Windows 7 deprecation

Windows 7 will be removed from tria.ge on 2025-03-31

Analysis

  • max time kernel
    137s
  • max time network
    124s
  • platform
    windows10-2004_x64
  • resource
    win10v2004-20240226-en
  • resource tags

    arch:x64arch:x86image:win10v2004-20240226-enlocale:en-usos:windows10-2004-x64system
  • submitted
    07/04/2024, 23:20

General

  • Target

    e618abbf88aedc79c3975878daba5c9a_JaffaCakes118.exe

  • Size

    102KB

  • MD5

    e618abbf88aedc79c3975878daba5c9a

  • SHA1

    df3bea7b926a13b6d2003bf7a280a875882f8bbe

  • SHA256

    24d5464a706bf74c91841344dd879fab410a6d1b55032014c2ddb1781ac32d18

  • SHA512

    efce7dd64001a96d9bdf579d4a3284efad83b63ae51334299c64e6cd9cd9e084cce72d5b6df395f48c991b92615cc3342a3f694a6143db44057e63565c01f2ef

  • SSDEEP

    3072:fVsUjh2iw4XUMgQOIXdYyhQQ+bMKLo3pl0k4F9:9PlXiQNWyhQU3pX69

Score
7/10

Malware Config

Signatures

  • Checks computer location settings 2 TTPs 64 IoCs

    Looks up country code configured in the registry, likely geofence.

  • Executes dropped EXE 64 IoCs
  • Adds Run key to start application 2 TTPs 64 IoCs
  • Drops file in System32 directory 64 IoCs
  • Enumerates physical storage devices 1 TTPs

    Attempts to interact with connected storage/optical drive(s).

  • Modifies registry class 64 IoCs
  • Suspicious use of SetWindowsHookEx 1 IoCs
  • Suspicious use of WriteProcessMemory 64 IoCs

Processes

  • C:\Users\Admin\AppData\Local\Temp\e618abbf88aedc79c3975878daba5c9a_JaffaCakes118.exe
    "C:\Users\Admin\AppData\Local\Temp\e618abbf88aedc79c3975878daba5c9a_JaffaCakes118.exe"
    1⤵
    • Suspicious use of SetWindowsHookEx
    • Suspicious use of WriteProcessMemory
    PID:4340
    • C:\Users\Admin\AppData\Local\Temp\1pwT2q\srce.exe
      C:\Users\Admin\AppData\Local\Temp\\1pwT2q\srce.exe
      2⤵
      • Executes dropped EXE
      • Suspicious use of WriteProcessMemory
      PID:4568
      • C:\WINDOWS\SysWOW64\wuaumqr.exe
        "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\USERS\ADMIN\APPDATA\LOCAL\TEMP\1PWT2Q\SRCE.EXE
        3⤵
        • Executes dropped EXE
        • Adds Run key to start application
        • Suspicious use of WriteProcessMemory
        PID:4028
        • C:\WINDOWS\SysWOW64\eqfrnkl.exe
          "C:\WINDOWS\SYSTEM32\eqfrnkl.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
          4⤵
          • Executes dropped EXE
          • Drops file in System32 directory
          • Suspicious use of WriteProcessMemory
          PID:4564
          • C:\WINDOWS\SysWOW64\bgdsgry.exe
            "C:\WINDOWS\SYSTEM32\bgdsgry.exe" mElTC:\WINDOWS\SYSWOW64\EQFRNKL.EXE
            5⤵
            • Executes dropped EXE
            • Modifies registry class
            • Suspicious use of WriteProcessMemory
            PID:1472
            • C:\WINDOWS\SysWOW64\wuaumqr.exe
              "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\BGDSGRY.EXE
              6⤵
              • Executes dropped EXE
              • Suspicious use of WriteProcessMemory
              PID:5056
              • C:\WINDOWS\SysWOW64\confsqw.exe
                "C:\WINDOWS\SYSTEM32\confsqw.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                7⤵
                • Executes dropped EXE
                • Adds Run key to start application
                • Suspicious use of WriteProcessMemory
                PID:2544
                • C:\WINDOWS\SysWOW64\mrchftc.exe
                  "C:\WINDOWS\SYSTEM32\mrchftc.exe" mElTC:\WINDOWS\SYSWOW64\CONFSQW.EXE
                  8⤵
                  • Executes dropped EXE
                  • Suspicious use of WriteProcessMemory
                  PID:3028
                  • C:\WINDOWS\SysWOW64\wuaumqr.exe
                    "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\MRCHFTC.EXE
                    9⤵
                    • Checks computer location settings
                    • Executes dropped EXE
                    • Suspicious use of WriteProcessMemory
                    PID:2400
                    • C:\WINDOWS\SysWOW64\urcvfie.exe
                      "C:\WINDOWS\SYSTEM32\urcvfie.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                      10⤵
                      • Checks computer location settings
                      • Executes dropped EXE
                      • Drops file in System32 directory
                      • Modifies registry class
                      • Suspicious use of WriteProcessMemory
                      PID:3584
                      • C:\WINDOWS\SysWOW64\ztkqwnk.exe
                        "C:\WINDOWS\SYSTEM32\ztkqwnk.exe" mElTC:\WINDOWS\SYSWOW64\URCVFIE.EXE
                        11⤵
                        • Checks computer location settings
                        • Executes dropped EXE
                        • Modifies registry class
                        • Suspicious use of WriteProcessMemory
                        PID:2004
                        • C:\WINDOWS\SysWOW64\wuaumqr.exe
                          "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\ZTKQWNK.EXE
                          12⤵
                          • Checks computer location settings
                          • Executes dropped EXE
                          • Drops file in System32 directory
                          • Modifies registry class
                          • Suspicious use of WriteProcessMemory
                          PID:4816
                          • C:\WINDOWS\SysWOW64\uzcykkw.exe
                            "C:\WINDOWS\SYSTEM32\uzcykkw.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                            13⤵
                            • Executes dropped EXE
                            • Suspicious use of WriteProcessMemory
                            PID:444
                            • C:\WINDOWS\SysWOW64\hmtoqov.exe
                              "C:\WINDOWS\SYSTEM32\hmtoqov.exe" mElTC:\WINDOWS\SYSWOW64\UZCYKKW.EXE
                              14⤵
                              • Executes dropped EXE
                              • Suspicious use of WriteProcessMemory
                              PID:4892
                              • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\HMTOQOV.EXE
                                15⤵
                                • Checks computer location settings
                                • Executes dropped EXE
                                • Drops file in System32 directory
                                • Suspicious use of WriteProcessMemory
                                PID:3424
                                • C:\WINDOWS\SysWOW64\mzobvyf.exe
                                  "C:\WINDOWS\SYSTEM32\mzobvyf.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                  16⤵
                                  • Executes dropped EXE
                                  • Modifies registry class
                                  • Suspicious use of WriteProcessMemory
                                  PID:5088
                                  • C:\WINDOWS\SysWOW64\pfcmkpo.exe
                                    "C:\WINDOWS\SYSTEM32\pfcmkpo.exe" mElTC:\WINDOWS\SYSWOW64\MZOBVYF.EXE
                                    17⤵
                                    • Checks computer location settings
                                    • Executes dropped EXE
                                    • Modifies registry class
                                    • Suspicious use of WriteProcessMemory
                                    PID:952
                                    • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                      "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\PFCMKPO.EXE
                                      18⤵
                                      • Executes dropped EXE
                                      • Suspicious use of WriteProcessMemory
                                      PID:4716
                                      • C:\WINDOWS\SysWOW64\enpkxtz.exe
                                        "C:\WINDOWS\SYSTEM32\enpkxtz.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                        19⤵
                                        • Executes dropped EXE
                                        • Modifies registry class
                                        • Suspicious use of WriteProcessMemory
                                        PID:2800
                                        • C:\WINDOWS\SysWOW64\rbisxki.exe
                                          "C:\WINDOWS\SYSTEM32\rbisxki.exe" mElTC:\WINDOWS\SYSWOW64\ENPKXTZ.EXE
                                          20⤵
                                          • Executes dropped EXE
                                          • Suspicious use of WriteProcessMemory
                                          PID:4316
                                          • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                            "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\RBISXKI.EXE
                                            21⤵
                                            • Executes dropped EXE
                                            • Drops file in System32 directory
                                            • Modifies registry class
                                            • Suspicious use of WriteProcessMemory
                                            PID:208
                                            • C:\WINDOWS\SysWOW64\zuqxxyj.exe
                                              "C:\WINDOWS\SYSTEM32\zuqxxyj.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                              22⤵
                                              • Executes dropped EXE
                                              • Adds Run key to start application
                                              • Drops file in System32 directory
                                              • Suspicious use of WriteProcessMemory
                                              PID:2996
                                              • C:\WINDOWS\SysWOW64\occyycx.exe
                                                "C:\WINDOWS\SYSTEM32\occyycx.exe" mElTC:\WINDOWS\SYSWOW64\ZUQXXYJ.EXE
                                                23⤵
                                                • Executes dropped EXE
                                                • Adds Run key to start application
                                                PID:4976
                                                • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                  "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\OCCYYCX.EXE
                                                  24⤵
                                                  • Executes dropped EXE
                                                  • Drops file in System32 directory
                                                  PID:4152
                                                  • C:\WINDOWS\SysWOW64\okjtjul.exe
                                                    "C:\WINDOWS\SYSTEM32\okjtjul.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                    25⤵
                                                    • Executes dropped EXE
                                                    • Modifies registry class
                                                    PID:2428
                                                    • C:\WINDOWS\SysWOW64\lttbwkt.exe
                                                      "C:\WINDOWS\SYSTEM32\lttbwkt.exe" mElTC:\WINDOWS\SYSWOW64\OKJTJUL.EXE
                                                      26⤵
                                                      • Checks computer location settings
                                                      • Executes dropped EXE
                                                      PID:3160
                                                      • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                        "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\LTTBWKT.EXE
                                                        27⤵
                                                        • Executes dropped EXE
                                                        PID:956
                                                        • C:\WINDOWS\SysWOW64\gcxcztc.exe
                                                          "C:\WINDOWS\SYSTEM32\gcxcztc.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                          28⤵
                                                          • Executes dropped EXE
                                                          • Adds Run key to start application
                                                          • Drops file in System32 directory
                                                          PID:4460
                                                          • C:\WINDOWS\SysWOW64\teexegm.exe
                                                            "C:\WINDOWS\SYSTEM32\teexegm.exe" mElTC:\WINDOWS\SYSWOW64\GCXCZTC.EXE
                                                            29⤵
                                                            • Executes dropped EXE
                                                            • Adds Run key to start application
                                                            • Modifies registry class
                                                            PID:2476
                                                            • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                              "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\TEEXEGM.EXE
                                                              30⤵
                                                              • Checks computer location settings
                                                              • Executes dropped EXE
                                                              • Modifies registry class
                                                              PID:4240
                                                              • C:\WINDOWS\SysWOW64\wluxzsc.exe
                                                                "C:\WINDOWS\SYSTEM32\wluxzsc.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                31⤵
                                                                • Executes dropped EXE
                                                                PID:5068
                                                                • C:\WINDOWS\SysWOW64\jvbicrc.exe
                                                                  "C:\WINDOWS\SYSTEM32\jvbicrc.exe" mElTC:\WINDOWS\SYSWOW64\WLUXZSC.EXE
                                                                  32⤵
                                                                  • Checks computer location settings
                                                                  • Executes dropped EXE
                                                                  • Adds Run key to start application
                                                                  • Drops file in System32 directory
                                                                  • Modifies registry class
                                                                  PID:5048
                                                                  • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                    "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\JVBICRC.EXE
                                                                    33⤵
                                                                    • Checks computer location settings
                                                                    • Executes dropped EXE
                                                                    PID:3020
                                                                    • C:\WINDOWS\SysWOW64\jnlgilk.exe
                                                                      "C:\WINDOWS\SYSTEM32\jnlgilk.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                      34⤵
                                                                      • Executes dropped EXE
                                                                      • Drops file in System32 directory
                                                                      • Modifies registry class
                                                                      PID:4436
                                                                      • C:\WINDOWS\SysWOW64\wbetbcq.exe
                                                                        "C:\WINDOWS\SYSTEM32\wbetbcq.exe" mElTC:\WINDOWS\SYSWOW64\JNLGILK.EXE
                                                                        35⤵
                                                                        • Executes dropped EXE
                                                                        PID:1052
                                                                        • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                          "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\WBETBCQ.EXE
                                                                          36⤵
                                                                          • Executes dropped EXE
                                                                          • Drops file in System32 directory
                                                                          PID:1644
                                                                          • C:\WINDOWS\SysWOW64\wmpbbjp.exe
                                                                            "C:\WINDOWS\SYSTEM32\wmpbbjp.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                            37⤵
                                                                            • Executes dropped EXE
                                                                            • Modifies registry class
                                                                            PID:1084
                                                                            • C:\WINDOWS\SysWOW64\yaerciw.exe
                                                                              "C:\WINDOWS\SYSTEM32\yaerciw.exe" mElTC:\WINDOWS\SYSWOW64\WMPBBJP.EXE
                                                                              38⤵
                                                                              • Executes dropped EXE
                                                                              • Adds Run key to start application
                                                                              • Modifies registry class
                                                                              PID:216
                                                                              • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\YAERCIW.EXE
                                                                                39⤵
                                                                                • Executes dropped EXE
                                                                                PID:3056
                                                                                • C:\WINDOWS\SysWOW64\gicctfa.exe
                                                                                  "C:\WINDOWS\SYSTEM32\gicctfa.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                  40⤵
                                                                                  • Executes dropped EXE
                                                                                  PID:1448
                                                                                  • C:\WINDOWS\SysWOW64\bhrfdrl.exe
                                                                                    "C:\WINDOWS\SYSTEM32\bhrfdrl.exe" mElTC:\WINDOWS\SYSWOW64\GICCTFA.EXE
                                                                                    41⤵
                                                                                    • Executes dropped EXE
                                                                                    • Drops file in System32 directory
                                                                                    PID:2560
                                                                                    • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                      "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\BHRFDRL.EXE
                                                                                      42⤵
                                                                                      • Executes dropped EXE
                                                                                      PID:5016
                                                                                      • C:\WINDOWS\SysWOW64\jibjjsc.exe
                                                                                        "C:\WINDOWS\SYSTEM32\jibjjsc.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                        43⤵
                                                                                        • Executes dropped EXE
                                                                                        PID:4340
                                                                                        • C:\WINDOWS\SysWOW64\qtbtrtq.exe
                                                                                          "C:\WINDOWS\SYSTEM32\qtbtrtq.exe" mElTC:\WINDOWS\SYSWOW64\JIBJJSC.EXE
                                                                                          44⤵
                                                                                          • Executes dropped EXE
                                                                                          • Adds Run key to start application
                                                                                          • Modifies registry class
                                                                                          PID:1084
                                                                                          • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                            "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\QTBTRTQ.EXE
                                                                                            45⤵
                                                                                            • Checks computer location settings
                                                                                            • Executes dropped EXE
                                                                                            • Adds Run key to start application
                                                                                            • Modifies registry class
                                                                                            PID:2780
                                                                                            • C:\WINDOWS\SysWOW64\bpnpyie.exe
                                                                                              "C:\WINDOWS\SYSTEM32\bpnpyie.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                              46⤵
                                                                                              • Checks computer location settings
                                                                                              • Executes dropped EXE
                                                                                              PID:4204
                                                                                              • C:\WINDOWS\SysWOW64\yqyhntn.exe
                                                                                                "C:\WINDOWS\SYSTEM32\yqyhntn.exe" mElTC:\WINDOWS\SYSWOW64\BPNPYIE.EXE
                                                                                                47⤵
                                                                                                • Executes dropped EXE
                                                                                                PID:4380
                                                                                                • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                  "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\YQYHNTN.EXE
                                                                                                  48⤵
                                                                                                  • Executes dropped EXE
                                                                                                  • Adds Run key to start application
                                                                                                  • Drops file in System32 directory
                                                                                                  PID:2560
                                                                                                  • C:\WINDOWS\SysWOW64\gygqkkh.exe
                                                                                                    "C:\WINDOWS\SYSTEM32\gygqkkh.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                    49⤵
                                                                                                    • Checks computer location settings
                                                                                                    • Executes dropped EXE
                                                                                                    PID:2428
                                                                                                    • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                      "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\GYGQKKH.EXE
                                                                                                      50⤵
                                                                                                      • Executes dropped EXE
                                                                                                      PID:4392
                                                                                                      • C:\WINDOWS\SysWOW64\nwcznkh.exe
                                                                                                        "C:\WINDOWS\SYSTEM32\nwcznkh.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                        51⤵
                                                                                                        • Executes dropped EXE
                                                                                                        • Modifies registry class
                                                                                                        PID:1404
                                                                                                        • C:\WINDOWS\SysWOW64\qzgclfh.exe
                                                                                                          "C:\WINDOWS\SYSTEM32\qzgclfh.exe" mElTC:\WINDOWS\SYSWOW64\NWCZNKH.EXE
                                                                                                          52⤵
                                                                                                          • Checks computer location settings
                                                                                                          • Executes dropped EXE
                                                                                                          • Modifies registry class
                                                                                                          PID:4460
                                                                                                          • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                            "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\QZGCLFH.EXE
                                                                                                            53⤵
                                                                                                            • Executes dropped EXE
                                                                                                            • Drops file in System32 directory
                                                                                                            PID:4948
                                                                                                            • C:\WINDOWS\SysWOW64\ljiprve.exe
                                                                                                              "C:\WINDOWS\SYSTEM32\ljiprve.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                              54⤵
                                                                                                              • Executes dropped EXE
                                                                                                              PID:4888
                                                                                                              • C:\WINDOWS\SysWOW64\djlnibi.exe
                                                                                                                "C:\WINDOWS\SYSTEM32\djlnibi.exe" mElTC:\WINDOWS\SYSWOW64\LJIPRVE.EXE
                                                                                                                55⤵
                                                                                                                • Checks computer location settings
                                                                                                                • Executes dropped EXE
                                                                                                                • Adds Run key to start application
                                                                                                                PID:4976
                                                                                                                • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                  "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\DJLNIBI.EXE
                                                                                                                  56⤵
                                                                                                                  • Executes dropped EXE
                                                                                                                  • Drops file in System32 directory
                                                                                                                  PID:2428
                                                                                                                  • C:\WINDOWS\SysWOW64\yplbiga.exe
                                                                                                                    "C:\WINDOWS\SYSTEM32\yplbiga.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                    57⤵
                                                                                                                    • Executes dropped EXE
                                                                                                                    • Drops file in System32 directory
                                                                                                                    PID:3292
                                                                                                                    • C:\WINDOWS\SysWOW64\qaagcdy.exe
                                                                                                                      "C:\WINDOWS\SYSTEM32\qaagcdy.exe" mElTC:\WINDOWS\SYSWOW64\YPLBIGA.EXE
                                                                                                                      58⤵
                                                                                                                      • Executes dropped EXE
                                                                                                                      • Adds Run key to start application
                                                                                                                      PID:3748
                                                                                                                      • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                        "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\QAAGCDY.EXE
                                                                                                                        59⤵
                                                                                                                        • Executes dropped EXE
                                                                                                                        • Drops file in System32 directory
                                                                                                                        • Modifies registry class
                                                                                                                        PID:4660
                                                                                                                        • C:\WINDOWS\SysWOW64\iobpdgs.exe
                                                                                                                          "C:\WINDOWS\SYSTEM32\iobpdgs.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                          60⤵
                                                                                                                          • Executes dropped EXE
                                                                                                                          • Adds Run key to start application
                                                                                                                          PID:4592
                                                                                                                          • C:\WINDOWS\SysWOW64\yaihboc.exe
                                                                                                                            "C:\WINDOWS\SYSTEM32\yaihboc.exe" mElTC:\WINDOWS\SYSWOW64\IOBPDGS.EXE
                                                                                                                            61⤵
                                                                                                                            • Executes dropped EXE
                                                                                                                            • Adds Run key to start application
                                                                                                                            • Drops file in System32 directory
                                                                                                                            • Modifies registry class
                                                                                                                            PID:4380
                                                                                                                            • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                              "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\YAIHBOC.EXE
                                                                                                                              62⤵
                                                                                                                              • Executes dropped EXE
                                                                                                                              PID:4464
                                                                                                                              • C:\WINDOWS\SysWOW64\vjdfuzr.exe
                                                                                                                                "C:\WINDOWS\SYSTEM32\vjdfuzr.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                63⤵
                                                                                                                                • Checks computer location settings
                                                                                                                                • Executes dropped EXE
                                                                                                                                PID:1700
                                                                                                                                • C:\WINDOWS\SysWOW64\nnrqvrb.exe
                                                                                                                                  "C:\WINDOWS\SYSTEM32\nnrqvrb.exe" mElTC:\WINDOWS\SYSWOW64\VJDFUZR.EXE
                                                                                                                                  64⤵
                                                                                                                                  • Executes dropped EXE
                                                                                                                                  • Modifies registry class
                                                                                                                                  PID:3592
                                                                                                                                  • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                    "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\NNRQVRB.EXE
                                                                                                                                    65⤵
                                                                                                                                    • Checks computer location settings
                                                                                                                                    • Executes dropped EXE
                                                                                                                                    • Adds Run key to start application
                                                                                                                                    • Drops file in System32 directory
                                                                                                                                    PID:1904
                                                                                                                                    • C:\WINDOWS\SysWOW64\alwljyc.exe
                                                                                                                                      "C:\WINDOWS\SYSTEM32\alwljyc.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                      66⤵
                                                                                                                                      • Drops file in System32 directory
                                                                                                                                      • Modifies registry class
                                                                                                                                      PID:4436
                                                                                                                                      • C:\WINDOWS\SysWOW64\fyptuio.exe
                                                                                                                                        "C:\WINDOWS\SYSTEM32\fyptuio.exe" mElTC:\WINDOWS\SYSWOW64\ALWLJYC.EXE
                                                                                                                                        67⤵
                                                                                                                                          PID:3060
                                                                                                                                          • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                            "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\FYPTUIO.EXE
                                                                                                                                            68⤵
                                                                                                                                            • Checks computer location settings
                                                                                                                                            • Modifies registry class
                                                                                                                                            PID:3948
                                                                                                                                            • C:\WINDOWS\SysWOW64\grswucb.exe
                                                                                                                                              "C:\WINDOWS\SYSTEM32\grswucb.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                              69⤵
                                                                                                                                              • Adds Run key to start application
                                                                                                                                              • Drops file in System32 directory
                                                                                                                                              PID:1720
                                                                                                                                              • C:\WINDOWS\SysWOW64\khwjwxj.exe
                                                                                                                                                "C:\WINDOWS\SYSTEM32\khwjwxj.exe" mElTC:\WINDOWS\SYSWOW64\GRSWUCB.EXE
                                                                                                                                                70⤵
                                                                                                                                                  PID:4532
                                                                                                                                                  • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                    "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\KHWJWXJ.EXE
                                                                                                                                                    71⤵
                                                                                                                                                      PID:2756
                                                                                                                                                      • C:\WINDOWS\SysWOW64\abvpdao.exe
                                                                                                                                                        "C:\WINDOWS\SYSTEM32\abvpdao.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                        72⤵
                                                                                                                                                        • Adds Run key to start application
                                                                                                                                                        PID:676
                                                                                                                                                        • C:\WINDOWS\SysWOW64\sxvizbt.exe
                                                                                                                                                          "C:\WINDOWS\SYSTEM32\sxvizbt.exe" mElTC:\WINDOWS\SYSWOW64\ABVPDAO.EXE
                                                                                                                                                          73⤵
                                                                                                                                                          • Adds Run key to start application
                                                                                                                                                          PID:1660
                                                                                                                                                          • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                            "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\SXVIZBT.EXE
                                                                                                                                                            74⤵
                                                                                                                                                            • Adds Run key to start application
                                                                                                                                                            PID:952
                                                                                                                                                            • C:\WINDOWS\SysWOW64\cxjdxvi.exe
                                                                                                                                                              "C:\WINDOWS\SYSTEM32\cxjdxvi.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                              75⤵
                                                                                                                                                                PID:3632
                                                                                                                                                                • C:\WINDOWS\SysWOW64\xolgnkr.exe
                                                                                                                                                                  "C:\WINDOWS\SYSTEM32\xolgnkr.exe" mElTC:\WINDOWS\SYSWOW64\CXJDXVI.EXE
                                                                                                                                                                  76⤵
                                                                                                                                                                    PID:3324
                                                                                                                                                                    • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                      "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\XOLGNKR.EXE
                                                                                                                                                                      77⤵
                                                                                                                                                                      • Modifies registry class
                                                                                                                                                                      PID:4308
                                                                                                                                                                      • C:\WINDOWS\SysWOW64\flxjkpj.exe
                                                                                                                                                                        "C:\WINDOWS\SYSTEM32\flxjkpj.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                        78⤵
                                                                                                                                                                          PID:4532
                                                                                                                                                                          • C:\WINDOWS\SysWOW64\pkkuonp.exe
                                                                                                                                                                            "C:\WINDOWS\SYSTEM32\pkkuonp.exe" mElTC:\WINDOWS\SYSWOW64\FLXJKPJ.EXE
                                                                                                                                                                            79⤵
                                                                                                                                                                            • Modifies registry class
                                                                                                                                                                            PID:2756
                                                                                                                                                                            • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                              "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\PKKUONP.EXE
                                                                                                                                                                              80⤵
                                                                                                                                                                              • Adds Run key to start application
                                                                                                                                                                              • Drops file in System32 directory
                                                                                                                                                                              PID:676
                                                                                                                                                                              • C:\WINDOWS\SysWOW64\xziffst.exe
                                                                                                                                                                                "C:\WINDOWS\SYSTEM32\xziffst.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                81⤵
                                                                                                                                                                                  PID:3836
                                                                                                                                                                                  • C:\WINDOWS\SysWOW64\qwzptty.exe
                                                                                                                                                                                    "C:\WINDOWS\SYSTEM32\qwzptty.exe" mElTC:\WINDOWS\SYSWOW64\XZIFFST.EXE
                                                                                                                                                                                    82⤵
                                                                                                                                                                                      PID:952
                                                                                                                                                                                      • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                        "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\QWZPTTY.EXE
                                                                                                                                                                                        83⤵
                                                                                                                                                                                        • Adds Run key to start application
                                                                                                                                                                                        • Modifies registry class
                                                                                                                                                                                        PID:3632
                                                                                                                                                                                        • C:\WINDOWS\SysWOW64\zkjsdbq.exe
                                                                                                                                                                                          "C:\WINDOWS\SYSTEM32\zkjsdbq.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                          84⤵
                                                                                                                                                                                          • Checks computer location settings
                                                                                                                                                                                          • Drops file in System32 directory
                                                                                                                                                                                          PID:744
                                                                                                                                                                                          • C:\WINDOWS\SysWOW64\pojnhon.exe
                                                                                                                                                                                            "C:\WINDOWS\SYSTEM32\pojnhon.exe" mElTC:\WINDOWS\SYSWOW64\ZKJSDBQ.EXE
                                                                                                                                                                                            85⤵
                                                                                                                                                                                            • Checks computer location settings
                                                                                                                                                                                            • Drops file in System32 directory
                                                                                                                                                                                            PID:3124
                                                                                                                                                                                            • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                              "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\POJNHON.EXE
                                                                                                                                                                                              86⤵
                                                                                                                                                                                                PID:4864
                                                                                                                                                                                                • C:\WINDOWS\SysWOW64\uepnocw.exe
                                                                                                                                                                                                  "C:\WINDOWS\SYSTEM32\uepnocw.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                  87⤵
                                                                                                                                                                                                    PID:4460
                                                                                                                                                                                                    • C:\WINDOWS\SysWOW64\kucbhtx.exe
                                                                                                                                                                                                      "C:\WINDOWS\SYSTEM32\kucbhtx.exe" mElTC:\WINDOWS\SYSWOW64\UEPNOCW.EXE
                                                                                                                                                                                                      88⤵
                                                                                                                                                                                                      • Drops file in System32 directory
                                                                                                                                                                                                      PID:4660
                                                                                                                                                                                                      • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                        "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\KUCBHTX.EXE
                                                                                                                                                                                                        89⤵
                                                                                                                                                                                                          PID:976
                                                                                                                                                                                                          • C:\WINDOWS\SysWOW64\xqsuygt.exe
                                                                                                                                                                                                            "C:\WINDOWS\SYSTEM32\xqsuygt.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                            90⤵
                                                                                                                                                                                                            • Adds Run key to start application
                                                                                                                                                                                                            • Drops file in System32 directory
                                                                                                                                                                                                            PID:3904
                                                                                                                                                                                                            • C:\WINDOWS\SysWOW64\khwpbbi.exe
                                                                                                                                                                                                              "C:\WINDOWS\SYSTEM32\khwpbbi.exe" mElTC:\WINDOWS\SYSWOW64\XQSUYGT.EXE
                                                                                                                                                                                                              91⤵
                                                                                                                                                                                                                PID:4884
                                                                                                                                                                                                                • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                  "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\KHWPBBI.EXE
                                                                                                                                                                                                                  92⤵
                                                                                                                                                                                                                    PID:3708
                                                                                                                                                                                                                    • C:\WINDOWS\SysWOW64\ckukasn.exe
                                                                                                                                                                                                                      "C:\WINDOWS\SYSTEM32\ckukasn.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                      93⤵
                                                                                                                                                                                                                        PID:3964
                                                                                                                                                                                                                        • C:\WINDOWS\SysWOW64\pmbffex.exe
                                                                                                                                                                                                                          "C:\WINDOWS\SYSTEM32\pmbffex.exe" mElTC:\WINDOWS\SYSWOW64\CKUKASN.EXE
                                                                                                                                                                                                                          94⤵
                                                                                                                                                                                                                          • Drops file in System32 directory
                                                                                                                                                                                                                          PID:3156
                                                                                                                                                                                                                          • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                            "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\PMBFFEX.EXE
                                                                                                                                                                                                                            95⤵
                                                                                                                                                                                                                            • Drops file in System32 directory
                                                                                                                                                                                                                            PID:2800
                                                                                                                                                                                                                            • C:\WINDOWS\SysWOW64\czvtqcm.exe
                                                                                                                                                                                                                              "C:\WINDOWS\SYSTEM32\czvtqcm.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                              96⤵
                                                                                                                                                                                                                              • Adds Run key to start application
                                                                                                                                                                                                                              PID:1944
                                                                                                                                                                                                                              • C:\WINDOWS\SysWOW64\zlqoofs.exe
                                                                                                                                                                                                                                "C:\WINDOWS\SYSTEM32\zlqoofs.exe" mElTC:\WINDOWS\SYSWOW64\CZVTQCM.EXE
                                                                                                                                                                                                                                97⤵
                                                                                                                                                                                                                                • Checks computer location settings
                                                                                                                                                                                                                                • Drops file in System32 directory
                                                                                                                                                                                                                                PID:3536
                                                                                                                                                                                                                                • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                  "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\ZLQOOFS.EXE
                                                                                                                                                                                                                                  98⤵
                                                                                                                                                                                                                                  • Checks computer location settings
                                                                                                                                                                                                                                  • Drops file in System32 directory
                                                                                                                                                                                                                                  PID:1456
                                                                                                                                                                                                                                  • C:\WINDOWS\SysWOW64\pfyepnz.exe
                                                                                                                                                                                                                                    "C:\WINDOWS\SYSTEM32\pfyepnz.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                    99⤵
                                                                                                                                                                                                                                      PID:2372
                                                                                                                                                                                                                                      • C:\WINDOWS\SysWOW64\kadupgp.exe
                                                                                                                                                                                                                                        "C:\WINDOWS\SYSTEM32\kadupgp.exe" mElTC:\WINDOWS\SYSWOW64\PFYEPNZ.EXE
                                                                                                                                                                                                                                        100⤵
                                                                                                                                                                                                                                        • Checks computer location settings
                                                                                                                                                                                                                                        • Drops file in System32 directory
                                                                                                                                                                                                                                        PID:3584
                                                                                                                                                                                                                                        • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                          "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\KADUPGP.EXE
                                                                                                                                                                                                                                          101⤵
                                                                                                                                                                                                                                          • Checks computer location settings
                                                                                                                                                                                                                                          • Drops file in System32 directory
                                                                                                                                                                                                                                          PID:2916
                                                                                                                                                                                                                                          • C:\WINDOWS\SysWOW64\rbcuwvl.exe
                                                                                                                                                                                                                                            "C:\WINDOWS\SYSTEM32\rbcuwvl.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                            102⤵
                                                                                                                                                                                                                                            • Modifies registry class
                                                                                                                                                                                                                                            PID:1648
                                                                                                                                                                                                                                            • C:\WINDOWS\SysWOW64\huzhfjo.exe
                                                                                                                                                                                                                                              "C:\WINDOWS\SYSTEM32\huzhfjo.exe" mElTC:\WINDOWS\SYSWOW64\RBCUWVL.EXE
                                                                                                                                                                                                                                              103⤵
                                                                                                                                                                                                                                                PID:1400
                                                                                                                                                                                                                                                • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                  "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\HUZHFJO.EXE
                                                                                                                                                                                                                                                  104⤵
                                                                                                                                                                                                                                                  • Adds Run key to start application
                                                                                                                                                                                                                                                  PID:4436
                                                                                                                                                                                                                                                  • C:\WINDOWS\SysWOW64\uwgccvy.exe
                                                                                                                                                                                                                                                    "C:\WINDOWS\SYSTEM32\uwgccvy.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                    105⤵
                                                                                                                                                                                                                                                      PID:3188
                                                                                                                                                                                                                                                      • C:\WINDOWS\SysWOW64\pruxowl.exe
                                                                                                                                                                                                                                                        "C:\WINDOWS\SYSTEM32\pruxowl.exe" mElTC:\WINDOWS\SYSWOW64\UWGCCVY.EXE
                                                                                                                                                                                                                                                        106⤵
                                                                                                                                                                                                                                                        • Checks computer location settings
                                                                                                                                                                                                                                                        PID:2072
                                                                                                                                                                                                                                                        • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                          "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\PRUXOWL.EXE
                                                                                                                                                                                                                                                          107⤵
                                                                                                                                                                                                                                                          • Checks computer location settings
                                                                                                                                                                                                                                                          • Adds Run key to start application
                                                                                                                                                                                                                                                          • Modifies registry class
                                                                                                                                                                                                                                                          PID:1640
                                                                                                                                                                                                                                                          • C:\WINDOWS\SysWOW64\pkebuxu.exe
                                                                                                                                                                                                                                                            "C:\WINDOWS\SYSTEM32\pkebuxu.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                            108⤵
                                                                                                                                                                                                                                                            • Checks computer location settings
                                                                                                                                                                                                                                                            PID:4056
                                                                                                                                                                                                                                                            • C:\WINDOWS\SysWOW64\cmlerje.exe
                                                                                                                                                                                                                                                              "C:\WINDOWS\SYSTEM32\cmlerje.exe" mElTC:\WINDOWS\SYSWOW64\PKEBUXU.EXE
                                                                                                                                                                                                                                                              109⤵
                                                                                                                                                                                                                                                              • Adds Run key to start application
                                                                                                                                                                                                                                                              PID:4280
                                                                                                                                                                                                                                                              • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\CMLERJE.EXE
                                                                                                                                                                                                                                                                110⤵
                                                                                                                                                                                                                                                                • Checks computer location settings
                                                                                                                                                                                                                                                                • Drops file in System32 directory
                                                                                                                                                                                                                                                                PID:4688
                                                                                                                                                                                                                                                                • C:\WINDOWS\SysWOW64\cblzwux.exe
                                                                                                                                                                                                                                                                  "C:\WINDOWS\SYSTEM32\cblzwux.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                  111⤵
                                                                                                                                                                                                                                                                    PID:4320
                                                                                                                                                                                                                                                                    • C:\WINDOWS\SysWOW64\jgwrzex.exe
                                                                                                                                                                                                                                                                      "C:\WINDOWS\SYSTEM32\jgwrzex.exe" mElTC:\WINDOWS\SYSWOW64\CBLZWUX.EXE
                                                                                                                                                                                                                                                                      112⤵
                                                                                                                                                                                                                                                                      • Checks computer location settings
                                                                                                                                                                                                                                                                      PID:4188
                                                                                                                                                                                                                                                                      • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                        "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\JGWRZEX.EXE
                                                                                                                                                                                                                                                                        113⤵
                                                                                                                                                                                                                                                                        • Adds Run key to start application
                                                                                                                                                                                                                                                                        PID:3424
                                                                                                                                                                                                                                                                        • C:\WINDOWS\SysWOW64\pwdfsam.exe
                                                                                                                                                                                                                                                                          "C:\WINDOWS\SYSTEM32\pwdfsam.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                          114⤵
                                                                                                                                                                                                                                                                          • Adds Run key to start application
                                                                                                                                                                                                                                                                          PID:428
                                                                                                                                                                                                                                                                          • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                            "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\PWDFSAM.EXE
                                                                                                                                                                                                                                                                            115⤵
                                                                                                                                                                                                                                                                              PID:4128
                                                                                                                                                                                                                                                                              • C:\WINDOWS\SysWOW64\mmudrtg.exe
                                                                                                                                                                                                                                                                                "C:\WINDOWS\SYSTEM32\mmudrtg.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                116⤵
                                                                                                                                                                                                                                                                                  PID:4588
                                                                                                                                                                                                                                                                                  • C:\WINDOWS\SysWOW64\unujrii.exe
                                                                                                                                                                                                                                                                                    "C:\WINDOWS\SYSTEM32\unujrii.exe" mElTC:\WINDOWS\SYSWOW64\MMUDRTG.EXE
                                                                                                                                                                                                                                                                                    117⤵
                                                                                                                                                                                                                                                                                      PID:5084
                                                                                                                                                                                                                                                                                      • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                        "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\UNUJRII.EXE
                                                                                                                                                                                                                                                                                        118⤵
                                                                                                                                                                                                                                                                                        • Modifies registry class
                                                                                                                                                                                                                                                                                        PID:1260
                                                                                                                                                                                                                                                                                        • C:\WINDOWS\SysWOW64\tfvblcs.exe
                                                                                                                                                                                                                                                                                          "C:\WINDOWS\SYSTEM32\tfvblcs.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                          119⤵
                                                                                                                                                                                                                                                                                          • Adds Run key to start application
                                                                                                                                                                                                                                                                                          PID:2260
                                                                                                                                                                                                                                                                                          • C:\WINDOWS\SysWOW64\mjutnrm.exe
                                                                                                                                                                                                                                                                                            "C:\WINDOWS\SYSTEM32\mjutnrm.exe" mElTC:\WINDOWS\SYSWOW64\TFVBLCS.EXE
                                                                                                                                                                                                                                                                                            120⤵
                                                                                                                                                                                                                                                                                            • Checks computer location settings
                                                                                                                                                                                                                                                                                            • Modifies registry class
                                                                                                                                                                                                                                                                                            PID:4320
                                                                                                                                                                                                                                                                                            • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                              "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\MJUTNRM.EXE
                                                                                                                                                                                                                                                                                              121⤵
                                                                                                                                                                                                                                                                                              • Drops file in System32 directory
                                                                                                                                                                                                                                                                                              PID:3324
                                                                                                                                                                                                                                                                                              • C:\WINDOWS\SysWOW64\uriztgt.exe
                                                                                                                                                                                                                                                                                                "C:\WINDOWS\SYSTEM32\uriztgt.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                122⤵
                                                                                                                                                                                                                                                                                                  PID:3492
                                                                                                                                                                                                                                                                                                  • C:\WINDOWS\SysWOW64\mqtwktf.exe
                                                                                                                                                                                                                                                                                                    "C:\WINDOWS\SYSTEM32\mqtwktf.exe" mElTC:\WINDOWS\SYSWOW64\URIZTGT.EXE
                                                                                                                                                                                                                                                                                                    123⤵
                                                                                                                                                                                                                                                                                                      PID:216
                                                                                                                                                                                                                                                                                                      • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                        "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\MQTWKTF.EXE
                                                                                                                                                                                                                                                                                                        124⤵
                                                                                                                                                                                                                                                                                                        • Adds Run key to start application
                                                                                                                                                                                                                                                                                                        • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                        PID:3264
                                                                                                                                                                                                                                                                                                        • C:\WINDOWS\SysWOW64\oxkfnfn.exe
                                                                                                                                                                                                                                                                                                          "C:\WINDOWS\SYSTEM32\oxkfnfn.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                          125⤵
                                                                                                                                                                                                                                                                                                          • Checks computer location settings
                                                                                                                                                                                                                                                                                                          PID:916
                                                                                                                                                                                                                                                                                                          • C:\WINDOWS\SysWOW64\hiycgct.exe
                                                                                                                                                                                                                                                                                                            "C:\WINDOWS\SYSTEM32\hiycgct.exe" mElTC:\WINDOWS\SYSWOW64\OXKFNFN.EXE
                                                                                                                                                                                                                                                                                                            126⤵
                                                                                                                                                                                                                                                                                                            • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                            • Modifies registry class
                                                                                                                                                                                                                                                                                                            PID:1492
                                                                                                                                                                                                                                                                                                            • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                              "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\HIYCGCT.EXE
                                                                                                                                                                                                                                                                                                              127⤵
                                                                                                                                                                                                                                                                                                              • Adds Run key to start application
                                                                                                                                                                                                                                                                                                              • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                              PID:3480
                                                                                                                                                                                                                                                                                                              • C:\WINDOWS\SysWOW64\bhplbok.exe
                                                                                                                                                                                                                                                                                                                "C:\WINDOWS\SYSTEM32\bhplbok.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                128⤵
                                                                                                                                                                                                                                                                                                                  PID:528
                                                                                                                                                                                                                                                                                                                  • C:\WINDOWS\SysWOW64\udovxyp.exe
                                                                                                                                                                                                                                                                                                                    "C:\WINDOWS\SYSTEM32\udovxyp.exe" mElTC:\WINDOWS\SYSWOW64\BHPLBOK.EXE
                                                                                                                                                                                                                                                                                                                    129⤵
                                                                                                                                                                                                                                                                                                                    • Modifies registry class
                                                                                                                                                                                                                                                                                                                    PID:2620
                                                                                                                                                                                                                                                                                                                    • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                      "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\UDOVXYP.EXE
                                                                                                                                                                                                                                                                                                                      130⤵
                                                                                                                                                                                                                                                                                                                      • Modifies registry class
                                                                                                                                                                                                                                                                                                                      PID:1084
                                                                                                                                                                                                                                                                                                                      • C:\WINDOWS\SysWOW64\bpzrxlh.exe
                                                                                                                                                                                                                                                                                                                        "C:\WINDOWS\SYSTEM32\bpzrxlh.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                        131⤵
                                                                                                                                                                                                                                                                                                                        • Checks computer location settings
                                                                                                                                                                                                                                                                                                                        • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                        PID:3424
                                                                                                                                                                                                                                                                                                                        • C:\WINDOWS\SysWOW64\eklzetu.exe
                                                                                                                                                                                                                                                                                                                          "C:\WINDOWS\SYSTEM32\eklzetu.exe" mElTC:\WINDOWS\SYSWOW64\BPZRXLH.EXE
                                                                                                                                                                                                                                                                                                                          132⤵
                                                                                                                                                                                                                                                                                                                          • Checks computer location settings
                                                                                                                                                                                                                                                                                                                          • Adds Run key to start application
                                                                                                                                                                                                                                                                                                                          PID:1804
                                                                                                                                                                                                                                                                                                                          • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                            "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\EKLZETU.EXE
                                                                                                                                                                                                                                                                                                                            133⤵
                                                                                                                                                                                                                                                                                                                            • Checks computer location settings
                                                                                                                                                                                                                                                                                                                            • Modifies registry class
                                                                                                                                                                                                                                                                                                                            PID:1404
                                                                                                                                                                                                                                                                                                                            • C:\WINDOWS\SysWOW64\bavlwum.exe
                                                                                                                                                                                                                                                                                                                              "C:\WINDOWS\SYSTEM32\bavlwum.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                              134⤵
                                                                                                                                                                                                                                                                                                                              • Checks computer location settings
                                                                                                                                                                                                                                                                                                                              PID:4280
                                                                                                                                                                                                                                                                                                                              • C:\WINDOWS\SysWOW64\gnqybew.exe
                                                                                                                                                                                                                                                                                                                                "C:\WINDOWS\SYSTEM32\gnqybew.exe" mElTC:\WINDOWS\SYSWOW64\BAVLWUM.EXE
                                                                                                                                                                                                                                                                                                                                135⤵
                                                                                                                                                                                                                                                                                                                                • Modifies registry class
                                                                                                                                                                                                                                                                                                                                PID:4340
                                                                                                                                                                                                                                                                                                                                • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                  "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\GNQYBEW.EXE
                                                                                                                                                                                                                                                                                                                                  136⤵
                                                                                                                                                                                                                                                                                                                                  • Checks computer location settings
                                                                                                                                                                                                                                                                                                                                  PID:3696
                                                                                                                                                                                                                                                                                                                                  • C:\WINDOWS\SysWOW64\tqhrmkn.exe
                                                                                                                                                                                                                                                                                                                                    "C:\WINDOWS\SYSTEM32\tqhrmkn.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                    137⤵
                                                                                                                                                                                                                                                                                                                                    • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                    PID:2140
                                                                                                                                                                                                                                                                                                                                    • C:\WINDOWS\SysWOW64\mxjwjdp.exe
                                                                                                                                                                                                                                                                                                                                      "C:\WINDOWS\SYSTEM32\mxjwjdp.exe" mElTC:\WINDOWS\SYSWOW64\TQHRMKN.EXE
                                                                                                                                                                                                                                                                                                                                      138⤵
                                                                                                                                                                                                                                                                                                                                      • Checks computer location settings
                                                                                                                                                                                                                                                                                                                                      PID:1456
                                                                                                                                                                                                                                                                                                                                      • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                        "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\MXJWJDP.EXE
                                                                                                                                                                                                                                                                                                                                        139⤵
                                                                                                                                                                                                                                                                                                                                        • Adds Run key to start application
                                                                                                                                                                                                                                                                                                                                        PID:4448
                                                                                                                                                                                                                                                                                                                                        • C:\WINDOWS\SysWOW64\tqiwxkl.exe
                                                                                                                                                                                                                                                                                                                                          "C:\WINDOWS\SYSTEM32\tqiwxkl.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                          140⤵
                                                                                                                                                                                                                                                                                                                                          • Checks computer location settings
                                                                                                                                                                                                                                                                                                                                          PID:2724
                                                                                                                                                                                                                                                                                                                                          • C:\WINDOWS\SysWOW64\jnqekku.exe
                                                                                                                                                                                                                                                                                                                                            "C:\WINDOWS\SYSTEM32\jnqekku.exe" mElTC:\WINDOWS\SYSWOW64\TQIWXKL.EXE
                                                                                                                                                                                                                                                                                                                                            141⤵
                                                                                                                                                                                                                                                                                                                                            • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                            PID:4800
                                                                                                                                                                                                                                                                                                                                            • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                              "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\JNQEKKU.EXE
                                                                                                                                                                                                                                                                                                                                              142⤵
                                                                                                                                                                                                                                                                                                                                              • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                              PID:3228
                                                                                                                                                                                                                                                                                                                                              • C:\WINDOWS\SysWOW64\lqtuwxw.exe
                                                                                                                                                                                                                                                                                                                                                "C:\WINDOWS\SYSTEM32\lqtuwxw.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                                143⤵
                                                                                                                                                                                                                                                                                                                                                  PID:3264
                                                                                                                                                                                                                                                                                                                                                  • C:\WINDOWS\SysWOW64\didrcke.exe
                                                                                                                                                                                                                                                                                                                                                    "C:\WINDOWS\SYSTEM32\didrcke.exe" mElTC:\WINDOWS\SYSWOW64\LQTUWXW.EXE
                                                                                                                                                                                                                                                                                                                                                    144⤵
                                                                                                                                                                                                                                                                                                                                                    • Modifies registry class
                                                                                                                                                                                                                                                                                                                                                    PID:4500
                                                                                                                                                                                                                                                                                                                                                    • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                                      "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\DIDRCKE.EXE
                                                                                                                                                                                                                                                                                                                                                      145⤵
                                                                                                                                                                                                                                                                                                                                                      • Adds Run key to start application
                                                                                                                                                                                                                                                                                                                                                      PID:1592
                                                                                                                                                                                                                                                                                                                                                      • C:\WINDOWS\SysWOW64\gsgsliz.exe
                                                                                                                                                                                                                                                                                                                                                        "C:\WINDOWS\SYSTEM32\gsgsliz.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                                        146⤵
                                                                                                                                                                                                                                                                                                                                                        • Modifies registry class
                                                                                                                                                                                                                                                                                                                                                        PID:444
                                                                                                                                                                                                                                                                                                                                                        • C:\WINDOWS\SysWOW64\lfagqrj.exe
                                                                                                                                                                                                                                                                                                                                                          "C:\WINDOWS\SYSTEM32\lfagqrj.exe" mElTC:\WINDOWS\SYSWOW64\GSGSLIZ.EXE
                                                                                                                                                                                                                                                                                                                                                          147⤵
                                                                                                                                                                                                                                                                                                                                                          • Adds Run key to start application
                                                                                                                                                                                                                                                                                                                                                          • Modifies registry class
                                                                                                                                                                                                                                                                                                                                                          PID:2544
                                                                                                                                                                                                                                                                                                                                                          • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                                            "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\LFAGQRJ.EXE
                                                                                                                                                                                                                                                                                                                                                            148⤵
                                                                                                                                                                                                                                                                                                                                                            • Checks computer location settings
                                                                                                                                                                                                                                                                                                                                                            • Adds Run key to start application
                                                                                                                                                                                                                                                                                                                                                            • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                            PID:1928
                                                                                                                                                                                                                                                                                                                                                            • C:\WINDOWS\SysWOW64\omqotdz.exe
                                                                                                                                                                                                                                                                                                                                                              "C:\WINDOWS\SYSTEM32\omqotdz.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                                              149⤵
                                                                                                                                                                                                                                                                                                                                                              • Modifies registry class
                                                                                                                                                                                                                                                                                                                                                              PID:2528
                                                                                                                                                                                                                                                                                                                                                              • C:\WINDOWS\SysWOW64\gaqzhee.exe
                                                                                                                                                                                                                                                                                                                                                                "C:\WINDOWS\SYSTEM32\gaqzhee.exe" mElTC:\WINDOWS\SYSWOW64\OMQOTDZ.EXE
                                                                                                                                                                                                                                                                                                                                                                150⤵
                                                                                                                                                                                                                                                                                                                                                                • Adds Run key to start application
                                                                                                                                                                                                                                                                                                                                                                • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                • Modifies registry class
                                                                                                                                                                                                                                                                                                                                                                PID:3764
                                                                                                                                                                                                                                                                                                                                                                • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                                                  "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\GAQZHEE.EXE
                                                                                                                                                                                                                                                                                                                                                                  151⤵
                                                                                                                                                                                                                                                                                                                                                                    PID:3232
                                                                                                                                                                                                                                                                                                                                                                    • C:\WINDOWS\SysWOW64\jhimwys.exe
                                                                                                                                                                                                                                                                                                                                                                      "C:\WINDOWS\SYSTEM32\jhimwys.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                                                      152⤵
                                                                                                                                                                                                                                                                                                                                                                        PID:4680
                                                                                                                                                                                                                                                                                                                                                                        • C:\WINDOWS\SysWOW64\blfcjia.exe
                                                                                                                                                                                                                                                                                                                                                                          "C:\WINDOWS\SYSTEM32\blfcjia.exe" mElTC:\WINDOWS\SYSWOW64\JHIMWYS.EXE
                                                                                                                                                                                                                                                                                                                                                                          153⤵
                                                                                                                                                                                                                                                                                                                                                                            PID:5068
                                                                                                                                                                                                                                                                                                                                                                            • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                                                              "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\BLFCJIA.EXE
                                                                                                                                                                                                                                                                                                                                                                              154⤵
                                                                                                                                                                                                                                                                                                                                                                              • Checks computer location settings
                                                                                                                                                                                                                                                                                                                                                                              PID:4460
                                                                                                                                                                                                                                                                                                                                                                              • C:\WINDOWS\SysWOW64\obcdykn.exe
                                                                                                                                                                                                                                                                                                                                                                                "C:\WINDOWS\SYSTEM32\obcdykn.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                                                                155⤵
                                                                                                                                                                                                                                                                                                                                                                                  PID:4140
                                                                                                                                                                                                                                                                                                                                                                                  • C:\WINDOWS\SysWOW64\gjmqcdp.exe
                                                                                                                                                                                                                                                                                                                                                                                    "C:\WINDOWS\SYSTEM32\gjmqcdp.exe" mElTC:\WINDOWS\SYSWOW64\OBCDYKN.EXE
                                                                                                                                                                                                                                                                                                                                                                                    156⤵
                                                                                                                                                                                                                                                                                                                                                                                      PID:2876
                                                                                                                                                                                                                                                                                                                                                                                      • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                                                                        "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\GJMQCDP.EXE
                                                                                                                                                                                                                                                                                                                                                                                        157⤵
                                                                                                                                                                                                                                                                                                                                                                                        • Adds Run key to start application
                                                                                                                                                                                                                                                                                                                                                                                        PID:5004
                                                                                                                                                                                                                                                                                                                                                                                        • C:\WINDOWS\SysWOW64\ocngxea.exe
                                                                                                                                                                                                                                                                                                                                                                                          "C:\WINDOWS\SYSTEM32\ocngxea.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                                                                          158⤵
                                                                                                                                                                                                                                                                                                                                                                                          • Checks computer location settings
                                                                                                                                                                                                                                                                                                                                                                                          PID:1456
                                                                                                                                                                                                                                                                                                                                                                                          • C:\WINDOWS\SysWOW64\yqpjyll.exe
                                                                                                                                                                                                                                                                                                                                                                                            "C:\WINDOWS\SYSTEM32\yqpjyll.exe" mElTC:\WINDOWS\SYSWOW64\OCNGXEA.EXE
                                                                                                                                                                                                                                                                                                                                                                                            159⤵
                                                                                                                                                                                                                                                                                                                                                                                            • Modifies registry class
                                                                                                                                                                                                                                                                                                                                                                                            PID:4448
                                                                                                                                                                                                                                                                                                                                                                                            • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                                                                              "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\YQPJYLL.EXE
                                                                                                                                                                                                                                                                                                                                                                                              160⤵
                                                                                                                                                                                                                                                                                                                                                                                              • Modifies registry class
                                                                                                                                                                                                                                                                                                                                                                                              PID:2724
                                                                                                                                                                                                                                                                                                                                                                                              • C:\WINDOWS\SysWOW64\ttdskba.exe
                                                                                                                                                                                                                                                                                                                                                                                                "C:\WINDOWS\SYSTEM32\ttdskba.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                                                                                161⤵
                                                                                                                                                                                                                                                                                                                                                                                                • Adds Run key to start application
                                                                                                                                                                                                                                                                                                                                                                                                • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                PID:5016
                                                                                                                                                                                                                                                                                                                                                                                                • C:\WINDOWS\SysWOW64\iqmxibh.exe
                                                                                                                                                                                                                                                                                                                                                                                                  "C:\WINDOWS\SYSTEM32\iqmxibh.exe" mElTC:\WINDOWS\SYSWOW64\TTDSKBA.EXE
                                                                                                                                                                                                                                                                                                                                                                                                  162⤵
                                                                                                                                                                                                                                                                                                                                                                                                    PID:3996
                                                                                                                                                                                                                                                                                                                                                                                                    • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                                                                                      "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\IQMXIBH.EXE
                                                                                                                                                                                                                                                                                                                                                                                                      163⤵
                                                                                                                                                                                                                                                                                                                                                                                                        PID:3532
                                                                                                                                                                                                                                                                                                                                                                                                        • C:\WINDOWS\SysWOW64\qnyifgz.exe
                                                                                                                                                                                                                                                                                                                                                                                                          "C:\WINDOWS\SYSTEM32\qnyifgz.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                                                                                          164⤵
                                                                                                                                                                                                                                                                                                                                                                                                          • Adds Run key to start application
                                                                                                                                                                                                                                                                                                                                                                                                          • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                          • Modifies registry class
                                                                                                                                                                                                                                                                                                                                                                                                          PID:4436
                                                                                                                                                                                                                                                                                                                                                                                                          • C:\WINDOWS\SysWOW64\aullbee.exe
                                                                                                                                                                                                                                                                                                                                                                                                            "C:\WINDOWS\SYSTEM32\aullbee.exe" mElTC:\WINDOWS\SYSWOW64\QNYIFGZ.EXE
                                                                                                                                                                                                                                                                                                                                                                                                            165⤵
                                                                                                                                                                                                                                                                                                                                                                                                              PID:3800
                                                                                                                                                                                                                                                                                                                                                                                                              • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\AULLBEE.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                166⤵
                                                                                                                                                                                                                                                                                                                                                                                                                • Adds Run key to start application
                                                                                                                                                                                                                                                                                                                                                                                                                PID:2776
                                                                                                                                                                                                                                                                                                                                                                                                                • C:\WINDOWS\SysWOW64\ickonws.exe
                                                                                                                                                                                                                                                                                                                                                                                                                  "C:\WINDOWS\SYSTEM32\ickonws.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                  167⤵
                                                                                                                                                                                                                                                                                                                                                                                                                    PID:2072
                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\WINDOWS\SysWOW64\ysecfnt.exe
                                                                                                                                                                                                                                                                                                                                                                                                                      "C:\WINDOWS\SYSTEM32\ysecfnt.exe" mElTC:\WINDOWS\SYSWOW64\ICKONWS.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                      168⤵
                                                                                                                                                                                                                                                                                                                                                                                                                        PID:1528
                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                          "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\YSECFNT.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                          169⤵
                                                                                                                                                                                                                                                                                                                                                                                                                          • Checks computer location settings
                                                                                                                                                                                                                                                                                                                                                                                                                          PID:676
                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\WINDOWS\SysWOW64\dilhyai.exe
                                                                                                                                                                                                                                                                                                                                                                                                                            "C:\WINDOWS\SYSTEM32\dilhyai.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                            170⤵
                                                                                                                                                                                                                                                                                                                                                                                                                              PID:2976
                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\WINDOWS\SysWOW64\tciciok.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                "C:\WINDOWS\SYSTEM32\tciciok.exe" mElTC:\WINDOWS\SYSWOW64\DILHYAI.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                171⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                • Adds Run key to start application
                                                                                                                                                                                                                                                                                                                                                                                                                                PID:4316
                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                  "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\TCICIOK.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                  172⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                  • Checks computer location settings
                                                                                                                                                                                                                                                                                                                                                                                                                                  • Adds Run key to start application
                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:2008
                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\WINDOWS\SysWOW64\bvhcwdo.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                    "C:\WINDOWS\SYSTEM32\bvhcwdo.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                    173⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:2260
                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\WINDOWS\SysWOW64\nmlpzye.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                        "C:\WINDOWS\SYSTEM32\nmlpzye.exe" mElTC:\WINDOWS\SYSWOW64\BVHCWDO.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                        174⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:4036
                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                            "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\NMLPZYE.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                            175⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                            • Checks computer location settings
                                                                                                                                                                                                                                                                                                                                                                                                                                            • Adds Run key to start application
                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:3520
                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\WINDOWS\SysWOW64\qscdoks.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                              "C:\WINDOWS\SYSTEM32\qscdoks.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                              176⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:2392
                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\WINDOWS\SysWOW64\ymaejfs.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                  "C:\WINDOWS\SYSTEM32\ymaejfs.exe" mElTC:\WINDOWS\SYSWOW64\QSCDOKS.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                  177⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:1208
                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                      "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\YMAEJFS.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                      178⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                      • Adds Run key to start application
                                                                                                                                                                                                                                                                                                                                                                                                                                                      • Modifies registry class
                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:3724
                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\WINDOWS\SysWOW64\xfmzump.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                        "C:\WINDOWS\SYSTEM32\xfmzump.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                        179⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                        • Adds Run key to start application
                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:4448
                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\WINDOWS\SysWOW64\kkehckx.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                          "C:\WINDOWS\SYSTEM32\kkehckx.exe" mElTC:\WINDOWS\SYSWOW64\XFMZUMP.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                          180⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:2976
                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                              "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\KKEHCKX.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                              181⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:4316
                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\WINDOWS\SysWOW64\nrevjwl.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                  "C:\WINDOWS\SYSTEM32\nrevjwl.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                  182⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • Adds Run key to start application
                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • Modifies registry class
                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:2008
                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\WINDOWS\SysWOW64\fcstctr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                    "C:\WINDOWS\SYSTEM32\fcstctr.exe" mElTC:\WINDOWS\SYSWOW64\NREVJWL.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                    183⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • Adds Run key to start application
                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • Modifies registry class
                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:2260
                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                      "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\FCSTCTR.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                      184⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:2996
                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\WINDOWS\SysWOW64\swagtal.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                          "C:\WINDOWS\SYSTEM32\swagtal.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                          185⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:3692
                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\WINDOWS\SysWOW64\imvulrm.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                              "C:\WINDOWS\SYSTEM32\imvulrm.exe" mElTC:\WINDOWS\SYSWOW64\SWAGTAL.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                              186⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:3528
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\IMVULRM.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  187⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:4888
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\WINDOWS\SysWOW64\ltbwbjn.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    "C:\WINDOWS\SYSTEM32\ltbwbjn.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    188⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • Modifies registry class
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:4296
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\WINDOWS\SysWOW64\amyrkxq.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      "C:\WINDOWS\SYSTEM32\amyrkxq.exe" mElTC:\WINDOWS\SYSWOW64\LTBWBJN.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      189⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • Checks computer location settings
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:3452
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\AMYRKXQ.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        190⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:4280
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\WINDOWS\SysWOW64\vsprzuc.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            "C:\WINDOWS\SYSTEM32\vsprzuc.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            191⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • Modifies registry class
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:1496
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\WINDOWS\SysWOW64\dxakcnl.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              "C:\WINDOWS\SYSTEM32\dxakcnl.exe" mElTC:\WINDOWS\SYSWOW64\VSPRZUC.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              192⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:1596
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\DXAKCNL.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  193⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • Checks computer location settings
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:1968
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\WINDOWS\SysWOW64\nllapbt.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    "C:\WINDOWS\SYSTEM32\nllapbt.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    194⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • Checks computer location settings
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • Adds Run key to start application
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • Modifies registry class
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:4676
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\WINDOWS\SysWOW64\faklarb.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      "C:\WINDOWS\SYSTEM32\faklarb.exe" mElTC:\WINDOWS\SYSWOW64\NLLAPBT.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      195⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:2372
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\FAKLARB.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          196⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • Adds Run key to start application
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:816
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\WINDOWS\SysWOW64\djertkq.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            "C:\WINDOWS\SYSTEM32\djertkq.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            197⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:3424
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\WINDOWS\SysWOW64\kfpoeid.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                "C:\WINDOWS\SYSTEM32\kfpoeid.exe" mElTC:\WINDOWS\SYSWOW64\DJERTKQ.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                198⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:2468
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\KFPOEID.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    199⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:4236
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\WINDOWS\SysWOW64\fmicenv.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        "C:\WINDOWS\SYSTEM32\fmicenv.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        200⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • Checks computer location settings
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:3028
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\WINDOWS\SysWOW64\nmiifbx.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          "C:\WINDOWS\SYSTEM32\nmiifbx.exe" mElTC:\WINDOWS\SYSWOW64\FMICENV.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          201⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:4492
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\NMIIFBX.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              202⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • Modifies registry class
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:4932
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\WINDOWS\SysWOW64\sslndxr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                "C:\WINDOWS\SYSTEM32\sslndxr.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                203⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:2684
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\WINDOWS\SysWOW64\krolclu.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    "C:\WINDOWS\SYSTEM32\krolclu.exe" mElTC:\WINDOWS\SYSWOW64\SSLNDXR.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    204⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • Adds Run key to start application
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:1780
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\KROLCLU.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      205⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:2260
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\WINDOWS\SysWOW64\pesmtuc.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          "C:\WINDOWS\SYSTEM32\pesmtuc.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          206⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:2380
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\WINDOWS\SysWOW64\zpjbsfo.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              "C:\WINDOWS\SYSTEM32\zpjbsfo.exe" mElTC:\WINDOWS\SYSWOW64\PESMTUC.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              207⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • Checks computer location settings
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • Adds Run key to start application
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • Modifies registry class
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:2268
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\ZPJBSFO.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                208⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:1208
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\WINDOWS\SysWOW64\fjcecco.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  "C:\WINDOWS\SYSTEM32\fjcecco.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  209⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:4296
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\WINDOWS\SysWOW64\xxtcndn.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      "C:\WINDOWS\SYSTEM32\xxtcndn.exe" mElTC:\WINDOWS\SYSWOW64\FJCECCO.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      210⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • Checks computer location settings
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:3452
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\XXTCNDN.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        211⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • Adds Run key to start application
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:1188
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\WINDOWS\SysWOW64\ckmjgfa.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          "C:\WINDOWS\SYSTEM32\ckmjgfa.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          212⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • Checks computer location settings
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • Adds Run key to start application
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:1496
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\WINDOWS\SysWOW64\ujpxdyu.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            "C:\WINDOWS\SYSTEM32\ujpxdyu.exe" mElTC:\WINDOWS\SYSWOW64\CKMJGFA.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            213⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • Checks computer location settings
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:1596
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\UJPXDYU.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              214⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:4044
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\WINDOWS\SysWOW64\cozcvre.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  "C:\WINDOWS\SYSTEM32\cozcvre.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  215⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:3744
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\WINDOWS\SysWOW64\pmdspzi.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    "C:\WINDOWS\SYSTEM32\pmdspzi.exe" mElTC:\WINDOWS\SYSWOW64\COZCVRE.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    216⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:3472
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\PMDSPZI.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        217⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:4920
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\WINDOWS\SysWOW64\udjyxbs.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            "C:\WINDOWS\SYSTEM32\udjyxbs.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            218⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • Checks computer location settings
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • Modifies registry class
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:1240
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\WINDOWS\SysWOW64\kislvbz.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              "C:\WINDOWS\SYSTEM32\kislvbz.exe" mElTC:\WINDOWS\SYSWOW64\UDJYXBS.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              219⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • Checks computer location settings
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • Adds Run key to start application
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:212
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\KISLVBZ.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                220⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • Checks computer location settings
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • Modifies registry class
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:1404
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\WINDOWS\SysWOW64\pnowfwy.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  "C:\WINDOWS\SYSTEM32\pnowfwy.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  221⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • Checks computer location settings
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • Modifies registry class
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:3316
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\WINDOWS\SysWOW64\xvluluf.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    "C:\WINDOWS\SYSTEM32\xvluluf.exe" mElTC:\WINDOWS\SYSWOW64\PNOWFWY.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    222⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:1188
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\XVLULUF.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        223⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • Adds Run key to start application
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:1864
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\WINDOWS\SysWOW64\wkkxiwy.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          "C:\WINDOWS\SYSTEM32\wkkxiwy.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          224⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • Modifies registry class
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:4104
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\WINDOWS\SysWOW64\kxdaziu.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            "C:\WINDOWS\SYSTEM32\kxdaziu.exe" mElTC:\WINDOWS\SYSWOW64\WKKXIWY.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            225⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • Modifies registry class
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:4432
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\KXDAZIU.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              226⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • Checks computer location settings
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • Modifies registry class
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:2140
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\WINDOWS\SysWOW64\kbzqbgg.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                "C:\WINDOWS\SYSTEM32\kbzqbgg.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                227⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • Adds Run key to start application
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:1528
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\WINDOWS\SysWOW64\migtryp.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  "C:\WINDOWS\SYSTEM32\migtryp.exe" mElTC:\WINDOWS\SYSWOW64\KBZQBGG.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  228⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • Checks computer location settings
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:3760
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\MIGTRYP.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    229⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:1924
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\WINDOWS\SysWOW64\mapllkz.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        "C:\WINDOWS\SYSTEM32\mapllkz.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        230⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • Checks computer location settings
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:4968
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\WINDOWS\SysWOW64\cfpgpyw.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          "C:\WINDOWS\SYSTEM32\cfpgpyw.exe" mElTC:\WINDOWS\SYSWOW64\MAPLLKZ.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          231⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • Adds Run key to start application
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:2120
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\CFPGPYW.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            232⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:528
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\WINDOWS\SysWOW64\ccorrgf.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              "C:\WINDOWS\SYSTEM32\ccorrgf.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              233⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • Adds Run key to start application
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:5056
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\WINDOWS\SysWOW64\olrmcbm.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                "C:\WINDOWS\SYSTEM32\olrmcbm.exe" mElTC:\WINDOWS\SYSWOW64\CCORRGF.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                234⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • Checks computer location settings
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • Modifies registry class
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:4884
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\OLRMCBM.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  235⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • Checks computer location settings
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:2960
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\WINDOWS\SysWOW64\zztueeg.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    "C:\WINDOWS\SYSTEM32\zztueeg.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    236⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • Checks computer location settings
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:4024
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\WINDOWS\SysWOW64\wxbailr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      "C:\WINDOWS\SYSTEM32\wxbailr.exe" mElTC:\WINDOWS\SYSWOW64\ZZTUEEG.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      237⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:3432
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\WXBAILR.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          238⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • Adds Run key to start application
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:4056
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\WINDOWS\SysWOW64\raqjglc.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            "C:\WINDOWS\SYSTEM32\raqjglc.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            239⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • Checks computer location settings
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:2500
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\WINDOWS\SysWOW64\rpgoxuf.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              "C:\WINDOWS\SYSTEM32\rpgoxuf.exe" mElTC:\WINDOWS\SYSWOW64\RAQJGLC.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              240⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • Adds Run key to start application
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • Modifies registry class
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              PID:2956
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\RPGOXUF.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                241⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:3036
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\WINDOWS\SysWOW64\cdsceit.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    "C:\WINDOWS\SYSTEM32\cdsceit.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    242⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:3188
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\WINDOWS\SysWOW64\yecpitf.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        "C:\WINDOWS\SYSTEM32\yecpitf.exe" mElTC:\WINDOWS\SYSWOW64\CDSCEIT.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        243⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:4416
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\YECPITF.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            244⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • Modifies registry class
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:1744
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\WINDOWS\SysWOW64\mdqvhwp.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              "C:\WINDOWS\SYSTEM32\mdqvhwp.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              245⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:4532
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\WINDOWS\SysWOW64\chqqlbu.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  "C:\WINDOWS\SYSTEM32\chqqlbu.exe" mElTC:\WINDOWS\SYSWOW64\MDQVHWP.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  246⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • Modifies registry class
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  PID:2632
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\CHQQLBU.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    247⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • Adds Run key to start application
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • Drops file in System32 directory
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • Modifies registry class
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:2916
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\WINDOWS\SysWOW64\japqaqq.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      "C:\WINDOWS\SYSTEM32\japqaqq.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      248⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • Adds Run key to start application
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      PID:1432
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      • C:\WINDOWS\SysWOW64\ztmlkda.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        "C:\WINDOWS\SYSTEM32\ztmlkda.exe" mElTC:\WINDOWS\SYSWOW64\JAPQAQQ.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        249⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          PID:3300
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\ZTMLKDA.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            250⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • Checks computer location settings
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • Modifies registry class
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:4776
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\WINDOWS\SysWOW64\bldacaa.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              "C:\WINDOWS\SYSTEM32\bldacaa.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              251⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:3948
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\WINDOWS\SysWOW64\rqmvynf.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  "C:\WINDOWS\SYSTEM32\rqmvynf.exe" mElTC:\WINDOWS\SYSWOW64\BLDACAA.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  252⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:1648
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\RQMVYNF.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      253⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:4500
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\WINDOWS\SysWOW64\wcgjdwh.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          "C:\WINDOWS\SYSTEM32\wcgjdwh.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          254⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:4704
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\WINDOWS\SysWOW64\bpbwhgs.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              "C:\WINDOWS\SYSTEM32\bpbwhgs.exe" mElTC:\WINDOWS\SYSWOW64\WCGJDWH.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              255⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:4044
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\BPBWHGS.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  256⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:4584
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\WINDOWS\SysWOW64\bmwmqlh.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      "C:\WINDOWS\SYSTEM32\bmwmqlh.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      257⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:1312
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\WINDOWS\SysWOW64\gzrivcs.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          "C:\WINDOWS\SYSTEM32\gzrivcs.exe" mElTC:\WINDOWS\SYSWOW64\BMWMQLH.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          258⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:2380
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\GZRIVCS.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              259⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:2456
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\WINDOWS\SysWOW64\buhtmpn.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  "C:\WINDOWS\SYSTEM32\buhtmpn.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  260⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:2424
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\WINDOWS\SysWOW64\zrpgzwx.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      "C:\WINDOWS\SYSTEM32\zrpgzwx.exe" mElTC:\WINDOWS\SYSWOW64\BUHTMPN.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      261⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:376
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\ZRPGZWX.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          262⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:2796
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\WINDOWS\SysWOW64\lxjmmho.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              "C:\WINDOWS\SYSTEM32\lxjmmho.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              263⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:1532
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\WINDOWS\SysWOW64\dxukdmz.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  "C:\WINDOWS\SYSTEM32\dxukdmz.exe" mElTC:\WINDOWS\SYSWOW64\LXJMMHO.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  264⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:528
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\DXUKDMZ.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      265⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:2636
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\WINDOWS\SysWOW64\lqtksbv.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          "C:\WINDOWS\SYSTEM32\lqtksbv.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          266⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:508
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\WINDOWS\SysWOW64\exvpxux.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              "C:\WINDOWS\SYSTEM32\exvpxux.exe" mElTC:\WINDOWS\SYSWOW64\LQTKSBV.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              267⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:1436
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\EXVPXUX.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  268⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:3576
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    • C:\WINDOWS\SysWOW64\gpwsbqc.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      "C:\WINDOWS\SYSTEM32\gpwsbqc.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      269⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        PID:3060
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                        • C:\WINDOWS\SysWOW64\wuaumqr.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          "C:\WINDOWS\SYSTEM32\wuaumqr.exe" mElTC:\WINDOWS\SYSWOW64\GPWSBQC.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                          270⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            PID:5000
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            • C:\WINDOWS\SysWOW64\yluaiuc.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              "C:\WINDOWS\SYSTEM32\yluaiuc.exe" mElTC:\WINDOWS\SYSWOW64\WUAUMQR.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              271⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                PID:4684
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                • C:\WINDOWS\SysWOW64\qejybza.exe
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  "C:\WINDOWS\SYSTEM32\qejybza.exe" mElTC:\WINDOWS\SYSWOW64\YLUAIUC.EXE
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  272⤵
                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    PID:3536

                                                                                                                                                                                    Network

                                                                                                                                                                                    MITRE ATT&CK Enterprise v15

                                                                                                                                                                                    Replay Monitor

                                                                                                                                                                                    Loading Replay Monitor...

                                                                                                                                                                                    Downloads

                                                                                                                                                                                    • C:\Users\Admin\AppData\Local\Temp\1pwT2q\srce.exe

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      70KB

                                                                                                                                                                                      MD5

                                                                                                                                                                                      3d8c9f5ba934026b0dc8af21bb551947

                                                                                                                                                                                      SHA1

                                                                                                                                                                                      fc2d5e9149968a56affc674fa9086982e87ee2c6

                                                                                                                                                                                      SHA256

                                                                                                                                                                                      b54468b0e1594a8c7738c1a670fb454b6c3c3db847a8a3a4a083a62a82f33f48

                                                                                                                                                                                      SHA512

                                                                                                                                                                                      3a3e783ce094a5f0bfcb6cc46c499a6423569094157084e4523c1cd1c26cdafd95ec1e6e0e04acbc8073160065bf37258ff7dcc5ef1b1bd6ffc07979c362dc63

                                                                                                                                                                                    • memory/208-715-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/216-1276-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/444-436-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/952-579-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/956-913-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/1052-1177-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/1084-1474-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/1084-1245-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/1404-1705-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/1448-1345-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/1472-147-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/1644-1210-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/1700-2101-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/1904-2169-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/2004-363-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/2400-291-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/2428-1873-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/2428-847-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/2428-1639-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/2476-979-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/2544-219-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/2560-1378-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/2560-1606-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/2780-1507-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/2800-649-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/2996-748-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/3020-1111-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/3028-255-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/3056-1309-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/3160-880-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/3292-1903-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/3424-507-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/3584-328-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/3592-2134-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/3748-1936-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/4028-75-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/4152-814-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/4204-1540-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/4240-1012-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/4316-682-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/4340-1441-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/4380-2035-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/4380-1573-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/4392-1672-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/4436-1144-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/4460-946-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/4460-1738-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/4464-2068-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/4564-116-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/4568-39-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/4592-2002-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/4660-1969-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/4716-616-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/4816-400-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/4888-1804-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/4892-471-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/4948-1774-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/4976-1837-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/4976-781-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/5016-1408-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/5048-1078-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/5056-182-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/5068-1048-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB

                                                                                                                                                                                    • memory/5088-543-0x0000000000400000-0x000000000041E000-memory.dmp

                                                                                                                                                                                      Filesize

                                                                                                                                                                                      120KB