metasploit | 5edaadd37dd1dd9425dbbbdcd360194fe1f965ae971a5c8165a3effdc25c7e80

General

Target

f38d258532673cf62200ab2d7dd5268a_JaffaCakes118.exe
Size

222KB
MD5

f38d258532673cf62200ab2d7dd5268a
SHA1

39bf714b2e9ffb5a8cf534977588b71e35952ec6
SHA256

5edaadd37dd1dd9425dbbbdcd360194fe1f965ae971a5c8165a3effdc25c7e80
SHA512

b2c994c3e6575c0463d4278220f79e29867f37049076e28c97feab5af90eec86a472a0f12945df608d73336121c2ff7b9a0c6b30ba82906c67d7f3fdcedc28cf
SSDEEP

6144:ASOrStDEnqmNpMBN+Mcqfbobx4aRrxyre5HfTLGSa:pOrp/N2h4x4aRYixLba

Score

10^/10

metasploit backdoor trojan

Malware Config

Extracted

Family

metasploit

Version

encoder/fnstenv_mov

Signatures

MetaSploit
Detected malicious payload which is part of the Metasploit Framework, likely generated with msfvenom or similar.
trojan backdoor metasploit

Executes dropped EXE 64 IoCs

Processes:

jgzpwd.exejgzpwd.exeeqfrnk.exeeqfrnk.execdafem.execdafem.exeemscwi.exeemscwi.exehpvaiw.exehpvaiw.exegiwkci.exegiwkci.exehixyoq.exehixyoq.exeefeypx.exeefeypx.exehxwizg.exehxwizg.exeeyowvj.exeeyowvj.exeeueodn.exeeueodn.exebwwbhq.exebwwbhq.exebexoty.exebexoty.exezqtcja.exezqtcja.exezquhva.exezquhva.exewrmuzl.exewrmuzl.exewcymnp.exewcymnp.exewczszx.exewczszx.exezurqrt.exezurqrt.exeeglkcq.exeeglkcq.exebertvp.exebertvp.exetpeljb.exetpeljb.exettidxf.exettidxf.exernmrwh.exernmrwh.exerubwnq.exerubwnq.exeqjzbey.exeqjzbey.exervlusk.exervlusk.exeryympo.exeryympo.exerkkeda.exerkkeda.exerklkpa.exerklkpa.exerzjpgq.exerzjpgq.exeroyvxy.exeroyvxy.exe

pid	process
2372	jgzpwd.exe
4496	jgzpwd.exe
3596	eqfrnk.exe
3424	eqfrnk.exe
2432	cdafem.exe
4624	cdafem.exe
2652	emscwi.exe
1096	emscwi.exe
3272	hpvaiw.exe
1776	hpvaiw.exe
4888	giwkci.exe
972	giwkci.exe
3024	hixyoq.exe
3568	hixyoq.exe
928	efeypx.exe
2020	efeypx.exe
216	hxwizg.exe
1664	hxwizg.exe
4992	eyowvj.exe
4308	eyowvj.exe
4648	eueodn.exe
2508	eueodn.exe
4712	bwwbhq.exe
1040	bwwbhq.exe
3592	bexoty.exe
4520	bexoty.exe
5032	zqtcja.exe
3420	zqtcja.exe
4396	zquhva.exe
4380	zquhva.exe
1092	wrmuzl.exe
4964	wrmuzl.exe
3412	wcymnp.exe
3176	wcymnp.exe
4256	wczszx.exe
3688	wczszx.exe
3572	zurqrt.exe
2528	zurqrt.exe
4428	eglkcq.exe
5016	eglkcq.exe
2060	bertvp.exe
2620	bertvp.exe
3488	tpeljb.exe
4760	tpeljb.exe
212	ttidxf.exe
3544	ttidxf.exe
4156	rnmrwh.exe
4144	rnmrwh.exe
3996	rubwnq.exe
4476	rubwnq.exe
4836	qjzbey.exe
4732	qjzbey.exe
2260	rvlusk.exe
2540	rvlusk.exe
1144	ryympo.exe
2764	ryympo.exe
4080	rkkeda.exe
3560	rkkeda.exe
1720	rklkpa.exe
4048	rklkpa.exe
5104	rzjpgq.exe
3596	rzjpgq.exe
4380	royvxy.exe
1588	royvxy.exe

Drops file in System32 directory 64 IoCs

Processes:

tbsmlf.exetnefaj.exehxwizg.exerkkeda.exeictkgz.exeuflaaf.exezmvtab.exebavlwu.exelhrzhi.exeztfsud.exesxelnv.exewjtiyi.exefdpvre.exebertvp.exeryympo.exeqzgclf.exevjccyd.exepzugln.exensuszy.exedqvijx.exehpvaiw.exetpeljb.exersvlzx.exeqkhrip.exessique.exeuqwvjp.execjlwjw.exeunznlu.exebfthzr.exewzctsl.exetsjnuv.exetpgoqo.exenwhdhx.exeypckby.exexhypvc.execdyvxz.exettmdru.exezyrmzk.exebqetnw.exewckiyz.exesxbbpw.exezpjbsf.exezvfpaj.exeqqjfeg.exeiggfqh.exewbebxg.exebgtvlh.exeymaejf.exexmfqou.exebrpehc.exejgzpwd.exervlusk.exeoubvrn.exeuhhhgs.execkqknq.exebbfqfk.exeoorlcv.exetkisfr.exelygiul.exeizcypi.exencqbyh.exevbrwcg.exe

description	ioc	process
File opened for modification	C:\Windows\SysWOW64\tnefaj.exe	tbsmlf.exe
File opened for modification	C:\Windows\SysWOW64\tqqxov.exe	tnefaj.exe
File created	C:\Windows\SysWOW64\eyowvj.exe	hxwizg.exe
File created	C:\Windows\SysWOW64\rklkpa.exe	rkkeda.exe
File created	C:\Windows\SysWOW64\hjqpxq.exe	ictkgz.exe
File created	C:\Windows\SysWOW64\uujfan.exe	uflaaf.exe
File created	C:\Windows\SysWOW64\wkutbi.exe	zmvtab.exe
File opened for modification	C:\Windows\SysWOW64\edyijh.exe	bavlwu.exe
File opened for modification	C:\Windows\SysWOW64\oogcxa.exe	lhrzhi.exe
File created	C:\Windows\SysWOW64\cwapgr.exe	ztfsud.exe
File opened for modification	C:\Windows\SysWOW64\recqem.exe	sxelnv.exe
File opened for modification	C:\Windows\SysWOW64\zewfkv.exe	wjtiyi.exe
File opened for modification	C:\Windows\SysWOW64\fvqnlz.exe	fdpvre.exe
File created	C:\Windows\SysWOW64\tpeljb.exe	bertvp.exe
File created	C:\Windows\SysWOW64\rkkeda.exe	ryympo.exe
File opened for modification	C:\Windows\SysWOW64\qoehdn.exe	qzgclf.exe
File opened for modification	C:\Windows\SysWOW64\vpsixt.exe	vjccyd.exe
File created	C:\Windows\SysWOW64\oorlcv.exe	pzugln.exe
File created	C:\Windows\SysWOW64\qvxqll.exe	nsuszy.exe
File opened for modification	C:\Windows\SysWOW64\wkutbi.exe	zmvtab.exe
File created	C:\Windows\SysWOW64\duhbfc.exe	dqvijx.exe
File created	C:\Windows\SysWOW64\giwkci.exe	hpvaiw.exe
File created	C:\Windows\SysWOW64\ttidxf.exe	tpeljb.exe
File created	C:\Windows\SysWOW64\qhkqqf.exe	rsvlzx.exe
File created	C:\Windows\SysWOW64\qvujxt.exe	qkhrip.exe
File opened for modification	C:\Windows\SysWOW64\seuiji.exe	ssique.exe
File created	C:\Windows\SysWOW64\uflaaf.exe	uqwvjp.exe
File opened for modification	C:\Windows\SysWOW64\cuxpfa.exe	cjlwjw.exe
File created	C:\Windows\SysWOW64\uymfzy.exe	unznlu.exe
File created	C:\Windows\SysWOW64\bndmlq.exe	bfthzr.exe
File created	C:\Windows\SysWOW64\woryrc.exe	wzctsl.exe
File created	C:\Windows\SysWOW64\tlsyoi.exe	tsjnuv.exe
File opened for modification	C:\Windows\SysWOW64\tstges.exe	tpgoqo.exe
File created	C:\Windows\SysWOW64\qcwnwo.exe	nwhdhx.exe
File opened for modification	C:\Windows\SysWOW64\bgtvlh.exe	ypckby.exe
File created	C:\Windows\SysWOW64\akbnip.exe	xhypvc.exe
File created	C:\Windows\SysWOW64\uoknml.exe	cdyvxz.exe
File created	C:\Windows\SysWOW64\twzvny.exe	ttmdru.exe
File opened for modification	C:\Windows\SysWOW64\zjveno.exe	zyrmzk.exe
File opened for modification	C:\Windows\SysWOW64\bbqlbi.exe	bqetnw.exe
File created	C:\Windows\SysWOW64\tarjry.exe	wckiyz.exe
File created	C:\Windows\SysWOW64\smygoe.exe	sxbbpw.exe
File opened for modification	C:\Windows\SysWOW64\apkhle.exe	zpjbsf.exe
File opened for modification	C:\Windows\SysWOW64\zgshon.exe	zvfpaj.exe
File opened for modification	C:\Windows\SysWOW64\ttmdru.exe	qqjfeg.exe
File created	C:\Windows\SysWOW64\ivdkhq.exe	iggfqh.exe
File created	C:\Windows\SysWOW64\wnquls.exe	wbebxg.exe
File created	C:\Windows\SysWOW64\avjacx.exe	bgtvlh.exe
File opened for modification	C:\Windows\SysWOW64\ypmwxj.exe	ymaejf.exe
File opened for modification	C:\Windows\SysWOW64\asltem.exe	xmfqou.exe
File opened for modification	C:\Windows\SysWOW64\bgekzl.exe	brpehc.exe
File opened for modification	C:\Windows\SysWOW64\eqfrnk.exe	jgzpwd.exe
File opened for modification	C:\Windows\SysWOW64\ryympo.exe	rvlusk.exe
File opened for modification	C:\Windows\SysWOW64\ofnnfz.exe	oubvrn.exe
File opened for modification	C:\Windows\SysWOW64\xnvjvk.exe	uhhhgs.exe
File opened for modification	C:\Windows\SysWOW64\fntizl.exe	ckqknq.exe
File created	C:\Windows\SysWOW64\bnrjuw.exe	bbfqfk.exe
File created	C:\Windows\SysWOW64\pzeezz.exe	oorlcv.exe
File opened for modification	C:\Windows\SysWOW64\pzeezz.exe	oorlcv.exe
File opened for modification	C:\Windows\SysWOW64\onlqrf.exe	tkisfr.exe
File opened for modification	C:\Windows\SysWOW64\iwnink.exe	lygiul.exe
File opened for modification	C:\Windows\SysWOW64\lrtjza.exe	izcypi.exe
File created	C:\Windows\SysWOW64\kolwwc.exe	ncqbyh.exe
File created	C:\Windows\SysWOW64\sqqwdf.exe	vbrwcg.exe

Suspicious use of SetThreadContext 64 IoCs

Processes:

f38d258532673cf62200ab2d7dd5268a_JaffaCakes118.exejgzpwd.exeeqfrnk.execdafem.exeemscwi.exehpvaiw.exegiwkci.exehixyoq.exeefeypx.exehxwizg.exeeyowvj.exeeueodn.exebwwbhq.exebexoty.exezqtcja.exezquhva.exewrmuzl.exewcymnp.exewczszx.exezurqrt.exeeglkcq.exebertvp.exetpeljb.exettidxf.exernmrwh.exerubwnq.exeqjzbey.exervlusk.exeryympo.exerkkeda.exerklkpa.exerzjpgq.exeroyvxy.exerzlnmc.exeuuolyq.exersvlzx.exeqhkqqf.exeqkxjfr.exervjbtv.exetymzgi.exetnkefz.exetrwwtd.exetcjpip.exetryuzx.exetywaqf.exetkisfr.exeonlqrf.exeoubvrn.exeofnnfz.exeoultwh.exeoumyip.exeojjezx.exeqtbtrt.exeqfnmgx.exeqiaecj.exeqxxjts.exeqmnpka.exeqyzhzm.exeqbmanq.exeqqjfeg.exettmdru.exetwzvny.exewzctsl.exeworyrc.exe

description	pid	process	target process
PID 4484 set thread context of 612	4484	f38d258532673cf62200ab2d7dd5268a_JaffaCakes118.exe	f38d258532673cf62200ab2d7dd5268a_JaffaCakes118.exe
PID 2372 set thread context of 4496	2372	jgzpwd.exe	jgzpwd.exe
PID 3596 set thread context of 3424	3596	eqfrnk.exe	eqfrnk.exe
PID 2432 set thread context of 4624	2432	cdafem.exe	cdafem.exe
PID 2652 set thread context of 1096	2652	emscwi.exe	emscwi.exe
PID 3272 set thread context of 1776	3272	hpvaiw.exe	hpvaiw.exe
PID 4888 set thread context of 972	4888	giwkci.exe	giwkci.exe
PID 3024 set thread context of 3568	3024	hixyoq.exe	hixyoq.exe
PID 928 set thread context of 2020	928	efeypx.exe	efeypx.exe
PID 216 set thread context of 1664	216	hxwizg.exe	hxwizg.exe
PID 4992 set thread context of 4308	4992	eyowvj.exe	eyowvj.exe
PID 4648 set thread context of 2508	4648	eueodn.exe	eueodn.exe
PID 4712 set thread context of 1040	4712	bwwbhq.exe	bwwbhq.exe
PID 3592 set thread context of 4520	3592	bexoty.exe	bexoty.exe
PID 5032 set thread context of 3420	5032	zqtcja.exe	zqtcja.exe
PID 4396 set thread context of 4380	4396	zquhva.exe	zquhva.exe
PID 1092 set thread context of 4964	1092	wrmuzl.exe	wrmuzl.exe
PID 3412 set thread context of 3176	3412	wcymnp.exe	wcymnp.exe
PID 4256 set thread context of 3688	4256	wczszx.exe	wczszx.exe
PID 3572 set thread context of 2528	3572	zurqrt.exe	zurqrt.exe
PID 4428 set thread context of 5016	4428	eglkcq.exe	eglkcq.exe
PID 2060 set thread context of 2620	2060	bertvp.exe	bertvp.exe
PID 3488 set thread context of 4760	3488	tpeljb.exe	tpeljb.exe
PID 212 set thread context of 3544	212	ttidxf.exe	ttidxf.exe
PID 4156 set thread context of 4144	4156	rnmrwh.exe	rnmrwh.exe
PID 3996 set thread context of 4476	3996	rubwnq.exe	rubwnq.exe
PID 4836 set thread context of 4732	4836	qjzbey.exe	qjzbey.exe
PID 2260 set thread context of 2540	2260	rvlusk.exe	rvlusk.exe
PID 1144 set thread context of 2764	1144	ryympo.exe	ryympo.exe
PID 4080 set thread context of 3560	4080	rkkeda.exe	rkkeda.exe
PID 1720 set thread context of 4048	1720	rklkpa.exe	rklkpa.exe
PID 5104 set thread context of 3596	5104	rzjpgq.exe	rzjpgq.exe
PID 4380 set thread context of 1588	4380	royvxy.exe	royvxy.exe
PID 3412 set thread context of 1512	3412	rzlnmc.exe	rzlnmc.exe
PID 1412 set thread context of 2736	1412	uuolyq.exe	uuolyq.exe
PID 2600 set thread context of 1776	2600	rsvlzx.exe	rsvlzx.exe
PID 2228 set thread context of 440	2228	qhkqqf.exe	qhkqqf.exe
PID 2392 set thread context of 3848	2392	qkxjfr.exe	qkxjfr.exe
PID 972 set thread context of 4728	972	rvjbtv.exe	rvjbtv.exe
PID 752 set thread context of 2216	752	tymzgi.exe	tymzgi.exe
PID 5088 set thread context of 3484	5088	tnkefz.exe	tnkefz.exe
PID 4656 set thread context of 4328	4656	trwwtd.exe	trwwtd.exe
PID 2904 set thread context of 4932	2904	tcjpip.exe	tcjpip.exe
PID 1920 set thread context of 3496	1920	tryuzx.exe	tryuzx.exe
PID 5080 set thread context of 2072	5080	tywaqf.exe	tywaqf.exe
PID 2956 set thread context of 1944	2956	tkisfr.exe	tkisfr.exe
PID 4808 set thread context of 3764	4808	onlqrf.exe	onlqrf.exe
PID 3420 set thread context of 3500	3420	oubvrn.exe	oubvrn.exe
PID 2832 set thread context of 512	2832	ofnnfz.exe	ofnnfz.exe
PID 728 set thread context of 3156	728	oultwh.exe	oultwh.exe
PID 2740 set thread context of 2268	2740	oumyip.exe	oumyip.exe
PID 2648 set thread context of 3340	2648	ojjezx.exe	ojjezx.exe
PID 1084 set thread context of 2000	1084	qtbtrt.exe	qtbtrt.exe
PID 2136 set thread context of 3608	2136	qfnmgx.exe	qfnmgx.exe
PID 2060 set thread context of 2768	2060	qiaecj.exe	qiaecj.exe
PID 3488 set thread context of 3716	3488	qxxjts.exe	qxxjts.exe
PID 368 set thread context of 4448	368	qmnpka.exe	qmnpka.exe
PID 4156 set thread context of 5112	4156	qyzhzm.exe	qyzhzm.exe
PID 3996 set thread context of 4004	3996	qbmanq.exe	qbmanq.exe
PID 4060 set thread context of 4876	4060	qqjfeg.exe	qqjfeg.exe
PID 724 set thread context of 3664	724	ttmdru.exe	ttmdru.exe
PID 2968 set thread context of 772	2968	twzvny.exe	twzvny.exe
PID 3348 set thread context of 436	3348	wzctsl.exe	wzctsl.exe
PID 4496 set thread context of 2204	4496	woryrc.exe	woryrc.exe

Suspicious behavior: EnumeratesProcesses 64 IoCs

Processes:

f38d258532673cf62200ab2d7dd5268a_JaffaCakes118.exejgzpwd.exeeqfrnk.execdafem.exeemscwi.exehpvaiw.exegiwkci.exehixyoq.exeefeypx.exehxwizg.exeeyowvj.exeeueodn.exebwwbhq.exebexoty.exezqtcja.exezquhva.exewrmuzl.exewcymnp.exewczszx.exezurqrt.exeeglkcq.exebertvp.exetpeljb.exettidxf.exernmrwh.exerubwnq.exeqjzbey.exervlusk.exeryympo.exerkkeda.exerklkpa.exerzjpgq.exe

pid	process
4484	f38d258532673cf62200ab2d7dd5268a_JaffaCakes118.exe
4484	f38d258532673cf62200ab2d7dd5268a_JaffaCakes118.exe
2372	jgzpwd.exe
2372	jgzpwd.exe
3596	eqfrnk.exe
3596	eqfrnk.exe
2432	cdafem.exe
2432	cdafem.exe
2652	emscwi.exe
2652	emscwi.exe
3272	hpvaiw.exe
3272	hpvaiw.exe
4888	giwkci.exe
4888	giwkci.exe
3024	hixyoq.exe
3024	hixyoq.exe
928	efeypx.exe
928	efeypx.exe
216	hxwizg.exe
216	hxwizg.exe
4992	eyowvj.exe
4992	eyowvj.exe
4648	eueodn.exe
4648	eueodn.exe
4712	bwwbhq.exe
4712	bwwbhq.exe
3592	bexoty.exe
3592	bexoty.exe
5032	zqtcja.exe
5032	zqtcja.exe
4396	zquhva.exe
4396	zquhva.exe
1092	wrmuzl.exe
1092	wrmuzl.exe
3412	wcymnp.exe
3412	wcymnp.exe
4256	wczszx.exe
4256	wczszx.exe
3572	zurqrt.exe
3572	zurqrt.exe
4428	eglkcq.exe
4428	eglkcq.exe
2060	bertvp.exe
2060	bertvp.exe
3488	tpeljb.exe
3488	tpeljb.exe
212	ttidxf.exe
212	ttidxf.exe
4156	rnmrwh.exe
4156	rnmrwh.exe
3996	rubwnq.exe
3996	rubwnq.exe
4836	qjzbey.exe
4836	qjzbey.exe
2260	rvlusk.exe
2260	rvlusk.exe
1144	ryympo.exe
1144	ryympo.exe
4080	rkkeda.exe
4080	rkkeda.exe
1720	rklkpa.exe
1720	rklkpa.exe
5104	rzjpgq.exe
5104	rzjpgq.exe

Suspicious use of WriteProcessMemory 64 IoCs

Processes:

f38d258532673cf62200ab2d7dd5268a_JaffaCakes118.exef38d258532673cf62200ab2d7dd5268a_JaffaCakes118.exejgzpwd.exejgzpwd.exeeqfrnk.exeeqfrnk.execdafem.execdafem.exeemscwi.exeemscwi.exehpvaiw.exehpvaiw.exegiwkci.exegiwkci.exehixyoq.exehixyoq.exe

description	pid	process	target process
PID 4484 wrote to memory of 612	4484	f38d258532673cf62200ab2d7dd5268a_JaffaCakes118.exe	f38d258532673cf62200ab2d7dd5268a_JaffaCakes118.exe
PID 4484 wrote to memory of 612	4484	f38d258532673cf62200ab2d7dd5268a_JaffaCakes118.exe	f38d258532673cf62200ab2d7dd5268a_JaffaCakes118.exe
PID 4484 wrote to memory of 612	4484	f38d258532673cf62200ab2d7dd5268a_JaffaCakes118.exe	f38d258532673cf62200ab2d7dd5268a_JaffaCakes118.exe
PID 4484 wrote to memory of 612	4484	f38d258532673cf62200ab2d7dd5268a_JaffaCakes118.exe	f38d258532673cf62200ab2d7dd5268a_JaffaCakes118.exe
PID 4484 wrote to memory of 612	4484	f38d258532673cf62200ab2d7dd5268a_JaffaCakes118.exe	f38d258532673cf62200ab2d7dd5268a_JaffaCakes118.exe
PID 612 wrote to memory of 2372	612	f38d258532673cf62200ab2d7dd5268a_JaffaCakes118.exe	jgzpwd.exe
PID 612 wrote to memory of 2372	612	f38d258532673cf62200ab2d7dd5268a_JaffaCakes118.exe	jgzpwd.exe
PID 612 wrote to memory of 2372	612	f38d258532673cf62200ab2d7dd5268a_JaffaCakes118.exe	jgzpwd.exe
PID 2372 wrote to memory of 4496	2372	jgzpwd.exe	jgzpwd.exe
PID 2372 wrote to memory of 4496	2372	jgzpwd.exe	jgzpwd.exe
PID 2372 wrote to memory of 4496	2372	jgzpwd.exe	jgzpwd.exe
PID 2372 wrote to memory of 4496	2372	jgzpwd.exe	jgzpwd.exe
PID 2372 wrote to memory of 4496	2372	jgzpwd.exe	jgzpwd.exe
PID 4496 wrote to memory of 3596	4496	jgzpwd.exe	eqfrnk.exe
PID 4496 wrote to memory of 3596	4496	jgzpwd.exe	eqfrnk.exe
PID 4496 wrote to memory of 3596	4496	jgzpwd.exe	eqfrnk.exe
PID 3596 wrote to memory of 3424	3596	eqfrnk.exe	eqfrnk.exe
PID 3596 wrote to memory of 3424	3596	eqfrnk.exe	eqfrnk.exe
PID 3596 wrote to memory of 3424	3596	eqfrnk.exe	eqfrnk.exe
PID 3596 wrote to memory of 3424	3596	eqfrnk.exe	eqfrnk.exe
PID 3596 wrote to memory of 3424	3596	eqfrnk.exe	eqfrnk.exe
PID 3424 wrote to memory of 2432	3424	eqfrnk.exe	cdafem.exe
PID 3424 wrote to memory of 2432	3424	eqfrnk.exe	cdafem.exe
PID 3424 wrote to memory of 2432	3424	eqfrnk.exe	cdafem.exe
PID 2432 wrote to memory of 4624	2432	cdafem.exe	cdafem.exe
PID 2432 wrote to memory of 4624	2432	cdafem.exe	cdafem.exe
PID 2432 wrote to memory of 4624	2432	cdafem.exe	cdafem.exe
PID 2432 wrote to memory of 4624	2432	cdafem.exe	cdafem.exe
PID 2432 wrote to memory of 4624	2432	cdafem.exe	cdafem.exe
PID 4624 wrote to memory of 2652	4624	cdafem.exe	emscwi.exe
PID 4624 wrote to memory of 2652	4624	cdafem.exe	emscwi.exe
PID 4624 wrote to memory of 2652	4624	cdafem.exe	emscwi.exe
PID 2652 wrote to memory of 1096	2652	emscwi.exe	emscwi.exe
PID 2652 wrote to memory of 1096	2652	emscwi.exe	emscwi.exe
PID 2652 wrote to memory of 1096	2652	emscwi.exe	emscwi.exe
PID 2652 wrote to memory of 1096	2652	emscwi.exe	emscwi.exe
PID 2652 wrote to memory of 1096	2652	emscwi.exe	emscwi.exe
PID 1096 wrote to memory of 3272	1096	emscwi.exe	hpvaiw.exe
PID 1096 wrote to memory of 3272	1096	emscwi.exe	hpvaiw.exe
PID 1096 wrote to memory of 3272	1096	emscwi.exe	hpvaiw.exe
PID 3272 wrote to memory of 1776	3272	hpvaiw.exe	hpvaiw.exe
PID 3272 wrote to memory of 1776	3272	hpvaiw.exe	hpvaiw.exe
PID 3272 wrote to memory of 1776	3272	hpvaiw.exe	hpvaiw.exe
PID 3272 wrote to memory of 1776	3272	hpvaiw.exe	hpvaiw.exe
PID 3272 wrote to memory of 1776	3272	hpvaiw.exe	hpvaiw.exe
PID 1776 wrote to memory of 4888	1776	hpvaiw.exe	giwkci.exe
PID 1776 wrote to memory of 4888	1776	hpvaiw.exe	giwkci.exe
PID 1776 wrote to memory of 4888	1776	hpvaiw.exe	giwkci.exe
PID 4888 wrote to memory of 972	4888	giwkci.exe	giwkci.exe
PID 4888 wrote to memory of 972	4888	giwkci.exe	giwkci.exe
PID 4888 wrote to memory of 972	4888	giwkci.exe	giwkci.exe
PID 4888 wrote to memory of 972	4888	giwkci.exe	giwkci.exe
PID 4888 wrote to memory of 972	4888	giwkci.exe	giwkci.exe
PID 972 wrote to memory of 3024	972	giwkci.exe	hixyoq.exe
PID 972 wrote to memory of 3024	972	giwkci.exe	hixyoq.exe
PID 972 wrote to memory of 3024	972	giwkci.exe	hixyoq.exe
PID 3024 wrote to memory of 3568	3024	hixyoq.exe	hixyoq.exe
PID 3024 wrote to memory of 3568	3024	hixyoq.exe	hixyoq.exe
PID 3024 wrote to memory of 3568	3024	hixyoq.exe	hixyoq.exe
PID 3024 wrote to memory of 3568	3024	hixyoq.exe	hixyoq.exe
PID 3024 wrote to memory of 3568	3024	hixyoq.exe	hixyoq.exe
PID 3568 wrote to memory of 928	3568	hixyoq.exe	efeypx.exe
PID 3568 wrote to memory of 928	3568	hixyoq.exe	efeypx.exe
PID 3568 wrote to memory of 928	3568	hixyoq.exe	efeypx.exe

C:\Users\Admin\AppData\Local\Temp\f38d258532673cf62200ab2d7dd5268a_JaffaCakes118.exe
"C:\Users\Admin\AppData\Local\Temp\f38d258532673cf62200ab2d7dd5268a_JaffaCakes118.exe"
1⤵
- Suspicious use of SetThreadContext
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of WriteProcessMemory
PID:4484

C:\Users\Admin\AppData\Local\Temp\f38d258532673cf62200ab2d7dd5268a_JaffaCakes118.exe
"C:\Users\Admin\AppData\Local\Temp\f38d258532673cf62200ab2d7dd5268a_JaffaCakes118.exe"
2⤵
- Suspicious use of WriteProcessMemory
PID:612

C:\Windows\SysWOW64\jgzpwd.exe
C:\Windows\system32\jgzpwd.exe 996 "C:\Users\Admin\AppData\Local\Temp\f38d258532673cf62200ab2d7dd5268a_JaffaCakes118.exe"
3⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of WriteProcessMemory
PID:2372

C:\Windows\SysWOW64\jgzpwd.exe
996 C:\Users\Admin\AppData\Local\Temp\f38d258532673cf62200ab2d7dd5268a_JaffaCakes118.exe
4⤵
- Executes dropped EXE
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:4496

C:\Windows\SysWOW64\eqfrnk.exe
C:\Windows\system32\eqfrnk.exe 1136 "C:\Windows\SysWOW64\jgzpwd.exe"
5⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of WriteProcessMemory
PID:3596

C:\Windows\SysWOW64\eqfrnk.exe
1136 C:\Windows\SysWOW64\jgzpwd.exe
6⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:3424

C:\Windows\SysWOW64\cdafem.exe
C:\Windows\system32\cdafem.exe 1036 "C:\Windows\SysWOW64\eqfrnk.exe"
7⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of WriteProcessMemory
PID:2432

C:\Windows\SysWOW64\cdafem.exe
1036 C:\Windows\SysWOW64\eqfrnk.exe
8⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:4624

C:\Windows\SysWOW64\emscwi.exe
C:\Windows\system32\emscwi.exe 1028 "C:\Windows\SysWOW64\cdafem.exe"
9⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of WriteProcessMemory
PID:2652

C:\Windows\SysWOW64\emscwi.exe
1028 C:\Windows\SysWOW64\cdafem.exe
10⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:1096

C:\Windows\SysWOW64\hpvaiw.exe
C:\Windows\system32\hpvaiw.exe 1020 "C:\Windows\SysWOW64\emscwi.exe"
11⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of WriteProcessMemory
PID:3272

C:\Windows\SysWOW64\hpvaiw.exe
1020 C:\Windows\SysWOW64\emscwi.exe
12⤵
- Executes dropped EXE
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:1776

C:\Windows\SysWOW64\giwkci.exe
C:\Windows\system32\giwkci.exe 1104 "C:\Windows\SysWOW64\hpvaiw.exe"
13⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of WriteProcessMemory
PID:4888

C:\Windows\SysWOW64\giwkci.exe
1104 C:\Windows\SysWOW64\hpvaiw.exe
14⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:972

C:\Windows\SysWOW64\hixyoq.exe
C:\Windows\system32\hixyoq.exe 1008 "C:\Windows\SysWOW64\giwkci.exe"
15⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of WriteProcessMemory
PID:3024

C:\Windows\SysWOW64\hixyoq.exe
1008 C:\Windows\SysWOW64\giwkci.exe
16⤵
- Executes dropped EXE
- Suspicious use of WriteProcessMemory
PID:3568

C:\Windows\SysWOW64\efeypx.exe
C:\Windows\system32\efeypx.exe 1008 "C:\Windows\SysWOW64\hixyoq.exe"
17⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Suspicious behavior: EnumeratesProcesses
PID:928

C:\Windows\SysWOW64\efeypx.exe
1008 C:\Windows\SysWOW64\hixyoq.exe
18⤵
- Executes dropped EXE
PID:2020

C:\Windows\SysWOW64\hxwizg.exe
C:\Windows\system32\hxwizg.exe 1144 "C:\Windows\SysWOW64\efeypx.exe"
19⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Suspicious behavior: EnumeratesProcesses
PID:216

C:\Windows\SysWOW64\hxwizg.exe
1144 C:\Windows\SysWOW64\efeypx.exe
20⤵
- Executes dropped EXE
- Drops file in System32 directory
PID:1664

C:\Windows\SysWOW64\eyowvj.exe
C:\Windows\system32\eyowvj.exe 1020 "C:\Windows\SysWOW64\hxwizg.exe"
21⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Suspicious behavior: EnumeratesProcesses
PID:4992

C:\Windows\SysWOW64\eyowvj.exe
1020 C:\Windows\SysWOW64\hxwizg.exe
22⤵
- Executes dropped EXE
PID:4308

C:\Windows\SysWOW64\eueodn.exe
C:\Windows\system32\eueodn.exe 1144 "C:\Windows\SysWOW64\eyowvj.exe"
23⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Suspicious behavior: EnumeratesProcesses
PID:4648

C:\Windows\SysWOW64\eueodn.exe
1144 C:\Windows\SysWOW64\eyowvj.exe
24⤵
- Executes dropped EXE
PID:2508

C:\Windows\SysWOW64\bwwbhq.exe
C:\Windows\system32\bwwbhq.exe 1020 "C:\Windows\SysWOW64\eueodn.exe"
25⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Suspicious behavior: EnumeratesProcesses
PID:4712

C:\Windows\SysWOW64\bwwbhq.exe
1020 C:\Windows\SysWOW64\eueodn.exe
26⤵
- Executes dropped EXE
PID:1040

C:\Windows\SysWOW64\bexoty.exe
C:\Windows\system32\bexoty.exe 1140 "C:\Windows\SysWOW64\bwwbhq.exe"
27⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Suspicious behavior: EnumeratesProcesses
PID:3592

C:\Windows\SysWOW64\bexoty.exe
1140 C:\Windows\SysWOW64\bwwbhq.exe
28⤵
- Executes dropped EXE
PID:4520

C:\Windows\SysWOW64\zqtcja.exe
C:\Windows\system32\zqtcja.exe 1084 "C:\Windows\SysWOW64\bexoty.exe"
29⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Suspicious behavior: EnumeratesProcesses
PID:5032

C:\Windows\SysWOW64\zqtcja.exe
1084 C:\Windows\SysWOW64\bexoty.exe
30⤵
- Executes dropped EXE
PID:3420

C:\Windows\SysWOW64\zquhva.exe
C:\Windows\system32\zquhva.exe 1008 "C:\Windows\SysWOW64\zqtcja.exe"
31⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Suspicious behavior: EnumeratesProcesses
PID:4396

C:\Windows\SysWOW64\zquhva.exe
1008 C:\Windows\SysWOW64\zqtcja.exe
32⤵
- Executes dropped EXE
PID:4380

C:\Windows\SysWOW64\wrmuzl.exe
C:\Windows\system32\wrmuzl.exe 1104 "C:\Windows\SysWOW64\zquhva.exe"
33⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Suspicious behavior: EnumeratesProcesses
PID:1092

C:\Windows\SysWOW64\wrmuzl.exe
1104 C:\Windows\SysWOW64\zquhva.exe
34⤵
- Executes dropped EXE
PID:4964

C:\Windows\SysWOW64\wcymnp.exe
C:\Windows\system32\wcymnp.exe 1020 "C:\Windows\SysWOW64\wrmuzl.exe"
35⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Suspicious behavior: EnumeratesProcesses
PID:3412

C:\Windows\SysWOW64\wcymnp.exe
1020 C:\Windows\SysWOW64\wrmuzl.exe
36⤵
- Executes dropped EXE
PID:3176

C:\Windows\SysWOW64\wczszx.exe
C:\Windows\system32\wczszx.exe 1028 "C:\Windows\SysWOW64\wcymnp.exe"
37⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Suspicious behavior: EnumeratesProcesses
PID:4256

C:\Windows\SysWOW64\wczszx.exe
1028 C:\Windows\SysWOW64\wcymnp.exe
38⤵
- Executes dropped EXE
PID:3688

C:\Windows\SysWOW64\zurqrt.exe
C:\Windows\system32\zurqrt.exe 1144 "C:\Windows\SysWOW64\wczszx.exe"
39⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Suspicious behavior: EnumeratesProcesses
PID:3572

C:\Windows\SysWOW64\zurqrt.exe
1144 C:\Windows\SysWOW64\wczszx.exe
40⤵
- Executes dropped EXE
PID:2528

C:\Windows\SysWOW64\eglkcq.exe
C:\Windows\system32\eglkcq.exe 1144 "C:\Windows\SysWOW64\zurqrt.exe"
41⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Suspicious behavior: EnumeratesProcesses
PID:4428

C:\Windows\SysWOW64\eglkcq.exe
1144 C:\Windows\SysWOW64\zurqrt.exe
42⤵
- Executes dropped EXE
PID:5016

C:\Windows\SysWOW64\bertvp.exe
C:\Windows\system32\bertvp.exe 1016 "C:\Windows\SysWOW64\eglkcq.exe"
43⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Suspicious behavior: EnumeratesProcesses
PID:2060

C:\Windows\SysWOW64\bertvp.exe
1016 C:\Windows\SysWOW64\eglkcq.exe
44⤵
- Executes dropped EXE
- Drops file in System32 directory
PID:2620

C:\Windows\SysWOW64\tpeljb.exe
C:\Windows\system32\tpeljb.exe 1140 "C:\Windows\SysWOW64\bertvp.exe"
45⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Suspicious behavior: EnumeratesProcesses
PID:3488

C:\Windows\SysWOW64\tpeljb.exe
1140 C:\Windows\SysWOW64\bertvp.exe
46⤵
- Executes dropped EXE
- Drops file in System32 directory
PID:4760

C:\Windows\SysWOW64\ttidxf.exe
C:\Windows\system32\ttidxf.exe 1032 "C:\Windows\SysWOW64\tpeljb.exe"
47⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Suspicious behavior: EnumeratesProcesses
PID:212

C:\Windows\SysWOW64\ttidxf.exe
1032 C:\Windows\SysWOW64\tpeljb.exe
48⤵
- Executes dropped EXE
PID:3544

C:\Windows\SysWOW64\rnmrwh.exe
C:\Windows\system32\rnmrwh.exe 1140 "C:\Windows\SysWOW64\ttidxf.exe"
49⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Suspicious behavior: EnumeratesProcesses
PID:4156

C:\Windows\SysWOW64\rnmrwh.exe
1140 C:\Windows\SysWOW64\ttidxf.exe
50⤵
- Executes dropped EXE
PID:4144

C:\Windows\SysWOW64\rubwnq.exe
C:\Windows\system32\rubwnq.exe 1036 "C:\Windows\SysWOW64\rnmrwh.exe"
51⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Suspicious behavior: EnumeratesProcesses
PID:3996

C:\Windows\SysWOW64\rubwnq.exe
1036 C:\Windows\SysWOW64\rnmrwh.exe
52⤵
- Executes dropped EXE
PID:4476

C:\Windows\SysWOW64\qjzbey.exe
C:\Windows\system32\qjzbey.exe 1104 "C:\Windows\SysWOW64\rubwnq.exe"
53⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Suspicious behavior: EnumeratesProcesses
PID:4836

C:\Windows\SysWOW64\qjzbey.exe
1104 C:\Windows\SysWOW64\rubwnq.exe
54⤵
- Executes dropped EXE
PID:4732

C:\Windows\SysWOW64\rvlusk.exe
C:\Windows\system32\rvlusk.exe 1020 "C:\Windows\SysWOW64\qjzbey.exe"
55⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Suspicious behavior: EnumeratesProcesses
PID:2260

C:\Windows\SysWOW64\rvlusk.exe
1020 C:\Windows\SysWOW64\qjzbey.exe
56⤵
- Executes dropped EXE
- Drops file in System32 directory
PID:2540

C:\Windows\SysWOW64\ryympo.exe
C:\Windows\system32\ryympo.exe 1020 "C:\Windows\SysWOW64\rvlusk.exe"
57⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Suspicious behavior: EnumeratesProcesses
PID:1144

C:\Windows\SysWOW64\ryympo.exe
1020 C:\Windows\SysWOW64\rvlusk.exe
58⤵
- Executes dropped EXE
- Drops file in System32 directory
PID:2764

C:\Windows\SysWOW64\rkkeda.exe
C:\Windows\system32\rkkeda.exe 1028 "C:\Windows\SysWOW64\ryympo.exe"
59⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Suspicious behavior: EnumeratesProcesses
PID:4080

C:\Windows\SysWOW64\rkkeda.exe
1028 C:\Windows\SysWOW64\ryympo.exe
60⤵
- Executes dropped EXE
- Drops file in System32 directory
PID:3560

C:\Windows\SysWOW64\rklkpa.exe
C:\Windows\system32\rklkpa.exe 1036 "C:\Windows\SysWOW64\rkkeda.exe"
61⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Suspicious behavior: EnumeratesProcesses
PID:1720

C:\Windows\SysWOW64\rklkpa.exe
1036 C:\Windows\SysWOW64\rkkeda.exe
62⤵
- Executes dropped EXE
PID:4048

C:\Windows\SysWOW64\rzjpgq.exe
C:\Windows\system32\rzjpgq.exe 1020 "C:\Windows\SysWOW64\rklkpa.exe"
63⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
- Suspicious behavior: EnumeratesProcesses
PID:5104

C:\Windows\SysWOW64\rzjpgq.exe
1020 C:\Windows\SysWOW64\rklkpa.exe
64⤵
- Executes dropped EXE
PID:3596

C:\Windows\SysWOW64\royvxy.exe
C:\Windows\system32\royvxy.exe 1020 "C:\Windows\SysWOW64\rzjpgq.exe"
65⤵
- Executes dropped EXE
- Suspicious use of SetThreadContext
PID:4380

C:\Windows\SysWOW64\royvxy.exe
1020 C:\Windows\SysWOW64\rzjpgq.exe
66⤵
- Executes dropped EXE
PID:1588

C:\Windows\SysWOW64\rzlnmc.exe
C:\Windows\system32\rzlnmc.exe 1012 "C:\Windows\SysWOW64\royvxy.exe"
67⤵
- Suspicious use of SetThreadContext
PID:3412

C:\Windows\SysWOW64\rzlnmc.exe
1012 C:\Windows\SysWOW64\royvxy.exe
68⤵
PID:1512

C:\Windows\SysWOW64\uuolyq.exe
C:\Windows\system32\uuolyq.exe 1148 "C:\Windows\SysWOW64\rzlnmc.exe"
69⤵
- Suspicious use of SetThreadContext
PID:1412

C:\Windows\SysWOW64\uuolyq.exe
1148 C:\Windows\SysWOW64\rzlnmc.exe
70⤵
PID:2736

C:\Windows\SysWOW64\rsvlzx.exe
C:\Windows\system32\rsvlzx.exe 1032 "C:\Windows\SysWOW64\uuolyq.exe"
71⤵
- Suspicious use of SetThreadContext
PID:2600

C:\Windows\SysWOW64\rsvlzx.exe
1032 C:\Windows\SysWOW64\uuolyq.exe
72⤵
- Drops file in System32 directory
PID:1776

C:\Windows\SysWOW64\qhkqqf.exe
C:\Windows\system32\qhkqqf.exe 1140 "C:\Windows\SysWOW64\rsvlzx.exe"
73⤵
- Suspicious use of SetThreadContext
PID:2228

C:\Windows\SysWOW64\qhkqqf.exe
1140 C:\Windows\SysWOW64\rsvlzx.exe
74⤵
PID:440

C:\Windows\SysWOW64\qkxjfr.exe
C:\Windows\system32\qkxjfr.exe 1140 "C:\Windows\SysWOW64\qhkqqf.exe"
75⤵
- Suspicious use of SetThreadContext
PID:2392

C:\Windows\SysWOW64\qkxjfr.exe
1140 C:\Windows\SysWOW64\qhkqqf.exe
76⤵
PID:3848

C:\Windows\SysWOW64\rvjbtv.exe
C:\Windows\system32\rvjbtv.exe 1040 "C:\Windows\SysWOW64\qkxjfr.exe"
77⤵
- Suspicious use of SetThreadContext
PID:972

C:\Windows\SysWOW64\rvjbtv.exe
1040 C:\Windows\SysWOW64\qkxjfr.exe
78⤵
PID:4728

C:\Windows\SysWOW64\tymzgi.exe
C:\Windows\system32\tymzgi.exe 1036 "C:\Windows\SysWOW64\rvjbtv.exe"
79⤵
- Suspicious use of SetThreadContext
PID:752

C:\Windows\SysWOW64\tymzgi.exe
1036 C:\Windows\SysWOW64\rvjbtv.exe
80⤵
PID:2216

C:\Windows\SysWOW64\tnkefz.exe
C:\Windows\system32\tnkefz.exe 1148 "C:\Windows\SysWOW64\tymzgi.exe"
81⤵
- Suspicious use of SetThreadContext
PID:5088

C:\Windows\SysWOW64\tnkefz.exe
1148 C:\Windows\SysWOW64\tymzgi.exe
82⤵
PID:3484

C:\Windows\SysWOW64\trwwtd.exe
C:\Windows\system32\trwwtd.exe 1036 "C:\Windows\SysWOW64\tnkefz.exe"
83⤵
- Suspicious use of SetThreadContext
PID:4656

C:\Windows\SysWOW64\trwwtd.exe
1036 C:\Windows\SysWOW64\tnkefz.exe
84⤵
PID:4328

C:\Windows\SysWOW64\tcjpip.exe
C:\Windows\system32\tcjpip.exe 1120 "C:\Windows\SysWOW64\trwwtd.exe"
85⤵
- Suspicious use of SetThreadContext
PID:2904

C:\Windows\SysWOW64\tcjpip.exe
1120 C:\Windows\SysWOW64\trwwtd.exe
86⤵
PID:4932

C:\Windows\SysWOW64\tryuzx.exe
C:\Windows\system32\tryuzx.exe 1008 "C:\Windows\SysWOW64\tcjpip.exe"
87⤵
- Suspicious use of SetThreadContext
PID:1920

C:\Windows\SysWOW64\tryuzx.exe
1008 C:\Windows\SysWOW64\tcjpip.exe
88⤵
PID:3496

C:\Windows\SysWOW64\tywaqf.exe
C:\Windows\system32\tywaqf.exe 1140 "C:\Windows\SysWOW64\tryuzx.exe"
89⤵
- Suspicious use of SetThreadContext
PID:5080

C:\Windows\SysWOW64\tywaqf.exe
1140 C:\Windows\SysWOW64\tryuzx.exe
90⤵
PID:2072

C:\Windows\SysWOW64\tkisfr.exe
C:\Windows\system32\tkisfr.exe 1008 "C:\Windows\SysWOW64\tywaqf.exe"
91⤵
- Suspicious use of SetThreadContext
PID:2956

C:\Windows\SysWOW64\tkisfr.exe
1008 C:\Windows\SysWOW64\tywaqf.exe
92⤵
- Drops file in System32 directory
PID:1944

C:\Windows\SysWOW64\onlqrf.exe
C:\Windows\system32\onlqrf.exe 1028 "C:\Windows\SysWOW64\tkisfr.exe"
93⤵
- Suspicious use of SetThreadContext
PID:4808

C:\Windows\SysWOW64\onlqrf.exe
1028 C:\Windows\SysWOW64\tkisfr.exe
94⤵
PID:3764

C:\Windows\SysWOW64\oubvrn.exe
C:\Windows\system32\oubvrn.exe 912 "C:\Windows\SysWOW64\onlqrf.exe"
95⤵
- Suspicious use of SetThreadContext
PID:3420

C:\Windows\SysWOW64\oubvrn.exe
912 C:\Windows\SysWOW64\onlqrf.exe
96⤵
- Drops file in System32 directory
PID:3500

C:\Windows\SysWOW64\ofnnfz.exe
C:\Windows\system32\ofnnfz.exe 1140 "C:\Windows\SysWOW64\oubvrn.exe"
97⤵
- Suspicious use of SetThreadContext
PID:2832

C:\Windows\SysWOW64\ofnnfz.exe
1140 C:\Windows\SysWOW64\oubvrn.exe
98⤵
PID:512

C:\Windows\SysWOW64\oultwh.exe
C:\Windows\system32\oultwh.exe 1028 "C:\Windows\SysWOW64\ofnnfz.exe"
99⤵
- Suspicious use of SetThreadContext
PID:728

C:\Windows\SysWOW64\oultwh.exe
1028 C:\Windows\SysWOW64\ofnnfz.exe
100⤵
PID:3156

C:\Windows\SysWOW64\oumyip.exe
C:\Windows\system32\oumyip.exe 1040 "C:\Windows\SysWOW64\oultwh.exe"
101⤵
- Suspicious use of SetThreadContext
PID:2740

C:\Windows\SysWOW64\oumyip.exe
1040 C:\Windows\SysWOW64\oultwh.exe
102⤵
PID:2268

C:\Windows\SysWOW64\ojjezx.exe
C:\Windows\system32\ojjezx.exe 1020 "C:\Windows\SysWOW64\oumyip.exe"
103⤵
- Suspicious use of SetThreadContext
PID:2648

C:\Windows\SysWOW64\ojjezx.exe
1020 C:\Windows\SysWOW64\oumyip.exe
104⤵
PID:3340

C:\Windows\SysWOW64\qtbtrt.exe
C:\Windows\system32\qtbtrt.exe 1032 "C:\Windows\SysWOW64\ojjezx.exe"
105⤵
- Suspicious use of SetThreadContext
PID:1084

C:\Windows\SysWOW64\qtbtrt.exe
1032 C:\Windows\SysWOW64\ojjezx.exe
106⤵
PID:2000

C:\Windows\SysWOW64\qfnmgx.exe
C:\Windows\system32\qfnmgx.exe 1048 "C:\Windows\SysWOW64\qtbtrt.exe"
107⤵
- Suspicious use of SetThreadContext
PID:2136

C:\Windows\SysWOW64\qfnmgx.exe
1048 C:\Windows\SysWOW64\qtbtrt.exe
108⤵
PID:3608

C:\Windows\SysWOW64\qiaecj.exe
C:\Windows\system32\qiaecj.exe 1008 "C:\Windows\SysWOW64\qfnmgx.exe"
109⤵
- Suspicious use of SetThreadContext
PID:2060

C:\Windows\SysWOW64\qiaecj.exe
1008 C:\Windows\SysWOW64\qfnmgx.exe
110⤵
PID:2768

C:\Windows\SysWOW64\qxxjts.exe
C:\Windows\system32\qxxjts.exe 1012 "C:\Windows\SysWOW64\qiaecj.exe"
111⤵
- Suspicious use of SetThreadContext
PID:3488

C:\Windows\SysWOW64\qxxjts.exe
1012 C:\Windows\SysWOW64\qiaecj.exe
112⤵
PID:3716

C:\Windows\SysWOW64\qmnpka.exe
C:\Windows\system32\qmnpka.exe 1032 "C:\Windows\SysWOW64\qxxjts.exe"
113⤵
- Suspicious use of SetThreadContext
PID:368

C:\Windows\SysWOW64\qmnpka.exe
1032 C:\Windows\SysWOW64\qxxjts.exe
114⤵
PID:4448

C:\Windows\SysWOW64\qyzhzm.exe
C:\Windows\system32\qyzhzm.exe 1020 "C:\Windows\SysWOW64\qmnpka.exe"
115⤵
- Suspicious use of SetThreadContext
PID:4156

C:\Windows\SysWOW64\qyzhzm.exe
1020 C:\Windows\SysWOW64\qmnpka.exe
116⤵
PID:5112

C:\Windows\SysWOW64\qbmanq.exe
C:\Windows\system32\qbmanq.exe 1036 "C:\Windows\SysWOW64\qyzhzm.exe"
117⤵
- Suspicious use of SetThreadContext
PID:3996

C:\Windows\SysWOW64\qbmanq.exe
1036 C:\Windows\SysWOW64\qyzhzm.exe
118⤵
PID:4004

C:\Windows\SysWOW64\qqjfeg.exe
C:\Windows\system32\qqjfeg.exe 1036 "C:\Windows\SysWOW64\qbmanq.exe"
119⤵
- Suspicious use of SetThreadContext
PID:4060

C:\Windows\SysWOW64\qqjfeg.exe
1036 C:\Windows\SysWOW64\qbmanq.exe
120⤵
- Drops file in System32 directory
PID:4876

C:\Windows\SysWOW64\ttmdru.exe
C:\Windows\system32\ttmdru.exe 1028 "C:\Windows\SysWOW64\qqjfeg.exe"
121⤵
- Suspicious use of SetThreadContext
PID:724

C:\Windows\SysWOW64\ttmdru.exe
1028 C:\Windows\SysWOW64\qqjfeg.exe
122⤵
- Drops file in System32 directory
PID:3664

C:\Windows\SysWOW64\twzvny.exe
C:\Windows\system32\twzvny.exe 1036 "C:\Windows\SysWOW64\ttmdru.exe"
123⤵
- Suspicious use of SetThreadContext
PID:2968

C:\Windows\SysWOW64\twzvny.exe
1036 C:\Windows\SysWOW64\ttmdru.exe
124⤵
PID:772

C:\Windows\SysWOW64\wzctsl.exe
C:\Windows\system32\wzctsl.exe 1032 "C:\Windows\SysWOW64\twzvny.exe"
125⤵
- Suspicious use of SetThreadContext
PID:3348

C:\Windows\SysWOW64\wzctsl.exe
1032 C:\Windows\SysWOW64\twzvny.exe
126⤵
- Drops file in System32 directory
PID:436

C:\Windows\SysWOW64\woryrc.exe
C:\Windows\system32\woryrc.exe 1184 "C:\Windows\SysWOW64\wzctsl.exe"
127⤵
- Suspicious use of SetThreadContext
PID:4496

C:\Windows\SysWOW64\woryrc.exe
1184 C:\Windows\SysWOW64\wzctsl.exe
128⤵
PID:2204

C:\Windows\SysWOW64\txcgfa.exe
C:\Windows\system32\txcgfa.exe 1140 "C:\Windows\SysWOW64\woryrc.exe"
129⤵
PID:4048

C:\Windows\SysWOW64\txcgfa.exe
1140 C:\Windows\SysWOW64\woryrc.exe
130⤵
PID:3424

C:\Windows\SysWOW64\qvjgyz.exe
C:\Windows\system32\qvjgyz.exe 1140 "C:\Windows\SysWOW64\txcgfa.exe"
131⤵
PID:3596

C:\Windows\SysWOW64\qvjgyz.exe
1140 C:\Windows\SysWOW64\txcgfa.exe
132⤵
PID:1984

C:\Windows\SysWOW64\qyvzul.exe
C:\Windows\system32\qyvzul.exe 1048 "C:\Windows\SysWOW64\qvjgyz.exe"
133⤵
PID:1588

C:\Windows\SysWOW64\qyvzul.exe
1048 C:\Windows\SysWOW64\qvjgyz.exe
134⤵
PID:1204

C:\Windows\SysWOW64\qkhrip.exe
C:\Windows\system32\qkhrip.exe 1008 "C:\Windows\SysWOW64\qyvzul.exe"
135⤵
PID:1524

C:\Windows\SysWOW64\qkhrip.exe
1008 C:\Windows\SysWOW64\qyvzul.exe
136⤵
- Drops file in System32 directory
PID:1320

C:\Windows\SysWOW64\qvujxt.exe
C:\Windows\system32\qvujxt.exe 1140 "C:\Windows\SysWOW64\qkhrip.exe"
137⤵
PID:2736

C:\Windows\SysWOW64\qvujxt.exe
1140 C:\Windows\SysWOW64\qkhrip.exe
138⤵
PID:4720

C:\Windows\SysWOW64\qzgclf.exe
C:\Windows\system32\qzgclf.exe 1020 "C:\Windows\SysWOW64\qvujxt.exe"
139⤵
PID:2528

C:\Windows\SysWOW64\qzgclf.exe
1020 C:\Windows\SysWOW64\qvujxt.exe
140⤵
- Drops file in System32 directory
PID:1684

C:\Windows\SysWOW64\qoehdn.exe
C:\Windows\system32\qoehdn.exe 1140 "C:\Windows\SysWOW64\qzgclf.exe"
141⤵
PID:3964

C:\Windows\SysWOW64\qoehdn.exe
1140 C:\Windows\SysWOW64\qzgclf.exe
142⤵
PID:4844

C:\Windows\SysWOW64\izqazz.exe
C:\Windows\system32\izqazz.exe 1012 "C:\Windows\SysWOW64\qoehdn.exe"
143⤵
PID:4548

C:\Windows\SysWOW64\izqazz.exe
1012 C:\Windows\SysWOW64\qoehdn.exe
144⤵
PID:4284

C:\Windows\SysWOW64\iggfqh.exe
C:\Windows\system32\iggfqh.exe 1012 "C:\Windows\SysWOW64\izqazz.exe"
145⤵
PID:216

C:\Windows\SysWOW64\iggfqh.exe
1012 C:\Windows\SysWOW64\izqazz.exe
146⤵
- Drops file in System32 directory
PID:1664

C:\Windows\SysWOW64\ivdkhq.exe
C:\Windows\system32\ivdkhq.exe 1008 "C:\Windows\SysWOW64\iggfqh.exe"
147⤵
PID:2156

C:\Windows\SysWOW64\ivdkhq.exe
1008 C:\Windows\SysWOW64\iggfqh.exe
148⤵
PID:4328

C:\Windows\SysWOW64\lygiul.exe
C:\Windows\system32\lygiul.exe 1020 "C:\Windows\SysWOW64\ivdkhq.exe"
149⤵
PID:4060

C:\Windows\SysWOW64\lygiul.exe
1020 C:\Windows\SysWOW64\ivdkhq.exe
150⤵
- Drops file in System32 directory
PID:4768

C:\Windows\SysWOW64\iwnink.exe
C:\Windows\system32\iwnink.exe 1032 "C:\Windows\SysWOW64\lygiul.exe"
151⤵
PID:4732

C:\Windows\SysWOW64\iwnink.exe
1032 C:\Windows\SysWOW64\lygiul.exe
152⤵
PID:2128

C:\Windows\SysWOW64\iwoozs.exe
C:\Windows\system32\iwoozs.exe 1008 "C:\Windows\SysWOW64\iwnink.exe"
153⤵
PID:2540

C:\Windows\SysWOW64\iwoozs.exe
1008 C:\Windows\SysWOW64\iwnink.exe
154⤵
PID:2072

C:\Windows\SysWOW64\izbgvw.exe
C:\Windows\system32\izbgvw.exe 1008 "C:\Windows\SysWOW64\iwoozs.exe"
155⤵
PID:396

C:\Windows\SysWOW64\izbgvw.exe
1008 C:\Windows\SysWOW64\iwoozs.exe
156⤵
PID:1352

C:\Windows\SysWOW64\izcypi.exe
C:\Windows\system32\izcypi.exe 1012 "C:\Windows\SysWOW64\izbgvw.exe"
157⤵
PID:404

C:\Windows\SysWOW64\izcypi.exe
1012 C:\Windows\SysWOW64\izbgvw.exe
158⤵
- Drops file in System32 directory
PID:4396

C:\Windows\SysWOW64\lrtjza.exe
C:\Windows\system32\lrtjza.exe 1032 "C:\Windows\SysWOW64\izcypi.exe"
159⤵
PID:2204

C:\Windows\SysWOW64\lrtjza.exe
1032 C:\Windows\SysWOW64\izcypi.exe
160⤵
PID:1668

C:\Windows\SysWOW64\ismwvd.exe
C:\Windows\system32\ismwvd.exe 1140 "C:\Windows\SysWOW64\lrtjza.exe"
161⤵
PID:412

C:\Windows\SysWOW64\ismwvd.exe
1140 C:\Windows\SysWOW64\lrtjza.exe
162⤵
PID:3412

C:\Windows\SysWOW64\isncgk.exe
C:\Windows\system32\isncgk.exe 1008 "C:\Windows\SysWOW64\ismwvd.exe"
163⤵
PID:1984

C:\Windows\SysWOW64\isncgk.exe
1008 C:\Windows\SysWOW64\ismwvd.exe
164⤵
PID:1108

C:\Windows\SysWOW64\ihkhft.exe
C:\Windows\system32\ihkhft.exe 1016 "C:\Windows\SysWOW64\isncgk.exe"
165⤵
PID:1204

C:\Windows\SysWOW64\ihkhft.exe
1016 C:\Windows\SysWOW64\isncgk.exe
166⤵
PID:2468

C:\Windows\SysWOW64\iwamxb.exe
C:\Windows\system32\iwamxb.exe 1140 "C:\Windows\SysWOW64\ihkhft.exe"
167⤵
PID:4444

C:\Windows\SysWOW64\iwamxb.exe
1140 C:\Windows\SysWOW64\ihkhft.exe
168⤵
PID:4076

C:\Windows\SysWOW64\lnsxgs.exe
C:\Windows\system32\lnsxgs.exe 1032 "C:\Windows\SysWOW64\iwamxb.exe"
169⤵
PID:2988

C:\Windows\SysWOW64\lnsxgs.exe
1032 C:\Windows\SysWOW64\iwamxb.exe
170⤵
PID:3296

C:\Windows\SysWOW64\ihnkxn.exe
C:\Windows\system32\ihnkxn.exe 1008 "C:\Windows\SysWOW64\lnsxgs.exe"
171⤵
PID:1684

C:\Windows\SysWOW64\ihnkxn.exe
1008 C:\Windows\SysWOW64\lnsxgs.exe
172⤵
PID:4036

C:\Windows\SysWOW64\iawcrh.exe
C:\Windows\system32\iawcrh.exe 1008 "C:\Windows\SysWOW64\ihnkxn.exe"
173⤵
PID:4996

C:\Windows\SysWOW64\iawcrh.exe
1008 C:\Windows\SysWOW64\ihnkxn.exe
174⤵
PID:1724

C:\Windows\SysWOW64\idjvfl.exe
C:\Windows\system32\idjvfl.exe 1144 "C:\Windows\SysWOW64\iawcrh.exe"
175⤵
PID:2680

C:\Windows\SysWOW64\idjvfl.exe
1144 C:\Windows\SysWOW64\iawcrh.exe
176⤵
PID:5092

C:\Windows\SysWOW64\ilkazl.exe
C:\Windows\system32\ilkazl.exe 1008 "C:\Windows\SysWOW64\idjvfl.exe"
177⤵
PID:4880

C:\Windows\SysWOW64\ilkazl.exe
1008 C:\Windows\SysWOW64\idjvfl.exe
178⤵
PID:2300

C:\Windows\SysWOW64\njhqem.exe
C:\Windows\system32\njhqem.exe 1032 "C:\Windows\SysWOW64\ilkazl.exe"
179⤵
PID:4900

C:\Windows\SysWOW64\njhqem.exe
1032 C:\Windows\SysWOW64\ilkazl.exe
180⤵
PID:4300

C:\Windows\SysWOW64\ncqbyh.exe
C:\Windows\system32\ncqbyh.exe 1104 "C:\Windows\SysWOW64\njhqem.exe"
181⤵
PID:4004

C:\Windows\SysWOW64\ncqbyh.exe
1104 C:\Windows\SysWOW64\njhqem.exe
182⤵
- Drops file in System32 directory
PID:4484

C:\Windows\SysWOW64\kolwwc.exe
C:\Windows\system32\kolwwc.exe 1016 "C:\Windows\SysWOW64\ncqbyh.exe"
183⤵
PID:4452

C:\Windows\SysWOW64\kolwwc.exe
1016 C:\Windows\SysWOW64\ncqbyh.exe
184⤵
PID:3944

C:\Windows\SysWOW64\kzyolo.exe
C:\Windows\system32\kzyolo.exe 1144 "C:\Windows\SysWOW64\kolwwc.exe"
185⤵
PID:3872

C:\Windows\SysWOW64\kzyolo.exe
1144 C:\Windows\SysWOW64\kolwwc.exe
186⤵
PID:5024

C:\Windows\SysWOW64\lzztwn.exe
C:\Windows\system32\lzztwn.exe 1020 "C:\Windows\SysWOW64\kzyolo.exe"
187⤵
PID:2792

C:\Windows\SysWOW64\lzztwn.exe
1020 C:\Windows\SysWOW64\kzyolo.exe
188⤵
PID:4560

C:\Windows\SysWOW64\lowzoe.exe
C:\Windows\system32\lowzoe.exe 1008 "C:\Windows\SysWOW64\lzztwn.exe"
189⤵
PID:1972

C:\Windows\SysWOW64\lowzoe.exe
1008 C:\Windows\SysWOW64\lzztwn.exe
190⤵
PID:1964

C:\Windows\SysWOW64\dajrki.exe
C:\Windows\system32\dajrki.exe 1048 "C:\Windows\SysWOW64\lowzoe.exe"
191⤵
PID:4376

C:\Windows\SysWOW64\dajrki.exe
1048 C:\Windows\SysWOW64\lowzoe.exe
192⤵
PID:872

C:\Windows\SysWOW64\cskkeu.exe
C:\Windows\system32\cskkeu.exe 1032 "C:\Windows\SysWOW64\dajrki.exe"
193⤵
PID:1756

C:\Windows\SysWOW64\cskkeu.exe
1032 C:\Windows\SysWOW64\dajrki.exe
194⤵
PID:5100

C:\Windows\SysWOW64\fvnzri.exe
C:\Windows\system32\fvnzri.exe 1016 "C:\Windows\SysWOW64\cskkeu.exe"
195⤵
PID:4972

C:\Windows\SysWOW64\fvnzri.exe
1016 C:\Windows\SysWOW64\cskkeu.exe
196⤵
PID:4160

C:\Windows\SysWOW64\ictkgz.exe
C:\Windows\system32\ictkgz.exe 1008 "C:\Windows\SysWOW64\fvnzri.exe"
197⤵
PID:412

C:\Windows\SysWOW64\ictkgz.exe
1008 C:\Windows\SysWOW64\fvnzri.exe
198⤵
- Drops file in System32 directory
PID:1588

C:\Windows\SysWOW64\hjqpxq.exe
C:\Windows\system32\hjqpxq.exe 1008 "C:\Windows\SysWOW64\ictkgz.exe"
199⤵
PID:2740

C:\Windows\SysWOW64\hjqpxq.exe
1008 C:\Windows\SysWOW64\ictkgz.exe
200⤵
PID:4052

C:\Windows\SysWOW64\klunkd.exe
C:\Windows\system32\klunkd.exe 1008 "C:\Windows\SysWOW64\hjqpxq.exe"
201⤵
PID:4236

C:\Windows\SysWOW64\klunkd.exe
1008 C:\Windows\SysWOW64\hjqpxq.exe
202⤵
PID:1320

C:\Windows\SysWOW64\kajsbl.exe
C:\Windows\system32\kajsbl.exe 1028 "C:\Windows\SysWOW64\klunkd.exe"
203⤵
PID:4888

C:\Windows\SysWOW64\kajsbl.exe
1028 C:\Windows\SysWOW64\klunkd.exe
204⤵
PID:3776

C:\Windows\SysWOW64\ndmioz.exe
C:\Windows\system32\ndmioz.exe 1008 "C:\Windows\SysWOW64\kajsbl.exe"
205⤵
PID:3508

C:\Windows\SysWOW64\ndmioz.exe
1008 C:\Windows\SysWOW64\kajsbl.exe
206⤵
PID:2160

C:\Windows\SysWOW64\nsknfp.exe
C:\Windows\system32\nsknfp.exe 1012 "C:\Windows\SysWOW64\ndmioz.exe"
207⤵
PID:3144

C:\Windows\SysWOW64\nsknfp.exe
1012 C:\Windows\SysWOW64\ndmioz.exe
208⤵
PID:1684

C:\Windows\SysWOW64\pzyyuh.exe
C:\Windows\system32\pzyyuh.exe 1012 "C:\Windows\SysWOW64\nsknfp.exe"
209⤵
PID:4340

C:\Windows\SysWOW64\pzyyuh.exe
1012 C:\Windows\SysWOW64\nsknfp.exe
210⤵
PID:4552

C:\Windows\SysWOW64\pgodmp.exe
C:\Windows\system32\pgodmp.exe 1008 "C:\Windows\SysWOW64\pzyyuh.exe"
211⤵
PID:2948

C:\Windows\SysWOW64\pgodmp.exe
1008 C:\Windows\SysWOW64\pzyyuh.exe
212⤵
PID:4412

C:\Windows\SysWOW64\sjrbyc.exe
C:\Windows\system32\sjrbyc.exe 1012 "C:\Windows\SysWOW64\pgodmp.exe"
213⤵
PID:4952

C:\Windows\SysWOW64\sjrbyc.exe
1012 C:\Windows\SysWOW64\pgodmp.exe
214⤵
PID:516

C:\Windows\SysWOW64\sudtno.exe
C:\Windows\system32\sudtno.exe 1020 "C:\Windows\SysWOW64\sjrbyc.exe"
215⤵
PID:4992

C:\Windows\SysWOW64\sudtno.exe
1020 C:\Windows\SysWOW64\sjrbyc.exe
216⤵
PID:2300

C:\Windows\SysWOW64\vbrwcg.exe
C:\Windows\system32\vbrwcg.exe 1104 "C:\Windows\SysWOW64\sudtno.exe"
217⤵
PID:4648

C:\Windows\SysWOW64\vbrwcg.exe
1104 C:\Windows\SysWOW64\sudtno.exe
218⤵
- Drops file in System32 directory
PID:3032

C:\Windows\SysWOW64\sqqwdf.exe
C:\Windows\system32\sqqwdf.exe 1144 "C:\Windows\SysWOW64\vbrwcg.exe"
219⤵
PID:2260

C:\Windows\SysWOW64\sqqwdf.exe
1144 C:\Windows\SysWOW64\vbrwcg.exe
220⤵
PID:3192

C:\Windows\SysWOW64\vttuqa.exe
C:\Windows\system32\vttuqa.exe 1140 "C:\Windows\SysWOW64\sqqwdf.exe"
221⤵
PID:4768

C:\Windows\SysWOW64\vttuqa.exe
1140 C:\Windows\SysWOW64\sqqwdf.exe
222⤵
PID:3496

C:\Windows\SysWOW64\uirzhj.exe
C:\Windows\system32\uirzhj.exe 1032 "C:\Windows\SysWOW64\vttuqa.exe"
223⤵
PID:4144

C:\Windows\SysWOW64\uirzhj.exe
1032 C:\Windows\SysWOW64\vttuqa.exe
224⤵
PID:4828

C:\Windows\SysWOW64\vudsvn.exe
C:\Windows\system32\vudsvn.exe 1140 "C:\Windows\SysWOW64\uirzhj.exe"
225⤵
PID:772

C:\Windows\SysWOW64\vudsvn.exe
1140 C:\Windows\SysWOW64\uirzhj.exe
226⤵
PID:2956

C:\Windows\SysWOW64\vxqkkz.exe
C:\Windows\system32\vxqkkz.exe 1144 "C:\Windows\SysWOW64\vudsvn.exe"
227⤵
PID:396

C:\Windows\SysWOW64\vxqkkz.exe
1144 C:\Windows\SysWOW64\vudsvn.exe
228⤵
PID:612

C:\Windows\SysWOW64\vjccyd.exe
C:\Windows\system32\vjccyd.exe 1144 "C:\Windows\SysWOW64\vxqkkz.exe"
229⤵
PID:3764

C:\Windows\SysWOW64\vjccyd.exe
1144 C:\Windows\SysWOW64\vxqkkz.exe
230⤵
- Drops file in System32 directory
PID:3020

C:\Windows\SysWOW64\vpsixt.exe
C:\Windows\system32\vpsixt.exe 1140 "C:\Windows\SysWOW64\vjccyd.exe"
231⤵
PID:3500

C:\Windows\SysWOW64\vpsixt.exe
1140 C:\Windows\SysWOW64\vjccyd.exe
232⤵
PID:2100

C:\Windows\SysWOW64\uepnoc.exe
C:\Windows\system32\uepnoc.exe 1012 "C:\Windows\SysWOW64\vpsixt.exe"
233⤵
PID:2192

C:\Windows\SysWOW64\uepnoc.exe
1012 C:\Windows\SysWOW64\vpsixt.exe
234⤵
PID:2960

C:\Windows\SysWOW64\uqcgdg.exe
C:\Windows\system32\uqcgdg.exe 1036 "C:\Windows\SysWOW64\uepnoc.exe"
235⤵
PID:2832

C:\Windows\SysWOW64\uqcgdg.exe
1036 C:\Windows\SysWOW64\uepnoc.exe
236⤵
PID:4492

C:\Windows\SysWOW64\ufrluw.exe
C:\Windows\system32\ufrluw.exe 1028 "C:\Windows\SysWOW64\uqcgdg.exe"
237⤵
PID:1240

C:\Windows\SysWOW64\ufrluw.exe
1028 C:\Windows\SysWOW64\uqcgdg.exe
238⤵
PID:556

C:\Windows\SysWOW64\xwrwef.exe
C:\Windows\system32\xwrwef.exe 1008 "C:\Windows\SysWOW64\ufrluw.exe"
239⤵
PID:2736

C:\Windows\SysWOW64\xwrwef.exe
1008 C:\Windows\SysWOW64\ufrluw.exe
240⤵
PID:4888

C:\Windows\SysWOW64\plhbvn.exe
C:\Windows\system32\plhbvn.exe 1032 "C:\Windows\SysWOW64\xwrwef.exe"
241⤵
PID:4444

C:\Windows\SysWOW64\plhbvn.exe
1032 C:\Windows\SysWOW64\xwrwef.exe
242⤵
PID:5040

C:\Windows\SysWOW64\pxttjz.exe
C:\Windows\system32\pxttjz.exe 1184 "C:\Windows\SysWOW64\plhbvn.exe"
243⤵
PID:3344

C:\Windows\SysWOW64\pxttjz.exe
1184 C:\Windows\SysWOW64\plhbvn.exe
244⤵
PID:3728

C:\Windows\SysWOW64\pafmgd.exe
C:\Windows\system32\pafmgd.exe 1140 "C:\Windows\SysWOW64\pxttjz.exe"
245⤵
PID:2296

C:\Windows\SysWOW64\pafmgd.exe
1140 C:\Windows\SysWOW64\pxttjz.exe
246⤵
PID:4340

C:\Windows\SysWOW64\nubhwg.exe
C:\Windows\system32\nubhwg.exe 1028 "C:\Windows\SysWOW64\pafmgd.exe"
247⤵
PID:752

C:\Windows\SysWOW64\nubhwg.exe
1028 C:\Windows\SysWOW64\pafmgd.exe
248⤵
PID:3784

C:\Windows\SysWOW64\pbpkly.exe
C:\Windows\system32\pbpkly.exe 1020 "C:\Windows\SysWOW64\nubhwg.exe"
249⤵
PID:2216

C:\Windows\SysWOW64\pbpkly.exe
1020 C:\Windows\SysWOW64\nubhwg.exe
250⤵
PID:5092

C:\Windows\SysWOW64\ptqcgk.exe
C:\Windows\system32\ptqcgk.exe 1028 "C:\Windows\SysWOW64\pbpkly.exe"
251⤵
PID:4312

C:\Windows\SysWOW64\ptqcgk.exe
1028 C:\Windows\SysWOW64\pbpkly.exe
252⤵
PID:5112

C:\Windows\SysWOW64\pxduuw.exe
C:\Windows\system32\pxduuw.exe 1020 "C:\Windows\SysWOW64\ptqcgk.exe"
253⤵
PID:4004

C:\Windows\SysWOW64\pxduuw.exe
1020 C:\Windows\SysWOW64\ptqcgk.exe
254⤵
PID:4648

C:\Windows\SysWOW64\pipnqa.exe
C:\Windows\system32\pipnqa.exe 1008 "C:\Windows\SysWOW64\pxduuw.exe"
255⤵
PID:4452

C:\Windows\SysWOW64\pipnqa.exe
1008 C:\Windows\SysWOW64\pxduuw.exe
256⤵
PID:5080

C:\Windows\SysWOW64\pxnsij.exe
C:\Windows\system32\pxnsij.exe 1028 "C:\Windows\SysWOW64\pipnqa.exe"
257⤵
PID:4352

C:\Windows\SysWOW64\pxnsij.exe
1028 C:\Windows\SysWOW64\pipnqa.exe
258⤵
PID:3580

C:\Windows\SysWOW64\ssique.exe
C:\Windows\system32\ssique.exe 1032 "C:\Windows\SysWOW64\pxnsij.exe"
259⤵
PID:2128

C:\Windows\SysWOW64\ssique.exe
1032 C:\Windows\SysWOW64\pxnsij.exe
260⤵
- Drops file in System32 directory
PID:4156

C:\Windows\SysWOW64\seuiji.exe
C:\Windows\system32\seuiji.exe 1008 "C:\Windows\SysWOW64\ssique.exe"
261⤵
PID:3740

C:\Windows\SysWOW64\seuiji.exe
1008 C:\Windows\SysWOW64\ssique.exe
262⤵
PID:2764

C:\Windows\SysWOW64\vhxgvv.exe
C:\Windows\system32\vhxgvv.exe 1028 "C:\Windows\SysWOW64\seuiji.exe"
263⤵
PID:388

C:\Windows\SysWOW64\vhxgvv.exe
1028 C:\Windows\SysWOW64\seuiji.exe
264⤵
PID:396

C:\Windows\SysWOW64\riptrh.exe
C:\Windows\system32\riptrh.exe 1116 "C:\Windows\SysWOW64\vhxgvv.exe"
265⤵
PID:404

C:\Windows\SysWOW64\riptrh.exe
1116 C:\Windows\SysWOW64\vhxgvv.exe
266⤵
PID:3764

C:\Windows\SysWOW64\uzhebq.exe
C:\Windows\system32\uzhebq.exe 1032 "C:\Windows\SysWOW64\riptrh.exe"
267⤵
PID:4396

C:\Windows\SysWOW64\uzhebq.exe
1032 C:\Windows\SysWOW64\riptrh.exe
268⤵
PID:4964

C:\Windows\SysWOW64\ultwpu.exe
C:\Windows\system32\ultwpu.exe 1028 "C:\Windows\SysWOW64\uzhebq.exe"
269⤵
PID:1668

C:\Windows\SysWOW64\ultwpu.exe
1028 C:\Windows\SysWOW64\uzhebq.exe
270⤵
PID:2192

C:\Windows\SysWOW64\uajbgk.exe
C:\Windows\system32\uajbgk.exe 1144 "C:\Windows\SysWOW64\ultwpu.exe"
271⤵
PID:3932

C:\Windows\SysWOW64\uajbgk.exe
1144 C:\Windows\SysWOW64\ultwpu.exe
272⤵
PID:2832

C:\Windows\SysWOW64\uhhhgs.exe
C:\Windows\system32\uhhhgs.exe 1028 "C:\Windows\SysWOW64\uajbgk.exe"
273⤵
PID:3936

C:\Windows\SysWOW64\uhhhgs.exe
1028 C:\Windows\SysWOW64\uajbgk.exe
274⤵
- Drops file in System32 directory
PID:4492

C:\Windows\SysWOW64\xnvjvk.exe
C:\Windows\system32\xnvjvk.exe 1032 "C:\Windows\SysWOW64\uhhhgs.exe"
275⤵
PID:1320

C:\Windows\SysWOW64\xnvjvk.exe
1032 C:\Windows\SysWOW64\uhhhgs.exe
276⤵
PID:2736

C:\Windows\SysWOW64\xckpms.exe
C:\Windows\system32\xckpms.exe 1028 "C:\Windows\SysWOW64\xnvjvk.exe"
277⤵
PID:3860

C:\Windows\SysWOW64\xckpms.exe
1028 C:\Windows\SysWOW64\xnvjvk.exe
278⤵
PID:440

C:\Windows\SysWOW64\xkuuya.exe
C:\Windows\system32\xkuuya.exe 1012 "C:\Windows\SysWOW64\xckpms.exe"
279⤵
PID:2488

C:\Windows\SysWOW64\xkuuya.exe
1012 C:\Windows\SysWOW64\xckpms.exe
280⤵
PID:2060

C:\Windows\SysWOW64\xrjapi.exe
C:\Windows\system32\xrjapi.exe 1028 "C:\Windows\SysWOW64\xkuuya.exe"
281⤵
PID:1684

C:\Windows\SysWOW64\xrjapi.exe
1028 C:\Windows\SysWOW64\xkuuya.exe
282⤵
PID:2296

C:\Windows\SysWOW64\xcwsdu.exe
C:\Windows\system32\xcwsdu.exe 1144 "C:\Windows\SysWOW64\xrjapi.exe"
283⤵
PID:4552

C:\Windows\SysWOW64\xcwsdu.exe
1144 C:\Windows\SysWOW64\xrjapi.exe
284⤵
PID:752

C:\Windows\SysWOW64\xrtxdd.exe
C:\Windows\system32\xrtxdd.exe 1144 "C:\Windows\SysWOW64\xcwsdu.exe"
285⤵
PID:4424

C:\Windows\SysWOW64\xrtxdd.exe
1144 C:\Windows\SysWOW64\xcwsdu.exe
286⤵
PID:2216

C:\Windows\SysWOW64\xvfqrh.exe
C:\Windows\system32\xvfqrh.exe 1016 "C:\Windows\SysWOW64\xrtxdd.exe"
287⤵
PID:4992

C:\Windows\SysWOW64\xvfqrh.exe
1016 C:\Windows\SysWOW64\xrtxdd.exe
288⤵
PID:4312

C:\Windows\SysWOW64\pgsift.exe
C:\Windows\system32\pgsift.exe 1036 "C:\Windows\SysWOW64\xvfqrh.exe"
289⤵
PID:2076

C:\Windows\SysWOW64\pgsift.exe
1036 C:\Windows\SysWOW64\xvfqrh.exe
290⤵
PID:4004

C:\Windows\SysWOW64\pvhoxb.exe
C:\Windows\system32\pvhoxb.exe 1020 "C:\Windows\SysWOW64\pgsift.exe"
291⤵
PID:4876

C:\Windows\SysWOW64\pvhoxb.exe
1020 C:\Windows\SysWOW64\pgsift.exe
292⤵
PID:4452

C:\Windows\SysWOW64\pzugln.exe
C:\Windows\system32\pzugln.exe 1016 "C:\Windows\SysWOW64\pvhoxb.exe"
293⤵
PID:4556

C:\Windows\SysWOW64\pzugln.exe
1016 C:\Windows\SysWOW64\pvhoxb.exe
294⤵
- Drops file in System32 directory
PID:3568

C:\Windows\SysWOW64\oorlcv.exe
C:\Windows\system32\oorlcv.exe 1036 "C:\Windows\SysWOW64\pzugln.exe"
295⤵
PID:3496

C:\Windows\SysWOW64\oorlcv.exe
1036 C:\Windows\SysWOW64\pzugln.exe
296⤵
- Drops file in System32 directory
PID:3580

C:\Windows\SysWOW64\pzeezz.exe
C:\Windows\system32\pzeezz.exe 1008 "C:\Windows\SysWOW64\oorlcv.exe"
297⤵
PID:4828

C:\Windows\SysWOW64\pzeezz.exe
1008 C:\Windows\SysWOW64\oorlcv.exe
298⤵
PID:5044

C:\Windows\SysWOW64\ruhbdv.exe
C:\Windows\system32\ruhbdv.exe 1032 "C:\Windows\SysWOW64\pzeezz.exe"
299⤵
PID:4324

C:\Windows\SysWOW64\ruhbdv.exe
1032 C:\Windows\SysWOW64\pzeezz.exe
300⤵
PID:4408

C:\Windows\SysWOW64\rjwhcd.exe
C:\Windows\system32\rjwhcd.exe 1008 "C:\Windows\SysWOW64\ruhbdv.exe"
301⤵
PID:4468

C:\Windows\SysWOW64\rjwhcd.exe
1008 C:\Windows\SysWOW64\ruhbdv.exe
302⤵
PID:4344

C:\Windows\SysWOW64\ryumul.exe
C:\Windows\system32\ryumul.exe 1140 "C:\Windows\SysWOW64\rjwhcd.exe"
303⤵
PID:4396

C:\Windows\SysWOW64\ryumul.exe
1140 C:\Windows\SysWOW64\rjwhcd.exe
304⤵
PID:2672

C:\Windows\SysWOW64\rkgfix.exe
C:\Windows\system32\rkgfix.exe 1148 "C:\Windows\SysWOW64\ryumul.exe"
305⤵
PID:3156

C:\Windows\SysWOW64\rkgfix.exe
1148 C:\Windows\SysWOW64\ryumul.exe
306⤵
PID:3176

C:\Windows\SysWOW64\rrekzg.exe
C:\Windows\system32\rrekzg.exe 1028 "C:\Windows\SysWOW64\rkgfix.exe"
307⤵
PID:2204

C:\Windows\SysWOW64\rrekzg.exe
1028 C:\Windows\SysWOW64\rkgfix.exe
308⤵
PID:1652

C:\Windows\SysWOW64\uqwvjp.exe
C:\Windows\system32\uqwvjp.exe 1020 "C:\Windows\SysWOW64\rrekzg.exe"
309⤵
PID:3936

C:\Windows\SysWOW64\uqwvjp.exe
1020 C:\Windows\SysWOW64\rrekzg.exe
310⤵
- Drops file in System32 directory
PID:1096

C:\Windows\SysWOW64\uflaaf.exe
C:\Windows\system32\uflaaf.exe 1012 "C:\Windows\SysWOW64\uqwvjp.exe"
311⤵
PID:4608

C:\Windows\SysWOW64\uflaaf.exe
1012 C:\Windows\SysWOW64\uqwvjp.exe
312⤵
- Drops file in System32 directory
PID:2024

C:\Windows\SysWOW64\uujfan.exe
C:\Windows\system32\uujfan.exe 1008 "C:\Windows\SysWOW64\uflaaf.exe"
313⤵
PID:928

C:\Windows\SysWOW64\uujfan.exe
1008 C:\Windows\SysWOW64\uflaaf.exe
314⤵
PID:1368

C:\Windows\SysWOW64\xpmdeb.exe
C:\Windows\system32\xpmdeb.exe 1088 "C:\Windows\SysWOW64\uujfan.exe"
315⤵
PID:2488

C:\Windows\SysWOW64\xpmdeb.exe
1088 C:\Windows\SysWOW64\uujfan.exe
316⤵
PID:4760

C:\Windows\SysWOW64\wekadj.exe
C:\Windows\system32\wekadj.exe 1008 "C:\Windows\SysWOW64\xpmdeb.exe"
317⤵
PID:4844

C:\Windows\SysWOW64\wekadj.exe
1008 C:\Windows\SysWOW64\xpmdeb.exe
318⤵
PID:380

C:\Windows\SysWOW64\zhfyqf.exe
C:\Windows\system32\zhfyqf.exe 1028 "C:\Windows\SysWOW64\wekadj.exe"
319⤵
PID:972

C:\Windows\SysWOW64\zhfyqf.exe
1028 C:\Windows\SysWOW64\wekadj.exe
320⤵
PID:5040

C:\Windows\SysWOW64\zwcehn.exe
C:\Windows\system32\zwcehn.exe 1072 "C:\Windows\SysWOW64\zhfyqf.exe"
321⤵
PID:4424

C:\Windows\SysWOW64\zwcehn.exe
1072 C:\Windows\SysWOW64\zhfyqf.exe
322⤵
PID:4404

C:\Windows\SysWOW64\zzpwwr.exe
C:\Windows\system32\zzpwwr.exe 1088 "C:\Windows\SysWOW64\zwcehn.exe"
323⤵
PID:1348

C:\Windows\SysWOW64\zzpwwr.exe
1088 C:\Windows\SysWOW64\zwcehn.exe
324⤵
PID:4776

C:\Windows\SysWOW64\zlbokd.exe
C:\Windows\system32\zlbokd.exe 1016 "C:\Windows\SysWOW64\zzpwwr.exe"
325⤵
PID:2300

C:\Windows\SysWOW64\zlbokd.exe
1016 C:\Windows\SysWOW64\zzpwwr.exe
326⤵
PID:5060

C:\Windows\SysWOW64\zazubl.exe
C:\Windows\system32\zazubl.exe 1012 "C:\Windows\SysWOW64\zlbokd.exe"
327⤵
PID:2500

C:\Windows\SysWOW64\zazubl.exe
1012 C:\Windows\SysWOW64\zlbokd.exe
328⤵
PID:1884

C:\Windows\SysWOW64\zdlmqx.exe
C:\Windows\system32\zdlmqx.exe 1144 "C:\Windows\SysWOW64\zazubl.exe"
329⤵
PID:2772

C:\Windows\SysWOW64\zdlmqx.exe
1144 C:\Windows\SysWOW64\zazubl.exe
330⤵
PID:3916

C:\Windows\SysWOW64\zpxemb.exe
C:\Windows\system32\zpxemb.exe 1028 "C:\Windows\SysWOW64\zdlmqx.exe"
331⤵
PID:3944

C:\Windows\SysWOW64\zpxemb.exe
1028 C:\Windows\SysWOW64\zdlmqx.exe
332⤵
PID:4296

C:\Windows\SysWOW64\cvepbt.exe
C:\Windows\system32\cvepbt.exe 1020 "C:\Windows\SysWOW64\zpxemb.exe"
333⤵
PID:4156

C:\Windows\SysWOW64\cvepbt.exe
1020 C:\Windows\SysWOW64\zpxemb.exe
334⤵
PID:2792

C:\Windows\SysWOW64\ecsarl.exe
C:\Windows\system32\ecsarl.exe 1032 "C:\Windows\SysWOW64\cvepbt.exe"
335⤵
PID:1944

C:\Windows\SysWOW64\ecsarl.exe
1032 C:\Windows\SysWOW64\cvepbt.exe
336⤵
PID:4384

C:\Windows\SysWOW64\eutklx.exe
C:\Windows\system32\eutklx.exe 1012 "C:\Windows\SysWOW64\ecsarl.exe"
337⤵
PID:5044

C:\Windows\SysWOW64\eutklx.exe
1012 C:\Windows\SysWOW64\ecsarl.exe
338⤵
PID:5052

C:\Windows\SysWOW64\zmlvvo.exe
C:\Windows\system32\zmlvvo.exe 1104 "C:\Windows\SysWOW64\eutklx.exe"
339⤵
PID:4612

C:\Windows\SysWOW64\zmlvvo.exe
1104 C:\Windows\SysWOW64\eutklx.exe
340⤵
PID:1720

C:\Windows\SysWOW64\wndiqs.exe
C:\Windows\system32\wndiqs.exe 1020 "C:\Windows\SysWOW64\zmlvvo.exe"
341⤵
PID:4344

C:\Windows\SysWOW64\wndiqs.exe
1020 C:\Windows\SysWOW64\zmlvvo.exe
342⤵
PID:1548

C:\Windows\SysWOW64\zmvtab.exe
C:\Windows\system32\zmvtab.exe 1140 "C:\Windows\SysWOW64\wndiqs.exe"
343⤵
PID:2432

C:\Windows\SysWOW64\zmvtab.exe
1140 C:\Windows\SysWOW64\wndiqs.exe
344⤵
- Drops file in System32 directory
PID:3224

C:\Windows\SysWOW64\wkutbi.exe
C:\Windows\system32\wkutbi.exe 1016 "C:\Windows\SysWOW64\zmvtab.exe"
345⤵
PID:1864

C:\Windows\SysWOW64\wkutbi.exe
1016 C:\Windows\SysWOW64\zmvtab.exe
346⤵
PID:2820

C:\Windows\SysWOW64\wnglqu.exe
C:\Windows\system32\wnglqu.exe 1088 "C:\Windows\SysWOW64\wkutbi.exe"
347⤵
PID:3572

C:\Windows\SysWOW64\wnglqu.exe
1088 C:\Windows\SysWOW64\wkutbi.exe
348⤵
PID:1332

C:\Windows\SysWOW64\wceqhc.exe
C:\Windows\system32\wceqhc.exe 1008 "C:\Windows\SysWOW64\wnglqu.exe"
349⤵
PID:2760

C:\Windows\SysWOW64\wceqhc.exe
1008 C:\Windows\SysWOW64\wnglqu.exe
350⤵
PID:2468

C:\Windows\SysWOW64\woqjvg.exe
C:\Windows\system32\woqjvg.exe 1032 "C:\Windows\SysWOW64\wceqhc.exe"
351⤵
PID:3876

C:\Windows\SysWOW64\woqjvg.exe
1032 C:\Windows\SysWOW64\wceqhc.exe
352⤵
PID:4444

C:\Windows\SysWOW64\wvnomw.exe
C:\Windows\system32\wvnomw.exe 1008 "C:\Windows\SysWOW64\woqjvg.exe"
353⤵
PID:440

C:\Windows\SysWOW64\wvnomw.exe
1008 C:\Windows\SysWOW64\woqjvg.exe
354⤵
PID:3516

C:\Windows\SysWOW64\zyrmzk.exe
C:\Windows\system32\zyrmzk.exe 1028 "C:\Windows\SysWOW64\wvnomw.exe"
355⤵
PID:2948

C:\Windows\SysWOW64\zyrmzk.exe
1028 C:\Windows\SysWOW64\wvnomw.exe
356⤵
- Drops file in System32 directory
PID:2444

C:\Windows\SysWOW64\zjveno.exe
C:\Windows\system32\zjveno.exe 1136 "C:\Windows\SysWOW64\zyrmzk.exe"
357⤵
PID:4448

C:\Windows\SysWOW64\zjveno.exe
1136 C:\Windows\SysWOW64\zyrmzk.exe
358⤵
PID:1980

C:\Windows\SysWOW64\ceycab.exe
C:\Windows\system32\ceycab.exe 1008 "C:\Windows\SysWOW64\zjveno.exe"
359⤵
PID:752

C:\Windows\SysWOW64\ceycab.exe
1008 C:\Windows\SysWOW64\zjveno.exe
360⤵
PID:4284

C:\Windows\SysWOW64\yfqpem.exe
C:\Windows\system32\yfqpem.exe 1040 "C:\Windows\SysWOW64\ceycab.exe"
361⤵
PID:4992

C:\Windows\SysWOW64\yfqpem.exe
1040 C:\Windows\SysWOW64\ceycab.exe
362⤵
PID:5092

C:\Windows\SysWOW64\beiaov.exe
C:\Windows\system32\beiaov.exe 1012 "C:\Windows\SysWOW64\yfqpem.exe"
363⤵
PID:4632

C:\Windows\SysWOW64\beiaov.exe
1012 C:\Windows\SysWOW64\yfqpem.exe
364⤵
PID:116

C:\Windows\SysWOW64\btgffe.exe
C:\Windows\system32\btgffe.exe 1088 "C:\Windows\SysWOW64\beiaov.exe"
365⤵
PID:2508

C:\Windows\SysWOW64\btgffe.exe
1088 C:\Windows\SysWOW64\beiaov.exe
366⤵
PID:4028

C:\Windows\SysWOW64\bavlwu.exe
C:\Windows\system32\bavlwu.exe 1028 "C:\Windows\SysWOW64\btgffe.exe"
367⤵
PID:5108

C:\Windows\SysWOW64\bavlwu.exe
1028 C:\Windows\SysWOW64\btgffe.exe
368⤵
- Drops file in System32 directory
PID:5056

C:\Windows\SysWOW64\edyijh.exe
C:\Windows\system32\edyijh.exe 1140 "C:\Windows\SysWOW64\bavlwu.exe"
369⤵
PID:3348

C:\Windows\SysWOW64\edyijh.exe
1140 C:\Windows\SysWOW64\bavlwu.exe
370⤵
PID:1544

C:\Windows\SysWOW64\bbfico.exe
C:\Windows\system32\bbfico.exe 1140 "C:\Windows\SysWOW64\edyijh.exe"
371⤵
PID:1788

C:\Windows\SysWOW64\bbfico.exe
1140 C:\Windows\SysWOW64\edyijh.exe
372⤵
PID:1992

C:\Windows\SysWOW64\berbys.exe
C:\Windows\system32\berbys.exe 1020 "C:\Windows\SysWOW64\bbfico.exe"
373⤵
PID:4560

C:\Windows\SysWOW64\berbys.exe
1020 C:\Windows\SysWOW64\bbfico.exe
374⤵
PID:1144

C:\Windows\SysWOW64\bqetnw.exe
C:\Windows\system32\bqetnw.exe 1028 "C:\Windows\SysWOW64\berbys.exe"
375⤵
PID:4324

C:\Windows\SysWOW64\bqetnw.exe
1028 C:\Windows\SysWOW64\berbys.exe
376⤵
- Drops file in System32 directory
PID:2716

C:\Windows\SysWOW64\bbqlbi.exe
C:\Windows\system32\bbqlbi.exe 1144 "C:\Windows\SysWOW64\bqetnw.exe"
377⤵
PID:4468

C:\Windows\SysWOW64\bbqlbi.exe
1144 C:\Windows\SysWOW64\bqetnw.exe
378⤵
PID:1092

C:\Windows\SysWOW64\bfdepm.exe
C:\Windows\system32\bfdepm.exe 1144 "C:\Windows\SysWOW64\bbqlbi.exe"
379⤵
PID:1680

C:\Windows\SysWOW64\bfdepm.exe
1144 C:\Windows\SysWOW64\bbqlbi.exe
380⤵
PID:4532

C:\Windows\SysWOW64\bxdwjh.exe
C:\Windows\system32\bxdwjh.exe 1020 "C:\Windows\SysWOW64\bfdepm.exe"
381⤵
PID:3596

C:\Windows\SysWOW64\bxdwjh.exe
1020 C:\Windows\SysWOW64\bfdepm.exe
382⤵
PID:3336

C:\Windows\SysWOW64\bjqpyl.exe
C:\Windows\system32\bjqpyl.exe 1008 "C:\Windows\SysWOW64\bxdwjh.exe"
383⤵
PID:4080

C:\Windows\SysWOW64\bjqpyl.exe
1008 C:\Windows\SysWOW64\bxdwjh.exe
384⤵
PID:3932

C:\Windows\SysWOW64\eaiziu.exe
C:\Windows\system32\eaiziu.exe 1032 "C:\Windows\SysWOW64\bjqpyl.exe"
385⤵
PID:2268

C:\Windows\SysWOW64\eaiziu.exe
1032 C:\Windows\SysWOW64\bjqpyl.exe
386⤵
PID:2148

C:\Windows\SysWOW64\tbsmlf.exe
C:\Windows\system32\tbsmlf.exe 1032 "C:\Windows\SysWOW64\eaiziu.exe"
387⤵
PID:3884

C:\Windows\SysWOW64\tbsmlf.exe
1032 C:\Windows\SysWOW64\eaiziu.exe
388⤵
- Drops file in System32 directory
PID:2832

C:\Windows\SysWOW64\tnefaj.exe
C:\Windows\system32\tnefaj.exe 1008 "C:\Windows\SysWOW64\tbsmlf.exe"
389⤵
PID:4064

C:\Windows\SysWOW64\tnefaj.exe
1008 C:\Windows\SysWOW64\tbsmlf.exe
390⤵
- Drops file in System32 directory
PID:1120

C:\Windows\SysWOW64\tqqxov.exe
C:\Windows\system32\tqqxov.exe 1028 "C:\Windows\SysWOW64\tnefaj.exe"
391⤵
PID:2468

C:\Windows\SysWOW64\tqqxov.exe
1028 C:\Windows\SysWOW64\tnefaj.exe
392⤵
PID:3296

C:\Windows\SysWOW64\tfodfe.exe
C:\Windows\system32\tfodfe.exe 1008 "C:\Windows\SysWOW64\tqqxov.exe"
393⤵
PID:4444

C:\Windows\SysWOW64\tfodfe.exe
1008 C:\Windows\SysWOW64\tqqxov.exe
394⤵
PID:1164

C:\Windows\SysWOW64\wirasr.exe
C:\Windows\system32\wirasr.exe 1020 "C:\Windows\SysWOW64\tfodfe.exe"
395⤵
PID:3516

C:\Windows\SysWOW64\wirasr.exe
1020 C:\Windows\SysWOW64\tfodfe.exe
396⤵
PID:3548

C:\Windows\SysWOW64\yluyff.exe
C:\Windows\system32\yluyff.exe 1032 "C:\Windows\SysWOW64\wirasr.exe"
397⤵
PID:212

C:\Windows\SysWOW64\yluyff.exe
1032 C:\Windows\SysWOW64\wirasr.exe
398⤵
PID:380

C:\Windows\SysWOW64\zpgqtr.exe
C:\Windows\system32\zpgqtr.exe 1044 "C:\Windows\SysWOW64\yluyff.exe"
399⤵
PID:1980

C:\Windows\SysWOW64\zpgqtr.exe
1044 C:\Windows\SysWOW64\yluyff.exe
400⤵
PID:4656

C:\Windows\SysWOW64\wmfquq.exe
C:\Windows\system32\wmfquq.exe 1040 "C:\Windows\SysWOW64\zpgqtr.exe"
401⤵
PID:4284

C:\Windows\SysWOW64\wmfquq.exe
1040 C:\Windows\SysWOW64\zpgqtr.exe
402⤵
PID:2440

C:\Windows\SysWOW64\wysjic.exe
C:\Windows\system32\wysjic.exe 1008 "C:\Windows\SysWOW64\wmfquq.exe"
403⤵
PID:5092

C:\Windows\SysWOW64\wysjic.exe
1008 C:\Windows\SysWOW64\wmfquq.exe
404⤵
PID:1008

C:\Windows\SysWOW64\wbebxg.exe
C:\Windows\system32\wbebxg.exe 1008 "C:\Windows\SysWOW64\wysjic.exe"
405⤵
PID:116

C:\Windows\SysWOW64\wbebxg.exe
1008 C:\Windows\SysWOW64\wysjic.exe
406⤵
- Drops file in System32 directory
PID:3872

C:\Windows\SysWOW64\wnquls.exe
C:\Windows\system32\wnquls.exe 1140 "C:\Windows\SysWOW64\wbebxg.exe"
407⤵
PID:4028

C:\Windows\SysWOW64\wnquls.exe
1140 C:\Windows\SysWOW64\wbebxg.exe
408⤵
PID:4352

C:\Windows\SysWOW64\wqdmaw.exe
C:\Windows\system32\wqdmaw.exe 1032 "C:\Windows\SysWOW64\wnquls.exe"
409⤵
PID:5056

C:\Windows\SysWOW64\wqdmaw.exe
1032 C:\Windows\SysWOW64\wnquls.exe
410⤵
PID:3304

C:\Windows\SysWOW64\trvzdh.exe
C:\Windows\system32\trvzdh.exe 1140 "C:\Windows\SysWOW64\wqdmaw.exe"
411⤵
PID:2620

C:\Windows\SysWOW64\trvzdh.exe
1140 C:\Windows\SysWOW64\wqdmaw.exe
412⤵
PID:4296

C:\Windows\SysWOW64\tolamc.exe
C:\Windows\system32\tolamc.exe 1144 "C:\Windows\SysWOW64\trvzdh.exe"
413⤵
PID:4560

C:\Windows\SysWOW64\tolamc.exe
1144 C:\Windows\SysWOW64\trvzdh.exe
414⤵
PID:3752

C:\Windows\SysWOW64\qpdfin.exe
C:\Windows\system32\qpdfin.exe 1032 "C:\Windows\SysWOW64\tolamc.exe"
415⤵
PID:1040

C:\Windows\SysWOW64\qpdfin.exe
1032 C:\Windows\SysWOW64\tolamc.exe
416⤵
PID:5044

C:\Windows\SysWOW64\qapfer.exe
C:\Windows\system32\qapfer.exe 1048 "C:\Windows\SysWOW64\qpdfin.exe"
417⤵
PID:3744

C:\Windows\SysWOW64\qapfer.exe
1048 C:\Windows\SysWOW64\qpdfin.exe
418⤵
PID:5052

C:\Windows\SysWOW64\qeuxtd.exe
C:\Windows\system32\qeuxtd.exe 1020 "C:\Windows\SysWOW64\qapfer.exe"
419⤵
PID:1680

C:\Windows\SysWOW64\qeuxtd.exe
1020 C:\Windows\SysWOW64\qapfer.exe
420⤵
PID:4628

C:\Windows\SysWOW64\qtrvkm.exe
C:\Windows\system32\qtrvkm.exe 1012 "C:\Windows\SysWOW64\qeuxtd.exe"
421⤵
PID:3372

C:\Windows\SysWOW64\qtrvkm.exe
1012 C:\Windows\SysWOW64\qeuxtd.exe
422⤵
PID:1548

C:\Windows\SysWOW64\tsjnuv.exe
C:\Windows\system32\tsjnuv.exe 1032 "C:\Windows\SysWOW64\qtrvkm.exe"
423⤵
PID:3336

C:\Windows\SysWOW64\tsjnuv.exe
1032 C:\Windows\SysWOW64\qtrvkm.exe
424⤵
- Drops file in System32 directory
PID:4976

C:\Windows\SysWOW64\tlsyoi.exe
C:\Windows\system32\tlsyoi.exe 1036 "C:\Windows\SysWOW64\tsjnuv.exe"
425⤵
PID:2268

C:\Windows\SysWOW64\tlsyoi.exe
1036 C:\Windows\SysWOW64\tsjnuv.exe
426⤵
PID:3756

C:\Windows\SysWOW64\wckiyz.exe
C:\Windows\system32\wckiyz.exe 1032 "C:\Windows\SysWOW64\tlsyoi.exe"
427⤵
PID:2004

C:\Windows\SysWOW64\wckiyz.exe
1032 C:\Windows\SysWOW64\tlsyoi.exe
428⤵
- Drops file in System32 directory
PID:2760

C:\Windows\SysWOW64\tarjry.exe
C:\Windows\system32\tarjry.exe 1020 "C:\Windows\SysWOW64\wckiyz.exe"
429⤵
PID:4076

C:\Windows\SysWOW64\tarjry.exe
1020 C:\Windows\SysWOW64\wckiyz.exe
430⤵
PID:3240

C:\Windows\SysWOW64\tpgoqo.exe
C:\Windows\system32\tpgoqo.exe 1144 "C:\Windows\SysWOW64\tarjry.exe"
431⤵
PID:976

C:\Windows\SysWOW64\tpgoqo.exe
1144 C:\Windows\SysWOW64\tarjry.exe
432⤵
- Drops file in System32 directory
PID:812

C:\Windows\SysWOW64\tstges.exe
C:\Windows\system32\tstges.exe 1144 "C:\Windows\SysWOW64\tpgoqo.exe"
433⤵
PID:4204

C:\Windows\SysWOW64\tstges.exe
1144 C:\Windows\SysWOW64\tpgoqo.exe
434⤵
PID:3728

C:\Windows\SysWOW64\imobvu.exe
C:\Windows\system32\imobvu.exe 1144 "C:\Windows\SysWOW64\tstges.exe"
435⤵
PID:4832

C:\Windows\SysWOW64\imobvu.exe
1144 C:\Windows\SysWOW64\tstges.exe
436⤵
PID:3608

C:\Windows\SysWOW64\lhrzhi.exe
C:\Windows\system32\lhrzhi.exe 1016 "C:\Windows\SysWOW64\imobvu.exe"
437⤵
PID:4636

C:\Windows\SysWOW64\lhrzhi.exe
1016 C:\Windows\SysWOW64\imobvu.exe
438⤵
- Drops file in System32 directory
PID:2680

C:\Windows\SysWOW64\oogcxa.exe
C:\Windows\system32\oogcxa.exe 968 "C:\Windows\SysWOW64\lhrzhi.exe"
439⤵
PID:4300

C:\Windows\SysWOW64\oogcxa.exe
968 C:\Windows\SysWOW64\lhrzhi.exe
440⤵
PID:1920

C:\Windows\SysWOW64\ozkule.exe
C:\Windows\system32\ozkule.exe 1084 "C:\Windows\SysWOW64\oogcxa.exe"
441⤵
PID:4620

C:\Windows\SysWOW64\ozkule.exe
1084 C:\Windows\SysWOW64\oogcxa.exe
442⤵
PID:5112

C:\Windows\SysWOW64\nstnny.exe
C:\Windows\system32\nstnny.exe 1184 "C:\Windows\SysWOW64\ozkule.exe"
443⤵
PID:392

C:\Windows\SysWOW64\nstnny.exe
1184 C:\Windows\SysWOW64\ozkule.exe
444⤵
PID:4216

C:\Windows\SysWOW64\nsuszy.exe
C:\Windows\system32\nsuszy.exe 1008 "C:\Windows\SysWOW64\nstnny.exe"
445⤵
PID:4004

C:\Windows\SysWOW64\nsuszy.exe
1008 C:\Windows\SysWOW64\nstnny.exe
446⤵
- Drops file in System32 directory
PID:4648

C:\Windows\SysWOW64\qvxqll.exe
C:\Windows\system32\qvxqll.exe 1020 "C:\Windows\SysWOW64\nsuszy.exe"
447⤵
PID:2984

C:\Windows\SysWOW64\qvxqll.exe
1020 C:\Windows\SysWOW64\nsuszy.exe
448⤵
PID:436

C:\Windows\SysWOW64\nwhdhx.exe
C:\Windows\system32\nwhdhx.exe 1008 "C:\Windows\SysWOW64\qvxqll.exe"
449⤵
PID:4908

C:\Windows\SysWOW64\nwhdhx.exe
1008 C:\Windows\SysWOW64\qvxqll.exe
450⤵
- Drops file in System32 directory
PID:2328

C:\Windows\SysWOW64\qcwnwo.exe
C:\Windows\system32\qcwnwo.exe 1008 "C:\Windows\SysWOW64\nwhdhx.exe"
451⤵
PID:4812

C:\Windows\SysWOW64\qcwnwo.exe
1008 C:\Windows\SysWOW64\nwhdhx.exe
452⤵
PID:1692

C:\Windows\SysWOW64\tfzdjc.exe
C:\Windows\system32\tfzdjc.exe 1140 "C:\Windows\SysWOW64\qcwnwo.exe"
453⤵
PID:3020

C:\Windows\SysWOW64\tfzdjc.exe
1140 C:\Windows\SysWOW64\qcwnwo.exe
454⤵
PID:1968

C:\Windows\SysWOW64\tfaqvj.exe
C:\Windows\system32\tfaqvj.exe 1012 "C:\Windows\SysWOW64\tfzdjc.exe"
455⤵
PID:872

C:\Windows\SysWOW64\tfaqvj.exe
1012 C:\Windows\SysWOW64\tfzdjc.exe
456⤵
PID:2100

C:\Windows\SysWOW64\sxbbpw.exe
C:\Windows\system32\sxbbpw.exe 1032 "C:\Windows\SysWOW64\tfaqvj.exe"
457⤵
PID:5100

C:\Windows\SysWOW64\sxbbpw.exe
1032 C:\Windows\SysWOW64\tfaqvj.exe
458⤵
- Drops file in System32 directory
PID:1424

C:\Windows\SysWOW64\smygoe.exe
C:\Windows\system32\smygoe.exe 1140 "C:\Windows\SysWOW64\sxbbpw.exe"
459⤵
PID:2464

C:\Windows\SysWOW64\smygoe.exe
1140 C:\Windows\SysWOW64\sxbbpw.exe
460⤵
PID:464

C:\Windows\SysWOW64\sylzcq.exe
C:\Windows\system32\sylzcq.exe 1008 "C:\Windows\SysWOW64\smygoe.exe"
461⤵
PID:2528

C:\Windows\SysWOW64\sylzcq.exe
1008 C:\Windows\SysWOW64\smygoe.exe
462⤵
PID:1204

C:\Windows\SysWOW64\vpcjmz.exe
C:\Windows\system32\vpcjmz.exe 1028 "C:\Windows\SysWOW64\sylzcq.exe"
463⤵
PID:2004

C:\Windows\SysWOW64\vpcjmz.exe
1028 C:\Windows\SysWOW64\sylzcq.exe
464⤵
PID:924

C:\Windows\SysWOW64\veapdi.exe
C:\Windows\system32\veapdi.exe 1020 "C:\Windows\SysWOW64\vpcjmz.exe"
465⤵
PID:4604

C:\Windows\SysWOW64\veapdi.exe
1020 C:\Windows\SysWOW64\vpcjmz.exe
466⤵
PID:2484

C:\Windows\SysWOW64\vimhsu.exe
C:\Windows\system32\vimhsu.exe 1032 "C:\Windows\SysWOW64\veapdi.exe"
467⤵
PID:2012

C:\Windows\SysWOW64\vimhsu.exe
1032 C:\Windows\SysWOW64\veapdi.exe
468⤵
PID:4872

C:\Windows\SysWOW64\vinzmg.exe
C:\Windows\system32\vinzmg.exe 1032 "C:\Windows\SysWOW64\vimhsu.exe"
469⤵
PID:1304

C:\Windows\SysWOW64\vinzmg.exe
1032 C:\Windows\SysWOW64\vimhsu.exe
470⤵
PID:3776

C:\Windows\SysWOW64\ypckby.exe
C:\Windows\system32\ypckby.exe 1140 "C:\Windows\SysWOW64\vinzmg.exe"
471⤵
PID:4820

C:\Windows\SysWOW64\ypckby.exe
1140 C:\Windows\SysWOW64\vinzmg.exe
472⤵
- Drops file in System32 directory
PID:4400

C:\Windows\SysWOW64\bgtvlh.exe
C:\Windows\system32\bgtvlh.exe 1028 "C:\Windows\SysWOW64\ypckby.exe"
473⤵
PID:4728

C:\Windows\SysWOW64\bgtvlh.exe
1028 C:\Windows\SysWOW64\ypckby.exe
474⤵
- Drops file in System32 directory
PID:3264

C:\Windows\SysWOW64\avjacx.exe
C:\Windows\system32\avjacx.exe 1008 "C:\Windows\SysWOW64\bgtvlh.exe"
475⤵
PID:4036

C:\Windows\SysWOW64\avjacx.exe
1008 C:\Windows\SysWOW64\bgtvlh.exe
476⤵
PID:2928

C:\Windows\SysWOW64\akhytg.exe
C:\Windows\system32\akhytg.exe 1140 "C:\Windows\SysWOW64\avjacx.exe"
477⤵
PID:4304

C:\Windows\SysWOW64\akhytg.exe
1140 C:\Windows\SysWOW64\avjacx.exe
478⤵
PID:3956

C:\Windows\SysWOW64\dqvijx.exe
C:\Windows\system32\dqvijx.exe 1008 "C:\Windows\SysWOW64\akhytg.exe"
479⤵
PID:3620

C:\Windows\SysWOW64\dqvijx.exe
1008 C:\Windows\SysWOW64\akhytg.exe
480⤵
- Drops file in System32 directory
PID:3244

C:\Windows\SysWOW64\duhbfc.exe
C:\Windows\system32\duhbfc.exe 1040 "C:\Windows\SysWOW64\dqvijx.exe"
481⤵
PID:840

C:\Windows\SysWOW64\duhbfc.exe
1040 C:\Windows\SysWOW64\dqvijx.exe
482⤵
PID:4900

C:\Windows\SysWOW64\djxgws.exe
C:\Windows\system32\djxgws.exe 1008 "C:\Windows\SysWOW64\duhbfc.exe"
483⤵
PID:2156

C:\Windows\SysWOW64\djxgws.exe
1008 C:\Windows\SysWOW64\duhbfc.exe
484⤵
PID:888

C:\Windows\SysWOW64\ymaejf.exe
C:\Windows\system32\ymaejf.exe 1140 "C:\Windows\SysWOW64\djxgws.exe"
485⤵
PID:1884

C:\Windows\SysWOW64\ymaejf.exe
1140 C:\Windows\SysWOW64\djxgws.exe
486⤵
- Drops file in System32 directory
PID:2500

C:\Windows\SysWOW64\ypmwxj.exe
C:\Windows\system32\ypmwxj.exe 1008 "C:\Windows\SysWOW64\ymaejf.exe"
487⤵
PID:4556

C:\Windows\SysWOW64\ypmwxj.exe
1008 C:\Windows\SysWOW64\ymaejf.exe
488⤵
PID:4524

C:\Windows\SysWOW64\xekbpa.exe
C:\Windows\system32\xekbpa.exe 1008 "C:\Windows\SysWOW64\ypmwxj.exe"
489⤵
PID:4648

C:\Windows\SysWOW64\xekbpa.exe
1008 C:\Windows\SysWOW64\ypmwxj.exe
490⤵
PID:3580

C:\Windows\SysWOW64\ahnzbn.exe
C:\Windows\system32\ahnzbn.exe 1136 "C:\Windows\SysWOW64\xekbpa.exe"
491⤵
PID:1208

C:\Windows\SysWOW64\ahnzbn.exe
1136 C:\Windows\SysWOW64\xekbpa.exe
492⤵
PID:772

C:\Windows\SysWOW64\awcesv.exe
C:\Windows\system32\awcesv.exe 1032 "C:\Windows\SysWOW64\ahnzbn.exe"
493⤵
PID:4536

C:\Windows\SysWOW64\awcesv.exe
1032 C:\Windows\SysWOW64\ahnzbn.exe
494⤵
PID:960

C:\Windows\SysWOW64\aapxhh.exe
C:\Windows\system32\aapxhh.exe 1016 "C:\Windows\SysWOW64\awcesv.exe"
495⤵
PID:4324

C:\Windows\SysWOW64\aapxhh.exe
1016 C:\Windows\SysWOW64\awcesv.exe
496⤵
PID:4372

C:\Windows\SysWOW64\apmcgq.exe
C:\Windows\system32\apmcgq.exe 1028 "C:\Windows\SysWOW64\aapxhh.exe"
497⤵
PID:1092

C:\Windows\SysWOW64\apmcgq.exe
1028 C:\Windows\SysWOW64\aapxhh.exe
498⤵
PID:1720

C:\Windows\SysWOW64\aecaxy.exe
C:\Windows\system32\aecaxy.exe 1016 "C:\Windows\SysWOW64\apmcgq.exe"
499⤵
PID:2308

C:\Windows\SysWOW64\aecaxy.exe
1016 C:\Windows\SysWOW64\apmcgq.exe
500⤵
PID:872

C:\Windows\SysWOW64\ckqknq.exe
C:\Windows\system32\ckqknq.exe 1036 "C:\Windows\SysWOW64\aecaxy.exe"
501⤵
PID:412

C:\Windows\SysWOW64\ckqknq.exe
1036 C:\Windows\SysWOW64\aecaxy.exe
502⤵
- Drops file in System32 directory
PID:3336

C:\Windows\SysWOW64\fntizl.exe
C:\Windows\system32\fntizl.exe 1028 "C:\Windows\SysWOW64\ckqknq.exe"
503⤵
PID:2192

C:\Windows\SysWOW64\fntizl.exe
1028 C:\Windows\SysWOW64\ckqknq.exe
504⤵
PID:1084

C:\Windows\SysWOW64\fqgaop.exe
C:\Windows\system32\fqgaop.exe 1144 "C:\Windows\SysWOW64\fntizl.exe"
505⤵
PID:3156

C:\Windows\SysWOW64\fqgaop.exe
1144 C:\Windows\SysWOW64\fntizl.exe
506⤵
PID:2528

C:\Windows\SysWOW64\ffvgfx.exe
C:\Windows\system32\ffvgfx.exe 1140 "C:\Windows\SysWOW64\fqgaop.exe"
507⤵
PID:556

C:\Windows\SysWOW64\ffvgfx.exe
1140 C:\Windows\SysWOW64\fqgaop.exe
508⤵
PID:2004

C:\Windows\SysWOW64\iiydrl.exe
C:\Windows\system32\iiydrl.exe 1152 "C:\Windows\SysWOW64\ffvgfx.exe"
509⤵
PID:2160

C:\Windows\SysWOW64\iiydrl.exe
1152 C:\Windows\SysWOW64\ffvgfx.exe
510⤵
PID:4604

C:\Windows\SysWOW64\fjrqnw.exe
C:\Windows\system32\fjrqnw.exe 1144 "C:\Windows\SysWOW64\iiydrl.exe"
511⤵
PID:5016

C:\Windows\SysWOW64\fjrqnw.exe
1144 C:\Windows\SysWOW64\iiydrl.exe
512⤵
PID:432

C:\Windows\SysWOW64\fndjka.exe
C:\Windows\system32\fndjka.exe 1140 "C:\Windows\SysWOW64\fjrqnw.exe"
513⤵
PID:2972

C:\Windows\SysWOW64\fndjka.exe
1140 C:\Windows\SysWOW64\fjrqnw.exe
514⤵
PID:1304

C:\Windows\SysWOW64\fveovi.exe
C:\Windows\system32\fveovi.exe 1020 "C:\Windows\SysWOW64\fndjka.exe"
515⤵
PID:4552

C:\Windows\SysWOW64\fveovi.exe
1020 C:\Windows\SysWOW64\fndjka.exe
516⤵
PID:4820

C:\Windows\SysWOW64\fkcumq.exe
C:\Windows\system32\fkcumq.exe 1172 "C:\Windows\SysWOW64\fveovi.exe"
517⤵
PID:3080

C:\Windows\SysWOW64\fkcumq.exe
1172 C:\Windows\SysWOW64\fveovi.exe
518⤵
PID:3252

C:\Windows\SysWOW64\fnombc.exe
C:\Windows\system32\fnombc.exe 1140 "C:\Windows\SysWOW64\fkcumq.exe"
519⤵
PID:3220

C:\Windows\SysWOW64\fnombc.exe
1140 C:\Windows\SysWOW64\fkcumq.exe
520⤵
PID:4832

C:\Windows\SysWOW64\fzsepg.exe
C:\Windows\system32\fzsepg.exe 1020 "C:\Windows\SysWOW64\fnombc.exe"
521⤵
PID:2976

C:\Windows\SysWOW64\fzsepg.exe
1020 C:\Windows\SysWOW64\fnombc.exe
522⤵
PID:3236

C:\Windows\SysWOW64\fcfxes.exe
C:\Windows\system32\fcfxes.exe 1028 "C:\Windows\SysWOW64\fzsepg.exe"
523⤵
PID:1980

C:\Windows\SysWOW64\fcfxes.exe
1028 C:\Windows\SysWOW64\fzsepg.exe
524⤵
PID:4996

C:\Windows\SysWOW64\frccda.exe
C:\Windows\system32\frccda.exe 1140 "C:\Windows\SysWOW64\fcfxes.exe"
525⤵
PID:1556

C:\Windows\SysWOW64\frccda.exe
1140 C:\Windows\SysWOW64\fcfxes.exe
526⤵
PID:4740

C:\Windows\SysWOW64\fdpvre.exe
C:\Windows\system32\fdpvre.exe 1008 "C:\Windows\SysWOW64\frccda.exe"
527⤵
PID:3664

C:\Windows\SysWOW64\fdpvre.exe
1008 C:\Windows\SysWOW64\frccda.exe
528⤵
- Drops file in System32 directory
PID:2156

C:\Windows\SysWOW64\fvqnlz.exe
C:\Windows\system32\fvqnlz.exe 1140 "C:\Windows\SysWOW64\fdpvre.exe"
529⤵
PID:1008

C:\Windows\SysWOW64\fvqnlz.exe
1140 C:\Windows\SysWOW64\fdpvre.exe
530⤵
PID:3612

C:\Windows\SysWOW64\fsnfuu.exe
C:\Windows\system32\fsnfuu.exe 1012 "C:\Windows\SysWOW64\fvqnlz.exe"
531⤵
PID:3192

C:\Windows\SysWOW64\fsnfuu.exe
1012 C:\Windows\SysWOW64\fvqnlz.exe
532⤵
PID:2500

C:\Windows\SysWOW64\utysyg.exe
C:\Windows\system32\utysyg.exe 1140 "C:\Windows\SysWOW64\fsnfuu.exe"
533⤵
PID:4376

C:\Windows\SysWOW64\utysyg.exe
1140 C:\Windows\SysWOW64\fsnfuu.exe
534⤵
PID:3304

C:\Windows\SysWOW64\uxklmk.exe
C:\Windows\system32\uxklmk.exe 1036 "C:\Windows\SysWOW64\utysyg.exe"
535⤵
PID:3752

C:\Windows\SysWOW64\uxklmk.exe
1036 C:\Windows\SysWOW64\utysyg.exe
536⤵
PID:436

C:\Windows\SysWOW64\xznjzx.exe
C:\Windows\system32\xznjzx.exe 1144 "C:\Windows\SysWOW64\uxklmk.exe"
537⤵
PID:4520

C:\Windows\SysWOW64\xznjzx.exe
1144 C:\Windows\SysWOW64\uxklmk.exe
538⤵
PID:2260

C:\Windows\SysWOW64\xlzbnj.exe
C:\Windows\system32\xlzbnj.exe 1044 "C:\Windows\SysWOW64\xznjzx.exe"
539⤵
PID:5044

C:\Windows\SysWOW64\xlzbnj.exe
1044 C:\Windows\SysWOW64\xznjzx.exe
540⤵
PID:4324

C:\Windows\SysWOW64\xomtcn.exe
C:\Windows\system32\xomtcn.exe 1032 "C:\Windows\SysWOW64\xlzbnj.exe"
541⤵
PID:4896

C:\Windows\SysWOW64\xomtcn.exe
1032 C:\Windows\SysWOW64\xlzbnj.exe
542⤵
PID:3060

C:\Windows\SysWOW64\xaymqz.exe
C:\Windows\system32\xaymqz.exe 1028 "C:\Windows\SysWOW64\xomtcn.exe"
543⤵
PID:4964

C:\Windows\SysWOW64\xaymqz.exe
1028 C:\Windows\SysWOW64\xomtcn.exe
544⤵
PID:1968

C:\Windows\SysWOW64\xpwrhh.exe
C:\Windows\system32\xpwrhh.exe 1008 "C:\Windows\SysWOW64\xaymqz.exe"
545⤵
PID:3932

C:\Windows\SysWOW64\xpwrhh.exe
1008 C:\Windows\SysWOW64\xaymqz.exe
546⤵
PID:412

C:\Windows\SysWOW64\xwlwhq.exe
C:\Windows\system32\xwlwhq.exe 1044 "C:\Windows\SysWOW64\xpwrhh.exe"
547⤵
PID:3572

C:\Windows\SysWOW64\xwlwhq.exe
1044 C:\Windows\SysWOW64\xpwrhh.exe
548⤵
PID:2720

C:\Windows\SysWOW64\xhypvc.exe
C:\Windows\system32\xhypvc.exe 1008 "C:\Windows\SysWOW64\xwlwhq.exe"
549⤵
PID:1424

C:\Windows\SysWOW64\xhypvc.exe
1008 C:\Windows\SysWOW64\xwlwhq.exe
550⤵
- Drops file in System32 directory
PID:1588

C:\Windows\SysWOW64\akbnip.exe
C:\Windows\system32\akbnip.exe 1140 "C:\Windows\SysWOW64\xhypvc.exe"
551⤵
PID:464

C:\Windows\SysWOW64\akbnip.exe
1140 C:\Windows\SysWOW64\xhypvc.exe
552⤵
PID:1096

C:\Windows\SysWOW64\xltads.exe
C:\Windows\system32\xltads.exe 1144 "C:\Windows\SysWOW64\akbnip.exe"
553⤵
PID:2832

C:\Windows\SysWOW64\xltads.exe
1144 C:\Windows\SysWOW64\akbnip.exe
554⤵
PID:2160

C:\Windows\SysWOW64\xpxsse.exe
C:\Windows\system32\xpxsse.exe 1008 "C:\Windows\SysWOW64\xltads.exe"
555⤵
PID:4804

C:\Windows\SysWOW64\xpxsse.exe
1008 C:\Windows\SysWOW64\xltads.exe
556⤵
PID:2468

C:\Windows\SysWOW64\aoxdcn.exe
C:\Windows\system32\aoxdcn.exe 1016 "C:\Windows\SysWOW64\xpxsse.exe"
557⤵
PID:1368

C:\Windows\SysWOW64\aoxdcn.exe
1016 C:\Windows\SysWOW64\xpxsse.exe
558⤵
PID:3240

C:\Windows\SysWOW64\xewddu.exe
C:\Windows\system32\xewddu.exe 1008 "C:\Windows\SysWOW64\aoxdcn.exe"
559⤵
PID:4356

C:\Windows\SysWOW64\xewddu.exe
1008 C:\Windows\SysWOW64\aoxdcn.exe
560⤵
PID:4204

C:\Windows\SysWOW64\xmfqou.exe
C:\Windows\system32\xmfqou.exe 1008 "C:\Windows\SysWOW64\xewddu.exe"
561⤵
PID:1892

C:\Windows\SysWOW64\xmfqou.exe
1008 C:\Windows\SysWOW64\xewddu.exe
562⤵
- Drops file in System32 directory
PID:1036

C:\Windows\SysWOW64\asltem.exe
C:\Windows\system32\asltem.exe 1016 "C:\Windows\SysWOW64\xmfqou.exe"
563⤵
PID:4572

C:\Windows\SysWOW64\asltem.exe
1016 C:\Windows\SysWOW64\xmfqou.exe
564⤵
PID:3512

C:\Windows\SysWOW64\ahjyvc.exe
C:\Windows\system32\ahjyvc.exe 1020 "C:\Windows\SysWOW64\asltem.exe"
565⤵
PID:516

C:\Windows\SysWOW64\ahjyvc.exe
1020 C:\Windows\SysWOW64\asltem.exe
566⤵
PID:4836

C:\Windows\SysWOW64\alvrjg.exe
C:\Windows\system32\alvrjg.exe 1016 "C:\Windows\SysWOW64\ahjyvc.exe"
567⤵
PID:1100

C:\Windows\SysWOW64\alvrjg.exe
1016 C:\Windows\SysWOW64\ahjyvc.exe
568⤵
PID:1348

C:\Windows\SysWOW64\aalwao.exe
C:\Windows\system32\aalwao.exe 1008 "C:\Windows\SysWOW64\alvrjg.exe"
569⤵
PID:3016

C:\Windows\SysWOW64\aalwao.exe
1008 C:\Windows\SysWOW64\alvrjg.exe
570⤵
PID:3324

C:\Windows\SysWOW64\zpjbsf.exe
C:\Windows\system32\zpjbsf.exe 1032 "C:\Windows\SysWOW64\aalwao.exe"
571⤵
PID:4316

C:\Windows\SysWOW64\zpjbsf.exe
1032 C:\Windows\SysWOW64\aalwao.exe
572⤵
- Drops file in System32 directory
PID:3592

C:\Windows\SysWOW64\apkhle.exe
C:\Windows\system32\apkhle.exe 1008 "C:\Windows\SysWOW64\zpjbsf.exe"
573⤵
PID:1008

C:\Windows\SysWOW64\apkhle.exe
1008 C:\Windows\SysWOW64\zpjbsf.exe
574⤵
PID:2772

C:\Windows\SysWOW64\aehmcv.exe
C:\Windows\system32\aehmcv.exe 1008 "C:\Windows\SysWOW64\apkhle.exe"
575⤵
PID:3872

C:\Windows\SysWOW64\aehmcv.exe
1008 C:\Windows\SysWOW64\apkhle.exe
576⤵
PID:3916

C:\Windows\SysWOW64\ztfsud.exe
C:\Windows\system32\ztfsud.exe 1148 "C:\Windows\SysWOW64\aehmcv.exe"
577⤵
PID:1788

C:\Windows\SysWOW64\ztfsud.exe
1148 C:\Windows\SysWOW64\aehmcv.exe
578⤵
- Drops file in System32 directory
PID:3164

C:\Windows\SysWOW64\cwapgr.exe
C:\Windows\system32\cwapgr.exe 1132 "C:\Windows\SysWOW64\ztfsud.exe"
579⤵
PID:3580

C:\Windows\SysWOW64\cwapgr.exe
1132 C:\Windows\SysWOW64\ztfsud.exe
580⤵
PID:4808

C:\Windows\SysWOW64\cdyvxz.exe
C:\Windows\system32\cdyvxz.exe 1144 "C:\Windows\SysWOW64\cwapgr.exe"
581⤵
PID:4520

C:\Windows\SysWOW64\cdyvxz.exe
1144 C:\Windows\SysWOW64\cwapgr.exe
582⤵
- Drops file in System32 directory
PID:1964

C:\Windows\SysWOW64\uoknml.exe
C:\Windows\system32\uoknml.exe 1032 "C:\Windows\SysWOW64\cdyvxz.exe"
583⤵
PID:4468

C:\Windows\SysWOW64\uoknml.exe
1032 C:\Windows\SysWOW64\cdyvxz.exe
584⤵
PID:4612

C:\Windows\SysWOW64\uawfap.exe
C:\Windows\system32\uawfap.exe 1016 "C:\Windows\SysWOW64\uoknml.exe"
585⤵
PID:4324

C:\Windows\SysWOW64\uawfap.exe
1016 C:\Windows\SysWOW64\uoknml.exe
586⤵
PID:3416

C:\Windows\SysWOW64\rmstyr.exe
C:\Windows\system32\rmstyr.exe 1020 "C:\Windows\SysWOW64\uawfap.exe"
587⤵
PID:4628

C:\Windows\SysWOW64\rmstyr.exe
1020 C:\Windows\SysWOW64\uawfap.exe
588⤵
PID:2888

C:\Windows\SysWOW64\sxelnv.exe
C:\Windows\system32\sxelnv.exe 1016 "C:\Windows\SysWOW64\rmstyr.exe"
589⤵
PID:3932

C:\Windows\SysWOW64\sxelnv.exe
1016 C:\Windows\SysWOW64\rmstyr.exe
590⤵
- Drops file in System32 directory
PID:4052

C:\Windows\SysWOW64\recqem.exe
C:\Windows\system32\recqem.exe 1036 "C:\Windows\SysWOW64\sxelnv.exe"
591⤵
PID:4976

C:\Windows\SysWOW64\recqem.exe
1036 C:\Windows\SysWOW64\sxelnv.exe
592⤵
PID:2148

C:\Windows\SysWOW64\rqgjsq.exe
C:\Windows\system32\rqgjsq.exe 1028 "C:\Windows\SysWOW64\recqem.exe"
593⤵
PID:1424

C:\Windows\SysWOW64\rqgjsq.exe
1028 C:\Windows\SysWOW64\recqem.exe
594⤵
PID:2428

C:\Windows\SysWOW64\pnnjux.exe
C:\Windows\system32\pnnjux.exe 1036 "C:\Windows\SysWOW64\rqgjsq.exe"
595⤵
PID:3960

C:\Windows\SysWOW64\pnnjux.exe
1036 C:\Windows\SysWOW64\rqgjsq.exe
596⤵
PID:2092

C:\Windows\SysWOW64\ructjo.exe
C:\Windows\system32\ructjo.exe 1104 "C:\Windows\SysWOW64\pnnjux.exe"
597⤵
PID:1528

C:\Windows\SysWOW64\ructjo.exe
1104 C:\Windows\SysWOW64\pnnjux.exe
598⤵
PID:2484

C:\Windows\SysWOW64\ultety.exe
C:\Windows\system32\ultety.exe 1008 "C:\Windows\SysWOW64\ructjo.exe"
599⤵
PID:4804

C:\Windows\SysWOW64\ultety.exe
1008 C:\Windows\SysWOW64\ructjo.exe
600⤵
PID:2244

C:\Windows\SysWOW64\uxgxhk.exe
C:\Windows\system32\uxgxhk.exe 1020 "C:\Windows\SysWOW64\ultety.exe"
601⤵
PID:1596

C:\Windows\SysWOW64\uxgxhk.exe
1020 C:\Windows\SysWOW64\ultety.exe
602⤵
PID:3544

C:\Windows\SysWOW64\ryqkdn.exe
C:\Windows\system32\ryqkdn.exe 1036 "C:\Windows\SysWOW64\uxgxhk.exe"
603⤵
PID:4356

C:\Windows\SysWOW64\ryqkdn.exe
1036 C:\Windows\SysWOW64\uxgxhk.exe
604⤵
PID:5040

C:\Windows\SysWOW64\utthqa.exe
C:\Windows\system32\utthqa.exe 1008 "C:\Windows\SysWOW64\ryqkdn.exe"
605⤵
PID:4820

C:\Windows\SysWOW64\utthqa.exe
1008 C:\Windows\SysWOW64\ryqkdn.exe
606⤵
PID:3548

C:\Windows\SysWOW64\uefaem.exe
C:\Windows\system32\uefaem.exe 1008 "C:\Windows\SysWOW64\utthqa.exe"
607⤵
PID:3704

C:\Windows\SysWOW64\uefaem.exe
1008 C:\Windows\SysWOW64\utthqa.exe
608⤵
PID:3996

C:\Windows\SysWOW64\xkukte.exe
C:\Windows\system32\xkukte.exe 1020 "C:\Windows\SysWOW64\uefaem.exe"
609⤵
PID:516

C:\Windows\SysWOW64\xkukte.exe
1020 C:\Windows\SysWOW64\uefaem.exe
610⤵
PID:2272

C:\Windows\SysWOW64\wzjitm.exe
C:\Windows\system32\wzjitm.exe 1140 "C:\Windows\SysWOW64\xkukte.exe"
611⤵
PID:1100

C:\Windows\SysWOW64\wzjitm.exe
1140 C:\Windows\SysWOW64\xkukte.exe
612⤵
PID:4620

C:\Windows\SysWOW64\wdwihy.exe
C:\Windows\system32\wdwihy.exe 1032 "C:\Windows\SysWOW64\wzjitm.exe"
613⤵
PID:3016

C:\Windows\SysWOW64\wdwihy.exe
1032 C:\Windows\SysWOW64\wzjitm.exe
614⤵
PID:2508

C:\Windows\SysWOW64\wstgyh.exe
C:\Windows\system32\wstgyh.exe 1140 "C:\Windows\SysWOW64\wdwihy.exe"
615⤵
PID:4316

C:\Windows\SysWOW64\wstgyh.exe
1140 C:\Windows\SysWOW64\wdwihy.exe
616⤵
PID:2692

C:\Windows\SysWOW64\zrlyiq.exe
C:\Windows\system32\zrlyiq.exe 1008 "C:\Windows\SysWOW64\wstgyh.exe"
617⤵
PID:1008

C:\Windows\SysWOW64\zrlyiq.exe
1008 C:\Windows\SysWOW64\wstgyh.exe
618⤵
PID:4556

C:\Windows\SysWOW64\cyzbxh.exe
C:\Windows\system32\cyzbxh.exe 1008 "C:\Windows\SysWOW64\zrlyiq.exe"
619⤵
PID:3872

C:\Windows\SysWOW64\cyzbxh.exe
1008 C:\Windows\SysWOW64\zrlyiq.exe
620⤵
PID:4156

C:\Windows\SysWOW64\fefmnz.exe
C:\Windows\system32\fefmnz.exe 1028 "C:\Windows\SysWOW64\cyzbxh.exe"
621⤵
PID:2520

C:\Windows\SysWOW64\fefmnz.exe
1028 C:\Windows\SysWOW64\cyzbxh.exe
622⤵
PID:4496

C:\Windows\SysWOW64\bfyzjk.exe
C:\Windows\system32\bfyzjk.exe 1140 "C:\Windows\SysWOW64\fefmnz.exe"
623⤵
PID:3164

C:\Windows\SysWOW64\bfyzjk.exe
1140 C:\Windows\SysWOW64\fefmnz.exe
624⤵
PID:4616

C:\Windows\SysWOW64\cfzeuk.exe
C:\Windows\system32\cfzeuk.exe 1032 "C:\Windows\SysWOW64\bfyzjk.exe"
625⤵
PID:4032

C:\Windows\SysWOW64\cfzeuk.exe
1032 C:\Windows\SysWOW64\bfyzjk.exe
626⤵
PID:4520

C:\Windows\SysWOW64\cjlwjw.exe
C:\Windows\system32\cjlwjw.exe 1020 "C:\Windows\SysWOW64\cfzeuk.exe"
627⤵
PID:4944

C:\Windows\SysWOW64\cjlwjw.exe
1020 C:\Windows\SysWOW64\cfzeuk.exe
628⤵
- Drops file in System32 directory
PID:4468

C:\Windows\SysWOW64\cuxpfa.exe
C:\Windows\system32\cuxpfa.exe 1140 "C:\Windows\SysWOW64\cjlwjw.exe"
629⤵
PID:768

C:\Windows\SysWOW64\cuxpfa.exe
1140 C:\Windows\SysWOW64\cjlwjw.exe
630⤵
PID:4324

C:\Windows\SysWOW64\ugkhtm.exe
C:\Windows\system32\ugkhtm.exe 1008 "C:\Windows\SysWOW64\cuxpfa.exe"
631⤵
PID:728

C:\Windows\SysWOW64\ugkhtm.exe
1008 C:\Windows\SysWOW64\cuxpfa.exe
632⤵
PID:4628

C:\Windows\SysWOW64\unznlu.exe
C:\Windows\system32\unznlu.exe 1020 "C:\Windows\SysWOW64\ugkhtm.exe"
633⤵
PID:4968

C:\Windows\SysWOW64\unznlu.exe
1020 C:\Windows\SysWOW64\ugkhtm.exe
634⤵
- Drops file in System32 directory
PID:3932

C:\Windows\SysWOW64\uymfzy.exe
C:\Windows\system32\uymfzy.exe 1020 "C:\Windows\SysWOW64\unznlu.exe"
635⤵
PID:1624

C:\Windows\SysWOW64\uymfzy.exe
1020 C:\Windows\SysWOW64\unznlu.exe
636⤵
PID:4976

C:\Windows\SysWOW64\ukyxnk.exe
C:\Windows\system32\ukyxnk.exe 1008 "C:\Windows\SysWOW64\uymfzy.exe"
637⤵
PID:2600

C:\Windows\SysWOW64\ukyxnk.exe
1008 C:\Windows\SysWOW64\uymfzy.exe
638⤵
PID:4788

C:\Windows\SysWOW64\rzfxoj.exe
C:\Windows\system32\rzfxoj.exe 1008 "C:\Windows\SysWOW64\ukyxnk.exe"
639⤵
PID:2072

C:\Windows\SysWOW64\rzfxoj.exe
1008 C:\Windows\SysWOW64\ukyxnk.exe
640⤵
PID:1588

C:\Windows\SysWOW64\ucivbf.exe
C:\Windows\system32\ucivbf.exe 1148 "C:\Windows\SysWOW64\rzfxoj.exe"
641⤵
PID:2008

C:\Windows\SysWOW64\ucivbf.exe
1148 C:\Windows\SysWOW64\rzfxoj.exe
642⤵
PID:4916

C:\Windows\SysWOW64\rapvue.exe
C:\Windows\system32\rapvue.exe 1016 "C:\Windows\SysWOW64\ucivbf.exe"
643⤵
PID:1284

C:\Windows\SysWOW64\rapvue.exe
1016 C:\Windows\SysWOW64\ucivbf.exe
644⤵
PID:1672

C:\Windows\SysWOW64\uvkthr.exe
C:\Windows\system32\uvkthr.exe 1012 "C:\Windows\SysWOW64\rapvue.exe"
645⤵
PID:3296

C:\Windows\SysWOW64\uvkthr.exe
1012 C:\Windows\SysWOW64\rapvue.exe
646⤵
PID:2024

C:\Windows\SysWOW64\tntlbm.exe
C:\Windows\system32\tntlbm.exe 1028 "C:\Windows\SysWOW64\uvkthr.exe"
647⤵
PID:3240

C:\Windows\SysWOW64\tntlbm.exe
1028 C:\Windows\SysWOW64\uvkthr.exe
648⤵
PID:2144

C:\Windows\SysWOW64\wnlwkv.exe
C:\Windows\system32\wnlwkv.exe 1036 "C:\Windows\SysWOW64\tntlbm.exe"
649⤵
PID:3544

C:\Windows\SysWOW64\wnlwkv.exe
1036 C:\Windows\SysWOW64\tntlbm.exe
650⤵
PID:3080

C:\Windows\SysWOW64\wcibcd.exe
C:\Windows\system32\wcibcd.exe 1032 "C:\Windows\SysWOW64\wnlwkv.exe"
651⤵
PID:5040

C:\Windows\SysWOW64\wcibcd.exe
1032 C:\Windows\SysWOW64\wnlwkv.exe
652⤵
PID:2660

C:\Windows\SysWOW64\wqyhbt.exe
C:\Windows\system32\wqyhbt.exe 1184 "C:\Windows\SysWOW64\wcibcd.exe"
653⤵
PID:4992

C:\Windows\SysWOW64\wqyhbt.exe
1184 C:\Windows\SysWOW64\wcibcd.exe
654⤵
PID:5088

C:\Windows\SysWOW64\wukzpx.exe
C:\Windows\system32\wukzpx.exe 1012 "C:\Windows\SysWOW64\wqyhbt.exe"
655⤵
PID:4856

C:\Windows\SysWOW64\wukzpx.exe
1012 C:\Windows\SysWOW64\wqyhbt.exe
656⤵
PID:4412

C:\Windows\SysWOW64\wfxseb.exe
C:\Windows\system32\wfxseb.exe 1008 "C:\Windows\SysWOW64\wukzpx.exe"
657⤵
PID:3736

C:\Windows\SysWOW64\wfxseb.exe
1008 C:\Windows\SysWOW64\wukzpx.exe
658⤵
PID:3484

C:\Windows\SysWOW64\wjjksn.exe
C:\Windows\system32\wjjksn.exe 1080 "C:\Windows\SysWOW64\wfxseb.exe"
659⤵
PID:368

C:\Windows\SysWOW64\wjjksn.exe
1080 C:\Windows\SysWOW64\wfxseb.exe
660⤵
PID:1664

C:\Windows\SysWOW64\wyhpjw.exe
C:\Windows\system32\wyhpjw.exe 1028 "C:\Windows\SysWOW64\wjjksn.exe"
661⤵
PID:3468

C:\Windows\SysWOW64\wyhpjw.exe
1028 C:\Windows\SysWOW64\wjjksn.exe
662⤵
PID:4004

C:\Windows\SysWOW64\wjtiyi.exe
C:\Windows\system32\wjtiyi.exe 1020 "C:\Windows\SysWOW64\wyhpjw.exe"
663⤵
PID:4768

C:\Windows\SysWOW64\wjtiyi.exe
1020 C:\Windows\SysWOW64\wyhpjw.exe
664⤵
- Drops file in System32 directory
PID:4932

C:\Windows\SysWOW64\zewfkv.exe
C:\Windows\system32\zewfkv.exe 1144 "C:\Windows\SysWOW64\wjtiyi.exe"
665⤵
PID:4828

C:\Windows\SysWOW64\zewfkv.exe
1144 C:\Windows\SysWOW64\wjtiyi.exe
666⤵
PID:4928

C:\Windows\SysWOW64\wfgsoy.exe
C:\Windows\system32\wfgsoy.exe 1140 "C:\Windows\SysWOW64\zewfkv.exe"
667⤵
PID:4156

C:\Windows\SysWOW64\wfgsoy.exe
1140 C:\Windows\SysWOW64\zewfkv.exe
668⤵
PID:4588

C:\Windows\SysWOW64\zijibm.exe
C:\Windows\system32\zijibm.exe 1008 "C:\Windows\SysWOW64\wfgsoy.exe"
669⤵
PID:3332

C:\Windows\SysWOW64\zijibm.exe
1008 C:\Windows\SysWOW64\wfgsoy.exe
670⤵
PID:3012

C:\Windows\SysWOW64\blmgnh.exe
C:\Windows\system32\blmgnh.exe 1140 "C:\Windows\SysWOW64\zijibm.exe"
671⤵
PID:2496

C:\Windows\SysWOW64\blmgnh.exe
1140 C:\Windows\SysWOW64\zijibm.exe
672⤵
PID:3740

C:\Windows\SysWOW64\baclfq.exe
C:\Windows\system32\baclfq.exe 1020 "C:\Windows\SysWOW64\blmgnh.exe"
673⤵
PID:1208

C:\Windows\SysWOW64\baclfq.exe
1020 C:\Windows\SysWOW64\blmgnh.exe
674⤵
PID:3744

C:\Windows\SysWOW64\beoetu.exe
C:\Windows\system32\beoetu.exe 1032 "C:\Windows\SysWOW64\baclfq.exe"
675⤵
PID:4532

C:\Windows\SysWOW64\beoetu.exe
1032 C:\Windows\SysWOW64\baclfq.exe
676⤵
PID:2744

C:\Windows\SysWOW64\bpbwhg.exe
C:\Windows\system32\bpbwhg.exe 1028 "C:\Windows\SysWOW64\beoetu.exe"
677⤵
PID:2932

C:\Windows\SysWOW64\bpbwhg.exe
1028 C:\Windows\SysWOW64\beoetu.exe
678⤵
PID:2308

C:\Windows\SysWOW64\ezsuac.exe
C:\Windows\system32\ezsuac.exe 1144 "C:\Windows\SysWOW64\bpbwhg.exe"
679⤵
PID:512

C:\Windows\SysWOW64\ezsuac.exe
1144 C:\Windows\SysWOW64\bpbwhg.exe
680⤵
PID:2204

C:\Windows\SysWOW64\wlfmog.exe
C:\Windows\system32\wlfmog.exe 1008 "C:\Windows\SysWOW64\ezsuac.exe"
681⤵
PID:2192

C:\Windows\SysWOW64\wlfmog.exe
1008 C:\Windows\SysWOW64\ezsuac.exe
682⤵
PID:1652

C:\Windows\SysWOW64\yrtpdx.exe
C:\Windows\system32\yrtpdx.exe 1140 "C:\Windows\SysWOW64\wlfmog.exe"
683⤵
PID:2080

C:\Windows\SysWOW64\yrtpdx.exe
1140 C:\Windows\SysWOW64\wlfmog.exe
684⤵
PID:3648

C:\Windows\SysWOW64\zvfpaj.exe
C:\Windows\system32\zvfpaj.exe 1012 "C:\Windows\SysWOW64\yrtpdx.exe"
685⤵
PID:2072

C:\Windows\SysWOW64\zvfpaj.exe
1012 C:\Windows\SysWOW64\yrtpdx.exe
686⤵
- Drops file in System32 directory
PID:4504

C:\Windows\SysWOW64\zgshon.exe
C:\Windows\system32\zgshon.exe 1132 "C:\Windows\SysWOW64\zvfpaj.exe"
687⤵
PID:2008

C:\Windows\SysWOW64\zgshon.exe
1132 C:\Windows\SysWOW64\zvfpaj.exe
688⤵
PID:1204

C:\Windows\SysWOW64\wsnveq.exe
C:\Windows\system32\wsnveq.exe 1032 "C:\Windows\SysWOW64\zgshon.exe"
689⤵
PID:1284

C:\Windows\SysWOW64\wsnveq.exe
1032 C:\Windows\SysWOW64\zgshon.exe
690⤵
PID:4392

C:\Windows\SysWOW64\whlawy.exe
C:\Windows\system32\whlawy.exe 1144 "C:\Windows\SysWOW64\wsnveq.exe"
691⤵
PID:4240

C:\Windows\SysWOW64\whlawy.exe
1144 C:\Windows\SysWOW64\wsnveq.exe
692⤵
PID:5036

C:\Windows\SysWOW64\wwbfnp.exe
C:\Windows\system32\wwbfnp.exe 1020 "C:\Windows\SysWOW64\whlawy.exe"
693⤵
PID:3516

C:\Windows\SysWOW64\wwbfnp.exe
1020 C:\Windows\SysWOW64\whlawy.exe
694⤵
PID:3228

C:\Windows\SysWOW64\wanyjt.exe
C:\Windows\system32\wanyjt.exe 1140 "C:\Windows\SysWOW64\wwbfnp.exe"
695⤵
PID:4872

C:\Windows\SysWOW64\wanyjt.exe
1140 C:\Windows\SysWOW64\wwbfnp.exe
696⤵
PID:4820

C:\Windows\SysWOW64\vpkdab.exe
C:\Windows\system32\vpkdab.exe 1020 "C:\Windows\SysWOW64\wanyjt.exe"
697⤵
PID:1752

C:\Windows\SysWOW64\vpkdab.exe
1020 C:\Windows\SysWOW64\wanyjt.exe
698⤵
PID:2992

C:\Windows\SysWOW64\yvrgqt.exe
C:\Windows\system32\yvrgqt.exe 1140 "C:\Windows\SysWOW64\vpkdab.exe"
699⤵
PID:4440

C:\Windows\SysWOW64\yvrgqt.exe
1140 C:\Windows\SysWOW64\vpkdab.exe
700⤵
PID:3512

C:\Windows\SysWOW64\bbfqfk.exe
C:\Windows\system32\bbfqfk.exe 1008 "C:\Windows\SysWOW64\yvrgqt.exe"
701⤵
PID:1996

C:\Windows\SysWOW64\bbfqfk.exe
1008 C:\Windows\SysWOW64\yvrgqt.exe
702⤵
- Drops file in System32 directory
PID:1184

C:\Windows\SysWOW64\bnrjuw.exe
C:\Windows\system32\bnrjuw.exe 1140 "C:\Windows\SysWOW64\bbfqfk.exe"
703⤵
PID:1920

C:\Windows\SysWOW64\bnrjuw.exe
1140 C:\Windows\SysWOW64\bbfqfk.exe
704⤵
PID:3736

C:\Windows\SysWOW64\bqebia.exe
C:\Windows\system32\bqebia.exe 1144 "C:\Windows\SysWOW64\bnrjuw.exe"
705⤵
PID:5112

C:\Windows\SysWOW64\bqebia.exe
1144 C:\Windows\SysWOW64\bnrjuw.exe
706⤵
PID:4620

C:\Windows\SysWOW64\bfthzr.exe
C:\Windows\system32\bfthzr.exe 1140 "C:\Windows\SysWOW64\bqebia.exe"
707⤵
PID:4660

C:\Windows\SysWOW64\bfthzr.exe
1140 C:\Windows\SysWOW64\bqebia.exe
708⤵
- Drops file in System32 directory
PID:1664

C:\Windows\SysWOW64\bndmlq.exe
C:\Windows\system32\bndmlq.exe 1140 "C:\Windows\SysWOW64\bfthzr.exe"
709⤵
PID:4840

C:\Windows\SysWOW64\bndmlq.exe
1140 C:\Windows\SysWOW64\bfthzr.exe
710⤵
PID:4768

C:\Windows\SysWOW64\brpehc.exe
C:\Windows\system32\brpehc.exe 1028 "C:\Windows\SysWOW64\bndmlq.exe"
711⤵
PID:2232

C:\Windows\SysWOW64\brpehc.exe
1028 C:\Windows\SysWOW64\bndmlq.exe
712⤵
- Drops file in System32 directory
PID:4648

C:\Windows\SysWOW64\bgekzl.exe
C:\Windows\system32\bgekzl.exe 1020 "C:\Windows\SysWOW64\brpehc.exe"
713⤵
PID:4852

C:\Windows\SysWOW64\bgekzl.exe
1020 C:\Windows\SysWOW64\brpehc.exe
714⤵
PID:4156

C:\Windows\SysWOW64\bvcpqt.exe
C:\Windows\system32\bvcpqt.exe 1008 "C:\Windows\SysWOW64\bgekzl.exe"
715⤵
PID:208

C:\Windows\SysWOW64\bvcpqt.exe
1008 C:\Windows\SysWOW64\bgekzl.exe
716⤵
PID:3332

C:\Windows\SysWOW64\byohef.exe
C:\Windows\system32\byohef.exe 1140 "C:\Windows\SysWOW64\bvcpqt.exe"
717⤵
PID:960

C:\Windows\SysWOW64\byohef.exe
1140 C:\Windows\SysWOW64\bvcpqt.exe
718⤵
PID:4616

C:\Windows\SysWOW64\bkbatj.exe
C:\Windows\system32\bkbatj.exe 1008 "C:\Windows\SysWOW64\byohef.exe"
719⤵
PID:5052

C:\Windows\SysWOW64\bkbatj.exe
1008 C:\Windows\SysWOW64\byohef.exe
720⤵
PID:1208

C:\Windows\SysWOW64\bvnshv.exe
C:\Windows\system32\bvnshv.exe 1008 "C:\Windows\SysWOW64\bkbatj.exe"
721⤵
PID:4348

C:\Windows\SysWOW64\bvnshv.exe
1008 C:\Windows\SysWOW64\bkbatj.exe
722⤵
PID:3224

C:\Windows\SysWOW64\yluaiu.exe
C:\Windows\system32\yluaiu.exe 1140 "C:\Windows\SysWOW64\bvnshv.exe"
723⤵
PID:872

C:\Windows\SysWOW64\yluaiu.exe
1140 C:\Windows\SysWOW64\bvnshv.exe
724⤵
PID:3768

C:\Windows\SysWOW64\bkmlsd.exe
C:\Windows\system32\bkmlsd.exe 1140 "C:\Windows\SysWOW64\yluaiu.exe"
725⤵
PID:412

C:\Windows\SysWOW64\bkmlsd.exe
1140 C:\Windows\SysWOW64\yluaiu.exe
726⤵
PID:512

C:\Windows\SysWOW64\ywiyig.exe
C:\Windows\system32\ywiyig.exe 1036 "C:\Windows\SysWOW64\bkmlsd.exe"
727⤵
PID:2648

C:\Windows\SysWOW64\ywiyig.exe
1036 C:\Windows\SysWOW64\bkmlsd.exe
728⤵
PID:2820

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\SysWOW64\jgzpwd.exe
Filesize
222KB

MD5
f38d258532673cf62200ab2d7dd5268a

SHA1
39bf714b2e9ffb5a8cf534977588b71e35952ec6

SHA256
5edaadd37dd1dd9425dbbbdcd360194fe1f965ae971a5c8165a3effdc25c7e80

SHA512
b2c994c3e6575c0463d4278220f79e29867f37049076e28c97feab5af90eec86a472a0f12945df608d73336121c2ff7b9a0c6b30ba82906c67d7f3fdcedc28cf

Download Submit
memory/216-92-0x0000000010000000-0x000000001003E000-memory.dmp

Filesize
248KB

Download
memory/612-3-0x0000000000400000-0x00000000004A6000-memory.dmp

Filesize
664KB

Download
memory/612-0-0x0000000000400000-0x00000000004A6000-memory.dmp

Filesize
664KB

Download
memory/928-83-0x0000000010000000-0x000000001003E000-memory.dmp

Filesize
248KB

Download
memory/2372-12-0x0000000010000000-0x000000001003E000-memory.dmp

Filesize
248KB

Download
memory/2432-32-0x0000000010000000-0x000000001003E000-memory.dmp

Filesize
248KB

Download
memory/2652-43-0x0000000010000000-0x000000001003E000-memory.dmp

Filesize
248KB

Download
memory/3024-72-0x0000000010000000-0x000000001003E000-memory.dmp

Filesize
248KB

Download
memory/3272-53-0x0000000010000000-0x000000001003E000-memory.dmp

Filesize
248KB

Download
memory/3424-24-0x0000000000400000-0x00000000004A6000-memory.dmp

Filesize
664KB

Download
memory/3592-132-0x0000000010000000-0x000000001003E000-memory.dmp

Filesize
248KB

Download
memory/3596-22-0x0000000010000000-0x000000001003E000-memory.dmp

Filesize
248KB

Download
memory/4396-152-0x0000000010000000-0x000000001003E000-memory.dmp

Filesize
248KB

Download
memory/4484-1-0x0000000010000000-0x000000001003E000-memory.dmp

Filesize
248KB

Download
memory/4496-14-0x0000000000400000-0x00000000004A6000-memory.dmp

Filesize
664KB

Download
memory/4648-112-0x0000000010000000-0x000000001003E000-memory.dmp

Filesize
248KB

Download
memory/4712-122-0x0000000010000000-0x000000001003E000-memory.dmp

Filesize
248KB

Download
memory/4888-62-0x0000000010000000-0x000000001003E000-memory.dmp

Filesize
248KB

Download
memory/4992-102-0x0000000010000000-0x000000001003E000-memory.dmp

Filesize
248KB

Download
memory/5032-142-0x0000000010000000-0x000000001003E000-memory.dmp

Filesize
248KB

Download

Analysis

Sharing

General

Malware Config

Extracted

Signatures

Processes

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads