fb222ecac4c4478fd67edbe574790c1a3d4f8a1d3b510ad9434e9028a600a01f

Analysis

max time kernel
22s
max time network
185s
platform
windows10-2004_x64
resource
win10v2004-20231215-en
resource tags

arch:x64arch:x86image:win10v2004-20231215-enlocale:en-usos:windows10-2004-x64system
submitted
06/01/2024, 20:49

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

416c3e0487500785e55fd827e53fb86d.exe
Size

113KB
MD5

416c3e0487500785e55fd827e53fb86d
SHA1

7765ae86f32989698c81257ba7310a839fb7ef5b
SHA256

fb222ecac4c4478fd67edbe574790c1a3d4f8a1d3b510ad9434e9028a600a01f
SHA512

49f65e0343a7caee6c70025906c6ede6018a363456271bb84296726f06a6fe9cb89d58bed02b989f53795c4303e4ffc8dd066cb364c103153bda9389947cf7a2
SSDEEP

1536:CYCaiQqJKRs8lXBQfeiYfueIM1cgCe8uvQGYQzlVZg2lKVTP96YS2bMJVn:jNJKwutMugCe8uvQa7gRj9/S2Kn

Score

10^/10

backdoor dropper persistence trojan

Malware Config

Signatures

Adds autorun key to be loaded by Explorer.exe on startup 2 TTPs 8 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

description	ioc	Process
Key created	\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad	Mdkhkflh.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\Web Event Logger = "{79FEACFF-FFCE-815E-A900-316290B5B738}"	Mdkhkflh.exe
Key created	\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad	Domdjj32.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\Web Event Logger = "{79FEACFF-FFCE-815E-A900-316290B5B738}"	Domdjj32.exe
Key created	\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad	Dbkqfe32.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\Web Event Logger = "{79FEACFF-FFCE-815E-A900-316290B5B738}"	Dbkqfe32.exe
Key created	\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad	Fgijkgeh.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\Web Event Logger = "{79FEACFF-FFCE-815E-A900-316290B5B738}"	Fgijkgeh.exe

Malware Dropper & Backdoor - Berbew 21 IoCs

Berbew is a backdoor Trojan malware with capabilities to download and install a range of additional malicious software, such as other Trojans, ransomware, and cryptominers.

backdoor trojan dropper

resource	yara_rule
behavioral2/files/0x00050000000006e9-7.dat	family_berbew
behavioral2/files/0x0006000000023228-63.dat	family_berbew
behavioral2/files/0x0006000000023220-40.dat	family_berbew
behavioral2/files/0x000600000002321e-31.dat	family_berbew
behavioral2/files/0x000600000002321c-23.dat	family_berbew
behavioral2/files/0x0007000000023217-15.dat	family_berbew
behavioral2/files/0x00050000000006e9-9.dat	family_berbew
behavioral2/files/0x00060000000238e4-5428.dat	family_berbew
behavioral2/files/0x00060000000238e9-5440.dat	family_berbew
behavioral2/files/0x00060000000238f2-5464.dat	family_berbew
behavioral2/files/0x0006000000023927-5621.dat	family_berbew
behavioral2/files/0x00060000000235c6-3035.dat	family_berbew
behavioral2/files/0x000600000002358a-2841.dat	family_berbew
behavioral2/files/0x0006000000023566-2728.dat	family_berbew
behavioral2/files/0x0006000000023548-2645.dat	family_berbew
behavioral2/files/0x0006000000023530-2568.dat	family_berbew
behavioral2/files/0x00060000000234d8-2284.dat	family_berbew
behavioral2/files/0x00060000000234c6-2223.dat	family_berbew
behavioral2/files/0x00060000000234a3-2123.dat	family_berbew
behavioral2/files/0x0006000000023487-2031.dat	family_berbew
behavioral2/files/0x000600000002346c-1928.dat	family_berbew

Executes dropped EXE 4 IoCs

pid	Process
4496	Mdkhkflh.exe
2796	Domdjj32.exe
2320	Dbkqfe32.exe
2472	Dheibpje.exe

Drops file in System32 directory 12 IoCs

description	ioc	Process
File opened for modification	C:\Windows\SysWOW64\Ddgplado.exe	Fgijkgeh.exe
File created	C:\Windows\SysWOW64\Jfegnkqm.dll	Fgijkgeh.exe
File created	C:\Windows\SysWOW64\Domdjj32.exe	Mdkhkflh.exe
File created	C:\Windows\SysWOW64\Angdnk32.dll	Mdkhkflh.exe
File opened for modification	C:\Windows\SysWOW64\Dbkqfe32.exe	Domdjj32.exe
File created	C:\Windows\SysWOW64\Faeghb32.dll	Domdjj32.exe
File opened for modification	C:\Windows\SysWOW64\Dheibpje.exe	Dbkqfe32.exe
File created	C:\Windows\SysWOW64\Ddgplado.exe	Fgijkgeh.exe
File opened for modification	C:\Windows\SysWOW64\Domdjj32.exe	Mdkhkflh.exe
File created	C:\Windows\SysWOW64\Dbkqfe32.exe	Domdjj32.exe
File created	C:\Windows\SysWOW64\Dheibpje.exe	Dbkqfe32.exe
File created	C:\Windows\SysWOW64\Poigcbng.dll	Dbkqfe32.exe

Program crash 1 IoCs

pid	pid_target	Process	procid_target
5148	5584	WerFault.exe	877

Modifies registry class 15 IoCs

description	ioc	Process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32\ThreadingModel = "Apartment"	Fgijkgeh.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32	Domdjj32.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32\ThreadingModel = "Apartment"	Dbkqfe32.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32	Dbkqfe32.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node	Fgijkgeh.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32\ = "C:\\Windows\\SysWow64\\Angdnk32.dll"	Mdkhkflh.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32\ = "C:\\Windows\\SysWow64\\Faeghb32.dll"	Domdjj32.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32\ThreadingModel = "Apartment"	Domdjj32.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32\ThreadingModel = "Apartment"	Mdkhkflh.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32\ = "C:\\Windows\\SysWow64\\Poigcbng.dll"	Dbkqfe32.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32	Mdkhkflh.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32	Fgijkgeh.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID	Fgijkgeh.exe
Key created	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}	Fgijkgeh.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32\ = "C:\\Windows\\SysWow64\\Jfegnkqm.dll"	Fgijkgeh.exe

Suspicious use of WriteProcessMemory 12 IoCs

description	pid	Process	procid_target
PID 5104 wrote to memory of 4496	5104	Fgijkgeh.exe	847
PID 5104 wrote to memory of 4496	5104	Fgijkgeh.exe	847
PID 5104 wrote to memory of 4496	5104	Fgijkgeh.exe	847
PID 4496 wrote to memory of 2796	4496	Mdkhkflh.exe	275
PID 4496 wrote to memory of 2796	4496	Mdkhkflh.exe	275
PID 4496 wrote to memory of 2796	4496	Mdkhkflh.exe	275
PID 2796 wrote to memory of 2320	2796	Domdjj32.exe	274
PID 2796 wrote to memory of 2320	2796	Domdjj32.exe	274
PID 2796 wrote to memory of 2320	2796	Domdjj32.exe	274
PID 2320 wrote to memory of 2472	2320	Dbkqfe32.exe	273
PID 2320 wrote to memory of 2472	2320	Dbkqfe32.exe	273
PID 2320 wrote to memory of 2472	2320	Dbkqfe32.exe	273

C:\Users\Admin\AppData\Local\Temp\416c3e0487500785e55fd827e53fb86d.exe
"C:\Users\Admin\AppData\Local\Temp\416c3e0487500785e55fd827e53fb86d.exe"
1⤵
PID:5104
- C:\Windows\SysWOW64\Ddgplado.exe
  C:\Windows\system32\Ddgplado.exe
  2⤵
  PID:4496

C:\Windows\SysWOW64\Dkceokii.exe
C:\Windows\system32\Dkceokii.exe
1⤵
PID:1312
- C:\Windows\SysWOW64\Ddligq32.exe
  C:\Windows\system32\Ddligq32.exe
  2⤵
  PID:4428

C:\Windows\SysWOW64\Eppjfgcp.exe
C:\Windows\system32\Eppjfgcp.exe
1⤵
PID:1468
- C:\Windows\SysWOW64\Fpbflg32.exe
  C:\Windows\system32\Fpbflg32.exe
  2⤵
  PID:2792
- - C:\Windows\SysWOW64\Gjqinamq.exe
    C:\Windows\system32\Gjqinamq.exe
    3⤵
    PID:9244
- C:\Windows\SysWOW64\Gcimfg32.exe
  C:\Windows\system32\Gcimfg32.exe
  2⤵
  PID:4056
- - C:\Windows\SysWOW64\Gfgjbb32.exe
    C:\Windows\system32\Gfgjbb32.exe
    3⤵
    PID:2668

C:\Windows\SysWOW64\Fbelcblk.exe
C:\Windows\system32\Fbelcblk.exe
1⤵
PID:1508
- C:\Windows\SysWOW64\Fiodpl32.exe
  C:\Windows\system32\Fiodpl32.exe
  2⤵
  PID:2552

C:\Windows\SysWOW64\Fmhdkknd.exe
C:\Windows\system32\Fmhdkknd.exe
1⤵
PID:492

C:\Windows\SysWOW64\Holfoqcm.exe
C:\Windows\system32\Holfoqcm.exe
1⤵
PID:4504
- C:\Windows\SysWOW64\Hefnkkkj.exe
  C:\Windows\system32\Hefnkkkj.exe
  2⤵
  PID:2432

C:\Windows\SysWOW64\Hpnoncim.exe
C:\Windows\system32\Hpnoncim.exe
1⤵
PID:800
- C:\Windows\SysWOW64\Hfhgkmpj.exe
  C:\Windows\system32\Hfhgkmpj.exe
  2⤵
  PID:2780

C:\Windows\SysWOW64\Hpqldc32.exe
C:\Windows\system32\Hpqldc32.exe
1⤵
PID:3148
- C:\Windows\SysWOW64\Hemdlj32.exe
  C:\Windows\system32\Hemdlj32.exe
  2⤵
  PID:4636
- - C:\Windows\SysWOW64\Hlglidlo.exe
    C:\Windows\system32\Hlglidlo.exe
    3⤵
    PID:2200
  - - C:\Windows\SysWOW64\Iepaaico.exe
      C:\Windows\system32\Iepaaico.exe
      4⤵
      PID:4040
    - - C:\Windows\SysWOW64\Impliekg.exe
        
        C:\Windows\system32\Impliekg.exe
        5⤵
        
        PID:2316
- - C:\Windows\SysWOW64\Nkebee32.exe
    C:\Windows\system32\Nkebee32.exe
    3⤵
    PID:5132

C:\Windows\SysWOW64\Hmpcbhji.exe
C:\Windows\system32\Hmpcbhji.exe
1⤵
PID:2324

C:\Windows\SysWOW64\Hffken32.exe
C:\Windows\system32\Hffken32.exe
1⤵
PID:3776

C:\Windows\SysWOW64\Jcmdaljn.exe
C:\Windows\system32\Jcmdaljn.exe
1⤵
PID:3916
- C:\Windows\SysWOW64\Jiglnf32.exe
  C:\Windows\system32\Jiglnf32.exe
  2⤵
  PID:4976
- - C:\Windows\SysWOW64\Jpcapp32.exe
    C:\Windows\system32\Jpcapp32.exe
    3⤵
    PID:660
  - - C:\Windows\SysWOW64\Jilfifme.exe
      C:\Windows\system32\Jilfifme.exe
      4⤵
      PID:1744

C:\Windows\SysWOW64\Jpenfp32.exe
C:\Windows\system32\Jpenfp32.exe
1⤵
PID:2136
- C:\Windows\SysWOW64\Jcdjbk32.exe
  C:\Windows\system32\Jcdjbk32.exe
  2⤵
  PID:2984

C:\Windows\SysWOW64\Jllokajf.exe
C:\Windows\system32\Jllokajf.exe
1⤵
PID:2588
- C:\Windows\SysWOW64\Jgbchj32.exe
  C:\Windows\system32\Jgbchj32.exe
  2⤵
  PID:5152
- - C:\Windows\SysWOW64\Jlolpq32.exe
    C:\Windows\system32\Jlolpq32.exe
    3⤵
    PID:5200
  - - C:\Windows\SysWOW64\Komhll32.exe
      C:\Windows\system32\Komhll32.exe
      4⤵
      PID:5240
  - - C:\Windows\SysWOW64\Mknlef32.exe
      C:\Windows\system32\Mknlef32.exe
      4⤵
      PID:5596
- - C:\Windows\SysWOW64\Mhppik32.exe
    C:\Windows\system32\Mhppik32.exe
    3⤵
    PID:5200

C:\Windows\SysWOW64\Kgdpni32.exe
C:\Windows\system32\Kgdpni32.exe
1⤵
PID:5280
- C:\Windows\SysWOW64\Kckqbj32.exe
  C:\Windows\system32\Kckqbj32.exe
  2⤵
  PID:5332
- - C:\Windows\SysWOW64\Keimof32.exe
    C:\Windows\system32\Keimof32.exe
    3⤵
    PID:5384
  - - C:\Windows\SysWOW64\Klcekpdo.exe
      C:\Windows\system32\Klcekpdo.exe
      4⤵
      PID:5436
    - - C:\Windows\SysWOW64\Kgiiiidd.exe
        
        C:\Windows\system32\Kgiiiidd.exe
        5⤵
        
        PID:5496
      - C:\Windows\SysWOW64\Knenkbio.exe
        
        C:\Windows\system32\Knenkbio.exe
        6⤵
        
        PID:5536
        
        C:\Windows\SysWOW64\Kfpcoefj.exe
        
        C:\Windows\system32\Kfpcoefj.exe
        7⤵
        
        PID:5584
      - C:\Windows\SysWOW64\Oakjnnap.exe
        
        C:\Windows\system32\Oakjnnap.exe
        6⤵
        
        PID:5812
        
        C:\Windows\SysWOW64\Odifjipd.exe
        
        C:\Windows\system32\Odifjipd.exe
        7⤵
        
        PID:5276

C:\Windows\SysWOW64\Lgpoihnl.exe
C:\Windows\system32\Lgpoihnl.exe
1⤵
PID:5664
- C:\Windows\SysWOW64\Lnjgfb32.exe
  C:\Windows\system32\Lnjgfb32.exe
  2⤵
  PID:5704
- - C:\Windows\SysWOW64\Lgbloglj.exe
    C:\Windows\system32\Lgbloglj.exe
    3⤵
    PID:5744

C:\Windows\SysWOW64\Lnldla32.exe
C:\Windows\system32\Lnldla32.exe
1⤵
PID:5784
- C:\Windows\SysWOW64\Lqkqhm32.exe
  C:\Windows\system32\Lqkqhm32.exe
  2⤵
  PID:5824
- - C:\Windows\SysWOW64\Lfgipd32.exe
    C:\Windows\system32\Lfgipd32.exe
    3⤵
    PID:5864
  - - C:\Windows\SysWOW64\Lnoaaaad.exe
      C:\Windows\system32\Lnoaaaad.exe
      4⤵
      PID:5904
    - - C:\Windows\SysWOW64\Lqmmmmph.exe
        
        C:\Windows\system32\Lqmmmmph.exe
        5⤵
        
        PID:5944
      - C:\Windows\SysWOW64\Lfjfecno.exe
        
        C:\Windows\system32\Lfjfecno.exe
        6⤵
        
        PID:5984
        
        C:\Windows\SysWOW64\Lobjni32.exe
        
        C:\Windows\system32\Lobjni32.exe
        7⤵
        
        PID:6024
        
        C:\Windows\SysWOW64\Lgibpf32.exe
        
        C:\Windows\system32\Lgibpf32.exe
        8⤵
        
        PID:6064
        
        C:\Windows\SysWOW64\Lncjlq32.exe
        
        C:\Windows\system32\Lncjlq32.exe
        9⤵
        
        PID:6104
        
        C:\Windows\SysWOW64\Modgdicm.exe
        
        C:\Windows\system32\Modgdicm.exe
        10⤵
        
        PID:6140
        
        C:\Windows\SysWOW64\Mcpcdg32.exe
        
        C:\Windows\system32\Mcpcdg32.exe
        11⤵
        
        PID:5236
        
        C:\Windows\SysWOW64\Mjjkaabc.exe
        
        C:\Windows\system32\Mjjkaabc.exe
        12⤵
        
        PID:1096
        
        C:\Windows\SysWOW64\Mqdcnl32.exe
        
        C:\Windows\system32\Mqdcnl32.exe
        13⤵
        
        PID:5328
        
        C:\Windows\SysWOW64\Mgnlkfal.exe
        
        C:\Windows\system32\Mgnlkfal.exe
        14⤵
        
        PID:5424
        
        C:\Windows\SysWOW64\Mjlhgaqp.exe
        
        C:\Windows\system32\Mjlhgaqp.exe
        15⤵
        
        PID:5408
        
        C:\Windows\SysWOW64\Nkgoke32.exe
        
        C:\Windows\system32\Nkgoke32.exe
        13⤵
        
        PID:6112
        
        C:\Windows\SysWOW64\Nnfkgp32.exe
        
        C:\Windows\system32\Nnfkgp32.exe
        14⤵
        
        PID:5460
        
        C:\Windows\SysWOW64\Namnmp32.exe
        
        C:\Windows\system32\Namnmp32.exe
        8⤵
        
        PID:1348
        
        C:\Windows\SysWOW64\Ndkjik32.exe
        
        C:\Windows\system32\Ndkjik32.exe
        9⤵
        
        PID:4480

C:\Windows\SysWOW64\Mqfpckhm.exe
C:\Windows\system32\Mqfpckhm.exe
1⤵
PID:5524
- C:\Windows\SysWOW64\Mcelpggq.exe
  C:\Windows\system32\Mcelpggq.exe
  2⤵
  PID:5592
- - C:\Windows\SysWOW64\Mjodla32.exe
    C:\Windows\system32\Mjodla32.exe
    3⤵
    PID:5700
  - - C:\Windows\SysWOW64\Monjjgkb.exe
      C:\Windows\system32\Monjjgkb.exe
      4⤵
      PID:5768
    - - C:\Windows\SysWOW64\Mfhbga32.exe
        
        C:\Windows\system32\Mfhbga32.exe
        5⤵
        
        PID:5848
      - C:\Windows\SysWOW64\Nmbjcljl.exe
        
        C:\Windows\system32\Nmbjcljl.exe
        6⤵
        
        PID:5924
        
        C:\Windows\SysWOW64\Nclbpf32.exe
        
        C:\Windows\system32\Nclbpf32.exe
        7⤵
        
        PID:6016
        
        C:\Windows\SysWOW64\Nfjola32.exe
        
        C:\Windows\system32\Nfjola32.exe
        8⤵
        
        PID:6072
        
        C:\Windows\SysWOW64\Nnafno32.exe
        
        C:\Windows\system32\Nnafno32.exe
        9⤵
        
        PID:4888
        
        C:\Windows\SysWOW64\Ncnofeof.exe
        
        C:\Windows\system32\Ncnofeof.exe
        10⤵
        
        PID:5272
        
        C:\Windows\SysWOW64\Njhgbp32.exe
        
        C:\Windows\system32\Njhgbp32.exe
        11⤵
        
        PID:2848
        
        C:\Windows\SysWOW64\Nqbpojnp.exe
        
        C:\Windows\system32\Nqbpojnp.exe
        12⤵
        
        PID:5504
        
        C:\Windows\SysWOW64\Ohgopgfj.exe
        
        C:\Windows\system32\Ohgopgfj.exe
        13⤵
        
        PID:5776
      - C:\Windows\SysWOW64\Qbkcek32.exe
        
        C:\Windows\system32\Qbkcek32.exe
        6⤵
        
        PID:504
- - C:\Windows\SysWOW64\Oamgcm32.exe
    C:\Windows\system32\Oamgcm32.exe
    3⤵
    PID:5504

C:\Windows\SysWOW64\Ncqlkemc.exe
C:\Windows\system32\Ncqlkemc.exe
1⤵
PID:5568
- C:\Windows\SysWOW64\Nfohgqlg.exe
  C:\Windows\system32\Nfohgqlg.exe
  2⤵
  PID:5752
- - C:\Windows\SysWOW64\Nnfpinmi.exe
    C:\Windows\system32\Nnfpinmi.exe
    3⤵
    PID:5912

C:\Windows\SysWOW64\Nadleilm.exe
C:\Windows\system32\Nadleilm.exe
1⤵
PID:6008
- C:\Windows\SysWOW64\Ngndaccj.exe
  C:\Windows\system32\Ngndaccj.exe
  2⤵
  PID:6132
- - C:\Windows\SysWOW64\Nmkmjjaa.exe
    C:\Windows\system32\Nmkmjjaa.exe
    3⤵
    PID:3648

C:\Windows\SysWOW64\Nceefd32.exe
C:\Windows\system32\Nceefd32.exe
1⤵
PID:5300
- C:\Windows\SysWOW64\Nfcabp32.exe
  C:\Windows\system32\Nfcabp32.exe
  2⤵
  PID:5732
- - C:\Windows\SysWOW64\Oaifpi32.exe
    C:\Windows\system32\Oaifpi32.exe
    3⤵
    PID:5892
  - - C:\Windows\SysWOW64\Offnhpfo.exe
      C:\Windows\system32\Offnhpfo.exe
      4⤵
      PID:6136
    - - C:\Windows\SysWOW64\Ompfej32.exe
        
        C:\Windows\system32\Ompfej32.exe
        5⤵
        
        PID:5444
      - C:\Windows\SysWOW64\Ogekbb32.exe
        
        C:\Windows\system32\Ogekbb32.exe
        6⤵
        
        PID:5576
        
        C:\Windows\SysWOW64\Onocomdo.exe
        
        C:\Windows\system32\Onocomdo.exe
        7⤵
        
        PID:6048

C:\Windows\SysWOW64\Oanokhdb.exe
C:\Windows\system32\Oanokhdb.exe
1⤵
PID:5168
- C:\Windows\SysWOW64\Oclkgccf.exe
  C:\Windows\system32\Oclkgccf.exe
  2⤵
  PID:5972
- - C:\Windows\SysWOW64\Ofkgcobj.exe
    C:\Windows\system32\Ofkgcobj.exe
    3⤵
    PID:5780
  - - C:\Windows\SysWOW64\Omdppiif.exe
      C:\Windows\system32\Omdppiif.exe
      4⤵
      PID:5356
    - - C:\Windows\SysWOW64\Ofmdio32.exe
        
        C:\Windows\system32\Ofmdio32.exe
        5⤵
        
        PID:5160
      - C:\Windows\SysWOW64\Ondljl32.exe
        
        C:\Windows\system32\Ondljl32.exe
        6⤵
        
        PID:6188
        
        C:\Windows\SysWOW64\Opeiadfg.exe
        
        C:\Windows\system32\Opeiadfg.exe
        7⤵
        
        PID:6236
        
        C:\Windows\SysWOW64\Pfoann32.exe
        
        C:\Windows\system32\Pfoann32.exe
        8⤵
        
        PID:6280

C:\Windows\SysWOW64\Paeelgnj.exe
C:\Windows\system32\Paeelgnj.exe
1⤵
PID:6324
- C:\Windows\SysWOW64\Pfandnla.exe
  C:\Windows\system32\Pfandnla.exe
  2⤵
  PID:6368
- - C:\Windows\SysWOW64\Pmlfqh32.exe
    C:\Windows\system32\Pmlfqh32.exe
    3⤵
    PID:6412
  - - C:\Windows\SysWOW64\Pdenmbkk.exe
      C:\Windows\system32\Pdenmbkk.exe
      4⤵
      PID:6456
    - - C:\Windows\SysWOW64\Pjpfjl32.exe
        
        C:\Windows\system32\Pjpfjl32.exe
        5⤵
        
        PID:6500
    - - C:\Windows\SysWOW64\Bkadoo32.exe
        
        C:\Windows\system32\Bkadoo32.exe
        5⤵
        
        PID:6476
      - C:\Windows\SysWOW64\Bomppneg.exe
        
        C:\Windows\system32\Bomppneg.exe
        6⤵
        
        PID:7088

C:\Windows\SysWOW64\Pmnbfhal.exe
C:\Windows\system32\Pmnbfhal.exe
1⤵
PID:6540
- C:\Windows\SysWOW64\Pplobcpp.exe
  C:\Windows\system32\Pplobcpp.exe
  2⤵
  PID:6600
- - C:\Windows\SysWOW64\Pffgom32.exe
    C:\Windows\system32\Pffgom32.exe
    3⤵
    PID:6648
- C:\Windows\SysWOW64\Adqeaf32.exe
  C:\Windows\system32\Adqeaf32.exe
  2⤵
  PID:4292
- - C:\Windows\SysWOW64\Akjnnpcf.exe
    C:\Windows\system32\Akjnnpcf.exe
    3⤵
    PID:5272
  - - C:\Windows\SysWOW64\Anijjkbj.exe
      C:\Windows\system32\Anijjkbj.exe
      4⤵
      PID:6296

C:\Windows\SysWOW64\Pnmopk32.exe
C:\Windows\system32\Pnmopk32.exe
1⤵
PID:6696
- C:\Windows\SysWOW64\Pmpolgoi.exe
  C:\Windows\system32\Pmpolgoi.exe
  2⤵
  PID:6740

C:\Windows\SysWOW64\Ppolhcnm.exe
C:\Windows\system32\Ppolhcnm.exe
1⤵
PID:6784
- C:\Windows\SysWOW64\Pfiddm32.exe
  C:\Windows\system32\Pfiddm32.exe
  2⤵
  PID:6828
- - C:\Windows\SysWOW64\Pnplfj32.exe
    C:\Windows\system32\Pnplfj32.exe
    3⤵
    PID:6880

C:\Windows\SysWOW64\Ppahmb32.exe
C:\Windows\system32\Ppahmb32.exe
1⤵
PID:6940
- C:\Windows\SysWOW64\Qhhpop32.exe
  C:\Windows\system32\Qhhpop32.exe
  2⤵
  PID:7028
- - C:\Windows\SysWOW64\Qobhkjdi.exe
    C:\Windows\system32\Qobhkjdi.exe
    3⤵
    PID:7088
  - - C:\Windows\SysWOW64\Bbklli32.exe
      C:\Windows\system32\Bbklli32.exe
      4⤵
      PID:6468
    - - C:\Windows\SysWOW64\Bejhhd32.exe
        
        C:\Windows\system32\Bejhhd32.exe
        5⤵
        
        PID:5652
      - C:\Windows\SysWOW64\Bkdqdokk.exe
        
        C:\Windows\system32\Bkdqdokk.exe
        6⤵
        
        PID:6548
- - C:\Windows\SysWOW64\Bihancje.exe
    C:\Windows\system32\Bihancje.exe
    3⤵
    PID:5156

C:\Windows\SysWOW64\Qpcecb32.exe
C:\Windows\system32\Qpcecb32.exe
1⤵
PID:7132
- C:\Windows\SysWOW64\Qhjmdp32.exe
  C:\Windows\system32\Qhjmdp32.exe
  2⤵
  PID:5740

C:\Windows\SysWOW64\Qodeajbg.exe
C:\Windows\system32\Qodeajbg.exe
1⤵
PID:6200
- C:\Windows\SysWOW64\Qacameaj.exe
  C:\Windows\system32\Qacameaj.exe
  2⤵
  PID:6260
- - C:\Windows\SysWOW64\Ahmjjoig.exe
    C:\Windows\system32\Ahmjjoig.exe
    3⤵
    PID:6348

C:\Windows\SysWOW64\Akkffkhk.exe
C:\Windows\system32\Akkffkhk.exe
1⤵
PID:6396
- C:\Windows\SysWOW64\Amjbbfgo.exe
  C:\Windows\system32\Amjbbfgo.exe
  2⤵
  PID:6464
- - C:\Windows\SysWOW64\Aphnnafb.exe
    C:\Windows\system32\Aphnnafb.exe
    3⤵
    PID:6520

C:\Windows\SysWOW64\Afbgkl32.exe
C:\Windows\system32\Afbgkl32.exe
1⤵
PID:1880
- C:\Windows\SysWOW64\Aoioli32.exe
  C:\Windows\system32\Aoioli32.exe
  2⤵
  PID:6624
- - C:\Windows\SysWOW64\Apjkcadp.exe
    C:\Windows\system32\Apjkcadp.exe
    3⤵
    PID:6748
  - - C:\Windows\SysWOW64\Agdcpkll.exe
      C:\Windows\system32\Agdcpkll.exe
      4⤵
      PID:6816
    - - C:\Windows\SysWOW64\Amnlme32.exe
        
        C:\Windows\system32\Amnlme32.exe
        5⤵
        
        PID:6948
      - C:\Windows\SysWOW64\Apmhiq32.exe
        
        C:\Windows\system32\Apmhiq32.exe
        6⤵
        
        PID:7040
        
        C:\Windows\SysWOW64\Aggpfkjj.exe
        
        C:\Windows\system32\Aggpfkjj.exe
        7⤵
        
        PID:7120
        
        C:\Windows\SysWOW64\Aonhghjl.exe
        
        C:\Windows\system32\Aonhghjl.exe
        8⤵
        
        PID:6196
        
        C:\Windows\SysWOW64\Chfegk32.exe
        
        C:\Windows\system32\Chfegk32.exe
        9⤵
        
        PID:4732
        
        C:\Windows\SysWOW64\Coqncejg.exe
        
        C:\Windows\system32\Coqncejg.exe
        10⤵
        
        PID:6420
        
        C:\Windows\SysWOW64\Cpbjkn32.exe
        
        C:\Windows\system32\Cpbjkn32.exe
        11⤵
        
        PID:6524
        
        C:\Windows\SysWOW64\Jmamba32.exe
        
        C:\Windows\system32\Jmamba32.exe
        8⤵
        
        PID:7300
        
        C:\Windows\SysWOW64\Jopiom32.exe
        
        C:\Windows\system32\Jopiom32.exe
        9⤵
        
        PID:444
    - - C:\Windows\SysWOW64\Bfnnmg32.exe
        
        C:\Windows\system32\Bfnnmg32.exe
        5⤵
        
        PID:6368
      - C:\Windows\SysWOW64\Beaohcmf.exe
        
        C:\Windows\system32\Beaohcmf.exe
        6⤵
        
        PID:6676

C:\Windows\SysWOW64\Cglbhhga.exe
C:\Windows\system32\Cglbhhga.exe
1⤵
PID:764
- C:\Windows\SysWOW64\Cocjiehd.exe
  C:\Windows\system32\Cocjiehd.exe
  2⤵
  PID:6680
- - C:\Windows\SysWOW64\Caageq32.exe
    C:\Windows\system32\Caageq32.exe
    3⤵
    PID:6792

C:\Windows\SysWOW64\Chkobkod.exe
C:\Windows\system32\Chkobkod.exe
1⤵
PID:6992
- C:\Windows\SysWOW64\Ckjknfnh.exe
  C:\Windows\system32\Ckjknfnh.exe
  2⤵
  PID:4980
- - C:\Windows\SysWOW64\Cacckp32.exe
    C:\Windows\system32\Cacckp32.exe
    3⤵
    PID:6976
  - - C:\Windows\SysWOW64\Cdbpgl32.exe
      C:\Windows\system32\Cdbpgl32.exe
      4⤵
      PID:6392
    - - C:\Windows\SysWOW64\Dpiplm32.exe
        
        C:\Windows\system32\Dpiplm32.exe
        5⤵
        
        PID:6528
      - C:\Windows\SysWOW64\Dhphmj32.exe
        
        C:\Windows\system32\Dhphmj32.exe
        6⤵
        
        PID:840
        
        C:\Windows\SysWOW64\Dgcihgaj.exe
        
        C:\Windows\system32\Dgcihgaj.exe
        7⤵
        
        PID:6808
        
        C:\Windows\SysWOW64\Dndgfpbo.exe
        
        C:\Windows\system32\Dndgfpbo.exe
        8⤵
        
        PID:6888
        
        C:\Windows\SysWOW64\Dhikci32.exe
        
        C:\Windows\system32\Dhikci32.exe
        9⤵
        
        PID:7148
        
        C:\Windows\SysWOW64\Dkhgod32.exe
        
        C:\Windows\system32\Dkhgod32.exe
        10⤵
        
        PID:6404
  - - C:\Windows\SysWOW64\Eedmlo32.exe
      C:\Windows\system32\Eedmlo32.exe
      4⤵
      PID:11308
    - - C:\Windows\SysWOW64\Ehbihj32.exe
        
        C:\Windows\system32\Ehbihj32.exe
        5⤵
        
        PID:6172

C:\Windows\SysWOW64\Lpfgmnfp.exe
C:\Windows\system32\Lpfgmnfp.exe
1⤵
PID:5624

C:\Windows\SysWOW64\Enfckp32.exe
C:\Windows\system32\Enfckp32.exe
1⤵
PID:6688
- C:\Windows\SysWOW64\Eqdpgk32.exe
  C:\Windows\system32\Eqdpgk32.exe
  2⤵
  PID:4676
- - C:\Windows\SysWOW64\Ehlhih32.exe
    C:\Windows\system32\Ehlhih32.exe
    3⤵
    PID:7144

C:\Windows\SysWOW64\Eoepebho.exe
C:\Windows\system32\Eoepebho.exe
1⤵
PID:6572
- C:\Windows\SysWOW64\Enhpao32.exe
  C:\Windows\system32\Enhpao32.exe
  2⤵
  PID:6824
- - C:\Windows\SysWOW64\Eklajcmc.exe
    C:\Windows\system32\Eklajcmc.exe
    3⤵
    PID:6268

C:\Windows\SysWOW64\Ebfign32.exe
C:\Windows\system32\Ebfign32.exe
1⤵
PID:5288
- C:\Windows\SysWOW64\Ehpadhll.exe
  C:\Windows\system32\Ehpadhll.exe
  2⤵
  PID:7164
- - C:\Windows\SysWOW64\Egcaod32.exe
    C:\Windows\system32\Egcaod32.exe
    3⤵
    PID:5472
  - - C:\Windows\SysWOW64\Enmjlojd.exe
      C:\Windows\system32\Enmjlojd.exe
      4⤵
      PID:7224
    - - C:\Windows\SysWOW64\Fooclapd.exe
        
        C:\Windows\system32\Fooclapd.exe
        5⤵
        
        PID:7264

C:\Windows\SysWOW64\Fqppci32.exe
C:\Windows\system32\Fqppci32.exe
1⤵
PID:7308
- C:\Windows\SysWOW64\Figgdg32.exe
  C:\Windows\system32\Figgdg32.exe
  2⤵
  PID:7348
- - C:\Windows\SysWOW64\Fbplml32.exe
    C:\Windows\system32\Fbplml32.exe
    3⤵
    PID:7388
  - - C:\Windows\SysWOW64\Foclgq32.exe
      C:\Windows\system32\Foclgq32.exe
      4⤵
      PID:7432
    - - C:\Windows\SysWOW64\Ljjpnb32.exe
        
        C:\Windows\system32\Ljjpnb32.exe
        5⤵
        
        PID:8064
      - C:\Windows\SysWOW64\Lmiljn32.exe
        
        C:\Windows\system32\Lmiljn32.exe
        6⤵
        
        PID:12328
  - - C:\Windows\SysWOW64\Hgkimn32.exe
      C:\Windows\system32\Hgkimn32.exe
      4⤵
      PID:460
- C:\Windows\SysWOW64\Gpodkdll.exe
  C:\Windows\system32\Gpodkdll.exe
  2⤵
  PID:7956
- - C:\Windows\SysWOW64\Gcmpgpkp.exe
    C:\Windows\system32\Gcmpgpkp.exe
    3⤵
    PID:7328

C:\Windows\SysWOW64\Feqeog32.exe
C:\Windows\system32\Feqeog32.exe
1⤵
PID:7472
- C:\Windows\SysWOW64\Fkjmlaac.exe
  C:\Windows\system32\Fkjmlaac.exe
  2⤵
  PID:7520
- - C:\Windows\SysWOW64\Fqgedh32.exe
    C:\Windows\system32\Fqgedh32.exe
    3⤵
    PID:7560
  - - C:\Windows\SysWOW64\Kfhnme32.exe
      C:\Windows\system32\Kfhnme32.exe
      4⤵
      PID:8464
- - C:\Windows\SysWOW64\Ijlkfg32.exe
    C:\Windows\system32\Ijlkfg32.exe
    3⤵
    PID:6684
  - - C:\Windows\SysWOW64\Imjgbb32.exe
      C:\Windows\system32\Imjgbb32.exe
      4⤵
      PID:7320

C:\Windows\SysWOW64\Fecadghc.exe
C:\Windows\system32\Fecadghc.exe
1⤵
PID:7608
- C:\Windows\SysWOW64\Fganqbgg.exe
  C:\Windows\system32\Fganqbgg.exe
  2⤵
  PID:7648
- - C:\Windows\SysWOW64\Fohfbpgi.exe
    C:\Windows\system32\Fohfbpgi.exe
    3⤵
    PID:7708

C:\Windows\SysWOW64\Feenjgfq.exe
C:\Windows\system32\Feenjgfq.exe
1⤵
PID:7796
- C:\Windows\SysWOW64\Fgcjfbed.exe
  C:\Windows\system32\Fgcjfbed.exe
  2⤵
  PID:7852
- - C:\Windows\SysWOW64\Fkofga32.exe
    C:\Windows\system32\Fkofga32.exe
    3⤵
    PID:7904
  - - C:\Windows\SysWOW64\Gegkpf32.exe
      C:\Windows\system32\Gegkpf32.exe
      4⤵
      PID:7944
    - - C:\Windows\SysWOW64\Ggfglb32.exe
        
        C:\Windows\system32\Ggfglb32.exe
        5⤵
        
        PID:7980
- - C:\Windows\SysWOW64\Imfmgcdn.exe
    C:\Windows\system32\Imfmgcdn.exe
    3⤵
    PID:7144
  - - C:\Windows\SysWOW64\Iodjcnca.exe
      C:\Windows\system32\Iodjcnca.exe
      4⤵
      PID:6408
    - - C:\Windows\SysWOW64\Icpecm32.exe
        
        C:\Windows\system32\Icpecm32.exe
        5⤵
        
        PID:7876

C:\Windows\SysWOW64\Gkaclqkk.exe
C:\Windows\system32\Gkaclqkk.exe
1⤵
PID:8024
- C:\Windows\SysWOW64\Gnpphljo.exe
  C:\Windows\system32\Gnpphljo.exe
  2⤵
  PID:8064
- - C:\Windows\SysWOW64\Ganldgib.exe
    C:\Windows\system32\Ganldgib.exe
    3⤵
    PID:8108

C:\Windows\SysWOW64\Giecfejd.exe
C:\Windows\system32\Giecfejd.exe
1⤵
PID:8148
- C:\Windows\SysWOW64\Gpolbo32.exe
  C:\Windows\system32\Gpolbo32.exe
  2⤵
  PID:6704
- - C:\Windows\SysWOW64\Gbnhoj32.exe
    C:\Windows\system32\Gbnhoj32.exe
    3⤵
    PID:7212

C:\Windows\SysWOW64\Gihpkd32.exe
C:\Windows\system32\Gihpkd32.exe
1⤵
PID:7252
- C:\Windows\SysWOW64\Glfmgp32.exe
  C:\Windows\system32\Glfmgp32.exe
  2⤵
  PID:7332
- - C:\Windows\SysWOW64\Gbpedjnb.exe
    C:\Windows\system32\Gbpedjnb.exe
    3⤵
    PID:7428
  - - C:\Windows\SysWOW64\Lgjglg32.exe
      C:\Windows\system32\Lgjglg32.exe
      4⤵
      PID:8896
    - - C:\Windows\SysWOW64\Ljhchc32.exe
        
        C:\Windows\system32\Ljhchc32.exe
        5⤵
        
        PID:7528

C:\Windows\SysWOW64\Ggmmlamj.exe
C:\Windows\system32\Ggmmlamj.exe
1⤵
PID:7468
- C:\Windows\SysWOW64\Gpdennml.exe
  C:\Windows\system32\Gpdennml.exe
  2⤵
  PID:7532
- - C:\Windows\SysWOW64\Gbbajjlp.exe
    C:\Windows\system32\Gbbajjlp.exe
    3⤵
    PID:2128
  - - C:\Windows\SysWOW64\Geanfelc.exe
      C:\Windows\system32\Geanfelc.exe
      4⤵
      PID:7696

C:\Windows\SysWOW64\Ghojbq32.exe
C:\Windows\system32\Ghojbq32.exe
1⤵
PID:7768
- C:\Windows\SysWOW64\Hlkfbocp.exe
  C:\Windows\system32\Hlkfbocp.exe
  2⤵
  PID:7840

C:\Windows\SysWOW64\Hnibokbd.exe
C:\Windows\system32\Hnibokbd.exe
1⤵
PID:7876
- C:\Windows\SysWOW64\Hahokfag.exe
  C:\Windows\system32\Hahokfag.exe
  2⤵
  PID:7976
- - C:\Windows\SysWOW64\Hioflcbj.exe
    C:\Windows\system32\Hioflcbj.exe
    3⤵
    PID:8052
- C:\Windows\SysWOW64\Ifnbph32.exe
  C:\Windows\system32\Ifnbph32.exe
  2⤵
  PID:7976
- - C:\Windows\SysWOW64\Ihmnldib.exe
    C:\Windows\system32\Ihmnldib.exe
    3⤵
    PID:8080

C:\Windows\SysWOW64\Hhaggp32.exe
C:\Windows\system32\Hhaggp32.exe
1⤵
PID:8116
- C:\Windows\SysWOW64\Hpioin32.exe
  C:\Windows\system32\Hpioin32.exe
  2⤵
  PID:8180
- - C:\Windows\SysWOW64\Ifqoehhl.exe
    C:\Windows\system32\Ifqoehhl.exe
    3⤵
    PID:7520

C:\Windows\SysWOW64\Hhdcmp32.exe
C:\Windows\system32\Hhdcmp32.exe
1⤵
PID:7304
- C:\Windows\SysWOW64\Hpkknmgd.exe
  C:\Windows\system32\Hpkknmgd.exe
  2⤵
  PID:7456
- - C:\Windows\SysWOW64\Hbihjifh.exe
    C:\Windows\system32\Hbihjifh.exe
    3⤵
    PID:4252
  - - C:\Windows\SysWOW64\Hehdfdek.exe
      C:\Windows\system32\Hehdfdek.exe
      4⤵
      PID:7756

C:\Windows\SysWOW64\Hhfpbpdo.exe
C:\Windows\system32\Hhfpbpdo.exe
1⤵
PID:7900
- C:\Windows\SysWOW64\Hpmhdmea.exe
  C:\Windows\system32\Hpmhdmea.exe
  2⤵
  PID:7968
- - C:\Windows\SysWOW64\Haodle32.exe
    C:\Windows\system32\Haodle32.exe
    3⤵
    PID:8100

C:\Windows\SysWOW64\Hbnaeh32.exe
C:\Windows\system32\Hbnaeh32.exe
1⤵
PID:7508
- C:\Windows\SysWOW64\Hemmac32.exe
  C:\Windows\system32\Hemmac32.exe
  2⤵
  PID:7848
- - C:\Windows\SysWOW64\Hihibbjo.exe
    C:\Windows\system32\Hihibbjo.exe
    3⤵
    PID:8048

C:\Windows\SysWOW64\Ilfennic.exe
C:\Windows\system32\Ilfennic.exe
1⤵
PID:7356
- C:\Windows\SysWOW64\Ibqnkh32.exe
  C:\Windows\system32\Ibqnkh32.exe
  2⤵
  PID:7684
- - C:\Windows\SysWOW64\Iijfhbhl.exe
    C:\Windows\system32\Iijfhbhl.exe
    3⤵
    PID:8156
  - - C:\Windows\SysWOW64\Ipdndloi.exe
      C:\Windows\system32\Ipdndloi.exe
      4⤵
      PID:7808
    - - C:\Windows\SysWOW64\Ibcjqgnm.exe
        
        C:\Windows\system32\Ibcjqgnm.exe
        5⤵
        
        PID:7504
  - - C:\Windows\SysWOW64\Jihngboe.exe
      C:\Windows\system32\Jihngboe.exe
      4⤵
      PID:3404

C:\Windows\SysWOW64\Iafkld32.exe
C:\Windows\system32\Iafkld32.exe
1⤵
PID:7924
- C:\Windows\SysWOW64\Iimcma32.exe
  C:\Windows\system32\Iimcma32.exe
  2⤵
  PID:8240

C:\Windows\SysWOW64\Ipgkjlmg.exe
C:\Windows\system32\Ipgkjlmg.exe
1⤵
PID:8280
- C:\Windows\SysWOW64\Iahgad32.exe
  C:\Windows\system32\Iahgad32.exe
  2⤵
  PID:8324
- - C:\Windows\SysWOW64\Iiopca32.exe
    C:\Windows\system32\Iiopca32.exe
    3⤵
    PID:8368

C:\Windows\SysWOW64\Ilnlom32.exe
C:\Windows\system32\Ilnlom32.exe
1⤵
PID:8412
- C:\Windows\SysWOW64\Iolhkh32.exe
  C:\Windows\system32\Iolhkh32.exe
  2⤵
  PID:8460
- - C:\Windows\SysWOW64\Ilphdlqh.exe
    C:\Windows\system32\Ilphdlqh.exe
    3⤵
    PID:8508

C:\Windows\SysWOW64\Iondqhpl.exe
C:\Windows\system32\Iondqhpl.exe
1⤵
PID:8544
- C:\Windows\SysWOW64\Iehmmb32.exe
  C:\Windows\system32\Iehmmb32.exe
  2⤵
  PID:8596
- - C:\Windows\SysWOW64\Jidinqpb.exe
    C:\Windows\system32\Jidinqpb.exe
    3⤵
    PID:8640

C:\Windows\SysWOW64\Jlbejloe.exe
C:\Windows\system32\Jlbejloe.exe
1⤵
PID:8688
- C:\Windows\SysWOW64\Jblmgf32.exe
  C:\Windows\system32\Jblmgf32.exe
  2⤵
  PID:8728

C:\Windows\SysWOW64\Jifecp32.exe
C:\Windows\system32\Jifecp32.exe
1⤵
PID:8772
- C:\Windows\SysWOW64\Jhifomdj.exe
  C:\Windows\system32\Jhifomdj.exe
  2⤵
  PID:8816

C:\Windows\SysWOW64\Jppnpjel.exe
C:\Windows\system32\Jppnpjel.exe
1⤵
PID:8860
- C:\Windows\SysWOW64\Jbojlfdp.exe
  C:\Windows\system32\Jbojlfdp.exe
  2⤵
  PID:8896
- - C:\Windows\SysWOW64\Jaajhb32.exe
    C:\Windows\system32\Jaajhb32.exe
    3⤵
    PID:8940
  - - C:\Windows\SysWOW64\Jlgoek32.exe
      C:\Windows\system32\Jlgoek32.exe
      4⤵
      PID:8980
    - - C:\Windows\SysWOW64\Jbagbebm.exe
        
        C:\Windows\system32\Jbagbebm.exe
        5⤵
        
        PID:9024
      - C:\Windows\SysWOW64\Jeocna32.exe
        
        C:\Windows\system32\Jeocna32.exe
        6⤵
        
        PID:9132
        
        C:\Windows\SysWOW64\Pilpfm32.exe
        
        C:\Windows\system32\Pilpfm32.exe
        7⤵
        
        PID:9172
        
        C:\Windows\SysWOW64\Pbddobla.exe
        
        C:\Windows\system32\Pbddobla.exe
        8⤵
        
        PID:8176
        
        C:\Windows\SysWOW64\Piolkm32.exe
        
        C:\Windows\system32\Piolkm32.exe
        9⤵
        
        PID:8228
        
        C:\Windows\SysWOW64\Poidhg32.exe
        
        C:\Windows\system32\Poidhg32.exe
        10⤵
        
        PID:8364
        
        C:\Windows\SysWOW64\Pfbmdabh.exe
        
        C:\Windows\system32\Pfbmdabh.exe
        11⤵
        
        PID:8436
        
        C:\Windows\SysWOW64\Pkoemhao.exe
        
        C:\Windows\system32\Pkoemhao.exe
        12⤵
        
        PID:8528
        
        C:\Windows\SysWOW64\Iakajagl.exe
        
        C:\Windows\system32\Iakajagl.exe
        11⤵
        
        PID:8528
        
        C:\Windows\SysWOW64\Idjmfmgp.exe
        
        C:\Windows\system32\Idjmfmgp.exe
        12⤵
        
        PID:8668
        
        C:\Windows\SysWOW64\Ijcecgnl.exe
        
        C:\Windows\system32\Ijcecgnl.exe
        13⤵
        
        PID:1852
        
        C:\Windows\SysWOW64\Iannpa32.exe
        
        C:\Windows\system32\Iannpa32.exe
        14⤵
        
        PID:3588
        
        C:\Windows\SysWOW64\Ibojgikg.exe
        
        C:\Windows\system32\Ibojgikg.exe
        15⤵
        
        PID:2620
        
        C:\Windows\SysWOW64\Jbccbi32.exe
        
        C:\Windows\system32\Jbccbi32.exe
        16⤵
        
        PID:3928
        
        C:\Windows\SysWOW64\Jinloboo.exe
        
        C:\Windows\system32\Jinloboo.exe
        17⤵
        
        PID:8812
        
        C:\Windows\SysWOW64\Jaddpppa.exe
        
        C:\Windows\system32\Jaddpppa.exe
        18⤵
        
        PID:1120
        
        C:\Windows\SysWOW64\Jfalhgni.exe
        
        C:\Windows\system32\Jfalhgni.exe
        19⤵
        
        PID:6896
        
        C:\Windows\SysWOW64\Jmkdeaee.exe
        
        C:\Windows\system32\Jmkdeaee.exe
        20⤵
        
        PID:8716
        
        C:\Windows\SysWOW64\Jpjqaldi.exe
        
        C:\Windows\system32\Jpjqaldi.exe
        21⤵
        
        PID:9108
        
        C:\Windows\SysWOW64\Jaimko32.exe
        
        C:\Windows\system32\Jaimko32.exe
        22⤵
        
        PID:9436
        
        C:\Windows\SysWOW64\Jdhigk32.exe
        
        C:\Windows\system32\Jdhigk32.exe
        23⤵
        
        PID:9740
        
        C:\Windows\SysWOW64\Kkdnjd32.exe
        
        C:\Windows\system32\Kkdnjd32.exe
        24⤵
        
        PID:9908
        
        C:\Windows\SysWOW64\Kkfkod32.exe
        
        C:\Windows\system32\Kkfkod32.exe
        25⤵
        
        PID:10116
        
        C:\Windows\SysWOW64\Kdophj32.exe
        
        C:\Windows\system32\Kdophj32.exe
        26⤵
        
        PID:9316
        
        C:\Windows\SysWOW64\Kabpan32.exe
        
        C:\Windows\system32\Kabpan32.exe
        27⤵
        
        PID:10048
        
        C:\Windows\SysWOW64\Afnlpohj.exe
        
        C:\Windows\system32\Afnlpohj.exe
        17⤵
        
        PID:8420

C:\Windows\SysWOW64\Hldiinke.exe
C:\Windows\system32\Hldiinke.exe
1⤵
PID:7452

C:\Windows\SysWOW64\Hifmmb32.exe
C:\Windows\system32\Hifmmb32.exe
1⤵
PID:1868

C:\Windows\SysWOW64\Hajkqfoe.exe
C:\Windows\system32\Hajkqfoe.exe
1⤵
PID:7256

C:\Windows\SysWOW64\Fbgbnkfm.exe
C:\Windows\system32\Fbgbnkfm.exe
1⤵
PID:7760

C:\Windows\SysWOW64\Ipoheakj.exe
C:\Windows\system32\Ipoheakj.exe
1⤵
PID:396
- C:\Windows\SysWOW64\Ldanloba.exe
  C:\Windows\system32\Ldanloba.exe
  2⤵
  PID:4532
- - C:\Windows\SysWOW64\Lfpkhjae.exe
    C:\Windows\system32\Lfpkhjae.exe
    3⤵
    PID:2240

C:\Windows\SysWOW64\Hplbickp.exe
C:\Windows\system32\Hplbickp.exe
1⤵
PID:3020

C:\Windows\SysWOW64\Hmkigh32.exe
C:\Windows\system32\Hmkigh32.exe
1⤵
PID:2232

C:\Windows\SysWOW64\Gojiiafp.exe
C:\Windows\system32\Gojiiafp.exe
1⤵
PID:3764

C:\Windows\SysWOW64\Gfodeohd.exe
C:\Windows\system32\Gfodeohd.exe
1⤵
PID:1476

C:\Windows\SysWOW64\Gbchdp32.exe
C:\Windows\system32\Gbchdp32.exe
1⤵
PID:4408

C:\Windows\SysWOW64\Gmfplibd.exe
C:\Windows\system32\Gmfplibd.exe
1⤵
PID:2508

C:\Windows\SysWOW64\Gbalopbn.exe
C:\Windows\system32\Gbalopbn.exe
1⤵
PID:3308

C:\Windows\SysWOW64\Gihgfk32.exe
C:\Windows\system32\Gihgfk32.exe
1⤵
PID:2380

C:\Windows\SysWOW64\Gmafajfi.exe
C:\Windows\system32\Gmafajfi.exe
1⤵
PID:3600
- C:\Windows\SysWOW64\Mmcfkc32.exe
  C:\Windows\system32\Mmcfkc32.exe
  2⤵
  PID:5336
- - C:\Windows\SysWOW64\Mdmngm32.exe
    C:\Windows\system32\Mdmngm32.exe
    3⤵
    PID:7804
  - - C:\Windows\SysWOW64\Mgkjch32.exe
      C:\Windows\system32\Mgkjch32.exe
      4⤵
      PID:10660

C:\Windows\SysWOW64\Gfhndpol.exe
C:\Windows\system32\Gfhndpol.exe
1⤵
PID:1816

C:\Windows\SysWOW64\Fbbpmb32.exe
C:\Windows\system32\Fbbpmb32.exe
1⤵
PID:1708

C:\Windows\SysWOW64\Fngcmcfe.exe
C:\Windows\system32\Fngcmcfe.exe
1⤵
PID:780

C:\Windows\SysWOW64\Feoodn32.exe
C:\Windows\system32\Feoodn32.exe
1⤵
PID:3192

C:\Windows\SysWOW64\Enpmld32.exe
C:\Windows\system32\Enpmld32.exe
1⤵
PID:4720
- C:\Windows\SysWOW64\Glmhdm32.exe
  C:\Windows\system32\Glmhdm32.exe
  2⤵
  PID:2972

C:\Windows\SysWOW64\Eiahnnph.exe
C:\Windows\system32\Eiahnnph.exe
1⤵
PID:2160
- C:\Windows\SysWOW64\Fgpplf32.exe
  C:\Windows\system32\Fgpplf32.exe
  2⤵
  PID:4428
- - C:\Windows\SysWOW64\Gjnlha32.exe
    C:\Windows\system32\Gjnlha32.exe
    3⤵
    PID:4720

C:\Windows\SysWOW64\Enigke32.exe
C:\Windows\system32\Enigke32.exe
1⤵
PID:4680

C:\Windows\SysWOW64\Dmennnni.exe
C:\Windows\system32\Dmennnni.exe
1⤵
PID:3236

C:\Windows\SysWOW64\Dbpjaeoc.exe
C:\Windows\system32\Dbpjaeoc.exe
1⤵
PID:1632

C:\Windows\SysWOW64\Dheibpje.exe
C:\Windows\system32\Dheibpje.exe
1⤵
- Executes dropped EXE
PID:2472

C:\Windows\SysWOW64\Dbkqfe32.exe
C:\Windows\system32\Dbkqfe32.exe
1⤵
- Adds autorun key to be loaded by Explorer.exe on startup
- Executes dropped EXE
- Drops file in System32 directory
- Modifies registry class
- Suspicious use of WriteProcessMemory
PID:2320

C:\Windows\SysWOW64\Domdjj32.exe
C:\Windows\system32\Domdjj32.exe
1⤵
- Adds autorun key to be loaded by Explorer.exe on startup
- Executes dropped EXE
- Drops file in System32 directory
- Modifies registry class
- Suspicious use of WriteProcessMemory
PID:2796

C:\Windows\SysWOW64\Pbimjb32.exe
C:\Windows\system32\Pbimjb32.exe
1⤵
PID:8588
- C:\Windows\SysWOW64\Pehjfm32.exe
  C:\Windows\system32\Pehjfm32.exe
  2⤵
  PID:8668
- - C:\Windows\SysWOW64\Pbljoafi.exe
    C:\Windows\system32\Pbljoafi.exe
    3⤵
    PID:8740
  - - C:\Windows\SysWOW64\Qejfkmem.exe
      C:\Windows\system32\Qejfkmem.exe
      4⤵
      PID:8800

C:\Windows\SysWOW64\Qmanljfo.exe
C:\Windows\system32\Qmanljfo.exe
1⤵
PID:8880
- C:\Windows\SysWOW64\Qppkhfec.exe
  C:\Windows\system32\Qppkhfec.exe
  2⤵
  PID:8928

C:\Windows\SysWOW64\Qfjcep32.exe
C:\Windows\system32\Qfjcep32.exe
1⤵
PID:3588
- C:\Windows\SysWOW64\Qihoak32.exe
  C:\Windows\system32\Qihoak32.exe
  2⤵
  PID:3592
- - C:\Windows\SysWOW64\Qpbgnecp.exe
    C:\Windows\system32\Qpbgnecp.exe
    3⤵
    PID:4972
  - - C:\Windows\SysWOW64\Abpcja32.exe
      C:\Windows\system32\Abpcja32.exe
      4⤵
      PID:2620
    - - C:\Windows\SysWOW64\Amfhgj32.exe
        
        C:\Windows\system32\Amfhgj32.exe
        5⤵
        
        PID:9148
      - C:\Windows\SysWOW64\Akihcfid.exe
        
        C:\Windows\system32\Akihcfid.exe
        6⤵
        
        PID:7884

C:\Windows\SysWOW64\Acppddig.exe
C:\Windows\system32\Acppddig.exe
1⤵
PID:3928

C:\Windows\SysWOW64\Aimhmkgn.exe
C:\Windows\system32\Aimhmkgn.exe
1⤵
PID:8592
- C:\Windows\SysWOW64\Alkeifga.exe
  C:\Windows\system32\Alkeifga.exe
  2⤵
  PID:8680

C:\Windows\SysWOW64\Apgqie32.exe
C:\Windows\system32\Apgqie32.exe
1⤵
PID:8780
- C:\Windows\SysWOW64\Abemep32.exe
  C:\Windows\system32\Abemep32.exe
  2⤵
  PID:8908
- - C:\Windows\SysWOW64\Amkabind.exe
    C:\Windows\system32\Amkabind.exe
    3⤵
    PID:9128
  - - C:\Windows\SysWOW64\Apimodmh.exe
      C:\Windows\system32\Apimodmh.exe
      4⤵
      PID:6912

C:\Windows\SysWOW64\Abgjkpll.exe
C:\Windows\system32\Abgjkpll.exe
1⤵
PID:6896
- C:\Windows\SysWOW64\Aiabhj32.exe
  C:\Windows\system32\Aiabhj32.exe
  2⤵
  PID:9204
- - C:\Windows\SysWOW64\Apkjddke.exe
    C:\Windows\system32\Apkjddke.exe
    3⤵
    PID:8260
  - - C:\Windows\SysWOW64\Aidomjaf.exe
      C:\Windows\system32\Aidomjaf.exe
      4⤵
      PID:8536

C:\Windows\SysWOW64\Albkieqj.exe
C:\Windows\system32\Albkieqj.exe
1⤵
PID:8628
- C:\Windows\SysWOW64\Bcicjbal.exe
  C:\Windows\system32\Bcicjbal.exe
  2⤵
  PID:8888

C:\Windows\SysWOW64\Bifkcioc.exe
C:\Windows\system32\Bifkcioc.exe
1⤵
PID:9108
- C:\Windows\SysWOW64\Bldgoeog.exe
  C:\Windows\system32\Bldgoeog.exe
  2⤵
  PID:9196

C:\Windows\SysWOW64\Bclppboi.exe
C:\Windows\system32\Bclppboi.exe
1⤵
PID:2312
- C:\Windows\SysWOW64\Bfjllnnm.exe
  C:\Windows\system32\Bfjllnnm.exe
  2⤵
  PID:8804

C:\Windows\SysWOW64\Bpbpecen.exe
C:\Windows\system32\Bpbpecen.exe
1⤵
PID:6916
- C:\Windows\SysWOW64\Bcnleb32.exe
  C:\Windows\system32\Bcnleb32.exe
  2⤵
  PID:8308
- - C:\Windows\SysWOW64\Bflham32.exe
    C:\Windows\system32\Bflham32.exe
    3⤵
    PID:8736
  - - C:\Windows\SysWOW64\Bimach32.exe
      C:\Windows\system32\Bimach32.exe
      4⤵
      PID:6892

C:\Windows\SysWOW64\Bfhofnpp.exe
C:\Windows\system32\Bfhofnpp.exe
1⤵
PID:9072

C:\Windows\SysWOW64\Bpgjpb32.exe
C:\Windows\system32\Bpgjpb32.exe
1⤵
PID:8636
- C:\Windows\SysWOW64\Bbefln32.exe
  C:\Windows\system32\Bbefln32.exe
  2⤵
  PID:9224
- - C:\Windows\SysWOW64\Mkbcbp32.exe
    C:\Windows\system32\Mkbcbp32.exe
    3⤵
    PID:9940
  - - C:\Windows\SysWOW64\Mnapnl32.exe
      C:\Windows\system32\Mnapnl32.exe
      4⤵
      PID:9784
    - - C:\Windows\SysWOW64\Ggbmafnm.exe
        
        C:\Windows\system32\Ggbmafnm.exe
        5⤵
        
        PID:2792

C:\Windows\SysWOW64\Cbhbbn32.exe
C:\Windows\system32\Cbhbbn32.exe
1⤵
PID:9328
- C:\Windows\SysWOW64\Cmmgof32.exe
  C:\Windows\system32\Cmmgof32.exe
  2⤵
  PID:9376
- - C:\Windows\SysWOW64\Cplckbmc.exe
    C:\Windows\system32\Cplckbmc.exe
    3⤵
    PID:9420

C:\Windows\SysWOW64\Cbjogmlf.exe
C:\Windows\system32\Cbjogmlf.exe
1⤵
PID:9460
- C:\Windows\SysWOW64\Cehlcikj.exe
  C:\Windows\system32\Cehlcikj.exe
  2⤵
  PID:9504

C:\Windows\SysWOW64\Cidgdg32.exe
C:\Windows\system32\Cidgdg32.exe
1⤵
PID:9548
- C:\Windows\SysWOW64\Clbdpc32.exe
  C:\Windows\system32\Clbdpc32.exe
  2⤵
  PID:9596
- - C:\Windows\SysWOW64\Cbmlmmjd.exe
    C:\Windows\system32\Cbmlmmjd.exe
    3⤵
    PID:9640
  - - C:\Windows\SysWOW64\Cleqfb32.exe
      C:\Windows\system32\Cleqfb32.exe
      4⤵
      PID:9680
    - - C:\Windows\SysWOW64\Cfjeckpj.exe
        
        C:\Windows\system32\Cfjeckpj.exe
        5⤵
        
        PID:9724
      - C:\Windows\SysWOW64\Ciiaogon.exe
        
        C:\Windows\system32\Ciiaogon.exe
        6⤵
        
        PID:9764

C:\Windows\SysWOW64\Clgmkbna.exe
C:\Windows\system32\Clgmkbna.exe
1⤵
PID:9800
- C:\Windows\SysWOW64\Cpcila32.exe
  C:\Windows\system32\Cpcila32.exe
  2⤵
  PID:9848
- - C:\Windows\SysWOW64\Ciknefmk.exe
    C:\Windows\system32\Ciknefmk.exe
    3⤵
    PID:9892
  - - C:\Windows\SysWOW64\Clijablo.exe
      C:\Windows\system32\Clijablo.exe
      4⤵
      PID:9928

C:\Windows\SysWOW64\Dpefaq32.exe
C:\Windows\system32\Dpefaq32.exe
1⤵
PID:9968
- C:\Windows\SysWOW64\Dfonnk32.exe
  C:\Windows\system32\Dfonnk32.exe
  2⤵
  PID:10012
- - C:\Windows\SysWOW64\Debnjgcp.exe
    C:\Windows\system32\Debnjgcp.exe
    3⤵
    PID:10060

C:\Windows\SysWOW64\Dllffa32.exe
C:\Windows\system32\Dllffa32.exe
1⤵
PID:10096

C:\Windows\SysWOW64\Dbfoclai.exe
C:\Windows\system32\Dbfoclai.exe
1⤵
PID:10180
- C:\Windows\SysWOW64\Dmkcpdao.exe
  C:\Windows\system32\Dmkcpdao.exe
  2⤵
  PID:10220

C:\Windows\SysWOW64\Dpjompqc.exe
C:\Windows\system32\Dpjompqc.exe
1⤵
PID:2628
- C:\Windows\SysWOW64\Dbhlikpf.exe
  C:\Windows\system32\Dbhlikpf.exe
  2⤵
  PID:9288
- - C:\Windows\SysWOW64\Defheg32.exe
    C:\Windows\system32\Defheg32.exe
    3⤵
    PID:9356

C:\Windows\SysWOW64\Dibdeegc.exe
C:\Windows\system32\Dibdeegc.exe
1⤵
PID:9452
- C:\Windows\SysWOW64\Dpllbp32.exe
  C:\Windows\system32\Dpllbp32.exe
  2⤵
  PID:9492
- - C:\Windows\SysWOW64\Deidjf32.exe
    C:\Windows\system32\Deidjf32.exe
    3⤵
    PID:9556
  - - C:\Windows\SysWOW64\Dlcmgqdd.exe
      C:\Windows\system32\Dlcmgqdd.exe
      4⤵
      PID:7160
    - - C:\Windows\SysWOW64\Dghadidj.exe
        
        C:\Windows\system32\Dghadidj.exe
        5⤵
        
        PID:9632

C:\Windows\SysWOW64\Ecoaijio.exe
C:\Windows\system32\Ecoaijio.exe
1⤵
PID:9756
- C:\Windows\SysWOW64\Eiijfd32.exe
  C:\Windows\system32\Eiijfd32.exe
  2⤵
  PID:9824
- - C:\Windows\SysWOW64\Mkepgp32.exe
    C:\Windows\system32\Mkepgp32.exe
    3⤵
    PID:10096
  - - C:\Windows\SysWOW64\Mncmck32.exe
      C:\Windows\system32\Mncmck32.exe
      4⤵
      PID:10460
    - - C:\Windows\SysWOW64\Maohdj32.exe
        
        C:\Windows\system32\Maohdj32.exe
        5⤵
        
        PID:4948
      - C:\Windows\SysWOW64\Nkgmmpab.exe
        
        C:\Windows\system32\Nkgmmpab.exe
        6⤵
        
        PID:10300
  - - C:\Windows\SysWOW64\Ddcogo32.exe
      C:\Windows\system32\Ddcogo32.exe
      4⤵
      PID:10140

C:\Windows\SysWOW64\Emgblc32.exe
C:\Windows\system32\Emgblc32.exe
1⤵
PID:10188
- C:\Windows\SysWOW64\Epeohn32.exe
  C:\Windows\system32\Epeohn32.exe
  2⤵
  PID:8232

C:\Windows\SysWOW64\Ecdkdj32.exe
C:\Windows\system32\Ecdkdj32.exe
1⤵
PID:8580
- C:\Windows\SysWOW64\Eebgqe32.exe
  C:\Windows\system32\Eebgqe32.exe
  2⤵
  PID:9432
- - C:\Windows\SysWOW64\Ellpmolj.exe
    C:\Windows\system32\Ellpmolj.exe
    3⤵
    PID:9536
  - - C:\Windows\SysWOW64\Eeddfe32.exe
      C:\Windows\system32\Eeddfe32.exe
      4⤵
      PID:6616
    - - C:\Windows\SysWOW64\Elolco32.exe
        
        C:\Windows\system32\Elolco32.exe
        5⤵
        
        PID:4496
      - C:\Windows\SysWOW64\Epjhcnbp.exe
        
        C:\Windows\system32\Epjhcnbp.exe
        6⤵
        
        PID:9672
        
        C:\Windows\SysWOW64\Ecidpiad.exe
        
        C:\Windows\system32\Ecidpiad.exe
        7⤵
        
        PID:9844

C:\Windows\SysWOW64\Eegqldqg.exe
C:\Windows\system32\Eegqldqg.exe
1⤵
PID:392
- C:\Windows\SysWOW64\Fnnimbaj.exe
  C:\Windows\system32\Fnnimbaj.exe
  2⤵
  PID:9976
- - C:\Windows\SysWOW64\Fdhail32.exe
    C:\Windows\system32\Fdhail32.exe
    3⤵
    PID:10176

C:\Windows\SysWOW64\Feimadoe.exe
C:\Windows\system32\Feimadoe.exe
1⤵
PID:10232
- C:\Windows\SysWOW64\Fjeibc32.exe
  C:\Windows\system32\Fjeibc32.exe
  2⤵
  PID:9336

C:\Windows\SysWOW64\Flcfnn32.exe
C:\Windows\system32\Flcfnn32.exe
1⤵
PID:9544
- C:\Windows\SysWOW64\Fdjnolfd.exe
  C:\Windows\system32\Fdjnolfd.exe
  2⤵
  PID:9476
- - C:\Windows\SysWOW64\Fgijkgeh.exe
    C:\Windows\system32\Fgijkgeh.exe
    3⤵
    - Adds autorun key to be loaded by Explorer.exe on startup
    - Drops file in System32 directory
    - Modifies registry class
    - Suspicious use of WriteProcessMemory
    PID:5104
  - - C:\Windows\SysWOW64\Flfbcndo.exe
      C:\Windows\system32\Flfbcndo.exe
      4⤵
      PID:9748
    - - C:\Windows\SysWOW64\Fdmjdkda.exe
        
        C:\Windows\system32\Fdmjdkda.exe
        5⤵
        
        PID:9916

C:\Windows\SysWOW64\Ffnglc32.exe
C:\Windows\system32\Ffnglc32.exe
1⤵
PID:3632
- C:\Windows\SysWOW64\Fneoma32.exe
  C:\Windows\system32\Fneoma32.exe
  2⤵
  PID:3580

C:\Windows\SysWOW64\Ffpcbchm.exe
C:\Windows\system32\Ffpcbchm.exe
1⤵
PID:4680
- C:\Windows\SysWOW64\Fljlom32.exe
  C:\Windows\system32\Fljlom32.exe
  2⤵
  PID:3432
- - C:\Windows\SysWOW64\Fpfholhc.exe
    C:\Windows\system32\Fpfholhc.exe
    3⤵
    PID:2160

C:\Windows\SysWOW64\Gddqejni.exe
C:\Windows\system32\Gddqejni.exe
1⤵
PID:9784
- C:\Windows\SysWOW64\Mallojmd.exe
  C:\Windows\system32\Mallojmd.exe
  2⤵
  PID:9916
- - C:\Windows\SysWOW64\Mdkhkflh.exe
    C:\Windows\system32\Mdkhkflh.exe
    3⤵
    - Adds autorun key to be loaded by Explorer.exe on startup
    - Executes dropped EXE
    - Drops file in System32 directory
    - Modifies registry class
    - Suspicious use of WriteProcessMemory
    PID:4496
  - - C:\Windows\SysWOW64\Mgidgakk.exe
      C:\Windows\system32\Mgidgakk.exe
      4⤵
      PID:9824
    - - C:\Windows\SysWOW64\Elhfbp32.exe
        
        C:\Windows\system32\Elhfbp32.exe
        5⤵
        
        PID:9912
- - C:\Windows\SysWOW64\Fcpkph32.exe
    C:\Windows\system32\Fcpkph32.exe
    3⤵
    PID:10036

C:\Windows\SysWOW64\Gjcfcakn.exe
C:\Windows\system32\Gjcfcakn.exe
1⤵
PID:1108
- C:\Windows\SysWOW64\Glabolja.exe
  C:\Windows\system32\Glabolja.exe
  2⤵
  PID:1296

C:\Windows\SysWOW64\Gdhjpjjd.exe
C:\Windows\system32\Gdhjpjjd.exe
1⤵
PID:2788
- C:\Windows\SysWOW64\Gggfme32.exe
  C:\Windows\system32\Gggfme32.exe
  2⤵
  PID:4264

C:\Windows\SysWOW64\Gjebiq32.exe
C:\Windows\system32\Gjebiq32.exe
1⤵
PID:9940
- C:\Windows\SysWOW64\Gmdoel32.exe
  C:\Windows\system32\Gmdoel32.exe
  2⤵
  PID:496
- - C:\Windows\SysWOW64\Gqokekph.exe
    C:\Windows\system32\Gqokekph.exe
    3⤵
    PID:10244

C:\Windows\SysWOW64\Gcngafol.exe
C:\Windows\system32\Gcngafol.exe
1⤵
PID:10284
- C:\Windows\SysWOW64\Gflcnanp.exe
  C:\Windows\system32\Gflcnanp.exe
  2⤵
  PID:10336

C:\Windows\SysWOW64\Gnckooob.exe
C:\Windows\system32\Gnckooob.exe
1⤵
PID:10372
- C:\Windows\SysWOW64\Gqagkjne.exe
  C:\Windows\system32\Gqagkjne.exe
  2⤵
  PID:10416

C:\Windows\SysWOW64\Gglpgd32.exe
C:\Windows\system32\Gglpgd32.exe
1⤵
PID:10500
- C:\Windows\SysWOW64\Hjjldpdf.exe
  C:\Windows\system32\Hjjldpdf.exe
  2⤵
  PID:10544

C:\Windows\SysWOW64\Hmhhpkcj.exe
C:\Windows\system32\Hmhhpkcj.exe
1⤵
PID:10584
- C:\Windows\SysWOW64\Hcbpme32.exe
  C:\Windows\system32\Hcbpme32.exe
  2⤵
  PID:10632
- - C:\Windows\SysWOW64\Hcgjhega.exe
    C:\Windows\system32\Hcgjhega.exe
    3⤵
    PID:10668
  - - C:\Windows\SysWOW64\Hfefdpfe.exe
      C:\Windows\system32\Hfefdpfe.exe
      4⤵
      PID:10716

C:\Windows\SysWOW64\Gdmcki32.exe
C:\Windows\system32\Gdmcki32.exe
1⤵
PID:10460

C:\Windows\SysWOW64\Ijfkpnji.exe
C:\Windows\system32\Ijfkpnji.exe
1⤵
PID:10788
- C:\Windows\SysWOW64\Imdgljil.exe
  C:\Windows\system32\Imdgljil.exe
  2⤵
  PID:10836

C:\Windows\SysWOW64\Imfdaigj.exe
C:\Windows\system32\Imfdaigj.exe
1⤵
PID:11008
- C:\Windows\SysWOW64\Ienlbf32.exe
  C:\Windows\system32\Ienlbf32.exe
  2⤵
  PID:11056
- - C:\Windows\SysWOW64\Imiagi32.exe
    C:\Windows\system32\Imiagi32.exe
    3⤵
    PID:11092
  - - C:\Windows\SysWOW64\Iepihf32.exe
      C:\Windows\system32\Iepihf32.exe
      4⤵
      PID:11140

C:\Windows\SysWOW64\Ijhhenhf.exe
C:\Windows\system32\Ijhhenhf.exe
1⤵
PID:10964
- C:\Windows\SysWOW64\Nnhfokoc.exe
  C:\Windows\system32\Nnhfokoc.exe
  2⤵
  PID:1648
- - C:\Windows\SysWOW64\Nqfbkf32.exe
    C:\Windows\system32\Nqfbkf32.exe
    3⤵
    PID:13604
  - - C:\Windows\SysWOW64\Ncenga32.exe
      C:\Windows\system32\Ncenga32.exe
      4⤵
      PID:2552
    - - C:\Windows\SysWOW64\Ocqncp32.exe
        
        C:\Windows\system32\Ocqncp32.exe
        5⤵
        
        PID:1752
      - C:\Windows\SysWOW64\Ogljcokf.exe
        
        C:\Windows\system32\Ogljcokf.exe
        6⤵
        
        PID:11232

C:\Windows\SysWOW64\Ijmapm32.exe
C:\Windows\system32\Ijmapm32.exe
1⤵
PID:11220
- C:\Windows\SysWOW64\Iqgjmg32.exe
  C:\Windows\system32\Iqgjmg32.exe
  2⤵
  PID:2288

C:\Windows\SysWOW64\Icefib32.exe
C:\Windows\system32\Icefib32.exe
1⤵
PID:10272
- C:\Windows\SysWOW64\Ijonfmbn.exe
  C:\Windows\system32\Ijonfmbn.exe
  2⤵
  PID:10316

C:\Windows\SysWOW64\Inkjfk32.exe
C:\Windows\system32\Inkjfk32.exe
1⤵
PID:10364
- C:\Windows\SysWOW64\Iaifbg32.exe
  C:\Windows\system32\Iaifbg32.exe
  2⤵
  PID:10452

C:\Windows\SysWOW64\Icgbob32.exe
C:\Windows\system32\Icgbob32.exe
1⤵
PID:10488
- C:\Windows\SysWOW64\Jgcooaah.exe
  C:\Windows\system32\Jgcooaah.exe
  2⤵
  PID:10532
- - C:\Windows\SysWOW64\Jjakkmpk.exe
    C:\Windows\system32\Jjakkmpk.exe
    3⤵
    PID:10564
  - - C:\Windows\SysWOW64\Jcjodbgl.exe
      C:\Windows\system32\Jcjodbgl.exe
      4⤵
      PID:3924

C:\Windows\SysWOW64\Jfhlpnfp.exe
C:\Windows\system32\Jfhlpnfp.exe
1⤵
PID:3704
- C:\Windows\SysWOW64\Jnocakfb.exe
  C:\Windows\system32\Jnocakfb.exe
  2⤵
  PID:3760
- - C:\Windows\SysWOW64\Jghhjq32.exe
    C:\Windows\system32\Jghhjq32.exe
    3⤵
    PID:2380
  - - C:\Windows\SysWOW64\Jjfdfl32.exe
      C:\Windows\system32\Jjfdfl32.exe
      4⤵
      PID:5048

C:\Windows\SysWOW64\Jfoaam32.exe
C:\Windows\system32\Jfoaam32.exe
1⤵
PID:4504
- C:\Windows\SysWOW64\Jnfjbj32.exe
  C:\Windows\system32\Jnfjbj32.exe
  2⤵
  PID:10804
- - C:\Windows\SysWOW64\Jaefne32.exe
    C:\Windows\system32\Jaefne32.exe
    3⤵
    PID:5040

C:\Windows\SysWOW64\Kjmjgk32.exe
C:\Windows\system32\Kjmjgk32.exe
1⤵
PID:1156
- C:\Windows\SysWOW64\Knifging.exe
  C:\Windows\system32\Knifging.exe
  2⤵
  PID:10976
- - C:\Windows\SysWOW64\Kagbdenk.exe
    C:\Windows\system32\Kagbdenk.exe
    3⤵
    PID:4704

C:\Windows\SysWOW64\Khakqo32.exe
C:\Windows\system32\Khakqo32.exe
1⤵
PID:11076
- C:\Windows\SysWOW64\Knkcmild.exe
  C:\Windows\system32\Knkcmild.exe
  2⤵
  PID:11116
- - C:\Windows\SysWOW64\Kaioidkh.exe
    C:\Windows\system32\Kaioidkh.exe
    3⤵
    PID:11164

C:\Windows\SysWOW64\Kjbdbjbi.exe
C:\Windows\system32\Kjbdbjbi.exe
1⤵
PID:1776

C:\Windows\SysWOW64\Kanidd32.exe
C:\Windows\system32\Kanidd32.exe
1⤵
PID:936
- C:\Windows\SysWOW64\Kdmeqo32.exe
  C:\Windows\system32\Kdmeqo32.exe
  2⤵
  PID:5016

C:\Windows\SysWOW64\Kmeiie32.exe
C:\Windows\system32\Kmeiie32.exe
1⤵
PID:4132
- C:\Windows\SysWOW64\Lelajb32.exe
  C:\Windows\system32\Lelajb32.exe
  2⤵
  PID:10624

C:\Windows\SysWOW64\Lhjnfn32.exe
C:\Windows\system32\Lhjnfn32.exe
1⤵
PID:7704
- C:\Windows\SysWOW64\Lfmnbjcg.exe
  C:\Windows\system32\Lfmnbjcg.exe
  2⤵
  PID:10640

C:\Windows\SysWOW64\Lndfchdj.exe
C:\Windows\system32\Lndfchdj.exe
1⤵
PID:2156
- C:\Windows\SysWOW64\Lacbpccn.exe
  C:\Windows\system32\Lacbpccn.exe
  2⤵
  PID:396

C:\Windows\SysWOW64\Laglkb32.exe
C:\Windows\system32\Laglkb32.exe
1⤵
PID:10944
- C:\Windows\SysWOW64\Lechkaga.exe
  C:\Windows\system32\Lechkaga.exe
  2⤵
  PID:11016

C:\Windows\SysWOW64\Lajhpbme.exe
C:\Windows\system32\Lajhpbme.exe
1⤵
PID:1352
- C:\Windows\SysWOW64\Ldhdlnli.exe
  C:\Windows\system32\Ldhdlnli.exe
  2⤵
  PID:2956

C:\Windows\SysWOW64\Lfgahikm.exe
C:\Windows\system32\Lfgahikm.exe
1⤵
PID:10356
- C:\Windows\SysWOW64\Lkbmih32.exe
  C:\Windows\system32\Lkbmih32.exe
  2⤵
  PID:5560

C:\Windows\SysWOW64\Lmqiec32.exe
C:\Windows\system32\Lmqiec32.exe
1⤵
PID:5004
- C:\Windows\SysWOW64\Malefbkc.exe
  C:\Windows\system32\Malefbkc.exe
  2⤵
  PID:4396

C:\Windows\SysWOW64\Meljappg.exe
C:\Windows\system32\Meljappg.exe
1⤵
PID:5836
- C:\Windows\SysWOW64\Mhkgnkoj.exe
  C:\Windows\system32\Mhkgnkoj.exe
  2⤵
  PID:3728
- - C:\Windows\SysWOW64\Mkicjgnn.exe
    C:\Windows\system32\Mkicjgnn.exe
    3⤵
    PID:10868

C:\Windows\SysWOW64\Mmhofbma.exe
C:\Windows\system32\Mmhofbma.exe
1⤵
PID:5352
- C:\Windows\SysWOW64\Meoggpmd.exe
  C:\Windows\system32\Meoggpmd.exe
  2⤵
  PID:5996

C:\Windows\SysWOW64\Mhmcck32.exe
C:\Windows\system32\Mhmcck32.exe
1⤵
PID:2780
- C:\Windows\SysWOW64\Mgpcohcb.exe
  C:\Windows\system32\Mgpcohcb.exe
  2⤵
  PID:11228

C:\Windows\SysWOW64\Nahdapae.exe
C:\Windows\system32\Nahdapae.exe
1⤵
PID:5788
- C:\Windows\SysWOW64\Ndfanlpi.exe
  C:\Windows\system32\Ndfanlpi.exe
  2⤵
  PID:1516

C:\Windows\SysWOW64\Nolekd32.exe
C:\Windows\system32\Nolekd32.exe
1⤵
PID:2420
- C:\Windows\SysWOW64\Najagp32.exe
  C:\Windows\system32\Najagp32.exe
  2⤵
  PID:10772

C:\Windows\SysWOW64\Ndinck32.exe
C:\Windows\system32\Ndinck32.exe
1⤵
PID:5452
- C:\Windows\SysWOW64\Nggjog32.exe
  C:\Windows\system32\Nggjog32.exe
  2⤵
  PID:10860
- - C:\Windows\SysWOW64\Nonbqd32.exe
    C:\Windows\system32\Nonbqd32.exe
    3⤵
    PID:6024

C:\Windows\SysWOW64\Nncoaq32.exe
C:\Windows\system32\Nncoaq32.exe
1⤵
PID:5236
- C:\Windows\SysWOW64\Ndmgnkja.exe
  C:\Windows\system32\Ndmgnkja.exe
  2⤵
  PID:5600
- - C:\Windows\SysWOW64\Nhicoi32.exe
    C:\Windows\system32\Nhicoi32.exe
    3⤵
    PID:1096

C:\Windows\SysWOW64\Nemchn32.exe
C:\Windows\system32\Nemchn32.exe
1⤵
PID:2968
- C:\Windows\SysWOW64\Nhkpdi32.exe
  C:\Windows\system32\Nhkpdi32.exe
  2⤵
  PID:5164

C:\Windows\SysWOW64\Onhhmpoo.exe
C:\Windows\system32\Onhhmpoo.exe
1⤵
PID:5960
- C:\Windows\SysWOW64\Oeopnmoa.exe
  C:\Windows\system32\Oeopnmoa.exe
  2⤵
  PID:5400

C:\Windows\SysWOW64\Ohpiphlb.exe
C:\Windows\system32\Ohpiphlb.exe
1⤵
PID:8096
- C:\Windows\SysWOW64\Okneldkf.exe
  C:\Windows\system32\Okneldkf.exe
  2⤵
  PID:5680
- - C:\Windows\SysWOW64\Onmahojj.exe
    C:\Windows\system32\Onmahojj.exe
    3⤵
    PID:7864

C:\Windows\SysWOW64\Ohbfeh32.exe
C:\Windows\system32\Ohbfeh32.exe
1⤵
PID:5612
- C:\Windows\SysWOW64\Okqbac32.exe
  C:\Windows\system32\Okqbac32.exe
  2⤵
  PID:5496

C:\Windows\SysWOW64\Okeklcen.exe
C:\Windows\system32\Okeklcen.exe
1⤵
PID:5704
- C:\Windows\SysWOW64\Pndhhnda.exe
  C:\Windows\system32\Pndhhnda.exe
  2⤵
  PID:3752

C:\Windows\SysWOW64\Pfkpiled.exe
C:\Windows\system32\Pfkpiled.exe
1⤵
PID:6012
- C:\Windows\SysWOW64\Philfgdh.exe
  C:\Windows\system32\Philfgdh.exe
  2⤵
  PID:5828

C:\Windows\SysWOW64\Pocdba32.exe
C:\Windows\system32\Pocdba32.exe
1⤵
PID:5320
- C:\Windows\SysWOW64\Pbapom32.exe
  C:\Windows\system32\Pbapom32.exe
  2⤵
  PID:10992
- - C:\Windows\SysWOW64\Pdpmkhjl.exe
    C:\Windows\system32\Pdpmkhjl.exe
    3⤵
    PID:5528

C:\Windows\SysWOW64\Pgoigcip.exe
C:\Windows\system32\Pgoigcip.exe
1⤵
PID:6248
- C:\Windows\SysWOW64\Pkjegb32.exe
  C:\Windows\system32\Pkjegb32.exe
  2⤵
  PID:6128

C:\Windows\SysWOW64\Pnhacn32.exe
C:\Windows\system32\Pnhacn32.exe
1⤵
PID:3160
- C:\Windows\SysWOW64\Pdbiphhi.exe
  C:\Windows\system32\Pdbiphhi.exe
  2⤵
  PID:5852

C:\Windows\SysWOW64\Pnknim32.exe
C:\Windows\system32\Pnknim32.exe
1⤵
PID:6428
- C:\Windows\SysWOW64\Pfbfjk32.exe
  C:\Windows\system32\Pfbfjk32.exe
  2⤵
  PID:5260

C:\Windows\SysWOW64\Phpbffnp.exe
C:\Windows\system32\Phpbffnp.exe
1⤵
PID:5380
- C:\Windows\SysWOW64\Pkonbamc.exe
  C:\Windows\system32\Pkonbamc.exe
  2⤵
  PID:5540

C:\Windows\SysWOW64\Pnmjomlg.exe
C:\Windows\system32\Pnmjomlg.exe
1⤵
PID:6568
- C:\Windows\SysWOW64\Pbifol32.exe
  C:\Windows\system32\Pbifol32.exe
  2⤵
  PID:5900

C:\Windows\SysWOW64\Qhekaejj.exe
C:\Windows\system32\Qhekaejj.exe
1⤵
PID:3208
- C:\Windows\SysWOW64\Qoocnpag.exe
  C:\Windows\system32\Qoocnpag.exe
  2⤵
  PID:6952

C:\Windows\SysWOW64\Anfmeldl.exe
C:\Windows\system32\Anfmeldl.exe
1⤵
PID:6188
- C:\Windows\SysWOW64\Abbiej32.exe
  C:\Windows\system32\Abbiej32.exe
  2⤵
  PID:6540

C:\Windows\SysWOW64\Afpbkicl.exe
C:\Windows\system32\Afpbkicl.exe
1⤵
PID:5008
- C:\Windows\SysWOW64\Ainnhdbp.exe
  C:\Windows\system32\Ainnhdbp.exe
  2⤵
  PID:5888
- - C:\Windows\SysWOW64\Akmjdpac.exe
    C:\Windows\system32\Akmjdpac.exe
    3⤵
    PID:4148

C:\Windows\SysWOW64\Aohfdnil.exe
C:\Windows\system32\Aohfdnil.exe
1⤵
PID:6776
- C:\Windows\SysWOW64\Abgcqjhp.exe
  C:\Windows\system32\Abgcqjhp.exe
  2⤵
  PID:6968

C:\Windows\SysWOW64\Aiqkmd32.exe
C:\Windows\system32\Aiqkmd32.exe
1⤵
PID:6600
- C:\Windows\SysWOW64\Akogio32.exe
  C:\Windows\system32\Akogio32.exe
  2⤵
  PID:5492

C:\Windows\SysWOW64\Afdkfh32.exe
C:\Windows\system32\Afdkfh32.exe
1⤵
PID:3424
- C:\Windows\SysWOW64\Bichcc32.exe
  C:\Windows\system32\Bichcc32.exe
  2⤵
  PID:6456

C:\Windows\SysWOW64\Bnbmqjjo.exe
C:\Windows\system32\Bnbmqjjo.exe
1⤵
PID:6260
- C:\Windows\SysWOW64\Bfieagka.exe
  C:\Windows\system32\Bfieagka.exe
  2⤵
  PID:7028

C:\Windows\SysWOW64\Bgkaip32.exe
C:\Windows\system32\Bgkaip32.exe
1⤵
PID:6200
- C:\Windows\SysWOW64\Bndjfjhl.exe
  C:\Windows\system32\Bndjfjhl.exe
  2⤵
  PID:5360
- - C:\Windows\SysWOW64\Bflagg32.exe
    C:\Windows\system32\Bflagg32.exe
    3⤵
    PID:7068

C:\Windows\SysWOW64\Bgmnooom.exe
C:\Windows\system32\Bgmnooom.exe
1⤵
PID:6504
- C:\Windows\SysWOW64\Bkhjpn32.exe
  C:\Windows\system32\Bkhjpn32.exe
  2⤵
  PID:5080
- - C:\Windows\SysWOW64\Bngfli32.exe
    C:\Windows\system32\Bngfli32.exe
    3⤵
    PID:6816

C:\Windows\SysWOW64\Bgokdomj.exe
C:\Windows\system32\Bgokdomj.exe
1⤵
PID:11296
- C:\Windows\SysWOW64\Bpfcelml.exe
  C:\Windows\system32\Bpfcelml.exe
  2⤵
  PID:11344
- - C:\Windows\SysWOW64\Bbeobhlp.exe
    C:\Windows\system32\Bbeobhlp.exe
    3⤵
    PID:11384

C:\Windows\SysWOW64\Becknc32.exe
C:\Windows\system32\Becknc32.exe
1⤵
PID:11420
- C:\Windows\SysWOW64\Cgagjo32.exe
  C:\Windows\system32\Cgagjo32.exe
  2⤵
  PID:11464
- - C:\Windows\SysWOW64\Cbglgg32.exe
    C:\Windows\system32\Cbglgg32.exe
    3⤵
    PID:11508
  - - C:\Windows\SysWOW64\Ceehcc32.exe
      C:\Windows\system32\Ceehcc32.exe
      4⤵
      PID:11556

C:\Windows\SysWOW64\Cnnllhpa.exe
C:\Windows\system32\Cnnllhpa.exe
1⤵
PID:11596
- C:\Windows\SysWOW64\Cfedmfqd.exe
  C:\Windows\system32\Cfedmfqd.exe
  2⤵
  PID:11640
- - C:\Windows\SysWOW64\Cpmifkgd.exe
    C:\Windows\system32\Cpmifkgd.exe
    3⤵
    PID:11680

C:\Windows\SysWOW64\Cblebgfh.exe
C:\Windows\system32\Cblebgfh.exe
1⤵
PID:11720
- C:\Windows\SysWOW64\Cejaobel.exe
  C:\Windows\system32\Cejaobel.exe
  2⤵
  PID:11760

C:\Windows\SysWOW64\Chinkndp.exe
C:\Windows\system32\Chinkndp.exe
1⤵
PID:11804
- C:\Windows\SysWOW64\Cppelkeb.exe
  C:\Windows\system32\Cppelkeb.exe
  2⤵
  PID:11844

C:\Windows\SysWOW64\Dimcppgm.exe
C:\Windows\system32\Dimcppgm.exe
1⤵
PID:11920
- C:\Windows\SysWOW64\Dhpdkm32.exe
  C:\Windows\system32\Dhpdkm32.exe
  2⤵
  PID:11960

C:\Windows\SysWOW64\Dhbqalle.exe
C:\Windows\system32\Dhbqalle.exe
1⤵
PID:12124
- C:\Windows\SysWOW64\Dpihbjmg.exe
  C:\Windows\system32\Dpihbjmg.exe
  2⤵
  PID:12168

C:\Windows\SysWOW64\Dbgdnelk.exe
C:\Windows\system32\Dbgdnelk.exe
1⤵
PID:12212
- C:\Windows\SysWOW64\Defajqko.exe
  C:\Windows\system32\Defajqko.exe
  2⤵
  PID:12252

C:\Windows\SysWOW64\Dbjade32.exe
C:\Windows\system32\Dbjade32.exe
1⤵
PID:11412
- C:\Windows\SysWOW64\Dehnpp32.exe
  C:\Windows\system32\Dehnpp32.exe
  2⤵
  PID:11452

C:\Windows\SysWOW64\Dhgjll32.exe
C:\Windows\system32\Dhgjll32.exe
1⤵
PID:11528
- C:\Windows\SysWOW64\Dlbfmjqi.exe
  C:\Windows\system32\Dlbfmjqi.exe
  2⤵
  PID:11576

C:\Windows\SysWOW64\Dblnid32.exe
C:\Windows\system32\Dblnid32.exe
1⤵
PID:11636
- C:\Windows\SysWOW64\Efhjjcpo.exe
  C:\Windows\system32\Efhjjcpo.exe
  2⤵
  PID:11672
- - C:\Windows\SysWOW64\Eifffoob.exe
    C:\Windows\system32\Eifffoob.exe
    3⤵
    PID:11712
  - - C:\Windows\SysWOW64\Eihcln32.exe
      C:\Windows\system32\Eihcln32.exe
      4⤵
      PID:6332

C:\Windows\SysWOW64\Elgohj32.exe
C:\Windows\system32\Elgohj32.exe
1⤵
PID:6496
- C:\Windows\SysWOW64\Epbkhhel.exe
  C:\Windows\system32\Epbkhhel.exe
  2⤵
  PID:6264
- - C:\Windows\SysWOW64\Ebagdddp.exe
    C:\Windows\system32\Ebagdddp.exe
    3⤵
    PID:6440

C:\Windows\SysWOW64\Eikpan32.exe
C:\Windows\system32\Eikpan32.exe
1⤵
PID:11888
- C:\Windows\SysWOW64\Ehnpmkbg.exe
  C:\Windows\system32\Ehnpmkbg.exe
  2⤵
  PID:11948

C:\Windows\SysWOW64\Epehnhbj.exe
C:\Windows\system32\Epehnhbj.exe
1⤵
PID:12008
- C:\Windows\SysWOW64\Ebcdjc32.exe
  C:\Windows\system32\Ebcdjc32.exe
  2⤵
  PID:6992
- - C:\Windows\SysWOW64\Eimlgnij.exe
    C:\Windows\system32\Eimlgnij.exe
    3⤵
    PID:4980
  - - C:\Windows\SysWOW64\Ellicihn.exe
      C:\Windows\system32\Ellicihn.exe
      4⤵
      PID:12156

C:\Windows\SysWOW64\Eojeodga.exe
C:\Windows\system32\Eojeodga.exe
1⤵
PID:12208
- C:\Windows\SysWOW64\Ebeapc32.exe
  C:\Windows\system32\Ebeapc32.exe
  2⤵
  PID:6976

C:\Windows\SysWOW64\Fgcjea32.exe
C:\Windows\system32\Fgcjea32.exe
1⤵
PID:6556
- C:\Windows\SysWOW64\Fefjanml.exe
  C:\Windows\system32\Fefjanml.exe
  2⤵
  PID:11588

C:\Windows\SysWOW64\Fpnkdfko.exe
C:\Windows\system32\Fpnkdfko.exe
1⤵
PID:11864
- C:\Windows\SysWOW64\Fcmgpbjc.exe
  C:\Windows\system32\Fcmgpbjc.exe
  2⤵
  PID:11968
- - C:\Windows\SysWOW64\Fcodfa32.exe
    C:\Windows\system32\Fcodfa32.exe
    3⤵
    PID:11992
  - - C:\Windows\SysWOW64\Fiilblom.exe
      C:\Windows\system32\Fiilblom.exe
      4⤵
      PID:7148
    - - C:\Windows\SysWOW64\Fpcdof32.exe
        
        C:\Windows\system32\Fpcdof32.exe
        5⤵
        
        PID:12176

C:\Windows\SysWOW64\Flboch32.exe
C:\Windows\system32\Flboch32.exe
1⤵
PID:11828

C:\Windows\SysWOW64\Fidbgm32.exe
C:\Windows\system32\Fidbgm32.exe
1⤵
PID:11840

C:\Windows\SysWOW64\Fepmgm32.exe
C:\Windows\system32\Fepmgm32.exe
1⤵
PID:12204
- C:\Windows\SysWOW64\Fhnichde.exe
  C:\Windows\system32\Fhnichde.exe
  2⤵
  PID:12240
- - C:\Windows\SysWOW64\Fpeaeedg.exe
    C:\Windows\system32\Fpeaeedg.exe
    3⤵
    PID:7284

C:\Windows\SysWOW64\Gccmaack.exe
C:\Windows\system32\Gccmaack.exe
1⤵
PID:6528
- C:\Windows\SysWOW64\Ggoiap32.exe
  C:\Windows\system32\Ggoiap32.exe
  2⤵
  PID:4488

C:\Windows\SysWOW64\Gojnfb32.exe
C:\Windows\system32\Gojnfb32.exe
1⤵
PID:6752
- C:\Windows\SysWOW64\Ggafgo32.exe
  C:\Windows\system32\Ggafgo32.exe
  2⤵
  PID:4860

C:\Windows\SysWOW64\Gedfblql.exe
C:\Windows\system32\Gedfblql.exe
1⤵
PID:7164
- C:\Windows\SysWOW64\Ghcbohpp.exe
  C:\Windows\system32\Ghcbohpp.exe
  2⤵
  PID:11836

C:\Windows\SysWOW64\Gpjjpe32.exe
C:\Windows\system32\Gpjjpe32.exe
1⤵
PID:840
- C:\Windows\SysWOW64\Gchflq32.exe
  C:\Windows\system32\Gchflq32.exe
  2⤵
  PID:6736

C:\Windows\SysWOW64\Gplged32.exe
C:\Windows\system32\Gplged32.exe
1⤵
PID:12052
- C:\Windows\SysWOW64\Gckcap32.exe
  C:\Windows\system32\Gckcap32.exe
  2⤵
  PID:6988

C:\Windows\SysWOW64\Hcaibo32.exe
C:\Windows\system32\Hcaibo32.exe
1⤵
PID:5064
- C:\Windows\SysWOW64\Hjlaoioh.exe
  C:\Windows\system32\Hjlaoioh.exe
  2⤵
  PID:7512

C:\Windows\SysWOW64\Hljnkdnk.exe
C:\Windows\system32\Hljnkdnk.exe
1⤵
PID:7384
- C:\Windows\SysWOW64\Hohjgpmo.exe
  C:\Windows\system32\Hohjgpmo.exe
  2⤵
  PID:7648
- - C:\Windows\SysWOW64\Hgpbhmna.exe
    C:\Windows\system32\Hgpbhmna.exe
    3⤵
    PID:7416

C:\Windows\SysWOW64\Hphfac32.exe
C:\Windows\system32\Hphfac32.exe
1⤵
PID:7632
- C:\Windows\SysWOW64\Hcfcmnce.exe
  C:\Windows\system32\Hcfcmnce.exe
  2⤵
  PID:7680

C:\Windows\SysWOW64\Hfgloiqf.exe
C:\Windows\system32\Hfgloiqf.exe
1⤵
PID:8144
- C:\Windows\SysWOW64\Hhehkepj.exe
  C:\Windows\system32\Hhehkepj.exe
  2⤵
  PID:7076

C:\Windows\SysWOW64\Iqdfmajd.exe
C:\Windows\system32\Iqdfmajd.exe
1⤵
PID:7952
- C:\Windows\SysWOW64\Icbbimih.exe
  C:\Windows\system32\Icbbimih.exe
  2⤵
  PID:8180

C:\Windows\SysWOW64\Iqfcbahb.exe
C:\Windows\system32\Iqfcbahb.exe
1⤵
PID:7584
- C:\Windows\SysWOW64\Icdoolge.exe
  C:\Windows\system32\Icdoolge.exe
  2⤵
  PID:7604

C:\Windows\SysWOW64\Ifckkhfi.exe
C:\Windows\system32\Ifckkhfi.exe
1⤵
PID:7796
- C:\Windows\SysWOW64\Iiaggc32.exe
  C:\Windows\system32\Iiaggc32.exe
  2⤵
  PID:7868

C:\Windows\SysWOW64\Jqhphq32.exe
C:\Windows\system32\Jqhphq32.exe
1⤵
PID:12200
- C:\Windows\SysWOW64\Jcgldl32.exe
  C:\Windows\system32\Jcgldl32.exe
  2⤵
  PID:7948
- - C:\Windows\SysWOW64\Jfehpg32.exe
    C:\Windows\system32\Jfehpg32.exe
    3⤵
    PID:7936

C:\Windows\SysWOW64\Jmopmalc.exe
C:\Windows\system32\Jmopmalc.exe
1⤵
PID:11616
- C:\Windows\SysWOW64\Jonlimkg.exe
  C:\Windows\system32\Jonlimkg.exe
  2⤵
  PID:724

C:\Windows\SysWOW64\Jgedjjki.exe
C:\Windows\system32\Jgedjjki.exe
1⤵
PID:8172
- C:\Windows\SysWOW64\Jfgefg32.exe
  C:\Windows\system32\Jfgefg32.exe
  2⤵
  PID:7120

C:\Windows\SysWOW64\Jggapj32.exe
C:\Windows\system32\Jggapj32.exe
1⤵
PID:7836
- C:\Windows\SysWOW64\Jjemle32.exe
  C:\Windows\system32\Jjemle32.exe
  2⤵
  PID:8156

C:\Windows\SysWOW64\Kimgba32.exe
C:\Windows\system32\Kimgba32.exe
1⤵
PID:8872
- C:\Windows\SysWOW64\Kmhccpci.exe
  C:\Windows\system32\Kmhccpci.exe
  2⤵
  PID:6444

C:\Windows\SysWOW64\Kpgoolbl.exe
C:\Windows\system32\Kpgoolbl.exe
1⤵
PID:7576
- C:\Windows\SysWOW64\Kcbkpj32.exe
  C:\Windows\system32\Kcbkpj32.exe
  2⤵
  PID:8152

C:\Windows\SysWOW64\Kiodha32.exe
C:\Windows\system32\Kiodha32.exe
1⤵
PID:7344
- C:\Windows\SysWOW64\Kaflio32.exe
  C:\Windows\system32\Kaflio32.exe
  2⤵
  PID:2248
- - C:\Windows\SysWOW64\Kpilekqj.exe
    C:\Windows\system32\Kpilekqj.exe
    3⤵
    PID:7636

C:\Windows\SysWOW64\Kfcdaehf.exe
C:\Windows\system32\Kfcdaehf.exe
1⤵
PID:8548
- C:\Windows\SysWOW64\Kiaqnagj.exe
  C:\Windows\system32\Kiaqnagj.exe
  2⤵
  PID:8408
- - C:\Windows\SysWOW64\Kmmmnp32.exe
    C:\Windows\system32\Kmmmnp32.exe
    3⤵
    PID:4072

C:\Windows\SysWOW64\Kgcqlh32.exe
C:\Windows\system32\Kgcqlh32.exe
1⤵
PID:7108
- C:\Windows\SysWOW64\Kjamhd32.exe
  C:\Windows\system32\Kjamhd32.exe
  2⤵
  PID:8092
- - C:\Windows\SysWOW64\Kidmcqeg.exe
    C:\Windows\system32\Kidmcqeg.exe
    3⤵
    PID:7560

C:\Windows\SysWOW64\Kplijk32.exe
C:\Windows\system32\Kplijk32.exe
1⤵
PID:8432

C:\Windows\SysWOW64\Kifjip32.exe
C:\Windows\system32\Kifjip32.exe
1⤵
PID:8748
- C:\Windows\SysWOW64\Kanbjn32.exe
  C:\Windows\system32\Kanbjn32.exe
  2⤵
  PID:8688
- - C:\Windows\SysWOW64\Kclnfi32.exe
    C:\Windows\system32\Kclnfi32.exe
    3⤵
    PID:7988

C:\Windows\SysWOW64\Kggjghkd.exe
C:\Windows\system32\Kggjghkd.exe
1⤵
PID:8504
- C:\Windows\SysWOW64\Ljffccjh.exe
  C:\Windows\system32\Ljffccjh.exe
  2⤵
  PID:8944

C:\Windows\SysWOW64\Lmdbooik.exe
C:\Windows\system32\Lmdbooik.exe
1⤵
PID:8744
- C:\Windows\SysWOW64\Lcnkli32.exe
  C:\Windows\system32\Lcnkli32.exe
  2⤵
  PID:7428

C:\Windows\SysWOW64\Lmfodn32.exe
C:\Windows\system32\Lmfodn32.exe
1⤵
PID:1848
- C:\Windows\SysWOW64\Lpelqj32.exe
  C:\Windows\system32\Lpelqj32.exe
  2⤵
  PID:4440
- - C:\Windows\SysWOW64\Lglcag32.exe
    C:\Windows\system32\Lglcag32.exe
    3⤵
    PID:7432

C:\Windows\SysWOW64\Ladhkmno.exe
C:\Windows\system32\Ladhkmno.exe
1⤵
PID:12368
- C:\Windows\SysWOW64\Lccdghmc.exe
  C:\Windows\system32\Lccdghmc.exe
  2⤵
  PID:12412

C:\Windows\SysWOW64\Lhopgg32.exe
C:\Windows\system32\Lhopgg32.exe
1⤵
PID:12452
- C:\Windows\SysWOW64\Ljmmcbdp.exe
  C:\Windows\system32\Ljmmcbdp.exe
  2⤵
  PID:12496
- - C:\Windows\SysWOW64\Lmkipncc.exe
    C:\Windows\system32\Lmkipncc.exe
    3⤵
    PID:12532

C:\Windows\SysWOW64\Lpjelibg.exe
C:\Windows\system32\Lpjelibg.exe
1⤵
PID:12576
- C:\Windows\SysWOW64\Lcealh32.exe
  C:\Windows\system32\Lcealh32.exe
  2⤵
  PID:12624

C:\Windows\SysWOW64\Lfcmhc32.exe
C:\Windows\system32\Lfcmhc32.exe
1⤵
PID:12664
- C:\Windows\SysWOW64\Libido32.exe
  C:\Windows\system32\Libido32.exe
  2⤵
  PID:12708

C:\Windows\SysWOW64\Lmneemaq.exe
C:\Windows\system32\Lmneemaq.exe
1⤵
PID:12744
- C:\Windows\SysWOW64\Lplaaiqd.exe
  C:\Windows\system32\Lplaaiqd.exe
  2⤵
  PID:12788

C:\Windows\SysWOW64\Ldgnbg32.exe
C:\Windows\system32\Ldgnbg32.exe
1⤵
PID:12836
- C:\Windows\SysWOW64\Mffjnc32.exe
  C:\Windows\system32\Mffjnc32.exe
  2⤵
  PID:12876

C:\Windows\SysWOW64\Midfjnge.exe
C:\Windows\system32\Midfjnge.exe
1⤵
PID:12916
- C:\Windows\SysWOW64\Malnklgg.exe
  C:\Windows\system32\Malnklgg.exe
  2⤵
  PID:12964
- - C:\Windows\SysWOW64\Mdjjgggk.exe
    C:\Windows\system32\Mdjjgggk.exe
    3⤵
    PID:13012

C:\Windows\SysWOW64\Mfhgcbfo.exe
C:\Windows\system32\Mfhgcbfo.exe
1⤵
PID:13056
- C:\Windows\SysWOW64\Migcpneb.exe
  C:\Windows\system32\Migcpneb.exe
  2⤵
  PID:13096
- - C:\Windows\SysWOW64\Mmbopm32.exe
    C:\Windows\system32\Mmbopm32.exe
    3⤵
    PID:13140

C:\Windows\SysWOW64\Mpqklh32.exe
C:\Windows\system32\Mpqklh32.exe
1⤵
PID:13180
- C:\Windows\SysWOW64\Mhhcne32.exe
  C:\Windows\system32\Mhhcne32.exe
  2⤵
  PID:13260
- - C:\Windows\SysWOW64\Mphamg32.exe
    C:\Windows\system32\Mphamg32.exe
    3⤵
    PID:8544
  - - C:\Windows\SysWOW64\Nfaijand.exe
      C:\Windows\system32\Nfaijand.exe
      4⤵
      PID:12336
    - - C:\Windows\SysWOW64\Nmlafk32.exe
        
        C:\Windows\system32\Nmlafk32.exe
        5⤵
        
        PID:12376

C:\Windows\SysWOW64\Npjnbg32.exe
C:\Windows\system32\Npjnbg32.exe
1⤵
PID:12440
- C:\Windows\SysWOW64\Nhafcd32.exe
  C:\Windows\system32\Nhafcd32.exe
  2⤵
  PID:12480
- - C:\Windows\SysWOW64\Nfdfoala.exe
    C:\Windows\system32\Nfdfoala.exe
    3⤵
    PID:12556
  - - C:\Windows\SysWOW64\Npognfpo.exe
      C:\Windows\system32\Npognfpo.exe
      4⤵
      PID:12636
    - - C:\Windows\SysWOW64\Ngipjp32.exe
        
        C:\Windows\system32\Ngipjp32.exe
        5⤵
        
        PID:12696
      - C:\Windows\SysWOW64\Nandhi32.exe
        
        C:\Windows\system32\Nandhi32.exe
        6⤵
        
        PID:12760
        
        C:\Windows\SysWOW64\Niihlkdm.exe
        
        C:\Windows\system32\Niihlkdm.exe
        7⤵
        
        PID:12828
        
        C:\Windows\SysWOW64\Okkalnjm.exe
        
        C:\Windows\system32\Okkalnjm.exe
        8⤵
        
        PID:12872
        
        C:\Windows\SysWOW64\Omjnhiiq.exe
        
        C:\Windows\system32\Omjnhiiq.exe
        9⤵
        
        PID:12940

C:\Windows\SysWOW64\Ophjdehd.exe
C:\Windows\system32\Ophjdehd.exe
1⤵
PID:13004
- C:\Windows\SysWOW64\Odcfdc32.exe
  C:\Windows\system32\Odcfdc32.exe
  2⤵
  PID:13072
- - C:\Windows\SysWOW64\Oknnanhj.exe
    C:\Windows\system32\Oknnanhj.exe
    3⤵
    PID:13136

C:\Windows\SysWOW64\Omlkmign.exe
C:\Windows\system32\Omlkmign.exe
1⤵
PID:13204
- C:\Windows\SysWOW64\Oahgnh32.exe
  C:\Windows\system32\Oahgnh32.exe
  2⤵
  PID:13300
- - C:\Windows\SysWOW64\Odfcjc32.exe
    C:\Windows\system32\Odfcjc32.exe
    3⤵
    PID:12360
  - - C:\Windows\SysWOW64\Bhbahm32.exe
      C:\Windows\system32\Bhbahm32.exe
      4⤵
      PID:12488
    - - C:\Windows\SysWOW64\Bbpolb32.exe
        
        C:\Windows\system32\Bbpolb32.exe
        5⤵
        
        PID:12608
      - C:\Windows\SysWOW64\Bqbohocd.exe
        
        C:\Windows\system32\Bqbohocd.exe
        6⤵
        
        PID:12704

C:\Windows\SysWOW64\Kfaglf32.exe
C:\Windows\system32\Kfaglf32.exe
1⤵
PID:9036

C:\Windows\SysWOW64\Jcnbekok.exe
C:\Windows\system32\Jcnbekok.exe
1⤵
PID:8244

C:\Windows\SysWOW64\Jqofippg.exe
C:\Windows\system32\Jqofippg.exe
1⤵
PID:7932

C:\Windows\SysWOW64\Jjqdafmp.exe
C:\Windows\system32\Jjqdafmp.exe
1⤵
PID:7928

C:\Windows\SysWOW64\Biigildg.exe
C:\Windows\system32\Biigildg.exe
1⤵
PID:4192
- C:\Windows\SysWOW64\Bkhceh32.exe
  C:\Windows\system32\Bkhceh32.exe
  2⤵
  PID:12864
- - C:\Windows\SysWOW64\Bnfoac32.exe
    C:\Windows\system32\Bnfoac32.exe
    3⤵
    PID:13024
  - - C:\Windows\SysWOW64\Bbbkbbkg.exe
      C:\Windows\system32\Bbbkbbkg.exe
      4⤵
      PID:13124

C:\Windows\SysWOW64\Bdphnmjk.exe
C:\Windows\system32\Bdphnmjk.exe
1⤵
PID:3244
- C:\Windows\SysWOW64\Bgodjiio.exe
  C:\Windows\system32\Bgodjiio.exe
  2⤵
  PID:4228
- - C:\Windows\SysWOW64\Bkjpkg32.exe
    C:\Windows\system32\Bkjpkg32.exe
    3⤵
    PID:2148
  - - C:\Windows\SysWOW64\Glpdjpbj.exe
      C:\Windows\system32\Glpdjpbj.exe
      4⤵
      PID:12856
    - - C:\Windows\SysWOW64\Jodlof32.exe
        
        C:\Windows\system32\Jodlof32.exe
        5⤵
        
        PID:12996

C:\Windows\SysWOW64\Ijgakgej.exe
C:\Windows\system32\Ijgakgej.exe
1⤵
PID:7852

C:\Windows\SysWOW64\Igieoleg.exe
C:\Windows\system32\Igieoleg.exe
1⤵
PID:12116

C:\Windows\SysWOW64\Iobmmoed.exe
C:\Windows\system32\Iobmmoed.exe
1⤵
PID:7724

C:\Windows\SysWOW64\Iqombb32.exe
C:\Windows\system32\Iqombb32.exe
1⤵
PID:7972

C:\Windows\SysWOW64\Ihheqd32.exe
C:\Windows\system32\Ihheqd32.exe
1⤵
PID:11876

C:\Windows\SysWOW64\Ifihdi32.exe
C:\Windows\system32\Ifihdi32.exe
1⤵
PID:7340

C:\Windows\SysWOW64\Icklhnop.exe
C:\Windows\system32\Icklhnop.exe
1⤵
PID:7272

C:\Windows\SysWOW64\Iqmplbpl.exe
C:\Windows\system32\Iqmplbpl.exe
1⤵
PID:7336

C:\Windows\SysWOW64\Hcipcnac.exe
C:\Windows\system32\Hcipcnac.exe
1⤵
PID:7216

C:\Windows\SysWOW64\Hqjcgbbo.exe
C:\Windows\system32\Hqjcgbbo.exe
1⤵
PID:8020

C:\Windows\SysWOW64\Hhckeeam.exe
C:\Windows\system32\Hhckeeam.exe
1⤵
PID:7984

C:\Windows\SysWOW64\Hfeoijbi.exe
C:\Windows\system32\Hfeoijbi.exe
1⤵
PID:7156

C:\Windows\SysWOW64\Hhaope32.exe
C:\Windows\system32\Hhaope32.exe
1⤵
PID:12136

C:\Windows\SysWOW64\Hjnndime.exe
C:\Windows\system32\Hjnndime.exe
1⤵
PID:7500

C:\Windows\SysWOW64\Hjieii32.exe
C:\Windows\system32\Hjieii32.exe
1⤵
PID:7476

C:\Windows\SysWOW64\Hodqlq32.exe
C:\Windows\system32\Hodqlq32.exe
1⤵
PID:7388

C:\Windows\SysWOW64\Ghjhofjg.exe
C:\Windows\system32\Ghjhofjg.exe
1⤵
PID:7364

C:\Windows\SysWOW64\Geklckkd.exe
C:\Windows\system32\Geklckkd.exe
1⤵
PID:6452

C:\Windows\SysWOW64\Ghgljg32.exe
C:\Windows\system32\Ghgljg32.exe
1⤵
PID:7308

C:\Windows\SysWOW64\Geipnl32.exe
C:\Windows\system32\Geipnl32.exe
1⤵
PID:7892

C:\Windows\SysWOW64\Giboijgb.exe
C:\Windows\system32\Giboijgb.exe
1⤵
PID:6692

C:\Windows\SysWOW64\Gllajf32.exe
C:\Windows\system32\Gllajf32.exe
1⤵
PID:6228

C:\Windows\SysWOW64\Ginenk32.exe
C:\Windows\system32\Ginenk32.exe
1⤵
PID:6536

C:\Windows\SysWOW64\Fgffka32.exe
C:\Windows\system32\Fgffka32.exe
1⤵
PID:11768

C:\Windows\SysWOW64\Foonjd32.exe
C:\Windows\system32\Foonjd32.exe
1⤵
PID:3280

C:\Windows\SysWOW64\Fhefmjlp.exe
C:\Windows\system32\Fhefmjlp.exe
1⤵
PID:3412

C:\Windows\SysWOW64\Eoladdeo.exe
C:\Windows\system32\Eoladdeo.exe
1⤵
PID:2896

C:\Windows\SysWOW64\Elnehifk.exe
C:\Windows\system32\Elnehifk.exe
1⤵
PID:11408

C:\Windows\SysWOW64\Dpkehi32.exe
C:\Windows\system32\Dpkehi32.exe
1⤵
PID:11340

C:\Windows\SysWOW64\Dhdmfljb.exe
C:\Windows\system32\Dhdmfljb.exe
1⤵
PID:11272

C:\Windows\SysWOW64\Decdeama.exe
C:\Windows\system32\Decdeama.exe
1⤵
PID:12080

C:\Windows\SysWOW64\Dbehienn.exe
C:\Windows\system32\Dbehienn.exe
1⤵
PID:12040

C:\Windows\SysWOW64\Dpglmjoj.exe
C:\Windows\system32\Dpglmjoj.exe
1⤵
PID:12000

C:\Windows\SysWOW64\Kbbhka32.exe
C:\Windows\system32\Kbbhka32.exe
1⤵
PID:500
- C:\Windows\SysWOW64\Kfndlphp.exe
  C:\Windows\system32\Kfndlphp.exe
  2⤵
  PID:3124

C:\Windows\SysWOW64\Kilphk32.exe
C:\Windows\system32\Kilphk32.exe
1⤵
PID:12736
- C:\Windows\SysWOW64\Kmhlijpm.exe
  C:\Windows\system32\Kmhlijpm.exe
  2⤵
  PID:12804

C:\Windows\SysWOW64\Kofheeoq.exe
C:\Windows\system32\Kofheeoq.exe
1⤵
PID:13296
- C:\Windows\SysWOW64\Kcbded32.exe
  C:\Windows\system32\Kcbded32.exe
  2⤵
  PID:12616

C:\Windows\SysWOW64\Kbedaand.exe
C:\Windows\system32\Kbedaand.exe
1⤵
PID:13052
- C:\Windows\SysWOW64\Kjlmbnof.exe
  C:\Windows\system32\Kjlmbnof.exe
  2⤵
  PID:13468
- - C:\Windows\SysWOW64\Oljkcpnb.exe
    C:\Windows\system32\Oljkcpnb.exe
    3⤵
    PID:13552
  - - C:\Windows\SysWOW64\Pbmffi32.exe
      C:\Windows\system32\Pbmffi32.exe
      4⤵
      PID:13628
    - - C:\Windows\SysWOW64\Idpdfija.exe
        
        C:\Windows\system32\Idpdfija.exe
        5⤵
        
        PID:13760
      - C:\Windows\SysWOW64\Dlcaca32.exe
        
        C:\Windows\system32\Dlcaca32.exe
        6⤵
        
        PID:13896
        
        C:\Windows\SysWOW64\Kdmjmqjf.exe
        
        C:\Windows\system32\Kdmjmqjf.exe
        7⤵
        
        PID:14036
        
        C:\Windows\SysWOW64\Alioloje.exe
        
        C:\Windows\system32\Alioloje.exe
        8⤵
        
        PID:14088
        
        C:\Windows\SysWOW64\Efikco32.exe
        
        C:\Windows\system32\Efikco32.exe
        9⤵
        
        PID:14144
        
        C:\Windows\SysWOW64\Ejgdim32.exe
        
        C:\Windows\system32\Ejgdim32.exe
        10⤵
        
        PID:14192
        
        C:\Windows\SysWOW64\Efnennjc.exe
        
        C:\Windows\system32\Efnennjc.exe
        11⤵
        
        PID:14232

C:\Windows\SysWOW64\Dfngcdhi.exe
C:\Windows\system32\Dfngcdhi.exe
1⤵
PID:11880

C:\Windows\SysWOW64\Beobcdoi.exe
C:\Windows\system32\Beobcdoi.exe
1⤵
PID:6712

C:\Windows\SysWOW64\Anncek32.exe
C:\Windows\system32\Anncek32.exe
1⤵
PID:6788

C:\Windows\SysWOW64\Aeeomegd.exe
C:\Windows\system32\Aeeomegd.exe
1⤵
PID:6448

C:\Windows\SysWOW64\Akhaipei.exe
C:\Windows\system32\Akhaipei.exe
1⤵
PID:6848

C:\Windows\SysWOW64\Aijeme32.exe
C:\Windows\system32\Aijeme32.exe
1⤵
PID:10616

C:\Windows\SysWOW64\Afkipi32.exe
C:\Windows\system32\Afkipi32.exe
1⤵
PID:6416

C:\Windows\SysWOW64\Abpmpkoh.exe
C:\Windows\system32\Abpmpkoh.exe
1⤵
PID:7128

C:\Windows\SysWOW64\Akfdcq32.exe
C:\Windows\system32\Akfdcq32.exe
1⤵
PID:6328

C:\Windows\SysWOW64\Qfilkj32.exe
C:\Windows\system32\Qfilkj32.exe
1⤵
PID:6068

C:\Windows\SysWOW64\Qnbdjl32.exe
C:\Windows\system32\Qnbdjl32.exe
1⤵
PID:6516

C:\Windows\SysWOW64\Qffoejkg.exe
C:\Windows\system32\Qffoejkg.exe
1⤵
PID:6800

C:\Windows\SysWOW64\Qomghp32.exe
C:\Windows\system32\Qomghp32.exe
1⤵
PID:5848

C:\Windows\SysWOW64\Pgeogb32.exe
C:\Windows\system32\Pgeogb32.exe
1⤵
PID:10444

C:\Windows\SysWOW64\Pgaelcgm.exe
C:\Windows\system32\Pgaelcgm.exe
1⤵
PID:5124

C:\Windows\SysWOW64\Pgllad32.exe
C:\Windows\system32\Pgllad32.exe
1⤵
PID:10700

C:\Windows\SysWOW64\Ejiqom32.exe
C:\Windows\system32\Ejiqom32.exe
1⤵
PID:14268
- C:\Windows\SysWOW64\Emhmkh32.exe
  C:\Windows\system32\Emhmkh32.exe
  2⤵
  PID:14312

C:\Windows\SysWOW64\Fcbehbim.exe
C:\Windows\system32\Fcbehbim.exe
1⤵
PID:220
- C:\Windows\SysWOW64\Ffpadn32.exe
  C:\Windows\system32\Ffpadn32.exe
  2⤵
  PID:7812
- - C:\Windows\SysWOW64\Fmmffhnk.exe
    C:\Windows\system32\Fmmffhnk.exe
    3⤵
    PID:7532
  - - C:\Windows\SysWOW64\Fifdqhal.exe
      C:\Windows\system32\Fifdqhal.exe
      4⤵
      PID:12620
    - - C:\Windows\SysWOW64\Ffjdjmpf.exe
        
        C:\Windows\system32\Ffjdjmpf.exe
        5⤵
        
        PID:1772
      - C:\Windows\SysWOW64\Gflapl32.exe
        
        C:\Windows\system32\Gflapl32.exe
        6⤵
        
        PID:2672
        
        C:\Windows\SysWOW64\Gbgkpm32.exe
        
        C:\Windows\system32\Gbgkpm32.exe
        7⤵
        
        PID:5312
        
        C:\Windows\SysWOW64\Hboaql32.exe
        
        C:\Windows\system32\Hboaql32.exe
        8⤵
        
        PID:7368
        
        C:\Windows\SysWOW64\Hikfbeod.exe
        
        C:\Windows\system32\Hikfbeod.exe
        9⤵
        
        PID:8620
        
        C:\Windows\SysWOW64\Hbegakcb.exe
        
        C:\Windows\system32\Hbegakcb.exe
        10⤵
        
        PID:8848
        
        C:\Windows\SysWOW64\Iafgob32.exe
        
        C:\Windows\system32\Iafgob32.exe
        11⤵
        
        PID:2028
        
        C:\Windows\SysWOW64\Ijolhg32.exe
        
        C:\Windows\system32\Ijolhg32.exe
        12⤵
        
        PID:8312
        
        C:\Windows\SysWOW64\Icgqqmib.exe
        
        C:\Windows\system32\Icgqqmib.exe
        13⤵
        
        PID:8364

C:\Windows\SysWOW64\Fofigd32.exe
C:\Windows\system32\Fofigd32.exe
1⤵
PID:13336

C:\Windows\SysWOW64\Okcogc32.exe
C:\Windows\system32\Okcogc32.exe
1⤵
PID:5592

C:\Windows\SysWOW64\Oahnhncc.exe
C:\Windows\system32\Oahnhncc.exe
1⤵
PID:5720

C:\Windows\SysWOW64\Kmiqfoie.exe
C:\Windows\system32\Kmiqfoie.exe
1⤵
PID:9624
- C:\Windows\SysWOW64\Kaemgn32.exe
  C:\Windows\system32\Kaemgn32.exe
  2⤵
  PID:8440

C:\Windows\SysWOW64\Kdffiinp.exe
C:\Windows\system32\Kdffiinp.exe
1⤵
PID:3192
- C:\Windows\SysWOW64\Lkpnec32.exe
  C:\Windows\system32\Lkpnec32.exe
  2⤵
  PID:10044
- - C:\Windows\SysWOW64\Ldhbnhlm.exe
    C:\Windows\system32\Ldhbnhlm.exe
    3⤵
    PID:10472
  - - C:\Windows\SysWOW64\Lpocciba.exe
      C:\Windows\system32\Lpocciba.exe
      4⤵
      PID:5684
    - - C:\Windows\SysWOW64\Lgikpc32.exe
        
        C:\Windows\system32\Lgikpc32.exe
        5⤵
        
        PID:10980
      - C:\Windows\SysWOW64\Lanpml32.exe
        
        C:\Windows\system32\Lanpml32.exe
        6⤵
        
        PID:9164
        
        C:\Windows\SysWOW64\Lcpledob.exe
        
        C:\Windows\system32\Lcpledob.exe
        7⤵
        
        PID:9516
        
        C:\Windows\SysWOW64\Lpcmoi32.exe
        
        C:\Windows\system32\Lpcmoi32.exe
        8⤵
        
        PID:9260
        
        C:\Windows\SysWOW64\Lgnekcei.exe
        
        C:\Windows\system32\Lgnekcei.exe
        9⤵
        
        PID:9896
        
        C:\Windows\SysWOW64\Mphfjhjf.exe
        
        C:\Windows\system32\Mphfjhjf.exe
        10⤵
        
        PID:9456
        
        C:\Windows\SysWOW64\Mcgbfcij.exe
        
        C:\Windows\system32\Mcgbfcij.exe
        11⤵
        
        PID:9856

C:\Windows\SysWOW64\Kagimmol.exe
C:\Windows\system32\Kagimmol.exe
1⤵
PID:6644

C:\Windows\SysWOW64\Mknjgajl.exe
C:\Windows\system32\Mknjgajl.exe
1⤵
PID:9220
- C:\Windows\SysWOW64\Mnlfclip.exe
  C:\Windows\system32\Mnlfclip.exe
  2⤵
  PID:9828

C:\Windows\SysWOW64\Mahbck32.exe
C:\Windows\system32\Mahbck32.exe
1⤵
PID:8576
- C:\Windows\SysWOW64\Mdfopf32.exe
  C:\Windows\system32\Mdfopf32.exe
  2⤵
  PID:1472

C:\Windows\SysWOW64\Mkpglqgj.exe
C:\Windows\system32\Mkpglqgj.exe
1⤵
PID:10228
- C:\Windows\SysWOW64\Mnochl32.exe
  C:\Windows\system32\Mnochl32.exe
  2⤵
  PID:10352
- - C:\Windows\SysWOW64\Majoikof.exe
    C:\Windows\system32\Majoikof.exe
    3⤵
    PID:8736
  - - C:\Windows\SysWOW64\Mcklac32.exe
      C:\Windows\system32\Mcklac32.exe
      4⤵
      PID:9224
    - - C:\Windows\SysWOW64\Blnjecfl.exe
        
        C:\Windows\system32\Blnjecfl.exe
        5⤵
        
        PID:9296

C:\Windows\SysWOW64\Nneiikqe.exe
C:\Windows\system32\Nneiikqe.exe
1⤵
PID:10636
- C:\Windows\SysWOW64\Nqdeefpi.exe
  C:\Windows\system32\Nqdeefpi.exe
  2⤵
  PID:10752
- - C:\Windows\SysWOW64\Ncbaabom.exe
    C:\Windows\system32\Ncbaabom.exe
    3⤵
    PID:10964

C:\Windows\SysWOW64\Kipalpoj.exe
C:\Windows\system32\Kipalpoj.exe
1⤵
PID:3136

C:\Windows\SysWOW64\Kphmbjhi.exe
C:\Windows\system32\Kphmbjhi.exe
1⤵
PID:9980

C:\Windows\SysWOW64\Occkhp32.exe
C:\Windows\system32\Occkhp32.exe
1⤵
PID:3064
- C:\Windows\SysWOW64\Okjbimal.exe
  C:\Windows\system32\Okjbimal.exe
  2⤵
  PID:11188

C:\Windows\SysWOW64\Onhoehpp.exe
C:\Windows\system32\Onhoehpp.exe
1⤵
PID:3712
- C:\Windows\SysWOW64\Oqgkadod.exe
  C:\Windows\system32\Oqgkadod.exe
  2⤵
  PID:4312

C:\Windows\SysWOW64\Okloomoj.exe
C:\Windows\system32\Okloomoj.exe
1⤵
PID:3760
- C:\Windows\SysWOW64\Pbfglg32.exe
  C:\Windows\system32\Pbfglg32.exe
  2⤵
  PID:1776
- - C:\Windows\SysWOW64\Pqihgcma.exe
    C:\Windows\system32\Pqihgcma.exe
    3⤵
    PID:5500
- - C:\Windows\SysWOW64\Kallod32.exe
    C:\Windows\system32\Kallod32.exe
    3⤵
    PID:10408

C:\Windows\SysWOW64\Pcgdcome.exe
C:\Windows\system32\Pcgdcome.exe
1⤵
PID:2240
- C:\Windows\SysWOW64\Pkoldl32.exe
  C:\Windows\system32\Pkoldl32.exe
  2⤵
  PID:4704
- - C:\Windows\SysWOW64\Pnmhqh32.exe
    C:\Windows\system32\Pnmhqh32.exe
    3⤵
    PID:5048
  - - C:\Windows\SysWOW64\Jcoioabf.exe
      C:\Windows\system32\Jcoioabf.exe
      4⤵
      PID:10696
- C:\Windows\SysWOW64\Leqkeajd.exe
  C:\Windows\system32\Leqkeajd.exe
  2⤵
  PID:10828

C:\Windows\SysWOW64\Pqkdmc32.exe
C:\Windows\system32\Pqkdmc32.exe
1⤵
PID:5584
- C:\Windows\SysWOW64\WerFault.exe
  C:\Windows\SysWOW64\WerFault.exe -u -p 5584 -s 412
  2⤵
  - Program crash
  PID:5148

C:\Windows\SysWOW64\Ogqcon32.exe
C:\Windows\system32\Ogqcon32.exe
1⤵
PID:11184

C:\Windows\SysWOW64\WerFault.exe
C:\Windows\SysWOW64\WerFault.exe -pss -s 428 -p 5584 -ip 5584
1⤵
PID:5564

C:\Windows\SysWOW64\Oeamcmmo.exe
C:\Windows\system32\Oeamcmmo.exe
1⤵
PID:5208

C:\Windows\SysWOW64\Oafacn32.exe
C:\Windows\system32\Oafacn32.exe
1⤵
PID:5188

C:\Windows\SysWOW64\Oogdfc32.exe
C:\Windows\system32\Oogdfc32.exe
1⤵
PID:1124

C:\Windows\SysWOW64\Ogqmee32.exe
C:\Windows\system32\Ogqmee32.exe
1⤵
PID:5792

C:\Windows\SysWOW64\Ohnljine.exe
C:\Windows\system32\Ohnljine.exe
1⤵
PID:5696

C:\Windows\SysWOW64\Nkjlqd32.exe
C:\Windows\system32\Nkjlqd32.exe
1⤵
PID:5404

C:\Windows\SysWOW64\Nhffijdm.exe
C:\Windows\system32\Nhffijdm.exe
1⤵
PID:4636

C:\Windows\SysWOW64\Ngemjg32.exe
C:\Windows\system32\Ngemjg32.exe
1⤵
PID:5580

C:\Windows\SysWOW64\Moiheebb.exe
C:\Windows\system32\Moiheebb.exe
1⤵
PID:10604

C:\Windows\SysWOW64\Meadlo32.exe
C:\Windows\system32\Meadlo32.exe
1⤵
PID:5152

C:\Windows\SysWOW64\Maehlqch.exe
C:\Windows\system32\Maehlqch.exe
1⤵
PID:5516

C:\Windows\SysWOW64\Moglpedd.exe
C:\Windows\system32\Moglpedd.exe
1⤵
PID:3188

C:\Windows\SysWOW64\Mobbdf32.exe
C:\Windows\system32\Mobbdf32.exe
1⤵
PID:4908

C:\Windows\SysWOW64\Mginniij.exe
C:\Windows\system32\Mginniij.exe
1⤵
PID:3600

C:\Windows\SysWOW64\Mdkabmjf.exe
C:\Windows\system32\Mdkabmjf.exe
1⤵
PID:5644

C:\Windows\SysWOW64\Lokldg32.exe
C:\Windows\system32\Lokldg32.exe
1⤵
PID:11072

C:\Windows\SysWOW64\Lhadgmge.exe
C:\Windows\system32\Lhadgmge.exe
1⤵
PID:4816

C:\Windows\SysWOW64\Loiong32.exe
C:\Windows\system32\Loiong32.exe
1⤵
PID:5304

C:\Windows\SysWOW64\Kfkamk32.exe
C:\Windows\system32\Kfkamk32.exe
1⤵
PID:3476

C:\Windows\SysWOW64\Knpmhh32.exe
C:\Windows\system32\Knpmhh32.exe
1⤵
PID:10484

C:\Windows\SysWOW64\Kffhakjp.exe
C:\Windows\system32\Kffhakjp.exe
1⤵
PID:10256

C:\Windows\SysWOW64\Kdhlepkl.exe
C:\Windows\system32\Kdhlepkl.exe
1⤵
PID:11260

C:\Windows\SysWOW64\Khonkogj.exe
C:\Windows\system32\Khonkogj.exe
1⤵
PID:10872

C:\Windows\SysWOW64\Jeneidji.exe
C:\Windows\system32\Jeneidji.exe
1⤵
PID:10704

C:\Windows\SysWOW64\Igneda32.exe
C:\Windows\system32\Igneda32.exe
1⤵
PID:11184

C:\Windows\SysWOW64\Igjlibib.exe
C:\Windows\system32\Igjlibib.exe
1⤵
PID:10912

C:\Windows\SysWOW64\Idkpmgjo.exe
C:\Windows\system32\Idkpmgjo.exe
1⤵
PID:10876

C:\Windows\SysWOW64\Iggocbke.exe
C:\Windows\system32\Iggocbke.exe
1⤵
PID:10752

C:\Windows\SysWOW64\Gqkajk32.exe
C:\Windows\system32\Gqkajk32.exe
1⤵
PID:1468

C:\Windows\SysWOW64\Gnlenp32.exe
C:\Windows\system32\Gnlenp32.exe
1⤵
PID:9444

C:\Windows\SysWOW64\Fcbgfhii.exe
C:\Windows\system32\Fcbgfhii.exe
1⤵
PID:4092

C:\Windows\SysWOW64\Fpckjlje.exe
C:\Windows\system32\Fpckjlje.exe
1⤵
PID:3552

C:\Windows\SysWOW64\Eepkkefp.exe
C:\Windows\system32\Eepkkefp.exe
1⤵
PID:10108

C:\Windows\SysWOW64\Edoncm32.exe
C:\Windows\system32\Edoncm32.exe
1⤵
PID:4492

C:\Windows\SysWOW64\Eleimp32.exe
C:\Windows\system32\Eleimp32.exe
1⤵
PID:9668

C:\Windows\SysWOW64\Qckfid32.exe
C:\Windows\system32\Qckfid32.exe
1⤵
PID:9016

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Defense Evasion

Modify Registry

T1112

Credential Access

Discovery

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\SysWOW64\Blnjecfl.exe

Filesize
113KB

MD5
c98ea361fdf5304d2344ebbf40409201

SHA1
7f0ff62bdd6b92def5ec0e810573c3053a9f2a2c

SHA256
6f28477d6675935f0bdd249fbb05ae7d0d91474d2b864a684310fa7d7ecf307b

SHA512
dfac35efd8f0e039c7863a7f01a3d59b71e6f0b79b8ad29ced2cb2cd7d0fa46da6d0d8432ba8f2b909e0f5d850fa34376a02949ece275baf8ef86f882dc737b9

Download Submit
C:\Windows\SysWOW64\Dbkqfe32.exe

Filesize
111KB

MD5
8cf46b4390657ae9055dc3404a6a7bf9

SHA1
a002981c2257f552ec7b1a1f3c904a2d50e74593

SHA256
06b44ccaec1434e90ad0e56a2888d60f13182f4204c0cbd42586432e5db930e1

SHA512
024b0025debf8e51f054b38cba8ac2e15eb5568fbea6f0dd2553e60f2e3317f46df65603c0806059d9bb3b21e1dbf185243e83f1f140aa160d309265460e9dfc

Download Submit
C:\Windows\SysWOW64\Ddgplado.exe

Filesize
113KB

MD5
cd0256bc522cdb9edc1ef0387d390384

SHA1
84bba738353d6e8e37e21ce8d01ba26475e96e19

SHA256
c99fe246bb5c7c42ba32ae61babccaaaddca309ea940e18aed9eaef6cedd84a3

SHA512
7ea958d5a26f86f380bc964fca404853ec9735d2bb247867a98101aa333c49d5146b01ed136468da5acc4b0a7571c77567d4653242c03b991e84c2c65c8bd37a

Download Submit
C:\Windows\SysWOW64\Dghadidj.exe

Filesize
113KB

MD5
13539fcc36bc3ac3b3241019c8e0f847

SHA1
64213ee677fa4b543fc91609f1c55a490984a235

SHA256
ff55ae819eeb53c4ee1d5e36d20b413132adf4ba1bbdefdefc29f361714b7155

SHA512
c5c2b95a8e8181ae4459b1945a93cb3731a2da7e349bc67ecad8cf42250144c9fb4386e05951f0cb5c33c4e0801e584056dba94c0cac5ac8e1b728abffbbb856

Download Submit
C:\Windows\SysWOW64\Dheibpje.exe

Filesize
113KB

MD5
c49f46d44c022afb99907af2852488a3

SHA1
3862b49ed1198bfe4ad33e803f14b3775bee3d89

SHA256
49ee051bfe2b88d73e81d68eed4500d816a7bc74805012782dbdcb48cfae514a

SHA512
43918b77885077bdf12ee845c7d437f2c410eaacefd9739104ebfa01d6ad20cfd0d5a3e626a5a616dfa8518faef7fb4725a6ed9014f4691d34417b229e029a1f

Download Submit
C:\Windows\SysWOW64\Dkceokii.exe

Filesize
113KB

MD5
5b5e452e409aa6079f6bc485297fbce9

SHA1
a000d179835bd782ce1201d82435ee617ccc5d44

SHA256
e30737b03fe00a71675ac6c0aad400eeadc8f4bda77ea8e16684348cfc7fcbf7

SHA512
5b6454a2d501a790f567c66a9309028e8f96586b714652b1322300e347d5a32081bd8892fff182e6bdfd32ca2bf2c04dd9ffe1e41cc3685e4f245121c65fb023

Download Submit
C:\Windows\SysWOW64\Dmennnni.exe

Filesize
104KB

MD5
a2a6170aba0e483708302146ecf752d5

SHA1
f2c0dfff921cf13f89b309961e9a13ebc2e15588

SHA256
a90c88f4877f6a2e59339e5202689ba9479dc1141c6eff4ee2fe16eb78134b6d

SHA512
f496ee1ef6beb55ab0604b83b5c9947e1a78df4d481d76a9dfb1fdc8062da04ff07ac3a8b6c7b9fdf7e438cc003122ebdbc91ca7506103a49cdb50344f1cade0

Download Submit
C:\Windows\SysWOW64\Domdjj32.exe

Filesize
113KB

MD5
77a82e32206cc4a6289a32f6507499b6

SHA1
b6ff05bd058bfc52d16fcc9afac2ec6eac455eec

SHA256
8f4a2751f0b34cff13f5ced1b7358f26168df1096b8ab565bd572766d9c0ee31

SHA512
e1a2ad4ab795cdef6b6a45a9b1426b5fcb70ab617f59668fc9a856fde086094232e24078e26e2077851a001e125c015a94de03f254c31fa0a68e580afff21e0d

Download Submit
C:\Windows\SysWOW64\Dpefaq32.exe

Filesize
113KB

MD5
05e01b574b3bcc2518c22516fde9219e

SHA1
240aa5f26fde0808b7f97e47317dffbed95dde8c

SHA256
a9d71503f3b4d2301684ef4c7673c183c3a1a6bc18a474e22097665b7411fc3a

SHA512
eb7415eb0472a761f577392cd9a9886415581e87d58aa491582a0ac345d42fb7295979c25db66a3a3924e717a9ff874de4e963b8899234f6673b0c677713e96e

Download Submit
C:\Windows\SysWOW64\Eegqldqg.exe

Filesize
113KB

MD5
34d3f4376d9109952d9abf276028533f

SHA1
788de82b430fb4f9cdb86b46288b405812ca9c2b

SHA256
765d3c8edbbf9fc7dcbf73dc37275c94c5a32c5573bcb5f339b9a7b3a023db37

SHA512
5738476939fa73fb2d43616bf6103c53ba567abdfd5035e62da43d9440cdb24912fde94adf2091c2182e820814ee273e359826fe292ad90199beded64b5f58a4

Download Submit
C:\Windows\SysWOW64\Fdmjdkda.exe

Filesize
113KB

MD5
a357faf338d851013d1c7f14cf3ff8d3

SHA1
79132f06c05b5d9bf81b80d4af0bc31aef854942

SHA256
d63a508596b09f53e6ffc25b8c02a6be9e10d887689486c74ffac4af745ef6fb

SHA512
8ba09b1e72675750581bf4d6dc840bbede4b8a4414e4b8c7e35496dde0171a48c63da417ccc0ac8c6e726169b889107b6dd00c15ee4aae8ac42fe073180498c2

Download Submit
C:\Windows\SysWOW64\Ienlbf32.exe

Filesize
113KB

MD5
a5fd20460b0fb7d6f2a207f71758a086

SHA1
f338eece8232b3ee23b789b2f45db2fb852d2d49

SHA256
cf086a3c0a9f2e62c5e4dd4e9d2eac9b33b64c5c29b8d81143ed4312ab29dfc9

SHA512
3722eb381ba326ffe18933b9a603a253b38b3cb276d930f33a6b8d626f065c8a2a8de979349c02e66aa5ac7fe161838c13d20ada37f7c18cba34b56651cc0e5c

Download Submit
C:\Windows\SysWOW64\Jjakkmpk.exe

Filesize
113KB

MD5
b497b92713ce8c8e3aceaa3ac999de8e

SHA1
7c059035547e613c4941acf6e0e6d42a40ce568f

SHA256
9c9c434cfca81e7a9186815de4e03aaa1747477e99f85bb2428aecc1f6e70d2c

SHA512
c923f4520683e860fc755719baa8feeff1ccb1a17d8770a3049e7ba63c019d24131b0e72e382bc630e2401fc495ad449d6cbba4f7d8079fc0072af0c56aed01b

Download Submit
C:\Windows\SysWOW64\Knifging.exe

Filesize
113KB

MD5
641a86deb1ea7bd4cfd9b0b0468410ce

SHA1
0f9064ea47b838968d1633e77c5929dff225b533

SHA256
966de8c77050ee2b72fe050770942778e674838ba74ea996d4d533854b87189e

SHA512
540a89e57e7ccc256d4da487eb271c88297dfd677506a96924ad43ad42af6ac3127e030bcb16a78fa01132722d11273f7ad6976de5d0f4a28610e532f5e7b7ce

Download Submit
C:\Windows\SysWOW64\Lacbpccn.exe

Filesize
113KB

MD5
108fc52e187a82d95088d201c9699189

SHA1
593127e4916785e38060bf93845d442d00459d26

SHA256
8f812c0f5051cd36131d1813983a431355023838600a2cbb1c55f5e92751cb04

SHA512
108acefd2fd6ebaf62172abd55ae0687dad1e3c1db354a25ca28a80d1149ac44cba54acb14b7fb37e19a3894c115a5200aef1f5b8c59197bedad4f74bbcf4ee5

Download Submit
C:\Windows\SysWOW64\Lkpnec32.exe

Filesize
79KB

MD5
0911ec5ae3c1a8b87b42d34e7d5d1639

SHA1
48fff9a47c0d43905edf0843b36c1d766744bf49

SHA256
9c9e930e4b2f86ed994219dd948ad0fc4499c54439d72f747a96b591c83c9118

SHA512
f099e3fb25436b8ed156b048b8db0bb97626b88a0c7b758863c82a7f2ef53c47d49eb7ac235bcaedb7db5e3d0111bb1fc378b2280efcf046e7da488540a8e284

Download Submit
C:\Windows\SysWOW64\Lpcmoi32.exe

Filesize
64KB

MD5
3ec5e43021884ccf22722f38a6c2634d

SHA1
b7a21b31ad5cb971b1650727ea8d71a582d99e96

SHA256
bd4583e47ca5471db503315d070335663c1806a0f2af30e705f1ae62614d2ca9

SHA512
bd17e00b3ea22f802d55734c43aceac47c85a394590cb56e710d6d369d5f7a2a34136c1130bc621c74966cff24cdbb0b7b0cb491fcece6b773713583aa902fa6

Download Submit
C:\Windows\SysWOW64\Lpocciba.exe

Filesize
37KB

MD5
c5d69d956ba27fd32e25c89aedc9b953

SHA1
993688d3a20be54f2d3516612ce22d56eac2ec46

SHA256
ceada85ac1a02559023a5dcd14c87199d19bad13c47e1f2d083182ca791eab6a

SHA512
83d9d4981a59bb851720991e9c02427ed542eb1bffa8916563dadc9c643e06f87505d2c9a034529fd59b86ffabe763779440b9caa366a1bba68a784aec438aee

Download Submit
C:\Windows\SysWOW64\Meadlo32.exe

Filesize
113KB

MD5
9a0611dcf68904c36a936c5740761d51

SHA1
6a78f33e7d9dd325c55d88fe92f527cd47b492f9

SHA256
f9eebe83adaa81afe8c3a552d45473b3c0b992a93b33082a1e621c489c5516db

SHA512
0771bf79f57a66d93eacb7e05485194756cf964ba4ca914f396bbc790706e21f1e8ba70e143d4e7d3b1d1b75d9a2a52a63b64fd94caa2cb70307347c6a2bb240

Download Submit
C:\Windows\SysWOW64\Ncenga32.exe

Filesize
58KB

MD5
b84b88cd89708b68885e7c1f6b1f4a6c

SHA1
27d069a720be39d74fa27194c0930207eedbef56

SHA256
8e41f12143ee0fa7fa0da3890cbc2d682b71017e64b3f869233b7008f92c653a

SHA512
c49f5eff4123b2a3f24fe79491c79914fc92f205cea768614cffe3d30176b31de0347e2d871f257da57b9a0c7717d94bc6064c648f9f0d22da81b6a5af8bb390

Download Submit
memory/396-316-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/492-141-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/660-330-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/780-122-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/800-271-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/1312-41-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/1468-98-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/1476-210-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/1508-146-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/1632-57-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/1708-130-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/1744-336-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/1816-162-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/2136-342-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/2160-85-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/2200-294-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/2232-226-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/2316-310-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/2320-25-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/2324-264-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/2380-177-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/2432-243-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/2472-33-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/2508-194-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/2552-154-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/2588-354-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/2780-276-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/2792-106-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/2796-17-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/2984-348-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/3020-250-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/3148-286-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/3192-114-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/3236-65-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/3308-186-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/3600-170-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/3764-218-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/3776-258-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/3916-318-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/4040-300-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/4408-206-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/4428-48-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/4496-8-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/4504-234-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/4636-292-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/4680-72-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/4720-90-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/4976-324-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/5104-0-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/5104-1-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/5104-81-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/5152-364-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/5200-368-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/5240-372-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/5280-378-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/5332-384-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/5384-390-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/5436-396-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/5496-402-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/5536-408-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/5584-414-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/5624-420-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/5664-426-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download
memory/5704-432-0x0000000000400000-0x000000000043C000-memory.dmp

Filesize
240KB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads