Analysis
-
max time kernel
150s -
max time network
145s -
platform
windows10-2004_x64 -
resource
win10v2004-20231215-en -
resource tags
arch:x64arch:x86image:win10v2004-20231215-enlocale:en-usos:windows10-2004-x64system -
submitted
22/01/2024, 15:14
Static task
static1
Behavioral task
behavioral1
Sample
6fc1e9e7942ba69aa7d4e252919a108e.exe
Resource
win7-20231215-en
Behavioral task
behavioral2
Sample
6fc1e9e7942ba69aa7d4e252919a108e.exe
Resource
win10v2004-20231215-en
General
-
Target
6fc1e9e7942ba69aa7d4e252919a108e.exe
-
Size
143KB
-
MD5
6fc1e9e7942ba69aa7d4e252919a108e
-
SHA1
48e3941bdeff80273e474a2a6f0d033d73b4adf5
-
SHA256
f000dde6db5d6188ba422b51c7908c9fc5fdad74cb1f3a6a24d75711e04595ae
-
SHA512
1657b72176fda4ffd3dc62cdcf25bd3727a00b48b79863c4707404be94c53678acadee854db73a3ff0ada1bb083234b2c8ff980703a075884d450982976d1905
-
SSDEEP
3072:eBhx25y6j+oPB4wDYwNqGYdiDQLSLXFgJJHynbaQLLLLLLLL7:6f25DB4RGNw4FgJJo+E
Malware Config
Extracted
metasploit
encoder/call4_dword_xor
Signatures
-
MetaSploit
Detected malicious payload which is part of the Metasploit Framework, likely generated with msfvenom or similar.
-
Executes dropped EXE 64 IoCs
pid Process 1636 rxoge.exe 452 wojin.exe 2808 tthqm.exe 4080 rqngt.exe 2592 osaip.exe 3972 jbbyt.exe 5060 bmgqa.exe 2356 wkzjw.exe 1156 ryole.exe 1276 ovmbd.exe 3292 jqqdk.exe 3904 epjon.exe 4084 ttsbl.exe 844 odlrp.exe 796 megtt.exe 1392 gkneu.exe 4504 zrxjz.exe 3132 txfuz.exe 3692 ooxjd.exe 4800 juntm.exe 3428 gzljl.exe 3948 byduo.exe 4408 whwjs.exe 1604 uirmo.exe 4876 osjbz.exe 2872 jfzma.exe 2764 eivjg.exe 2168 bbqmc.exe 5000 wwupj.exe 4384 txorf.exe 2932 odwco.exe 2768 jjlep.exe 4140 hkyhl.exe 4824 burww.exe 1876 wevuu.exe 2508 rkked.exe 2424 opiuc.exe 3552 juyxd.exe 400 bjoco.exe 2360 zzysh.exe 2320 ttcuv.exe 3764 rvxxs.exe 2952 osvnr.exe 2376 jjncc.exe 4760 emraa.exe 3216 bfmcw.exe 3452 waqfl.exe 684 rzjpg.exe 1428 oehff.exe 2904 exesp.exe 3036 wluxz.exe 4032 wwgfu.exe 1912 royvx.exe 2776 otfke.exe 3276 jcxai.exe 820 gdkde.exe 3188 eebxg.exe 4376 zoxvm.exe 4428 txqsp.exe 2088 rzlnm.exe 3772 lfaxu.exe 3908 gkiiv.exe 4432 byxke.exe 1000 olhik.exe -
Drops file in System32 directory 64 IoCs
description ioc Process File opened for modification C:\Windows\SysWOW64\qhzjg.exe ywmrz.exe File created C:\Windows\SysWOW64\frvwu.exe keglt.exe File opened for modification C:\Windows\SysWOW64\jwafi.exe bsqay.exe File created C:\Windows\SysWOW64\jsncy.exe Process not Found File created C:\Windows\SysWOW64\qxpyy.exe blsdo.exe File created C:\Windows\SysWOW64\cztmu.exe lcvgs.exe File created C:\Windows\SysWOW64\gatul.exe ghqur.exe File opened for modification C:\Windows\SysWOW64\ogish.exe qmnpk.exe File opened for modification C:\Windows\SysWOW64\yewxv.exe ilacl.exe File created C:\Windows\SysWOW64\ulyku.exe dwhfk.exe File opened for modification C:\Windows\SysWOW64\mgsef.exe ustzu.exe File created C:\Windows\SysWOW64\jwafi.exe bsqay.exe File opened for modification C:\Windows\SysWOW64\aplpm.exe ieyxn.exe File created C:\Windows\SysWOW64\qjatw.exe Process not Found File opened for modification C:\Windows\SysWOW64\lcmmh.exe oucsx.exe File created C:\Windows\SysWOW64\qcqmh.exe ameea.exe File opened for modification C:\Windows\SysWOW64\xmlop.exe zobyw.exe File created C:\Windows\SysWOW64\mugmb.exe ukttu.exe File created C:\Windows\SysWOW64\lnfba.exe xxmqx.exe File created C:\Windows\SysWOW64\ybepb.exe Process not Found File opened for modification C:\Windows\SysWOW64\iwzht.exe ssrmp.exe File created C:\Windows\SysWOW64\cmsez.exe hnzue.exe File opened for modification C:\Windows\SysWOW64\lizws.exe odbgt.exe File created C:\Windows\SysWOW64\izdeb.exe nbktf.exe File opened for modification C:\Windows\SysWOW64\hrltz.exe qrbbu.exe File opened for modification C:\Windows\SysWOW64\gcnds.exe tihoh.exe File opened for modification C:\Windows\SysWOW64\rqrtz.exe yfebz.exe File opened for modification C:\Windows\SysWOW64\vsipo.exe ibnmf.exe File created C:\Windows\SysWOW64\gswue.exe Process not Found File opened for modification C:\Windows\SysWOW64\lhyaq.exe Process not Found File created C:\Windows\SysWOW64\jjlep.exe odwco.exe File opened for modification C:\Windows\SysWOW64\lzhdq.exe oubvr.exe File opened for modification C:\Windows\SysWOW64\wghsv.exe ybjco.exe File created C:\Windows\SysWOW64\tvplw.exe bkjto.exe File created C:\Windows\SysWOW64\gjxfq.exe Process not Found File created C:\Windows\SysWOW64\rnjju.exe Process not Found File opened for modification C:\Windows\SysWOW64\vggec.exe ybhxd.exe File opened for modification C:\Windows\SysWOW64\fmzyx.exe snewh.exe File created C:\Windows\SysWOW64\ppoiw.exe Process not Found File opened for modification C:\Windows\SysWOW64\bgujv.exe Process not Found File created C:\Windows\SysWOW64\oniyl.exe Process not Found File created C:\Windows\SysWOW64\qnysc.exe tepxa.exe File created C:\Windows\SysWOW64\sftyt.exe aqdsi.exe File opened for modification C:\Windows\SysWOW64\pugbh.exe tdnqm.exe File created C:\Windows\SysWOW64\ogzwv.exe wwlen.exe File created C:\Windows\SysWOW64\yrjba.exe gdtvy.exe File created C:\Windows\SysWOW64\xdpsn.exe gpqmc.exe File created C:\Windows\SysWOW64\jdcyn.exe Process not Found File opened for modification C:\Windows\SysWOW64\kcopm.exe vfgpa.exe File opened for modification C:\Windows\SysWOW64\pjwtr.exe csbrj.exe File opened for modification C:\Windows\SysWOW64\cdczr.exe Process not Found File created C:\Windows\SysWOW64\dabnz.exe Process not Found File opened for modification C:\Windows\SysWOW64\rknfd.exe Process not Found File created C:\Windows\SysWOW64\gldja.exe jgxbb.exe File opened for modification C:\Windows\SysWOW64\dxbfu.exe dexxa.exe File opened for modification C:\Windows\SysWOW64\syjne.exe ktata.exe File opened for modification C:\Windows\SysWOW64\ukttu.exe zlajy.exe File created C:\Windows\SysWOW64\nydod.exe Process not Found File opened for modification C:\Windows\SysWOW64\iciqh.exe vicbw.exe File opened for modification C:\Windows\SysWOW64\hnzue.exe sqrus.exe File opened for modification C:\Windows\SysWOW64\kbuew.exe sndyl.exe File opened for modification C:\Windows\SysWOW64\wwclg.exe Process not Found File created C:\Windows\SysWOW64\iwodj.exe ofnnf.exe File opened for modification C:\Windows\SysWOW64\dtdrm.exe dizjs.exe -
Suspicious use of WriteProcessMemory 64 IoCs
description pid Process procid_target PID 1904 wrote to memory of 1636 1904 6fc1e9e7942ba69aa7d4e252919a108e.exe 88 PID 1904 wrote to memory of 1636 1904 6fc1e9e7942ba69aa7d4e252919a108e.exe 88 PID 1904 wrote to memory of 1636 1904 6fc1e9e7942ba69aa7d4e252919a108e.exe 88 PID 1636 wrote to memory of 452 1636 rxoge.exe 89 PID 1636 wrote to memory of 452 1636 rxoge.exe 89 PID 1636 wrote to memory of 452 1636 rxoge.exe 89 PID 452 wrote to memory of 2808 452 wojin.exe 401 PID 452 wrote to memory of 2808 452 wojin.exe 401 PID 452 wrote to memory of 2808 452 wojin.exe 401 PID 2808 wrote to memory of 4080 2808 tthqm.exe 91 PID 2808 wrote to memory of 4080 2808 tthqm.exe 91 PID 2808 wrote to memory of 4080 2808 tthqm.exe 91 PID 4080 wrote to memory of 2592 4080 rqngt.exe 400 PID 4080 wrote to memory of 2592 4080 rqngt.exe 400 PID 4080 wrote to memory of 2592 4080 rqngt.exe 400 PID 2592 wrote to memory of 3972 2592 osaip.exe 399 PID 2592 wrote to memory of 3972 2592 osaip.exe 399 PID 2592 wrote to memory of 3972 2592 osaip.exe 399 PID 3972 wrote to memory of 5060 3972 jbbyt.exe 92 PID 3972 wrote to memory of 5060 3972 jbbyt.exe 92 PID 3972 wrote to memory of 5060 3972 jbbyt.exe 92 PID 5060 wrote to memory of 2356 5060 bmgqa.exe 398 PID 5060 wrote to memory of 2356 5060 bmgqa.exe 398 PID 5060 wrote to memory of 2356 5060 bmgqa.exe 398 PID 2356 wrote to memory of 1156 2356 wkzjw.exe 95 PID 2356 wrote to memory of 1156 2356 wkzjw.exe 95 PID 2356 wrote to memory of 1156 2356 wkzjw.exe 95 PID 1156 wrote to memory of 1276 1156 ryole.exe 94 PID 1156 wrote to memory of 1276 1156 ryole.exe 94 PID 1156 wrote to memory of 1276 1156 ryole.exe 94 PID 1276 wrote to memory of 3292 1276 ovmbd.exe 93 PID 1276 wrote to memory of 3292 1276 ovmbd.exe 93 PID 1276 wrote to memory of 3292 1276 ovmbd.exe 93 PID 3292 wrote to memory of 3904 3292 jqqdk.exe 397 PID 3292 wrote to memory of 3904 3292 jqqdk.exe 397 PID 3292 wrote to memory of 3904 3292 jqqdk.exe 397 PID 3904 wrote to memory of 4084 3904 epjon.exe 396 PID 3904 wrote to memory of 4084 3904 epjon.exe 396 PID 3904 wrote to memory of 4084 3904 epjon.exe 396 PID 4084 wrote to memory of 844 4084 ttsbl.exe 395 PID 4084 wrote to memory of 844 4084 ttsbl.exe 395 PID 4084 wrote to memory of 844 4084 ttsbl.exe 395 PID 844 wrote to memory of 796 844 odlrp.exe 96 PID 844 wrote to memory of 796 844 odlrp.exe 96 PID 844 wrote to memory of 796 844 odlrp.exe 96 PID 796 wrote to memory of 1392 796 megtt.exe 394 PID 796 wrote to memory of 1392 796 megtt.exe 394 PID 796 wrote to memory of 1392 796 megtt.exe 394 PID 1392 wrote to memory of 4504 1392 gkneu.exe 393 PID 1392 wrote to memory of 4504 1392 gkneu.exe 393 PID 1392 wrote to memory of 4504 1392 gkneu.exe 393 PID 4504 wrote to memory of 3132 4504 zrxjz.exe 392 PID 4504 wrote to memory of 3132 4504 zrxjz.exe 392 PID 4504 wrote to memory of 3132 4504 zrxjz.exe 392 PID 3132 wrote to memory of 3692 3132 txfuz.exe 391 PID 3132 wrote to memory of 3692 3132 txfuz.exe 391 PID 3132 wrote to memory of 3692 3132 txfuz.exe 391 PID 3692 wrote to memory of 4800 3692 ooxjd.exe 390 PID 3692 wrote to memory of 4800 3692 ooxjd.exe 390 PID 3692 wrote to memory of 4800 3692 ooxjd.exe 390 PID 4800 wrote to memory of 3428 4800 juntm.exe 389 PID 4800 wrote to memory of 3428 4800 juntm.exe 389 PID 4800 wrote to memory of 3428 4800 juntm.exe 389 PID 3428 wrote to memory of 3948 3428 gzljl.exe 97
Processes
-
C:\Users\Admin\AppData\Local\Temp\6fc1e9e7942ba69aa7d4e252919a108e.exe"C:\Users\Admin\AppData\Local\Temp\6fc1e9e7942ba69aa7d4e252919a108e.exe"1⤵
- Suspicious use of WriteProcessMemory
PID:1904 -
C:\Windows\SysWOW64\rxoge.exeC:\Windows\system32\rxoge.exe 1140 "C:\Users\Admin\AppData\Local\Temp\6fc1e9e7942ba69aa7d4e252919a108e.exe"2⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:1636 -
C:\Windows\SysWOW64\wojin.exeC:\Windows\system32\wojin.exe 1044 "C:\Windows\SysWOW64\rxoge.exe"3⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:452 -
C:\Windows\SysWOW64\tthqm.exeC:\Windows\system32\tthqm.exe 1028 "C:\Windows\SysWOW64\wojin.exe"4⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:2808
-
-
-
-
C:\Windows\SysWOW64\rqngt.exeC:\Windows\system32\rqngt.exe 1016 "C:\Windows\SysWOW64\tthqm.exe"1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:4080 -
C:\Windows\SysWOW64\osaip.exeC:\Windows\system32\osaip.exe 1164 "C:\Windows\SysWOW64\rqngt.exe"2⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:2592
-
-
C:\Windows\SysWOW64\bmgqa.exeC:\Windows\system32\bmgqa.exe 1224 "C:\Windows\SysWOW64\jbbyt.exe"1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:5060 -
C:\Windows\SysWOW64\wkzjw.exeC:\Windows\system32\wkzjw.exe 1172 "C:\Windows\SysWOW64\bmgqa.exe"2⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:2356
-
-
C:\Windows\SysWOW64\jqqdk.exeC:\Windows\system32\jqqdk.exe 1064 "C:\Windows\SysWOW64\ovmbd.exe"1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:3292 -
C:\Windows\SysWOW64\epjon.exeC:\Windows\system32\epjon.exe 1056 "C:\Windows\SysWOW64\jqqdk.exe"2⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:3904
-
-
C:\Windows\SysWOW64\ovmbd.exeC:\Windows\system32\ovmbd.exe 1060 "C:\Windows\SysWOW64\ryole.exe"1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:1276
-
C:\Windows\SysWOW64\ryole.exeC:\Windows\system32\ryole.exe 1032 "C:\Windows\SysWOW64\wkzjw.exe"1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:1156
-
C:\Windows\SysWOW64\megtt.exeC:\Windows\system32\megtt.exe 1068 "C:\Windows\SysWOW64\odlrp.exe"1⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:796 -
C:\Windows\SysWOW64\gkneu.exeC:\Windows\system32\gkneu.exe 1084 "C:\Windows\SysWOW64\megtt.exe"2⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:1392
-
-
C:\Windows\SysWOW64\byduo.exeC:\Windows\system32\byduo.exe 1076 "C:\Windows\SysWOW64\gzljl.exe"1⤵
- Executes dropped EXE
PID:3948 -
C:\Windows\SysWOW64\whwjs.exeC:\Windows\system32\whwjs.exe 1104 "C:\Windows\SysWOW64\byduo.exe"2⤵
- Executes dropped EXE
PID:4408
-
-
C:\Windows\SysWOW64\txorf.exeC:\Windows\system32\txorf.exe 1264 "C:\Windows\SysWOW64\wwupj.exe"1⤵
- Executes dropped EXE
PID:4384 -
C:\Windows\SysWOW64\odwco.exeC:\Windows\system32\odwco.exe 1124 "C:\Windows\SysWOW64\txorf.exe"2⤵
- Executes dropped EXE
- Drops file in System32 directory
PID:2932
-
-
C:\Windows\SysWOW64\hkyhl.exeC:\Windows\system32\hkyhl.exe 1276 "C:\Windows\SysWOW64\jjlep.exe"1⤵
- Executes dropped EXE
PID:4140 -
C:\Windows\SysWOW64\burww.exeC:\Windows\system32\burww.exe 1148 "C:\Windows\SysWOW64\hkyhl.exe"2⤵
- Executes dropped EXE
PID:4824
-
-
C:\Windows\SysWOW64\wevuu.exeC:\Windows\system32\wevuu.exe 1284 "C:\Windows\SysWOW64\burww.exe"1⤵
- Executes dropped EXE
PID:1876 -
C:\Windows\SysWOW64\rkked.exeC:\Windows\system32\rkked.exe 1152 "C:\Windows\SysWOW64\wevuu.exe"2⤵
- Executes dropped EXE
PID:2508
-
-
C:\Windows\SysWOW64\opiuc.exeC:\Windows\system32\opiuc.exe 1304 "C:\Windows\SysWOW64\rkked.exe"1⤵
- Executes dropped EXE
PID:2424 -
C:\Windows\SysWOW64\juyxd.exeC:\Windows\system32\juyxd.exe 1156 "C:\Windows\SysWOW64\opiuc.exe"2⤵
- Executes dropped EXE
PID:3552 -
C:\Windows\SysWOW64\bjoco.exeC:\Windows\system32\bjoco.exe 1132 "C:\Windows\SysWOW64\juyxd.exe"3⤵
- Executes dropped EXE
PID:400 -
C:\Windows\SysWOW64\zzysh.exeC:\Windows\system32\zzysh.exe 1096 "C:\Windows\SysWOW64\bjoco.exe"4⤵
- Executes dropped EXE
PID:2360 -
C:\Windows\SysWOW64\ttcuv.exeC:\Windows\system32\ttcuv.exe 952 "C:\Windows\SysWOW64\zzysh.exe"5⤵
- Executes dropped EXE
PID:2320 -
C:\Windows\SysWOW64\rvxxs.exeC:\Windows\system32\rvxxs.exe 1180 "C:\Windows\SysWOW64\ttcuv.exe"6⤵
- Executes dropped EXE
PID:3764 -
C:\Windows\SysWOW64\osvnr.exeC:\Windows\system32\osvnr.exe 1204 "C:\Windows\SysWOW64\rvxxs.exe"7⤵
- Executes dropped EXE
PID:2952
-
-
-
-
-
-
-
C:\Windows\SysWOW64\emraa.exeC:\Windows\system32\emraa.exe 1188 "C:\Windows\SysWOW64\jjncc.exe"1⤵
- Executes dropped EXE
PID:4760 -
C:\Windows\SysWOW64\bfmcw.exeC:\Windows\system32\bfmcw.exe 1212 "C:\Windows\SysWOW64\emraa.exe"2⤵
- Executes dropped EXE
PID:3216
-
-
C:\Windows\SysWOW64\exesp.exeC:\Windows\system32\exesp.exe 1196 "C:\Windows\SysWOW64\oehff.exe"1⤵
- Executes dropped EXE
PID:2904 -
C:\Windows\SysWOW64\wluxz.exeC:\Windows\system32\wluxz.exe 1200 "C:\Windows\SysWOW64\exesp.exe"2⤵
- Executes dropped EXE
PID:3036 -
C:\Windows\SysWOW64\wwgfu.exeC:\Windows\system32\wwgfu.exe 1296 "C:\Windows\SysWOW64\wluxz.exe"3⤵
- Executes dropped EXE
PID:4032
-
-
-
C:\Windows\SysWOW64\royvx.exeC:\Windows\system32\royvx.exe 1176 "C:\Windows\SysWOW64\wwgfu.exe"1⤵
- Executes dropped EXE
PID:1912 -
C:\Windows\SysWOW64\otfke.exeC:\Windows\system32\otfke.exe 1368 "C:\Windows\SysWOW64\royvx.exe"2⤵
- Executes dropped EXE
PID:2776 -
C:\Windows\SysWOW64\jcxai.exeC:\Windows\system32\jcxai.exe 1360 "C:\Windows\SysWOW64\otfke.exe"3⤵
- Executes dropped EXE
PID:3276 -
C:\Windows\SysWOW64\gdkde.exeC:\Windows\system32\gdkde.exe 1228 "C:\Windows\SysWOW64\jcxai.exe"4⤵
- Executes dropped EXE
PID:820
-
-
-
-
C:\Windows\SysWOW64\eebxg.exeC:\Windows\system32\eebxg.exe 1232 "C:\Windows\SysWOW64\gdkde.exe"1⤵
- Executes dropped EXE
PID:3188 -
C:\Windows\SysWOW64\zoxvm.exeC:\Windows\system32\zoxvm.exe 1184 "C:\Windows\SysWOW64\eebxg.exe"2⤵
- Executes dropped EXE
PID:4376
-
-
C:\Windows\SysWOW64\rzlnm.exeC:\Windows\system32\rzlnm.exe 1236 "C:\Windows\SysWOW64\txqsp.exe"1⤵
- Executes dropped EXE
PID:2088 -
C:\Windows\SysWOW64\lfaxu.exeC:\Windows\system32\lfaxu.exe 1252 "C:\Windows\SysWOW64\rzlnm.exe"2⤵
- Executes dropped EXE
PID:3772
-
-
C:\Windows\SysWOW64\gkiiv.exeC:\Windows\system32\gkiiv.exe 1240 "C:\Windows\SysWOW64\lfaxu.exe"1⤵
- Executes dropped EXE
PID:3908 -
C:\Windows\SysWOW64\byxke.exeC:\Windows\system32\byxke.exe 1052 "C:\Windows\SysWOW64\gkiiv.exe"2⤵
- Executes dropped EXE
PID:4432
-
-
C:\Windows\SysWOW64\olhik.exeC:\Windows\system32\olhik.exe 1272 "C:\Windows\SysWOW64\byxke.exe"1⤵
- Executes dropped EXE
PID:1000 -
C:\Windows\SysWOW64\gwuas.exeC:\Windows\system32\gwuas.exe 1280 "C:\Windows\SysWOW64\olhik.exe"2⤵PID:4960
-
-
C:\Windows\SysWOW64\yktgu.exeC:\Windows\system32\yktgu.exe 1412 "C:\Windows\SysWOW64\gwuas.exe"1⤵PID:3448
-
C:\Windows\SysWOW64\tmpda.exeC:\Windows\system32\tmpda.exe 1120 "C:\Windows\SysWOW64\yktgu.exe"2⤵PID:2060
-
C:\Windows\SysWOW64\rsvlz.exeC:\Windows\system32\rsvlz.exe 1416 "C:\Windows\SysWOW64\tmpda.exe"3⤵PID:3540
-
-
-
C:\Windows\SysWOW64\oliov.exeC:\Windows\system32\oliov.exe 1260 "C:\Windows\SysWOW64\rsvlz.exe"1⤵PID:1136
-
C:\Windows\SysWOW64\jzxyw.exeC:\Windows\system32\jzxyw.exe 1300 "C:\Windows\SysWOW64\oliov.exe"2⤵PID:2456
-
C:\Windows\SysWOW64\bnodh.exeC:\Windows\system32\bnodh.exe 1356 "C:\Windows\SysWOW64\jzxyw.exe"3⤵PID:5080
-
C:\Windows\SysWOW64\wpsbn.exeC:\Windows\system32\wpsbn.exe 1308 "C:\Windows\SysWOW64\bnodh.exe"4⤵PID:1648
-
C:\Windows\SysWOW64\qhkqq.exeC:\Windows\system32\qhkqq.exe 1292 "C:\Windows\SysWOW64\wpsbn.exe"5⤵PID:940
-
C:\Windows\SysWOW64\oeqgp.exeC:\Windows\system32\oeqgp.exe 1380 "C:\Windows\SysWOW64\qhkqq.exe"6⤵PID:3104
-
C:\Windows\SysWOW64\mfdbm.exeC:\Windows\system32\mfdbm.exe 1008 "C:\Windows\SysWOW64\oeqgp.exe"7⤵PID:3608
-
C:\Windows\SysWOW64\jcjqt.exeC:\Windows\system32\jcjqt.exe 1448 "C:\Windows\SysWOW64\mfdbm.exe"8⤵PID:4152
-
C:\Windows\SysWOW64\dxntz.exeC:\Windows\system32\dxntz.exe 1288 "C:\Windows\SysWOW64\jcjqt.exe"9⤵PID:884
-
C:\Windows\SysWOW64\bzawv.exeC:\Windows\system32\bzawv.exe 1324 "C:\Windows\SysWOW64\dxntz.exe"10⤵PID:2292
-
C:\Windows\SysWOW64\zwgdc.exeC:\Windows\system32\zwgdc.exe 1460 "C:\Windows\SysWOW64\bzawv.exe"11⤵PID:404
-
-
-
-
-
-
-
-
-
-
-
C:\Windows\SysWOW64\wbetb.exeC:\Windows\system32\wbetb.exe 1244 "C:\Windows\SysWOW64\zwgdc.exe"1⤵PID:4224
-
C:\Windows\SysWOW64\qkxjf.exeC:\Windows\system32\qkxjf.exe 1472 "C:\Windows\SysWOW64\wbetb.exe"2⤵PID:4016
-
C:\Windows\SysWOW64\omslb.exeC:\Windows\system32\omslb.exe 1344 "C:\Windows\SysWOW64\qkxjf.exe"3⤵PID:3336
-
C:\Windows\SysWOW64\mjqti.exeC:\Windows\system32\mjqti.exe 1480 "C:\Windows\SysWOW64\omslb.exe"4⤵PID:1532
-
C:\Windows\SysWOW64\yohww.exeC:\Windows\system32\yohww.exe 1476 "C:\Windows\SysWOW64\mjqti.exe"5⤵PID:4452
-
C:\Windows\SysWOW64\qzuow.exeC:\Windows\system32\qzuow.exe 1316 "C:\Windows\SysWOW64\yohww.exe"6⤵PID:228
-
C:\Windows\SysWOW64\oesed.exeC:\Windows\system32\oesed.exe 1488 "C:\Windows\SysWOW64\qzuow.exe"7⤵PID:2876
-
-
-
-
-
-
-
C:\Windows\SysWOW64\opeex.exeC:\Windows\system32\opeex.exe 1500 "C:\Windows\SysWOW64\oesed.exe"1⤵PID:4576
-
C:\Windows\SysWOW64\jgxbb.exeC:\Windows\system32\jgxbb.exe 1320 "C:\Windows\SysWOW64\opeex.exe"2⤵
- Drops file in System32 directory
PID:868 -
C:\Windows\SysWOW64\gldja.exeC:\Windows\system32\gldja.exe 1328 "C:\Windows\SysWOW64\jgxbb.exe"3⤵PID:2352
-
-
-
C:\Windows\SysWOW64\brktj.exeC:\Windows\system32\brktj.exe 1504 "C:\Windows\SysWOW64\gldja.exe"1⤵PID:5100
-
C:\Windows\SysWOW64\tfjzm.exeC:\Windows\system32\tfjzm.exe 1248 "C:\Windows\SysWOW64\brktj.exe"2⤵PID:3652
-
C:\Windows\SysWOW64\oifwr.exeC:\Windows\system32\oifwr.exe 1348 "C:\Windows\SysWOW64\tfjzm.exe"3⤵PID:3800
-
-
-
C:\Windows\SysWOW64\jsjup.exeC:\Windows\system32\jsjup.exe 1268 "C:\Windows\SysWOW64\oifwr.exe"1⤵PID:4668
-
C:\Windows\SysWOW64\dbcjb.exeC:\Windows\system32\dbcjb.exe 1364 "C:\Windows\SysWOW64\jsjup.exe"2⤵PID:4692
-
C:\Windows\SysWOW64\eunrv.exeC:\Windows\system32\eunrv.exe 1372 "C:\Windows\SysWOW64\dbcjb.exe"3⤵PID:3724
-
C:\Windows\SysWOW64\brlzu.exeC:\Windows\system32\brlzu.exe 1376 "C:\Windows\SysWOW64\eunrv.exe"4⤵PID:3932
-
-
-
-
C:\Windows\SysWOW64\wmpbb.exeC:\Windows\system32\wmpbb.exe 1388 "C:\Windows\SysWOW64\brlzu.exe"1⤵PID:4908
-
C:\Windows\SysWOW64\tnkef.exeC:\Windows\system32\tnkef.exe 1536 "C:\Windows\SysWOW64\wmpbb.exe"2⤵PID:2800
-
C:\Windows\SysWOW64\rkiue.exeC:\Windows\system32\rkiue.exe 1528 "C:\Windows\SysWOW64\tnkef.exe"3⤵PID:3128
-
-
-
C:\Windows\SysWOW64\ghqur.exeC:\Windows\system32\ghqur.exe 996 "C:\Windows\SysWOW64\mnmjc.exe"1⤵
- Drops file in System32 directory
PID:556 -
C:\Windows\SysWOW64\gatul.exeC:\Windows\system32\gatul.exe 1556 "C:\Windows\SysWOW64\ghqur.exe"2⤵PID:3328
-
C:\Windows\SysWOW64\exzjk.exeC:\Windows\system32\exzjk.exe 1564 "C:\Windows\SysWOW64\gatul.exe"3⤵PID:4496
-
C:\Windows\SysWOW64\ysdmq.exeC:\Windows\system32\ysdmq.exe 1336 "C:\Windows\SysWOW64\exzjk.exe"4⤵PID:4948
-
-
-
-
C:\Windows\SysWOW64\trwwt.exeC:\Windows\system32\trwwt.exe 1404 "C:\Windows\SysWOW64\winck.exe"1⤵PID:220
-
C:\Windows\SysWOW64\rwums.exeC:\Windows\system32\rwums.exe 1568 "C:\Windows\SysWOW64\trwwt.exe"2⤵PID:2380
-
C:\Windows\SysWOW64\lfncw.exeC:\Windows\system32\lfncw.exe 1580 "C:\Windows\SysWOW64\rwums.exe"3⤵PID:3404
-
-
-
C:\Windows\SysWOW64\yaerc.exeC:\Windows\system32\yaerc.exe 1596 "C:\Windows\SysWOW64\emppb.exe"1⤵PID:2208
-
C:\Windows\SysWOW64\wbomm.exeC:\Windows\system32\wbomm.exe 1604 "C:\Windows\SysWOW64\yaerc.exe"2⤵PID:4552
-
C:\Windows\SysWOW64\qovxn.exeC:\Windows\system32\qovxn.exe 1396 "C:\Windows\SysWOW64\wbomm.exe"3⤵PID:732
-
C:\Windows\SysWOW64\ombmm.exeC:\Windows\system32\ombmm.exe 1600 "C:\Windows\SysWOW64\qovxn.exe"4⤵PID:3660
-
-
-
-
C:\Windows\SysWOW64\mnwhi.exeC:\Windows\system32\mnwhi.exe 1432 "C:\Windows\SysWOW64\lukhv.exe"1⤵PID:2900
-
C:\Windows\SysWOW64\gwpet.exeC:\Windows\system32\gwpet.exe 1440 "C:\Windows\SysWOW64\mnwhi.exe"2⤵PID:1344
-
C:\Windows\SysWOW64\eybhq.exeC:\Windows\system32\eybhq.exe 1444 "C:\Windows\SysWOW64\gwpet.exe"3⤵PID:1048
-
C:\Windows\SysWOW64\bvhpp.exeC:\Windows\system32\bvhpp.exe 1436 "C:\Windows\SysWOW64\eybhq.exe"4⤵PID:4588
-
C:\Windows\SysWOW64\wjpzx.exeC:\Windows\system32\wjpzx.exe 1456 "C:\Windows\SysWOW64\bvhpp.exe"5⤵PID:4316
-
C:\Windows\SysWOW64\tryuz.exeC:\Windows\system32\tryuz.exe 1452 "C:\Windows\SysWOW64\wjpzx.exe"6⤵PID:2884
-
-
-
-
-
-
C:\Windows\SysWOW64\roeky.exeC:\Windows\system32\roeky.exe 1464 "C:\Windows\SysWOW64\tryuz.exe"1⤵PID:4460
-
C:\Windows\SysWOW64\oucsx.exeC:\Windows\system32\oucsx.exe 1644 "C:\Windows\SysWOW64\roeky.exe"2⤵
- Drops file in System32 directory
PID:2948 -
C:\Windows\SysWOW64\lcmmh.exeC:\Windows\system32\lcmmh.exe 1648 "C:\Windows\SysWOW64\oucsx.exe"3⤵PID:4440
-
-
-
C:\Windows\SysWOW64\oxpku.exeC:\Windows\system32\oxpku.exe 1660 "C:\Windows\SysWOW64\bkxuo.exe"1⤵PID:1396
-
C:\Windows\SysWOW64\lgyfv.exeC:\Windows\system32\lgyfv.exe 1484 "C:\Windows\SysWOW64\oxpku.exe"2⤵PID:4968
-
-
C:\Windows\SysWOW64\johix.exeC:\Windows\system32\johix.exe 1492 "C:\Windows\SysWOW64\lgyfv.exe"1⤵PID:3864
-
C:\Windows\SysWOW64\gtnpw.exeC:\Windows\system32\gtnpw.exe 1676 "C:\Windows\SysWOW64\johix.exe"2⤵PID:1952
-
C:\Windows\SysWOW64\duxkg.exeC:\Windows\system32\duxkg.exe 1496 "C:\Windows\SysWOW64\gtnpw.exe"3⤵PID:3664
-
-
-
C:\Windows\SysWOW64\wfkkg.exeC:\Windows\system32\wfkkg.exe 1384 "C:\Windows\SysWOW64\yieuh.exe"1⤵PID:4048
-
C:\Windows\SysWOW64\jdffo.exeC:\Windows\system32\jdffo.exe 1696 "C:\Windows\SysWOW64\wfkkg.exe"2⤵PID:3332
-
-
C:\Windows\SysWOW64\gxail.exeC:\Windows\system32\gxail.exe 1520 "C:\Windows\SysWOW64\jdffo.exe"1⤵PID:3740
-
C:\Windows\SysWOW64\efjcu.exeC:\Windows\system32\efjcu.exe 1704 "C:\Windows\SysWOW64\gxail.exe"2⤵PID:4608
-
C:\Windows\SysWOW64\bosfw.exeC:\Windows\system32\bosfw.exe 1736 "C:\Windows\SysWOW64\efjcu.exe"3⤵PID:2044
-
-
-
C:\Windows\SysWOW64\ylqnv.exeC:\Windows\system32\ylqnv.exe 1420 "C:\Windows\SysWOW64\bosfw.exe"1⤵PID:4296
-
C:\Windows\SysWOW64\oqodu.exeC:\Windows\system32\oqodu.exe 1716 "C:\Windows\SysWOW64\ylqnv.exe"2⤵PID:1352
-
-
C:\Windows\SysWOW64\bhrfd.exeC:\Windows\system32\bhrfd.exe 1720 "C:\Windows\SysWOW64\jstaa.exe"1⤵PID:4580
-
C:\Windows\SysWOW64\ympnk.exeC:\Windows\system32\ympnk.exe 1744 "C:\Windows\SysWOW64\bhrfd.exe"2⤵PID:1888
-
C:\Windows\SysWOW64\wrvdj.exeC:\Windows\system32\wrvdj.exe 1712 "C:\Windows\SysWOW64\ympnk.exe"3⤵PID:5076
-
C:\Windows\SysWOW64\totli.exeC:\Windows\system32\totli.exe 1332 "C:\Windows\SysWOW64\wrvdj.exe"4⤵PID:4436
-
C:\Windows\SysWOW64\qxdfk.exeC:\Windows\system32\qxdfk.exe 1776 "C:\Windows\SysWOW64\totli.exe"5⤵PID:3384
-
C:\Windows\SysWOW64\oubvr.exeC:\Windows\system32\oubvr.exe 1740 "C:\Windows\SysWOW64\qxdfk.exe"6⤵
- Drops file in System32 directory
PID:4808 -
C:\Windows\SysWOW64\lzhdq.exeC:\Windows\system32\lzhdq.exe 1508 "C:\Windows\SysWOW64\oubvr.exe"7⤵PID:5056
-
-
-
-
-
-
-
C:\Windows\SysWOW64\gfonq.exeC:\Windows\system32\gfonq.exe 1004 "C:\Windows\SysWOW64\ihqxr.exe"1⤵PID:2228
-
C:\Windows\SysWOW64\dkuvp.exeC:\Windows\system32\dkuvp.exe 1560 "C:\Windows\SysWOW64\gfonq.exe"2⤵PID:4568
-
-
C:\Windows\SysWOW64\bseyz.exeC:\Windows\system32\bseyz.exe 1408 "C:\Windows\SysWOW64\dkuvp.exe"1⤵PID:972
-
C:\Windows\SysWOW64\ypcfy.exeC:\Windows\system32\ypcfy.exe 1772 "C:\Windows\SysWOW64\bseyz.exe"2⤵PID:2976
-
C:\Windows\SysWOW64\wuavx.exeC:\Windows\system32\wuavx.exe 1584 "C:\Windows\SysWOW64\ypcfy.exe"3⤵PID:736
-
-
-
C:\Windows\SysWOW64\qapyy.exeC:\Windows\system32\qapyy.exe 1592 "C:\Windows\SysWOW64\tdrqz.exe"1⤵PID:3544
-
C:\Windows\SysWOW64\ofnnf.exeC:\Windows\system32\ofnnf.exe 1540 "C:\Windows\SysWOW64\qapyy.exe"2⤵
- Drops file in System32 directory
PID:1828 -
C:\Windows\SysWOW64\iwodj.exeC:\Windows\system32\iwodj.exe 1612 "C:\Windows\SysWOW64\ofnnf.exe"3⤵PID:2736
-
-
-
C:\Windows\SysWOW64\bhtdq.exeC:\Windows\system32\bhtdq.exe 1620 "C:\Windows\SysWOW64\dcvnr.exe"1⤵PID:3604
-
C:\Windows\SysWOW64\bsfdl.exeC:\Windows\system32\bsfdl.exe 1812 "C:\Windows\SysWOW64\bhtdq.exe"2⤵PID:4656
-
C:\Windows\SysWOW64\vjxto.exeC:\Windows\system32\vjxto.exe 1616 "C:\Windows\SysWOW64\bsfdl.exe"3⤵PID:1460
-
C:\Windows\SysWOW64\tshvq.exeC:\Windows\system32\tshvq.exe 1820 "C:\Windows\SysWOW64\vjxto.exe"4⤵PID:4828
-
C:\Windows\SysWOW64\nywyz.exeC:\Windows\system32\nywyz.exe 1572 "C:\Windows\SysWOW64\tshvq.exe"5⤵PID:2444
-
-
-
-
-
C:\Windows\SysWOW64\iasvx.exeC:\Windows\system32\iasvx.exe 1544 "C:\Windows\SysWOW64\lduny.exe"1⤵PID:4404
-
C:\Windows\SysWOW64\blgvf.exeC:\Windows\system32\blgvf.exe 1552 "C:\Windows\SysWOW64\iasvx.exe"2⤵PID:5104
-
C:\Windows\SysWOW64\ymaqb.exeC:\Windows\system32\ymaqb.exe 1688 "C:\Windows\SysWOW64\blgvf.exe"3⤵PID:3536
-
C:\Windows\SysWOW64\twton.exeC:\Windows\system32\twton.exe 1664 "C:\Windows\SysWOW64\ymaqb.exe"4⤵PID:3516
-
C:\Windows\SysWOW64\qbzvm.exeC:\Windows\system32\qbzvm.exe 1548 "C:\Windows\SysWOW64\twton.exe"5⤵PID:4644
-
C:\Windows\SysWOW64\oyxll.exeC:\Windows\system32\oyxll.exe 1760 "C:\Windows\SysWOW64\qbzvm.exe"6⤵PID:1412
-
-
-
-
-
-
C:\Windows\SysWOW64\lgggm.exeC:\Windows\system32\lgggm.exe 1588 "C:\Windows\SysWOW64\oyxll.exe"1⤵PID:4364
-
C:\Windows\SysWOW64\ilewl.exeC:\Windows\system32\ilewl.exe 1852 "C:\Windows\SysWOW64\lgggm.exe"2⤵PID:4332
-
C:\Windows\SysWOW64\gjlds.exeC:\Windows\system32\gjlds.exe 1888 "C:\Windows\SysWOW64\ilewl.exe"3⤵PID:1224
-
C:\Windows\SysWOW64\aadtw.exeC:\Windows\system32\aadtw.exe 1624 "C:\Windows\SysWOW64\gjlds.exe"4⤵PID:4836
-
-
-
-
C:\Windows\SysWOW64\bwttf.exeC:\Windows\system32\bwttf.exe 1708 "C:\Windows\SysWOW64\ezvmg.exe"1⤵PID:4100
-
C:\Windows\SysWOW64\yfkop.exeC:\Windows\system32\yfkop.exe 1468 "C:\Windows\SysWOW64\bwttf.exe"2⤵PID:5004
-
C:\Windows\SysWOW64\wkieo.exeC:\Windows\system32\wkieo.exe 1700 "C:\Windows\SysWOW64\yfkop.exe"3⤵PID:4480
-
C:\Windows\SysWOW64\tlsyp.exeC:\Windows\system32\tlsyp.exe 1900 "C:\Windows\SysWOW64\wkieo.exe"4⤵PID:4600
-
-
-
-
C:\Windows\SysWOW64\qtbtr.exeC:\Windows\system32\qtbtr.exe 1636 "C:\Windows\SysWOW64\tlsyp.exe"1⤵PID:2556
-
C:\Windows\SysWOW64\blrzw.exeC:\Windows\system32\blrzw.exe 1728 "C:\Windows\SysWOW64\qtbtr.exe"2⤵PID:4448
-
C:\Windows\SysWOW64\tapeh.exeC:\Windows\system32\tapeh.exe 1912 "C:\Windows\SysWOW64\blrzw.exe"3⤵PID:2020
-
C:\Windows\SysWOW64\qfnmg.exeC:\Windows\system32\qfnmg.exe 1832 "C:\Windows\SysWOW64\tapeh.exe"4⤵PID:2596
-
C:\Windows\SysWOW64\oyiok.exeC:\Windows\system32\oyiok.exe 1920 "C:\Windows\SysWOW64\qfnmg.exe"5⤵PID:4748
-
-
-
-
-
C:\Windows\SysWOW64\itmrq.exeC:\Windows\system32\itmrq.exe 1924 "C:\Windows\SysWOW64\oyiok.exe"1⤵PID:540
-
C:\Windows\SysWOW64\jmqzl.exeC:\Windows\system32\jmqzl.exe 1848 "C:\Windows\SysWOW64\itmrq.exe"2⤵PID:2520
-
-
C:\Windows\SysWOW64\aezry.exeC:\Windows\system32\aezry.exe 1756 "C:\Windows\SysWOW64\gjwhk.exe"1⤵PID:2288
-
C:\Windows\SysWOW64\bxdrs.exeC:\Windows\system32\bxdrs.exe 1692 "C:\Windows\SysWOW64\aezry.exe"2⤵PID:3028
-
-
C:\Windows\SysWOW64\rfozz.exeC:\Windows\system32\rfozz.exe 1768 "C:\Windows\SysWOW64\tpfjy.exe"1⤵PID:5276
-
C:\Windows\SysWOW64\lseba.exeC:\Windows\system32\lseba.exe 1948 "C:\Windows\SysWOW64\rfozz.exe"2⤵PID:5324
-
C:\Windows\SysWOW64\jpcrz.exeC:\Windows\system32\jpcrz.exe 1784 "C:\Windows\SysWOW64\lseba.exe"3⤵PID:5384
-
C:\Windows\SysWOW64\dkgun.exeC:\Windows\system32\dkgun.exe 1012 "C:\Windows\SysWOW64\jpcrz.exe"4⤵PID:5436
-
-
-
-
C:\Windows\SysWOW64\apejm.exeC:\Windows\system32\apejm.exe 1780 "C:\Windows\SysWOW64\dkgun.exe"1⤵PID:5496
-
C:\Windows\SysWOW64\ymkrl.exeC:\Windows\system32\ymkrl.exe 1724 "C:\Windows\SysWOW64\apejm.exe"2⤵PID:5552
-
C:\Windows\SysWOW64\vrihk.exeC:\Windows\system32\vrihk.exe 1748 "C:\Windows\SysWOW64\ymkrl.exe"3⤵PID:5612
-
C:\Windows\SysWOW64\tpopj.exeC:\Windows\system32\tpopj.exe 1788 "C:\Windows\SysWOW64\vrihk.exe"4⤵PID:5676
-
C:\Windows\SysWOW64\qumeq.exeC:\Windows\system32\qumeq.exe 1976 "C:\Windows\SysWOW64\tpopj.exe"5⤵PID:5736
-
-
-
-
-
C:\Windows\SysWOW64\lwqco.exeC:\Windows\system32\lwqco.exe 1804 "C:\Windows\SysWOW64\ozkmp.exe"1⤵PID:5868
-
C:\Windows\SysWOW64\gkyex.exeC:\Windows\system32\gkyex.exe 1836 "C:\Windows\SysWOW64\lwqco.exe"2⤵PID:5920
-
C:\Windows\SysWOW64\eheuw.exeC:\Windows\system32\eheuw.exe 1908 "C:\Windows\SysWOW64\gkyex.exe"3⤵PID:5980
-
-
-
C:\Windows\SysWOW64\ybhxd.exeC:\Windows\system32\ybhxd.exe 1992 "C:\Windows\SysWOW64\eheuw.exe"1⤵
- Drops file in System32 directory
PID:6044 -
C:\Windows\SysWOW64\vggec.exeC:\Windows\system32\vggec.exe 1824 "C:\Windows\SysWOW64\ybhxd.exe"2⤵PID:6100
-
-
C:\Windows\SysWOW64\teeuj.exeC:\Windows\system32\teeuj.exe 1856 "C:\Windows\SysWOW64\vggec.exe"1⤵PID:4596
-
C:\Windows\SysWOW64\qmnpk.exeC:\Windows\system32\qmnpk.exe 1828 "C:\Windows\SysWOW64\teeuj.exe"2⤵
- Drops file in System32 directory
PID:864 -
C:\Windows\SysWOW64\ogish.exeC:\Windows\system32\ogish.exe 1860 "C:\Windows\SysWOW64\qmnpk.exe"3⤵PID:1796
-
C:\Windows\SysWOW64\ixahs.exeC:\Windows\system32\ixahs.exe 1800 "C:\Windows\SysWOW64\ogish.exe"4⤵PID:4360
-
-
-
-
C:\Windows\SysWOW64\dzeeq.exeC:\Windows\system32\dzeeq.exe 1944 "C:\Windows\SysWOW64\ixahs.exe"1⤵PID:5200
-
C:\Windows\SysWOW64\bbzhm.exeC:\Windows\system32\bbzhm.exe 2028 "C:\Windows\SysWOW64\dzeeq.exe"2⤵PID:2024
-
-
C:\Windows\SysWOW64\wghsv.exeC:\Windows\system32\wghsv.exe 1844 "C:\Windows\SysWOW64\ybjco.exe"1⤵PID:5404
-
C:\Windows\SysWOW64\tpqmx.exeC:\Windows\system32\tpqmx.exe 1892 "C:\Windows\SysWOW64\wghsv.exe"2⤵PID:1992
-
C:\Windows\SysWOW64\qmwcw.exeC:\Windows\system32\qmwcw.exe 1864 "C:\Windows\SysWOW64\tpqmx.exe"3⤵PID:5252
-
-
-
C:\Windows\SysWOW64\ixbue.exeC:\Windows\system32\ixbue.exe 1808 "C:\Windows\SysWOW64\orukv.exe"1⤵PID:5420
-
C:\Windows\SysWOW64\vvexm.exeC:\Windows\system32\vvexm.exe 1816 "C:\Windows\SysWOW64\ixbue.exe"2⤵PID:5440
-
C:\Windows\SysWOW64\qyivk.exeC:\Windows\system32\qyivk.exe 1632 "C:\Windows\SysWOW64\vvexm.exe"3⤵PID:5512
-
-
-
C:\Windows\SysWOW64\ogspm.exeC:\Windows\system32\ogspm.exe 2064 "C:\Windows\SysWOW64\qyivk.exe"1⤵PID:5600
-
C:\Windows\SysWOW64\lpbkw.exeC:\Windows\system32\lpbkw.exe 1896 "C:\Windows\SysWOW64\ogspm.exe"2⤵PID:5628
-
C:\Windows\SysWOW64\jions.exeC:\Windows\system32\jions.exe 1928 "C:\Windows\SysWOW64\lpbkw.exe"3⤵PID:5704
-
C:\Windows\SysWOW64\grxhu.exeC:\Windows\system32\grxhu.exe 2084 "C:\Windows\SysWOW64\jions.exe"4⤵PID:6056
-
-
-
-
C:\Windows\SysWOW64\dodxt.exeC:\Windows\system32\dodxt.exe 1932 "C:\Windows\SysWOW64\grxhu.exe"1⤵PID:2116
-
C:\Windows\SysWOW64\btbfa.exeC:\Windows\system32\btbfa.exe 2080 "C:\Windows\SysWOW64\dodxt.exe"2⤵PID:2364
-
-
C:\Windows\SysWOW64\lpcpi.exeC:\Windows\system32\lpcpi.exe 1876 "C:\Windows\SysWOW64\okeij.exe"1⤵PID:4012
-
C:\Windows\SysWOW64\ttmdr.exeC:\Windows\system32\ttmdr.exe 1936 "C:\Windows\SysWOW64\lpcpi.exe"2⤵PID:4412
-
C:\Windows\SysWOW64\qqksy.exeC:\Windows\system32\qqksy.exe 1972 "C:\Windows\SysWOW64\ttmdr.exe"3⤵PID:532
-
C:\Windows\SysWOW64\nzuna.exeC:\Windows\system32\nzuna.exe 2116 "C:\Windows\SysWOW64\qqksy.exe"4⤵PID:4832
-
C:\Windows\SysWOW64\leavz.exeC:\Windows\system32\leavz.exe 1532 "C:\Windows\SysWOW64\nzuna.exe"5⤵PID:5160
-
C:\Windows\SysWOW64\ibyly.exeC:\Windows\system32\ibyly.exe 2128 "C:\Windows\SysWOW64\leavz.exe"6⤵PID:3752
-
-
-
-
-
-
C:\Windows\SysWOW64\dpfvh.exeC:\Windows\system32\dpfvh.exe 1904 "C:\Windows\SysWOW64\ibyly.exe"1⤵PID:5240
-
C:\Windows\SysWOW64\qfiqp.exeC:\Windows\system32\qfiqp.exe 2004 "C:\Windows\SysWOW64\dpfvh.exe"2⤵PID:5412
-
C:\Windows\SysWOW64\iqvqp.exeC:\Windows\system32\iqvqp.exe 2144 "C:\Windows\SysWOW64\qfiqp.exe"3⤵PID:5228
-
C:\Windows\SysWOW64\gvtyw.exeC:\Windows\system32\gvtyw.exe 2148 "C:\Windows\SysWOW64\iqvqp.exe"4⤵PID:5260
-
C:\Windows\SysWOW64\epoas.exeC:\Windows\system32\epoas.exe 2140 "C:\Windows\SysWOW64\gvtyw.exe"5⤵PID:5652
-
C:\Windows\SysWOW64\bxyvu.exeC:\Windows\system32\bxyvu.exe 2136 "C:\Windows\SysWOW64\epoas.exe"6⤵PID:6000
-
C:\Windows\SysWOW64\ycwlt.exeC:\Windows\system32\ycwlt.exe 1988 "C:\Windows\SysWOW64\bxyvu.exe"7⤵PID:5804
-
C:\Windows\SysWOW64\wzcts.exeC:\Windows\system32\wzcts.exe 2000 "C:\Windows\SysWOW64\ycwlt.exe"8⤵PID:5528
-
C:\Windows\SysWOW64\tilnc.exeC:\Windows\system32\tilnc.exe 2156 "C:\Windows\SysWOW64\wzcts.exe"9⤵PID:5908
-
C:\Windows\SysWOW64\qnjdb.exeC:\Windows\system32\qnjdb.exe 1952 "C:\Windows\SysWOW64\tilnc.exe"10⤵PID:5956
-
C:\Windows\SysWOW64\vsdlu.exeC:\Windows\system32\vsdlu.exe 2168 "C:\Windows\SysWOW64\qnjdb.exe"11⤵PID:5180
-
C:\Windows\SysWOW64\tamgw.exeC:\Windows\system32\tamgw.exe 2180 "C:\Windows\SysWOW64\vsdlu.exe"12⤵PID:6060
-
C:\Windows\SysWOW64\qgknv.exeC:\Windows\system32\qgknv.exe 1984 "C:\Windows\SysWOW64\tamgw.exe"13⤵PID:3708
-
C:\Windows\SysWOW64\qrvwp.exeC:\Windows\system32\qrvwp.exe 2072 "C:\Windows\SysWOW64\qgknv.exe"14⤵PID:5156
-
C:\Windows\SysWOW64\llzye.exeC:\Windows\system32\llzye.exe 2192 "C:\Windows\SysWOW64\qrvwp.exe"15⤵PID:756
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
C:\Windows\SysWOW64\ledgy.exeC:\Windows\system32\ledgy.exe 2184 "C:\Windows\SysWOW64\llzye.exe"1⤵PID:6012
-
C:\Windows\SysWOW64\jbjox.exeC:\Windows\system32\jbjox.exe 2008 "C:\Windows\SysWOW64\ledgy.exe"2⤵PID:1492
-
-
C:\Windows\SysWOW64\dwnqd.exeC:\Windows\system32\dwnqd.exe 1940 "C:\Windows\SysWOW64\jbjox.exe"1⤵PID:3196
-
C:\Windows\SysWOW64\yyjoj.exeC:\Windows\system32\yyjoj.exe 2012 "C:\Windows\SysWOW64\dwnqd.exe"2⤵PID:4052
-
C:\Windows\SysWOW64\tmyyk.exeC:\Windows\system32\tmyyk.exe 2100 "C:\Windows\SysWOW64\yyjoj.exe"3⤵PID:1972
-
C:\Windows\SysWOW64\qgtbg.exeC:\Windows\system32\qgtbg.exe 2208 "C:\Windows\SysWOW64\tmyyk.exe"4⤵PID:3300
-
-
-
-
C:\Windows\SysWOW64\olrjn.exeC:\Windows\system32\olrjn.exe 2024 "C:\Windows\SysWOW64\qgtbg.exe"1⤵PID:5336
-
C:\Windows\SysWOW64\iukgr.exeC:\Windows\system32\iukgr.exe 2032 "C:\Windows\SysWOW64\olrjn.exe"2⤵PID:5356
-
-
C:\Windows\SysWOW64\dizjs.exeC:\Windows\system32\dizjs.exe 2040 "C:\Windows\SysWOW64\fctbt.exe"1⤵
- Drops file in System32 directory
PID:5272 -
C:\Windows\SysWOW64\dtdrm.exeC:\Windows\system32\dtdrm.exe 2228 "C:\Windows\SysWOW64\dizjs.exe"2⤵PID:264
-
C:\Windows\SysWOW64\yngtb.exeC:\Windows\system32\yngtb.exe 2020 "C:\Windows\SysWOW64\dtdrm.exe"3⤵PID:5472
-
C:\Windows\SysWOW64\ygsbv.exeC:\Windows\system32\ygsbv.exe 1956 "C:\Windows\SysWOW64\yngtb.exe"4⤵PID:5792
-
C:\Windows\SysWOW64\vhbwx.exeC:\Windows\system32\vhbwx.exe 2248 "C:\Windows\SysWOW64\ygsbv.exe"5⤵PID:5500
-
-
-
-
-
C:\Windows\SysWOW64\ifwyf.exeC:\Windows\system32\ifwyf.exe 2060 "C:\Windows\SysWOW64\lxnee.exe"1⤵PID:3176
-
C:\Windows\SysWOW64\gofth.exeC:\Windows\system32\gofth.exe 2284 "C:\Windows\SysWOW64\ifwyf.exe"2⤵PID:5784
-
C:\Windows\SysWOW64\gzrbc.exeC:\Windows\system32\gzrbc.exe 2068 "C:\Windows\SysWOW64\gofth.exe"3⤵PID:5836
-
-
-
C:\Windows\SysWOW64\seiwq.exeC:\Windows\system32\seiwq.exe 2088 "C:\Windows\SysWOW64\yketj.exe"1⤵PID:5288
-
C:\Windows\SysWOW64\qyvzu.exeC:\Windows\system32\qyvzu.exe 2240 "C:\Windows\SysWOW64\seiwq.exe"2⤵PID:4192
-
C:\Windows\SysWOW64\odbgt.exeC:\Windows\system32\odbgt.exe 2056 "C:\Windows\SysWOW64\qyvzu.exe"3⤵
- Drops file in System32 directory
PID:5536
-
-
-
C:\Windows\SysWOW64\yketj.exeC:\Windows\system32\yketj.exe 2264 "C:\Windows\SysWOW64\gzrbc.exe"1⤵PID:2564
-
C:\Windows\SysWOW64\lizws.exeC:\Windows\system32\lizws.exe 2280 "C:\Windows\SysWOW64\odbgt.exe"1⤵PID:5212
-
C:\Windows\SysWOW64\grsme.exeC:\Windows\system32\grsme.exe 2096 "C:\Windows\SysWOW64\lizws.exe"2⤵PID:892
-
C:\Windows\SysWOW64\dxybd.exeC:\Windows\system32\dxybd.exe 1968 "C:\Windows\SysWOW64\grsme.exe"3⤵PID:5788
-
-
-
C:\Windows\SysWOW64\qkhri.exeC:\Windows\system32\qkhri.exe 2200 "C:\Windows\SysWOW64\dxybd.exe"1⤵PID:5644
-
C:\Windows\SysWOW64\opfzh.exeC:\Windows\system32\opfzh.exe 2300 "C:\Windows\SysWOW64\qkhri.exe"2⤵PID:5244
-
-
C:\Windows\SysWOW64\lmlpg.exeC:\Windows\system32\lmlpg.exe 2076 "C:\Windows\SysWOW64\opfzh.exe"1⤵PID:5476
-
C:\Windows\SysWOW64\fgprv.exeC:\Windows\system32\fgprv.exe 2112 "C:\Windows\SysWOW64\lmlpg.exe"2⤵PID:3528
-
-
C:\Windows\SysWOW64\ajtot.exeC:\Windows\system32\ajtot.exe 1980 "C:\Windows\SysWOW64\dmnzu.exe"1⤵PID:6124
-
C:\Windows\SysWOW64\yosws.exeC:\Windows\system32\yosws.exe 2036 "C:\Windows\SysWOW64\ajtot.exe"2⤵PID:4732
-
C:\Windows\SysWOW64\vlqmz.exeC:\Windows\system32\vlqmz.exe 2120 "C:\Windows\SysWOW64\yosws.exe"3⤵PID:5352
-
-
-
C:\Windows\SysWOW64\gdfre.exeC:\Windows\system32\gdfre.exe 1168 "C:\Windows\SysWOW64\vlqmz.exe"1⤵PID:5728
-
C:\Windows\SysWOW64\ayjuk.exeC:\Windows\system32\ayjuk.exe 2160 "C:\Windows\SysWOW64\gdfre.exe"2⤵PID:5136
-
C:\Windows\SysWOW64\brvue.exeC:\Windows\system32\brvue.exe 2368 "C:\Windows\SysWOW64\ayjuk.exe"3⤵PID:1984
-
C:\Windows\SysWOW64\yotkl.exeC:\Windows\system32\yotkl.exe 2132 "C:\Windows\SysWOW64\brvue.exe"4⤵PID:2040
-
-
-
-
C:\Windows\SysWOW64\dmnzu.exeC:\Windows\system32\dmnzu.exe 2236 "C:\Windows\SysWOW64\fgprv.exe"1⤵PID:1968
-
C:\Windows\SysWOW64\tbium.exeC:\Windows\system32\tbium.exe 2188 "C:\Windows\SysWOW64\sixms.exe"1⤵PID:5152
-
C:\Windows\SysWOW64\qzgcl.exeC:\Windows\system32\qzgcl.exe 2196 "C:\Windows\SysWOW64\tbium.exe"2⤵PID:5300
-
C:\Windows\SysWOW64\ltkea.exeC:\Windows\system32\ltkea.exe 2204 "C:\Windows\SysWOW64\qzgcl.exe"3⤵PID:5216
-
C:\Windows\SysWOW64\infhw.exeC:\Windows\system32\infhw.exe 2108 "C:\Windows\SysWOW64\ltkea.exe"4⤵PID:2500
-
-
-
-
C:\Windows\SysWOW64\dexxa.exeC:\Windows\system32\dexxa.exe 2224 "C:\Windows\SysWOW64\infhw.exe"1⤵
- Drops file in System32 directory
PID:744 -
C:\Windows\SysWOW64\dxbfu.exeC:\Windows\system32\dxbfu.exe 2212 "C:\Windows\SysWOW64\dexxa.exe"2⤵PID:5936
-
C:\Windows\SysWOW64\buhmt.exeC:\Windows\system32\buhmt.exe 2176 "C:\Windows\SysWOW64\dxbfu.exe"3⤵PID:5620
-
C:\Windows\SysWOW64\wioxc.exeC:\Windows\system32\wioxc.exe 2124 "C:\Windows\SysWOW64\buhmt.exe"4⤵PID:4416
-
C:\Windows\SysWOW64\dtlsl.exeC:\Windows\system32\dtlsl.exe 2392 "C:\Windows\SysWOW64\wioxc.exe"5⤵PID:1372
-
C:\Windows\SysWOW64\qsguu.exeC:\Windows\system32\qsguu.exe 2396 "C:\Windows\SysWOW64\dtlsl.exe"6⤵PID:5904
-
C:\Windows\SysWOW64\izqaz.exeC:\Windows\system32\izqaz.exe 2152 "C:\Windows\SysWOW64\qsguu.exe"7⤵PID:5224
-
C:\Windows\SysWOW64\dijpd.exeC:\Windows\system32\dijpd.exe 2384 "C:\Windows\SysWOW64\izqaz.exe"8⤵PID:5372
-
C:\Windows\SysWOW64\ywqad.exeC:\Windows\system32\ywqad.exe 2252 "C:\Windows\SysWOW64\dijpd.exe"9⤵PID:388
-
C:\Windows\SysWOW64\vtwpk.exeC:\Windows\system32\vtwpk.exe 2432 "C:\Windows\SysWOW64\ywqad.exe"10⤵PID:5588
-
C:\Windows\SysWOW64\tvjkh.exeC:\Windows\system32\tvjkh.exe 2272 "C:\Windows\SysWOW64\vtwpk.exe"11⤵PID:5268
-
C:\Windows\SysWOW64\qspag.exeC:\Windows\system32\qspag.exe 2172 "C:\Windows\SysWOW64\tvjkh.exe"12⤵PID:5960
-
C:\Windows\SysWOW64\kmtcu.exeC:\Windows\system32\kmtcu.exe 2164 "C:\Windows\SysWOW64\qspag.exe"13⤵PID:4940
-
C:\Windows\SysWOW64\dqkdo.exeC:\Windows\system32\dqkdo.exe 2288 "C:\Windows\SysWOW64\kmtcu.exe"14⤵PID:5968
-
C:\Windows\SysWOW64\snscb.exeC:\Windows\system32\snscb.exe 2424 "C:\Windows\SysWOW64\dqkdo.exe"15⤵PID:6132
-
C:\Windows\SysWOW64\issxf.exeC:\Windows\system32\issxf.exe 2416 "C:\Windows\SysWOW64\snscb.exe"16⤵PID:5432
-
C:\Windows\SysWOW64\acfqm.exeC:\Windows\system32\acfqm.exe 2276 "C:\Windows\SysWOW64\issxf.exe"17⤵PID:5532
-
C:\Windows\SysWOW64\srevp.exeC:\Windows\system32\srevp.exe 2436 "C:\Windows\SysWOW64\acfqm.exe"18⤵PID:4180
-
C:\Windows\SysWOW64\ntasv.exeC:\Windows\system32\ntasv.exe 2292 "C:\Windows\SysWOW64\srevp.exe"19⤵PID:5380
-
C:\Windows\SysWOW64\geolv.exeC:\Windows\system32\geolv.exe 2304 "C:\Windows\SysWOW64\ntasv.exe"20⤵PID:5428
-
C:\Windows\SysWOW64\xamqf.exeC:\Windows\system32\xamqf.exe 2216 "C:\Windows\SysWOW64\geolv.exe"21⤵PID:5632
-
C:\Windows\SysWOW64\qlain.exeC:\Windows\system32\qlain.exe 2232 "C:\Windows\SysWOW64\xamqf.exe"22⤵PID:5416
-
C:\Windows\SysWOW64\lnwfl.exeC:\Windows\system32\lnwfl.exe 2456 "C:\Windows\SysWOW64\qlain.exe"23⤵PID:1824
-
C:\Windows\SysWOW64\gpadj.exeC:\Windows\system32\gpadj.exe 2312 "C:\Windows\SysWOW64\lnwfl.exe"24⤵PID:5088
-
C:\Windows\SysWOW64\breap.exeC:\Windows\system32\breap.exe 2328 "C:\Windows\SysWOW64\gpadj.exe"25⤵PID:3432
-
C:\Windows\SysWOW64\tcsbx.exeC:\Windows\system32\tcsbx.exe 2244 "C:\Windows\SysWOW64\breap.exe"26⤵PID:5640
-
C:\Windows\SysWOW64\lqiga.exeC:\Windows\system32\lqiga.exe 2268 "C:\Windows\SysWOW64\tcsbx.exe"27⤵PID:5188
-
C:\Windows\SysWOW64\dbwyh.exeC:\Windows\system32\dbwyh.exe 2256 "C:\Windows\SysWOW64\lqiga.exe"28⤵PID:5928
-
C:\Windows\SysWOW64\vmjqp.exeC:\Windows\system32\vmjqp.exe 2320 "C:\Windows\SysWOW64\dbwyh.exe"29⤵PID:3632
-
C:\Windows\SysWOW64\iopgb.exeC:\Windows\system32\iopgb.exe 2336 "C:\Windows\SysWOW64\vmjqp.exe"30⤵PID:316
-
C:\Windows\SysWOW64\akoyv.exeC:\Windows\system32\akoyv.exe 2344 "C:\Windows\SysWOW64\iopgb.exe"31⤵PID:4672
-
C:\Windows\SysWOW64\vxwje.exeC:\Windows\system32\vxwje.exe 2348 "C:\Windows\SysWOW64\akoyv.exe"32⤵PID:5400
-
C:\Windows\SysWOW64\nijbd.exeC:\Windows\system32\nijbd.exe 2352 "C:\Windows\SysWOW64\vxwje.exe"33⤵PID:5264
-
C:\Windows\SysWOW64\iknyj.exeC:\Windows\system32\iknyj.exe 2296 "C:\Windows\SysWOW64\nijbd.exe"34⤵PID:5984
-
C:\Windows\SysWOW64\bvtrj.exeC:\Windows\system32\bvtrj.exe 2500 "C:\Windows\SysWOW64\iknyj.exe"35⤵PID:3052
-
C:\Windows\SysWOW64\nbktf.exeC:\Windows\system32\nbktf.exe 2332 "C:\Windows\SysWOW64\bvtrj.exe"36⤵
- Drops file in System32 directory
PID:5624 -
C:\Windows\SysWOW64\izdeb.exeC:\Windows\system32\izdeb.exe 2512 "C:\Windows\SysWOW64\nbktf.exe"37⤵PID:5700
-
C:\Windows\SysWOW64\akqwi.exeC:\Windows\system32\akqwi.exe 2316 "C:\Windows\SysWOW64\izdeb.exe"38⤵PID:5456
-
C:\Windows\SysWOW64\qhywv.exeC:\Windows\system32\qhywv.exe 2340 "C:\Windows\SysWOW64\akqwi.exe"39⤵PID:5648
-
C:\Windows\SysWOW64\lgroq.exeC:\Windows\system32\lgroq.exe 2532 "C:\Windows\SysWOW64\qhywv.exe"40⤵PID:6084
-
C:\Windows\SysWOW64\duiub.exeC:\Windows\system32\duiub.exe 2308 "C:\Windows\SysWOW64\lgroq.exe"41⤵PID:5508
-
C:\Windows\SysWOW64\ywmrz.exeC:\Windows\system32\ywmrz.exe 2528 "C:\Windows\SysWOW64\duiub.exe"42⤵
- Drops file in System32 directory
PID:5636 -
C:\Windows\SysWOW64\qhzjg.exeC:\Windows\system32\qhzjg.exe 2376 "C:\Windows\SysWOW64\ywmrz.exe"43⤵PID:5884
-
C:\Windows\SysWOW64\ljdhe.exeC:\Windows\system32\ljdhe.exe 2484 "C:\Windows\SysWOW64\qhzjg.exe"44⤵PID:6080
-
C:\Windows\SysWOW64\adauo.exeC:\Windows\system32\adauo.exe 2324 "C:\Windows\SysWOW64\ljdhe.exe"45⤵PID:5880
-
C:\Windows\SysWOW64\vfwrm.exeC:\Windows\system32\vfwrm.exe 2400 "C:\Windows\SysWOW64\adauo.exe"46⤵PID:5748
-
C:\Windows\SysWOW64\nbvwx.exeC:\Windows\system32\nbvwx.exe 2404 "C:\Windows\SysWOW64\vfwrm.exe"47⤵PID:5048
-
C:\Windows\SysWOW64\djged.exeC:\Windows\system32\djged.exe 2556 "C:\Windows\SysWOW64\nbvwx.exe"48⤵PID:3252
-
C:\Windows\SysWOW64\vqjki.exeC:\Windows\system32\vqjki.exe 2408 "C:\Windows\SysWOW64\djged.exe"49⤵PID:5444
-
C:\Windows\SysWOW64\iwamx.exeC:\Windows\system32\iwamx.exe 2356 "C:\Windows\SysWOW64\vqjki.exe"50⤵PID:5668
-
C:\Windows\SysWOW64\dvtxs.exeC:\Windows\system32\dvtxs.exe 2564 "C:\Windows\SysWOW64\iwamx.exe"51⤵PID:4444
-
C:\Windows\SysWOW64\vfgpa.exeC:\Windows\system32\vfgpa.exe 2576 "C:\Windows\SysWOW64\dvtxs.exe"52⤵
- Drops file in System32 directory
PID:5184 -
C:\Windows\SysWOW64\kcopm.exeC:\Windows\system32\kcopm.exe 2412 "C:\Windows\SysWOW64\vfgpa.exe"53⤵PID:5924
-
C:\Windows\SysWOW64\iwbsi.exeC:\Windows\system32\iwbsi.exe 2420 "C:\Windows\SysWOW64\kcopm.exe"54⤵PID:5724
-
C:\Windows\SysWOW64\asaxt.exeC:\Windows\system32\asaxt.exe 2360 "C:\Windows\SysWOW64\iwbsi.exe"55⤵PID:6096
-
C:\Windows\SysWOW64\torxn.exeC:\Windows\system32\torxn.exe 2588 "C:\Windows\SysWOW64\asaxt.exe"56⤵PID:5568
-
C:\Windows\SysWOW64\ilzxz.exeC:\Windows\system32\ilzxz.exe 2364 "C:\Windows\SysWOW64\torxn.exe"57⤵PID:5716
-
C:\Windows\SysWOW64\dndvx.exeC:\Windows\system32\dndvx.exe 2372 "C:\Windows\SysWOW64\ilzxz.exe"58⤵PID:5900
-
C:\Windows\SysWOW64\vjtai.exeC:\Windows\system32\vjtai.exe 2600 "C:\Windows\SysWOW64\dndvx.exe"59⤵PID:1932
-
C:\Windows\SysWOW64\njefn.exeC:\Windows\system32\njefn.exe 2452 "C:\Windows\SysWOW64\vjtai.exe"60⤵PID:1072
-
C:\Windows\SysWOW64\ilacl.exeC:\Windows\system32\ilacl.exe 2608 "C:\Windows\SysWOW64\njefn.exe"61⤵
- Drops file in System32 directory
PID:5864 -
C:\Windows\SysWOW64\yewxv.exeC:\Windows\system32\yewxv.exe 2612 "C:\Windows\SysWOW64\ilacl.exe"62⤵PID:4540
-
C:\Windows\SysWOW64\qmzda.exeC:\Windows\system32\qmzda.exe 2604 "C:\Windows\SysWOW64\yewxv.exe"63⤵PID:4208
-
C:\Windows\SysWOW64\fjhdm.exeC:\Windows\system32\fjhdm.exe 2620 "C:\Windows\SysWOW64\qmzda.exe"64⤵PID:6112
-
C:\Windows\SysWOW64\swyas.exeC:\Windows\system32\swyas.exe 2628 "C:\Windows\SysWOW64\fjhdm.exe"65⤵PID:5720
-
C:\Windows\SysWOW64\gjiqy.exeC:\Windows\system32\gjiqy.exe 2632 "C:\Windows\SysWOW64\swyas.exe"66⤵PID:1996
-
C:\Windows\SysWOW64\vytqe.exeC:\Windows\system32\vytqe.exe 2636 "C:\Windows\SysWOW64\gjiqy.exe"67⤵PID:5540
-
C:\Windows\SysWOW64\ipwtn.exeC:\Windows\system32\ipwtn.exe 2472 "C:\Windows\SysWOW64\vytqe.exe"68⤵PID:5464
-
C:\Windows\SysWOW64\xmwbz.exeC:\Windows\system32\xmwbz.exe 2380 "C:\Windows\SysWOW64\ipwtn.exe"69⤵PID:3584
-
C:\Windows\SysWOW64\swaqx.exeC:\Windows\system32\swaqx.exe 2388 "C:\Windows\SysWOW64\xmwbz.exe"70⤵PID:5848
-
C:\Windows\SysWOW64\lhoqf.exeC:\Windows\system32\lhoqf.exe 2440 "C:\Windows\SysWOW64\swaqx.exe"71⤵PID:3468
-
C:\Windows\SysWOW64\fndtg.exeC:\Windows\system32\fndtg.exe 2428 "C:\Windows\SysWOW64\lhoqf.exe"72⤵PID:5800
-
C:\Windows\SysWOW64\yufgl.exeC:\Windows\system32\yufgl.exe 2552 "C:\Windows\SysWOW64\fndtg.exe"73⤵PID:5256
-
C:\Windows\SysWOW64\kolww.exeC:\Windows\system32\kolww.exe 2464 "C:\Windows\SysWOW64\yufgl.exe"74⤵PID:5808
-
C:\Windows\SysWOW64\dvnbb.exeC:\Windows\system32\dvnbb.exe 2448 "C:\Windows\SysWOW64\kolww.exe"75⤵PID:5468
-
C:\Windows\SysWOW64\pxtrn.exeC:\Windows\system32\pxtrn.exe 2444 "C:\Windows\SysWOW64\dvnbb.exe"76⤵PID:2076
-
C:\Windows\SysWOW64\iihjn.exeC:\Windows\system32\iihjn.exe 2680 "C:\Windows\SysWOW64\pxtrn.exe"77⤵PID:4236
-
C:\Windows\SysWOW64\dklgt.exeC:\Windows\system32\dklgt.exe 2460 "C:\Windows\SysWOW64\iihjn.exe"78⤵PID:6088
-
C:\Windows\SysWOW64\qbgjb.exeC:\Windows\system32\qbgjb.exe 2488 "C:\Windows\SysWOW64\dklgt.exe"79⤵PID:5680
-
C:\Windows\SysWOW64\frrji.exeC:\Windows\system32\frrji.exe 2676 "C:\Windows\SysWOW64\qbgjb.exe"80⤵PID:1236
-
C:\Windows\SysWOW64\vkoes.exeC:\Windows\system32\vkoes.exe 2476 "C:\Windows\SysWOW64\frrji.exe"81⤵PID:5740
-
C:\Windows\SysWOW64\qmsbq.exeC:\Windows\system32\qmsbq.exe 2516 "C:\Windows\SysWOW64\vkoes.exe"82⤵PID:3136
-
C:\Windows\SysWOW64\ixgux.exeC:\Windows\system32\ixgux.exe 2520 "C:\Windows\SysWOW64\qmsbq.exe"83⤵PID:5396
-
C:\Windows\SysWOW64\dzcrv.exeC:\Windows\system32\dzcrv.exe 2524 "C:\Windows\SysWOW64\ixgux.exe"84⤵PID:5820
-
C:\Windows\SysWOW64\nnawg.exeC:\Windows\system32\nnawg.exe 2468 "C:\Windows\SysWOW64\dzcrv.exe"85⤵PID:5308
-
C:\Windows\SysWOW64\frrxa.exeC:\Windows\system32\frrxa.exe 2720 "C:\Windows\SysWOW64\nnawg.exe"86⤵PID:528
-
C:\Windows\SysWOW64\qqdut.exeC:\Windows\system32\qqdut.exe 2480 "C:\Windows\SysWOW64\frrxa.exe"87⤵PID:5840
-
C:\Windows\SysWOW64\kelet.exeC:\Windows\system32\kelet.exe 2716 "C:\Windows\SysWOW64\qqdut.exe"88⤵PID:5688
-
C:\Windows\SysWOW64\ameea.exeC:\Windows\system32\ameea.exe 2708 "C:\Windows\SysWOW64\kelet.exe"89⤵
- Drops file in System32 directory
PID:5388 -
C:\Windows\SysWOW64\qcqmh.exeC:\Windows\system32\qcqmh.exe 2724 "C:\Windows\SysWOW64\ameea.exe"90⤵PID:3208
-
C:\Windows\SysWOW64\axjxp.exeC:\Windows\system32\axjxp.exe 2596 "C:\Windows\SysWOW64\qcqmh.exe"91⤵PID:468
-
C:\Windows\SysWOW64\uhjua.exeC:\Windows\system32\uhjua.exe 2492 "C:\Windows\SysWOW64\axjxp.exe"92⤵PID:5672
-
C:\Windows\SysWOW64\nolzx.exeC:\Windows\system32\nolzx.exe 2508 "C:\Windows\SysWOW64\uhjua.exe"93⤵PID:5816
-
C:\Windows\SysWOW64\fvonc.exeC:\Windows\system32\fvonc.exe 2496 "C:\Windows\SysWOW64\nolzx.exe"94⤵PID:6140
-
C:\Windows\SysWOW64\abvpd.exeC:\Windows\system32\abvpd.exe 2560 "C:\Windows\SysWOW64\fvonc.exe"95⤵PID:2412
-
C:\Windows\SysWOW64\sxuuo.exeC:\Windows\system32\sxuuo.exe 2504 "C:\Windows\SysWOW64\abvpd.exe"96⤵PID:4400
-
C:\Windows\SysWOW64\fopxw.exeC:\Windows\system32\fopxw.exe 2580 "C:\Windows\SysWOW64\sxuuo.exe"97⤵PID:6068
-
C:\Windows\SysWOW64\ateif.exeC:\Windows\system32\ateif.exe 2536 "C:\Windows\SysWOW64\fopxw.exe"98⤵PID:6136
-
C:\Windows\SysWOW64\uhlsg.exeC:\Windows\system32\uhlsg.exe 2540 "C:\Windows\SysWOW64\ateif.exe"99⤵PID:5164
-
C:\Windows\SysWOW64\nonxl.exeC:\Windows\system32\nonxl.exe 2616 "C:\Windows\SysWOW64\uhlsg.exe"100⤵PID:8
-
C:\Windows\SysWOW64\irsvj.exeC:\Windows\system32\irsvj.exe 2548 "C:\Windows\SysWOW64\nonxl.exe"101⤵PID:5708
-
C:\Windows\SysWOW64\dwhfk.exeC:\Windows\system32\dwhfk.exe 2700 "C:\Windows\SysWOW64\irsvj.exe"102⤵
- Drops file in System32 directory
PID:5364 -
C:\Windows\SysWOW64\ulyku.exeC:\Windows\system32\ulyku.exe 2780 "C:\Windows\SysWOW64\dwhfk.exe"103⤵PID:5744
-
C:\Windows\SysWOW64\qjqvy.exeC:\Windows\system32\qjqvy.exe 2584 "C:\Windows\SysWOW64\ulyku.exe"104⤵PID:1528
-
C:\Windows\SysWOW64\hjand.exeC:\Windows\system32\hjand.exe 2640 "C:\Windows\SysWOW64\qjqvy.exe"105⤵PID:4972
-
C:\Windows\SysWOW64\aqdsi.exeC:\Windows\system32\aqdsi.exe 2784 "C:\Windows\SysWOW64\hjand.exe"106⤵
- Drops file in System32 directory
PID:4492 -
C:\Windows\SysWOW64\sftyt.exeC:\Windows\system32\sftyt.exe 2544 "C:\Windows\SysWOW64\aqdsi.exe"107⤵PID:5752
-
C:\Windows\SysWOW64\kphqs.exeC:\Windows\system32\kphqs.exe 2652 "C:\Windows\SysWOW64\sftyt.exe"108⤵PID:5756
-
C:\Windows\SysWOW64\dlgqv.exeC:\Windows\system32\dlgqv.exe 2648 "C:\Windows\SysWOW64\kphqs.exe"109⤵PID:5220
-
C:\Windows\SysWOW64\vwliu.exeC:\Windows\system32\vwliu.exe 2808 "C:\Windows\SysWOW64\dlgqv.exe"110⤵PID:5504
-
C:\Windows\SysWOW64\nsknf.exeC:\Windows\system32\nsknf.exe 2656 "C:\Windows\SysWOW64\vwliu.exe"111⤵PID:1908
-
C:\Windows\SysWOW64\fhitq.exeC:\Windows\system32\fhitq.exe 2660 "C:\Windows\SysWOW64\nsknf.exe"112⤵PID:6064
-
C:\Windows\SysWOW64\ajfqo.exeC:\Windows\system32\ajfqo.exe 2568 "C:\Windows\SysWOW64\fhitq.exe"113⤵PID:2924
-
C:\Windows\SysWOW64\susiv.exeC:\Windows\system32\susiv.exe 2824 "C:\Windows\SysWOW64\ajfqo.exe"114⤵PID:5168
-
C:\Windows\SysWOW64\iyadz.exeC:\Windows\system32\iyadz.exe 2820 "C:\Windows\SysWOW64\susiv.exe"115⤵PID:1620
-
C:\Windows\SysWOW64\yomlg.exeC:\Windows\system32\yomlg.exe 2684 "C:\Windows\SysWOW64\iyadz.exe"116⤵PID:3156
-
C:\Windows\SysWOW64\kehop.exeC:\Windows\system32\kehop.exe 2624 "C:\Windows\SysWOW64\yomlg.exe"117⤵PID:6120
-
C:\Windows\SysWOW64\vahyw.exeC:\Windows\system32\vahyw.exe 2832 "C:\Windows\SysWOW64\kehop.exe"118⤵PID:5604
-
C:\Windows\SysWOW64\icnoi.exeC:\Windows\system32\icnoi.exe 2836 "C:\Windows\SysWOW64\vahyw.exe"119⤵PID:5140
-
C:\Windows\SysWOW64\anbgq.exeC:\Windows\system32\anbgq.exe 2688 "C:\Windows\SysWOW64\icnoi.exe"120⤵PID:4004
-
C:\Windows\SysWOW64\vpfeo.exeC:\Windows\system32\vpfeo.exe 2672 "C:\Windows\SysWOW64\anbgq.exe"121⤵PID:5972
-
C:\Windows\SysWOW64\qrbbu.exeC:\Windows\system32\qrbbu.exe 2728 "C:\Windows\SysWOW64\vpfeo.exe"122⤵
- Drops file in System32 directory
PID:5016
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-