Malware Analysis Report

2024-11-30 05:04

Sample ID 240229-habr4sha2y
Target ade99c01a1e92f6dc5c4a4bfec9649e3
SHA256 f007989340d051c2715bedb1bd5d4736cd90dde2453591e4614c3787dae9b126
Tags
lumma evasion stealer
score
10/10

Table of Contents

Analysis Overview

MITRE ATT&CK

Enterprise Matrix V15

Analysis: static1

Detonation Overview

Signatures

Analysis: behavioral1

Detonation Overview

Command Line

Signatures

Processes

Network

Files

Analysis: behavioral2

Detonation Overview

Command Line

Signatures

Processes

Network

Files

Analysis Overview

score
10/10

SHA256

f007989340d051c2715bedb1bd5d4736cd90dde2453591e4614c3787dae9b126

Threat Level: Known bad

The file ade99c01a1e92f6dc5c4a4bfec9649e3 was found to be: Known bad.

Malicious Activity Summary

lumma evasion stealer

Lumma Stealer

Modifies security service

Detect Lumma Stealer payload V4

Loads dropped DLL

Executes dropped EXE

Drops file in System32 directory

Unsigned PE

Suspicious use of WriteProcessMemory

Runs .reg file with regedit

MITRE ATT&CK

Analysis: static1

Detonation Overview

Reported

2024-02-29 06:31

Signatures

Unsigned PE

Description Indicator Process Target
N/A N/A N/A N/A

Analysis: behavioral1

Detonation Overview

Submitted

2024-02-29 06:31

Reported

2024-02-29 06:34

Platform

win7-20240221-en

Max time kernel

149s

Max time network

121s

Command Line

"C:\Users\Admin\AppData\Local\Temp\ade99c01a1e92f6dc5c4a4bfec9649e3.exe"

Signatures

Detect Lumma Stealer payload V4

Description Indicator Process Target
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A

Lumma Stealer

stealer lumma

Modifies security service

evasion
Description Indicator Process Target
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wuauserv\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wuauserv\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wuauserv\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wuauserv\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wuauserv\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wuauserv\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wuauserv\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wuauserv\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wuauserv\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wscsvc\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wuauserv\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wuauserv\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wuauserv\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wscsvc\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wuauserv\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wuauserv\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wscsvc\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wscsvc\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wscsvc\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wuauserv\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wuauserv\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wuauserv\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wscsvc\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wuauserv\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wuauserv\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wscsvc\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wscsvc\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wuauserv\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wuauserv\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wuauserv\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wuauserv\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wuauserv\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wuauserv\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wscsvc\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wuauserv\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wscsvc\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wscsvc\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wuauserv\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wscsvc\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wscsvc\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wscsvc\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wuauserv\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wscsvc\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wuauserv\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wscsvc\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wuauserv\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wuauserv\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wscsvc\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wscsvc\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wuauserv\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wscsvc\Start = "4" C:\Windows\SysWOW64\cmd.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wuauserv\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wscsvc\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wuauserv\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wuauserv\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wscsvc\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wscsvc\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wscsvc\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wscsvc\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wuauserv\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wuauserv\Start = "4" C:\Windows\SysWOW64\hisijn.com N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wscsvc\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wscsvc\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\wscsvc\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A

Executes dropped EXE

Description Indicator Process Target
N/A N/A C:\Windows\SysWOW64\juuezf.com N/A
N/A N/A C:\Windows\SysWOW64\bikjjg.com N/A
N/A N/A C:\Windows\SysWOW64\ognesg.com N/A
N/A N/A C:\Windows\SysWOW64\yjcofk.com N/A
N/A N/A C:\Windows\SysWOW64\lhxros.com N/A
N/A N/A C:\Windows\SysWOW64\yystes.com N/A
N/A N/A C:\Windows\SysWOW64\lovwna.com N/A
N/A N/A C:\Windows\SysWOW64\siubcu.com N/A
N/A N/A C:\Windows\SysWOW64\hbqwlq.com N/A
N/A N/A C:\Windows\SysWOW64\uslzuq.com N/A
N/A N/A C:\Windows\SysWOW64\hiobdy.com N/A
N/A N/A C:\Windows\SysWOW64\rpszvx.com N/A
N/A N/A C:\Windows\SysWOW64\bshjia.com N/A
N/A N/A C:\Windows\SysWOW64\ofzzoe.com N/A
N/A N/A C:\Windows\SysWOW64\ypojjz.com N/A
N/A N/A C:\Windows\SysWOW64\lcgzpd.com N/A
N/A N/A C:\Windows\SysWOW64\vqhwfk.com N/A
N/A N/A C:\Windows\SysWOW64\ihbros.com N/A
N/A N/A C:\Windows\SysWOW64\vulpuo.com N/A
N/A N/A C:\Windows\SysWOW64\feizpr.com N/A
N/A N/A C:\Windows\SysWOW64\phyccu.com N/A
N/A N/A C:\Windows\SysWOW64\cuhziy.com N/A
N/A N/A C:\Windows\SysWOW64\ptkcqg.com N/A
N/A N/A C:\Windows\SysWOW64\zvzmmb.com N/A
N/A N/A C:\Windows\SysWOW64\jgppzf.com N/A
N/A N/A C:\Windows\SysWOW64\wwkshn.com N/A
N/A N/A C:\Windows\SysWOW64\jjbpnr.com N/A
N/A N/A C:\Windows\SysWOW64\tqfnyp.com N/A
N/A N/A C:\Windows\SysWOW64\dtdxts.com N/A
N/A N/A C:\Windows\SysWOW64\qrxabt.com N/A
N/A N/A C:\Windows\SysWOW64\auncpw.com N/A
N/A N/A C:\Windows\SysWOW64\mwtsai.com N/A
N/A N/A C:\Windows\SysWOW64\zjkige.com N/A
N/A N/A C:\Windows\SysWOW64\jmasbh.com N/A
N/A N/A C:\Windows\SysWOW64\woginu.com N/A
N/A N/A C:\Windows\SysWOW64\jbpxsy.com N/A
N/A N/A C:\Windows\SysWOW64\lacvdw.com N/A
N/A N/A C:\Windows\SysWOW64\ycikwb.com N/A
N/A N/A C:\Windows\SysWOW64\lscnfj.com N/A
N/A N/A C:\Windows\SysWOW64\vdsxsm.com N/A
N/A N/A C:\Windows\SysWOW64\iqjnyq.com N/A
N/A N/A C:\Windows\SysWOW64\sazyll.com N/A
N/A N/A C:\Windows\SysWOW64\frcact.com N/A
N/A N/A C:\Windows\SysWOW64\shwdkb.com N/A
N/A N/A C:\Windows\SysWOW64\bvxsaj.com N/A
N/A N/A C:\Windows\SysWOW64\lvbqli.com N/A
N/A N/A C:\Windows\SysWOW64\ytesti.com N/A
N/A N/A C:\Windows\SysWOW64\lvkinu.com N/A
N/A N/A C:\Windows\SysWOW64\ymflvu.com N/A
N/A N/A C:\Windows\SysWOW64\lzoaby.com N/A
N/A N/A C:\Windows\SysWOW64\vjmlob.com N/A
N/A N/A C:\Windows\SysWOW64\iahoxk.com N/A
N/A N/A C:\Windows\SysWOW64\scwysn.com N/A
N/A N/A C:\Windows\SysWOW64\fbrbbn.com N/A
N/A N/A C:\Windows\SysWOW64\pdoloq.com N/A
N/A N/A C:\Windows\SysWOW64\ccjoxy.com N/A
N/A N/A C:\Windows\SysWOW64\ppadcc.com N/A
N/A N/A C:\Windows\SysWOW64\ydtbab.com N/A
N/A N/A C:\Windows\SysWOW64\lqlrgf.com N/A
N/A N/A C:\Windows\SysWOW64\ygftpn.com N/A
N/A N/A C:\Windows\SysWOW64\jnsrzm.com N/A
N/A N/A C:\Windows\SysWOW64\vhyylr.com N/A
N/A N/A C:\Windows\SysWOW64\fsnjgu.com N/A
N/A N/A C:\Windows\SysWOW64\sjiloc.com N/A

Loads dropped DLL

Description Indicator Process Target
N/A N/A C:\Users\Admin\AppData\Local\Temp\ade99c01a1e92f6dc5c4a4bfec9649e3.exe N/A
N/A N/A C:\Users\Admin\AppData\Local\Temp\ade99c01a1e92f6dc5c4a4bfec9649e3.exe N/A
N/A N/A C:\Windows\SysWOW64\juuezf.com N/A
N/A N/A C:\Windows\SysWOW64\juuezf.com N/A
N/A N/A C:\Windows\SysWOW64\bikjjg.com N/A
N/A N/A C:\Windows\SysWOW64\bikjjg.com N/A
N/A N/A C:\Windows\SysWOW64\ognesg.com N/A
N/A N/A C:\Windows\SysWOW64\ognesg.com N/A
N/A N/A C:\Windows\SysWOW64\yjcofk.com N/A
N/A N/A C:\Windows\SysWOW64\yjcofk.com N/A
N/A N/A C:\Windows\SysWOW64\lhxros.com N/A
N/A N/A C:\Windows\SysWOW64\lhxros.com N/A
N/A N/A C:\Windows\SysWOW64\yystes.com N/A
N/A N/A C:\Windows\SysWOW64\yystes.com N/A
N/A N/A C:\Windows\SysWOW64\lovwna.com N/A
N/A N/A C:\Windows\SysWOW64\lovwna.com N/A
N/A N/A C:\Windows\SysWOW64\siubcu.com N/A
N/A N/A C:\Windows\SysWOW64\siubcu.com N/A
N/A N/A C:\Windows\SysWOW64\hbqwlq.com N/A
N/A N/A C:\Windows\SysWOW64\hbqwlq.com N/A
N/A N/A C:\Windows\SysWOW64\uslzuq.com N/A
N/A N/A C:\Windows\SysWOW64\uslzuq.com N/A
N/A N/A C:\Windows\SysWOW64\hiobdy.com N/A
N/A N/A C:\Windows\SysWOW64\hiobdy.com N/A
N/A N/A C:\Windows\SysWOW64\rpszvx.com N/A
N/A N/A C:\Windows\SysWOW64\rpszvx.com N/A
N/A N/A C:\Windows\SysWOW64\bshjia.com N/A
N/A N/A C:\Windows\SysWOW64\bshjia.com N/A
N/A N/A C:\Windows\SysWOW64\ofzzoe.com N/A
N/A N/A C:\Windows\SysWOW64\ofzzoe.com N/A
N/A N/A C:\Windows\SysWOW64\ypojjz.com N/A
N/A N/A C:\Windows\SysWOW64\ypojjz.com N/A
N/A N/A C:\Windows\SysWOW64\lcgzpd.com N/A
N/A N/A C:\Windows\SysWOW64\lcgzpd.com N/A
N/A N/A C:\Windows\SysWOW64\vqhwfk.com N/A
N/A N/A C:\Windows\SysWOW64\vqhwfk.com N/A
N/A N/A C:\Windows\SysWOW64\ihbros.com N/A
N/A N/A C:\Windows\SysWOW64\ihbros.com N/A
N/A N/A C:\Windows\SysWOW64\vulpuo.com N/A
N/A N/A C:\Windows\SysWOW64\vulpuo.com N/A
N/A N/A C:\Windows\SysWOW64\feizpr.com N/A
N/A N/A C:\Windows\SysWOW64\feizpr.com N/A
N/A N/A C:\Windows\SysWOW64\phyccu.com N/A
N/A N/A C:\Windows\SysWOW64\phyccu.com N/A
N/A N/A C:\Windows\SysWOW64\cuhziy.com N/A
N/A N/A C:\Windows\SysWOW64\cuhziy.com N/A
N/A N/A C:\Windows\SysWOW64\ptkcqg.com N/A
N/A N/A C:\Windows\SysWOW64\ptkcqg.com N/A
N/A N/A C:\Windows\SysWOW64\zvzmmb.com N/A
N/A N/A C:\Windows\SysWOW64\zvzmmb.com N/A
N/A N/A C:\Windows\SysWOW64\jgppzf.com N/A
N/A N/A C:\Windows\SysWOW64\jgppzf.com N/A
N/A N/A C:\Windows\SysWOW64\wwkshn.com N/A
N/A N/A C:\Windows\SysWOW64\wwkshn.com N/A
N/A N/A C:\Windows\SysWOW64\jjbpnr.com N/A
N/A N/A C:\Windows\SysWOW64\jjbpnr.com N/A
N/A N/A C:\Windows\SysWOW64\tqfnyp.com N/A
N/A N/A C:\Windows\SysWOW64\tqfnyp.com N/A
N/A N/A C:\Windows\SysWOW64\dtdxts.com N/A
N/A N/A C:\Windows\SysWOW64\dtdxts.com N/A
N/A N/A C:\Windows\SysWOW64\qrxabt.com N/A
N/A N/A C:\Windows\SysWOW64\qrxabt.com N/A
N/A N/A C:\Windows\SysWOW64\auncpw.com N/A
N/A N/A C:\Windows\SysWOW64\auncpw.com N/A

Drops file in System32 directory

Description Indicator Process Target
File opened for modification C:\Windows\SysWOW64\enpobc.com C:\Windows\SysWOW64\ofdgvl.com N/A
File created C:\Windows\SysWOW64\jbaedj.com C:\Windows\SysWOW64\wkfcuj.com N/A
File created \??\c:\windows\SysWOW64\sm1.bat C:\Windows\SysWOW64\zebatn.com N/A
File opened for modification C:\Windows\SysWOW64\ztyfkv.com C:\Windows\SysWOW64\muddbv.com N/A
File created \??\c:\windows\SysWOW64\sm1.bat C:\Windows\SysWOW64\ihzdid.com N/A
File created C:\Windows\SysWOW64\yyhdoo.com C:\Windows\SysWOW64\linafg.com N/A
File created C:\Windows\SysWOW64\ftefwh.com N/A N/A
File created \??\c:\windows\SysWOW64\sm1.bat N/A N/A
File created C:\Windows\SysWOW64\fpskja.com N/A N/A
File opened for modification C:\Windows\SysWOW64\woginu.com C:\Windows\SysWOW64\jmasbh.com N/A
File opened for modification C:\Windows\SysWOW64\pxmyqe.com C:\Windows\SysWOW64\drcwun.com N/A
File created \??\c:\windows\SysWOW64\sm1.bat C:\Windows\SysWOW64\mdeiew.com N/A
File created C:\Windows\SysWOW64\cuhziy.com C:\Windows\SysWOW64\phyccu.com N/A
File created C:\Windows\SysWOW64\jbpxsy.com C:\Windows\SysWOW64\woginu.com N/A
File opened for modification C:\Windows\SysWOW64\icjknu.com C:\Windows\SysWOW64\ydfnvw.com N/A
File created \??\c:\windows\SysWOW64\sm1.bat C:\Windows\SysWOW64\umfwhf.com N/A
File created C:\Windows\SysWOW64\fauxfp.com C:\Windows\SysWOW64\vyfmsm.com N/A
File opened for modification C:\Windows\SysWOW64\memscq.com C:\Windows\SysWOW64\zojpti.com N/A
File opened for modification C:\Windows\SysWOW64\qnpqev.com C:\Windows\SysWOW64\olafjs.com N/A
File opened for modification C:\Windows\SysWOW64\yidtac.com N/A N/A
File opened for modification C:\Windows\SysWOW64\yrxyir.com N/A N/A
File opened for modification C:\Windows\SysWOW64\lhxros.com C:\Windows\SysWOW64\yjcofk.com N/A
File opened for modification C:\Windows\SysWOW64\ajjsft.com C:\Windows\SysWOW64\ohdcto.com N/A
File created \??\c:\windows\SysWOW64\sm1.bat C:\Windows\SysWOW64\zojpti.com N/A
File created C:\Windows\SysWOW64\ocmfyw.com C:\Windows\SysWOW64\esxvlt.com N/A
File opened for modification C:\Windows\SysWOW64\mclueq.com C:\Windows\SysWOW64\czwkrn.com N/A
File created \??\c:\windows\SysWOW64\sm1.bat C:\Windows\SysWOW64\xkjdld.com N/A
File created \??\c:\windows\SysWOW64\sm1.bat N/A N/A
File created C:\Windows\SysWOW64\auncpw.com C:\Windows\SysWOW64\qrxabt.com N/A
File created \??\c:\windows\SysWOW64\sm1.bat C:\Windows\SysWOW64\uiklrh.com N/A
File opened for modification C:\Windows\SysWOW64\zffxzp.com C:\Windows\SysWOW64\ndzink.com N/A
File opened for modification C:\Windows\SysWOW64\dmksnv.com C:\Windows\SysWOW64\qnpqev.com N/A
File opened for modification C:\Windows\SysWOW64\scqdba.com C:\Windows\SysWOW64\idmfqb.com N/A
File opened for modification C:\Windows\SysWOW64\paouxu.com N/A N/A
File created C:\Windows\SysWOW64\hbqwlq.com C:\Windows\SysWOW64\siubcu.com N/A
File created \??\c:\windows\SysWOW64\sm1.bat C:\Windows\SysWOW64\zendjo.com N/A
File created \??\c:\windows\SysWOW64\sm1.bat C:\Windows\SysWOW64\kdzuch.com N/A
File created \??\c:\windows\SysWOW64\sm1.bat N/A N/A
File opened for modification C:\Windows\SysWOW64\ngcalz.com N/A N/A
File opened for modification C:\Windows\SysWOW64\dmzcwj.com N/A N/A
File opened for modification C:\Windows\SysWOW64\bljiez.com C:\Windows\SysWOW64\ovgfwr.com N/A
File opened for modification C:\Windows\SysWOW64\zficyz.com C:\Windows\SysWOW64\pgeega.com N/A
File opened for modification C:\Windows\SysWOW64\jpmvtq.com N/A N/A
File created \??\c:\windows\SysWOW64\sm1.bat N/A N/A
File opened for modification C:\Windows\SysWOW64\uxqktu.com C:\Windows\SysWOW64\hyvikl.com N/A
File created \??\c:\windows\SysWOW64\sm1.bat C:\Windows\SysWOW64\uxqktu.com N/A
File opened for modification C:\Windows\SysWOW64\pgzssu.com C:\Windows\SysWOW64\gsyvcn.com N/A
File created \??\c:\windows\SysWOW64\sm1.bat C:\Windows\SysWOW64\wvwnpx.com N/A
File opened for modification C:\Windows\SysWOW64\btfjkn.com N/A N/A
File created C:\Windows\SysWOW64\lovwna.com C:\Windows\SysWOW64\yystes.com N/A
File created \??\c:\windows\SysWOW64\sm1.bat C:\Windows\SysWOW64\hiobdy.com N/A
File opened for modification C:\Windows\SysWOW64\csquel.com C:\Windows\SysWOW64\sexxge.com N/A
File created C:\Windows\SysWOW64\adscte.com N/A N/A
File created \??\c:\windows\SysWOW64\sm1.bat N/A N/A
File opened for modification C:\Windows\SysWOW64\vncsju.com C:\Windows\SysWOW64\fauxfp.com N/A
File created C:\Windows\SysWOW64\pakgsa.com C:\Windows\SysWOW64\fagjib.com N/A
File created C:\Windows\SysWOW64\nerhyz.com C:\Windows\SysWOW64\agxeqr.com N/A
File opened for modification C:\Windows\SysWOW64\zfzrih.com N/A N/A
File opened for modification C:\Windows\SysWOW64\fpskja.com N/A N/A
File created C:\Windows\SysWOW64\sazyll.com C:\Windows\SysWOW64\iqjnyq.com N/A
File opened for modification C:\Windows\SysWOW64\aptoew.com C:\Windows\SysWOW64\njklpn.com N/A
File opened for modification C:\Windows\SysWOW64\ybvhya.com C:\Windows\SysWOW64\oguxqf.com N/A
File created C:\Windows\SysWOW64\nensak.com C:\Windows\SysWOW64\aosxrk.com N/A
File opened for modification C:\Windows\SysWOW64\ijapcr.com N/A N/A

Runs .reg file with regedit

Description Indicator Process Target
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A N/A N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A N/A N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A N/A N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A N/A N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A N/A N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A N/A N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A N/A N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A N/A N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A N/A N/A

Suspicious use of WriteProcessMemory

Description Indicator Process Target
PID 1756 wrote to memory of 1264 N/A C:\Users\Admin\AppData\Local\Temp\ade99c01a1e92f6dc5c4a4bfec9649e3.exe C:\Windows\SysWOW64\cmd.exe
PID 1756 wrote to memory of 1264 N/A C:\Users\Admin\AppData\Local\Temp\ade99c01a1e92f6dc5c4a4bfec9649e3.exe C:\Windows\SysWOW64\cmd.exe
PID 1756 wrote to memory of 1264 N/A C:\Users\Admin\AppData\Local\Temp\ade99c01a1e92f6dc5c4a4bfec9649e3.exe C:\Windows\SysWOW64\cmd.exe
PID 1756 wrote to memory of 1264 N/A C:\Users\Admin\AppData\Local\Temp\ade99c01a1e92f6dc5c4a4bfec9649e3.exe C:\Windows\SysWOW64\cmd.exe
PID 1264 wrote to memory of 2636 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\regedit.exe
PID 1264 wrote to memory of 2636 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\regedit.exe
PID 1264 wrote to memory of 2636 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\regedit.exe
PID 1264 wrote to memory of 2636 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\regedit.exe
PID 1756 wrote to memory of 2860 N/A C:\Users\Admin\AppData\Local\Temp\ade99c01a1e92f6dc5c4a4bfec9649e3.exe C:\Windows\SysWOW64\juuezf.com
PID 1756 wrote to memory of 2860 N/A C:\Users\Admin\AppData\Local\Temp\ade99c01a1e92f6dc5c4a4bfec9649e3.exe C:\Windows\SysWOW64\juuezf.com
PID 1756 wrote to memory of 2860 N/A C:\Users\Admin\AppData\Local\Temp\ade99c01a1e92f6dc5c4a4bfec9649e3.exe C:\Windows\SysWOW64\juuezf.com
PID 1756 wrote to memory of 2860 N/A C:\Users\Admin\AppData\Local\Temp\ade99c01a1e92f6dc5c4a4bfec9649e3.exe C:\Windows\SysWOW64\juuezf.com
PID 2860 wrote to memory of 1396 N/A C:\Windows\SysWOW64\juuezf.com C:\Windows\SysWOW64\cmd.exe
PID 2860 wrote to memory of 1396 N/A C:\Windows\SysWOW64\juuezf.com C:\Windows\SysWOW64\cmd.exe
PID 2860 wrote to memory of 1396 N/A C:\Windows\SysWOW64\juuezf.com C:\Windows\SysWOW64\cmd.exe
PID 2860 wrote to memory of 1396 N/A C:\Windows\SysWOW64\juuezf.com C:\Windows\SysWOW64\cmd.exe
PID 1396 wrote to memory of 784 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\regedit.exe
PID 1396 wrote to memory of 784 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\regedit.exe
PID 1396 wrote to memory of 784 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\regedit.exe
PID 1396 wrote to memory of 784 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\regedit.exe
PID 2860 wrote to memory of 1492 N/A C:\Windows\SysWOW64\juuezf.com C:\Windows\SysWOW64\bikjjg.com
PID 2860 wrote to memory of 1492 N/A C:\Windows\SysWOW64\juuezf.com C:\Windows\SysWOW64\bikjjg.com
PID 2860 wrote to memory of 1492 N/A C:\Windows\SysWOW64\juuezf.com C:\Windows\SysWOW64\bikjjg.com
PID 2860 wrote to memory of 1492 N/A C:\Windows\SysWOW64\juuezf.com C:\Windows\SysWOW64\bikjjg.com
PID 1492 wrote to memory of 1836 N/A C:\Windows\SysWOW64\bikjjg.com C:\Windows\SysWOW64\ognesg.com
PID 1492 wrote to memory of 1836 N/A C:\Windows\SysWOW64\bikjjg.com C:\Windows\SysWOW64\ognesg.com
PID 1492 wrote to memory of 1836 N/A C:\Windows\SysWOW64\bikjjg.com C:\Windows\SysWOW64\ognesg.com
PID 1492 wrote to memory of 1836 N/A C:\Windows\SysWOW64\bikjjg.com C:\Windows\SysWOW64\ognesg.com
PID 1836 wrote to memory of 1404 N/A C:\Windows\SysWOW64\ognesg.com C:\Windows\SysWOW64\yjcofk.com
PID 1836 wrote to memory of 1404 N/A C:\Windows\SysWOW64\ognesg.com C:\Windows\SysWOW64\yjcofk.com
PID 1836 wrote to memory of 1404 N/A C:\Windows\SysWOW64\ognesg.com C:\Windows\SysWOW64\yjcofk.com
PID 1836 wrote to memory of 1404 N/A C:\Windows\SysWOW64\ognesg.com C:\Windows\SysWOW64\yjcofk.com
PID 1404 wrote to memory of 976 N/A C:\Windows\SysWOW64\yjcofk.com C:\Windows\SysWOW64\lhxros.com
PID 1404 wrote to memory of 976 N/A C:\Windows\SysWOW64\yjcofk.com C:\Windows\SysWOW64\lhxros.com
PID 1404 wrote to memory of 976 N/A C:\Windows\SysWOW64\yjcofk.com C:\Windows\SysWOW64\lhxros.com
PID 1404 wrote to memory of 976 N/A C:\Windows\SysWOW64\yjcofk.com C:\Windows\SysWOW64\lhxros.com
PID 976 wrote to memory of 2120 N/A C:\Windows\SysWOW64\lhxros.com C:\Windows\SysWOW64\yystes.com
PID 976 wrote to memory of 2120 N/A C:\Windows\SysWOW64\lhxros.com C:\Windows\SysWOW64\yystes.com
PID 976 wrote to memory of 2120 N/A C:\Windows\SysWOW64\lhxros.com C:\Windows\SysWOW64\yystes.com
PID 976 wrote to memory of 2120 N/A C:\Windows\SysWOW64\lhxros.com C:\Windows\SysWOW64\yystes.com
PID 2120 wrote to memory of 1752 N/A C:\Windows\SysWOW64\yystes.com C:\Windows\SysWOW64\cmd.exe
PID 2120 wrote to memory of 1752 N/A C:\Windows\SysWOW64\yystes.com C:\Windows\SysWOW64\cmd.exe
PID 2120 wrote to memory of 1752 N/A C:\Windows\SysWOW64\yystes.com C:\Windows\SysWOW64\cmd.exe
PID 2120 wrote to memory of 1752 N/A C:\Windows\SysWOW64\yystes.com C:\Windows\SysWOW64\cmd.exe
PID 1752 wrote to memory of 2524 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\regedit.exe
PID 1752 wrote to memory of 2524 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\regedit.exe
PID 1752 wrote to memory of 2524 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\regedit.exe
PID 1752 wrote to memory of 2524 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\regedit.exe
PID 2120 wrote to memory of 2392 N/A C:\Windows\SysWOW64\yystes.com C:\Windows\SysWOW64\lovwna.com
PID 2120 wrote to memory of 2392 N/A C:\Windows\SysWOW64\yystes.com C:\Windows\SysWOW64\lovwna.com
PID 2120 wrote to memory of 2392 N/A C:\Windows\SysWOW64\yystes.com C:\Windows\SysWOW64\lovwna.com
PID 2120 wrote to memory of 2392 N/A C:\Windows\SysWOW64\yystes.com C:\Windows\SysWOW64\lovwna.com
PID 2392 wrote to memory of 2676 N/A C:\Windows\SysWOW64\lovwna.com C:\Windows\SysWOW64\cmd.exe
PID 2392 wrote to memory of 2676 N/A C:\Windows\SysWOW64\lovwna.com C:\Windows\SysWOW64\cmd.exe
PID 2392 wrote to memory of 2676 N/A C:\Windows\SysWOW64\lovwna.com C:\Windows\SysWOW64\cmd.exe
PID 2392 wrote to memory of 2676 N/A C:\Windows\SysWOW64\lovwna.com C:\Windows\SysWOW64\cmd.exe
PID 2676 wrote to memory of 536 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\regedit.exe
PID 2676 wrote to memory of 536 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\regedit.exe
PID 2676 wrote to memory of 536 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\regedit.exe
PID 2676 wrote to memory of 536 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\regedit.exe
PID 2392 wrote to memory of 1728 N/A C:\Windows\SysWOW64\lovwna.com C:\Windows\SysWOW64\siubcu.com
PID 2392 wrote to memory of 1728 N/A C:\Windows\SysWOW64\lovwna.com C:\Windows\SysWOW64\siubcu.com
PID 2392 wrote to memory of 1728 N/A C:\Windows\SysWOW64\lovwna.com C:\Windows\SysWOW64\siubcu.com
PID 2392 wrote to memory of 1728 N/A C:\Windows\SysWOW64\lovwna.com C:\Windows\SysWOW64\siubcu.com

Processes

C:\Users\Admin\AppData\Local\Temp\ade99c01a1e92f6dc5c4a4bfec9649e3.exe

"C:\Users\Admin\AppData\Local\Temp\ade99c01a1e92f6dc5c4a4bfec9649e3.exe"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\juuezf.com

C:\Windows\system32\juuezf.com 504 "C:\Users\Admin\AppData\Local\Temp\ade99c01a1e92f6dc5c4a4bfec9649e3.exe"

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\bikjjg.com

C:\Windows\system32\bikjjg.com 540 "C:\Windows\SysWOW64\juuezf.com"

C:\Windows\SysWOW64\ognesg.com

C:\Windows\system32\ognesg.com 532 "C:\Windows\SysWOW64\bikjjg.com"

C:\Windows\SysWOW64\yjcofk.com

C:\Windows\system32\yjcofk.com 536 "C:\Windows\SysWOW64\ognesg.com"

C:\Windows\SysWOW64\lhxros.com

C:\Windows\system32\lhxros.com 552 "C:\Windows\SysWOW64\yjcofk.com"

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\yystes.com

C:\Windows\system32\yystes.com 544 "C:\Windows\SysWOW64\lhxros.com"

C:\Windows\SysWOW64\lovwna.com

C:\Windows\system32\lovwna.com 560 "C:\Windows\SysWOW64\yystes.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\siubcu.com

C:\Windows\system32\siubcu.com 564 "C:\Windows\SysWOW64\lovwna.com"

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\hbqwlq.com

C:\Windows\system32\hbqwlq.com 568 "C:\Windows\SysWOW64\siubcu.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\uslzuq.com

C:\Windows\system32\uslzuq.com 572 "C:\Windows\SysWOW64\hbqwlq.com"

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\hiobdy.com

C:\Windows\system32\hiobdy.com 576 "C:\Windows\SysWOW64\uslzuq.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\rpszvx.com

C:\Windows\system32\rpszvx.com 580 "C:\Windows\SysWOW64\hiobdy.com"

C:\Windows\SysWOW64\bshjia.com

C:\Windows\system32\bshjia.com 584 "C:\Windows\SysWOW64\rpszvx.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ofzzoe.com

C:\Windows\system32\ofzzoe.com 588 "C:\Windows\SysWOW64\bshjia.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ypojjz.com

C:\Windows\system32\ypojjz.com 548 "C:\Windows\SysWOW64\ofzzoe.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\lcgzpd.com

C:\Windows\system32\lcgzpd.com 596 "C:\Windows\SysWOW64\ypojjz.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\vqhwfk.com

C:\Windows\system32\vqhwfk.com 600 "C:\Windows\SysWOW64\lcgzpd.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ihbros.com

C:\Windows\system32\ihbros.com 604 "C:\Windows\SysWOW64\vqhwfk.com"

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\vulpuo.com

C:\Windows\system32\vulpuo.com 608 "C:\Windows\SysWOW64\ihbros.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\feizpr.com

C:\Windows\system32\feizpr.com 612 "C:\Windows\SysWOW64\vulpuo.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\phyccu.com

C:\Windows\system32\phyccu.com 616 "C:\Windows\SysWOW64\feizpr.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cuhziy.com

C:\Windows\system32\cuhziy.com 620 "C:\Windows\SysWOW64\phyccu.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ptkcqg.com

C:\Windows\system32\ptkcqg.com 624 "C:\Windows\SysWOW64\cuhziy.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\zvzmmb.com

C:\Windows\system32\zvzmmb.com 628 "C:\Windows\SysWOW64\ptkcqg.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\jgppzf.com

C:\Windows\system32\jgppzf.com 632 "C:\Windows\SysWOW64\zvzmmb.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\wwkshn.com

C:\Windows\system32\wwkshn.com 636 "C:\Windows\SysWOW64\jgppzf.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\jjbpnr.com

C:\Windows\system32\jjbpnr.com 644 "C:\Windows\SysWOW64\wwkshn.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\tqfnyp.com

C:\Windows\system32\tqfnyp.com 640 "C:\Windows\SysWOW64\jjbpnr.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\dtdxts.com

C:\Windows\system32\dtdxts.com 652 "C:\Windows\SysWOW64\tqfnyp.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\qrxabt.com

C:\Windows\system32\qrxabt.com 648 "C:\Windows\SysWOW64\dtdxts.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\auncpw.com

C:\Windows\system32\auncpw.com 656 "C:\Windows\SysWOW64\qrxabt.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\mwtsai.com

C:\Windows\system32\mwtsai.com 660 "C:\Windows\SysWOW64\auncpw.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\zjkige.com

C:\Windows\system32\zjkige.com 664 "C:\Windows\SysWOW64\mwtsai.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\jmasbh.com

C:\Windows\system32\jmasbh.com 672 "C:\Windows\SysWOW64\zjkige.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\woginu.com

C:\Windows\system32\woginu.com 668 "C:\Windows\SysWOW64\jmasbh.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\jbpxsy.com

C:\Windows\system32\jbpxsy.com 676 "C:\Windows\SysWOW64\woginu.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\lacvdw.com

C:\Windows\system32\lacvdw.com 688 "C:\Windows\SysWOW64\jbpxsy.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ycikwb.com

C:\Windows\system32\ycikwb.com 680 "C:\Windows\SysWOW64\lacvdw.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\lscnfj.com

C:\Windows\system32\lscnfj.com 684 "C:\Windows\SysWOW64\ycikwb.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\vdsxsm.com

C:\Windows\system32\vdsxsm.com 696 "C:\Windows\SysWOW64\lscnfj.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\iqjnyq.com

C:\Windows\system32\iqjnyq.com 692 "C:\Windows\SysWOW64\vdsxsm.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\sazyll.com

C:\Windows\system32\sazyll.com 704 "C:\Windows\SysWOW64\iqjnyq.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\frcact.com

C:\Windows\system32\frcact.com 700 "C:\Windows\SysWOW64\sazyll.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\shwdkb.com

C:\Windows\system32\shwdkb.com 712 "C:\Windows\SysWOW64\frcact.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\bvxsaj.com

C:\Windows\system32\bvxsaj.com 708 "C:\Windows\SysWOW64\shwdkb.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\lvbqli.com

C:\Windows\system32\lvbqli.com 716 "C:\Windows\SysWOW64\bvxsaj.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ytesti.com

C:\Windows\system32\ytesti.com 720 "C:\Windows\SysWOW64\lvbqli.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\lvkinu.com

C:\Windows\system32\lvkinu.com 724 "C:\Windows\SysWOW64\ytesti.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ymflvu.com

C:\Windows\system32\ymflvu.com 728 "C:\Windows\SysWOW64\lvkinu.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\lzoaby.com

C:\Windows\system32\lzoaby.com 732 "C:\Windows\SysWOW64\ymflvu.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\vjmlob.com

C:\Windows\system32\vjmlob.com 736 "C:\Windows\SysWOW64\lzoaby.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\iahoxk.com

C:\Windows\system32\iahoxk.com 740 "C:\Windows\SysWOW64\vjmlob.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\scwysn.com

C:\Windows\system32\scwysn.com 748 "C:\Windows\SysWOW64\iahoxk.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\fbrbbn.com

C:\Windows\system32\fbrbbn.com 752 "C:\Windows\SysWOW64\scwysn.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\pdoloq.com

C:\Windows\system32\pdoloq.com 744 "C:\Windows\SysWOW64\fbrbbn.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ccjoxy.com

C:\Windows\system32\ccjoxy.com 756 "C:\Windows\SysWOW64\pdoloq.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ppadcc.com

C:\Windows\system32\ppadcc.com 760 "C:\Windows\SysWOW64\ccjoxy.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ydtbab.com

C:\Windows\system32\ydtbab.com 772 "C:\Windows\SysWOW64\ppadcc.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\lqlrgf.com

C:\Windows\system32\lqlrgf.com 764 "C:\Windows\SysWOW64\ydtbab.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ygftpn.com

C:\Windows\system32\ygftpn.com 768 "C:\Windows\SysWOW64\lqlrgf.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\jnsrzm.com

C:\Windows\system32\jnsrzm.com 776 "C:\Windows\SysWOW64\ygftpn.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\vhyylr.com

C:\Windows\system32\vhyylr.com 780 "C:\Windows\SysWOW64\jnsrzm.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\fsnjgu.com

C:\Windows\system32\fsnjgu.com 784 "C:\Windows\SysWOW64\vhyylr.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\sjiloc.com

C:\Windows\system32\sjiloc.com 788 "C:\Windows\SysWOW64\fsnjgu.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ciujzb.com

C:\Windows\system32\ciujzb.com 792 "C:\Windows\SysWOW64\sjiloc.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\pgplij.com

C:\Windows\system32\pgplij.com 796 "C:\Windows\SysWOW64\ciujzb.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\zjewde.com

C:\Windows\system32\zjewde.com 800 "C:\Windows\SysWOW64\pgplij.com"

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\mlkmoq.com

C:\Windows\system32\mlkmoq.com 804 "C:\Windows\SysWOW64\zjewde.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\zycbuu.com

C:\Windows\system32\zycbuu.com 808 "C:\Windows\SysWOW64\mlkmoq.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\jirmhx.com

C:\Windows\system32\jirmhx.com 812 "C:\Windows\SysWOW64\zycbuu.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\teswxs.com

C:\Windows\system32\teswxs.com 816 "C:\Windows\SysWOW64\jirmhx.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\dhhgkv.com

C:\Windows\system32\dhhgkv.com 820 "C:\Windows\SysWOW64\teswxs.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\qxcjtv.com

C:\Windows\system32\qxcjtv.com 824 "C:\Windows\SysWOW64\dhhgkv.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\dvfmbd.com

C:\Windows\system32\dvfmbd.com 832 "C:\Windows\SysWOW64\qxcjtv.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\qmapkm.com

C:\Windows\system32\qmapkm.com 828 "C:\Windows\SysWOW64\dvfmbd.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\zaamil.com

C:\Windows\system32\zaamil.com 836 "C:\Windows\SysWOW64\qmapkm.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\mrvpqt.com

C:\Windows\system32\mrvpqt.com 848 "C:\Windows\SysWOW64\zaamil.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\zpqrzb.com

C:\Windows\system32\zpqrzb.com 840 "C:\Windows\SysWOW64\mrvpqt.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\mgtuib.com

C:\Windows\system32\mgtuib.com 844 "C:\Windows\SysWOW64\zpqrzb.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\zeoxqk.com

C:\Windows\system32\zeoxqk.com 852 "C:\Windows\SysWOW64\mgtuib.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\mvirzs.com

C:\Windows\system32\mvirzs.com 856 "C:\Windows\SysWOW64\zeoxqk.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\wjjpxz.com

C:\Windows\system32\wjjpxz.com 860 "C:\Windows\SysWOW64\mvirzs.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\izmrgz.com

C:\Windows\system32\izmrgz.com 864 "C:\Windows\SysWOW64\wjjpxz.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\nyhuoi.com

C:\Windows\system32\nyhuoi.com 868 "C:\Windows\SysWOW64\izmrgz.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\vurhyt.com

C:\Windows\system32\vurhyt.com 872 "C:\Windows\SysWOW64\nyhuoi.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\hzicmj.com

C:\Windows\system32\hzicmj.com 876 "C:\Windows\SysWOW64\vurhyt.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\svbmbe.com

C:\Windows\system32\svbmbe.com 492 "C:\Windows\SysWOW64\hzicmj.com"

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\zdxmot.com

C:\Windows\system32\zdxmot.com 496 "C:\Windows\SysWOW64\svbmbe.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\hskfij.com

C:\Windows\system32\hskfij.com 888 "C:\Windows\SysWOW64\zdxmot.com"

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\rrwcsi.com

C:\Windows\system32\rrwcsi.com 892 "C:\Windows\SysWOW64\hskfij.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\eegayl.com

C:\Windows\system32\eegayl.com 896 "C:\Windows\SysWOW64\rrwcsi.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ohdcto.com

C:\Windows\system32\ohdcto.com 900 "C:\Windows\SysWOW64\eegayl.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ajjsft.com

C:\Windows\system32\ajjsft.com 904 "C:\Windows\SysWOW64\ohdcto.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\lfckmv.com

C:\Windows\system32\lfckmv.com 912 "C:\Windows\SysWOW64\ajjsft.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ydfnvw.com

C:\Windows\system32\ydfnvw.com 908 "C:\Windows\SysWOW64\lfckmv.com"

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\icjknu.com

C:\Windows\system32\icjknu.com 916 "C:\Windows\SysWOW64\ydfnvw.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\uiafcl.com

C:\Windows\system32\uiafcl.com 920 "C:\Windows\SysWOW64\icjknu.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\hyvikl.com

C:\Windows\system32\hyvikl.com 932 "C:\Windows\SysWOW64\uiafcl.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\uxqktu.com

C:\Windows\system32\uxqktu.com 924 "C:\Windows\SysWOW64\hyvikl.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ewcids.com

C:\Windows\system32\ewcids.com 928 "C:\Windows\SysWOW64\uxqktu.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ovgfwr.com

C:\Windows\system32\ovgfwr.com 936 "C:\Windows\SysWOW64\ewcids.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\bljiez.com

C:\Windows\system32\bljiez.com 940 "C:\Windows\SysWOW64\ovgfwr.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\orslsi.com

C:\Windows\system32\orslsi.com 944 "C:\Windows\SysWOW64\bljiez.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\lloyjl.com

C:\Windows\system32\lloyjl.com 556 "C:\Windows\SysWOW64\orslsi.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\dzndtm.com

C:\Windows\system32\dzndtm.com 952 "C:\Windows\SysWOW64\lloyjl.com"

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\nyrael.com

C:\Windows\system32\nyrael.com 512 "C:\Windows\SysWOW64\dzndtm.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\xjolzo.com

C:\Windows\system32\xjolzo.com 960 "C:\Windows\SysWOW64\nyrael.com"

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\hisijn.com

C:\Windows\system32\hisijn.com 460 "C:\Windows\SysWOW64\xjolzo.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ofdgvl.com

C:\Windows\system32\ofdgvl.com 472 "C:\Windows\SysWOW64\hufayr.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\hufayr.com

C:\Windows\system32\hufayr.com 468 "C:\Windows\SysWOW64\uvkypj.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\uvkypj.com

C:\Windows\system32\uvkypj.com 464 "C:\Windows\SysWOW64\hisijn.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\enpobc.com

C:\Windows\system32\enpobc.com 980 "C:\Windows\SysWOW64\ofdgvl.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\oxmypx.com

C:\Windows\system32\oxmypx.com 984 "C:\Windows\SysWOW64\enpobc.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\bohbxg.com

C:\Windows\system32\bohbxg.com 988 "C:\Windows\SysWOW64\oxmypx.com"

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\lywltj.com

C:\Windows\system32\lywltj.com 992 "C:\Windows\SysWOW64\bohbxg.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\bdfgpo.com

C:\Windows\system32\bdfgpo.com 996 "C:\Windows\SysWOW64\lywltj.com"

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\iodlmq.com

C:\Windows\system32\iodlmq.com 1000 "C:\Windows\SysWOW64\bdfgpo.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\xhayvd.com

C:\Windows\system32\xhayvd.com 1004 "C:\Windows\SysWOW64\iodlmq.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\hoedgc.com

C:\Windows\system32\hoedgc.com 1008 "C:\Windows\SysWOW64\xhayvd.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\uiklrh.com

C:\Windows\system32\uiklrh.com 1020 "C:\Windows\SysWOW64\hoedgc.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\hvcbfl.com

C:\Windows\system32\hvcbfl.com 1012 "C:\Windows\SysWOW64\uiklrh.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\uxirqx.com

C:\Windows\system32\uxirqx.com 1016 "C:\Windows\SysWOW64\hvcbfl.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ewmobw.com

C:\Windows\system32\ewmobw.com 1028 "C:\Windows\SysWOW64\uxirqx.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\umfwhf.com

C:\Windows\system32\umfwhf.com 1032 "C:\Windows\SysWOW64\ewmobw.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\dagtxn.com

C:\Windows\system32\dagtxn.com 1036 "C:\Windows\SysWOW64\umfwhf.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\qrbogv.com

C:\Windows\system32\qrbogv.com 1040 "C:\Windows\SysWOW64\dagtxn.com"

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\dekmmr.com

C:\Windows\system32\dekmmr.com 1044 "C:\Windows\SysWOW64\qrbogv.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\qgqtfd.com

C:\Windows\system32\qgqtfd.com 1056 "C:\Windows\SysWOW64\dekmmr.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\dwtwol.com

C:\Windows\system32\dwtwol.com 1048 "C:\Windows\SysWOW64\qgqtfd.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\nextyk.com

C:\Windows\system32\nextyk.com 1052 "C:\Windows\SysWOW64\dwtwol.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\pkyrok.com

C:\Windows\system32\pkyrok.com 1068 "C:\Windows\SysWOW64\nextyk.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\citufs.com

C:\Windows\system32\citufs.com 1060 "C:\Windows\SysWOW64\pkyrok.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\pvkjlw.com

C:\Windows\system32\pvkjlw.com 1064 "C:\Windows\SysWOW64\citufs.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\wdgjxl.com

C:\Windows\system32\wdgjxl.com 1072 "C:\Windows\SysWOW64\pvkjlw.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\gfvmso.com

C:\Windows\system32\gfvmso.com 1076 "C:\Windows\SysWOW64\wdgjxl.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\thbbeb.com

C:\Windows\system32\thbbeb.com 1080 "C:\Windows\SysWOW64\gfvmso.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\dgfzos.com

C:\Windows\system32\dgfzos.com 1084 "C:\Windows\SysWOW64\thbbeb.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\qficxa.com

C:\Windows\system32\qficxa.com 1088 "C:\Windows\SysWOW64\dgfzos.com"

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\dssrce.com

C:\Windows\system32\dssrce.com 880 "C:\Windows\SysWOW64\qficxa.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\hmizbo.com

C:\Windows\system32\hmizbo.com 592 "C:\Windows\SysWOW64\dssrce.com"

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\sexxge.com

C:\Windows\system32\sexxge.com 1100 "C:\Windows\SysWOW64\hmizbo.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\csquel.com

C:\Windows\system32\csquel.com 1104 "C:\Windows\SysWOW64\sexxge.com"

C:\Windows\SysWOW64\mormmg.com

C:\Windows\system32\mormmg.com 1108 "C:\Windows\SysWOW64\csquel.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\zemhuo.com

C:\Windows\system32\zemhuo.com 1112 "C:\Windows\SysWOW64\mormmg.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\mvokdw.com

C:\Windows\system32\mvokdw.com 1116 "C:\Windows\SysWOW64\zemhuo.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\wjphbw.com

C:\Windows\system32\wjphbw.com 1120 "C:\Windows\SysWOW64\mvokdw.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\jwzxha.com

C:\Windows\system32\jwzxha.com 1124 "C:\Windows\SysWOW64\wjphbw.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\vyfmsm.com

C:\Windows\system32\vyfmsm.com 1128 "C:\Windows\SysWOW64\jwzxha.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\fauxfp.com

C:\Windows\system32\fauxfp.com 1132 "C:\Windows\SysWOW64\vyfmsm.com"

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\vncsju.com

C:\Windows\system32\vncsju.com 1136 "C:\Windows\SysWOW64\fauxfp.com"

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\ftdhzc.com

C:\Windows\system32\ftdhzc.com 1140 "C:\Windows\SysWOW64\vncsju.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\qltnms.com

C:\Windows\system32\qltnms.com 1144 "C:\Windows\SysWOW64\ftdhzc.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\zztkcz.com

C:\Windows\system32\zztkcz.com 1148 "C:\Windows\SysWOW64\qltnms.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\pdtfgf.com

C:\Windows\system32\pdtfgf.com 1152 "C:\Windows\SysWOW64\zztkcz.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\zojpti.com

C:\Windows\system32\zojpti.com 1156 "C:\Windows\SysWOW64\pdtfgf.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\memscq.com

C:\Windows\system32\memscq.com 1160 "C:\Windows\SysWOW64\zojpti.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\wpbvxt.com

C:\Windows\system32\wpbvxt.com 1164 "C:\Windows\SysWOW64\memscq.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\jfwxgt.com

C:\Windows\system32\jfwxgt.com 1168 "C:\Windows\SysWOW64\wpbvxt.com"

C:\Windows\SysWOW64\tfidqs.com

C:\Windows\system32\tfidqs.com 1172 "C:\Windows\SysWOW64\jfwxgt.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\dmmajr.com

C:\Windows\system32\dmmajr.com 1176 "C:\Windows\SysWOW64\tfidqs.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\qchdrz.com

C:\Windows\system32\qchdrz.com 1180 "C:\Windows\SysWOW64\dmmajr.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\abtacy.com

C:\Windows\system32\abtacy.com 1184 "C:\Windows\SysWOW64\qchdrz.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ndzink.com

C:\Windows\system32\ndzink.com 1196 "C:\Windows\SysWOW64\abtacy.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\zffxzp.com

C:\Windows\system32\zffxzp.com 1200 "C:\Windows\SysWOW64\ndzink.com"

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\nspnes.com

C:\Windows\system32\nspnes.com 1188 "C:\Windows\SysWOW64\zffxzp.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\uaknzi.com

C:\Windows\system32\uaknzi.com 1192 "C:\Windows\SysWOW64\nspnes.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\edzyml.com

C:\Windows\system32\edzyml.com 1204 "C:\Windows\SysWOW64\uaknzi.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\okmvek.com

C:\Windows\system32\okmvek.com 1208 "C:\Windows\SysWOW64\edzyml.com"

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\esxvlt.com

C:\Windows\system32\esxvlt.com 1212 "C:\Windows\SysWOW64\okmvek.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ocmfyw.com

C:\Windows\system32\ocmfyw.com 1216 "C:\Windows\SysWOW64\esxvlt.com"

C:\Windows\SysWOW64\awtvkj.com

C:\Windows\system32\awtvkj.com 1220 "C:\Windows\SysWOW64\ocmfyw.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\njklpn.com

C:\Windows\system32\njklpn.com 1224 "C:\Windows\SysWOW64\awtvkj.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\aptoew.com

C:\Windows\system32\aptoew.com 1228 "C:\Windows\SysWOW64\njklpn.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\nkldjz.com

C:\Windows\system32\nkldjz.com 1232 "C:\Windows\SysWOW64\aptoew.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\aertde.com

C:\Windows\system32\aertde.com 1236 "C:\Windows\SysWOW64\nkldjz.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ncmolm.com

C:\Windows\system32\ncmolm.com 1248 "C:\Windows\SysWOW64\aertde.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ztpquu.com

C:\Windows\system32\ztpquu.com 1240 "C:\Windows\SysWOW64\ncmolm.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\zendjo.com

C:\Windows\system32\zendjo.com 1256 "C:\Windows\SysWOW64\ztpquu.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\jlrbcn.com

C:\Windows\system32\jlrbcn.com 1244 "C:\Windows\SysWOW64\zendjo.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\tkeymm.com

C:\Windows\system32\tkeymm.com 1252 "C:\Windows\SysWOW64\jlrbcn.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\gxnosp.com

C:\Windows\system32\gxnosp.com 1260 "C:\Windows\SysWOW64\tkeymm.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\qlolqp.com

C:\Windows\system32\qlolqp.com 1264 "C:\Windows\SysWOW64\gxnosp.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\dcroyx.com

C:\Windows\system32\dcroyx.com 1268 "C:\Windows\SysWOW64\qlolqp.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\nbvljw.com

C:\Windows\system32\nbvljw.com 524 "C:\Windows\SysWOW64\dcroyx.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\snotcg.com

C:\Windows\system32\snotcg.com 1276 "C:\Windows\SysWOW64\nbvljw.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\fagjib.com

C:\Windows\system32\fagjib.com 1280 "C:\Windows\SysWOW64\snotcg.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\pakgsa.com

C:\Windows\system32\pakgsa.com 1292 "C:\Windows\SysWOW64\fagjib.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\zkzrnd.com

C:\Windows\system32\zkzrnd.com 1284 "C:\Windows\SysWOW64\pakgsa.com"

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\jjloyc.com

C:\Windows\system32\jjloyc.com 1288 "C:\Windows\SysWOW64\zkzrnd.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\qrzgkr.com

C:\Windows\system32\qrzgkr.com 1296 "C:\Windows\SysWOW64\jjloyc.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ysyhzg.com

C:\Windows\system32\ysyhzg.com 1300 "C:\Windows\SysWOW64\qrzgkr.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\qgwmji.com

C:\Windows\system32\qgwmji.com 1304 "C:\Windows\SysWOW64\ysyhzg.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\derosq.com

C:\Windows\system32\derosq.com 1308 "C:\Windows\SysWOW64\qgwmji.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\inwjow.com

C:\Windows\system32\inwjow.com 1312 "C:\Windows\SysWOW64\derosq.com"

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\ajnory.com

C:\Windows\system32\ajnory.com 1316 "C:\Windows\SysWOW64\inwjow.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\nzprzg.com

C:\Windows\system32\nzprzg.com 1320 "C:\Windows\SysWOW64\ajnory.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\wkfcuj.com

C:\Windows\system32\wkfcuj.com 1340 "C:\Windows\SysWOW64\nzprzg.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\jbaedj.com

C:\Windows\system32\jbaedj.com 1324 "C:\Windows\SysWOW64\wkfcuj.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\tamcni.com

C:\Windows\system32\tamcni.com 1328 "C:\Windows\SysWOW64\jbaedj.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\jqxcuz.com

C:\Windows\system32\jqxcuz.com 1332 "C:\Windows\SysWOW64\tamcni.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\oguxqf.com

C:\Windows\system32\oguxqf.com 1336 "C:\Windows\SysWOW64\jqxcuz.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ybvhya.com

C:\Windows\system32\ybvhya.com 1344 "C:\Windows\SysWOW64\oguxqf.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\fnuuvu.com

C:\Windows\system32\fnuuvu.com 1348 "C:\Windows\SysWOW64\ybvhya.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\salkbx.com

C:\Windows\system32\salkbx.com 1352 "C:\Windows\SysWOW64\fnuuvu.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\xqqxxl.com

C:\Windows\system32\xqqxxl.com 1356 "C:\Windows\SysWOW64\salkbx.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\kdzuch.com

C:\Windows\system32\kdzuch.com 1360 "C:\Windows\SysWOW64\xqqxxl.com"

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\uraktp.com

C:\Windows\system32\uraktp.com 1364 "C:\Windows\SysWOW64\kdzuch.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\hivmbx.com

C:\Windows\system32\hivmbx.com 1368 "C:\Windows\SysWOW64\uraktp.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ugypkx.com

C:\Windows\system32\ugypkx.com 1372 "C:\Windows\SysWOW64\hivmbx.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\wtasfx.com

C:\Windows\system32\wtasfx.com 1376 "C:\Windows\SysWOW64\ugypkx.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\euzstm.com

C:\Windows\system32\euzstm.com 1380 "C:\Windows\SysWOW64\wtasfx.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\niapju.com

C:\Windows\system32\niapju.com 1384 "C:\Windows\SysWOW64\euzstm.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\azvssu.com

C:\Windows\system32\azvssu.com 1392 "C:\Windows\SysWOW64\niapju.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\npqvjc.com

C:\Windows\system32\npqvjc.com 1388 "C:\Windows\SysWOW64\azvssu.com"

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\aosxrk.com

C:\Windows\system32\aosxrk.com 1396 "C:\Windows\SysWOW64\npqvjc.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\nensak.com

C:\Windows\system32\nensak.com 1400 "C:\Windows\SysWOW64\aosxrk.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\xsopqs.com

C:\Windows\system32\xsopqs.com 1404 "C:\Windows\SysWOW64\nensak.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\kfffww.com

C:\Windows\system32\kfffww.com 1408 "C:\Windows\SysWOW64\xsopqs.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\rjisnh.com

C:\Windows\system32\rjisnh.com 1412 "C:\Windows\SysWOW64\kfffww.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\cjuqxf.com

C:\Windows\system32\cjuqxf.com 1416 "C:\Windows\SysWOW64\rjisnh.com"

C:\Windows\SysWOW64\olafjs.com

C:\Windows\system32\olafjs.com 1420 "C:\Windows\SysWOW64\cjuqxf.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\qnpqev.com

C:\Windows\system32\qnpqev.com 1424 "C:\Windows\SysWOW64\olafjs.com"

C:\Windows\SysWOW64\dmksnv.com

C:\Windows\system32\dmksnv.com 1428 "C:\Windows\SysWOW64\qnpqev.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\tudsun.com

C:\Windows\system32\tudsun.com 1432 "C:\Windows\SysWOW64\dmksnv.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\gsyvcn.com

C:\Windows\system32\gsyvcn.com 1436 "C:\Windows\SysWOW64\tudsun.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\pgzssu.com

C:\Windows\system32\pgzssu.com 1440 "C:\Windows\SysWOW64\gsyvcn.com"

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\cxuvbd.com

C:\Windows\system32\cxuvbd.com 1444 "C:\Windows\SysWOW64\pgzssu.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\pnpyjd.com

C:\Windows\system32\pnpyjd.com 1448 "C:\Windows\SysWOW64\cxuvbd.com"

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\cmrbsl.com

C:\Windows\system32\cmrbsl.com 1452 "C:\Windows\SysWOW64\pnpyjd.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\mohlno.com

C:\Windows\system32\mohlno.com 1456 "C:\Windows\SysWOW64\cmrbsl.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\zqntza.com

C:\Windows\system32\zqntza.com 1460 "C:\Windows\SysWOW64\mohlno.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\mdeiew.com

C:\Windows\system32\mdeiew.com 1464 "C:\Windows\SysWOW64\zqntza.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\thhvwp.com

C:\Windows\system32\thhvwp.com 1468 "C:\Windows\SysWOW64\mdeiew.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ybxvna.com

C:\Windows\system32\ybxvna.com 516 "C:\Windows\SysWOW64\thhvwp.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\laryvi.com

C:\Windows\system32\laryvi.com 1476 "C:\Windows\SysWOW64\ybxvna.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\swclnt.com

C:\Windows\system32\swclnt.com 1480 "C:\Windows\SysWOW64\laryvi.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\pxmyqe.com

C:\Windows\system32\pxmyqe.com 520 "C:\Windows\SysWOW64\drcwun.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\drcwun.com

C:\Windows\system32\drcwun.com 964 "C:\Windows\SysWOW64\swclnt.com"

C:\Windows\SysWOW64\ukfgcg.com

C:\Windows\system32\ukfgcg.com 1492 "C:\Windows\SysWOW64\pxmyqe.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\hxxwik.com

C:\Windows\system32\hxxwik.com 972 "C:\Windows\SysWOW64\ukfgcg.com"

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\uzdlbw.com

C:\Windows\system32\uzdlbw.com 948 "C:\Windows\SysWOW64\hxxwik.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\sgzmmn.com

C:\Windows\system32\sgzmmn.com 528 "C:\Windows\SysWOW64\uzdlbw.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\vqqjej.com

C:\Windows\system32\vqqjej.com 1508 "C:\Windows\SysWOW64\sgzmmn.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\flruud.com

C:\Windows\system32\flruud.com 1512 "C:\Windows\SysWOW64\vqqjej.com"

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\pzsrkl.com

C:\Windows\system32\pzsrkl.com 1516 "C:\Windows\SysWOW64\flruud.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\zywouj.com

C:\Windows\system32\zywouj.com 1520 "C:\Windows\SysWOW64\pzsrkl.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\mtnean.com

C:\Windows\system32\mtnean.com 1528 "C:\Windows\SysWOW64\zywouj.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\wwdovq.com

C:\Windows\system32\wwdovq.com 1524 "C:\Windows\SysWOW64\mtnean.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\gvhmgp.com

C:\Windows\system32\gvhmgp.com 1532 "C:\Windows\SysWOW64\wwdovq.com"

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\tukpop.com

C:\Windows\system32\tukpop.com 1536 "C:\Windows\SysWOW64\gvhmgp.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\dpdzek.com

C:\Windows\system32\dpdzek.com 1540 "C:\Windows\SysWOW64\tukpop.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\nssjrn.com

C:\Windows\system32\nssjrn.com 1544 "C:\Windows\SysWOW64\dpdzek.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\xcpueq.com

C:\Windows\system32\xcpueq.com 1548 "C:\Windows\SysWOW64\nssjrn.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\kpzkku.com

C:\Windows\system32\kpzkku.com 1552 "C:\Windows\SysWOW64\xcpueq.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\pgeega.com

C:\Windows\system32\pgeega.com 1556 "C:\Windows\SysWOW64\kpzkku.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\zficyz.com

C:\Windows\system32\zficyz.com 1560 "C:\Windows\SysWOW64\pgeega.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\mszsec.com

C:\Windows\system32\mszsec.com 1564 "C:\Windows\SysWOW64\zficyz.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\rmhzvv.com

C:\Windows\system32\rmhzvv.com 1568 "C:\Windows\SysWOW64\mszsec.com"

C:\Windows\SysWOW64\bhiklp.com

C:\Windows\system32\bhiklp.com 1500 "C:\Windows\SysWOW64\rmhzvv.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\lsyuys.com

C:\Windows\system32\lsyuys.com 1576 "C:\Windows\SysWOW64\bhiklp.com"

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\nrksij.com

C:\Windows\system32\nrksij.com 1096 "C:\Windows\SysWOW64\lsyuys.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\dhvapb.com

C:\Windows\system32\dhvapb.com 1584 "C:\Windows\SysWOW64\nrksij.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\qxqcyj.com

C:\Windows\system32\qxqcyj.com 1588 "C:\Windows\SysWOW64\dhvapb.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\czwkrn.com

C:\Windows\system32\czwkrn.com 1592 "C:\Windows\SysWOW64\qxqcyj.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\mclueq.com

C:\Windows\system32\mclueq.com 1596 "C:\Windows\SysWOW64\czwkrn.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\csfcla.com

C:\Windows\system32\csfcla.com 1600 "C:\Windows\SysWOW64\mclueq.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\piafui.com

C:\Windows\system32\piafui.com 1612 "C:\Windows\SysWOW64\csfcla.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ztpphl.com

C:\Windows\system32\ztpphl.com 1604 "C:\Windows\SysWOW64\piafui.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\mghfnp.com

C:\Windows\system32\mghfnp.com 1608 "C:\Windows\SysWOW64\ztpphl.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\vuhclx.com

C:\Windows\system32\vuhclx.com 1616 "C:\Windows\SysWOW64\mghfnp.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ikcftx.com

C:\Windows\system32\ikcftx.com 1620 "C:\Windows\SysWOW64\vuhclx.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\vbxicf.com

C:\Windows\system32\vbxicf.com 1628 "C:\Windows\SysWOW64\ikcftx.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\izslln.com

C:\Windows\system32\izslln.com 1624 "C:\Windows\SysWOW64\vbxicf.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\plyqih.com

C:\Windows\system32\plyqih.com 1632 "C:\Windows\SysWOW64\izslln.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\fxzlem.com

C:\Windows\system32\fxzlem.com 1636 "C:\Windows\SysWOW64\plyqih.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\pdzact.com

C:\Windows\system32\pdzact.com 1640 "C:\Windows\SysWOW64\fxzlem.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ccudkc.com

C:\Windows\system32\ccudkc.com 1644 "C:\Windows\SysWOW64\pdzact.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ppmsqx.com

C:\Windows\system32\ppmsqx.com 1648 "C:\Windows\SysWOW64\ccudkc.com"

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\zoqyaw.com

C:\Windows\system32\zoqyaw.com 968 "C:\Windows\SysWOW64\ppmsqx.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\lmqlra.com

C:\Windows\system32\lmqlra.com 476 "C:\Windows\SysWOW64\gzwdxy.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\gzwdxy.com

C:\Windows\system32\gzwdxy.com 884 "C:\Windows\SysWOW64\zoqyaw.com"

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\yklnzi.com

C:\Windows\system32\yklnzi.com 480 "C:\Windows\SysWOW64\lmqlra.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\igmyhc.com

C:\Windows\system32\igmyhc.com 1668 "C:\Windows\SysWOW64\yklnzi.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\tfqvzb.com

C:\Windows\system32\tfqvzb.com 1660 "C:\Windows\SysWOW64\igmyhc.com"

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\xkjdld.com

C:\Windows\system32\xkjdld.com 1676 "C:\Windows\SysWOW64\tfqvzb.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\fdiiif.com

C:\Windows\system32\fdiiif.com 1680 "C:\Windows\SysWOW64\xkjdld.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\pyjbpz.com

C:\Windows\system32\pyjbpz.com 1684 "C:\Windows\SysWOW64\fdiiif.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\zxnyiy.com

C:\Windows\system32\zxnyiy.com 1688 "C:\Windows\SysWOW64\pyjbpz.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\eoslwe.com

C:\Windows\system32\eoslwe.com 1692 "C:\Windows\SysWOW64\zxnyiy.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\qqybpq.com

C:\Windows\system32\qqybpq.com 1696 "C:\Windows\SysWOW64\eoslwe.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\blzlxl.com

C:\Windows\system32\blzlxl.com 1700 "C:\Windows\SysWOW64\qqybpq.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\octofl.com

C:\Windows\system32\octofl.com 1704 "C:\Windows\SysWOW64\blzlxl.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\yejyso.com

C:\Windows\system32\yejyso.com 1708 "C:\Windows\SysWOW64\octofl.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\kdmbbw.com

C:\Windows\system32\kdmbbw.com 1712 "C:\Windows\SysWOW64\yejyso.com"

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\xtgese.com

C:\Windows\system32\xtgese.com 1716 "C:\Windows\SysWOW64\kdmbbw.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ksbgaf.com

C:\Windows\system32\ksbgaf.com 1720 "C:\Windows\SysWOW64\xtgese.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\uyceqm.com

C:\Windows\system32\uyceqm.com 1664 "C:\Windows\SysWOW64\ksbgaf.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\efobbl.com

C:\Windows\system32\efobbl.com 1728 "C:\Windows\SysWOW64\uyceqm.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\mjqgsw.com

C:\Windows\system32\mjqgsw.com 1672 "C:\Windows\SysWOW64\efobbl.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\tgatkp.com

C:\Windows\system32\tgatkp.com 1724 "C:\Windows\SysWOW64\mjqgsw.com"

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\ebbmrk.com

C:\Windows\system32\ebbmrk.com 1740 "C:\Windows\SysWOW64\tgatkp.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\qdhudo.com

C:\Windows\system32\qdhudo.com 1744 "C:\Windows\SysWOW64\ebbmrk.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\agxeqr.com

C:\Windows\system32\agxeqr.com 1748 "C:\Windows\SysWOW64\qdhudo.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\nerhyz.com

C:\Windows\system32\nerhyz.com 1752 "C:\Windows\SysWOW64\agxeqr.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\xdeery.com

C:\Windows\system32\xdeery.com 1756 "C:\Windows\SysWOW64\nerhyz.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\azewyt.com

C:\Windows\system32\azewyt.com 1760 "C:\Windows\SysWOW64\xdeery.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\kjuhmw.com

C:\Windows\system32\kjuhmw.com 1764 "C:\Windows\SysWOW64\azewyt.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\xapccw.com

C:\Windows\system32\xapccw.com 1768 "C:\Windows\SysWOW64\kjuhmw.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\jqjele.com

C:\Windows\system32\jqjele.com 1772 "C:\Windows\SysWOW64\xapccw.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\tbhpyh.com

C:\Windows\system32\tbhpyh.com 1776 "C:\Windows\SysWOW64\jqjele.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\yrejuv.com

C:\Windows\system32\yrejuv.com 1780 "C:\Windows\SysWOW64\tbhpyh.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\gwoxeg.com

C:\Windows\system32\gwoxeg.com 1784 "C:\Windows\SysWOW64\yrejuv.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\tjfmrk.com

C:\Windows\system32\tjfmrk.com 1788 "C:\Windows\SysWOW64\gwoxeg.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\dlvxff.com

C:\Windows\system32\dlvxff.com 1732 "C:\Windows\SysWOW64\tjfmrk.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\kpfcoy.com

C:\Windows\system32\kpfcoy.com 1572 "C:\Windows\SysWOW64\dlvxff.com"

C:\Windows\SysWOW64\pgcxke.com

C:\Windows\system32\pgcxke.com 1800 "C:\Windows\SysWOW64\kpfcoy.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\zfoucd.com

C:\Windows\system32\zfoucd.com 1804 "C:\Windows\SysWOW64\pgcxke.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\mdjxll.com

C:\Windows\system32\mdjxll.com 1808 "C:\Windows\SysWOW64\zfoucd.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\wgyhyo.com

C:\Windows\system32\wgyhyo.com 1812 "C:\Windows\SysWOW64\mdjxll.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\jetkhx.com

C:\Windows\system32\jetkhx.com 1816 "C:\Windows\SysWOW64\wgyhyo.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\wvwnpx.com

C:\Windows\system32\wvwnpx.com 1820 "C:\Windows\SysWOW64\jetkhx.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\guakiv.com

C:\Windows\system32\guakiv.com 1824 "C:\Windows\SysWOW64\wvwnpx.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\qqbupq.com

C:\Windows\system32\qqbupq.com 1828 "C:\Windows\SysWOW64\guakiv.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\gjxpze.com

C:\Windows\system32\gjxpze.com 1832 "C:\Windows\SysWOW64\qqbupq.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\pxyfpl.com

C:\Windows\system32\pxyfpl.com 1836 "C:\Windows\SysWOW64\gjxpze.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cntiyt.com

C:\Windows\system32\cntiyt.com 1840 "C:\Windows\SysWOW64\pxyfpl.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\pmokgc.com

C:\Windows\system32\pmokgc.com 1844 "C:\Windows\SysWOW64\cntiyt.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ccqnxc.com

C:\Windows\system32\ccqnxc.com 1848 "C:\Windows\SysWOW64\pmokgc.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\mngxkf.com

C:\Windows\system32\mngxkf.com 1852 "C:\Windows\SysWOW64\ccqnxc.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\zebatn.com

C:\Windows\system32\zebatn.com 1856 "C:\Windows\SysWOW64\mngxkf.com"

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\muddbv.com

C:\Windows\system32\muddbv.com 1860 "C:\Windows\SysWOW64\zebatn.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ztyfkv.com

C:\Windows\system32\ztyfkv.com 1864 "C:\Windows\SysWOW64\muddbv.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ihzdid.com

C:\Windows\system32\ihzdid.com 1868 "C:\Windows\SysWOW64\ztyfkv.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\vuisoh.com

C:\Windows\system32\vuisoh.com 1872 "C:\Windows\SysWOW64\ihzdid.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\iooazl.com

C:\Windows\system32\iooazl.com 1876 "C:\Windows\SysWOW64\vuisoh.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\vmrdit.com

C:\Windows\system32\vmrdit.com 1880 "C:\Windows\SysWOW64\iooazl.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\idmfqb.com

C:\Windows\system32\idmfqb.com 1892 "C:\Windows\SysWOW64\vmrdit.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\scqdba.com

C:\Windows\system32\scqdba.com 1884 "C:\Windows\SysWOW64\idmfqb.com"

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\cqraza.com

C:\Windows\system32\cqraza.com 1888 "C:\Windows\SysWOW64\scqdba.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\sczvdn.com

C:\Windows\system32\sczvdn.com 1896 "C:\Windows\SysWOW64\cqraza.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\utnlbs.com

C:\Windows\system32\utnlbs.com 1900 "C:\Windows\SysWOW64\sczvdn.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\bumlhy.com

C:\Windows\system32\bumlhy.com 1904 "C:\Windows\SysWOW64\utnlbs.com"

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\linafg.com

C:\Windows\system32\linafg.com 1908 "C:\Windows\SysWOW64\bumlhy.com"

C:\Windows\SysWOW64\cmd.exe

cmd /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\yyhdoo.com

C:\Windows\system32\yyhdoo.com 1912 "C:\Windows\SysWOW64\linafg.com"

Network

N/A

Files

memory/1756-0-0x0000000000400000-0x000000000048A000-memory.dmp

C:\Windows\SysWOW64\sm1.bat

MD5 0019a0451cc6b9659762c3e274bc04fb
SHA1 5259e256cc0908f2846e532161b989f1295f479b
SHA256 ce4674afd978d1401596d22a0961f90c8fb53c5bd55649684e1a999c8cf77876
SHA512 314c23ec37cb0cd4443213c019c4541df968447353b422ef6fff1e7ddf6c983c80778787408b7ca9b81e580a6a7f1589ca7f43c022e6fc16182973580ed4d904

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 a5d4cddfecf34e5391a7a3df62312327
SHA1 04a3c708bab0c15b6746cf9dbf41a71c917a98b9
SHA256 8961a4310b2413753851ba8afe2feb4c522c20e856c6a98537d8ab440f48853a
SHA512 48024549d0fcb88e3bd46f7fb42715181142cae764a3daeb64cad07f10cf3bf14153731aeafba9a191557e29ddf1c5b62a460588823df215e2246eddaeff6643

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 9e5db93bd3302c217b15561d8f1e299d
SHA1 95a5579b336d16213909beda75589fd0a2091f30
SHA256 f360fb5740172b6b4dd59c1ac30b480511665ae991196f833167e275d91f943e
SHA512 b5547e5047a3c43397ee846ff9d5979cba45ba44671db5c5df5536d9dc26262e27a8645a08e0cf35960a3601dc0f6f5fe8d47ae232c9ca44d6899e97d36fb25a

\Windows\SysWOW64\juuezf.com

MD5 ade99c01a1e92f6dc5c4a4bfec9649e3
SHA1 21a66edc54dcb6ec86007a7a696eb08b98ab36f6
SHA256 f007989340d051c2715bedb1bd5d4736cd90dde2453591e4614c3787dae9b126
SHA512 d86653c1c2a0b93648e379ee793c830db237385d9cee8718d2eb87a3aa46a5594d18029d54026f8dea02e24be31b87dc19eb2d9d4e786dfefe07998324df87e7

memory/1756-234-0x0000000000740000-0x00000000007CA000-memory.dmp

memory/1756-125-0x0000000000740000-0x00000000007CA000-memory.dmp

memory/2860-235-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2860-236-0x0000000000020000-0x0000000000021000-memory.dmp

memory/1756-240-0x0000000000400000-0x000000000048A000-memory.dmp

memory/1492-249-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2860-248-0x0000000002830000-0x00000000028BA000-memory.dmp

memory/2860-251-0x0000000000400000-0x000000000048A000-memory.dmp

memory/1836-261-0x0000000000400000-0x000000000048A000-memory.dmp

memory/1492-264-0x0000000000400000-0x000000000048A000-memory.dmp

memory/1404-273-0x0000000000400000-0x000000000048A000-memory.dmp

memory/1836-276-0x0000000000400000-0x000000000048A000-memory.dmp

memory/976-286-0x0000000000020000-0x0000000000021000-memory.dmp

memory/1404-280-0x00000000024E0000-0x000000000256A000-memory.dmp

memory/976-298-0x0000000002910000-0x000000000299A000-memory.dmp

memory/1404-290-0x0000000000400000-0x000000000048A000-memory.dmp

memory/976-306-0x0000000002910000-0x000000000299A000-memory.dmp

memory/2120-312-0x0000000000400000-0x000000000048A000-memory.dmp

memory/976-419-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2392-434-0x0000000000400000-0x000000000048A000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 4117e5a9c995bab9cd3bce3fc2b99a46
SHA1 80144ccbad81c2efb1df64e13d3d5f59ca4486da
SHA256 37b58c2d66ab2f896316ee0cdba30dcc9aac15a51995b8ba6c143c8ba34bf292
SHA512 bdb721bd3dea641a9b1f26b46311c05199de01c6b0d7ea2b973aa71a4f796b292a6964ddef32ba9dfc4a545768943d105f110c5d60716e0ff6f82914affb507c

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 d67d51b859c99a46a906a4c3a6ff6560
SHA1 b685cc703a1c86ba8ad681b545a6f3014b80d585
SHA256 33d0a27d49cd3cfa5a4ef5027d3defe60a3f7be1a3914870390b9829d360937a
SHA512 c986416a115ca162ee28d5dfd1159538d81a751e4961340415718c0d1f0ffa4d80675b4b698ed039eef86cbe1b2c0b01a0004dea39111056013d3e0a0179cedd

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 5e073629d751540b3512a229a7c56baf
SHA1 8d384f06bf3fe00d178514990ae39fc54d4e3941
SHA256 2039732d26af5a0d4db7bda4a781967a0e0e4543dea9838690219e3cb688449e
SHA512 84fc0d818ecd5706904b5918170436820ffc78c894cbe549a4f5b04b5c9832e3d709c98d56c8522b55a98cd9db8ec04aeaa020e9162e8a35503597ca580126fd

memory/2120-546-0x0000000000400000-0x000000000048A000-memory.dmp

memory/1728-561-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2392-675-0x0000000000400000-0x000000000048A000-memory.dmp

memory/1728-687-0x00000000027C0000-0x000000000284A000-memory.dmp

memory/1820-693-0x0000000000400000-0x000000000048A000-memory.dmp

memory/1728-803-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2044-812-0x0000000000400000-0x000000000048A000-memory.dmp

memory/1820-926-0x0000000002750000-0x00000000027DA000-memory.dmp

memory/1820-931-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2044-938-0x0000000002540000-0x00000000025CA000-memory.dmp

memory/2404-947-0x0000000000400000-0x000000000048A000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 eee5718ce97d259fd8acec31375fc375
SHA1 989c64b0c9a049f1b7ad9e677c4566ab1559744f
SHA256 1975123645c58e5160d63cc6ab8430f9dd0bc70d5cddafccf3687d655730dcfb
SHA512 6c2e14846b20128ac8bea8470b4455fd4b65de7457c216824cfa7008fafa41c29445290de6780dc4f6f3beea97ec3137c02c9b7504877d6c845e573a7b7db610

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 0bccb0cc2d0641cd0ac7ce17afe64b9f
SHA1 103f5bc2b153913e8a614a7abb43941fe90862a4
SHA256 cae50ec401dae988f1221cead7de58cf4301040fd9fbb8d1c4ad032034ee1842
SHA512 cce4edc7c607ca3969fb19f93a836d87170e2c50fcf136acb3bcb5500b99b1ae73a999b7d648a3643f58cf960b071b24215e1c59f874ca38a50cf1ef90b06389

memory/2404-1068-0x00000000025D0000-0x000000000265A000-memory.dmp

memory/2404-1075-0x00000000025D0000-0x000000000265A000-memory.dmp

memory/2476-1136-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2044-1056-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2404-1185-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2328-1202-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2328-1195-0x0000000000020000-0x0000000000021000-memory.dmp

memory/2476-1193-0x00000000004D0000-0x000000000055A000-memory.dmp

memory/2476-1309-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2328-1316-0x00000000027A0000-0x000000000282A000-memory.dmp

memory/1640-1318-0x0000000000400000-0x000000000048A000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 e427a32326a6a806e7b7b4fdbbe0ed4c
SHA1 b10626953332aeb7c524f2a29f47ca8b0bee38b1
SHA256 b5cfd1100679c495202229aede417b8a385405cb9d467d2d89b936fc99245839
SHA512 6bd679341bec6b224962f3d0d229cff2d400e568e10b7764eb4e0903c66819a8fa99927249ab9b4c447b2d09ea0d98eb9823fb2c5f7462112036049795a5d8bd

memory/2328-1432-0x0000000000400000-0x000000000048A000-memory.dmp

memory/1640-1447-0x00000000024E0000-0x000000000256A000-memory.dmp

memory/1032-1440-0x0000000000030000-0x0000000000031000-memory.dmp

memory/1032-1438-0x0000000000400000-0x000000000048A000-memory.dmp

memory/1640-1555-0x0000000000400000-0x000000000048A000-memory.dmp

memory/1112-1561-0x0000000000400000-0x000000000048A000-memory.dmp

memory/1112-1563-0x0000000000030000-0x0000000000031000-memory.dmp

memory/1032-1677-0x0000000000400000-0x000000000048A000-memory.dmp

memory/1112-1683-0x00000000024A0000-0x000000000252A000-memory.dmp

memory/1620-1690-0x0000000000400000-0x000000000048A000-memory.dmp

memory/1112-1692-0x00000000024A0000-0x000000000252A000-memory.dmp

memory/1112-1801-0x0000000000400000-0x000000000048A000-memory.dmp

memory/580-1806-0x0000000000400000-0x000000000048A000-memory.dmp

memory/1620-1813-0x0000000002500000-0x000000000258A000-memory.dmp

memory/1620-1923-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2016-1928-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2016-1930-0x0000000000020000-0x0000000000021000-memory.dmp

memory/580-2045-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2412-2052-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2016-2050-0x00000000004D0000-0x000000000055A000-memory.dmp

memory/2016-2167-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2412-2172-0x00000000006D0000-0x000000000075A000-memory.dmp

memory/1784-2179-0x0000000000400000-0x000000000048A000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 2d9f1ff716273d19e3f0d10a3cd8736f
SHA1 b4ca02834dd3f3489c5088d2157279d2be90f5ff
SHA256 9acf0b6f653d189bcf02fa9941a2a1a6b6f60c6fa1f62ad38f314014ec188623
SHA512 1d08e079d12a58115ced67c002d383a4ff5aca81fde9ac81bb14d8c5dcdfe07839c7b895130b746d4691cd38dc74fbfc0bdc8605b520ac85bc137fd5fa922025

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 5020988c301a6bf0c54a293ddf64837c
SHA1 5b65e689a2988b9a739d53565b2a847f20d70f09
SHA256 a123ebc1fac86713cdd7c4a511e022783a581ea02ba65ea18360555706ae5f2d
SHA512 921a07597f8c82c65c675f5b09a2552c7e2e8c65c8df59eebbe9aff0bfe439ad93f5efc97ba521be31299323051d61ead6a3f0be27302dc0f728b7a844fb2fcf

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 872656500ddac1ddd91d10aba3a8df96
SHA1 ddf655aea7e8eae37b0a2dd4c8cabaf21cf681fc
SHA256 d6f58d2fbf733d278281af0b9e7732a591cdd752e18a430f76cb7afa806c75f8
SHA512 e7fab32f6f38bde67c8ce7af483216c9965ab62a70aee5c9a9e17aa693c33c67953f817406c1687406977b234d89e62d7feb44757527de5db34e5a61462a0be9

memory/2412-2287-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2684-2294-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2684-2296-0x0000000000020000-0x0000000000021000-memory.dmp

memory/1784-2410-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2684-2416-0x0000000002840000-0x00000000028CA000-memory.dmp

memory/2516-2423-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2684-2445-0x0000000002840000-0x00000000028CA000-memory.dmp

memory/2684-2534-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2516-2546-0x0000000002440000-0x00000000024CA000-memory.dmp

memory/2656-2654-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2516-2653-0x0000000002440000-0x00000000024CA000-memory.dmp

memory/2516-2655-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2656-2669-0x00000000025F0000-0x000000000267A000-memory.dmp

memory/1648-2670-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2656-2777-0x0000000000400000-0x000000000048A000-memory.dmp

memory/1648-2898-0x0000000000400000-0x000000000048A000-memory.dmp

memory/1852-2904-0x0000000000400000-0x000000000048A000-memory.dmp

memory/1852-2906-0x0000000000020000-0x0000000000021000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 e2564fc59a86ea85b7485ab7288c68c4
SHA1 bc1544d9a03d1adafe399067ac32bf8d1cedbdb0
SHA256 68e8d8ef14bfbe96ebad3fb391fd4c1e57068a7f950dd31840884f6d58b078a8
SHA512 e09c6741d99ec41763e939aa39adb4e0f8508d37556c52251eec268849e85960da42ace7e9b82f1927de5bcf29ebec205189b113d2bb123025f3e6615b28ff0a

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 d085cde42c14e8ee2a5e8870d08aee42
SHA1 c8e967f1d301f97dbcf252d7e1677e590126f994
SHA256 a15d5dfd655de1214e0aae2292ead17eef1f1b211d39fac03276bbd6325b0d9f
SHA512 de2cebd45d3cf053df17ae43466db6a8b2d816bf4b9a8deb5b577cfedf765b5dcdc5904145809ad3ca03ccff308f8893ec1faa309dd34afcab7cc1836d698d7b

memory/1804-3020-0x0000000000400000-0x000000000048A000-memory.dmp

memory/1944-3032-0x0000000000020000-0x0000000000021000-memory.dmp

memory/1852-3142-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2116-3147-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2116-3149-0x0000000000020000-0x0000000000021000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 bf7ee07851e04b2a0dbe554db62dc3aa
SHA1 cad155b66053cd7ce2b969a0eb20a8f4812b1f46
SHA256 13dc8dc70b7bb240f6f4cf6be5ff0ec55c606267a328bb9c9e34e5fa70cce0d9
SHA512 9ed79305c81287cf01d0138d87c6ec981b5bdd9195c56f8def4c74fdbc9b4816661d084fc1314f99b40102945b61d05121f4eaadec6403d4295a80847b797bc4

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 2299014e9ce921b7045e958d39d83e74
SHA1 26ed64f84417eb05d1d9d48441342ca1363084da
SHA256 ee2b1a70a028c6d66757d68a847b4631fc722c1e9bfc2ce714b5202f43ec6b57
SHA512 0a1922752065a6ab7614ca8a12d5d235dfb088d3759b831de51124894adae79637713d7dee2eb87668fa85e37f3ba00d85a727a7ba3a6301fbf1d47f80c6a08f

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 6dd7ad95427e77ae09861afd77104775
SHA1 81c2ffe8c63e71f013a07e5794473b60f50c0716
SHA256 8eb7ba2c4ca558bb764f1db1ea0da16c08791a79e995704e5c1b9f3e855008c2
SHA512 171d8a96006ea9ff2655af49bd3bfc4702ba8573b3e6f93237ee52e0be68dd09e123495f9fbda9ff69d03fe843d9306798cae6c156202d48b8d021722eedc7cb

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 8d6eb64e58d3f14686110fcaf1363269
SHA1 d85c0b208716b400894ba4cb569a5af4aa178a2f
SHA256 c2a1a92cfa466fb5697626723b448c1730634ae4e0e533ad6cf11e8e8ebf2cf5
SHA512 5022856e8efeab2cdda3d653c4c520f5b6bf5dfa841ffc224a3338acfa8a41fd16321a765077973be46dd6296c6a9bf8341a42c22fe4b0a7fc6edabbcbf16ee7

memory/1944-3264-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2116-3383-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2704-3396-0x0000000000400000-0x000000000048A000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 0d1e5715cf04d212bcd7c9dea5f7ab72
SHA1 a8add44bf542e4d22260a13de6a35704fb7f3bfb
SHA256 5d1fc763bce7a43e9e47a75ddb116b7e5d077cc5541c55bc06f2951105b88473
SHA512 89da5156b2021e4279d7fb8e3bf0196495f84d9aa04c921533d609f02b1b3edd29de80d5930483b914fe82f5fc319993f7fcd925ca22351fccd56c82652f2117

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 f1cbbc2ce0d93c45a92edcc86780e9f0
SHA1 d893306caae2584cdeba4c80c3bfe18548fa227a
SHA256 6646122747280612f7cb0e88c16544e472aae7c20217b711bbee8f10562e49c7
SHA512 b4ba834ab846d1dc9bbeca52e54705cdbf010687a5c1c54a82fddc15c64025528ef874213a59d1be5fb7ada7abd0862235a0c924f10819fbbfb36bd2ba29adf7

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 5002319f56002f8d7ceacecf8672ce25
SHA1 3b26b6801be4768cc7582e29bc93facdf2a74be3
SHA256 f23f4854d17525744e8028db6dde6eb7d5d664b0ee1b08870c9c01b639e0124c
SHA512 8eae0fabc7f5a7e452abacf988a3632874c556af409da5e60c5e529524732b40f22d4e1d860ccceae87642875c819fc8a8120eceaabd25861f920c8c066a9aef

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 a57e37dfb6f88b2d04424936ed0b4afb
SHA1 35e2f81486b8420b88b7693ad3e92f846367cb12
SHA256 411f47af20b97f1fe35d3ff6f2a03a77301c8bee20cdfd4638a68430af77456d
SHA512 41f683cc837a2ac36eaf8c32ac336534d329eb482c1a7bd23728b3878492ce79488647df4746701c15254e552e3460f8efa8cec9448a252146596c7926dff448

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 5b77620cb52220f4a82e3551ee0a53a6
SHA1 07d122b8e70ec5887bad4ef8f4d6209df18912d0
SHA256 93ee7aaab4bb8bb1a11aede226bdb7c2ad85197ef5054eb58531c4df35599579
SHA512 9dc2b10a03c87d294903ff3514ca38ce1e85dec66213a7042d31f70fb20d36fed645150c5a6cb6f08c31bdc9f61e7dee2f1737c98aab263c289b09ffa663371c

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 d5e129352c8dd0032b51f34a2bbecad3
SHA1 a50f8887ad4f6a1eb2dd3c5b807c95a923964a6a
SHA256 ebdaad14508e5ba8d9e794963cf35bd51b7a92b949ebf32deef254ab9cdd6267
SHA512 9a3aa2796657c964f3c3ff07c8891533a740c86e8b0bebb449b5a3e07e1248d0f6608e03d9847caf1c8bff70392d15474f2954349869d92658108515df6831c2

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 558e454bc2d99d7949719cf24f540dd2
SHA1 e9c772bcee4ae780cdc28b0b4876385639e59b39
SHA256 677ec2cfe2ae99352aa12ac658d01a7bb0b51cf3cd2c568e94a78754326ca43a
SHA512 5bb10dcf81ccab0b7e2274d3ccdbda5a38014576096fef71725cfa6e16a4bfd29f481f3bc5ad15426fb9918eeca67fff11291a88caf10974433214674c1c1b64

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 1c6131354c6987300ea512b765475b82
SHA1 2ad74e27ee9080f65d1b2b2e537f73d8f6b59f53
SHA256 3a16ce0b62d9b7bc6832082d30e37163bbde0eddcffe9b09f20fc118b1e0d640
SHA512 b1274a40e10dea26834d3839a4c64a593252640a8a55bcbf642b661f1711451ea81ca712cc98d0c0b9132b4aaf5c8aaac6cc974fc8cbe0eed6ffc13d1b01db68

memory/1240-3505-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2704-3623-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2836-3630-0x00000000028B0000-0x000000000293A000-memory.dmp

memory/1268-3632-0x0000000000400000-0x000000000048A000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 c93c561465db53bf9a99759de9d25f07
SHA1 5386934828e2c2589bfe394ac1f03ffbfba93bfa
SHA256 32eae568e5a03070b122719c66798a0574658b85dc61bcf3c48eae29f4d77851
SHA512 bb0163e1a26f6b7cfd4ce214ae33a56e446fa74efca7682352ab52aa4b4d5b5b92a141e3e2a12b76f33827b1cd423f3d862cc973079d5da291832ce6a9fb9b18

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 558ce6da965ba1758d112b22e15aa5a2
SHA1 a365542609e4d1dc46be62928b08612fcabe2ede
SHA256 c11beaac10a5e00391ef4b41be8c240f59c5a2dc930aead6d7db237fcd2641fb
SHA512 37f7f10c3d201b11cc5224ae69c5990eb33b4430c601d3c21f6bec9323621120442e0cfa49e1f4eda459ea4ac750277e446dca78b9e44c1445bd891e4e460b5c

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 a13ff758fc4326eaa44582bc9700aead
SHA1 a4927b4a3b84526c5c42a077ade4652ab308f83f
SHA256 c0915178e63bf84c54e9c942b5cc80327c24d84125042767d7e1e2ef3e004588
SHA512 86c336086a1d0ca689e133df8e3c3ec83eeef86649dbf8b9d367c3e543358ad54f69d1a20d56c56200e294f22b2741186db0f359051159b4e670d3e9b5861842

memory/2836-3745-0x0000000000400000-0x000000000048A000-memory.dmp

memory/1268-3868-0x0000000000400000-0x000000000048A000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 3637baf389a0d79b412adb2a7f1b7d09
SHA1 f4b011a72f59cf98a325f12b7e40ddd0548ccc16
SHA256 835336f5d468ac1d8361f9afbc8e69ff1538c51b0b619d641b4b41dcfaa39cba
SHA512 ea71a49c3673e9ce4f92d0f38441b3bc5b3b9ef6649caa21972648e34b6cec8694fa8fb7fc0ddad1e58f0464e0ba917c4500090a3db3fc07e1d258079c1c2506

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 5bf31d7ea99b678c867ccdec344298aa
SHA1 2e548f54bf50d13993105c4f59bbeaeb87b17a68
SHA256 52be521b5509b444c0369ea7e69fc06b2d0b770cf600386c9a0178225ccdd281
SHA512 1bc82b65efe8c2be419748c8534210e7ad8cc8332ef87fb5df828eaebfdf630066ab3ad8d3ceeb82dee5ec4e680daff2748fcd4beaad8c71f1477b2ec7fe3564

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 c2d6056624c1d37b1baf4445d8705378
SHA1 90c0b48eca9016a7d07248ecdb7b93bf3e2f1a83
SHA256 3c20257f9e5c689af57f1dbfb8106351bf4cdfbbb922cf0beff34a2ca14f5a96
SHA512 d199ce15627b85d75c9c3ec5c91fa15b2f799975034e0bd0526c096f41afea4ff6d191a106f626044fbfae264e2b0f3776fde326fc0c2d0dc8d83de66adc7c29

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 e6d8af5aed642209c88269bf56af50ae
SHA1 633d40da997074dc0ed10938ebc49a3aeb3a7fc8
SHA256 550abc09abce5b065d360dfea741ab7dd8abbe2ea11cd46b093632860775baec
SHA512 6949fc255c1abf009ecbe0591fb6dbfd96409ee98ae438dbac8945684ccf694c046d5b51d2bf7679c1e02f42e8f32e8e29a9b7bdbc84442bec0497b64dfa84cf

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 f82bc8865c1f6bf7125563479421f95c
SHA1 65c25d7af3ab1f29ef2ef1fdc67378ac9c82098d
SHA256 f9799dc2afb8128d1925b69fdef1d641f312ed41254dd5f4ac543cf50648a2f6
SHA512 00a9b7798a630779dc30296c3d0fed2589e7e86d6941f4502ea301c5bce2e80a5d8a4916e36183c7064f968b539ae6dac49094b1de3643a1a2fedc83cf558825

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 fa83299c5a0d8714939977af6bdafa92
SHA1 46a4abab9b803a7361ab89d0ca000a367550e23c
SHA256 f3bb35f7fc756da2c2297a100fa29506cb12371edb793061add90ee16318bf03
SHA512 85e46b9f1089054e60c433459eea52bec26330f8b91879df3b48db1533a307443dd82006ac3bb86245bbd207c1d8c75c29949f755cc0dc262ede888a1d531599

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 5575ef034e791d4d3b09da6c0c4ee764
SHA1 50a0851ddf4b0c4014ad91f976e953baffe30951
SHA256 9697ec584ef188873daa789eb779bb95dd3efa2c4c98a55dffa30cac4d156c14
SHA512 ecf52614d3a16d8e558751c799fde925650ef3e6d254d172217e1b0ed76a983d45b74688616d3e3432a16cec98b986b17eaecd319a18df9a67e4d47f17380756

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 b79d7c7385eb2936ecd5681762227a9b
SHA1 c2a21fb49bd3cc8be9baac1bf6f6389453ad785d
SHA256 fd1be29f1f4b9fc4a8d9b583c4d2114f17c062998c833b2085960ac02ef82019
SHA512 7ea049afca363ff483f57b9fff1e213006d689eb4406cefe7f1e096c46b41e7908f1e4d69e1411ae56eb1c4e19489c9322176ffdd8ea2f1c37213eb51f03ef5b

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 63ff40a70037650fd0acfd68314ffc94
SHA1 1ab29adec6714edf286485ac5889fddb1d092e93
SHA256 1e607f10a90fdbaffe26e81c9a5f320fb9c954391d2adcc55fdfdfca1601714b
SHA512 2b41ce69cd1541897fbae5497f06779ac8182ff84fbf29ac29b7c2b234753fe44e7dfc6e4c257af222d466536fa4e50e247dcb68a9e1ad7766245dedfcfb6fdc

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 0a839c0e3eb1ed25e6211159e43f4df1
SHA1 a227a9322f58b8f40b2f6f326dca58145f599587
SHA256 717a2b81d076586548a0387c97d2dc31337a03763c6e7acb642c3e46ec94d6f0
SHA512 bd2b99fb43ccd1676f69752c1a295d1da0db2cb0310c8b097b4b5b91d76cff12b433f47af02b5f7d0dd5f8f16624b0c20294eebf5c6a7959b2b5d6fe2b34e508

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 c8441ec8a2edf9b2f4f631fe930ea4d9
SHA1 2855ee21116b427d280fcaa2471c9bd3d2957f6f
SHA256 dd2fa55643d4e02b39ef5a619f2ca63e49d6cc1e6513d953c2d9400d46b88184
SHA512 b0b03828275f895adf93ef6b9d40d31e10f166d40c1ee0f5697aadcee1b6d5e8b81637ccfcf66ba9dfd92295f106cfac0eca2320b71a15ad96fdbe06f6764ef7

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 831afd728dd974045c0654510071d405
SHA1 9484f4ee8e9eef0956553a59cfbcbe99a8822026
SHA256 03223eaae4ac389215cb8a9cb4e4d5a70b67f791f90e57b8efd3f975f5cf6af2
SHA512 ab7ac4d6d45b8aac5f82432468d40bd2b5bfae6d93006732ce27a6513fd3e7ddc94c029051092bf8b6f5649688c0f6600dbd88968732fc7b779e916e6bcda5c9

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 5aa228bc61037ddaf7a22dab4a04e9a1
SHA1 b50fcd8f643ea748f989a06e38c778884b3c19f2
SHA256 65c7c12f00303ec69556e7e108d2fb3881b761b5e68d12e8ae94d80ab1fd7d8b
SHA512 2ac1a9465083463a116b33039b4c4014433bda78a61e6312dde0e8f74f0a6a6881017041985871badee442a693d66385fe87cbfc60f1309f7a3c9fb59ec6f2aa

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 7fe70731de9e888ca911baeb99ee503d
SHA1 0073da5273512f66dbf570580dc55957535c2478
SHA256 ec8ce13a4cab475695329eddc61ff2eee378e79f0d2f9ca3a9bc7b18bd52b89a
SHA512 4421df7085fd2aac218d5544152d77080b99c1eaa24076975a6b1bb01149a19a1c0d6cc2c042cd507b37af9a220e7ce1f026103cdabfaec5994b1533c2f3eeac

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 ad9e5e67282bb74482c05e3bf2eb188b
SHA1 10b02442ea4b1151a2334645c3e290a82ecfad1f
SHA256 7af82efceff1e9221d76472e6ffd6aa78ca00ccbb5fa32cb2238ed08812b931f
SHA512 b0ca37f35618547b4e5ab94eb367940a9d5a500b5c91cf2bbdddba8d1725bcc619c5acd2365711a970c307bbe0aa539b50803d119963b9f0c6da198e3157ded7

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 ffbb389d817acf25cc38799c239d512c
SHA1 8b4854ed9e257c3da9ec11d0f145805c6ae6193f
SHA256 f3aec599ccf14f9ee446772c26b24628ba08698be4dc66b5b54acd37d26b8e39
SHA512 382e043195d74ed0e0978dcac0db8bc962bc41f2cbd1a8a80c1a5a54cb8831b5e63a74bb3f69ccd9e241a47c1a79fcc7e7dad71696bf957a349a0f7e62247931

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 e78a2688839aaee80b2bfdc4639329c5
SHA1 818a0dd05493b075a9f2eaf063e64d5a653f470a
SHA256 bd056b778b99213f8eb81f452e96f275da92f129457fae23da4e2986cf465a5d
SHA512 2821f753aa03221061be778aa9d5cffaee58fc0e1e712d8021894d91d963a3859e06afd6bd94ca6e23386e513d0be092e7b2e6a53439e14e4cbc75f5ccd97847

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 6b0182442d6e09100c34904ae6d8ee0c
SHA1 6255e65587505629521ea048a4e40cc48b512f2c
SHA256 cb34af7065e6c95f33fee397991045dae5dfae9d510660e6981ee6263542f9a4
SHA512 64395a0c6fce50a64a2067522b798f9b27c577da96e8d68f830a075ba833f1d644af27a9c6fc941ebb3d79999ac31576763378c9997a5b38eb5fdf075918eb46

memory/2768-3990-0x0000000000400000-0x000000000048A000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 f8a9a1aa9bab7821d25ae628e6d04f68
SHA1 c3e7a9ccc9805ae94aabfd16e2cb461fde3fae5a
SHA256 76ee7c489d11427af94d0334368ef2ed44df4a74984ffd4022c9ea9fae9c41fb
SHA512 0fb3a29367fa3c3eb36c6a7e9ff217ccdd7cce18309964aa7068a00f500ea4ea49588344ebbc52ae77d83e5042c3fdb84f56fa1dae07b8bb774aed6fffd18c0a

memory/1312-4110-0x0000000000400000-0x000000000048A000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 5a466127fedf6dbcd99adc917bd74581
SHA1 a2e60b101c8789b59360d95a64ec07d0723c4d38
SHA256 8cd3b8dd28ac014cf973d9ab4b03af1c274bbc9b5ee0ee4ab8af0bdb01573b84
SHA512 695cafc932bc8f0a514bc515860cb275297665de63ca3394b55f42c457761ebf654d29d504674681a77b34e3356a469e8c5b97ff7efc24de330d5375f025cba5

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 159bb1d34a927f58fc851798c7c09b58
SHA1 c3a26565004531f3a93e29eabb0f9a196b4c1ba2
SHA256 53b81439ff38712958d57d158f1402a299c3a131d521c3a7a4a30c56542db7bd
SHA512 b6f9a3d1cb628b79ca97a65645618190b20bfbddee0ceecea710c802d3d92cee3d1e3e675b5fb9ac994a0abb3f0681ed28abbab2fe61f4b54a0fb5d7a7f0034b

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 989c5352030fafd44b92adf4d4164738
SHA1 e02985c15eb20682115e3fc343f829e28770ed6c
SHA256 248c7793d113ca762bbe56b974f4c5902339dacb0b47ddd7c412340a623dfe38
SHA512 9ebcfc38952d968d608d68b2e8fbb56f5d02ed03e0e2d02661caeb50f804404d95fc45f22a8376ca88b69548c89c22b6c6a9acbb7fdcb5f6f906bd871b3465f1

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 d8be0d42e512d922804552250f01eb90
SHA1 cda2fd8fc9c4cdf15d5e2f07a4c633e21d11c9d3
SHA256 901619f668fe541b53d809cd550460f579985c3d2f3d899a557997e778eb1d82
SHA512 f53619e1ec3c9abc833f9fca1174529fb4a4723b64f7560059cd3147d74ea8fe945a7bd0034f6fb68c0e61b6782a26908d30a749a256e019031b5a6ac088eb97

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 1b2949b211ab497b739b1daf37cd4101
SHA1 12cad1063d28129ddd89e80acc2940f8dfbbaab3
SHA256 3e906a8373d1dfa40782f56710768abd4365933ad60f2ca9e974743c25b4cb6c
SHA512 a9e6555d435fe3e7a63059f20cd4c59531319421efcd90ca1d14498c28d9882ab0b7cd1af63dd50fa693b3b5a714db572d61867c56b86618423c7feaf043f2ef

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 8c6aa92ac8ffdfb7a0fb3dafd14d65f1
SHA1 cac3992d696a99a5dec2ab1c824c816117414b16
SHA256 dc98a84d679d0ba1e36e3142000fa9fd7c5cd4606e07cbcb33f12c98bc1510fa
SHA512 f17a7cbfc11ce2a258aee2857720dcc72ddcfd17ebe9c9b1b04bedb52835c2b35ca4bb649fd5ef3d7ef3f9585f87ef321efec52cb7524be3b83a919999c4900c

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 5da7efcc8d0fcdf2bad7890c3f8a27ca
SHA1 681788d5a3044eee8426d431bd786375cd32bf13
SHA256 7f142c13b7039582d0f10df0271f0e1feea35760a92bf0c5034f444066c92df8
SHA512 6e3281f2350c524f9c24ab4455d4c5a109875ead35a35aba3c085d90f99cbc64c6645dfcb805d7a5e670869e67feb481a655305236be8d716347a7c4696a358b

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 61ec72543aaac5c7b336d2b22f919c07
SHA1 5bddb1f73b24c2113e9bf8268640f75fb0f3bd8d
SHA256 088881ff28ef1240847decd884be366614865bf9660f862dbffa64d504467aea
SHA512 e8ed6c1813218a542e0449f6bcda47b9464f2445a5d4b20e20b657d5328eb9fd5ddf859e61794a0b3d32057590ac029064c078d5743fe1a316ca8fdf254f7f62

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 294976e85ad11a45853f99c1b208723f
SHA1 8d83101d69420b5af97ec517165d849d3ab498fc
SHA256 04fe02d621f3d9853840b27476da4a191fc91592a77632f9cf85d4ef0370acff
SHA512 e8193036e0e411afe75c1e23f9ce1a7f32d1297706cdd0d99c20375dd7a2bdfb23cc550015852f36816668f0d085042afe74fcfff294f90854ea70f3b929a9d6

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 752fd85212d47da8f0adc29004a573b2
SHA1 fa8fe3ff766601db46412879dc13dbec8d055965
SHA256 9faa69e9dabfb4beb40790bf12d0ae2ac0a879fb045e38c03b9e4d0ab569636e
SHA512 d7bbadb2ed764717dc01b012832e5c1debd6615bbdc121b5954e61d6364a03b2dd03718bdea26c5c2a6dbb6e33c5a7657c76862f6d8c0a916f7a0f9f8dd3b209

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 117efa689c5631c1a1ee316f123182bd
SHA1 f477bf1e9f4db8452bd9fe314cd18715f7045689
SHA256 79ed2f9f9de900b4f0a4869fc5dd40f1dcfb11a3f50bd7a5f362b30fe51b52e7
SHA512 abe34afa94cca236205e9ea954b95a78c986612cebd847f5146f792c00a5c58ca1fdc55be2befd974b5be77b1b117e28d8c4996f34b41c78b653725f21da4671

memory/1812-4231-0x0000000000400000-0x000000000048A000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 bef09dc596b7b91eec4f38765e0965b7
SHA1 b8bb8d2eb918e0979b08fd1967dac127874b9de5
SHA256 8dab724d5941eb7becff35ce1a76e8525dcdca024900e70758300dcdddf8e265
SHA512 0bbce4150b47bafb674f2074fdfc20df86edadb85037f93c541d1d53f721ed52e37a49d14522dac56e9d2e9ce801bcdb701509fa02285778a086d547f1be966a

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 54ca6e3ef1c12b994043e85a8c9895f0
SHA1 5eaccfb482cbe24cf5c3203ffdc926184097427e
SHA256 0db388471ad17c9c9b4a0a40b2536b7a6f27b8cc96775812d48d7009acb418c0
SHA512 925615f057558a00fb0ed3f9faeee2b70f3dd5469376de9381a387b3666c230fc0bb5b83fd3acf0169872e3c5f747cbdaff473d7fa389a5848f3828916680626

memory/2280-4352-0x0000000000400000-0x000000000048A000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 6fe56f6715b4c328bc5b2b35cb51c7e1
SHA1 8f4c2a2e2704c52fd6f01d9c58e4c7d843d69cc3
SHA256 0686dfa785bc9687be1a2bb42ef6c2e805a03f62b4af6c83bac7031e515189be
SHA512 8a19ba3f6e5678e92a6fd92a84f077e851a53a71a02622d87d5213a79f40540c7bbda17219f9349387e94edc75eb12fd2cb93e3b0abbcf9a85fc7d5e8bf3be0d

memory/3056-4474-0x0000000000400000-0x000000000048A000-memory.dmp

memory/1884-4595-0x0000000000400000-0x000000000048A000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 82fb85e6f9058c36d57abc2350ffee7e
SHA1 f52708d066380d42924513f697ab4ed5492f78b8
SHA256 0696a5c075674c13128a61fd02c3be39c68860dc24f3669415817d03c75415c6
SHA512 27c84e21ed39cc0ff6377d717b99ee444867eba7a74b878b30c8a7ec7df97003f02963399020abe09a73f4b6949c75580eb85067412f4ccdacc03e8caf5d966a

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 8a36f3bf3750851d8732b132fa330bb4
SHA1 1cb36be31f3d7d9439aac14af3d7a27f05a980eb
SHA256 5d88aebc1d13a61609ef057cb38dc9d7b0a04a47a7670a7591f40d1ea05b6ad9
SHA512 a822885389f3b12baed60b565646bed97aea1740e163e236ca3647fb63a9c15f6e21bc5ff92eb2d47bb6b1268c71ffb8e5e84006f3c04377d9d3a7c16434e646

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 f708dcfd087b5b3763678cfb8d63735e
SHA1 a38fa7fa516c1402762425176ff1b607db36c752
SHA256 abf4c5f7dbed40d58dc982256535a56128f86d5eaf163d634037ae2b61027a10
SHA512 fa0e84032b88e19fc67c5be846983cf89c8ba021351a0aa9cab0162ea27a3933dade0b78146b2230b0c57f218b18da52a5ce1d04b6f9746b21e4285e2540049c

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 6bf876cd9994f0d41be4eca36d22c42a
SHA1 50cda4b940e6ba730ce59000cfc59e6c4d7fdc79
SHA256 ff39ffe6e43e9b293c5be6aa85345e868a27215293e750c00e1e0ba676deeb2a
SHA512 605e2920cd230b6c617a2d4153f23144954cd4bae0f66b857e1b334cd66258fbc5ba049c1ab6ab83c30fd54c87235a115ec7bbfd17d6792a4bbbae4c6700e106

memory/596-4717-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2956-4837-0x0000000000400000-0x000000000048A000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 ff6c57e8ec2b96b8da7fe900f1f3da1c
SHA1 a6f0dc2e2a0a46e1031017b81825173054bf76ae
SHA256 ad103027edabf24721c50018ae32c2b34872f7f63a352d31591a2cd7174008d6
SHA512 c0069e816bdf494c149e6bc278dc63ad58e348ec90d9bf161f2558bea03e9622e4b0c03b1a6b2517e87ef4e748d4aac36fb853f70180b55521e56c9c4960babc

memory/588-4959-0x0000000000400000-0x000000000048A000-memory.dmp

memory/572-5082-0x0000000000400000-0x000000000048A000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 4be01c629881eddccb675ba267a66899
SHA1 23324e7814bcd157b27e810f4c786b0c39bfc9b1
SHA256 39c14522925e5e55bf1eefcd5beb8b7aae687158163082aac7ef5690c3524a30
SHA512 7c3063badaa57e3a39eea5d87e6bdbeec00793f9afd2bea52d3aa354e0bbd83e2a63966438fe7305f29a0ee6f45cb77d4613fe2d3b4f6719e16860deae764d55

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 4cee92ad10b11dbf325a40c64ff7d745
SHA1 b395313d0e979fede2261f8cc558fcebfefcae33
SHA256 eaeac48f16abac608c9bb5b8d0d363b2ca27708b262c1de41ab0f163c39a2fb1
SHA512 3f11992b0c8f7c6f0180f984392f86ea8eb1859be236e2bbfbc863226d3cac67b06700561f27fb673e2955c6ebc5b168dd28ca704de57c4f6c07bdbf14f75ec9

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 2e2266221550edce9a27c9060d5c2361
SHA1 f39f2d8f02f8b3a877d5969a81c4cb12679609f3
SHA256 e19af90814641d2c6cd15a7a53d676a4a7f63b4a80a14126824d1e63fdccdcdb
SHA512 e962cc55d1f9537159c34349a2fa5ffffc910de3e52cafa8347c43eded78b8e986ecb8e2e9ada5e2381b034151f17e6b984c279460e8e114e50ea58a64648864

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 a437192517c26d96c8cee8d5a27dd560
SHA1 f665a3e5e5c141e4527509dffd30b0320aa8df6f
SHA256 d0ec3ddd0503ee6ddae52c33b6c0b8780c73b8f27ca3aadc073f7fa512702e23
SHA512 f9538163b6c41ff5419cb12a9c103c0da5afbfe6237317985d45ff243c4f15ee89a86eab2b4d02cbda1a14596d2f24d3d1cdf05bb3e5fd931fbe9be4b869aa41

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 3bd23392c6fcc866c4561388c1dc72ac
SHA1 c4b1462473f1d97fed434014532ea344b8fc05c1
SHA256 696a382790ee24d6256b3618b1431eaf14c510a12ff2585edfeae430024c7a43
SHA512 15b3a33bb5d5d6e6b149773ff47ade4f22271264f058ad8439403df71d6ecfaa2729ef48487f43d68b517b15efed587b368bc6c5df549983de410ec23b55adb1

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 f31b2aa720a1c523c1e36a40ef21ee0d
SHA1 9c8089896c55e6e6a9cca99b1b98c544723d314e
SHA256 cea90761ea6ef6fb8ac98484b5720392534a9774e884c3e343ae29559aa0a716
SHA512 a679ce1192e15cd9b8dd4a3d7ecf85707ec23fa944c020b226172497c0b5600460558cfa9304ddf2c582a95e0fcd7f1b26004c8fba0ed9afcddc6ded770c85bb

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 2b307765b7465ef5e4935f0ed7307c01
SHA1 c46a1947f8b2785114891f7905f663d9ae517f1b
SHA256 a3f77536a922968bc49827a6c8553ed6b74eafd52e6c1fcfd62bfa20a83efc85
SHA512 fce4fbf9900f50368cb35ac40e60b54835912921848a45b196c6f68ad66a07549f27237956c751f511d2589cf91980658d4f1b743dd2c9c9506102da3be4bae2

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 47985593a44ee38c64665b04cbd4b84c
SHA1 84900c2b2e116a7b744730733f63f2a38b4eb76e
SHA256 4a62e43cadba3b8fa2ebead61f9509107d8453a6d66917aad5efab391a8f8e70
SHA512 abdd7f2f701a5572fd6b8b73ff4a013c1f9b157b20f4e193f9d1ed2b3ac4911fa36ffc84ca62d2ceea752a65af34ec77e3766e97e396a8470031990faff1a269

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 584f47a0068747b3295751a0d591f4ee
SHA1 7886a90e507c56d3a6105ecdfd9ff77939afa56f
SHA256 927fd19c24f20ac1dff028de9d73094b2591842248c95a20a8264abf1333aea5
SHA512 ca945aad3c2d9ecadff2bc30cf23902b1254cffdf572ff9d4e7c94659255fc3467899053e4a45d3b155900c7b5b91abedf03d31af7e39870015c85e424d04257

memory/2316-5204-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2500-5327-0x0000000000400000-0x000000000048A000-memory.dmp

memory/600-5449-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2676-5570-0x0000000000400000-0x000000000048A000-memory.dmp

memory/960-5692-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2924-5813-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2492-5934-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2796-6055-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2604-6177-0x0000000000400000-0x000000000048A000-memory.dmp

memory/352-6301-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2644-6422-0x0000000000400000-0x000000000048A000-memory.dmp

memory/904-6545-0x0000000000400000-0x000000000048A000-memory.dmp

memory/1920-6666-0x0000000000400000-0x000000000048A000-memory.dmp

memory/3064-6787-0x0000000000400000-0x000000000048A000-memory.dmp

memory/1636-6909-0x0000000000400000-0x000000000048A000-memory.dmp

memory/776-7029-0x0000000000400000-0x000000000048A000-memory.dmp

memory/1792-7148-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2060-7269-0x0000000000400000-0x000000000048A000-memory.dmp

memory/1488-7389-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2432-7509-0x0000000000400000-0x000000000048A000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 3a1a83c2ffad464e87a2f9a502b7b9f1
SHA1 4ffa65ecdd0455499c8cd6d05947605340cbf426
SHA256 73ed949fba75a20288ac2d1e367180d4c8837fd31c66143707768d5b0e3bd8b6
SHA512 8232967faaf29b8b93b5042ba2bb1fcb6d0f0f2fa0e19573b1fe49f526ba434c5e76e932829e3c71beb0903e42c293ed202b619fee8aba93efe4a99e8aec55e2

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 b99b0dc7cab4e69d365783a5c4273a83
SHA1 5fcc44aa2631c923e9961266a2e0dbeaaabe84da
SHA256 1fc967a5c8f7859ba0c410978d165085f241195fe4a31d61a127e38c30d435e4
SHA512 495474416f5eccd40829d42f050464903273d564cb862b1bd0657262485e634b5d466363cac085406c6d830f42a2f7b5648818b2efe6db1a90833a4b90a6a14d

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 a920eceddece6cf7f3487fd8e919af34
SHA1 a6dee2d31d4cbd1b18f5d3bc971521411a699889
SHA256 ec2d3952154412db3202f5c95e4d1b02c40a7f71f4458898ddc36e827a7b32d6
SHA512 a4700af2ce477c7ce33f434cdddd4031e88c3926d05475f522a753063269fe8b6e50b649c3e939272240194951cb70ac05df533978c19839e381141535275ecc

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 c6b0028a6f5508ef564d624eda0e72bc
SHA1 18901c9856a9af672c2e27383c15d2da41f27b6b
SHA256 b41f477ecd348b1c3e12ef410d67b712627ed0696769c2c8cc2f087d02121d06
SHA512 5d5f6fb437767096562f2ab9aac2cb75611afcc090b0a65ea63dfbadb3c4a73a3d45bbe139e43a7beea889370c76ac2eb2aa0fdffa92b69cfe47dd1ffbf10a71

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 9fa547ff360b09f7e093593af0b5a13b
SHA1 9debc99bb7450f59a7b09f16c0393e5c7a955ba4
SHA256 7ff65c0be2004867f536ce9b94783da4b5e4bc06cca5bd899933c8b68a44c705
SHA512 30e5aa130c6b0869dc3fbb79da54d42699be6de0af65c9127ea047548a22d98b68300f18432141207166687576ba86433d4ae9d3458dbcc2aec9f14198c58193

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 a7784814f96f4d714d70f0a64afd3520
SHA1 4204eb27ed46350f6608fe1717bb8ef745b94732
SHA256 c0040494b6a8c2f40ab157ccc5be9e99cbb7bb285fa39131f340a8501758b0fc
SHA512 f4fbd4d6d571a2399b997269966623dcda83085a85476b4166dbe41c507519ded016a13f92e8a37c9ea5a8b756ed601fee302a6a8122f581efcd99771b975474

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 c756b8eac93de58d57105a6c35adb50f
SHA1 b18d370dabc3c5b9e82d74f19bbc101a1be009f2
SHA256 853448e59c9bb7599fa8a5ff03a0b608781a02d41f58576f1192e0c48cb8d635
SHA512 09fbfe4a17b1fb6167c6889e5a0ab41cfef9e1372796e69c2558a50a002d9c1e2b0d81d45d7f96be9d02a8025d0ae276ecc01f135e9ccb04c301adcffd67d263

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 5f6aefafda312b288b7d555c1fc36dc9
SHA1 f25e2fdea9dd714d0fae68af71cace7bb49302ce
SHA256 60f6d3cbf831857bf18e46a43ff403a03e2035d9430a72d768ea9cec1947917a
SHA512 97f0250ba79b008d7632a2f32a7b851d9ca87f116b2854d5343c120511cfd55551a1f3eb3e0959602656b39b3f86003a0f9d04243ceb8b73d28eb9bb9449a6de

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 81f2f44f6ecac84e6336cf272aff53bf
SHA1 24d388235609e7560066b834be91c5407b202b1f
SHA256 b6c9d291084087663b29aa58c8a14f13ec1cb80a499c6ae60cc71002b6376636
SHA512 44efc9c05c4cdeb189308e894734cef5c83b8be80850441989e45c29671facecb7be9504291a6947443da227b35555ecd933136e2e819c20c2ddeafcf01b87ee

Analysis: behavioral2

Detonation Overview

Submitted

2024-02-29 06:31

Reported

2024-02-29 06:34

Platform

win10v2004-20240226-en

Max time kernel

150s

Max time network

113s

Command Line

"C:\Users\Admin\AppData\Local\Temp\ade99c01a1e92f6dc5c4a4bfec9649e3.exe"

Signatures

Detect Lumma Stealer payload V4

Description Indicator Process Target
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A

Lumma Stealer

stealer lumma

Modifies security service

evasion
Description Indicator Process Target
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Start = "4" C:\Windows\SysWOW64\regedit.exe N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wuauserv\Start = "4" N/A N/A
Set value (int) \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\wscsvc\Start = "4" N/A N/A

Executes dropped EXE

Description Indicator Process Target
N/A N/A C:\Windows\SysWOW64\jrmsat.com N/A
N/A N/A C:\Windows\SysWOW64\rvxxse.com N/A
N/A N/A C:\Windows\SysWOW64\brppzy.com N/A
N/A N/A C:\Windows\SysWOW64\lqbnsx.com N/A
N/A N/A C:\Windows\SysWOW64\wirkwn.com N/A
N/A N/A C:\Windows\SysWOW64\jcxaia.com N/A
N/A N/A C:\Windows\SysWOW64\wphqoe.com N/A
N/A N/A C:\Windows\SysWOW64\gkiivy.com N/A
N/A N/A C:\Windows\SysWOW64\tjcley.com N/A
N/A N/A C:\Windows\SysWOW64\gzfnug.com N/A
N/A N/A C:\Windows\SysWOW64\tmpdak.com N/A
N/A N/A C:\Windows\SysWOW64\hwvgdk.com N/A
N/A N/A C:\Windows\SysWOW64\qhkqqf.com N/A
N/A N/A C:\Windows\SysWOW64\eqrbte.com N/A
N/A N/A C:\Windows\SysWOW64\omslbz.com N/A
N/A N/A C:\Windows\SysWOW64\bgybul.com N/A
N/A N/A C:\Windows\SysWOW64\lbzlcg.com N/A
N/A N/A C:\Windows\SysWOW64\bozggl.com N/A
N/A N/A C:\Windows\SysWOW64\lqorto.com N/A
N/A N/A C:\Windows\SysWOW64\wiewye.com N/A
N/A N/A C:\Windows\SysWOW64\jzhrhm.com N/A
N/A N/A C:\Windows\SysWOW64\winckm.com N/A
N/A N/A C:\Windows\SysWOW64\gtcmfp.com N/A
N/A N/A C:\Windows\SysWOW64\tcjpip.com N/A
N/A N/A C:\Windows\SysWOW64\dfyzvs.com N/A
N/A N/A C:\Windows\SysWOW64\tgvhwt.com N/A
N/A N/A C:\Windows\SysWOW64\enzfhr.com N/A
N/A N/A C:\Windows\SysWOW64\oxpkui.com N/A
N/A N/A C:\Windows\SysWOW64\bwjncq.com N/A
N/A N/A C:\Windows\SysWOW64\oqpcou.com N/A
N/A N/A C:\Windows\SysWOW64\blhsty.com N/A
N/A N/A C:\Windows\SysWOW64\dgidbt.com N/A
N/A N/A C:\Windows\SysWOW64\totlik.com N/A
N/A N/A C:\Windows\SysWOW64\awhdca.com N/A
N/A N/A C:\Windows\SysWOW64\qmaljj.com N/A
N/A N/A C:\Windows\SysWOW64\vjxtok.com N/A
N/A N/A C:\Windows\SysWOW64\nywyzm.com N/A
N/A N/A C:\Windows\SysWOW64\eztoav.com N/A
N/A N/A C:\Windows\SysWOW64\ojiynq.com N/A
N/A N/A C:\Windows\SysWOW64\yfbjvk.com N/A
N/A N/A C:\Windows\SysWOW64\lstybo.com N/A
N/A N/A C:\Windows\SysWOW64\yfkops.com N/A
N/A N/A C:\Windows\SysWOW64\lsueuw.com N/A
N/A N/A C:\Windows\SysWOW64\wrgjfu.com N/A
N/A N/A C:\Windows\SysWOW64\gykhpt.com N/A
N/A N/A C:\Windows\SysWOW64\tpfjyt.com N/A
N/A N/A C:\Windows\SysWOW64\dhvhlk.com N/A
N/A N/A C:\Windows\SysWOW64\tarcuf.com N/A
N/A N/A C:\Windows\SysWOW64\btqcbm.com N/A
N/A N/A C:\Windows\SysWOW64\taahgf.com N/A
N/A N/A C:\Windows\SysWOW64\aiohsd.com N/A
N/A N/A C:\Windows\SysWOW64\qmwcwi.com N/A
N/A N/A C:\Windows\SysWOW64\wstkkj.com N/A
N/A N/A C:\Windows\SysWOW64\qyivkm.com N/A
N/A N/A C:\Windows\SysWOW64\yfwnfj.com N/A
N/A N/A C:\Windows\SysWOW64\ogtvgk.com N/A
N/A N/A C:\Windows\SysWOW64\yfxsqj.com N/A
N/A N/A C:\Windows\SysWOW64\lhdicv.com N/A
N/A N/A C:\Windows\SysWOW64\vdesjq.com N/A
N/A N/A C:\Windows\SysWOW64\iqvqpu.com N/A
N/A N/A C:\Windows\SysWOW64\voqtgu.com N/A
N/A N/A C:\Windows\SysWOW64\yjtikh.com N/A
N/A N/A C:\Windows\SysWOW64\quhise.com N/A
N/A N/A C:\Windows\SysWOW64\bmwgxd.com N/A

Drops file in System32 directory

Description Indicator Process Target
File created C:\Windows\SysWOW64\azjqry.com C:\Windows\SysWOW64\nmralu.com N/A
File created \??\c:\windows\SysWOW64\sm1.bat C:\Windows\SysWOW64\raenvc.com N/A
File opened for modification C:\Windows\SysWOW64\johyvj.com C:\Windows\SysWOW64\xpmdeb.com N/A
File opened for modification C:\Windows\SysWOW64\rpkjos.com C:\Windows\SysWOW64\egeglt.com N/A
File created \??\c:\windows\SysWOW64\sm1.bat N/A N/A
File opened for modification C:\Windows\SysWOW64\nstnny.com N/A N/A
File opened for modification C:\Windows\SysWOW64\iefvsj.com C:\Windows\SysWOW64\ybplxg.com N/A
File created \??\c:\windows\SysWOW64\sm1.bat C:\Windows\SysWOW64\lbzlcg.com N/A
File created C:\Windows\SysWOW64\dbbdns.com C:\Windows\SysWOW64\pojnho.com N/A
File opened for modification C:\Windows\SysWOW64\kshpvs.com C:\Windows\SysWOW64\xfqzpo.com N/A
File created C:\Windows\SysWOW64\jecipz.com C:\Windows\SysWOW64\zxxkea.com N/A
File opened for modification C:\Windows\SysWOW64\wmuhzo.com C:\Windows\SysWOW64\mufjny.com N/A
File created C:\Windows\SysWOW64\hfutpp.com C:\Windows\SysWOW64\tdnqmq.com N/A
File created C:\Windows\SysWOW64\qvjobd.com N/A N/A
File created \??\c:\windows\SysWOW64\sm1.bat N/A N/A
File opened for modification C:\Windows\SysWOW64\afxyzp.com C:\Windows\SysWOW64\lxmqsy.com N/A
File created \??\c:\windows\SysWOW64\sm1.bat C:\Windows\SysWOW64\kfrmum.com N/A
File opened for modification C:\Windows\SysWOW64\pojnho.com C:\Windows\SysWOW64\cbsxbk.com N/A
File created C:\Windows\SysWOW64\bmkqfj.com C:\Windows\SysWOW64\zzhokj.com N/A
File opened for modification C:\Windows\SysWOW64\zosxlq.com C:\Windows\SysWOW64\ppoatr.com N/A
File opened for modification C:\Windows\SysWOW64\tdnqmq.com C:\Windows\SysWOW64\giwaym.com N/A
File opened for modification C:\Windows\SysWOW64\ncrosh.com C:\Windows\SysWOW64\askdph.com N/A
File created \??\c:\windows\SysWOW64\sm1.bat C:\Windows\SysWOW64\hcknbg.com N/A
File opened for modification C:\Windows\SysWOW64\jlontf.com C:\Windows\SysWOW64\eutklx.com N/A
File created C:\Windows\SysWOW64\cmcfkb.com N/A N/A
File opened for modification C:\Windows\SysWOW64\ekcjxm.com N/A N/A
File opened for modification \??\c:\windows\SysWOW64\sm1.bat C:\Windows\SysWOW64\ugqcqr.com N/A
File opened for modification C:\Windows\SysWOW64\eonlwa.com C:\Windows\SysWOW64\rpkjos.com N/A
File created \??\c:\windows\SysWOW64\sm1.bat C:\Windows\SysWOW64\gaqzhe.com N/A
File created C:\Windows\SysWOW64\kuozpy.com N/A N/A
File created \??\c:\windows\SysWOW64\sm1.bat C:\Windows\SysWOW64\ppoatr.com N/A
File created C:\Windows\SysWOW64\wwvbbc.com C:\Windows\SysWOW64\jyszku.com N/A
File created C:\Windows\SysWOW64\jditdy.com C:\Windows\SysWOW64\vqrdxu.com N/A
File opened for modification \??\c:\windows\SysWOW64\sm1.bat N/A N/A
File created \??\c:\windows\SysWOW64\sm1.bat C:\Windows\SysWOW64\gxjtac.com N/A
File opened for modification C:\Windows\SysWOW64\aommcm.com C:\Windows\SysWOW64\nqkjue.com N/A
File opened for modification C:\Windows\SysWOW64\ekdoil.com N/A N/A
File opened for modification C:\Windows\SysWOW64\omslbz.com C:\Windows\SysWOW64\eqrbte.com N/A
File created C:\Windows\SysWOW64\vvaeei.com C:\Windows\SysWOW64\klkgzs.com N/A
File opened for modification C:\Windows\SysWOW64\qummmr.com N/A N/A
File created C:\Windows\SysWOW64\epqumg.com N/A N/A
File created \??\c:\windows\SysWOW64\sm1.bat N/A N/A
File created \??\c:\windows\SysWOW64\sm1.bat C:\Windows\SysWOW64\vxwjee.com N/A
File created C:\Windows\SysWOW64\mskgyw.com N/A N/A
File opened for modification C:\Windows\SysWOW64\rgqpas.com N/A N/A
File created C:\Windows\SysWOW64\udugjo.com C:\Windows\SysWOW64\hfzmbg.com N/A
File created \??\c:\windows\SysWOW64\sm1.bat C:\Windows\SysWOW64\pjnujt.com N/A
File created C:\Windows\SysWOW64\gjbizf.com C:\Windows\SysWOW64\ttzfqx.com N/A
File created C:\Windows\SysWOW64\gvaexa.com C:\Windows\SysWOW64\wwwhnb.com N/A
File created \??\c:\windows\SysWOW64\sm1.bat N/A N/A
File opened for modification C:\Windows\SysWOW64\lhyaqd.com N/A N/A
File opened for modification C:\Windows\SysWOW64\ojiynq.com C:\Windows\SysWOW64\eztoav.com N/A
File created \??\c:\windows\SysWOW64\sm1.bat C:\Windows\SysWOW64\pzyyuh.com N/A
File opened for modification C:\Windows\SysWOW64\xfqzpo.com C:\Windows\SysWOW64\ksyjjs.com N/A
File created C:\Windows\SysWOW64\pvzugx.com C:\Windows\SysWOW64\capxat.com N/A
File created C:\Windows\SysWOW64\ojqhmv.com C:\Windows\SysWOW64\bwgsgs.com N/A
File created \??\c:\windows\SysWOW64\sm1.bat N/A N/A
File created C:\Windows\SysWOW64\uilons.com C:\Windows\SysWOW64\knkwfy.com N/A
File opened for modification C:\Windows\SysWOW64\hrtpfl.com C:\Windows\SysWOW64\whdsau.com N/A
File created \??\c:\windows\SysWOW64\sm1.bat N/A N/A
File created C:\Windows\SysWOW64\nutoby.com N/A N/A
File opened for modification C:\Windows\SysWOW64\odbnmn.com N/A N/A
File opened for modification C:\Windows\SysWOW64\tpfjyt.com C:\Windows\SysWOW64\gykhpt.com N/A
File opened for modification C:\Windows\SysWOW64\swpngc.com C:\Windows\SysWOW64\ilaclz.com N/A

Runs .reg file with regedit

Description Indicator Process Target
N/A N/A N/A N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A N/A N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A N/A N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A N/A N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A N/A N/A
N/A N/A N/A N/A
N/A N/A C:\Windows\SysWOW64\regedit.exe N/A
N/A N/A N/A N/A

Suspicious use of WriteProcessMemory

Description Indicator Process Target
PID 1484 wrote to memory of 404 N/A C:\Users\Admin\AppData\Local\Temp\ade99c01a1e92f6dc5c4a4bfec9649e3.exe C:\Windows\SysWOW64\cmd.exe
PID 1484 wrote to memory of 404 N/A C:\Users\Admin\AppData\Local\Temp\ade99c01a1e92f6dc5c4a4bfec9649e3.exe C:\Windows\SysWOW64\cmd.exe
PID 1484 wrote to memory of 404 N/A C:\Users\Admin\AppData\Local\Temp\ade99c01a1e92f6dc5c4a4bfec9649e3.exe C:\Windows\SysWOW64\cmd.exe
PID 404 wrote to memory of 2352 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\regedit.exe
PID 404 wrote to memory of 2352 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\regedit.exe
PID 404 wrote to memory of 2352 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\regedit.exe
PID 1484 wrote to memory of 4516 N/A C:\Users\Admin\AppData\Local\Temp\ade99c01a1e92f6dc5c4a4bfec9649e3.exe C:\Windows\SysWOW64\jrmsat.com
PID 1484 wrote to memory of 4516 N/A C:\Users\Admin\AppData\Local\Temp\ade99c01a1e92f6dc5c4a4bfec9649e3.exe C:\Windows\SysWOW64\jrmsat.com
PID 1484 wrote to memory of 4516 N/A C:\Users\Admin\AppData\Local\Temp\ade99c01a1e92f6dc5c4a4bfec9649e3.exe C:\Windows\SysWOW64\jrmsat.com
PID 4516 wrote to memory of 1932 N/A C:\Windows\SysWOW64\jrmsat.com C:\Windows\SysWOW64\cmd.exe
PID 4516 wrote to memory of 1932 N/A C:\Windows\SysWOW64\jrmsat.com C:\Windows\SysWOW64\cmd.exe
PID 4516 wrote to memory of 1932 N/A C:\Windows\SysWOW64\jrmsat.com C:\Windows\SysWOW64\cmd.exe
PID 1932 wrote to memory of 4992 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\regedit.exe
PID 1932 wrote to memory of 4992 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\regedit.exe
PID 1932 wrote to memory of 4992 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\regedit.exe
PID 4516 wrote to memory of 2548 N/A C:\Windows\SysWOW64\jrmsat.com C:\Windows\SysWOW64\rvxxse.com
PID 4516 wrote to memory of 2548 N/A C:\Windows\SysWOW64\jrmsat.com C:\Windows\SysWOW64\rvxxse.com
PID 4516 wrote to memory of 2548 N/A C:\Windows\SysWOW64\jrmsat.com C:\Windows\SysWOW64\rvxxse.com
PID 2548 wrote to memory of 2412 N/A C:\Windows\SysWOW64\rvxxse.com C:\Windows\SysWOW64\cmd.exe
PID 2548 wrote to memory of 2412 N/A C:\Windows\SysWOW64\rvxxse.com C:\Windows\SysWOW64\cmd.exe
PID 2548 wrote to memory of 2412 N/A C:\Windows\SysWOW64\rvxxse.com C:\Windows\SysWOW64\cmd.exe
PID 2412 wrote to memory of 3872 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\regedit.exe
PID 2412 wrote to memory of 3872 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\regedit.exe
PID 2412 wrote to memory of 3872 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\regedit.exe
PID 2548 wrote to memory of 2276 N/A C:\Windows\SysWOW64\rvxxse.com C:\Windows\SysWOW64\brppzy.com
PID 2548 wrote to memory of 2276 N/A C:\Windows\SysWOW64\rvxxse.com C:\Windows\SysWOW64\brppzy.com
PID 2548 wrote to memory of 2276 N/A C:\Windows\SysWOW64\rvxxse.com C:\Windows\SysWOW64\brppzy.com
PID 2276 wrote to memory of 4664 N/A C:\Windows\SysWOW64\brppzy.com C:\Windows\SysWOW64\cmd.exe
PID 2276 wrote to memory of 4664 N/A C:\Windows\SysWOW64\brppzy.com C:\Windows\SysWOW64\cmd.exe
PID 2276 wrote to memory of 4664 N/A C:\Windows\SysWOW64\brppzy.com C:\Windows\SysWOW64\cmd.exe
PID 4664 wrote to memory of 2836 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\regedit.exe
PID 4664 wrote to memory of 2836 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\regedit.exe
PID 4664 wrote to memory of 2836 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\regedit.exe
PID 2276 wrote to memory of 1748 N/A C:\Windows\SysWOW64\brppzy.com C:\Windows\SysWOW64\lqbnsx.com
PID 2276 wrote to memory of 1748 N/A C:\Windows\SysWOW64\brppzy.com C:\Windows\SysWOW64\lqbnsx.com
PID 2276 wrote to memory of 1748 N/A C:\Windows\SysWOW64\brppzy.com C:\Windows\SysWOW64\lqbnsx.com
PID 1748 wrote to memory of 3416 N/A C:\Windows\SysWOW64\lqbnsx.com C:\Windows\SysWOW64\cmd.exe
PID 1748 wrote to memory of 3416 N/A C:\Windows\SysWOW64\lqbnsx.com C:\Windows\SysWOW64\cmd.exe
PID 1748 wrote to memory of 3416 N/A C:\Windows\SysWOW64\lqbnsx.com C:\Windows\SysWOW64\cmd.exe
PID 3416 wrote to memory of 516 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\regedit.exe
PID 3416 wrote to memory of 516 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\regedit.exe
PID 3416 wrote to memory of 516 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\regedit.exe
PID 1748 wrote to memory of 3076 N/A C:\Windows\SysWOW64\lqbnsx.com C:\Windows\SysWOW64\wirkwn.com
PID 1748 wrote to memory of 3076 N/A C:\Windows\SysWOW64\lqbnsx.com C:\Windows\SysWOW64\wirkwn.com
PID 1748 wrote to memory of 3076 N/A C:\Windows\SysWOW64\lqbnsx.com C:\Windows\SysWOW64\wirkwn.com
PID 3076 wrote to memory of 2932 N/A C:\Windows\SysWOW64\wirkwn.com C:\Windows\SysWOW64\cmd.exe
PID 3076 wrote to memory of 2932 N/A C:\Windows\SysWOW64\wirkwn.com C:\Windows\SysWOW64\cmd.exe
PID 3076 wrote to memory of 2932 N/A C:\Windows\SysWOW64\wirkwn.com C:\Windows\SysWOW64\cmd.exe
PID 3076 wrote to memory of 432 N/A C:\Windows\SysWOW64\wirkwn.com C:\Windows\SysWOW64\jcxaia.com
PID 3076 wrote to memory of 432 N/A C:\Windows\SysWOW64\wirkwn.com C:\Windows\SysWOW64\jcxaia.com
PID 3076 wrote to memory of 432 N/A C:\Windows\SysWOW64\wirkwn.com C:\Windows\SysWOW64\jcxaia.com
PID 432 wrote to memory of 4008 N/A C:\Windows\SysWOW64\jcxaia.com C:\Windows\SysWOW64\cmd.exe
PID 432 wrote to memory of 4008 N/A C:\Windows\SysWOW64\jcxaia.com C:\Windows\SysWOW64\cmd.exe
PID 432 wrote to memory of 4008 N/A C:\Windows\SysWOW64\jcxaia.com C:\Windows\SysWOW64\cmd.exe
PID 4008 wrote to memory of 5072 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\regedit.exe
PID 4008 wrote to memory of 5072 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\regedit.exe
PID 4008 wrote to memory of 5072 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\regedit.exe
PID 432 wrote to memory of 1448 N/A C:\Windows\SysWOW64\jcxaia.com C:\Windows\SysWOW64\wphqoe.com
PID 432 wrote to memory of 1448 N/A C:\Windows\SysWOW64\jcxaia.com C:\Windows\SysWOW64\wphqoe.com
PID 432 wrote to memory of 1448 N/A C:\Windows\SysWOW64\jcxaia.com C:\Windows\SysWOW64\wphqoe.com
PID 1448 wrote to memory of 3944 N/A C:\Windows\SysWOW64\wphqoe.com C:\Windows\SysWOW64\cmd.exe
PID 1448 wrote to memory of 3944 N/A C:\Windows\SysWOW64\wphqoe.com C:\Windows\SysWOW64\cmd.exe
PID 1448 wrote to memory of 3944 N/A C:\Windows\SysWOW64\wphqoe.com C:\Windows\SysWOW64\cmd.exe
PID 3944 wrote to memory of 4820 N/A C:\Windows\SysWOW64\cmd.exe C:\Windows\SysWOW64\regedit.exe

Processes

C:\Users\Admin\AppData\Local\Temp\ade99c01a1e92f6dc5c4a4bfec9649e3.exe

"C:\Users\Admin\AppData\Local\Temp\ade99c01a1e92f6dc5c4a4bfec9649e3.exe"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\jrmsat.com

C:\Windows\system32\jrmsat.com 1208 "C:\Users\Admin\AppData\Local\Temp\ade99c01a1e92f6dc5c4a4bfec9649e3.exe"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\rvxxse.com

C:\Windows\system32\rvxxse.com 1164 "C:\Windows\SysWOW64\jrmsat.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\brppzy.com

C:\Windows\system32\brppzy.com 1172 "C:\Windows\SysWOW64\rvxxse.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\lqbnsx.com

C:\Windows\system32\lqbnsx.com 1168 "C:\Windows\SysWOW64\brppzy.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\wirkwn.com

C:\Windows\system32\wirkwn.com 1176 "C:\Windows\SysWOW64\lqbnsx.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\jcxaia.com

C:\Windows\system32\jcxaia.com 1184 "C:\Windows\SysWOW64\wirkwn.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\wphqoe.com

C:\Windows\system32\wphqoe.com 1188 "C:\Windows\SysWOW64\jcxaia.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\gkiivy.com

C:\Windows\system32\gkiivy.com 1180 "C:\Windows\SysWOW64\wphqoe.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\tjcley.com

C:\Windows\system32\tjcley.com 1196 "C:\Windows\SysWOW64\gkiivy.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\gzfnug.com

C:\Windows\system32\gzfnug.com 1200 "C:\Windows\SysWOW64\tjcley.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\tmpdak.com

C:\Windows\system32\tmpdak.com 1204 "C:\Windows\SysWOW64\gzfnug.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\hwvgdk.com

C:\Windows\system32\hwvgdk.com 1212 "C:\Windows\SysWOW64\tmpdak.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\qhkqqf.com

C:\Windows\system32\qhkqqf.com 1192 "C:\Windows\SysWOW64\hwvgdk.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\eqrbte.com

C:\Windows\system32\eqrbte.com 1216 "C:\Windows\SysWOW64\qhkqqf.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\omslbz.com

C:\Windows\system32\omslbz.com 1224 "C:\Windows\SysWOW64\eqrbte.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\bgybul.com

C:\Windows\system32\bgybul.com 1228 "C:\Windows\SysWOW64\omslbz.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\lbzlcg.com

C:\Windows\system32\lbzlcg.com 1232 "C:\Windows\SysWOW64\bgybul.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\bozggl.com

C:\Windows\system32\bozggl.com 1236 "C:\Windows\SysWOW64\lbzlcg.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\lqorto.com

C:\Windows\system32\lqorto.com 1220 "C:\Windows\SysWOW64\bozggl.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\wiewye.com

C:\Windows\system32\wiewye.com 1240 "C:\Windows\SysWOW64\lqorto.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\jzhrhm.com

C:\Windows\system32\jzhrhm.com 1244 "C:\Windows\SysWOW64\wiewye.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\winckm.com

C:\Windows\system32\winckm.com 1248 "C:\Windows\SysWOW64\jzhrhm.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\gtcmfp.com

C:\Windows\system32\gtcmfp.com 1256 "C:\Windows\SysWOW64\winckm.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\tcjpip.com

C:\Windows\system32\tcjpip.com 1260 "C:\Windows\SysWOW64\gtcmfp.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\dfyzvs.com

C:\Windows\system32\dfyzvs.com 1264 "C:\Windows\SysWOW64\tcjpip.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\tgvhwt.com

C:\Windows\system32\tgvhwt.com 1252 "C:\Windows\SysWOW64\dfyzvs.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\enzfhr.com

C:\Windows\system32\enzfhr.com 1272 "C:\Windows\SysWOW64\tgvhwt.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\oxpkui.com

C:\Windows\system32\oxpkui.com 1276 "C:\Windows\SysWOW64\enzfhr.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\bwjncq.com

C:\Windows\system32\bwjncq.com 1280 "C:\Windows\SysWOW64\oxpkui.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\oqpcou.com

C:\Windows\system32\oqpcou.com 1284 "C:\Windows\SysWOW64\bwjncq.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\blhsty.com

C:\Windows\system32\blhsty.com 1288 "C:\Windows\SysWOW64\oqpcou.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\dgidbt.com

C:\Windows\system32\dgidbt.com 1268 "C:\Windows\SysWOW64\blhsty.com"

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\totlik.com

C:\Windows\system32\totlik.com 1292 "C:\Windows\SysWOW64\dgidbt.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\awhdca.com

C:\Windows\system32\awhdca.com 1296 "C:\Windows\SysWOW64\totlik.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\qmaljj.com

C:\Windows\system32\qmaljj.com 1300 "C:\Windows\SysWOW64\awhdca.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\vjxtok.com

C:\Windows\system32\vjxtok.com 1304 "C:\Windows\SysWOW64\qmaljj.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\nywyzm.com

C:\Windows\system32\nywyzm.com 1312 "C:\Windows\SysWOW64\vjxtok.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\eztoav.com

C:\Windows\system32\eztoav.com 1308 "C:\Windows\SysWOW64\nywyzm.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\ojiynq.com

C:\Windows\system32\ojiynq.com 1320 "C:\Windows\SysWOW64\eztoav.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\yfbjvk.com

C:\Windows\system32\yfbjvk.com 1316 "C:\Windows\SysWOW64\ojiynq.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\lstybo.com

C:\Windows\system32\lstybo.com 1324 "C:\Windows\SysWOW64\yfbjvk.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\yfkops.com

C:\Windows\system32\yfkops.com 1332 "C:\Windows\SysWOW64\lstybo.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\lsueuw.com

C:\Windows\system32\lsueuw.com 1328 "C:\Windows\SysWOW64\yfkops.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\wrgjfu.com

C:\Windows\system32\wrgjfu.com 1336 "C:\Windows\SysWOW64\lsueuw.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\gykhpt.com

C:\Windows\system32\gykhpt.com 1344 "C:\Windows\SysWOW64\wrgjfu.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\tpfjyt.com

C:\Windows\system32\tpfjyt.com 1340 "C:\Windows\SysWOW64\gykhpt.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\dhvhlk.com

C:\Windows\system32\dhvhlk.com 1352 "C:\Windows\SysWOW64\tpfjyt.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\tarcuf.com

C:\Windows\system32\tarcuf.com 1348 "C:\Windows\SysWOW64\dhvhlk.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\btqcbm.com

C:\Windows\system32\btqcbm.com 1356 "C:\Windows\SysWOW64\tarcuf.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\taahgf.com

C:\Windows\system32\taahgf.com 1360 "C:\Windows\SysWOW64\btqcbm.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\aiohsd.com

C:\Windows\system32\aiohsd.com 1368 "C:\Windows\SysWOW64\taahgf.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\qmwcwi.com

C:\Windows\system32\qmwcwi.com 1372 "C:\Windows\SysWOW64\aiohsd.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\wstkkj.com

C:\Windows\system32\wstkkj.com 1364 "C:\Windows\SysWOW64\qmwcwi.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\qyivkm.com

C:\Windows\system32\qyivkm.com 1376 "C:\Windows\SysWOW64\wstkkj.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\yfwnfj.com

C:\Windows\system32\yfwnfj.com 1384 "C:\Windows\SysWOW64\qyivkm.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ogtvgk.com

C:\Windows\system32\ogtvgk.com 1388 "C:\Windows\SysWOW64\yfwnfj.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\yfxsqj.com

C:\Windows\system32\yfxsqj.com 1380 "C:\Windows\SysWOW64\ogtvgk.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\lhdicv.com

C:\Windows\system32\lhdicv.com 1400 "C:\Windows\SysWOW64\yfxsqj.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\vdesjq.com

C:\Windows\system32\vdesjq.com 1396 "C:\Windows\SysWOW64\lhdicv.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\iqvqpu.com

C:\Windows\system32\iqvqpu.com 1392 "C:\Windows\SysWOW64\vdesjq.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\voqtgu.com

C:\Windows\system32\voqtgu.com 1408 "C:\Windows\SysWOW64\iqvqpu.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\yjtikh.com

C:\Windows\system32\yjtikh.com 1036 "C:\Windows\SysWOW64\voqtgu.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\quhise.com

C:\Windows\system32\quhise.com 1412 "C:\Windows\SysWOW64\yjtikh.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\bmwgxd.com

C:\Windows\system32\bmwgxd.com 1416 "C:\Windows\SysWOW64\quhise.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\lxmqsy.com

C:\Windows\system32\lxmqsy.com 1420 "C:\Windows\SysWOW64\bmwgxd.com"

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\afxyzp.com

C:\Windows\system32\afxyzp.com 1424 "C:\Windows\SysWOW64\lxmqsy.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ifwyfw.com

C:\Windows\system32\ifwyfw.com 1432 "C:\Windows\SysWOW64\afxyzp.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\txmwkm.com

C:\Windows\system32\txmwkm.com 1428 "C:\Windows\SysWOW64\ifwyfw.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\dabgfp.com

C:\Windows\system32\dabgfp.com 1436 "C:\Windows\SysWOW64\txmwkm.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\vlphfm.com

C:\Windows\system32\vlphfm.com 1444 "C:\Windows\SysWOW64\dabgfp.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\gztzpy.com

C:\Windows\system32\gztzpy.com 1448 "C:\Windows\SysWOW64\vlphfm.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\tqwuyg.com

C:\Windows\system32\tqwuyg.com 1440 "C:\Windows\SysWOW64\gztzpy.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ggqwgp.com

C:\Windows\system32\ggqwgp.com 1456 "C:\Windows\SysWOW64\tqwuyg.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\tflzpp.com

C:\Windows\system32\tflzpp.com 1460 "C:\Windows\SysWOW64\ggqwgp.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\dxbfun.com

C:\Windows\system32\dxbfun.com 1452 "C:\Windows\SysWOW64\tflzpp.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\qrhufr.com

C:\Windows\system32\qrhufr.com 1464 "C:\Windows\SysWOW64\dxbfun.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\qodhrc.com

C:\Windows\system32\qodhrc.com 1468 "C:\Windows\SysWOW64\qrhufr.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\fldheu.com

C:\Windows\system32\fldheu.com 1472 "C:\Windows\SysWOW64\qodhrc.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\qvsnik.com

C:\Windows\system32\qvsnik.com 1476 "C:\Windows\SysWOW64\fldheu.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\dxyuux.com

C:\Windows\system32\dxyuux.com 1484 "C:\Windows\SysWOW64\qvsnik.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\issxfl.com

C:\Windows\system32\issxfl.com 1144 "C:\Windows\SysWOW64\dxyuux.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\acfqmj.com

C:\Windows\system32\acfqmj.com 1492 "C:\Windows\SysWOW64\issxfl.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\lbknxh.com

C:\Windows\system32\lbknxh.com 1496 "C:\Windows\SysWOW64\acfqmj.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\scrndw.com

C:\Windows\system32\scrndw.com 1500 "C:\Windows\SysWOW64\lbknxh.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\lbtaip.com

C:\Windows\system32\lbtaip.com 1504 "C:\Windows\SysWOW64\scrndw.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\qomicz.com

C:\Windows\system32\qomicz.com 1508 "C:\Windows\SysWOW64\lbtaip.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\lnftxt.com

C:\Windows\system32\lnftxt.com 1488 "C:\Windows\SysWOW64\qomicz.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\vmjqps.com

C:\Windows\system32\vmjqps.com 1516 "C:\Windows\SysWOW64\lnftxt.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\iketya.com

C:\Windows\system32\iketya.com 1520 "C:\Windows\SysWOW64\vmjqps.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\vxwjee.com

C:\Windows\system32\vxwjee.com 1524 "C:\Windows\SysWOW64\iketya.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\fxagod.com

C:\Windows\system32\fxagod.com 1528 "C:\Windows\SysWOW64\vxwjee.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\tkrwuz.com

C:\Windows\system32\tkrwuz.com 1532 "C:\Windows\SysWOW64\fxagod.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\gxjtac.com

C:\Windows\system32\gxjtac.com 1512 "C:\Windows\SysWOW64\tkrwuz.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\qhywvg.com

C:\Windows\system32\qhywvg.com 1540 "C:\Windows\SysWOW64\gxjtac.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\duiubj.com

C:\Windows\system32\duiubj.com 1544 "C:\Windows\SysWOW64\qhywvg.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\qeowej.com

C:\Windows\system32\qeowej.com 1548 "C:\Windows\SysWOW64\duiubj.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\aodhrm.com

C:\Windows\system32\aodhrm.com 1552 "C:\Windows\SysWOW64\qeowej.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\nqkjue.com

C:\Windows\system32\nqkjue.com 1556 "C:\Windows\SysWOW64\aodhrm.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\aommcm.com

C:\Windows\system32\aommcm.com 1536 "C:\Windows\SysWOW64\nqkjue.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\lnrknl.com

C:\Windows\system32\lnrknl.com 1564 "C:\Windows\SysWOW64\aommcm.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\yxxuyk.com

C:\Windows\system32\yxxuyk.com 1568 "C:\Windows\SysWOW64\lnrknl.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\kcopmt.com

C:\Windows\system32\kcopmt.com 1560 "C:\Windows\SysWOW64\yxxuyk.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\vyhhun.com

C:\Windows\system32\vyhhun.com 1576 "C:\Windows\SysWOW64\kcopmt.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ilzxzr.com

C:\Windows\system32\ilzxzr.com 1572 "C:\Windows\SysWOW64\vyhhun.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\vyqnfv.com

C:\Windows\system32\vyqnfv.com 1584 "C:\Windows\SysWOW64\ilzxzr.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ilaclz.com

C:\Windows\system32\ilaclz.com 1580 "C:\Windows\SysWOW64\vyqnfv.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\swpngc.com

C:\Windows\system32\swpngc.com 1592 "C:\Windows\SysWOW64\ilaclz.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\gfvyjt.com

C:\Windows\system32\gfvyjt.com 1596 "C:\Windows\SysWOW64\swpngc.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\swyasc.com

C:\Windows\system32\swyasc.com 1600 "C:\Windows\SysWOW64\gfvyjt.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\gjiqyf.com

C:\Windows\system32\gjiqyf.com 1588 "C:\Windows\SysWOW64\swyasc.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\qqunie.com

C:\Windows\system32\qqunie.com 1608 "C:\Windows\SysWOW64\gjiqyf.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ddddoi.com

C:\Windows\system32\ddddoi.com 1604 "C:\Windows\SysWOW64\qqunie.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\qtggwi.com

C:\Windows\system32\qtggwi.com 1616 "C:\Windows\SysWOW64\ddddoi.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\askdph.com

C:\Windows\system32\askdph.com 1612 "C:\Windows\SysWOW64\qtggwi.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ncrosh.com

C:\Windows\system32\ncrosh.com 1620 "C:\Windows\SysWOW64\askdph.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\yjvlcf.com

C:\Windows\system32\yjvlcf.com 1628 "C:\Windows\SysWOW64\ncrosh.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\nroljp.com

C:\Windows\system32\nroljp.com 1632 "C:\Windows\SysWOW64\yjvlcf.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\xqsrto.com

C:\Windows\system32\xqsrto.com 1636 "C:\Windows\SysWOW64\nroljp.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\klkgzs.com

C:\Windows\system32\klkgzs.com 1640 "C:\Windows\SysWOW64\xqsrto.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\vvaeei.com

C:\Windows\system32\vvaeei.com 1644 "C:\Windows\SysWOW64\klkgzs.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ixguxu.com

C:\Windows\system32\ixguxu.com 1648 "C:\Windows\SysWOW64\vvaeei.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\kpvzck.com

C:\Windows\system32\kpvzck.com 1652 "C:\Windows\SysWOW64\ixguxu.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\vozwnj.com

C:\Windows\system32\vozwnj.com 1624 "C:\Windows\SysWOW64\kpvzck.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\nvccsc.com

C:\Windows\system32\nvccsc.com 1656 "C:\Windows\SysWOW64\vozwnj.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\xrcuzw.com

C:\Windows\system32\xrcuzw.com 1664 "C:\Windows\SysWOW64\nvccsc.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\kliclj.com

C:\Windows\system32\kliclj.com 1668 "C:\Windows\SysWOW64\xrcuzw.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\xgazrf.com

C:\Windows\system32\xgazrf.com 1672 "C:\Windows\SysWOW64\kliclj.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ktkpwj.com

C:\Windows\system32\ktkpwj.com 1480 "C:\Windows\SysWOW64\xgazrf.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ygbfcn.com

C:\Windows\system32\ygbfcn.com 1680 "C:\Windows\SysWOW64\ktkpwj.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\fopxwc.com

C:\Windows\system32\fopxwc.com 1676 "C:\Windows\SysWOW64\ygbfcn.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\serafk.com

C:\Windows\system32\serafk.com 1684 "C:\Windows\SysWOW64\fopxwc.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\caksnf.com

C:\Windows\system32\caksnf.com 1692 "C:\Windows\SysWOW64\serafk.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\pynvdn.com

C:\Windows\system32\pynvdn.com 1696 "C:\Windows\SysWOW64\caksnf.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\fzcdwo.com

C:\Windows\system32\fzcdwo.com 1688 "C:\Windows\SysWOW64\pynvdn.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\sqfgfw.com

C:\Windows\system32\sqfgfw.com 1704 "C:\Windows\SysWOW64\fzcdwo.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\axsyzl.com

C:\Windows\system32\axsyzl.com 1708 "C:\Windows\SysWOW64\sqfgfw.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\pnmggv.com

C:\Windows\system32\pnmggv.com 1712 "C:\Windows\SysWOW64\axsyzl.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cehipd.com

C:\Windows\system32\cehipd.com 1716 "C:\Windows\SysWOW64\pnmggv.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\pzyyuh.com

C:\Windows\system32\pzyyuh.com 1720 "C:\Windows\SysWOW64\cehipd.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\xrxyjo.com

C:\Windows\system32\xrxyjo.com 1700 "C:\Windows\SysWOW64\pzyyuh.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ktdoua.com

C:\Windows\system32\ktdoua.com 1728 "C:\Windows\SysWOW64\xrxyjo.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\xgneae.com

C:\Windows\system32\xgneae.com 1660 "C:\Windows\SysWOW64\ktdoua.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\nwyehn.com

C:\Windows\system32\nwyehn.com 1736 "C:\Windows\SysWOW64\xgneae.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\xszwpi.com

C:\Windows\system32\xszwpi.com 1740 "C:\Windows\SysWOW64\nwyehn.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\kfrmum.com

C:\Windows\system32\kfrmum.com 1744 "C:\Windows\SysWOW64\xszwpi.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\sneepb.com

C:\Windows\system32\sneepb.com 1732 "C:\Windows\SysWOW64\kfrmum.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\iobuik.com

C:\Windows\system32\iobuik.com 1752 "C:\Windows\SysWOW64\sneepb.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\xhyhry.com

C:\Windows\system32\xhyhry.com 1748 "C:\Windows\SysWOW64\iobuik.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\kupxxc.com

C:\Windows\system32\kupxxc.com 1760 "C:\Windows\SysWOW64\xhyhry.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\syrkpn.com

C:\Windows\system32\syrkpn.com 1764 "C:\Windows\SysWOW64\kupxxc.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\fpumxv.com

C:\Windows\system32\fpumxv.com 1756 "C:\Windows\SysWOW64\syrkpn.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\snppgv.com

C:\Windows\system32\snppgv.com 1772 "C:\Windows\SysWOW64\fpumxv.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\fahfmz.com

C:\Windows\system32\fahfmz.com 1776 "C:\Windows\SysWOW64\snppgv.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\nerkdk.com

C:\Windows\system32\nerkdk.com 1780 "C:\Windows\SysWOW64\fahfmz.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\fetxad.com

C:\Windows\system32\fetxad.com 1768 "C:\Windows\SysWOW64\nerkdk.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\poiivg.com

C:\Windows\system32\poiivg.com 1784 "C:\Windows\SysWOW64\fetxad.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cbsxbk.com

C:\Windows\system32\cbsxbk.com 1788 "C:\Windows\SysWOW64\poiivg.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\pojnho.com

C:\Windows\system32\pojnho.com 1792 "C:\Windows\SysWOW64\cbsxbk.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\dbbdns.com

C:\Windows\system32\dbbdns.com 1796 "C:\Windows\SysWOW64\pojnho.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\nxuvum.com

C:\Windows\system32\nxuvum.com 1804 "C:\Windows\SysWOW64\dbbdns.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\azadgr.com

C:\Windows\system32\azadgr.com 1800 "C:\Windows\SysWOW64\nxuvum.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\nmralu.com

C:\Windows\system32\nmralu.com 1812 "C:\Windows\SysWOW64\azadgr.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\azjqry.com

C:\Windows\system32\azjqry.com 1816 "C:\Windows\SysWOW64\nmralu.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\iziqgf.com

C:\Windows\system32\iziqgf.com 1820 "C:\Windows\SysWOW64\azjqry.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\vqdton.com

C:\Windows\system32\vqdton.com 1824 "C:\Windows\SysWOW64\iziqgf.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\kgotvx.com

C:\Windows\system32\kgotvx.com 1828 "C:\Windows\SysWOW64\vqdton.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\uiedia.com

C:\Windows\system32\uiedia.com 1832 "C:\Windows\SysWOW64\kgotvx.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\zhggri.com

C:\Windows\system32\zhggri.com 1836 "C:\Windows\SysWOW64\uiedia.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\muqwxm.com

C:\Windows\system32\muqwxm.com 1840 "C:\Windows\SysWOW64\zhggri.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\adwhid.com

C:\Windows\system32\adwhid.com 1844 "C:\Windows\SysWOW64\muqwxm.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\nuzjqm.com

C:\Windows\system32\nuzjqm.com 1848 "C:\Windows\SysWOW64\adwhid.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\xtdhbk.com

C:\Windows\system32\xtdhbk.com 1852 "C:\Windows\SysWOW64\nuzjqm.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ksyjjs.com

C:\Windows\system32\ksyjjs.com 1808 "C:\Windows\SysWOW64\xtdhbk.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\xfqzpo.com

C:\Windows\system32\xfqzpo.com 1860 "C:\Windows\SysWOW64\ksyjjs.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\kshpvs.com

C:\Windows\system32\kshpvs.com 1856 "C:\Windows\SysWOW64\xfqzpo.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ucwzqv.com

C:\Windows\system32\ucwzqv.com 1868 "C:\Windows\SysWOW64\kshpvs.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\hpgpwz.com

C:\Windows\system32\hpgpwz.com 1864 "C:\Windows\SysWOW64\ucwzqv.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ucyfcd.com

C:\Windows\system32\ucyfcd.com 1876 "C:\Windows\SysWOW64\hpgpwz.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\hppciz.com

C:\Windows\system32\hppciz.com 1872 "C:\Windows\SysWOW64\ucyfcd.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\raenvc.com

C:\Windows\system32\raenvc.com 1880 "C:\Windows\SysWOW64\hppciz.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\fjlpyb.com

C:\Windows\system32\fjlpyb.com 1888 "C:\Windows\SysWOW64\raenvc.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\sagshk.com

C:\Windows\system32\sagshk.com 1892 "C:\Windows\SysWOW64\fjlpyb.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\fnximn.com

C:\Windows\system32\fnximn.com 1896 "C:\Windows\SysWOW64\sagshk.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\pxnsij.com

C:\Windows\system32\pxnsij.com 1900 "C:\Windows\SysWOW64\fnximn.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ckwinm.com

C:\Windows\system32\ckwinm.com 1064 "C:\Windows\SysWOW64\pxnsij.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\pxoytq.com

C:\Windows\system32\pxoytq.com 1908 "C:\Windows\SysWOW64\ckwinm.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ztoqbl.com

C:\Windows\system32\ztoqbl.com 1912 "C:\Windows\SysWOW64\pxoytq.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\mvvymx.com

C:\Windows\system32\mvvymx.com 1916 "C:\Windows\SysWOW64\ztoqbl.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\xrnqcs.com

C:\Windows\system32\xrnqcs.com 1920 "C:\Windows\SysWOW64\mvvymx.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\nrkyvt.com

C:\Windows\system32\nrkyvt.com 1924 "C:\Windows\SysWOW64\xrnqcs.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\xuajqw.com

C:\Windows\system32\xuajqw.com 1904 "C:\Windows\SysWOW64\nrkyvt.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\hqbtyq.com

C:\Windows\system32\hqbtyq.com 1068 "C:\Windows\SysWOW64\xuajqw.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\xcbocd.com

C:\Windows\system32\xcbocd.com 1936 "C:\Windows\SysWOW64\hqbtyq.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\kterke.com

C:\Windows\system32\kterke.com 1940 "C:\Windows\SysWOW64\xcbocd.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\usiovc.com

C:\Windows\system32\usiovc.com 1944 "C:\Windows\SysWOW64\kterke.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\hfzmbg.com

C:\Windows\system32\hfzmbg.com 1948 "C:\Windows\SysWOW64\usiovc.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\udugjo.com

C:\Windows\system32\udugjo.com 1952 "C:\Windows\SysWOW64\hfzmbg.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\hnarug.com

C:\Windows\system32\hnarug.com 1956 "C:\Windows\SysWOW64\udugjo.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\smnpff.com

C:\Windows\system32\smnpff.com 1960 "C:\Windows\SysWOW64\hnarug.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\fchrnn.com

C:\Windows\system32\fchrnn.com 1932 "C:\Windows\SysWOW64\smnpff.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\pjmpym.com

C:\Windows\system32\pjmpym.com 1964 "C:\Windows\SysWOW64\fchrnn.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\fkixzu.com

C:\Windows\system32\fkixzu.com 1972 "C:\Windows\SysWOW64\pjmpym.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\pjnujt.com

C:\Windows\system32\pjnujt.com 1976 "C:\Windows\SysWOW64\fkixzu.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\capxat.com

C:\Windows\system32\capxat.com 1968 "C:\Windows\SysWOW64\pjnujt.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\pvzugx.com

C:\Windows\system32\pvzugx.com 1984 "C:\Windows\SysWOW64\capxat.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cirklb.com

C:\Windows\system32\cirklb.com 1988 "C:\Windows\SysWOW64\pvzugx.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\mhviwa.com

C:\Windows\system32\mhviwa.com 1980 "C:\Windows\SysWOW64\cirklb.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\zxxkea.com

C:\Windows\system32\zxxkea.com 1992 "C:\Windows\SysWOW64\mhviwa.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\jecipz.com

C:\Windows\system32\jecipz.com 2016 "C:\Windows\SysWOW64\zxxkea.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\xrtxdd.com

C:\Windows\system32\xrtxdd.com 2000 "C:\Windows\SysWOW64\jecipz.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\hnuqkx.com

C:\Windows\system32\hnuqkx.com 2004 "C:\Windows\SysWOW64\xrtxdd.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\uepttf.com

C:\Windows\system32\uepttf.com 1996 "C:\Windows\SysWOW64\hnuqkx.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\hcknbg.com

C:\Windows\system32\hcknbg.com 2008 "C:\Windows\SysWOW64\uepttf.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\mpblhj.com

C:\Windows\system32\mpblhj.com 2012 "C:\Windows\SysWOW64\hcknbg.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\zzhokj.com

C:\Windows\system32\zzhokj.com 2024 "C:\Windows\SysWOW64\mpblhj.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\bmkqfj.com

C:\Windows\system32\bmkqfj.com 2028 "C:\Windows\SysWOW64\zzhokj.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\xldbim.com

C:\Windows\system32\xldbim.com 2032 "C:\Windows\SysWOW64\bmkqfj.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\jnjquq.com

C:\Windows\system32\jnjquq.com 2036 "C:\Windows\SysWOW64\xldbim.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\xwptxq.com

C:\Windows\system32\xwptxq.com 2040 "C:\Windows\SysWOW64\jnjquq.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\knkwfy.com

C:\Windows\system32\knkwfy.com 2044 "C:\Windows\SysWOW64\xwptxq.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\uilons.com

C:\Windows\system32\uilons.com 2020 "C:\Windows\SysWOW64\knkwfy.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\etbzav.com

C:\Windows\system32\etbzav.com 2052 "C:\Windows\SysWOW64\uilons.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\uxbuea.com

C:\Windows\system32\uxbuea.com 2060 "C:\Windows\SysWOW64\etbzav.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\hksjke.com

C:\Windows\system32\hksjke.com 2056 "C:\Windows\SysWOW64\uxbuea.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\rjwhcd.com

C:\Windows\system32\rjwhcd.com 2064 "C:\Windows\SysWOW64\hksjke.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\eizkll.com

C:\Windows\system32\eizkll.com 2072 "C:\Windows\SysWOW64\rjwhcd.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\rvjzrh.com

C:\Windows\system32\rvjzrh.com 2076 "C:\Windows\SysWOW64\eizkll.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\eiapxl.com

C:\Windows\system32\eiapxl.com 2080 "C:\Windows\SysWOW64\rvjzrh.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\pdbhef.com

C:\Windows\system32\pdbhef.com 2084 "C:\Windows\SysWOW64\eiapxl.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\wlpzyv.com

C:\Windows\system32\wlpzyv.com 2088 "C:\Windows\SysWOW64\pdbhef.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ppoatr.com

C:\Windows\system32\ppoatr.com 2092 "C:\Windows\SysWOW64\wlpzyv.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\zosxlq.com

C:\Windows\system32\zosxlq.com 2096 "C:\Windows\SysWOW64\ppoatr.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\memauq.com

C:\Windows\system32\memauq.com 2068 "C:\Windows\SysWOW64\zosxlq.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\wezxep.com

C:\Windows\system32\wezxep.com 2100 "C:\Windows\SysWOW64\memauq.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\mqzsic.com

C:\Windows\system32\mqzsic.com 2108 "C:\Windows\SysWOW64\wezxep.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\wplqtb.com

C:\Windows\system32\wplqtb.com 2112 "C:\Windows\SysWOW64\mqzsic.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\jcvfyx.com

C:\Windows\system32\jcvfyx.com 2116 "C:\Windows\SysWOW64\wplqtb.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\xpmdeb.com

C:\Windows\system32\xpmdeb.com 2120 "C:\Windows\SysWOW64\jcvfyx.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\johyvj.com

C:\Windows\system32\johyvj.com 2124 "C:\Windows\SysWOW64\xpmdeb.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\pppbdo.com

C:\Windows\system32\pppbdo.com 2128 "C:\Windows\SysWOW64\johyvj.com"

C:\Windows\SysWOW64\hadtlm.com

C:\Windows\system32\hadtlm.com 2104 "C:\Windows\SysWOW64\pppbdo.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\unujri.com

C:\Windows\system32\unujri.com 2136 "C:\Windows\SysWOW64\hadtlm.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\himyxl.com

C:\Windows\system32\himyxl.com 2140 "C:\Windows\SysWOW64\unujri.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\rkbjko.com

C:\Windows\system32\rkbjko.com 2144 "C:\Windows\SysWOW64\himyxl.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\euhlvo.com

C:\Windows\system32\euhlvo.com 2148 "C:\Windows\SysWOW64\rkbjko.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\rkcodo.com

C:\Windows\system32\rkcodo.com 2152 "C:\Windows\SysWOW64\euhlvo.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\efmmjs.com

C:\Windows\system32\efmmjs.com 2156 "C:\Windows\SysWOW64\rkcodo.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\oijowv.com

C:\Windows\system32\oijowv.com 2160 "C:\Windows\SysWOW64\efmmjs.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cvtmcz.com

C:\Windows\system32\cvtmcz.com 2132 "C:\Windows\SysWOW64\oijowv.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\mufjny.com

C:\Windows\system32\mufjny.com 2164 "C:\Windows\SysWOW64\cvtmcz.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\wmuhzo.com

C:\Windows\system32\wmuhzo.com 2168 "C:\Windows\SysWOW64\mufjny.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\mcgpgx.com

C:\Windows\system32\mcgpgx.com 2176 "C:\Windows\SysWOW64\wmuhzo.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\ugqcqr.com

C:\Windows\system32\ugqcqr.com 2172 "C:\Windows\SysWOW64\mcgpgx.com"

C:\Windows\SysWOW64\jsnpze.com

C:\Windows\system32\jsnpze.com 2184 "C:\Windows\SysWOW64\ugqcqr.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\wnwffi.com

C:\Windows\system32\wnwffi.com 2188 "C:\Windows\SysWOW64\jsnpze.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\jaocle.com

C:\Windows\system32\jaocle.com 2192 "C:\Windows\SysWOW64\wnwffi.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\uvpnsz.com

C:\Windows\system32\uvpnsz.com 2196 "C:\Windows\SysWOW64\jaocle.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\eutklx.com

C:\Windows\system32\eutklx.com 2180 "C:\Windows\SysWOW64\uvpnsz.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\jlontf.com

C:\Windows\system32\jlontf.com 2204 "C:\Windows\SysWOW64\eutklx.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\zmlvvo.com

C:\Windows\system32\zmlvvo.com 2208 "C:\Windows\SysWOW64\jlontf.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\jwafir.com

C:\Windows\system32\jwafir.com 2212 "C:\Windows\SysWOW64\zmlvvo.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\wjsvon.com

C:\Windows\system32\wjsvon.com 2216 "C:\Windows\SysWOW64\jwafir.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\giwaym.com

C:\Windows\system32\giwaym.com 2220 "C:\Windows\SysWOW64\wjsvon.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\tdnqmq.com

C:\Windows\system32\tdnqmq.com 2224 "C:\Windows\SysWOW64\giwaym.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\hfutpp.com

C:\Windows\system32\hfutpp.com 2228 "C:\Windows\SysWOW64\tdnqmq.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\udovxy.com

C:\Windows\system32\udovxy.com 2232 "C:\Windows\SysWOW64\hfutpp.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\egeglt.com

C:\Windows\system32\egeglt.com 2236 "C:\Windows\SysWOW64\udovxy.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\rpkjos.com

C:\Windows\system32\rpkjos.com 2240 "C:\Windows\SysWOW64\egeglt.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\eonlwa.com

C:\Windows\system32\eonlwa.com 2244 "C:\Windows\SysWOW64\rpkjos.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ojgeev.com

C:\Windows\system32\ojgeev.com 2248 "C:\Windows\SysWOW64\eonlwa.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\baigud.com

C:\Windows\system32\baigud.com 2252 "C:\Windows\SysWOW64\ojgeev.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\onswaz.com

C:\Windows\system32\onswaz.com 2256 "C:\Windows\SysWOW64\baigud.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\cakmgd.com

C:\Windows\system32\cakmgd.com 2260 "C:\Windows\SysWOW64\onswaz.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\jqxess.com

C:\Windows\system32\jqxess.com 2200 "C:\Windows\SysWOW64\cakmgd.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ybuzco.com

C:\Windows\system32\ybuzco.com 2268 "C:\Windows\SysWOW64\jqxess.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\mlacfo.com

C:\Windows\system32\mlacfo.com 2264 "C:\Windows\SysWOW64\ybuzco.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\zjveno.com

C:\Windows\system32\zjveno.com 2276 "C:\Windows\SysWOW64\mlacfo.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\mwmuts.com

C:\Windows\system32\mwmuts.com 2280 "C:\Windows\SysWOW64\zjveno.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\wzceov.com

C:\Windows\system32\wzceov.com 2284 "C:\Windows\SysWOW64\mwmuts.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\jmtuuz.com

C:\Windows\system32\jmtuuz.com 2272 "C:\Windows\SysWOW64\wzceov.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\whdsau.com

C:\Windows\system32\whdsau.com 2292 "C:\Windows\SysWOW64\jmtuuz.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\hrtpfl.com

C:\Windows\system32\hrtpfl.com 2296 "C:\Windows\SysWOW64\whdsau.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ttzfqx.com

C:\Windows\system32\ttzfqx.com 2288 "C:\Windows\SysWOW64\hrtpfl.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\gjbizf.com

C:\Windows\system32\gjbizf.com 2304 "C:\Windows\SysWOW64\ttzfqx.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\rfcspa.com

C:\Windows\system32\rfcspa.com 2308 "C:\Windows\SysWOW64\gjbizf.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\edxvxa.com

C:\Windows\system32\edxvxa.com 2312 "C:\Windows\SysWOW64\rfcspa.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\qusxgi.com

C:\Windows\system32\qusxgi.com 2320 "C:\Windows\SysWOW64\edxvxa.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\bptqnc.com

C:\Windows\system32\bptqnc.com 2316 "C:\Windows\SysWOW64\qusxgi.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\rctlrq.com

C:\Windows\system32\rctlrq.com 2300 "C:\Windows\SysWOW64\bptqnc.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\bbfico.com

C:\Windows\system32\bbfico.com 2328 "C:\Windows\SysWOW64\rctlrq.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\oopyik.com

C:\Windows\system32\oopyik.com 2332 "C:\Windows\SysWOW64\bbfico.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ynbvaj.com

C:\Windows\system32\ynbvaj.com 2336 "C:\Windows\SysWOW64\oopyik.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ooydbs.com

C:\Windows\system32\ooydbs.com 2340 "C:\Windows\SysWOW64\ynbvaj.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\zkrwjm.com

C:\Windows\system32\zkrwjm.com 2324 "C:\Windows\SysWOW64\ooydbs.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\juggwq.com

C:\Windows\system32\juggwq.com 2348 "C:\Windows\SysWOW64\zkrwjm.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\zzotav.com

C:\Windows\system32\zzotav.com 2352 "C:\Windows\SysWOW64\juggwq.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\jyszku.com

C:\Windows\system32\jyszku.com 2344 "C:\Windows\SysWOW64\zzotav.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\wwvbbc.com

C:\Windows\system32\wwvbbc.com 2360 "C:\Windows\SysWOW64\jyszku.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\jgbeeb.com

C:\Windows\system32\jgbeeb.com 2364 "C:\Windows\SysWOW64\wwvbbc.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\wwwhnb.com

C:\Windows\system32\wwwhnb.com 2368 "C:\Windows\SysWOW64\jgbeeb.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\gvaexa.com

C:\Windows\system32\gvaexa.com 2372 "C:\Windows\SysWOW64\wwwhnb.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\tqsude.com

C:\Windows\system32\tqsude.com 2376 "C:\Windows\SysWOW64\gvaexa.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\wajrva.com

C:\Windows\system32\wajrva.com 2380 "C:\Windows\SysWOW64\tqsude.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\olxkdx.com

C:\Windows\system32\olxkdx.com 2384 "C:\Windows\SysWOW64\wajrva.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\tudmgx.com

C:\Windows\system32\tudmgx.com 2388 "C:\Windows\SysWOW64\olxkdx.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\dthkqw.com

C:\Windows\system32\dthkqw.com 2392 "C:\Windows\SysWOW64\tudmgx.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\jvynhb.com

C:\Windows\system32\jvynhb.com 2356 "C:\Windows\SysWOW64\dthkqw.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\efukfa.com

C:\Windows\system32\efukfa.com 2400 "C:\Windows\SysWOW64\jvynhb.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\rslakd.com

C:\Windows\system32\rslakd.com 2404 "C:\Windows\SysWOW64\efukfa.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\bomkay.com

C:\Windows\system32\bomkay.com 2408 "C:\Windows\SysWOW64\rslakd.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\lnqikx.com

C:\Windows\system32\lnqikx.com 2396 "C:\Windows\SysWOW64\bomkay.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ydlktf.com

C:\Windows\system32\ydlktf.com 2416 "C:\Windows\SysWOW64\lnqikx.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\jzmdbz.com

C:\Windows\system32\jzmdbz.com 2412 "C:\Windows\SysWOW64\ydlktf.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\vxpgja.com

C:\Windows\system32\vxpgja.com 2424 "C:\Windows\SysWOW64\jzmdbz.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\bzxbaf.com

C:\Windows\system32\bzxbaf.com 2420 "C:\Windows\SysWOW64\vxpgja.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\wxqldh.com

C:\Windows\system32\wxqldh.com 1032 "C:\Windows\SysWOW64\bzxbaf.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\jkzbjl.com

C:\Windows\system32\jkzbjl.com 2436 "C:\Windows\SysWOW64\wxqldh.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\vqrdxu.com

C:\Windows\system32\vqrdxu.com 2440 "C:\Windows\SysWOW64\jkzbjl.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\jditdy.com

C:\Windows\system32\jditdy.com 2444 "C:\Windows\SysWOW64\vqrdxu.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\wysjic.com

C:\Windows\system32\wysjic.com 2432 "C:\Windows\SysWOW64\jditdy.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\jljzof.com

C:\Windows\system32\jljzof.com 2452 "C:\Windows\SysWOW64\wysjic.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\tnzjba.com

C:\Windows\system32\tnzjba.com 2456 "C:\Windows\SysWOW64\jljzof.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\gaqzhe.com

C:\Windows\system32\gaqzhe.com 2448 "C:\Windows\SysWOW64\tnzjba.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\tvaovi.com

C:\Windows\system32\tvaovi.com 2464 "C:\Windows\SysWOW64\gaqzhe.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\girebm.com

C:\Windows\system32\girebm.com 2460 "C:\Windows\SysWOW64\tvaovi.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\qlhoop.com

C:\Windows\system32\qlhoop.com 2472 "C:\Windows\SysWOW64\girebm.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\eunzrh.com

C:\Windows\system32\eunzrh.com 2476 "C:\Windows\SysWOW64\qlhoop.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\qticap.com

C:\Windows\system32\qticap.com 2480 "C:\Windows\SysWOW64\eunzrh.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\bsuzko.com

C:\Windows\system32\bsuzko.com 2484 "C:\Windows\SysWOW64\qticap.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\njpcbw.com

C:\Windows\system32\njpcbw.com 2488 "C:\Windows\SysWOW64\bsuzko.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\bwgsgs.com

C:\Windows\system32\bwgsgs.com 2492 "C:\Windows\SysWOW64\njpcbw.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ojqhmv.com

C:\Windows\system32\ojqhmv.com 2468 "C:\Windows\SysWOW64\bwgsgs.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\yqcfxu.com

C:\Windows\system32\yqcfxu.com 2500 "C:\Windows\SysWOW64\ojqhmv.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\lgxhfc.com

C:\Windows\system32\lgxhfc.com 2504 "C:\Windows\SysWOW64\yqcfxu.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ytoxlg.com

C:\Windows\system32\ytoxlg.com 2496 "C:\Windows\SysWOW64\lgxhfc.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\lgyvrc.com

C:\Windows\system32\lgyvrc.com 2512 "C:\Windows\SysWOW64\ytoxlg.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\ybplxg.com

C:\Windows\system32\ybplxg.com 2516 "C:\Windows\SysWOW64\lgyvrc.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\iefvsj.com

C:\Windows\system32\iefvsj.com 2508 "C:\Windows\SysWOW64\ybplxg.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\wnlyvj.com

C:\Windows\system32\wnlyvj.com 2524 "C:\Windows\SysWOW64\iefvsj.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\jegaer.com

C:\Windows\system32\jegaer.com 2528 "C:\Windows\SysWOW64\wnlyvj.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\wzxqjn.com

C:\Windows\system32\wzxqjn.com 2532 "C:\Windows\SysWOW64\jegaer.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\gbnaxq.com

C:\Windows\system32\gbnaxq.com 2536 "C:\Windows\SysWOW64\wzxqjn.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\toeqcu.com

C:\Windows\system32\toeqcu.com 2540 "C:\Windows\SysWOW64\gbnaxq.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\gydbft.com

C:\Windows\system32\gydbft.com 2544 "C:\Windows\SysWOW64\toeqcu.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\twgeot.com

C:\Windows\system32\twgeot.com 2548 "C:\Windows\SysWOW64\gydbft.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

C:\Windows\SysWOW64\regedit.exe

REGEDIT /S C:\Users\Admin\AppData\Local\Temp\1.reg

C:\Windows\SysWOW64\dzvojw.com

C:\Windows\system32\dzvojw.com 2520 "C:\Windows\SysWOW64\twgeot.com"

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\cmd.exe /c c:\windows\system32\sm1.bat

Network

Country Destination Domain Proto
US 8.8.8.8:53 136.32.126.40.in-addr.arpa udp
US 8.8.8.8:53 g.bing.com udp
US 8.8.8.8:53 9.228.82.20.in-addr.arpa udp
US 8.8.8.8:53 240.143.123.92.in-addr.arpa udp
US 204.79.197.200:443 g.bing.com tcp
US 8.8.8.8:53 41.110.16.96.in-addr.arpa udp
US 8.8.8.8:53 241.154.82.20.in-addr.arpa udp
US 8.8.8.8:53 26.165.165.52.in-addr.arpa udp
US 8.8.8.8:53 15.164.165.52.in-addr.arpa udp
US 8.8.8.8:53 0.205.248.87.in-addr.arpa udp
US 8.8.8.8:53 194.178.17.96.in-addr.arpa udp
US 8.8.8.8:53 21.236.111.52.in-addr.arpa udp

Files

memory/1484-0-0x0000000000400000-0x000000000048A000-memory.dmp

memory/1484-3-0x00000000005A0000-0x00000000005A1000-memory.dmp

\??\c:\windows\SysWOW64\sm1.bat

MD5 0019a0451cc6b9659762c3e274bc04fb
SHA1 5259e256cc0908f2846e532161b989f1295f479b
SHA256 ce4674afd978d1401596d22a0961f90c8fb53c5bd55649684e1a999c8cf77876
SHA512 314c23ec37cb0cd4443213c019c4541df968447353b422ef6fff1e7ddf6c983c80778787408b7ca9b81e580a6a7f1589ca7f43c022e6fc16182973580ed4d904

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 5a466127fedf6dbcd99adc917bd74581
SHA1 a2e60b101c8789b59360d95a64ec07d0723c4d38
SHA256 8cd3b8dd28ac014cf973d9ab4b03af1c274bbc9b5ee0ee4ab8af0bdb01573b84
SHA512 695cafc932bc8f0a514bc515860cb275297665de63ca3394b55f42c457761ebf654d29d504674681a77b34e3356a469e8c5b97ff7efc24de330d5375f025cba5

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 9e5db93bd3302c217b15561d8f1e299d
SHA1 95a5579b336d16213909beda75589fd0a2091f30
SHA256 f360fb5740172b6b4dd59c1ac30b480511665ae991196f833167e275d91f943e
SHA512 b5547e5047a3c43397ee846ff9d5979cba45ba44671db5c5df5536d9dc26262e27a8645a08e0cf35960a3601dc0f6f5fe8d47ae232c9ca44d6899e97d36fb25a

C:\Windows\SysWOW64\jrmsat.com

MD5 ade99c01a1e92f6dc5c4a4bfec9649e3
SHA1 21a66edc54dcb6ec86007a7a696eb08b98ab36f6
SHA256 f007989340d051c2715bedb1bd5d4736cd90dde2453591e4614c3787dae9b126
SHA512 d86653c1c2a0b93648e379ee793c830db237385d9cee8718d2eb87a3aa46a5594d18029d54026f8dea02e24be31b87dc19eb2d9d4e786dfefe07998324df87e7

memory/1484-228-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2548-234-0x0000000000400000-0x000000000048A000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 eee5718ce97d259fd8acec31375fc375
SHA1 989c64b0c9a049f1b7ad9e677c4566ab1559744f
SHA256 1975123645c58e5160d63cc6ab8430f9dd0bc70d5cddafccf3687d655730dcfb
SHA512 6c2e14846b20128ac8bea8470b4455fd4b65de7457c216824cfa7008fafa41c29445290de6780dc4f6f3beea97ec3137c02c9b7504877d6c845e573a7b7db610

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 c2d6056624c1d37b1baf4445d8705378
SHA1 90c0b48eca9016a7d07248ecdb7b93bf3e2f1a83
SHA256 3c20257f9e5c689af57f1dbfb8106351bf4cdfbbb922cf0beff34a2ca14f5a96
SHA512 d199ce15627b85d75c9c3ec5c91fa15b2f799975034e0bd0526c096f41afea4ff6d191a106f626044fbfae264e2b0f3776fde326fc0c2d0dc8d83de66adc7c29

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 cd085b8c40e69c2bf1eb3d59f8155b99
SHA1 3499260f24020fe6d54d9d632d34ba2770bb06e0
SHA256 10546433db0c1ab764cd632eb0d08d93a530c6e52d1ec7fcb9c1fd32193f2a9c
SHA512 3813b8a7f742f6a64da36492447f3f2fee6ea505d7d0dccebede84117ec06101321dfacc7901403ea557171085982ae1a4dc39dd666da9e67d61ea71dfbb8edb

memory/4516-347-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2276-352-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2548-464-0x0000000000400000-0x000000000048A000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 c8441ec8a2edf9b2f4f631fe930ea4d9
SHA1 2855ee21116b427d280fcaa2471c9bd3d2957f6f
SHA256 dd2fa55643d4e02b39ef5a619f2ca63e49d6cc1e6513d953c2d9400d46b88184
SHA512 b0b03828275f895adf93ef6b9d40d31e10f166d40c1ee0f5697aadcee1b6d5e8b81637ccfcf66ba9dfd92295f106cfac0eca2320b71a15ad96fdbe06f6764ef7

memory/2276-580-0x0000000000400000-0x000000000048A000-memory.dmp

memory/1748-588-0x0000000000400000-0x000000000048A000-memory.dmp

memory/432-594-0x0000000000490000-0x00000000004A0000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 d085cde42c14e8ee2a5e8870d08aee42
SHA1 c8e967f1d301f97dbcf252d7e1677e590126f994
SHA256 a15d5dfd655de1214e0aae2292ead17eef1f1b211d39fac03276bbd6325b0d9f
SHA512 de2cebd45d3cf053df17ae43466db6a8b2d816bf4b9a8deb5b577cfedf765b5dcdc5904145809ad3ca03ccff308f8893ec1faa309dd34afcab7cc1836d698d7b

memory/3076-703-0x0000000000400000-0x000000000048A000-memory.dmp

memory/432-822-0x0000000000400000-0x000000000048A000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 584f47a0068747b3295751a0d591f4ee
SHA1 7886a90e507c56d3a6105ecdfd9ff77939afa56f
SHA256 927fd19c24f20ac1dff028de9d73094b2591842248c95a20a8264abf1333aea5
SHA512 ca945aad3c2d9ecadff2bc30cf23902b1254cffdf572ff9d4e7c94659255fc3467899053e4a45d3b155900c7b5b91abedf03d31af7e39870015c85e424d04257

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 54ca6e3ef1c12b994043e85a8c9895f0
SHA1 5eaccfb482cbe24cf5c3203ffdc926184097427e
SHA256 0db388471ad17c9c9b4a0a40b2536b7a6f27b8cc96775812d48d7009acb418c0
SHA512 925615f057558a00fb0ed3f9faeee2b70f3dd5469376de9381a387b3666c230fc0bb5b83fd3acf0169872e3c5f747cbdaff473d7fa389a5848f3828916680626

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 1daa413d1a8cd1692f2e4ae22b54c74a
SHA1 2e02e2a23cfaa62f301e29a117e291ff93cc5d31
SHA256 10732e2612780d9694faf0bb9b27cdc6f3376ad327da7dfc346e9e5579493d33
SHA512 b947c70c7c4af971e3fbdc66fb7175b6624ac68c6a723dac7ecb5cf5f43bbe210fa0fa61fd4b6153dccf7de077d003ca03f061e209dc37773546b038e6aef277

memory/1448-935-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2056-943-0x0000000000400000-0x000000000048A000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 ad9e5e67282bb74482c05e3bf2eb188b
SHA1 10b02442ea4b1151a2334645c3e290a82ecfad1f
SHA256 7af82efceff1e9221d76472e6ffd6aa78ca00ccbb5fa32cb2238ed08812b931f
SHA512 b0ca37f35618547b4e5ab94eb367940a9d5a500b5c91cf2bbdddba8d1725bcc619c5acd2365711a970c307bbe0aa539b50803d119963b9f0c6da198e3157ded7

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 ffbb389d817acf25cc38799c239d512c
SHA1 8b4854ed9e257c3da9ec11d0f145805c6ae6193f
SHA256 f3aec599ccf14f9ee446772c26b24628ba08698be4dc66b5b54acd37d26b8e39
SHA512 382e043195d74ed0e0978dcac0db8bc962bc41f2cbd1a8a80c1a5a54cb8831b5e63a74bb3f69ccd9e241a47c1a79fcc7e7dad71696bf957a349a0f7e62247931

memory/2668-1052-0x0000000000400000-0x000000000048A000-memory.dmp

memory/3880-1060-0x0000000000400000-0x000000000048A000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 5002319f56002f8d7ceacecf8672ce25
SHA1 3b26b6801be4768cc7582e29bc93facdf2a74be3
SHA256 f23f4854d17525744e8028db6dde6eb7d5d664b0ee1b08870c9c01b639e0124c
SHA512 8eae0fabc7f5a7e452abacf988a3632874c556af409da5e60c5e529524732b40f22d4e1d860ccceae87642875c819fc8a8120eceaabd25861f920c8c066a9aef

memory/2056-1171-0x0000000000400000-0x000000000048A000-memory.dmp

memory/3612-1176-0x0000000000400000-0x000000000048A000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 e2d37af73d5fe4a504db3f8c0d560e3d
SHA1 88c6bf5b485dd9c79283ccb5d2546ffbb95e563d
SHA256 e615959931f345e611ac44be7534d697c1495c641d13e50ae919a7807c8ff008
SHA512 8cb17131326361071a3ae2997cdfaa316ce10c481f48af23fa526380daffa39b2538251cbaa4cf3bd9a9c0014a9184be5a13a44cf45fb93591ba3180670ddb89

memory/3880-1286-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2880-1292-0x0000000000400000-0x000000000048A000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 1b2949b211ab497b739b1daf37cd4101
SHA1 12cad1063d28129ddd89e80acc2940f8dfbbaab3
SHA256 3e906a8373d1dfa40782f56710768abd4365933ad60f2ca9e974743c25b4cb6c
SHA512 a9e6555d435fe3e7a63059f20cd4c59531319421efcd90ca1d14498c28d9882ab0b7cd1af63dd50fa693b3b5a714db572d61867c56b86618423c7feaf043f2ef

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 872656500ddac1ddd91d10aba3a8df96
SHA1 ddf655aea7e8eae37b0a2dd4c8cabaf21cf681fc
SHA256 d6f58d2fbf733d278281af0b9e7732a591cdd752e18a430f76cb7afa806c75f8
SHA512 e7fab32f6f38bde67c8ce7af483216c9965ab62a70aee5c9a9e17aa693c33c67953f817406c1687406977b234d89e62d7feb44757527de5db34e5a61462a0be9

memory/3612-1405-0x0000000000400000-0x000000000048A000-memory.dmp

memory/3144-1410-0x0000000000400000-0x000000000048A000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 7fe70731de9e888ca911baeb99ee503d
SHA1 0073da5273512f66dbf570580dc55957535c2478
SHA256 ec8ce13a4cab475695329eddc61ff2eee378e79f0d2f9ca3a9bc7b18bd52b89a
SHA512 4421df7085fd2aac218d5544152d77080b99c1eaa24076975a6b1bb01149a19a1c0d6cc2c042cd507b37af9a220e7ce1f026103cdabfaec5994b1533c2f3eeac

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 1c6131354c6987300ea512b765475b82
SHA1 2ad74e27ee9080f65d1b2b2e537f73d8f6b59f53
SHA256 3a16ce0b62d9b7bc6832082d30e37163bbde0eddcffe9b09f20fc118b1e0d640
SHA512 b1274a40e10dea26834d3839a4c64a593252640a8a55bcbf642b661f1711451ea81ca712cc98d0c0b9132b4aaf5c8aaac6cc974fc8cbe0eed6ffc13d1b01db68

memory/1776-1528-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2880-1522-0x0000000000400000-0x000000000048A000-memory.dmp

memory/3144-1640-0x0000000000400000-0x000000000048A000-memory.dmp

memory/3516-1645-0x0000000000400000-0x000000000048A000-memory.dmp

memory/1776-1754-0x0000000000400000-0x000000000048A000-memory.dmp

memory/1804-1760-0x0000000000560000-0x0000000000561000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 558e454bc2d99d7949719cf24f540dd2
SHA1 e9c772bcee4ae780cdc28b0b4876385639e59b39
SHA256 677ec2cfe2ae99352aa12ac658d01a7bb0b51cf3cd2c568e94a78754326ca43a
SHA512 5bb10dcf81ccab0b7e2274d3ccdbda5a38014576096fef71725cfa6e16a4bfd29f481f3bc5ad15426fb9918eeca67fff11291a88caf10974433214674c1c1b64

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 0bccb0cc2d0641cd0ac7ce17afe64b9f
SHA1 103f5bc2b153913e8a614a7abb43941fe90862a4
SHA256 cae50ec401dae988f1221cead7de58cf4301040fd9fbb8d1c4ad032034ee1842
SHA512 cce4edc7c607ca3969fb19f93a836d87170e2c50fcf136acb3bcb5500b99b1ae73a999b7d648a3643f58cf960b071b24215e1c59f874ca38a50cf1ef90b06389

memory/3516-1873-0x0000000000400000-0x000000000048A000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 fa83299c5a0d8714939977af6bdafa92
SHA1 46a4abab9b803a7361ab89d0ca000a367550e23c
SHA256 f3bb35f7fc756da2c2297a100fa29506cb12371edb793061add90ee16318bf03
SHA512 85e46b9f1089054e60c433459eea52bec26330f8b91879df3b48db1533a307443dd82006ac3bb86245bbd207c1d8c75c29949f755cc0dc262ede888a1d531599

memory/1804-1985-0x0000000000400000-0x000000000048A000-memory.dmp

memory/4504-1989-0x0000000000400000-0x000000000048A000-memory.dmp

memory/4500-2098-0x0000000000400000-0x000000000048A000-memory.dmp

memory/4784-2100-0x0000000000400000-0x000000000048A000-memory.dmp

memory/4504-2211-0x0000000000400000-0x000000000048A000-memory.dmp

memory/4948-2215-0x0000000000400000-0x000000000048A000-memory.dmp

memory/4784-2322-0x0000000000400000-0x000000000048A000-memory.dmp

memory/4948-2434-0x0000000000400000-0x000000000048A000-memory.dmp

memory/3020-2438-0x0000000000400000-0x000000000048A000-memory.dmp

memory/1900-2547-0x0000000000400000-0x000000000048A000-memory.dmp

memory/3100-2552-0x0000000000400000-0x000000000048A000-memory.dmp

memory/3020-2660-0x0000000000400000-0x000000000048A000-memory.dmp

memory/1384-2665-0x0000000000400000-0x000000000048A000-memory.dmp

memory/3100-2775-0x0000000000400000-0x000000000048A000-memory.dmp

memory/3308-2777-0x0000000000400000-0x000000000048A000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 6fe56f6715b4c328bc5b2b35cb51c7e1
SHA1 8f4c2a2e2704c52fd6f01d9c58e4c7d843d69cc3
SHA256 0686dfa785bc9687be1a2bb42ef6c2e805a03f62b4af6c83bac7031e515189be
SHA512 8a19ba3f6e5678e92a6fd92a84f077e851a53a71a02622d87d5213a79f40540c7bbda17219f9349387e94edc75eb12fd2cb93e3b0abbcf9a85fc7d5e8bf3be0d

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 e427a32326a6a806e7b7b4fdbbe0ed4c
SHA1 b10626953332aeb7c524f2a29f47ca8b0bee38b1
SHA256 b5cfd1100679c495202229aede417b8a385405cb9d467d2d89b936fc99245839
SHA512 6bd679341bec6b224962f3d0d229cff2d400e568e10b7764eb4e0903c66819a8fa99927249ab9b4c447b2d09ea0d98eb9823fb2c5f7462112036049795a5d8bd

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 fadf3805f68986d2ee9c82f560a564e4
SHA1 87bcab6ab1fb66ace98eb1d36e54eb9c11628aa6
SHA256 d6e4760c4554b061363e89648dc4144f8a9ba8a300dde1a1621f22ecc62ab759
SHA512 e3e495385da6d181a2411554a61b27c480ff31fa49225e8b2dc46b9ec4f618343475a8d189786b956c91efc65bfb05be19065bfdf3288eb011c5ec427e764cb9

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 558ce6da965ba1758d112b22e15aa5a2
SHA1 a365542609e4d1dc46be62928b08612fcabe2ede
SHA256 c11beaac10a5e00391ef4b41be8c240f59c5a2dc930aead6d7db237fcd2641fb
SHA512 37f7f10c3d201b11cc5224ae69c5990eb33b4430c601d3c21f6bec9323621120442e0cfa49e1f4eda459ea4ac750277e446dca78b9e44c1445bd891e4e460b5c

memory/1384-2888-0x0000000000400000-0x000000000048A000-memory.dmp

memory/3752-2890-0x00000000001C0000-0x00000000001C1000-memory.dmp

memory/3752-2893-0x0000000000400000-0x000000000048A000-memory.dmp

memory/3308-3002-0x0000000000400000-0x000000000048A000-memory.dmp

memory/3752-3112-0x0000000000400000-0x000000000048A000-memory.dmp

memory/1800-3224-0x0000000000400000-0x000000000048A000-memory.dmp

memory/5000-3229-0x0000000000400000-0x000000000048A000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 117efa689c5631c1a1ee316f123182bd
SHA1 f477bf1e9f4db8452bd9fe314cd18715f7045689
SHA256 79ed2f9f9de900b4f0a4869fc5dd40f1dcfb11a3f50bd7a5f362b30fe51b52e7
SHA512 abe34afa94cca236205e9ea954b95a78c986612cebd847f5146f792c00a5c58ca1fdc55be2befd974b5be77b1b117e28d8c4996f34b41c78b653725f21da4671

memory/1516-3337-0x0000000000400000-0x000000000048A000-memory.dmp

memory/5000-3449-0x0000000000400000-0x000000000048A000-memory.dmp

memory/3112-3455-0x0000000000400000-0x000000000048A000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 f8a9a1aa9bab7821d25ae628e6d04f68
SHA1 c3e7a9ccc9805ae94aabfd16e2cb461fde3fae5a
SHA256 76ee7c489d11427af94d0334368ef2ed44df4a74984ffd4022c9ea9fae9c41fb
SHA512 0fb3a29367fa3c3eb36c6a7e9ff217ccdd7cce18309964aa7068a00f500ea4ea49588344ebbc52ae77d83e5042c3fdb84f56fa1dae07b8bb774aed6fffd18c0a

memory/4436-3551-0x0000000000400000-0x000000000048A000-memory.dmp

memory/3368-3568-0x0000000000400000-0x000000000048A000-memory.dmp

memory/3112-3677-0x0000000000400000-0x000000000048A000-memory.dmp

memory/3368-3787-0x0000000000400000-0x000000000048A000-memory.dmp

memory/3156-3793-0x0000000000400000-0x000000000048A000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 5855edf3afa67e11de78af0389880d18
SHA1 c43fcd36d70a6ffcd41fbb48c1d0c406fd00286f
SHA256 c7798759a159989611cdf47f702c8813ad0f029b52f18af573f383859a8bfaaa
SHA512 5be99a55f86486c04bda0a089571c296d041dae337321578c0f8d19d7bd2e51802aafbc8716753b6191b8e5ced782a5bc7d44bdd4995ab8e6ac1f7cd4b0f91ee

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 8c6aa92ac8ffdfb7a0fb3dafd14d65f1
SHA1 cac3992d696a99a5dec2ab1c824c816117414b16
SHA256 dc98a84d679d0ba1e36e3142000fa9fd7c5cd4606e07cbcb33f12c98bc1510fa
SHA512 f17a7cbfc11ce2a258aee2857720dcc72ddcfd17ebe9c9b1b04bedb52835c2b35ca4bb649fd5ef3d7ef3f9585f87ef321efec52cb7524be3b83a919999c4900c

memory/3664-3902-0x0000000000400000-0x000000000048A000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 989c5352030fafd44b92adf4d4164738
SHA1 e02985c15eb20682115e3fc343f829e28770ed6c
SHA256 248c7793d113ca762bbe56b974f4c5902339dacb0b47ddd7c412340a623dfe38
SHA512 9ebcfc38952d968d608d68b2e8fbb56f5d02ed03e0e2d02661caeb50f804404d95fc45f22a8376ca88b69548c89c22b6c6a9acbb7fdcb5f6f906bd871b3465f1

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 a920eceddece6cf7f3487fd8e919af34
SHA1 a6dee2d31d4cbd1b18f5d3bc971521411a699889
SHA256 ec2d3952154412db3202f5c95e4d1b02c40a7f71f4458898ddc36e827a7b32d6
SHA512 a4700af2ce477c7ce33f434cdddd4031e88c3926d05475f522a753063269fe8b6e50b649c3e939272240194951cb70ac05df533978c19839e381141535275ecc

memory/3156-4014-0x0000000000400000-0x000000000048A000-memory.dmp

memory/4208-4017-0x0000000000400000-0x000000000048A000-memory.dmp

memory/1512-4023-0x0000000000400000-0x000000000048A000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 a57e37dfb6f88b2d04424936ed0b4afb
SHA1 35e2f81486b8420b88b7693ad3e92f846367cb12
SHA256 411f47af20b97f1fe35d3ff6f2a03a77301c8bee20cdfd4638a68430af77456d
SHA512 41f683cc837a2ac36eaf8c32ac336534d329eb482c1a7bd23728b3878492ce79488647df4746701c15254e552e3460f8efa8cec9448a252146596c7926dff448

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 f82bc8865c1f6bf7125563479421f95c
SHA1 65c25d7af3ab1f29ef2ef1fdc67378ac9c82098d
SHA256 f9799dc2afb8128d1925b69fdef1d641f312ed41254dd5f4ac543cf50648a2f6
SHA512 00a9b7798a630779dc30296c3d0fed2589e7e86d6941f4502ea301c5bce2e80a5d8a4916e36183c7064f968b539ae6dac49094b1de3643a1a2fedc83cf558825

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 63ff40a70037650fd0acfd68314ffc94
SHA1 1ab29adec6714edf286485ac5889fddb1d092e93
SHA256 1e607f10a90fdbaffe26e81c9a5f320fb9c954391d2adcc55fdfdfca1601714b
SHA512 2b41ce69cd1541897fbae5497f06779ac8182ff84fbf29ac29b7c2b234753fe44e7dfc6e4c257af222d466536fa4e50e247dcb68a9e1ad7766245dedfcfb6fdc

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 e78a2688839aaee80b2bfdc4639329c5
SHA1 818a0dd05493b075a9f2eaf063e64d5a653f470a
SHA256 bd056b778b99213f8eb81f452e96f275da92f129457fae23da4e2986cf465a5d
SHA512 2821f753aa03221061be778aa9d5cffaee58fc0e1e712d8021894d91d963a3859e06afd6bd94ca6e23386e513d0be092e7b2e6a53439e14e4cbc75f5ccd97847

memory/2268-4132-0x0000000000400000-0x000000000048A000-memory.dmp

memory/3212-4134-0x0000000000400000-0x000000000048A000-memory.dmp

memory/1512-4137-0x0000000000400000-0x000000000048A000-memory.dmp

memory/3416-4142-0x0000000000400000-0x000000000048A000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 908860a865f8ed2e14085e35256578dd
SHA1 7ff5ee35cc7e96a661848eb95a70d0b8d2d78603
SHA256 d2b73d92cf00a9dc61f2777a7f298e8c4bb72697236965f8931bdfc9d0924c5f
SHA512 a93bb8cb180d957ef2b2c511d5ff66a25d2bcfb071af9884c146b8c422d1fadc9a4d390712bc2cb27640634854b3e59d5209803373cf1f42381d513747a65fd9

memory/3212-4250-0x0000000000400000-0x000000000048A000-memory.dmp

memory/3952-4254-0x0000000000400000-0x000000000048A000-memory.dmp

memory/3416-4365-0x0000000000400000-0x000000000048A000-memory.dmp

memory/4092-4367-0x0000000000400000-0x000000000048A000-memory.dmp

memory/3952-4478-0x0000000000400000-0x000000000048A000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 f708dcfd087b5b3763678cfb8d63735e
SHA1 a38fa7fa516c1402762425176ff1b607db36c752
SHA256 abf4c5f7dbed40d58dc982256535a56128f86d5eaf163d634037ae2b61027a10
SHA512 fa0e84032b88e19fc67c5be846983cf89c8ba021351a0aa9cab0162ea27a3933dade0b78146b2230b0c57f218b18da52a5ce1d04b6f9746b21e4285e2540049c

memory/4092-4590-0x0000000000400000-0x000000000048A000-memory.dmp

memory/4968-4592-0x0000000000400000-0x000000000048A000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 0a839c0e3eb1ed25e6211159e43f4df1
SHA1 a227a9322f58b8f40b2f6f326dca58145f599587
SHA256 717a2b81d076586548a0387c97d2dc31337a03763c6e7acb642c3e46ec94d6f0
SHA512 bd2b99fb43ccd1676f69752c1a295d1da0db2cb0310c8b097b4b5b91d76cff12b433f47af02b5f7d0dd5f8f16624b0c20294eebf5c6a7959b2b5d6fe2b34e508

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 6b0182442d6e09100c34904ae6d8ee0c
SHA1 6255e65587505629521ea048a4e40cc48b512f2c
SHA256 cb34af7065e6c95f33fee397991045dae5dfae9d510660e6981ee6263542f9a4
SHA512 64395a0c6fce50a64a2067522b798f9b27c577da96e8d68f830a075ba833f1d644af27a9c6fc941ebb3d79999ac31576763378c9997a5b38eb5fdf075918eb46

memory/4640-4703-0x0000000000400000-0x000000000048A000-memory.dmp

memory/4968-4813-0x0000000000400000-0x000000000048A000-memory.dmp

memory/3944-4819-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2100-4928-0x0000000000400000-0x000000000048A000-memory.dmp

memory/3944-5038-0x0000000000400000-0x000000000048A000-memory.dmp

memory/4820-5044-0x0000000000400000-0x000000000048A000-memory.dmp

memory/468-5151-0x0000000000400000-0x000000000048A000-memory.dmp

memory/4820-5263-0x0000000000400000-0x000000000048A000-memory.dmp

memory/944-5377-0x0000000000400000-0x000000000048A000-memory.dmp

memory/1640-5380-0x0000000000400000-0x000000000048A000-memory.dmp

memory/1640-5382-0x0000000000490000-0x00000000004A0000-memory.dmp

memory/448-5489-0x0000000000400000-0x000000000048A000-memory.dmp

memory/1880-5495-0x0000000000400000-0x000000000048A000-memory.dmp

memory/1640-5602-0x0000000000400000-0x000000000048A000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 f31b2aa720a1c523c1e36a40ef21ee0d
SHA1 9c8089896c55e6e6a9cca99b1b98c544723d314e
SHA256 cea90761ea6ef6fb8ac98484b5720392534a9774e884c3e343ae29559aa0a716
SHA512 a679ce1192e15cd9b8dd4a3d7ecf85707ec23fa944c020b226172497c0b5600460558cfa9304ddf2c582a95e0fcd7f1b26004c8fba0ed9afcddc6ded770c85bb

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 d41d8cd98f00b204e9800998ecf8427e
SHA1 da39a3ee5e6b4b0d3255bfef95601890afd80709
SHA256 e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
SHA512 cf83e1357eefb8bdf1542850d66d8007d620e4050b5715dc83f4a921d36ce9ce47d0d13c5d85f2b0ff8318d2877eec2f63b931bd47417a81a538327af927da3e

memory/1880-5716-0x0000000000400000-0x000000000048A000-memory.dmp

memory/3484-5721-0x0000000000400000-0x000000000048A000-memory.dmp

memory/3484-5719-0x0000000000490000-0x00000000004A0000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 2b307765b7465ef5e4935f0ed7307c01
SHA1 c46a1947f8b2785114891f7905f663d9ae517f1b
SHA256 a3f77536a922968bc49827a6c8553ed6b74eafd52e6c1fcfd62bfa20a83efc85
SHA512 fce4fbf9900f50368cb35ac40e60b54835912921848a45b196c6f68ad66a07549f27237956c751f511d2589cf91980658d4f1b743dd2c9c9506102da3be4bae2

memory/2488-5830-0x0000000000400000-0x000000000048A000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 a5d4cddfecf34e5391a7a3df62312327
SHA1 04a3c708bab0c15b6746cf9dbf41a71c917a98b9
SHA256 8961a4310b2413753851ba8afe2feb4c522c20e856c6a98537d8ab440f48853a
SHA512 48024549d0fcb88e3bd46f7fb42715181142cae764a3daeb64cad07f10cf3bf14153731aeafba9a191557e29ddf1c5b62a460588823df215e2246eddaeff6643

memory/3484-5940-0x0000000000400000-0x000000000048A000-memory.dmp

memory/1456-5946-0x0000000000400000-0x000000000048A000-memory.dmp

memory/528-6055-0x0000000000400000-0x000000000048A000-memory.dmp

memory/3976-6059-0x0000000000400000-0x000000000048A000-memory.dmp

memory/1456-6169-0x0000000000400000-0x000000000048A000-memory.dmp

memory/4912-6172-0x0000000000400000-0x000000000048A000-memory.dmp

memory/3976-6173-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2436-6179-0x0000000000400000-0x000000000048A000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 0d1e5715cf04d212bcd7c9dea5f7ab72
SHA1 a8add44bf542e4d22260a13de6a35704fb7f3bfb
SHA256 5d1fc763bce7a43e9e47a75ddb116b7e5d077cc5541c55bc06f2951105b88473
SHA512 89da5156b2021e4279d7fb8e3bf0196495f84d9aa04c921533d609f02b1b3edd29de80d5930483b914fe82f5fc319993f7fcd925ca22351fccd56c82652f2117

memory/4912-6286-0x0000000000400000-0x000000000048A000-memory.dmp

memory/5068-6292-0x0000000000400000-0x000000000048A000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 3637baf389a0d79b412adb2a7f1b7d09
SHA1 f4b011a72f59cf98a325f12b7e40ddd0548ccc16
SHA256 835336f5d468ac1d8361f9afbc8e69ff1538c51b0b619d641b4b41dcfaa39cba
SHA512 ea71a49c3673e9ce4f92d0f38441b3bc5b3b9ef6649caa21972648e34b6cec8694fa8fb7fc0ddad1e58f0464e0ba917c4500090a3db3fc07e1d258079c1c2506

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 5575ef034e791d4d3b09da6c0c4ee764
SHA1 50a0851ddf4b0c4014ad91f976e953baffe30951
SHA256 9697ec584ef188873daa789eb779bb95dd3efa2c4c98a55dffa30cac4d156c14
SHA512 ecf52614d3a16d8e558751c799fde925650ef3e6d254d172217e1b0ed76a983d45b74688616d3e3432a16cec98b986b17eaecd319a18df9a67e4d47f17380756

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 b79d7c7385eb2936ecd5681762227a9b
SHA1 c2a21fb49bd3cc8be9baac1bf6f6389453ad785d
SHA256 fd1be29f1f4b9fc4a8d9b583c4d2114f17c062998c833b2085960ac02ef82019
SHA512 7ea049afca363ff483f57b9fff1e213006d689eb4406cefe7f1e096c46b41e7908f1e4d69e1411ae56eb1c4e19489c9322176ffdd8ea2f1c37213eb51f03ef5b

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 b9dc88ed785d13aaeae9626d7a26a6a0
SHA1 ab67e1c5ca09589b93c06ad0edc4b5a18109ec1e
SHA256 9f1cba2944ed1a547847aa72ba5c759c55da7466796389f9a0f4fad69926e6fc
SHA512 df6380a3e5565ff2bc66d7589af7bc3dcfa2598212c95765d070765341bba446a5a5d6206b50d860f6375c437622deb95a066440145a1b7917aee6dcef207b91

memory/2436-6401-0x0000000000400000-0x000000000048A000-memory.dmp

memory/3652-6404-0x0000000000400000-0x000000000048A000-memory.dmp

memory/5068-6512-0x0000000000400000-0x000000000048A000-memory.dmp

memory/3652-6517-0x0000000000400000-0x000000000048A000-memory.dmp

memory/4932-6630-0x0000000000400000-0x000000000048A000-memory.dmp

memory/752-6739-0x0000000000400000-0x000000000048A000-memory.dmp

memory/4932-6849-0x0000000000400000-0x000000000048A000-memory.dmp

memory/3804-6855-0x0000000000400000-0x000000000048A000-memory.dmp

memory/1356-6964-0x0000000000400000-0x000000000048A000-memory.dmp

memory/968-6968-0x0000000000400000-0x000000000048A000-memory.dmp

memory/3804-7079-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2836-7082-0x0000000000400000-0x000000000048A000-memory.dmp

memory/968-7193-0x0000000000400000-0x000000000048A000-memory.dmp

memory/4524-7195-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2836-7307-0x0000000000400000-0x000000000048A000-memory.dmp

memory/4524-7420-0x0000000000400000-0x000000000048A000-memory.dmp

memory/4324-7422-0x0000000000400000-0x000000000048A000-memory.dmp

memory/4760-7428-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2064-7431-0x0000000000400000-0x000000000048A000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 ff6c57e8ec2b96b8da7fe900f1f3da1c
SHA1 a6f0dc2e2a0a46e1031017b81825173054bf76ae
SHA256 ad103027edabf24721c50018ae32c2b34872f7f63a352d31591a2cd7174008d6
SHA512 c0069e816bdf494c149e6bc278dc63ad58e348ec90d9bf161f2558bea03e9622e4b0c03b1a6b2517e87ef4e748d4aac36fb853f70180b55521e56c9c4960babc

memory/4324-7542-0x0000000000400000-0x000000000048A000-memory.dmp

memory/1212-7544-0x0000000000400000-0x000000000048A000-memory.dmp

memory/2064-7657-0x0000000000400000-0x000000000048A000-memory.dmp

memory/1212-7769-0x0000000000400000-0x000000000048A000-memory.dmp

memory/4196-7772-0x0000000000400000-0x000000000048A000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 bef09dc596b7b91eec4f38765e0965b7
SHA1 b8bb8d2eb918e0979b08fd1967dac127874b9de5
SHA256 8dab724d5941eb7becff35ce1a76e8525dcdca024900e70758300dcdddf8e265
SHA512 0bbce4150b47bafb674f2074fdfc20df86edadb85037f93c541d1d53f721ed52e37a49d14522dac56e9d2e9ce801bcdb701509fa02285778a086d547f1be966a

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 8a36f3bf3750851d8732b132fa330bb4
SHA1 1cb36be31f3d7d9439aac14af3d7a27f05a980eb
SHA256 5d88aebc1d13a61609ef057cb38dc9d7b0a04a47a7670a7591f40d1ea05b6ad9
SHA512 a822885389f3b12baed60b565646bed97aea1740e163e236ca3647fb63a9c15f6e21bc5ff92eb2d47bb6b1268c71ffb8e5e84006f3c04377d9d3a7c16434e646

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 752fd85212d47da8f0adc29004a573b2
SHA1 fa8fe3ff766601db46412879dc13dbec8d055965
SHA256 9faa69e9dabfb4beb40790bf12d0ae2ac0a879fb045e38c03b9e4d0ab569636e
SHA512 d7bbadb2ed764717dc01b012832e5c1debd6615bbdc121b5954e61d6364a03b2dd03718bdea26c5c2a6dbb6e33c5a7657c76862f6d8c0a916f7a0f9f8dd3b209

memory/4972-7883-0x0000000000400000-0x000000000048A000-memory.dmp

memory/4880-7884-0x0000000000560000-0x0000000000561000-memory.dmp

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 4cee92ad10b11dbf325a40c64ff7d745
SHA1 b395313d0e979fede2261f8cc558fcebfefcae33
SHA256 eaeac48f16abac608c9bb5b8d0d363b2ca27708b262c1de41ab0f163c39a2fb1
SHA512 3f11992b0c8f7c6f0180f984392f86ea8eb1859be236e2bbfbc863226d3cac67b06700561f27fb673e2955c6ebc5b168dd28ca704de57c4f6c07bdbf14f75ec9

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 c756b8eac93de58d57105a6c35adb50f
SHA1 b18d370dabc3c5b9e82d74f19bbc101a1be009f2
SHA256 853448e59c9bb7599fa8a5ff03a0b608781a02d41f58576f1192e0c48cb8d635
SHA512 09fbfe4a17b1fb6167c6889e5a0ab41cfef9e1372796e69c2558a50a002d9c1e2b0d81d45d7f96be9d02a8025d0ae276ecc01f135e9ccb04c301adcffd67d263

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 8a84d46ef81c793a90a80bc806cffdcf
SHA1 02fac9db9330040ffc613a325686ddca2678a7c5
SHA256 201891985252489d470c08e66c42a4cf5f9220be3051b9a167936c8f80a606c4
SHA512 b198b32fd9be872968644641248d4e3794aa095f446bab4e1c5a54b2c109df166bbdfb54d4fd8912d202f92ac69b1685ed0c30256e40f30d72e433ee987cc374

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 c1e5f93e2bee9ca33872764d8889de23
SHA1 167f65adfc34a0e47cb7de92cc5958ee8905796a
SHA256 8f5276e847b1c6beb572b1eeae20f98784aae11ea2d8f8860adcdb78fd9dca3a
SHA512 482741b0df7bf6e94ba9667892fe12125df30812e21de40fd60dee540922da70ffb6db4a0c0e17346e714d4bb6e49e2d4eca53c0d5194cd888903071c82b8859

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 d67d51b859c99a46a906a4c3a6ff6560
SHA1 b685cc703a1c86ba8ad681b545a6f3014b80d585
SHA256 33d0a27d49cd3cfa5a4ef5027d3defe60a3f7be1a3914870390b9829d360937a
SHA512 c986416a115ca162ee28d5dfd1159538d81a751e4961340415718c0d1f0ffa4d80675b4b698ed039eef86cbe1b2c0b01a0004dea39111056013d3e0a0179cedd

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 159bb1d34a927f58fc851798c7c09b58
SHA1 c3a26565004531f3a93e29eabb0f9a196b4c1ba2
SHA256 53b81439ff38712958d57d158f1402a299c3a131d521c3a7a4a30c56542db7bd
SHA512 b6f9a3d1cb628b79ca97a65645618190b20bfbddee0ceecea710c802d3d92cee3d1e3e675b5fb9ac994a0abb3f0681ed28abbab2fe61f4b54a0fb5d7a7f0034b

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 d8be0d42e512d922804552250f01eb90
SHA1 cda2fd8fc9c4cdf15d5e2f07a4c633e21d11c9d3
SHA256 901619f668fe541b53d809cd550460f579985c3d2f3d899a557997e778eb1d82
SHA512 f53619e1ec3c9abc833f9fca1174529fb4a4723b64f7560059cd3147d74ea8fe945a7bd0034f6fb68c0e61b6782a26908d30a749a256e019031b5a6ac088eb97

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 c6b0028a6f5508ef564d624eda0e72bc
SHA1 18901c9856a9af672c2e27383c15d2da41f27b6b
SHA256 b41f477ecd348b1c3e12ef410d67b712627ed0696769c2c8cc2f087d02121d06
SHA512 5d5f6fb437767096562f2ab9aac2cb75611afcc090b0a65ea63dfbadb3c4a73a3d45bbe139e43a7beea889370c76ac2eb2aa0fdffa92b69cfe47dd1ffbf10a71

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 5b77620cb52220f4a82e3551ee0a53a6
SHA1 07d122b8e70ec5887bad4ef8f4d6209df18912d0
SHA256 93ee7aaab4bb8bb1a11aede226bdb7c2ad85197ef5054eb58531c4df35599579
SHA512 9dc2b10a03c87d294903ff3514ca38ce1e85dec66213a7042d31f70fb20d36fed645150c5a6cb6f08c31bdc9f61e7dee2f1737c98aab263c289b09ffa663371c

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 8a0897226da780b90c11da0756b361f1
SHA1 67f813e8733ad75a2147c59cca102a60274daeab
SHA256 115ff7b8bbe33e1325a2b03fb279281b79b2b9c4c0d6147c049c99da39867bee
SHA512 55e0e0791fb8e76fb67511ef2bfe1bdb934c857a5a555f9c72dd063250c18b17c57ff9f220c0d3cdd219828d87f5c08bfe5e198476c9d38119c4cfb099b99642

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 82fb85e6f9058c36d57abc2350ffee7e
SHA1 f52708d066380d42924513f697ab4ed5492f78b8
SHA256 0696a5c075674c13128a61fd02c3be39c68860dc24f3669415817d03c75415c6
SHA512 27c84e21ed39cc0ff6377d717b99ee444867eba7a74b878b30c8a7ec7df97003f02963399020abe09a73f4b6949c75580eb85067412f4ccdacc03e8caf5d966a

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 895301bce84d6fe707b5cfd50f1f9f97
SHA1 50a012f59655621768f624c4571654145663c042
SHA256 b2c6435e83784b85e7f4bdd4568bd954029caac9f5795e3111ae75db0f9874d4
SHA512 a75188afa7c01959bcbf7b832d92d0134072eecd3dd58d6179bc626024d4c9593cadc5cf9ab00deb3824853df003a0a73c84b60cefbdcb6944d216534ea7ffc4

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 1a00c84e2e8a76c3caa6c0b89f9f0d6d
SHA1 2650e962d49c5800edb569ee1b989edc8868d9b9
SHA256 f477217e9368c8114de7621c41a01818957dae31140ffd7df2b39705c72543e6
SHA512 a5f2f271184ff3bad04dd2135e7d32ca32c2ad24400832ec8a143dcbc20449ede4e06b48479ba93609cb1caf0b41a9143698eafb07b032ebdd609e399d62288c

C:\Users\Admin\AppData\Local\Temp\1.reg

MD5 294976e85ad11a45853f99c1b208723f
SHA1 8d83101d69420b5af97ec517165d849d3ab498fc
SHA256 04fe02d621f3d9853840b27476da4a191fc91592a77632f9cf85d4ef0370acff
SHA512 e8193036e0e411afe75c1e23f9ce1a7f32d1297706cdd0d99c20375dd7a2bdfb23cc550015852f36816668f0d085042afe74fcfff294f90854ea70f3b929a9d6