32\vocpqdo.exe 1148 "C:\Windows\SysWOW64\ibkzlzp.exe"
        11⤵
        
        PID:3392
        
        C:\Windows\SysWOW64\ifxrzdu.exe
        
        C:\Windows\system32\ifxrzdu.exe 1148 "C:\Windows\SysWOW64\vocpqdo.exe"
        12⤵
        
        PID:544
        
        C:\Windows\SysWOW64\ifxrzdu.exe
        
        C:\Windows\system32\ifxrzdu.exe 1148 "C:\Windows\SysWOW64\vocpqdo.exe"
        13⤵
        
        PID:1276
        
        C:\Windows\SysWOW64\spucmha.exe
        
        C:\Windows\system32\spucmha.exe 1140 "C:\Windows\SysWOW64\ifxrzdu.exe"
        14⤵
        
        PID:4736
        
        C:\Windows\SysWOW64\spucmha.exe
        
        C:\Windows\system32\spucmha.exe 1140 "C:\Windows\SysWOW64\ifxrzdu.exe"
        15⤵
        
        PID:4440
        
        C:\Windows\SysWOW64\fcerskz.exe
        
        C:\Windows\system32\fcerskz.exe 1148 "C:\Windows\SysWOW64\spucmha.exe"
        16⤵
        
        PID:3924
        
        C:\Windows\SysWOW64\fcerskz.exe
        
        C:\Windows\system32\fcerskz.exe 1148 "C:\Windows\SysWOW64\spucmha.exe"
        17⤵
        
        PID:5912
        
        C:\Windows\SysWOW64\spvhyof.exe
        
        C:\Windows\system32\spvhyof.exe 1148 "C:\Windows\SysWOW64\fcerskz.exe"
        18⤵
        
        PID:752
        
        C:\Windows\SysWOW64\spvhyof.exe
        
        C:\Windows\system32\spvhyof.exe 1148 "C:\Windows\SysWOW64\fcerskz.exe"
        19⤵
        
        PID:1808
        
        C:\Windows\SysWOW64\cpzfqnf.exe
        
        C:\Windows\system32\cpzfqnf.exe 1148 "C:\Windows\SysWOW64\spvhyof.exe"
        20⤵
        
        PID:5580

C:\Windows\SysWOW64\haowcgo.exe
C:\Windows\system32\haowcgo.exe 1148 "C:\Windows\SysWOW64\unegwcp.exe"
1⤵
PID:5684
- C:\Windows\SysWOW64\rddgxjc.exe
  C:\Windows\system32\rddgxjc.exe 1140 "C:\Windows\SysWOW64\haowcgo.exe"
  2⤵
  PID:4072

C:\Windows\SysWOW64\rddgxjc.exe
C:\Windows\system32\rddgxjc.exe 1140 "C:\Windows\SysWOW64\haowcgo.exe"
1⤵
PID:1160
- C:\Windows\SysWOW64\eyvwdfb.exe
  C:\Windows\system32\eyvwdfb.exe 1148 "C:\Windows\SysWOW64\rddgxjc.exe"
  2⤵
  PID:3260
- - C:\Windows\SysWOW64\eyvwdfb.exe
    C:\Windows\system32\eyvwdfb.exe 1148 "C:\Windows\SysWOW64\rddgxjc.exe"
    3⤵
    PID:5036
  - - C:\Windows\SysWOW64\rlemjia.exe
      C:\Windows\system32\rlemjia.exe 1120 "C:\Windows\SysWOW64\eyvwdfb.exe"
      4⤵
      PID:5216
    - - C:\Windows\SysWOW64\rlemjia.exe
        
        C:\Windows\system32\rlemjia.exe 1120 "C:\Windows\SysWOW64\eyvwdfb.exe"
        5⤵
        
        PID:4992
      - C:\Windows\SysWOW64\eywkpmy.exe
        
        C:\Windows\system32\eywkpmy.exe 1140 "C:\Windows\SysWOW64\rlemjia.exe"
        6⤵
        
        PID:828

C:\Windows\SysWOW64\eutklxc.exe
C:\Windows\system32\eutklxc.exe 1152 "C:\Windows\SysWOW64\ztlpuaw.exe"
1⤵
PID:2104
- C:\Windows\SysWOW64\pqkkfux.exe
  C:\Windows\system32\pqkkfux.exe 1152 "C:\Windows\SysWOW64\eutklxc.exe"
  2⤵
  PID:4920

C:\Windows\SysWOW64\pqkkfux.exe
C:\Windows\system32\pqkkfux.exe 1152 "C:\Windows\SysWOW64\eutklxc.exe"
1⤵
PID:3824
- C:\Windows\SysWOW64\ybhvaxd.exe
  C:\Windows\system32\ybhvaxd.exe 1156 "C:\Windows\SysWOW64\pqkkfux.exe"
  2⤵
  PID:1664
- - C:\Windows\SysWOW64\ybhvaxd.exe
    C:\Windows\system32\ybhvaxd.exe 1156 "C:\Windows\SysWOW64\pqkkfux.exe"
    3⤵
    PID:2236
  - - C:\Windows\SysWOW64\morkgtc.exe
      C:\Windows\system32\morkgtc.exe 1148 "C:\Windows\SysWOW64\ybhvaxd.exe"
      4⤵
      PID:6112
    - - C:\Windows\SysWOW64\morkgtc.exe
        
        C:\Windows\system32\morkgtc.exe 1148 "C:\Windows\SysWOW64\ybhvaxd.exe"
        5⤵
        
        PID:5236
      - C:\Windows\SysWOW64\zbiamxb.exe
        
        C:\Windows\system32\zbiamxb.exe 1144 "C:\Windows\SysWOW64\morkgtc.exe"
        6⤵
        
        PID:1204
    - - C:\Windows\SysWOW64\usmbpgs.exe
        
        C:\Windows\system32\usmbpgs.exe 1148 "C:\Windows\SysWOW64\gfuljct.exe"
        5⤵
        
        PID:4676
      - C:\Windows\SysWOW64\hfwrukq.exe
        
        C:\Windows\system32\hfwrukq.exe 1152 "C:\Windows\SysWOW64\usmbpgs.exe"
        6⤵
        
        PID:1204
        
        C:\Windows\SysWOW64\hfwrukq.exe
        
        C:\Windows\system32\hfwrukq.exe 1152 "C:\Windows\SysWOW64\usmbpgs.exe"
        7⤵
        
        PID:5456
        
        C:\Windows\SysWOW64\reiofjy.exe
        
        C:\Windows\system32\reiofjy.exe 1120 "C:\Windows\SysWOW64\hfwrukq.exe"
        8⤵
        
        PID:6040
        
        C:\Windows\SysWOW64\reiofjy.exe
        
        C:\Windows\system32\reiofjy.exe 1120 "C:\Windows\SysWOW64\hfwrukq.exe"
        9⤵
        
        PID:4236
        
        C:\Windows\SysWOW64\errelex.exe
        
        C:\Windows\system32\errelex.exe 1148 "C:\Windows\SysWOW64\reiofjy.exe"
        10⤵
        
        PID:4716
        
        C:\Windows\SysWOW64\errelex.exe
        
        C:\Windows\system32\errelex.exe 1148 "C:\Windows\SysWOW64\reiofjy.exe"
        11⤵
        
        PID:5216
        
        C:\Windows\SysWOW64\rejbqie.exe
        
        C:\Windows\system32\rejbqie.exe 1152 "C:\Windows\SysWOW64\errelex.exe"
        12⤵
        
        PID:5548
        
        C:\Windows\SysWOW64\gvoavjp.exe
        
        C:\Windows\system32\gvoavjp.exe 1152 "C:\Windows\SysWOW64\tiwkifq.exe"
        11⤵
        
        PID:5220
        
        C:\Windows\SysWOW64\tixqbnn.exe
        
        C:\Windows\system32\tixqbnn.exe 1164 "C:\Windows\SysWOW64\gvoavjp.exe"
        12⤵
        
        PID:1772
        
        C:\Windows\SysWOW64\tixqbnn.exe
        
        C:\Windows\system32\tixqbnn.exe 1164 "C:\Windows\SysWOW64\gvoavjp.exe"
        13⤵
        
        PID:4892
        
        C:\Windows\SysWOW64\hvpfhrm.exe
        
        C:\Windows\system32\hvpfhrm.exe 1148 "C:\Windows\SysWOW64\tixqbnn.exe"
        14⤵
        
        PID:1664
        
        C:\Windows\SysWOW64\hvpfhrm.exe
        
        C:\Windows\system32\hvpfhrm.exe 1148 "C:\Windows\SysWOW64\tixqbnn.exe"
        15⤵
        
        PID:4028
        
        C:\Windows\SysWOW64\rfequus.exe
        
        C:\Windows\system32\rfequus.exe 1148 "C:\Windows\SysWOW64\hvpfhrm.exe"
        16⤵
        
        PID:1980
        
        C:\Windows\SysWOW64\rfequus.exe
        
        C:\Windows\system32\rfequus.exe 1148 "C:\Windows\SysWOW64\hvpfhrm.exe"
        17⤵
        
        PID:2216
        
        C:\Windows\SysWOW64\eswgaqz.exe
        
        C:\Windows\system32\eswgaqz.exe 1148 "C:\Windows\SysWOW64\rfequus.exe"
        18⤵
        
        PID:5636
        
        C:\Windows\SysWOW64\eswgaqz.exe
        
        C:\Windows\system32\eswgaqz.exe 1148 "C:\Windows\SysWOW64\rfequus.exe"
        19⤵
        
        PID:3996
        
        C:\Windows\SysWOW64\rffdguy.exe
        
        C:\Windows\system32\rffdguy.exe 1148 "C:\Windows\SysWOW64\eswgaqz.exe"
        20⤵
        
        PID:2260
        
        C:\Windows\SysWOW64\gptaxwu.exe
        
        C:\Windows\system32\gptaxwu.exe 1140 "C:\Windows\SysWOW64\weepkto.exe"
        7⤵
        
        PID:4392
        
        C:\Windows\SysWOW64\tcdqdzt.exe
        
        C:\Windows\system32\tcdqdzt.exe 1148 "C:\Windows\SysWOW64\gptaxwu.exe"
        8⤵
        
        PID:4368
        
        C:\Windows\SysWOW64\tcdqdzt.exe
        
        C:\Windows\system32\tcdqdzt.exe 1148 "C:\Windows\SysWOW64\gptaxwu.exe"
        9⤵
        
        PID:1664
        
        C:\Windows\SysWOW64\gpufida.exe
        
        C:\Windows\system32\gpufida.exe 1148 "C:\Windows\SysWOW64\tcdqdzt.exe"
        10⤵
        
        PID:5460
        
        C:\Windows\SysWOW64\gpufida.exe
        
        C:\Windows\system32\gpufida.exe 1148 "C:\Windows\SysWOW64\tcdqdzt.exe"
        11⤵
        
        PID:5032
        
        C:\Windows\SysWOW64\tcmvohz.exe
        
        C:\Windows\system32\tcmvohz.exe 1148 "C:\Windows\SysWOW64\gpufida.exe"
        12⤵
        
        PID:3644
        
        C:\Windows\SysWOW64\tcmvohz.exe
        
        C:\Windows\system32\tcmvohz.exe 1148 "C:\Windows\SysWOW64\gpufida.exe"
        13⤵
        
        PID:5548
        
        C:\Windows\SysWOW64\dmbfjcf.exe
        
        C:\Windows\system32\dmbfjcf.exe 1148 "C:\Windows\SysWOW64\tcmvohz.exe"
        14⤵
        
        PID:5660
        
        C:\Windows\SysWOW64\dmbfjcf.exe
        
        C:\Windows\system32\dmbfjcf.exe 1148 "C:\Windows\SysWOW64\tcmvohz.exe"
        15⤵
        
        PID:3556
        
        C:\Windows\SysWOW64\qzldpge.exe
        
        C:\Windows\system32\qzldpge.exe 1140 "C:\Windows\SysWOW64\dmbfjcf.exe"
        16⤵
        
        PID:860
        
        C:\Windows\SysWOW64\lmqnpbt.exe
        
        C:\Windows\system32\lmqnpbt.exe 1148 "C:\Windows\SysWOW64\yzgpjxu.exe"
        15⤵
        
        PID:5896
        
        C:\Windows\SysWOW64\yzhdves.exe
        
        C:\Windows\system32\yzhdves.exe 1148 "C:\Windows\SysWOW64\lmqnpbt.exe"
        16⤵
        
        PID:4172

C:\Windows\SysWOW64\zbiamxb.exe
C:\Windows\system32\zbiamxb.exe 1144 "C:\Windows\SysWOW64\morkgtc.exe"
1⤵
PID:4268
- C:\Windows\SysWOW64\mosqsbi.exe
  C:\Windows\system32\mosqsbi.exe 1148 "C:\Windows\SysWOW64\zbiamxb.exe"
  2⤵
  PID:6088
- - C:\Windows\SysWOW64\twkstbl.exe
    C:\Windows\system32\twkstbl.exe 1152 "C:\Windows\SysWOW64\jxgvjde.exe"
    3⤵
    PID:1608
  - - C:\Windows\SysWOW64\jxhaukb.exe
      C:\Windows\system32\jxhaukb.exe 1152 "C:\Windows\SysWOW64\twkstbl.exe"
      4⤵
      PID:2892

C:\Windows\SysWOW64\jinlivo.exe
C:\Windows\system32\jinlivo.exe 1148 "C:\Windows\SysWOW64\wypafeo.exe"
1⤵
PID:4400
- C:\Windows\SysWOW64\thaiaun.exe
  C:\Windows\system32\thaiaun.exe 1140 "C:\Windows\SysWOW64\jinlivo.exe"
  2⤵
  PID:2976
- C:\Windows\SysWOW64\tuemrqf.exe
  C:\Windows\system32\tuemrqf.exe 1144 "C:\Windows\SysWOW64\ghnxlmg.exe"
  2⤵
  PID:4820
- - C:\Windows\SysWOW64\zhwkxmd.exe
    C:\Windows\system32\zhwkxmd.exe 1124 "C:\Windows\SysWOW64\tuemrqf.exe"
    3⤵
    PID:1720

C:\Windows\SysWOW64\thaiaun.exe
C:\Windows\system32\thaiaun.exe 1140 "C:\Windows\SysWOW64\jinlivo.exe"
1⤵
PID:5140
- C:\Windows\SysWOW64\gfuljct.exe
  C:\Windows\system32\gfuljct.exe 1148 "C:\Windows\SysWOW64\thaiaun.exe"
  2⤵
  PID:1808
- - C:\Windows\SysWOW64\gfuljct.exe
    C:\Windows\system32\gfuljct.exe 1148 "C:\Windows\SysWOW64\thaiaun.exe"
    3⤵
    PID:5788
  - - C:\Windows\SysWOW64\usmbpgs.exe
      C:\Windows\system32\usmbpgs.exe 1148 "C:\Windows\SysWOW64\gfuljct.exe"
      4⤵
      PID:6112
    - - C:\Windows\SysWOW64\suoiakh.exe
        
        C:\Windows\system32\suoiakh.exe 1152 "C:\Windows\SysWOW64\ijzynpb.exe"
        5⤵
        
        PID:5688
      - C:\Windows\SysWOW64\ghgygoo.exe
        
        C:\Windows\system32\ghgygoo.exe 1152 "C:\Windows\SysWOW64\suoiakh.exe"
        6⤵
        
        PID:5468
- - C:\Windows\SysWOW64\whdsauy.exe
    C:\Windows\system32\whdsauy.exe 1148 "C:\Windows\SysWOW64\mazmqwr.exe"
    3⤵
    PID:3048
  - - C:\Windows\SysWOW64\jxgvjde.exe
      C:\Windows\system32\jxgvjde.exe 1148 "C:\Windows\SysWOW64\whdsauy.exe"
      4⤵
      PID:4428

C:\Windows\SysWOW64\bpzrxlh.exe
C:\Windows\system32\bpzrxlh.exe 1148 "C:\Windows\SysWOW64\oyeoplk.exe"
1⤵
PID:5132
- C:\Windows\SysWOW64\pcrhdpg.exe
  C:\Windows\system32\pcrhdpg.exe 1148 "C:\Windows\SysWOW64\bpzrxlh.exe"
  2⤵
  PID:1052

C:\Windows\SysWOW64\znhxcas.exe
C:\Windows\system32\znhxcas.exe 1152 "C:\Windows\SysWOW64\mayhwwt.exe"
1⤵
PID:3708
- C:\Windows\SysWOW64\mazmqwr.exe
  C:\Windows\system32\mazmqwr.exe 1148 "C:\Windows\SysWOW64\znhxcas.exe"
  2⤵
  PID:5448

C:\Windows\SysWOW64\jxhaukb.exe
C:\Windows\system32\jxhaukb.exe 1152 "C:\Windows\SysWOW64\twkstbl.exe"
1⤵
PID:220
- C:\Windows\SysWOW64\tiwkifq.exe
  C:\Windows\system32\tiwkifq.exe 1144 "C:\Windows\SysWOW64\jxhaukb.exe"
  2⤵
  PID:4916
- - C:\Windows\SysWOW64\tiwkifq.exe
    C:\Windows\system32\tiwkifq.exe 1144 "C:\Windows\SysWOW64\jxhaukb.exe"
    3⤵
    PID:916
  - - C:\Windows\SysWOW64\gvoavjp.exe
      C:\Windows\system32\gvoavjp.exe 1152 "C:\Windows\SysWOW64\tiwkifq.exe"
      4⤵
      PID:4716

C:\Windows\SysWOW64\rffdguy.exe
C:\Windows\system32\rffdguy.exe 1148 "C:\Windows\SysWOW64\eswgaqz.exe"
1⤵
PID:920
- C:\Windows\SysWOW64\esxtmxx.exe
  C:\Windows\system32\esxtmxx.exe 1152 "C:\Windows\SysWOW64\rffdguy.exe"
  2⤵
  PID:4036
- - C:\Windows\SysWOW64\esxtmxx.exe
    C:\Windows\system32\esxtmxx.exe 1152 "C:\Windows\SysWOW64\rffdguy.exe"
    3⤵
    PID:4448
  - - C:\Windows\SysWOW64\odmdhbd.exe
      C:\Windows\system32\odmdhbd.exe 1148 "C:\Windows\SysWOW64\esxtmxx.exe"
      4⤵
      PID:5584

C:\Windows\SysWOW64\zhwkxmd.exe
C:\Windows\system32\zhwkxmd.exe 1124 "C:\Windows\SysWOW64\tuemrqf.exe"
1⤵
PID:856
- C:\Windows\SysWOW64\irlmspk.exe
  C:\Windows\system32\irlmspk.exe 1148 "C:\Windows\SysWOW64\zhwkxmd.exe"
  2⤵
  PID:5860
- - C:\Windows\SysWOW64\qrbzjnv.exe
    C:\Windows\system32\qrbzjnv.exe 1148 "C:\Windows\SysWOW64\derkdjw.exe"
    3⤵
    PID:996
  - - C:\Windows\SysWOW64\aqnxumd.exe
      C:\Windows\system32\aqnxumd.exe 1148 "C:\Windows\SysWOW64\qrbzjnv.exe"
      4⤵
      PID:1740
    - - C:\Windows\SysWOW64\aqnxumd.exe
        
        C:\Windows\system32\aqnxumd.exe 1148 "C:\Windows\SysWOW64\qrbzjnv.exe"
        5⤵
        
        PID:2896
      - C:\Windows\SysWOW64\noiacui.exe
        
        C:\Windows\system32\noiacui.exe 1148 "C:\Windows\SysWOW64\aqnxumd.exe"
        6⤵
        
        PID:2656

C:\Windows\SysWOW64\qzldpge.exe
C:\Windows\system32\qzldpge.exe 1140 "C:\Windows\SysWOW64\dmbfjcf.exe"
1⤵
PID:5284
- C:\Windows\SysWOW64\emctvkc.exe
  C:\Windows\system32\emctvkc.exe 1148 "C:\Windows\SysWOW64\qzldpge.exe"
  2⤵
  PID:3248
- - C:\Windows\SysWOW64\emctvkc.exe
    C:\Windows\system32\emctvkc.exe 1148 "C:\Windows\SysWOW64\qzldpge.exe"
    3⤵
    PID:4104
  - - C:\Windows\SysWOW64\rzmjboj.exe
      C:\Windows\system32\rzmjboj.exe 1144 "C:\Windows\SysWOW64\emctvkc.exe"
      4⤵
      PID:5916

C:\Windows\SysWOW64\lrqjexs.exe
C:\Windows\system32\lrqjexs.exe 1148 "C:\Windows\SysWOW64\yeglytt.exe"
1⤵
PID:5916
- C:\Windows\SysWOW64\vunursg.exe
  C:\Windows\system32\vunursg.exe 1144 "C:\Windows\SysWOW64\lrqjexs.exe"
  2⤵
  PID:5696

C:\Windows\SysWOW64\tkzhyym.exe
C:\Windows\system32\tkzhyym.exe 1152 "C:\Windows\SysWOW64\gbswvzm.exe"
1⤵
PID:4352
- C:\Windows\SysWOW64\dnoklbs.exe
  C:\Windows\system32\dnoklbs.exe 1140 "C:\Windows\SysWOW64\tkzhyym.exe"
  2⤵
  PID:2652
- - C:\Windows\SysWOW64\dnoklbs.exe
    C:\Windows\system32\dnoklbs.exe 1140 "C:\Windows\SysWOW64\tkzhyym.exe"
    3⤵
    PID:2352
  - - C:\Windows\SysWOW64\rwuuobs.exe
      C:\Windows\system32\rwuuobs.exe 1152 "C:\Windows\SysWOW64\dnoklbs.exe"
      4⤵
      PID:5048
    - - C:\Windows\SysWOW64\rwuuobs.exe
        
        C:\Windows\system32\rwuuobs.exe 1152 "C:\Windows\SysWOW64\dnoklbs.exe"
        5⤵
        
        PID:3644
      - C:\Windows\SysWOW64\ejmkuxr.exe
        
        C:\Windows\system32\ejmkuxr.exe 1148 "C:\Windows\SysWOW64\rwuuobs.exe"
        6⤵
        
        PID:5396
        
        C:\Windows\SysWOW64\ejmkuxr.exe
        
        C:\Windows\system32\ejmkuxr.exe 1148 "C:\Windows\SysWOW64\rwuuobs.exe"
        7⤵
        
        PID:4068
        
        C:\Windows\SysWOW64\oubupax.exe
        
        C:\Windows\system32\oubupax.exe 1128 "C:\Windows\SysWOW64\ejmkuxr.exe"
        8⤵
        
        PID:5580
        
        C:\Windows\SysWOW64\cpzfqnf.exe
        
        C:\Windows\system32\cpzfqnf.exe 1148 "C:\Windows\SysWOW64\spvhyof.exe"
        9⤵
        
        PID:1204
        
        C:\Windows\SysWOW64\pnchznl.exe
        
        C:\Windows\system32\pnchznl.exe 1144 "C:\Windows\SysWOW64\cpzfqnf.exe"
        10⤵
        
        PID:5620

C:\Windows\SysWOW64\oubupax.exe
C:\Windows\system32\oubupax.exe 1128 "C:\Windows\SysWOW64\ejmkuxr.exe"
1⤵
PID:5156
- C:\Windows\SysWOW64\bhtkvew.exe
  C:\Windows\system32\bhtkvew.exe 1152 "C:\Windows\SysWOW64\oubupax.exe"
  2⤵
  PID:2312

C:\Windows\SysWOW64\bhupgdb.exe
C:\Windows\system32\bhupgdb.exe 1148 "C:\Windows\SysWOW64\oucabhu.exe"
1⤵
PID:3260
- C:\Windows\SysWOW64\lsjaugi.exe
  C:\Windows\system32\lsjaugi.exe 1148 "C:\Windows\SysWOW64\bhupgdb.exe"
  2⤵
  PID:684
- - C:\Windows\SysWOW64\lsjaugi.exe
    C:\Windows\system32\lsjaugi.exe 1148 "C:\Windows\SysWOW64\bhupgdb.exe"
    3⤵
    PID:4916
  - - C:\Windows\SysWOW64\tkiaivm.exe
      C:\Windows\system32\tkiaivm.exe 1148 "C:\Windows\SysWOW64\lsjaugi.exe"
      4⤵
      PID:3752
    - - C:\Windows\SysWOW64\tkiaivm.exe
        
        C:\Windows\system32\tkiaivm.exe 1148 "C:\Windows\SysWOW64\lsjaugi.exe"
        5⤵
        
        PID:5956
      - C:\Windows\SysWOW64\iefvsjo.exe
        
        C:\Windows\system32\iefvsjo.exe 1120 "C:\Windows\SysWOW64\tkiaivm.exe"
        6⤵
        
        PID:3160

C:\Windows\SysWOW64\tlsyoit.exe
C:\Windows\system32\tlsyoit.exe 1148 "C:\Windows\SysWOW64\javnbmn.exe"
1⤵
PID:2560
- C:\Windows\SysWOW64\gycouls.exe
  C:\Windows\system32\gycouls.exe 1152 "C:\Windows\SysWOW64\tlsyoit.exe"
  2⤵
  PID:4856
- - C:\Windows\SysWOW64\gycouls.exe
    C:\Windows\system32\gycouls.exe 1152 "C:\Windows\SysWOW64\tlsyoit.exe"
    3⤵
    PID:6036
  - - C:\Windows\SysWOW64\tltlapy.exe
      C:\Windows\system32\tltlapy.exe 1152 "C:\Windows\SysWOW64\gycouls.exe"
      4⤵
      PID:3436
    - - C:\Windows\SysWOW64\tltlapy.exe
        
        C:\Windows\system32\tltlapy.exe 1152 "C:\Windows\SysWOW64\gycouls.exe"
        5⤵
        
        PID:1720
      - C:\Windows\SysWOW64\gydbftx.exe
        
        C:\Windows\system32\gydbftx.exe 1148 "C:\Windows\SysWOW64\tltlapy.exe"
        6⤵
        
        PID:5912

C:\Windows\SysWOW64\gydbftx.exe
C:\Windows\system32\gydbftx.exe 1148 "C:\Windows\SysWOW64\tltlapy.exe"
1⤵
PID:1372
- C:\Windows\SysWOW64\qialbwe.exe
  C:\Windows\system32\qialbwe.exe 1148 "C:\Windows\SysWOW64\gydbftx.exe"
  2⤵
  PID:4400
- - C:\Windows\SysWOW64\qialbwe.exe
    C:\Windows\system32\qialbwe.exe 1148 "C:\Windows\SysWOW64\gydbftx.exe"
    3⤵
    PID:4176
  - - C:\Windows\SysWOW64\dvkbgsc.exe
      C:\Windows\system32\dvkbgsc.exe 1148 "C:\Windows\SysWOW64\qialbwe.exe"
      4⤵
      PID:1596

C:\Windows\SysWOW64\dvkbgsc.exe
C:\Windows\system32\dvkbgsc.exe 1148 "C:\Windows\SysWOW64\qialbwe.exe"
1⤵
PID:3032
- C:\Windows\SysWOW64\qibrmwb.exe
  C:\Windows\system32\qibrmwb.exe 1148 "C:\Windows\SysWOW64\dvkbgsc.exe"
  2⤵
  PID:5696
- - C:\Windows\SysWOW64\qibrmwb.exe
    C:\Windows\system32\qibrmwb.exe 1148 "C:\Windows\SysWOW64\dvkbgsc.exe"
    3⤵
    PID:2652
  - - C:\Windows\SysWOW64\evlgsai.exe
      C:\Windows\system32\evlgsai.exe 1148 "C:\Windows\SysWOW64\qibrmwb.exe"
      4⤵
      PID:4740
    - - C:\Windows\SysWOW64\evlgsai.exe
        
        C:\Windows\system32\evlgsai.exe 1148 "C:\Windows\SysWOW64\qibrmwb.exe"
        5⤵
        
        PID:4612
      - C:\Windows\SysWOW64\ngirfdo.exe
        
        C:\Windows\system32\ngirfdo.exe 1148 "C:\Windows\SysWOW64\evlgsai.exe"
        6⤵
        
        PID:3868
        
        C:\Windows\SysWOW64\ngirfdo.exe
        
        C:\Windows\system32\ngirfdo.exe 1148 "C:\Windows\SysWOW64\evlgsai.exe"
        7⤵
        
        PID:4696
        
        C:\Windows\SysWOW64\ttshlhn.exe
        
        C:\Windows\system32\ttshlhn.exe 1148 "C:\Windows\SysWOW64\ngirfdo.exe"
        8⤵
        
        PID:996
        
        C:\Windows\SysWOW64\ntkdjtp.exe
        
        C:\Windows\system32\ntkdjtp.exe 1148 "C:\Windows\SysWOW64\zgsgvpq.exe"
        7⤵
        
        PID:1644
        
        C:\Windows\SysWOW64\agbtopo.exe
        
        C:\Windows\system32\agbtopo.exe 1144 "C:\Windows\SysWOW64\ntkdjtp.exe"
        8⤵
        
        PID:1748
        
        C:\Windows\SysWOW64\agbtopo.exe
        
        C:\Windows\system32\agbtopo.exe 1144 "C:\Windows\SysWOW64\ntkdjtp.exe"
        9⤵
        
        PID:1876
        
        C:\Windows\SysWOW64\ntljutn.exe
        
        C:\Windows\system32\ntljutn.exe 1148 "C:\Windows\SysWOW64\agbtopo.exe"
        10⤵
        
        PID:4460
        
        C:\Windows\SysWOW64\ntljutn.exe
        
        C:\Windows\system32\ntljutn.exe 1148 "C:\Windows\SysWOW64\agbtopo.exe"
        11⤵
        
        PID:5860
        
        C:\Windows\SysWOW64\xdathwb.exe
        
        C:\Windows\system32\xdathwb.exe 1148 "C:\Windows\SysWOW64\ntljutn.exe"
        12⤵
        
        PID:4936
        
        C:\Windows\SysWOW64\adnitwk.exe
        
        C:\Windows\system32\adnitwk.exe 1140 "C:\Windows\SysWOW64\nidsnal.exe"
        11⤵
        
        PID:1084
        
        C:\Windows\SysWOW64\nqeyzai.exe
        
        C:\Windows\system32\nqeyzai.exe 1148 "C:\Windows\SysWOW64\adnitwk.exe"
        12⤵
        
        PID:4460

C:\Windows\SysWOW64\ttshlhn.exe
C:\Windows\system32\ttshlhn.exe 1148 "C:\Windows\SysWOW64\ngirfdo.exe"
1⤵
PID:5764
- C:\Windows\SysWOW64\ggjwrcm.exe
  C:\Windows\system32\ggjwrcm.exe 1148 "C:\Windows\SysWOW64\ttshlhn.exe"
  2⤵
  PID:2384
- - C:\Windows\SysWOW64\ggjwrcm.exe
    C:\Windows\system32\ggjwrcm.exe 1148 "C:\Windows\SysWOW64\ttshlhn.exe"
    3⤵
    PID:2700
  - - C:\Windows\SysWOW64\tttuxgt.exe
      C:\Windows\system32\tttuxgt.exe 1140 "C:\Windows\SysWOW64\ggjwrcm.exe"
      4⤵
      PID:3268
    - - C:\Windows\SysWOW64\tttuxgt.exe
        
        C:\Windows\system32\tttuxgt.exe 1140 "C:\Windows\SysWOW64\ggjwrcm.exe"
        5⤵
        
        PID:640
      - C:\Windows\SysWOW64\deqesjz.exe
        
        C:\Windows\system32\deqesjz.exe 1148 "C:\Windows\SysWOW64\tttuxgt.exe"
        6⤵
        
        PID:5864
        
        C:\Windows\SysWOW64\deqesjz.exe
        
        C:\Windows\system32\deqesjz.exe 1148 "C:\Windows\SysWOW64\tttuxgt.exe"
        7⤵
        
        PID:5696
        
        C:\Windows\SysWOW64\qrauyny.exe
        
        C:\Windows\system32\qrauyny.exe 1140 "C:\Windows\SysWOW64\deqesjz.exe"
        8⤵
        
        PID:5416

C:\Windows\SysWOW64\yzhdves.exe
C:\Windows\system32\yzhdves.exe 1148 "C:\Windows\SysWOW64\lmqnpbt.exe"
1⤵
PID:2808
- C:\Windows\SysWOW64\lmrtaaq.exe
  C:\Windows\system32\lmrtaaq.exe 1148 "C:\Windows\SysWOW64\yzhdves.exe"
  2⤵
  PID:1964
- - C:\Windows\SysWOW64\lmrtaaq.exe
    C:\Windows\system32\lmrtaaq.exe 1148 "C:\Windows\SysWOW64\yzhdves.exe"
    3⤵
    PID:2336
  - - C:\Windows\SysWOW64\vwgdwdx.exe
      C:\Windows\system32\vwgdwdx.exe 1140 "C:\Windows\SysWOW64\lmrtaaq.exe"
      4⤵
      PID:2976
    - - C:\Windows\SysWOW64\vwgdwdx.exe
        
        C:\Windows\system32\vwgdwdx.exe 1140 "C:\Windows\SysWOW64\lmrtaaq.exe"
        5⤵
        
        PID:3652
      - C:\Windows\SysWOW64\ijytbhd.exe
        
        C:\Windows\system32\ijytbhd.exe 1152 "C:\Windows\SysWOW64\vwgdwdx.exe"
        6⤵
        
        PID:4740
        
        C:\Windows\SysWOW64\ijytbhd.exe
        
        C:\Windows\system32\ijytbhd.exe 1152 "C:\Windows\SysWOW64\vwgdwdx.exe"
        7⤵
        
        PID:5852
        
        C:\Windows\SysWOW64\vwpihlc.exe
        
        C:\Windows\system32\vwpihlc.exe 1144 "C:\Windows\SysWOW64\ijytbhd.exe"
        8⤵
        
        PID:380
        
        C:\Windows\SysWOW64\vwpihlc.exe
        
        C:\Windows\system32\vwpihlc.exe 1144 "C:\Windows\SysWOW64\ijytbhd.exe"
        9⤵
        
        PID:5304
        
        C:\Windows\SysWOW64\ijzynpb.exe
        
        C:\Windows\system32\ijzynpb.exe 1152 "C:\Windows\SysWOW64\vwpihlc.exe"
        10⤵
        
        PID:2384
        
        C:\Windows\SysWOW64\ijzynpb.exe
        
        C:\Windows\system32\ijzynpb.exe 1152 "C:\Windows\SysWOW64\vwpihlc.exe"
        11⤵
        
        PID:2712
        
        C:\Windows\SysWOW64\suoiakh.exe
        
        C:\Windows\system32\suoiakh.exe 1152 "C:\Windows\SysWOW64\ijzynpb.exe"
        12⤵
        
        PID:6112

C:\Windows\SysWOW64\ghgygoo.exe
C:\Windows\system32\ghgygoo.exe 1152 "C:\Windows\SysWOW64\suoiakh.exe"
1⤵
PID:1044
- C:\Windows\SysWOW64\tuxwmsn.exe
  C:\Windows\system32\tuxwmsn.exe 1140 "C:\Windows\SysWOW64\ghgygoo.exe"
  2⤵
  PID:684
- - C:\Windows\SysWOW64\tuxwmsn.exe
    C:\Windows\system32\tuxwmsn.exe 1140 "C:\Windows\SysWOW64\ghgygoo.exe"
    3⤵
    PID:2676
  - - C:\Windows\SysWOW64\ghhmswm.exe
      C:\Windows\system32\ghhmswm.exe 1132 "C:\Windows\SysWOW64\tuxwmsn.exe"
      4⤵
      PID:3064
    - - C:\Windows\SysWOW64\ghhmswm.exe
        
        C:\Windows\system32\ghhmswm.exe 1132 "C:\Windows\SysWOW64\tuxwmsn.exe"
        5⤵
        
        PID:3172
      - C:\Windows\SysWOW64\qswwnzs.exe
        
        C:\Windows\system32\qswwnzs.exe 1140 "C:\Windows\SysWOW64\ghhmswm.exe"
        6⤵
        
        PID:4856
        
        C:\Windows\SysWOW64\qswwnzs.exe
        
        C:\Windows\system32\qswwnzs.exe 1140 "C:\Windows\SysWOW64\ghhmswm.exe"
        7⤵
        
        PID:380
        
        C:\Windows\SysWOW64\dbdzqqs.exe
        
        C:\Windows\system32\dbdzqqs.exe 1148 "C:\Windows\SysWOW64\qswwnzs.exe"
        8⤵
        
        PID:3612
        
        C:\Windows\SysWOW64\dbdzqqs.exe
        
        C:\Windows\system32\dbdzqqs.exe 1148 "C:\Windows\SysWOW64\qswwnzs.exe"
        9⤵
        
        PID:5048
        
        C:\Windows\SysWOW64\qsfbyyy.exe
        
        C:\Windows\system32\qsfbyyy.exe 1148 "C:\Windows\SysWOW64\dbdzqqs.exe"
        10⤵
        
        PID:2920
        
        C:\Windows\SysWOW64\qsfbyyy.exe
        
        C:\Windows\system32\qsfbyyy.exe 1148 "C:\Windows\SysWOW64\dbdzqqs.exe"
        11⤵
        
        PID:1964
        
        C:\Windows\SysWOW64\deprecw.exe
        
        C:\Windows\system32\deprecw.exe 1152 "C:\Windows\SysWOW64\qsfbyyy.exe"
        12⤵
        
        PID:1280
        
        C:\Windows\SysWOW64\deprecw.exe
        
        C:\Windows\system32\deprecw.exe 1152 "C:\Windows\SysWOW64\qsfbyyy.exe"
        13⤵
        
        PID:968
        
        C:\Windows\SysWOW64\npebrfd.exe
        
        C:\Windows\system32\npebrfd.exe 1152 "C:\Windows\SysWOW64\deprecw.exe"
        14⤵
        
        PID:4808
        
        C:\Windows\SysWOW64\npebrfd.exe
        
        C:\Windows\system32\npebrfd.exe 1152 "C:\Windows\SysWOW64\deprecw.exe"
        15⤵
        
        PID:4740
        
        C:\Windows\SysWOW64\acwrxjb.exe
        
        C:\Windows\system32\acwrxjb.exe 1140 "C:\Windows\SysWOW64\npebrfd.exe"
        16⤵
        
        PID:5292
        
        C:\Windows\SysWOW64\acwrxjb.exe
        
        C:\Windows\system32\acwrxjb.exe 1140 "C:\Windows\SysWOW64\npebrfd.exe"
        17⤵
        
        PID:5556
        
        C:\Windows\SysWOW64\npnpdfi.exe
        
        C:\Windows\system32\npnpdfi.exe 1140 "C:\Windows\SysWOW64\acwrxjb.exe"
        18⤵
        
        PID:4856
        
        C:\Windows\SysWOW64\npnpdfi.exe
        
        C:\Windows\system32\npnpdfi.exe 1140 "C:\Windows\SysWOW64\acwrxjb.exe"
        19⤵
        
        PID:4980
        
        C:\Windows\SysWOW64\bcxfjjh.exe
        
        C:\Windows\system32\bcxfjjh.exe 1148 "C:\Windows\SysWOW64\npnpdfi.exe"
        20⤵
        
        PID:3644
        
        C:\Windows\SysWOW64\dfkoigt.exe
        
        C:\Windows\system32\dfkoigt.exe 1164 "C:\Windows\SysWOW64\tvvdndf.exe"
        13⤵
        
        PID:5444
        
        C:\Windows\SysWOW64\qhrqlfl.exe
        
        C:\Windows\system32\qhrqlfl.exe 1152 "C:\Windows\SysWOW64\dfkoigt.exe"
        14⤵
        
        PID:4928
        
        C:\Windows\SysWOW64\qhrqlfl.exe
        
        C:\Windows\system32\qhrqlfl.exe 1152 "C:\Windows\SysWOW64\dfkoigt.exe"
        15⤵
        
        PID:760
        
        C:\Windows\SysWOW64\asgbyiz.exe
        
        C:\Windows\system32\asgbyiz.exe 1144 "C:\Windows\SysWOW64\qhrqlfl.exe"
        16⤵
        
        PID:5568
        
        C:\Windows\SysWOW64\asgbyiz.exe
        
        C:\Windows\system32\asgbyiz.exe 1144 "C:\Windows\SysWOW64\qhrqlfl.exe"
        17⤵
        
        PID:5292
        
        C:\Windows\SysWOW64\ffyqemy.exe
        
        C:\Windows\system32\ffyqemy.exe 1148 "C:\Windows\SysWOW64\asgbyiz.exe"
        18⤵
        
        PID:5296
        
        C:\Windows\SysWOW64\lhcalgw.exe
        
        C:\Windows\system32\lhcalgw.exe 1148 "C:\Windows\SysWOW64\yulkfcx.exe"
        17⤵
        
        PID:2656
        
        C:\Windows\SysWOW64\vjrkyjc.exe
        
        C:\Windows\system32\vjrkyjc.exe 1152 "C:\Windows\SysWOW64\lhcalgw.exe"
        18⤵
        
        PID:1908

C:\Windows\SysWOW64\yaefkqm.exe
C:\Windows\system32\yaefkqm.exe 1148 "C:\Windows\SysWOW64\lnmpemn.exe"
1⤵
PID:2256
- C:\Windows\SysWOW64\lnvuqml.exe
  C:\Windows\system32\lnvuqml.exe 1140 "C:\Windows\SysWOW64\yaefkqm.exe"
  2⤵
  PID:5884
- - C:\Windows\SysWOW64\lnvuqml.exe
    C:\Windows\system32\lnvuqml.exe 1140 "C:\Windows\SysWOW64\yaefkqm.exe"
    3⤵
    PID:3436
  - - C:\Windows\SysWOW64\yafkvps.exe
      C:\Windows\system32\yafkvps.exe 1148 "C:\Windows\SysWOW64\lnvuqml.exe"
      4⤵
      PID:1464
    - - C:\Windows\SysWOW64\yafkvps.exe
        
        C:\Windows\system32\yafkvps.exe 1148 "C:\Windows\SysWOW64\lnvuqml.exe"
        5⤵
        
        PID:1200
      - C:\Windows\SysWOW64\ikuvjty.exe
        
        C:\Windows\system32\ikuvjty.exe 1152 "C:\Windows\SysWOW64\yafkvps.exe"
        6⤵
        
        PID:3612
        
        C:\Windows\SysWOW64\ikuvjty.exe
        
        C:\Windows\system32\ikuvjty.exe 1152 "C:\Windows\SysWOW64\yafkvps.exe"
        7⤵
        
        PID:5660
        
        C:\Windows\SysWOW64\vxmkowx.exe
        
        C:\Windows\system32\vxmkowx.exe 1148 "C:\Windows\SysWOW64\ikuvjty.exe"
        8⤵
        
        PID:4036
        
        C:\Windows\SysWOW64\vxmkowx.exe
        
        C:\Windows\system32\vxmkowx.exe 1148 "C:\Windows\SysWOW64\ikuvjty.exe"
        9⤵
        
        PID:696
        
        C:\Windows\SysWOW64\ikdacav.exe
        
        C:\Windows\system32\ikdacav.exe 1148 "C:\Windows\SysWOW64\vxmkowx.exe"
        10⤵
        
        PID:4112

C:\Windows\SysWOW64\ikdacav.exe
C:\Windows\system32\ikdacav.exe 1148 "C:\Windows\SysWOW64\vxmkowx.exe"
1⤵
PID:4272
- C:\Windows\SysWOW64\vxnyiwu.exe
  C:\Windows\system32\vxnyiwu.exe 1148 "C:\Windows\SysWOW64\ikdacav.exe"
  2⤵
  PID:2384
- - C:\Windows\SysWOW64\vxnyiwu.exe
    C:\Windows\system32\vxnyiwu.exe 1148 "C:\Windows\SysWOW64\ikdacav.exe"
    3⤵
    PID:5952
  - - C:\Windows\SysWOW64\ficavzi.exe
      C:\Windows\system32\ficavzi.exe 1148 "C:\Windows\SysWOW64\vxnyiwu.exe"
      4⤵
      PID:760
    - - C:\Windows\SysWOW64\ficavzi.exe
        
        C:\Windows\system32\ficavzi.exe 1148 "C:\Windows\SysWOW64\vxnyiwu.exe"
        5⤵
        
        PID:3160
      - C:\Windows\SysWOW64\svuybdh.exe
        
        C:\Windows\system32\svuybdh.exe 1148 "C:\Windows\SysWOW64\ficavzi.exe"
        6⤵
        
        PID:5912
        
        C:\Windows\SysWOW64\svuybdh.exe
        
        C:\Windows\system32\svuybdh.exe 1148 "C:\Windows\SysWOW64\ficavzi.exe"
        7⤵
        
        PID:4828
        
        C:\Windows\SysWOW64\gimnhhg.exe
        
        C:\Windows\system32\gimnhhg.exe 1152 "C:\Windows\SysWOW64\svuybdh.exe"
        8⤵
        
        PID:4824
        
        C:\Windows\SysWOW64\gimnhhg.exe
        
        C:\Windows\system32\gimnhhg.exe 1152 "C:\Windows\SysWOW64\svuybdh.exe"
        9⤵
        
        PID:3144
        
        C:\Windows\SysWOW64\tvvdndf.exe
        
        C:\Windows\system32\tvvdndf.exe 1148 "C:\Windows\SysWOW64\gimnhhg.exe"
        10⤵
        
        PID:4952
        
        C:\Windows\SysWOW64\tvvdndf.exe
        
        C:\Windows\system32\tvvdndf.exe 1148 "C:\Windows\SysWOW64\gimnhhg.exe"
        11⤵
        
        PID:3752
        
        C:\Windows\SysWOW64\dfkoigt.exe
        
        C:\Windows\system32\dfkoigt.exe 1164 "C:\Windows\SysWOW64\tvvdndf.exe"
        12⤵
        
        PID:1280
        
        C:\Windows\SysWOW64\xjvtyjn.exe
        
        C:\Windows\system32\xjvtyjn.exe 1152 "C:\Windows\SysWOW64\kwlesfp.exe"
        7⤵
        
        PID:5268
        
        C:\Windows\SysWOW64\ibkzlzp.exe
        
        C:\Windows\system32\ibkzlzp.exe 1148 "C:\Windows\SysWOW64\xjvtyjn.exe"
        8⤵
        
        PID:1808

C:\Windows\SysWOW64\dchjctg.exe
C:\Windows\system32\dchjctg.exe 1152 "C:\Windows\SysWOW64\qpxuwxi.exe"
1⤵
PID:5828
- C:\Windows\SysWOW64\nnwupwn.exe
  C:\Windows\system32\nnwupwn.exe 1152 "C:\Windows\SysWOW64\dchjctg.exe"
  2⤵
  PID:3360

C:\Windows\SysWOW64\nnwupwn.exe
C:\Windows\system32\nnwupwn.exe 1152 "C:\Windows\SysWOW64\dchjctg.exe"
1⤵
PID:5728
- C:\Windows\SysWOW64\awcesvn.exe
  C:\Windows\system32\awcesvn.exe 1148 "C:\Windows\SysWOW64\nnwupwn.exe"
  2⤵
  PID:2300

C:\Windows\SysWOW64\awcesvn.exe
C:\Windows\system32\awcesvn.exe 1148 "C:\Windows\SysWOW64\nnwupwn.exe"
1⤵
PID:2892
- C:\Windows\SysWOW64\njuuyzl.exe
  C:\Windows\system32\njuuyzl.exe 1148 "C:\Windows\SysWOW64\awcesvn.exe"
  2⤵
  PID:2940
- - C:\Windows\SysWOW64\njuuyzl.exe
    C:\Windows\system32\njuuyzl.exe 1148 "C:\Windows\SysWOW64\awcesvn.exe"
    3⤵
    PID:4640
  - - C:\Windows\SysWOW64\xmjftca.exe
      C:\Windows\system32\xmjftca.exe 1140 "C:\Windows\SysWOW64\njuuyzl.exe"
      4⤵
      PID:3388
    - - C:\Windows\SysWOW64\xmjftca.exe
        
        C:\Windows\system32\xmjftca.exe 1140 "C:\Windows\SysWOW64\njuuyzl.exe"
        5⤵
        
        PID:4952
      - C:\Windows\SysWOW64\khbuzgz.exe
        
        C:\Windows\system32\khbuzgz.exe 1148 "C:\Windows\SysWOW64\xmjftca.exe"
        6⤵
        
        PID:3112
        
        C:\Windows\SysWOW64\amvotdd.exe
        
        C:\Windows\system32\amvotdd.exe 1148 "C:\Windows\SysWOW64\nzdqnze.exe"
        7⤵
        
        PID:5296
        
        C:\Windows\SysWOW64\nzeezyj.exe
        
        C:\Windows\system32\nzeezyj.exe 1148 "C:\Windows\SysWOW64\amvotdd.exe"
        8⤵
        
        PID:732
        
        C:\Windows\SysWOW64\nllapbt.exe
        
        C:\Windows\system32\nllapbt.exe 1148 "C:\Windows\SysWOW64\ayukjyu.exe"
        9⤵
        
        PID:4772
        
        C:\Windows\SysWOW64\ayvqvfa.exe
        
        C:\Windows\system32\ayvqvfa.exe 1148 "C:\Windows\SysWOW64\nllapbt.exe"
        10⤵
        
        PID:5860
        
        C:\Windows\SysWOW64\ayvqvfa.exe
        
        C:\Windows\system32\ayvqvfa.exe 1148 "C:\Windows\SysWOW64\nllapbt.exe"
        11⤵
        
        PID:544
        
        C:\Windows\SysWOW64\kikaqig.exe
        
        C:\Windows\system32\kikaqig.exe 1140 "C:\Windows\SysWOW64\ayvqvfa.exe"
        12⤵
        
        PID:2300
        
        C:\Windows\SysWOW64\kikaqig.exe
        
        C:\Windows\system32\kikaqig.exe 1140 "C:\Windows\SysWOW64\ayvqvfa.exe"
        13⤵
        
        PID:3712
        
        C:\Windows\SysWOW64\pvcqwmf.exe
        
        C:\Windows\system32\pvcqwmf.exe 1148 "C:\Windows\SysWOW64\kikaqig.exe"
        14⤵
        
        PID:1876
    - - C:\Windows\SysWOW64\fjcecco.exe
        
        C:\Windows\system32\fjcecco.exe 1148 "C:\Windows\SysWOW64\swlhxyp.exe"
        5⤵
        
        PID:3268
      - C:\Windows\SysWOW64\pmshqfv.exe
        
        C:\Windows\system32\pmshqfv.exe 1148 "C:\Windows\SysWOW64\fjcecco.exe"
        6⤵
        
        PID:6400
        
        C:\Windows\SysWOW64\pmshqfv.exe
        
        C:\Windows\system32\pmshqfv.exe 1148 "C:\Windows\SysWOW64\fjcecco.exe"
        7⤵
        
        PID:5816
        
        C:\Windows\SysWOW64\czjedbt.exe
        
        C:\Windows\system32\czjedbt.exe 1152 "C:\Windows\SysWOW64\pmshqfv.exe"
        8⤵
        
        PID:6200
        
        C:\Windows\SysWOW64\czjedbt.exe
        
        C:\Windows\system32\czjedbt.exe 1152 "C:\Windows\SysWOW64\pmshqfv.exe"
        9⤵
        
        PID:6508
        
        C:\Windows\SysWOW64\putujea.exe
        
        C:\Windows\system32\putujea.exe 1148 "C:\Windows\SysWOW64\czjedbt.exe"
        10⤵
        
        PID:6456

C:\Windows\SysWOW64\khbuzgz.exe
C:\Windows\system32\khbuzgz.exe 1148 "C:\Windows\SysWOW64\xmjftca.exe"
1⤵
PID:1280
- C:\Windows\SysWOW64\yulkfcx.exe
  C:\Windows\system32\yulkfcx.exe 1148 "C:\Windows\SysWOW64\khbuzgz.exe"
  2⤵
  PID:5848
- - C:\Windows\SysWOW64\yulkfcx.exe
    C:\Windows\system32\yulkfcx.exe 1148 "C:\Windows\SysWOW64\khbuzgz.exe"
    3⤵
    PID:5992
  - - C:\Windows\SysWOW64\lhcalgw.exe
      C:\Windows\system32\lhcalgw.exe 1148 "C:\Windows\SysWOW64\yulkfcx.exe"
      4⤵
      PID:5568

C:\Windows\SysWOW64\vjrkyjc.exe
C:\Windows\system32\vjrkyjc.exe 1152 "C:\Windows\SysWOW64\lhcalgw.exe"
1⤵
PID:4808
- C:\Windows\SysWOW64\iejaenj.exe
  C:\Windows\system32\iejaenj.exe 1132 "C:\Windows\SysWOW64\vjrkyjc.exe"
  2⤵
  PID:4628

C:\Windows\SysWOW64\iejaenj.exe
C:\Windows\system32\iejaenj.exe 1132 "C:\Windows\SysWOW64\vjrkyjc.exe"
1⤵
PID:3064
- C:\Windows\SysWOW64\vrtpkji.exe
  C:\Windows\system32\vrtpkji.exe 1148 "C:\Windows\SysWOW64\iejaenj.exe"
  2⤵
  PID:5860
- - C:\Windows\SysWOW64\vrtpkji.exe
    C:\Windows\system32\vrtpkji.exe 1148 "C:\Windows\SysWOW64\iejaenj.exe"
    3⤵
    PID:4776
  - - C:\Windows\SysWOW64\ieknpmh.exe
      C:\Windows\system32\ieknpmh.exe 1148 "C:\Windows\SysWOW64\vrtpkji.exe"
      4⤵
      PID:4600

C:\Windows\SysWOW64\shzylpn.exe
C:\Windows\system32\shzylpn.exe 1148 "C:\Windows\SysWOW64\ieknpmh.exe"
1⤵
PID:4368
- C:\Windows\SysWOW64\fcjnqtu.exe
  C:\Windows\system32\fcjnqtu.exe 1040 "C:\Windows\SysWOW64\shzylpn.exe"
  2⤵
  PID:2184

C:\Windows\SysWOW64\fcjnqtu.exe
C:\Windows\system32\fcjnqtu.exe 1040 "C:\Windows\SysWOW64\shzylpn.exe"
1⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Suspicious use of WriteProcessMemory
PID:400
- C:\Windows\SysWOW64\spbdwxt.exe
  C:\Windows\system32\spbdwxt.exe 1148 "C:\Windows\SysWOW64\fcjnqtu.exe"
  2⤵
  PID:624
- - C:\Windows\SysWOW64\spbdwxt.exe
    C:\Windows\system32\spbdwxt.exe 1148 "C:\Windows\SysWOW64\fcjnqtu.exe"
    3⤵
    PID:4856
  - - C:\Windows\SysWOW64\fcstctr.exe
      C:\Windows\system32\fcstctr.exe 1148 "C:\Windows\SysWOW64\spbdwxt.exe"
      4⤵
      PID:1404

C:\Windows\SysWOW64\fcstctr.exe
C:\Windows\system32\fcstctr.exe 1148 "C:\Windows\SysWOW64\spbdwxt.exe"
1⤵
PID:628
- C:\Windows\SysWOW64\pfhdpwy.exe
  C:\Windows\system32\pfhdpwy.exe 1152 "C:\Windows\SysWOW64\fcstctr.exe"
  2⤵
  PID:684
- - C:\Windows\SysWOW64\pfhdpwy.exe
    C:\Windows\system32\pfhdpwy.exe 1152 "C:\Windows\SysWOW64\fcstctr.exe"
    3⤵
    PID:5428
  - - C:\Windows\SysWOW64\doogswy.exe
      C:\Windows\system32\doogswy.exe 1128 "C:\Windows\SysWOW64\pfhdpwy.exe"
      4⤵
      PID:3684
    - - C:\Windows\SysWOW64\doogswy.exe
        
        C:\Windows\system32\doogswy.exe 1128 "C:\Windows\SysWOW64\pfhdpwy.exe"
        5⤵
        
        PID:2088
      - C:\Windows\SysWOW64\nzdqnze.exe
        
        C:\Windows\system32\nzdqnze.exe 1148 "C:\Windows\SysWOW64\doogswy.exe"
        6⤵
        
        PID:3612
        
        C:\Windows\SysWOW64\nzdqnze.exe
        
        C:\Windows\system32\nzdqnze.exe 1148 "C:\Windows\SysWOW64\doogswy.exe"
        7⤵
        
        PID:5396
        
        C:\Windows\SysWOW64\amvotdd.exe
        
        C:\Windows\system32\amvotdd.exe 1148 "C:\Windows\SysWOW64\nzdqnze.exe"
        8⤵
        
        PID:3112
    - - C:\Windows\SysWOW64\xdjztdz.exe
        
        C:\Windows\system32\xdjztdz.exe 1144 "C:\Windows\SysWOW64\kqsjnaa.exe"
        5⤵
        
        PID:1748
      - C:\Windows\SysWOW64\kqtozzx.exe
        
        C:\Windows\system32\kqtozzx.exe 1148 "C:\Windows\SysWOW64\xdjztdz.exe"
        6⤵
        
        PID:5208
        
        C:\Windows\SysWOW64\kqtozzx.exe
        
        C:\Windows\system32\kqtozzx.exe 1148 "C:\Windows\SysWOW64\xdjztdz.exe"
        7⤵
        
        PID:5636
        
        C:\Windows\SysWOW64\ubizucm.exe
        
        C:\Windows\system32\ubizucm.exe 1148 "C:\Windows\SysWOW64\kqtozzx.exe"
        8⤵
        
        PID:3684
        
        C:\Windows\SysWOW64\szqmzjo.exe
        
        C:\Windows\system32\szqmzjo.exe 1148 "C:\Windows\SysWOW64\iobclgi.exe"
        9⤵
        
        PID:3868
        
        C:\Windows\SysWOW64\fmicenv.exe
        
        C:\Windows\system32\fmicenv.exe 1144 "C:\Windows\SysWOW64\szqmzjo.exe"
        10⤵
        
        PID:4356

C:\Windows\SysWOW64\nzeezyj.exe
C:\Windows\system32\nzeezyj.exe 1148 "C:\Windows\SysWOW64\amvotdd.exe"
1⤵
PID:3248
- C:\Windows\SysWOW64\amwtfci.exe
  C:\Windows\system32\amwtfci.exe 1152 "C:\Windows\SysWOW64\nzeezyj.exe"
  2⤵
  PID:4152
- - C:\Windows\SysWOW64\amwtfci.exe
    C:\Windows\system32\amwtfci.exe 1152 "C:\Windows\SysWOW64\nzeezyj.exe"
    3⤵
    PID:1464
  - - C:\Windows\SysWOW64\kwlesfp.exe
      C:\Windows\system32\kwlesfp.exe 1152 "C:\Windows\SysWOW64\amwtfci.exe"
      4⤵
      PID:3656
    - - C:\Windows\SysWOW64\kwlesfp.exe
        
        C:\Windows\system32\kwlesfp.exe 1152 "C:\Windows\SysWOW64\amwtfci.exe"
        5⤵
        
        PID:3360
      - C:\Windows\SysWOW64\xjvtyjn.exe
        
        C:\Windows\system32\xjvtyjn.exe 1152 "C:\Windows\SysWOW64\kwlesfp.exe"
        6⤵
        
        PID:5912

C:\Windows\SysWOW64\dankqzp.exe
C:\Windows\system32\dankqzp.exe 1144 "C:\Windows\SysWOW64\qndnkvq.exe"
1⤵
PID:3924
- C:\Windows\SysWOW64\nlkvdcv.exe
  C:\Windows\system32\nlkvdcv.exe 1152 "C:\Windows\SysWOW64\dankqzp.exe"
  2⤵
  PID:5860
- - C:\Windows\SysWOW64\nlkvdcv.exe
    C:\Windows\system32\nlkvdcv.exe 1152 "C:\Windows\SysWOW64\dankqzp.exe"
    3⤵
    PID:4684
  - - C:\Windows\SysWOW64\ayukjyu.exe
      C:\Windows\system32\ayukjyu.exe 1148 "C:\Windows\SysWOW64\nlkvdcv.exe"
      4⤵
      PID:1876
    - - C:\Windows\SysWOW64\ayukjyu.exe
        
        C:\Windows\system32\ayukjyu.exe 1148 "C:\Windows\SysWOW64\nlkvdcv.exe"
        5⤵
        
        PID:3644
      - C:\Windows\SysWOW64\nllapbt.exe
        
        C:\Windows\system32\nllapbt.exe 1148 "C:\Windows\SysWOW64\ayukjyu.exe"
        6⤵
        
        PID:732
    - - C:\Windows\SysWOW64\pvcqwmf.exe
        
        C:\Windows\system32\pvcqwmf.exe 1148 "C:\Windows\SysWOW64\kikaqig.exe"
        5⤵
        
        PID:1012
      - C:\Windows\SysWOW64\citgcid.exe
        
        C:\Windows\system32\citgcid.exe 1152 "C:\Windows\SysWOW64\pvcqwmf.exe"
        6⤵
        
        PID:4440
        
        C:\Windows\SysWOW64\citgcid.exe
        
        C:\Windows\system32\citgcid.exe 1152 "C:\Windows\SysWOW64\pvcqwmf.exe"
        7⤵
        
        PID:6140
        
        C:\Windows\SysWOW64\pvdvhmk.exe
        
        C:\Windows\system32\pvdvhmk.exe 1152 "C:\Windows\SysWOW64\citgcid.exe"
        8⤵
        
        PID:3292
        
        C:\Windows\SysWOW64\pvdvhmk.exe
        
        C:\Windows\system32\pvdvhmk.exe 1152 "C:\Windows\SysWOW64\citgcid.exe"
        9⤵
        
        PID:5840
        
        C:\Windows\SysWOW64\zgsgvpq.exe
        
        C:\Windows\system32\zgsgvpq.exe 1148 "C:\Windows\SysWOW64\pvdvhmk.exe"
        10⤵
        
        PID:4792
        
        C:\Windows\SysWOW64\zgsgvpq.exe
        
        C:\Windows\system32\zgsgvpq.exe 1148 "C:\Windows\SysWOW64\pvdvhmk.exe"
        11⤵
        
        PID:5796
        
        C:\Windows\SysWOW64\ntkdjtp.exe
        
        C:\Windows\system32\ntkdjtp.exe 1148 "C:\Windows\SysWOW64\zgsgvpq.exe"
        12⤵
        
        PID:3868

C:\Windows\SysWOW64\xdathwb.exe
C:\Windows\system32\xdathwb.exe 1148 "C:\Windows\SysWOW64\ntljutn.exe"
1⤵
PID:5620
- C:\Windows\SysWOW64\kqsjnaa.exe
  C:\Windows\system32\kqsjnaa.exe 1152 "C:\Windows\SysWOW64\xdathwb.exe"
  2⤵
  PID:5208

C:\Windows\SysWOW64\fmicenv.exe
C:\Windows\system32\fmicenv.exe 1144 "C:\Windows\SysWOW64\szqmzjo.exe"
1⤵
PID:4608
- C:\Windows\SysWOW64\szzskru.exe
  C:\Windows\system32\szzskru.exe 1152 "C:\Windows\SysWOW64\fmicenv.exe"
  2⤵
  PID:5020
- - C:\Windows\SysWOW64\szzskru.exe
    C:\Windows\system32\szzskru.exe 1152 "C:\Windows\SysWOW64\fmicenv.exe"
    3⤵
    PID:4936
  - - C:\Windows\SysWOW64\fmjhqvt.exe
      C:\Windows\system32\fmjhqvt.exe 1152 "C:\Windows\SysWOW64\szzskru.exe"
      4⤵
      PID:220

C:\Windows\SysWOW64\xbvofku.exe
C:\Windows\system32\xbvofku.exe 1148 "C:\Windows\SysWOW64\krolclu.exe"
1⤵
PID:6500
- C:\Windows\SysWOW64\komllgt.exe
  C:\Windows\system32\komllgt.exe 1148 "C:\Windows\SysWOW64\xbvofku.exe"
  2⤵
  PID:6568

C:\Windows\SysWOW64\komllgt.exe
C:\Windows\system32\komllgt.exe 1148 "C:\Windows\SysWOW64\xbvofku.exe"
1⤵
PID:6592
- C:\Windows\SysWOW64\uqcwyjz.exe
  C:\Windows\system32\uqcwyjz.exe 1148 "C:\Windows\SysWOW64\komllgt.exe"
  2⤵
  PID:6660

C:\Windows\SysWOW64\uqcwyjz.exe
C:\Windows\system32\uqcwyjz.exe 1148 "C:\Windows\SysWOW64\komllgt.exe"
1⤵
PID:6684
- C:\Windows\SysWOW64\hdtleng.exe
  C:\Windows\system32\hdtleng.exe 1148 "C:\Windows\SysWOW64\uqcwyjz.exe"
  2⤵
  PID:6752
- - C:\Windows\SysWOW64\hdtleng.exe
    C:\Windows\system32\hdtleng.exe 1148 "C:\Windows\SysWOW64\uqcwyjz.exe"
    3⤵
    PID:6776
  - - C:\Windows\SysWOW64\uydbkrf.exe
      C:\Windows\system32\uydbkrf.exe 1148 "C:\Windows\SysWOW64\hdtleng.exe"
      4⤵
      PID:6844

C:\Windows\SysWOW64\uydbkrf.exe
C:\Windows\system32\uydbkrf.exe 1148 "C:\Windows\SysWOW64\hdtleng.exe"
1⤵
PID:6868
- C:\Windows\SysWOW64\iluryne.exe
  C:\Windows\system32\iluryne.exe 1148 "C:\Windows\SysWOW64\uydbkrf.exe"
  2⤵
  PID:6936
- - C:\Windows\SysWOW64\iluryne.exe
    C:\Windows\system32\iluryne.exe 1148 "C:\Windows\SysWOW64\uydbkrf.exe"
    3⤵
    PID:6960
  - - C:\Windows\SysWOW64\sokblqk.exe
      C:\Windows\system32\sokblqk.exe 1148 "C:\Windows\SysWOW64\iluryne.exe"
      4⤵
      PID:7032
    - - C:\Windows\SysWOW64\sokblqk.exe
        
        C:\Windows\system32\sokblqk.exe 1148 "C:\Windows\SysWOW64\iluryne.exe"
        5⤵
        
        PID:7056
      - C:\Windows\SysWOW64\fbbrruj.exe
        
        C:\Windows\system32\fbbrruj.exe 1148 "C:\Windows\SysWOW64\sokblqk.exe"
        6⤵
        
        PID:7124
        
        C:\Windows\SysWOW64\fbbrruj.exe
        
        C:\Windows\system32\fbbrruj.exe 1148 "C:\Windows\SysWOW64\sokblqk.exe"
        7⤵
        
        PID:7148
        
        C:\Windows\SysWOW64\swlhxyp.exe
        
        C:\Windows\system32\swlhxyp.exe 1116 "C:\Windows\SysWOW64\fbbrruj.exe"
        8⤵
        
        PID:6160

C:\Windows\SysWOW64\swlhxyp.exe
C:\Windows\system32\swlhxyp.exe 1116 "C:\Windows\SysWOW64\fbbrruj.exe"
1⤵
PID:2280
- C:\Windows\SysWOW64\fjcecco.exe
  C:\Windows\system32\fjcecco.exe 1148 "C:\Windows\SysWOW64\swlhxyp.exe"
  2⤵
  PID:3388

C:\Windows\SysWOW64\putujea.exe
C:\Windows\system32\putujea.exe 1148 "C:\Windows\SysWOW64\czjedbt.exe"
1⤵
PID:6588
- C:\Windows\SysWOW64\chkkpiz.exe
  C:\Windows\system32\chkkpiz.exe 1148 "C:\Windows\SysWOW64\putujea.exe"
  2⤵
  PID:6548
- - C:\Windows\SysWOW64\chkkpiz.exe
    C:\Windows\system32\chkkpiz.exe 1148 "C:\Windows\SysWOW64\putujea.exe"
    3⤵
    PID:6696
  - - C:\Windows\SysWOW64\mjauclf.exe
      C:\Windows\system32\mjauclf.exe 1148 "C:\Windows\SysWOW64\chkkpiz.exe"
      4⤵
      PID:6640
    - - C:\Windows\SysWOW64\mjauclf.exe
        
        C:\Windows\system32\mjauclf.exe 1148 "C:\Windows\SysWOW64\chkkpiz.exe"
        5⤵
        
        PID:6788
      - C:\Windows\SysWOW64\zwjkihe.exe
        
        C:\Windows\system32\zwjkihe.exe 1140 "C:\Windows\SysWOW64\mjauclf.exe"
        6⤵
        
        PID:6688

C:\Windows\SysWOW64\zwjkihe.exe
C:\Windows\system32\zwjkihe.exe 1140 "C:\Windows\SysWOW64\mjauclf.exe"
1⤵
PID:6912
- C:\Windows\SysWOW64\nrbaold.exe
  C:\Windows\system32\nrbaold.exe 1148 "C:\Windows\SysWOW64\zwjkihe.exe"
  2⤵
  PID:6780
- - C:\Windows\SysWOW64\nrbaold.exe
    C:\Windows\system32\nrbaold.exe 1148 "C:\Windows\SysWOW64\zwjkihe.exe"
    3⤵
    PID:7000

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\SysWOW64\ctwzwou.exe

Filesize
440KB

MD5
39927b40478fb42bf73f909b1e3cbe18

SHA1
15d8cb53c2b5bf4e4e430d27a9c09584a0c741e6

SHA256
7f15f65eff5f4776a7a19cb5cc922f9e2e8c4cf5b066741fc0ea5190954a682f

SHA512
14ce0e8cb5e52a36531f45146302a0c6a965742673dde7207e7576df37a921ac6b284390bad59e9a6c03f87b33e6d9a255e052a124c34e87339adc449b75e8eb

Download Submit
C:\Windows\SysWOW64\rxogecb.exe

Filesize
92KB

MD5
bf698ed22b5d92ad9fb7605dc09d7892

SHA1
9a5798b4bfec78c8a35630091466f173070e8f6a

SHA256
c6b037e3db53c6e03181de03497e88a2216b53a97a90568d30daa3e9d88ffa32

SHA512
6fee8d7273f66550e4bc0d8c41162917faeacdd004b2a45b5ebc3bb1d8a64b9e9fcad64b41561ed6d3775e18d25904a6ff9a7732092cd19c203cb96c32c4eb1d

Download Submit
memory/64-179-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/64-158-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/396-363-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/396-379-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/432-409-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/432-393-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/532-299-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/532-283-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/720-15-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/720-2-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/720-3-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/720-0-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/864-308-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/864-293-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/912-98-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/912-111-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/956-244-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/956-223-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/1208-228-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/1208-210-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/1240-63-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/1240-50-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/1272-303-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/1272-319-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/1688-323-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/1688-338-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/1716-254-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/1716-236-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/1924-51-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/1924-38-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/2092-163-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/2092-146-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/2140-353-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/2140-369-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/2204-349-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/2204-333-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/2380-418-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/2380-403-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/2412-189-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/2412-171-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/2548-313-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/2548-328-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/2632-123-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/2632-110-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/3000-197-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/3000-218-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/3228-279-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/3228-262-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/3304-26-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/3304-39-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/3340-27-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/3340-14-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/3648-202-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/3648-184-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/3772-249-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/3772-267-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/3784-413-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/3784-429-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/3972-359-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/3972-343-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/4052-289-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/4052-273-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/4232-423-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/4484-433-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/4524-122-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/4524-135-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/4644-75-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/4644-62-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/4752-383-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/4752-398-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/4812-99-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/4812-86-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/4872-87-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/4872-74-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/4912-147-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/4912-134-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/4976-373-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download
memory/4976-386-0x0000000000400000-0x000000000050E000-memory.dmp

Filesize
1.1MB

Download