xmrig | 41292852475dd5ad250e74486a04458b8fe27c558c0558d183880319733c4ced

Analysis

max time kernel
120s
max time network
121s
platform
windows10-2004_x64
resource
win10v2004-20240419-en
resource tags

arch:x64arch:x86image:win10v2004-20240419-enlocale:en-usos:windows10-2004-x64system
submitted
07/05/2024, 10:49

Sharing

Copy URL Twitter E-mail

Report Analysis Logs

General

Target

48cf56c9979a18b79e1ea28939d71200_NEAS.exe
Size

1.6MB
MD5

48cf56c9979a18b79e1ea28939d71200
SHA1

15f95e924462f80abd245b8c85b3e530b9ca6b59
SHA256

41292852475dd5ad250e74486a04458b8fe27c558c0558d183880319733c4ced
SHA512

b3df394f09b969e3f79fec15df25edc97e3f19efee9b63592958db1e47e58a075599b076fb81e7b8d1f34df07270ccff4f6655de7f0d5d95251a8d88dbdcc2c2
SSDEEP

24576:JanwhSe11QSONCpGJCjETPl+Me7bPMS8Ykgcdt9vvQNsUriFgvoHEsXRIQ144MzW:knw9oUUEEDl+xTMS8Tg3aIM4sYg

Score

10^/10

xmrig miner upx

Malware Config

Signatures

xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 50 IoCs

miner

resource	yara_rule
behavioral2/memory/1388-39-0x00007FF664D60000-0x00007FF665151000-memory.dmp	xmrig
behavioral2/memory/4416-429-0x00007FF66A1B0000-0x00007FF66A5A1000-memory.dmp	xmrig
behavioral2/memory/2848-428-0x00007FF7365B0000-0x00007FF7369A1000-memory.dmp	xmrig
behavioral2/memory/5068-430-0x00007FF685870000-0x00007FF685C61000-memory.dmp	xmrig
behavioral2/memory/4576-431-0x00007FF77D0E0000-0x00007FF77D4D1000-memory.dmp	xmrig
behavioral2/memory/4488-432-0x00007FF781400000-0x00007FF7817F1000-memory.dmp	xmrig
behavioral2/memory/3228-436-0x00007FF61C0E0000-0x00007FF61C4D1000-memory.dmp	xmrig
behavioral2/memory/1852-435-0x00007FF76A970000-0x00007FF76AD61000-memory.dmp	xmrig
behavioral2/memory/3040-452-0x00007FF6E6B20000-0x00007FF6E6F11000-memory.dmp	xmrig
behavioral2/memory/1020-459-0x00007FF65D9B0000-0x00007FF65DDA1000-memory.dmp	xmrig
behavioral2/memory/896-458-0x00007FF66CE10000-0x00007FF66D201000-memory.dmp	xmrig
behavioral2/memory/2364-448-0x00007FF68BEB0000-0x00007FF68C2A1000-memory.dmp	xmrig
behavioral2/memory/5060-446-0x00007FF744090000-0x00007FF744481000-memory.dmp	xmrig
behavioral2/memory/224-442-0x00007FF799EF0000-0x00007FF79A2E1000-memory.dmp	xmrig
behavioral2/memory/2232-466-0x00007FF72E160000-0x00007FF72E551000-memory.dmp	xmrig
behavioral2/memory/3900-41-0x00007FF75CD20000-0x00007FF75D111000-memory.dmp	xmrig
behavioral2/memory/3264-22-0x00007FF7EC4B0000-0x00007FF7EC8A1000-memory.dmp	xmrig
behavioral2/memory/4556-1691-0x00007FF71F2A0000-0x00007FF71F691000-memory.dmp	xmrig
behavioral2/memory/4036-1979-0x00007FF6778A0000-0x00007FF677C91000-memory.dmp	xmrig
behavioral2/memory/3988-1980-0x00007FF718DC0000-0x00007FF7191B1000-memory.dmp	xmrig
behavioral2/memory/3452-1981-0x00007FF6E00C0000-0x00007FF6E04B1000-memory.dmp	xmrig
behavioral2/memory/3900-1982-0x00007FF75CD20000-0x00007FF75D111000-memory.dmp	xmrig
behavioral2/memory/4728-2015-0x00007FF643C60000-0x00007FF644051000-memory.dmp	xmrig
behavioral2/memory/2112-2016-0x00007FF6DDEB0000-0x00007FF6DE2A1000-memory.dmp	xmrig
behavioral2/memory/4556-2018-0x00007FF71F2A0000-0x00007FF71F691000-memory.dmp	xmrig
behavioral2/memory/2668-2020-0x00007FF6C79E0000-0x00007FF6C7DD1000-memory.dmp	xmrig
behavioral2/memory/3700-2024-0x00007FF6CFF80000-0x00007FF6D0371000-memory.dmp	xmrig
behavioral2/memory/3264-2026-0x00007FF7EC4B0000-0x00007FF7EC8A1000-memory.dmp	xmrig
behavioral2/memory/3988-2030-0x00007FF718DC0000-0x00007FF7191B1000-memory.dmp	xmrig
behavioral2/memory/4036-2028-0x00007FF6778A0000-0x00007FF677C91000-memory.dmp	xmrig
behavioral2/memory/1388-2032-0x00007FF664D60000-0x00007FF665151000-memory.dmp	xmrig
behavioral2/memory/3900-2034-0x00007FF75CD20000-0x00007FF75D111000-memory.dmp	xmrig
behavioral2/memory/4488-2038-0x00007FF781400000-0x00007FF7817F1000-memory.dmp	xmrig
behavioral2/memory/5068-2044-0x00007FF685870000-0x00007FF685C61000-memory.dmp	xmrig
behavioral2/memory/4728-2052-0x00007FF643C60000-0x00007FF644051000-memory.dmp	xmrig
behavioral2/memory/2848-2050-0x00007FF7365B0000-0x00007FF7369A1000-memory.dmp	xmrig
behavioral2/memory/4416-2048-0x00007FF66A1B0000-0x00007FF66A5A1000-memory.dmp	xmrig
behavioral2/memory/3228-2046-0x00007FF61C0E0000-0x00007FF61C4D1000-memory.dmp	xmrig
behavioral2/memory/2668-2054-0x00007FF6C79E0000-0x00007FF6C7DD1000-memory.dmp	xmrig
behavioral2/memory/4576-2042-0x00007FF77D0E0000-0x00007FF77D4D1000-memory.dmp	xmrig
behavioral2/memory/1852-2040-0x00007FF76A970000-0x00007FF76AD61000-memory.dmp	xmrig
behavioral2/memory/3452-2036-0x00007FF6E00C0000-0x00007FF6E04B1000-memory.dmp	xmrig
behavioral2/memory/224-2060-0x00007FF799EF0000-0x00007FF79A2E1000-memory.dmp	xmrig
behavioral2/memory/5060-2058-0x00007FF744090000-0x00007FF744481000-memory.dmp	xmrig
behavioral2/memory/3040-2066-0x00007FF6E6B20000-0x00007FF6E6F11000-memory.dmp	xmrig
behavioral2/memory/2364-2056-0x00007FF68BEB0000-0x00007FF68C2A1000-memory.dmp	xmrig
behavioral2/memory/896-2064-0x00007FF66CE10000-0x00007FF66D201000-memory.dmp	xmrig
behavioral2/memory/1020-2068-0x00007FF65D9B0000-0x00007FF65DDA1000-memory.dmp	xmrig
behavioral2/memory/2232-2086-0x00007FF72E160000-0x00007FF72E551000-memory.dmp	xmrig
behavioral2/memory/2112-2194-0x00007FF6DDEB0000-0x00007FF6DE2A1000-memory.dmp	xmrig

Executes dropped EXE 64 IoCs

pid	Process
3700	swsXepg.exe
4036	gtEPSIC.exe
3264	czmgClZ.exe
3988	BpNlMHc.exe
1388	LHDKUWG.exe
3900	GKmyGLo.exe
3452	ThVVOUk.exe
4728	AOIXvVg.exe
2112	cgTDdAD.exe
2668	dAtHWHp.exe
2848	LfPfbRe.exe
4416	PxaJhjp.exe
5068	dIpSXMp.exe
4576	fcopWcx.exe
4488	VGnWWPd.exe
1852	ySJsLbd.exe
3228	YUDukfD.exe
224	SJZhyyZ.exe
5060	NDgYQjn.exe
2364	gbInYjE.exe
3040	ADsepAq.exe
896	JCTJelb.exe
1020	qzKaPjh.exe
2232	zTRwinU.exe
1608	yzbszCM.exe
4524	SklyzKe.exe
2448	CugAXMj.exe
552	xuUbAcE.exe
692	iLDysZz.exe
4200	yLitLqK.exe
4404	iHDXuVD.exe
3736	eBhSZkY.exe
1692	RojxhRU.exe
1948	uSzTdZm.exe
3732	jPabYYl.exe
3236	AgGAqZl.exe
3536	mYsQNIJ.exe
1744	gkcKrpW.exe
4424	CxogUpI.exe
2280	iObTwRT.exe
1828	VVChCWS.exe
4720	oDkmzdN.exe
3400	sqAMrWc.exe
4376	NAZDxTm.exe
4600	KuIYSnb.exe
1748	rmDZvvm.exe
1760	KsEDgfu.exe
2672	vmCnLrn.exe
3012	qRpMhyg.exe
1364	NOaaSZd.exe
3724	bovdtqk.exe
3016	xXoyxtr.exe
220	FTskoZD.exe
1680	UZRYBSl.exe
1064	kciZRTt.exe
4216	GnWgQfS.exe
2496	tutUSBN.exe
3464	LVxZCeC.exe
3116	ZXKERDd.exe
2020	NIeTuSi.exe
4444	FAnRJjR.exe
4220	JqglIZH.exe
2868	jVacVhV.exe
384	ncBsYeC.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/4556-0-0x00007FF71F2A0000-0x00007FF71F691000-memory.dmp	upx
behavioral2/files/0x000d000000023b73-4.dat	upx
behavioral2/files/0x000a000000023b7f-9.dat	upx
behavioral2/files/0x000b000000023b7b-10.dat	upx
behavioral2/files/0x000a000000023b80-21.dat	upx
behavioral2/files/0x000a000000023b81-30.dat	upx
behavioral2/files/0x000a000000023b82-35.dat	upx
behavioral2/memory/1388-39-0x00007FF664D60000-0x00007FF665151000-memory.dmp	upx
behavioral2/memory/3452-45-0x00007FF6E00C0000-0x00007FF6E04B1000-memory.dmp	upx
behavioral2/files/0x000a000000023b84-50.dat	upx
behavioral2/files/0x000a000000023b85-51.dat	upx
behavioral2/files/0x000a000000023b8a-80.dat	upx
behavioral2/files/0x000a000000023b8c-90.dat	upx
behavioral2/files/0x000a000000023b8e-100.dat	upx
behavioral2/files/0x000a000000023b90-111.dat	upx
behavioral2/files/0x000a000000023b93-123.dat	upx
behavioral2/files/0x000a000000023b95-135.dat	upx
behavioral2/files/0x000a000000023b97-145.dat	upx
behavioral2/files/0x000a000000023b9b-163.dat	upx
behavioral2/memory/4416-429-0x00007FF66A1B0000-0x00007FF66A5A1000-memory.dmp	upx
behavioral2/memory/2848-428-0x00007FF7365B0000-0x00007FF7369A1000-memory.dmp	upx
behavioral2/memory/5068-430-0x00007FF685870000-0x00007FF685C61000-memory.dmp	upx
behavioral2/memory/4576-431-0x00007FF77D0E0000-0x00007FF77D4D1000-memory.dmp	upx
behavioral2/memory/4488-432-0x00007FF781400000-0x00007FF7817F1000-memory.dmp	upx
behavioral2/memory/3228-436-0x00007FF61C0E0000-0x00007FF61C4D1000-memory.dmp	upx
behavioral2/memory/1852-435-0x00007FF76A970000-0x00007FF76AD61000-memory.dmp	upx
behavioral2/memory/3040-452-0x00007FF6E6B20000-0x00007FF6E6F11000-memory.dmp	upx
behavioral2/memory/1020-459-0x00007FF65D9B0000-0x00007FF65DDA1000-memory.dmp	upx
behavioral2/memory/896-458-0x00007FF66CE10000-0x00007FF66D201000-memory.dmp	upx
behavioral2/memory/2364-448-0x00007FF68BEB0000-0x00007FF68C2A1000-memory.dmp	upx
behavioral2/memory/5060-446-0x00007FF744090000-0x00007FF744481000-memory.dmp	upx
behavioral2/memory/224-442-0x00007FF799EF0000-0x00007FF79A2E1000-memory.dmp	upx
behavioral2/files/0x000a000000023b9c-170.dat	upx
behavioral2/memory/2232-466-0x00007FF72E160000-0x00007FF72E551000-memory.dmp	upx
behavioral2/files/0x000a000000023b9a-160.dat	upx
behavioral2/files/0x000a000000023b99-156.dat	upx
behavioral2/files/0x000a000000023b98-150.dat	upx
behavioral2/files/0x000a000000023b96-141.dat	upx
behavioral2/files/0x000a000000023b94-130.dat	upx
behavioral2/files/0x000a000000023b92-120.dat	upx
behavioral2/files/0x000a000000023b91-115.dat	upx
behavioral2/files/0x000a000000023b8f-106.dat	upx
behavioral2/files/0x000a000000023b8d-95.dat	upx
behavioral2/files/0x000a000000023b8b-86.dat	upx
behavioral2/files/0x000a000000023b89-75.dat	upx
behavioral2/files/0x000a000000023b88-70.dat	upx
behavioral2/files/0x000a000000023b87-65.dat	upx
behavioral2/memory/2668-62-0x00007FF6C79E0000-0x00007FF6C7DD1000-memory.dmp	upx
behavioral2/files/0x000a000000023b86-59.dat	upx
behavioral2/memory/2112-54-0x00007FF6DDEB0000-0x00007FF6DE2A1000-memory.dmp	upx
behavioral2/memory/4728-49-0x00007FF643C60000-0x00007FF644051000-memory.dmp	upx
behavioral2/files/0x000a000000023b83-46.dat	upx
behavioral2/memory/3900-41-0x00007FF75CD20000-0x00007FF75D111000-memory.dmp	upx
behavioral2/memory/3988-24-0x00007FF718DC0000-0x00007FF7191B1000-memory.dmp	upx
behavioral2/memory/3264-22-0x00007FF7EC4B0000-0x00007FF7EC8A1000-memory.dmp	upx
behavioral2/memory/4036-14-0x00007FF6778A0000-0x00007FF677C91000-memory.dmp	upx
behavioral2/memory/3700-8-0x00007FF6CFF80000-0x00007FF6D0371000-memory.dmp	upx
behavioral2/memory/4556-1691-0x00007FF71F2A0000-0x00007FF71F691000-memory.dmp	upx
behavioral2/memory/4036-1979-0x00007FF6778A0000-0x00007FF677C91000-memory.dmp	upx
behavioral2/memory/3988-1980-0x00007FF718DC0000-0x00007FF7191B1000-memory.dmp	upx
behavioral2/memory/3452-1981-0x00007FF6E00C0000-0x00007FF6E04B1000-memory.dmp	upx
behavioral2/memory/3900-1982-0x00007FF75CD20000-0x00007FF75D111000-memory.dmp	upx
behavioral2/memory/4728-2015-0x00007FF643C60000-0x00007FF644051000-memory.dmp	upx
behavioral2/memory/2112-2016-0x00007FF6DDEB0000-0x00007FF6DE2A1000-memory.dmp	upx

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\System32\kAEZBgP.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\rccbQbj.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\LVxZCeC.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\nbMAygI.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\RiNLbjq.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\XlEIKoN.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\iLDysZz.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\bovdtqk.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\GLcWmgl.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\yETsGPm.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\KoklcIK.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\FDEjINA.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\ZDhRlUw.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\WplqnkR.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\PneNsAA.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\SHjUpUg.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\dvTjZPs.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\gbInYjE.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\ZhdMcNt.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\gfketWV.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\XPiNQHX.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\eBhSZkY.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\MiUPYAX.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\CuUFooa.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\fTXIJOk.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\iSWwNbl.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\fcopWcx.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\aCIbzXP.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\fdDKjaz.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\GRJnaWB.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\jpThaCY.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\qvmLlAX.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\BnHvuNd.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\XFwAEmZ.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\QhEYRiZ.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\AeDJZEZ.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\lGeSDhj.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\LqigrTL.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\CgWXkcL.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\KmYHrpf.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\pzWiCHa.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\DbIRsqa.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\LiDguXx.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\hqBTxcn.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\ieSxaVs.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\pGFmDos.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\wYNWCHZ.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\fyyiQyd.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\iwUCkuv.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\kxfDuyJ.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\nqsxdwb.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\TUJWzET.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\roekuns.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\IzLQzuc.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\fdwQiVK.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\mIlbIhw.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\VVxfhJY.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\pkVtSYa.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\qHvJgRH.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\qcvJtlR.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\SiKcEjS.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\QjOlcQU.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\kAtPpIw.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe
File created	C:\Windows\System32\xuUbAcE.exe	48cf56c9979a18b79e1ea28939d71200_NEAS.exe

Checks SCSI registry key(s) 3 TTPs 6 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\HardwareID	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_QEMU&PROD_QEMU_DVD-ROM\4&215468A5&0&010000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_DADY&PROD_HARDDISK\4&215468A5&0&000000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\ConfigFlags	dwm.exe

Enumerates system info in registry 2 TTPs 2 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe

Modifies data under HKEY_USERS 18 IoCs

description	ioc	Process
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2a\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe

Suspicious use of AdjustPrivilegeToken 6 IoCs

description	pid	Process
Token: SeCreateGlobalPrivilege	2924	dwm.exe
Token: SeChangeNotifyPrivilege	2924	dwm.exe
Token: 33	2924	dwm.exe
Token: SeIncBasePriorityPrivilege	2924	dwm.exe
Token: SeShutdownPrivilege	2924	dwm.exe
Token: SeCreatePagefilePrivilege	2924	dwm.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 4556 wrote to memory of 3700	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	85
PID 4556 wrote to memory of 3700	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	85
PID 4556 wrote to memory of 4036	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	86
PID 4556 wrote to memory of 4036	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	86
PID 4556 wrote to memory of 3264	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	87
PID 4556 wrote to memory of 3264	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	87
PID 4556 wrote to memory of 3988	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	88
PID 4556 wrote to memory of 3988	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	88
PID 4556 wrote to memory of 1388	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	89
PID 4556 wrote to memory of 1388	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	89
PID 4556 wrote to memory of 3900	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	90
PID 4556 wrote to memory of 3900	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	90
PID 4556 wrote to memory of 3452	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	91
PID 4556 wrote to memory of 3452	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	91
PID 4556 wrote to memory of 4728	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	92
PID 4556 wrote to memory of 4728	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	92
PID 4556 wrote to memory of 2112	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	93
PID 4556 wrote to memory of 2112	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	93
PID 4556 wrote to memory of 2668	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	94
PID 4556 wrote to memory of 2668	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	94
PID 4556 wrote to memory of 2848	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	95
PID 4556 wrote to memory of 2848	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	95
PID 4556 wrote to memory of 4416	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	96
PID 4556 wrote to memory of 4416	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	96
PID 4556 wrote to memory of 5068	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	97
PID 4556 wrote to memory of 5068	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	97
PID 4556 wrote to memory of 4576	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	98
PID 4556 wrote to memory of 4576	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	98
PID 4556 wrote to memory of 4488	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	99
PID 4556 wrote to memory of 4488	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	99
PID 4556 wrote to memory of 1852	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	100
PID 4556 wrote to memory of 1852	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	100
PID 4556 wrote to memory of 3228	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	101
PID 4556 wrote to memory of 3228	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	101
PID 4556 wrote to memory of 224	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	102
PID 4556 wrote to memory of 224	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	102
PID 4556 wrote to memory of 5060	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	103
PID 4556 wrote to memory of 5060	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	103
PID 4556 wrote to memory of 2364	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	104
PID 4556 wrote to memory of 2364	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	104
PID 4556 wrote to memory of 3040	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	105
PID 4556 wrote to memory of 3040	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	105
PID 4556 wrote to memory of 896	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	106
PID 4556 wrote to memory of 896	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	106
PID 4556 wrote to memory of 1020	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	107
PID 4556 wrote to memory of 1020	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	107
PID 4556 wrote to memory of 2232	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	108
PID 4556 wrote to memory of 2232	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	108
PID 4556 wrote to memory of 1608	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	109
PID 4556 wrote to memory of 1608	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	109
PID 4556 wrote to memory of 4524	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	110
PID 4556 wrote to memory of 4524	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	110
PID 4556 wrote to memory of 2448	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	111
PID 4556 wrote to memory of 2448	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	111
PID 4556 wrote to memory of 552	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	112
PID 4556 wrote to memory of 552	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	112
PID 4556 wrote to memory of 692	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	113
PID 4556 wrote to memory of 692	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	113
PID 4556 wrote to memory of 4200	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	114
PID 4556 wrote to memory of 4200	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	114
PID 4556 wrote to memory of 4404	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	115
PID 4556 wrote to memory of 4404	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	115
PID 4556 wrote to memory of 3736	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	116
PID 4556 wrote to memory of 3736	4556	48cf56c9979a18b79e1ea28939d71200_NEAS.exe	116

C:\Users\Admin\AppData\Local\Temp\48cf56c9979a18b79e1ea28939d71200_NEAS.exe
"C:\Users\Admin\AppData\Local\Temp\48cf56c9979a18b79e1ea28939d71200_NEAS.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:4556
- C:\Windows\System32\swsXepg.exe
  C:\Windows\System32\swsXepg.exe
  2⤵
  - Executes dropped EXE
  PID:3700
- C:\Windows\System32\gtEPSIC.exe
  C:\Windows\System32\gtEPSIC.exe
  2⤵
  - Executes dropped EXE
  PID:4036
- C:\Windows\System32\czmgClZ.exe
  C:\Windows\System32\czmgClZ.exe
  2⤵
  - Executes dropped EXE
  PID:3264
- C:\Windows\System32\BpNlMHc.exe
  C:\Windows\System32\BpNlMHc.exe
  2⤵
  - Executes dropped EXE
  PID:3988
- C:\Windows\System32\LHDKUWG.exe
  C:\Windows\System32\LHDKUWG.exe
  2⤵
  - Executes dropped EXE
  PID:1388
- C:\Windows\System32\GKmyGLo.exe
  C:\Windows\System32\GKmyGLo.exe
  2⤵
  - Executes dropped EXE
  PID:3900
- C:\Windows\System32\ThVVOUk.exe
  C:\Windows\System32\ThVVOUk.exe
  2⤵
  - Executes dropped EXE
  PID:3452
- C:\Windows\System32\AOIXvVg.exe
  C:\Windows\System32\AOIXvVg.exe
  2⤵
  - Executes dropped EXE
  PID:4728
- C:\Windows\System32\cgTDdAD.exe
  C:\Windows\System32\cgTDdAD.exe
  2⤵
  - Executes dropped EXE
  PID:2112
- C:\Windows\System32\dAtHWHp.exe
  C:\Windows\System32\dAtHWHp.exe
  2⤵
  - Executes dropped EXE
  PID:2668
- C:\Windows\System32\LfPfbRe.exe
  C:\Windows\System32\LfPfbRe.exe
  2⤵
  - Executes dropped EXE
  PID:2848
- C:\Windows\System32\PxaJhjp.exe
  C:\Windows\System32\PxaJhjp.exe
  2⤵
  - Executes dropped EXE
  PID:4416
- C:\Windows\System32\dIpSXMp.exe
  C:\Windows\System32\dIpSXMp.exe
  2⤵
  - Executes dropped EXE
  PID:5068
- C:\Windows\System32\fcopWcx.exe
  C:\Windows\System32\fcopWcx.exe
  2⤵
  - Executes dropped EXE
  PID:4576
- C:\Windows\System32\VGnWWPd.exe
  C:\Windows\System32\VGnWWPd.exe
  2⤵
  - Executes dropped EXE
  PID:4488
- C:\Windows\System32\ySJsLbd.exe
  C:\Windows\System32\ySJsLbd.exe
  2⤵
  - Executes dropped EXE
  PID:1852
- C:\Windows\System32\YUDukfD.exe
  C:\Windows\System32\YUDukfD.exe
  2⤵
  - Executes dropped EXE
  PID:3228
- C:\Windows\System32\SJZhyyZ.exe
  C:\Windows\System32\SJZhyyZ.exe
  2⤵
  - Executes dropped EXE
  PID:224
- C:\Windows\System32\NDgYQjn.exe
  C:\Windows\System32\NDgYQjn.exe
  2⤵
  - Executes dropped EXE
  PID:5060
- C:\Windows\System32\gbInYjE.exe
  C:\Windows\System32\gbInYjE.exe
  2⤵
  - Executes dropped EXE
  PID:2364
- C:\Windows\System32\ADsepAq.exe
  C:\Windows\System32\ADsepAq.exe
  2⤵
  - Executes dropped EXE
  PID:3040
- C:\Windows\System32\JCTJelb.exe
  C:\Windows\System32\JCTJelb.exe
  2⤵
  - Executes dropped EXE
  PID:896
- C:\Windows\System32\qzKaPjh.exe
  C:\Windows\System32\qzKaPjh.exe
  2⤵
  - Executes dropped EXE
  PID:1020
- C:\Windows\System32\zTRwinU.exe
  C:\Windows\System32\zTRwinU.exe
  2⤵
  - Executes dropped EXE
  PID:2232
- C:\Windows\System32\yzbszCM.exe
  C:\Windows\System32\yzbszCM.exe
  2⤵
  - Executes dropped EXE
  PID:1608
- C:\Windows\System32\SklyzKe.exe
  C:\Windows\System32\SklyzKe.exe
  2⤵
  - Executes dropped EXE
  PID:4524
- C:\Windows\System32\CugAXMj.exe
  C:\Windows\System32\CugAXMj.exe
  2⤵
  - Executes dropped EXE
  PID:2448
- C:\Windows\System32\xuUbAcE.exe
  C:\Windows\System32\xuUbAcE.exe
  2⤵
  - Executes dropped EXE
  PID:552
- C:\Windows\System32\iLDysZz.exe
  C:\Windows\System32\iLDysZz.exe
  2⤵
  - Executes dropped EXE
  PID:692
- C:\Windows\System32\yLitLqK.exe
  C:\Windows\System32\yLitLqK.exe
  2⤵
  - Executes dropped EXE
  PID:4200
- C:\Windows\System32\iHDXuVD.exe
  C:\Windows\System32\iHDXuVD.exe
  2⤵
  - Executes dropped EXE
  PID:4404
- C:\Windows\System32\eBhSZkY.exe
  C:\Windows\System32\eBhSZkY.exe
  2⤵
  - Executes dropped EXE
  PID:3736
- C:\Windows\System32\RojxhRU.exe
  C:\Windows\System32\RojxhRU.exe
  2⤵
  - Executes dropped EXE
  PID:1692
- C:\Windows\System32\uSzTdZm.exe
  C:\Windows\System32\uSzTdZm.exe
  2⤵
  - Executes dropped EXE
  PID:1948
- C:\Windows\System32\jPabYYl.exe
  C:\Windows\System32\jPabYYl.exe
  2⤵
  - Executes dropped EXE
  PID:3732
- C:\Windows\System32\AgGAqZl.exe
  C:\Windows\System32\AgGAqZl.exe
  2⤵
  - Executes dropped EXE
  PID:3236
- C:\Windows\System32\mYsQNIJ.exe
  C:\Windows\System32\mYsQNIJ.exe
  2⤵
  - Executes dropped EXE
  PID:3536
- C:\Windows\System32\gkcKrpW.exe
  C:\Windows\System32\gkcKrpW.exe
  2⤵
  - Executes dropped EXE
  PID:1744
- C:\Windows\System32\CxogUpI.exe
  C:\Windows\System32\CxogUpI.exe
  2⤵
  - Executes dropped EXE
  PID:4424
- C:\Windows\System32\iObTwRT.exe
  C:\Windows\System32\iObTwRT.exe
  2⤵
  - Executes dropped EXE
  PID:2280
- C:\Windows\System32\VVChCWS.exe
  C:\Windows\System32\VVChCWS.exe
  2⤵
  - Executes dropped EXE
  PID:1828
- C:\Windows\System32\oDkmzdN.exe
  C:\Windows\System32\oDkmzdN.exe
  2⤵
  - Executes dropped EXE
  PID:4720
- C:\Windows\System32\sqAMrWc.exe
  C:\Windows\System32\sqAMrWc.exe
  2⤵
  - Executes dropped EXE
  PID:3400
- C:\Windows\System32\NAZDxTm.exe
  C:\Windows\System32\NAZDxTm.exe
  2⤵
  - Executes dropped EXE
  PID:4376
- C:\Windows\System32\KuIYSnb.exe
  C:\Windows\System32\KuIYSnb.exe
  2⤵
  - Executes dropped EXE
  PID:4600
- C:\Windows\System32\rmDZvvm.exe
  C:\Windows\System32\rmDZvvm.exe
  2⤵
  - Executes dropped EXE
  PID:1748
- C:\Windows\System32\KsEDgfu.exe
  C:\Windows\System32\KsEDgfu.exe
  2⤵
  - Executes dropped EXE
  PID:1760
- C:\Windows\System32\vmCnLrn.exe
  C:\Windows\System32\vmCnLrn.exe
  2⤵
  - Executes dropped EXE
  PID:2672
- C:\Windows\System32\qRpMhyg.exe
  C:\Windows\System32\qRpMhyg.exe
  2⤵
  - Executes dropped EXE
  PID:3012
- C:\Windows\System32\NOaaSZd.exe
  C:\Windows\System32\NOaaSZd.exe
  2⤵
  - Executes dropped EXE
  PID:1364
- C:\Windows\System32\bovdtqk.exe
  C:\Windows\System32\bovdtqk.exe
  2⤵
  - Executes dropped EXE
  PID:3724
- C:\Windows\System32\xXoyxtr.exe
  C:\Windows\System32\xXoyxtr.exe
  2⤵
  - Executes dropped EXE
  PID:3016
- C:\Windows\System32\FTskoZD.exe
  C:\Windows\System32\FTskoZD.exe
  2⤵
  - Executes dropped EXE
  PID:220
- C:\Windows\System32\UZRYBSl.exe
  C:\Windows\System32\UZRYBSl.exe
  2⤵
  - Executes dropped EXE
  PID:1680
- C:\Windows\System32\kciZRTt.exe
  C:\Windows\System32\kciZRTt.exe
  2⤵
  - Executes dropped EXE
  PID:1064
- C:\Windows\System32\GnWgQfS.exe
  C:\Windows\System32\GnWgQfS.exe
  2⤵
  - Executes dropped EXE
  PID:4216
- C:\Windows\System32\tutUSBN.exe
  C:\Windows\System32\tutUSBN.exe
  2⤵
  - Executes dropped EXE
  PID:2496
- C:\Windows\System32\LVxZCeC.exe
  C:\Windows\System32\LVxZCeC.exe
  2⤵
  - Executes dropped EXE
  PID:3464
- C:\Windows\System32\ZXKERDd.exe
  C:\Windows\System32\ZXKERDd.exe
  2⤵
  - Executes dropped EXE
  PID:3116
- C:\Windows\System32\NIeTuSi.exe
  C:\Windows\System32\NIeTuSi.exe
  2⤵
  - Executes dropped EXE
  PID:2020
- C:\Windows\System32\FAnRJjR.exe
  C:\Windows\System32\FAnRJjR.exe
  2⤵
  - Executes dropped EXE
  PID:4444
- C:\Windows\System32\JqglIZH.exe
  C:\Windows\System32\JqglIZH.exe
  2⤵
  - Executes dropped EXE
  PID:4220
- C:\Windows\System32\jVacVhV.exe
  C:\Windows\System32\jVacVhV.exe
  2⤵
  - Executes dropped EXE
  PID:2868
- C:\Windows\System32\ncBsYeC.exe
  C:\Windows\System32\ncBsYeC.exe
  2⤵
  - Executes dropped EXE
  PID:384
- C:\Windows\System32\KmYHrpf.exe
  C:\Windows\System32\KmYHrpf.exe
  2⤵
  PID:3200
- C:\Windows\System32\jHaWUsO.exe
  C:\Windows\System32\jHaWUsO.exe
  2⤵
  PID:1944
- C:\Windows\System32\OHyozSh.exe
  C:\Windows\System32\OHyozSh.exe
  2⤵
  PID:3692
- C:\Windows\System32\qUdnwaQ.exe
  C:\Windows\System32\qUdnwaQ.exe
  2⤵
  PID:2100
- C:\Windows\System32\DAMjZsA.exe
  C:\Windows\System32\DAMjZsA.exe
  2⤵
  PID:1824
- C:\Windows\System32\SNumwDi.exe
  C:\Windows\System32\SNumwDi.exe
  2⤵
  PID:2596
- C:\Windows\System32\CVFqNAS.exe
  C:\Windows\System32\CVFqNAS.exe
  2⤵
  PID:1652
- C:\Windows\System32\TVIiXTw.exe
  C:\Windows\System32\TVIiXTw.exe
  2⤵
  PID:3240
- C:\Windows\System32\XkkJEVI.exe
  C:\Windows\System32\XkkJEVI.exe
  2⤵
  PID:1048
- C:\Windows\System32\pzWiCHa.exe
  C:\Windows\System32\pzWiCHa.exe
  2⤵
  PID:5136
- C:\Windows\System32\UADmXlJ.exe
  C:\Windows\System32\UADmXlJ.exe
  2⤵
  PID:5164
- C:\Windows\System32\jptBUWd.exe
  C:\Windows\System32\jptBUWd.exe
  2⤵
  PID:5192
- C:\Windows\System32\bAuQZVJ.exe
  C:\Windows\System32\bAuQZVJ.exe
  2⤵
  PID:5220
- C:\Windows\System32\LvnOoXA.exe
  C:\Windows\System32\LvnOoXA.exe
  2⤵
  PID:5248
- C:\Windows\System32\nJdPwdJ.exe
  C:\Windows\System32\nJdPwdJ.exe
  2⤵
  PID:5280
- C:\Windows\System32\RrIgVKR.exe
  C:\Windows\System32\RrIgVKR.exe
  2⤵
  PID:5304
- C:\Windows\System32\iprbXAC.exe
  C:\Windows\System32\iprbXAC.exe
  2⤵
  PID:5328
- C:\Windows\System32\yFUcWyK.exe
  C:\Windows\System32\yFUcWyK.exe
  2⤵
  PID:5360
- C:\Windows\System32\voWuMpX.exe
  C:\Windows\System32\voWuMpX.exe
  2⤵
  PID:5392
- C:\Windows\System32\IrOQnlu.exe
  C:\Windows\System32\IrOQnlu.exe
  2⤵
  PID:5412
- C:\Windows\System32\ggAdueA.exe
  C:\Windows\System32\ggAdueA.exe
  2⤵
  PID:5444
- C:\Windows\System32\RYvVGKF.exe
  C:\Windows\System32\RYvVGKF.exe
  2⤵
  PID:5472
- C:\Windows\System32\nfaxkhZ.exe
  C:\Windows\System32\nfaxkhZ.exe
  2⤵
  PID:5500
- C:\Windows\System32\mIlbIhw.exe
  C:\Windows\System32\mIlbIhw.exe
  2⤵
  PID:5528
- C:\Windows\System32\CGVoHoL.exe
  C:\Windows\System32\CGVoHoL.exe
  2⤵
  PID:5552
- C:\Windows\System32\QNvWNzg.exe
  C:\Windows\System32\QNvWNzg.exe
  2⤵
  PID:5584
- C:\Windows\System32\VVxfhJY.exe
  C:\Windows\System32\VVxfhJY.exe
  2⤵
  PID:5612
- C:\Windows\System32\CxLEMSx.exe
  C:\Windows\System32\CxLEMSx.exe
  2⤵
  PID:5644
- C:\Windows\System32\BrYMgdk.exe
  C:\Windows\System32\BrYMgdk.exe
  2⤵
  PID:5664
- C:\Windows\System32\ziyYIwy.exe
  C:\Windows\System32\ziyYIwy.exe
  2⤵
  PID:5696
- C:\Windows\System32\INZqJdG.exe
  C:\Windows\System32\INZqJdG.exe
  2⤵
  PID:5728
- C:\Windows\System32\SbvkSuo.exe
  C:\Windows\System32\SbvkSuo.exe
  2⤵
  PID:5752
- C:\Windows\System32\OWMBatZ.exe
  C:\Windows\System32\OWMBatZ.exe
  2⤵
  PID:5780
- C:\Windows\System32\RlQwcXV.exe
  C:\Windows\System32\RlQwcXV.exe
  2⤵
  PID:5804
- C:\Windows\System32\BohoySJ.exe
  C:\Windows\System32\BohoySJ.exe
  2⤵
  PID:5836
- C:\Windows\System32\YScSCkn.exe
  C:\Windows\System32\YScSCkn.exe
  2⤵
  PID:5864
- C:\Windows\System32\sbmYAXN.exe
  C:\Windows\System32\sbmYAXN.exe
  2⤵
  PID:5892
- C:\Windows\System32\TfVJJdB.exe
  C:\Windows\System32\TfVJJdB.exe
  2⤵
  PID:5924
- C:\Windows\System32\NifvxnX.exe
  C:\Windows\System32\NifvxnX.exe
  2⤵
  PID:5944
- C:\Windows\System32\NyyrNRC.exe
  C:\Windows\System32\NyyrNRC.exe
  2⤵
  PID:5976
- C:\Windows\System32\lGeSDhj.exe
  C:\Windows\System32\lGeSDhj.exe
  2⤵
  PID:6004
- C:\Windows\System32\LEFVepb.exe
  C:\Windows\System32\LEFVepb.exe
  2⤵
  PID:6032
- C:\Windows\System32\jVpeOGw.exe
  C:\Windows\System32\jVpeOGw.exe
  2⤵
  PID:6060
- C:\Windows\System32\CKfJZRz.exe
  C:\Windows\System32\CKfJZRz.exe
  2⤵
  PID:6088
- C:\Windows\System32\fyDPhSO.exe
  C:\Windows\System32\fyDPhSO.exe
  2⤵
  PID:6112
- C:\Windows\System32\UzuUTFO.exe
  C:\Windows\System32\UzuUTFO.exe
  2⤵
  PID:400
- C:\Windows\System32\qKIRKOQ.exe
  C:\Windows\System32\qKIRKOQ.exe
  2⤵
  PID:1900
- C:\Windows\System32\gFZyQel.exe
  C:\Windows\System32\gFZyQel.exe
  2⤵
  PID:2172
- C:\Windows\System32\oNKdfgh.exe
  C:\Windows\System32\oNKdfgh.exe
  2⤵
  PID:4360
- C:\Windows\System32\ZeXKTXN.exe
  C:\Windows\System32\ZeXKTXN.exe
  2⤵
  PID:2124
- C:\Windows\System32\oVHwuGb.exe
  C:\Windows\System32\oVHwuGb.exe
  2⤵
  PID:5144
- C:\Windows\System32\MiUPYAX.exe
  C:\Windows\System32\MiUPYAX.exe
  2⤵
  PID:5212
- C:\Windows\System32\HOFqUyW.exe
  C:\Windows\System32\HOFqUyW.exe
  2⤵
  PID:5292
- C:\Windows\System32\AOapcoF.exe
  C:\Windows\System32\AOapcoF.exe
  2⤵
  PID:3232
- C:\Windows\System32\CIKKnsB.exe
  C:\Windows\System32\CIKKnsB.exe
  2⤵
  PID:5508
- C:\Windows\System32\aYcYjqp.exe
  C:\Windows\System32\aYcYjqp.exe
  2⤵
  PID:5568
- C:\Windows\System32\WXWjMSU.exe
  C:\Windows\System32\WXWjMSU.exe
  2⤵
  PID:5680
- C:\Windows\System32\rQAELqm.exe
  C:\Windows\System32\rQAELqm.exe
  2⤵
  PID:5736
- C:\Windows\System32\CAUjrfH.exe
  C:\Windows\System32\CAUjrfH.exe
  2⤵
  PID:5800
- C:\Windows\System32\QFofAOA.exe
  C:\Windows\System32\QFofAOA.exe
  2⤵
  PID:5844
- C:\Windows\System32\zdmUGRY.exe
  C:\Windows\System32\zdmUGRY.exe
  2⤵
  PID:5940
- C:\Windows\System32\YXbifZE.exe
  C:\Windows\System32\YXbifZE.exe
  2⤵
  PID:6076
- C:\Windows\System32\xKizcRW.exe
  C:\Windows\System32\xKizcRW.exe
  2⤵
  PID:6132
- C:\Windows\System32\QInOcLo.exe
  C:\Windows\System32\QInOcLo.exe
  2⤵
  PID:3516
- C:\Windows\System32\qrTjwea.exe
  C:\Windows\System32\qrTjwea.exe
  2⤵
  PID:3076
- C:\Windows\System32\KmaYMkE.exe
  C:\Windows\System32\KmaYMkE.exe
  2⤵
  PID:5056
- C:\Windows\System32\kxfDuyJ.exe
  C:\Windows\System32\kxfDuyJ.exe
  2⤵
  PID:2260
- C:\Windows\System32\GGRQbHR.exe
  C:\Windows\System32\GGRQbHR.exe
  2⤵
  PID:5128
- C:\Windows\System32\rROiTSQ.exe
  C:\Windows\System32\rROiTSQ.exe
  2⤵
  PID:5264
- C:\Windows\System32\IfUBWgE.exe
  C:\Windows\System32\IfUBWgE.exe
  2⤵
  PID:5288
- C:\Windows\System32\vYTDnxt.exe
  C:\Windows\System32\vYTDnxt.exe
  2⤵
  PID:5368
- C:\Windows\System32\xxJMhoe.exe
  C:\Windows\System32\xxJMhoe.exe
  2⤵
  PID:1424
- C:\Windows\System32\ASTUqOb.exe
  C:\Windows\System32\ASTUqOb.exe
  2⤵
  PID:364
- C:\Windows\System32\RiNLbjq.exe
  C:\Windows\System32\RiNLbjq.exe
  2⤵
  PID:4732
- C:\Windows\System32\xyAIlUn.exe
  C:\Windows\System32\xyAIlUn.exe
  2⤵
  PID:5488
- C:\Windows\System32\IXmcCaq.exe
  C:\Windows\System32\IXmcCaq.exe
  2⤵
  PID:3272
- C:\Windows\System32\QwDZmBP.exe
  C:\Windows\System32\QwDZmBP.exe
  2⤵
  PID:5632
- C:\Windows\System32\FdtTvIM.exe
  C:\Windows\System32\FdtTvIM.exe
  2⤵
  PID:5672
- C:\Windows\System32\zXqFWxd.exe
  C:\Windows\System32\zXqFWxd.exe
  2⤵
  PID:5744
- C:\Windows\System32\gFDPYxs.exe
  C:\Windows\System32\gFDPYxs.exe
  2⤵
  PID:5856
- C:\Windows\System32\rFlddaG.exe
  C:\Windows\System32\rFlddaG.exe
  2⤵
  PID:5600
- C:\Windows\System32\SObpTlZ.exe
  C:\Windows\System32\SObpTlZ.exe
  2⤵
  PID:5432
- C:\Windows\System32\gNZuTvQ.exe
  C:\Windows\System32\gNZuTvQ.exe
  2⤵
  PID:2756
- C:\Windows\System32\SOnpyJh.exe
  C:\Windows\System32\SOnpyJh.exe
  2⤵
  PID:5152
- C:\Windows\System32\fyyiQyd.exe
  C:\Windows\System32\fyyiQyd.exe
  2⤵
  PID:4448
- C:\Windows\System32\vVhCRcj.exe
  C:\Windows\System32\vVhCRcj.exe
  2⤵
  PID:808
- C:\Windows\System32\ZhdMcNt.exe
  C:\Windows\System32\ZhdMcNt.exe
  2⤵
  PID:2016
- C:\Windows\System32\ydebfaL.exe
  C:\Windows\System32\ydebfaL.exe
  2⤵
  PID:5480
- C:\Windows\System32\JohhQYL.exe
  C:\Windows\System32\JohhQYL.exe
  2⤵
  PID:2832
- C:\Windows\System32\evmPZXS.exe
  C:\Windows\System32\evmPZXS.exe
  2⤵
  PID:5900
- C:\Windows\System32\cZLeRUr.exe
  C:\Windows\System32\cZLeRUr.exe
  2⤵
  PID:5404
- C:\Windows\System32\JwpCZAj.exe
  C:\Windows\System32\JwpCZAj.exe
  2⤵
  PID:2644
- C:\Windows\System32\TFWZGJH.exe
  C:\Windows\System32\TFWZGJH.exe
  2⤵
  PID:3688
- C:\Windows\System32\zxhLEqn.exe
  C:\Windows\System32\zxhLEqn.exe
  2⤵
  PID:5724
- C:\Windows\System32\QtpITai.exe
  C:\Windows\System32\QtpITai.exe
  2⤵
  PID:5312
- C:\Windows\System32\ttJlKzq.exe
  C:\Windows\System32\ttJlKzq.exe
  2⤵
  PID:1772
- C:\Windows\System32\NzQCvvu.exe
  C:\Windows\System32\NzQCvvu.exe
  2⤵
  PID:5656
- C:\Windows\System32\vdyHFIn.exe
  C:\Windows\System32\vdyHFIn.exe
  2⤵
  PID:6192
- C:\Windows\System32\nbMAygI.exe
  C:\Windows\System32\nbMAygI.exe
  2⤵
  PID:6208
- C:\Windows\System32\mEEMVJi.exe
  C:\Windows\System32\mEEMVJi.exe
  2⤵
  PID:6248
- C:\Windows\System32\hrcGZof.exe
  C:\Windows\System32\hrcGZof.exe
  2⤵
  PID:6268
- C:\Windows\System32\vlZVTzO.exe
  C:\Windows\System32\vlZVTzO.exe
  2⤵
  PID:6296
- C:\Windows\System32\nSlnZLi.exe
  C:\Windows\System32\nSlnZLi.exe
  2⤵
  PID:6312
- C:\Windows\System32\rOFBsDT.exe
  C:\Windows\System32\rOFBsDT.exe
  2⤵
  PID:6332
- C:\Windows\System32\zmQjTRa.exe
  C:\Windows\System32\zmQjTRa.exe
  2⤵
  PID:6352
- C:\Windows\System32\EGExyAY.exe
  C:\Windows\System32\EGExyAY.exe
  2⤵
  PID:6384
- C:\Windows\System32\SWuzTkj.exe
  C:\Windows\System32\SWuzTkj.exe
  2⤵
  PID:6408
- C:\Windows\System32\MCvLunk.exe
  C:\Windows\System32\MCvLunk.exe
  2⤵
  PID:6424
- C:\Windows\System32\lPqlufI.exe
  C:\Windows\System32\lPqlufI.exe
  2⤵
  PID:6460
- C:\Windows\System32\WTwbfAq.exe
  C:\Windows\System32\WTwbfAq.exe
  2⤵
  PID:6480
- C:\Windows\System32\JryzQKm.exe
  C:\Windows\System32\JryzQKm.exe
  2⤵
  PID:6516
- C:\Windows\System32\VeAjaHt.exe
  C:\Windows\System32\VeAjaHt.exe
  2⤵
  PID:6572
- C:\Windows\System32\vVOvFHH.exe
  C:\Windows\System32\vVOvFHH.exe
  2⤵
  PID:6604
- C:\Windows\System32\ZDhRlUw.exe
  C:\Windows\System32\ZDhRlUw.exe
  2⤵
  PID:6620
- C:\Windows\System32\ljURhZs.exe
  C:\Windows\System32\ljURhZs.exe
  2⤵
  PID:6648
- C:\Windows\System32\xNWoysI.exe
  C:\Windows\System32\xNWoysI.exe
  2⤵
  PID:6664
- C:\Windows\System32\BzCaams.exe
  C:\Windows\System32\BzCaams.exe
  2⤵
  PID:6684
- C:\Windows\System32\AHBGbni.exe
  C:\Windows\System32\AHBGbni.exe
  2⤵
  PID:6720
- C:\Windows\System32\QhEYRiZ.exe
  C:\Windows\System32\QhEYRiZ.exe
  2⤵
  PID:6736
- C:\Windows\System32\JCzmjFc.exe
  C:\Windows\System32\JCzmjFc.exe
  2⤵
  PID:6756
- C:\Windows\System32\hntuCBA.exe
  C:\Windows\System32\hntuCBA.exe
  2⤵
  PID:6792
- C:\Windows\System32\jpThaCY.exe
  C:\Windows\System32\jpThaCY.exe
  2⤵
  PID:6812
- C:\Windows\System32\XHuEKCA.exe
  C:\Windows\System32\XHuEKCA.exe
  2⤵
  PID:6832
- C:\Windows\System32\XVmCCDu.exe
  C:\Windows\System32\XVmCCDu.exe
  2⤵
  PID:6848
- C:\Windows\System32\pDWBYiP.exe
  C:\Windows\System32\pDWBYiP.exe
  2⤵
  PID:6872
- C:\Windows\System32\MfRTVDF.exe
  C:\Windows\System32\MfRTVDF.exe
  2⤵
  PID:6892
- C:\Windows\System32\XCQyqPx.exe
  C:\Windows\System32\XCQyqPx.exe
  2⤵
  PID:6912
- C:\Windows\System32\ZZpObIL.exe
  C:\Windows\System32\ZZpObIL.exe
  2⤵
  PID:6936
- C:\Windows\System32\rskYdoS.exe
  C:\Windows\System32\rskYdoS.exe
  2⤵
  PID:6956
- C:\Windows\System32\oXpkCnO.exe
  C:\Windows\System32\oXpkCnO.exe
  2⤵
  PID:6972
- C:\Windows\System32\ywcEuZa.exe
  C:\Windows\System32\ywcEuZa.exe
  2⤵
  PID:7008
- C:\Windows\System32\WDWbTwS.exe
  C:\Windows\System32\WDWbTwS.exe
  2⤵
  PID:7024
- C:\Windows\System32\ikcPDDs.exe
  C:\Windows\System32\ikcPDDs.exe
  2⤵
  PID:7056
- C:\Windows\System32\TFBdcGP.exe
  C:\Windows\System32\TFBdcGP.exe
  2⤵
  PID:7132
- C:\Windows\System32\BOkVBsB.exe
  C:\Windows\System32\BOkVBsB.exe
  2⤵
  PID:7164
- C:\Windows\System32\TqmThMf.exe
  C:\Windows\System32\TqmThMf.exe
  2⤵
  PID:6148
- C:\Windows\System32\yIJDwxu.exe
  C:\Windows\System32\yIJDwxu.exe
  2⤵
  PID:6260
- C:\Windows\System32\QfPbqpE.exe
  C:\Windows\System32\QfPbqpE.exe
  2⤵
  PID:6372
- C:\Windows\System32\FtmYwyD.exe
  C:\Windows\System32\FtmYwyD.exe
  2⤵
  PID:6420
- C:\Windows\System32\fZqwUwv.exe
  C:\Windows\System32\fZqwUwv.exe
  2⤵
  PID:6544
- C:\Windows\System32\hqZQLgE.exe
  C:\Windows\System32\hqZQLgE.exe
  2⤵
  PID:6660
- C:\Windows\System32\UjiEBZd.exe
  C:\Windows\System32\UjiEBZd.exe
  2⤵
  PID:6628
- C:\Windows\System32\kkGyXmV.exe
  C:\Windows\System32\kkGyXmV.exe
  2⤵
  PID:6700
- C:\Windows\System32\HIqjFCC.exe
  C:\Windows\System32\HIqjFCC.exe
  2⤵
  PID:6800
- C:\Windows\System32\ckOivSC.exe
  C:\Windows\System32\ckOivSC.exe
  2⤵
  PID:6888
- C:\Windows\System32\xoDdKIb.exe
  C:\Windows\System32\xoDdKIb.exe
  2⤵
  PID:6908
- C:\Windows\System32\gngUWfB.exe
  C:\Windows\System32\gngUWfB.exe
  2⤵
  PID:6920
- C:\Windows\System32\NgiGQqg.exe
  C:\Windows\System32\NgiGQqg.exe
  2⤵
  PID:6988
- C:\Windows\System32\PJrWomk.exe
  C:\Windows\System32\PJrWomk.exe
  2⤵
  PID:7004
- C:\Windows\System32\LlCjLAe.exe
  C:\Windows\System32\LlCjLAe.exe
  2⤵
  PID:1080
- C:\Windows\System32\sLzkoNO.exe
  C:\Windows\System32\sLzkoNO.exe
  2⤵
  PID:6216
- C:\Windows\System32\ZwwiECw.exe
  C:\Windows\System32\ZwwiECw.exe
  2⤵
  PID:6488
- C:\Windows\System32\EWfGMNr.exe
  C:\Windows\System32\EWfGMNr.exe
  2⤵
  PID:6592
- C:\Windows\System32\neCgWeq.exe
  C:\Windows\System32\neCgWeq.exe
  2⤵
  PID:6752
- C:\Windows\System32\HumCzHp.exe
  C:\Windows\System32\HumCzHp.exe
  2⤵
  PID:6948
- C:\Windows\System32\ipuAdsF.exe
  C:\Windows\System32\ipuAdsF.exe
  2⤵
  PID:6864
- C:\Windows\System32\hUELRYc.exe
  C:\Windows\System32\hUELRYc.exe
  2⤵
  PID:7016
- C:\Windows\System32\vSjKEat.exe
  C:\Windows\System32\vSjKEat.exe
  2⤵
  PID:6676
- C:\Windows\System32\mZInNwn.exe
  C:\Windows\System32\mZInNwn.exe
  2⤵
  PID:7140
- C:\Windows\System32\QpIMrzj.exe
  C:\Windows\System32\QpIMrzj.exe
  2⤵
  PID:6364
- C:\Windows\System32\NrPqHBN.exe
  C:\Windows\System32\NrPqHBN.exe
  2⤵
  PID:7184
- C:\Windows\System32\dGkgvUo.exe
  C:\Windows\System32\dGkgvUo.exe
  2⤵
  PID:7200
- C:\Windows\System32\RqLqXQt.exe
  C:\Windows\System32\RqLqXQt.exe
  2⤵
  PID:7224
- C:\Windows\System32\KxnKczp.exe
  C:\Windows\System32\KxnKczp.exe
  2⤵
  PID:7240
- C:\Windows\System32\SEHNkRz.exe
  C:\Windows\System32\SEHNkRz.exe
  2⤵
  PID:7260
- C:\Windows\System32\KGkJBuD.exe
  C:\Windows\System32\KGkJBuD.exe
  2⤵
  PID:7280
- C:\Windows\System32\eiFmBcK.exe
  C:\Windows\System32\eiFmBcK.exe
  2⤵
  PID:7304
- C:\Windows\System32\BUgFlRA.exe
  C:\Windows\System32\BUgFlRA.exe
  2⤵
  PID:7320
- C:\Windows\System32\WxSMruZ.exe
  C:\Windows\System32\WxSMruZ.exe
  2⤵
  PID:7348
- C:\Windows\System32\OOjgUSg.exe
  C:\Windows\System32\OOjgUSg.exe
  2⤵
  PID:7392
- C:\Windows\System32\gfketWV.exe
  C:\Windows\System32\gfketWV.exe
  2⤵
  PID:7456
- C:\Windows\System32\pxeJWDZ.exe
  C:\Windows\System32\pxeJWDZ.exe
  2⤵
  PID:7472
- C:\Windows\System32\tNrVFUs.exe
  C:\Windows\System32\tNrVFUs.exe
  2⤵
  PID:7496
- C:\Windows\System32\iSwyfsX.exe
  C:\Windows\System32\iSwyfsX.exe
  2⤵
  PID:7524
- C:\Windows\System32\xgHwhjF.exe
  C:\Windows\System32\xgHwhjF.exe
  2⤵
  PID:7544
- C:\Windows\System32\igBWpMj.exe
  C:\Windows\System32\igBWpMj.exe
  2⤵
  PID:7572
- C:\Windows\System32\rcYseHK.exe
  C:\Windows\System32\rcYseHK.exe
  2⤵
  PID:7608
- C:\Windows\System32\AeDJZEZ.exe
  C:\Windows\System32\AeDJZEZ.exe
  2⤵
  PID:7640
- C:\Windows\System32\OCSIynU.exe
  C:\Windows\System32\OCSIynU.exe
  2⤵
  PID:7672
- C:\Windows\System32\TCTFIBW.exe
  C:\Windows\System32\TCTFIBW.exe
  2⤵
  PID:7704
- C:\Windows\System32\qAgBxuE.exe
  C:\Windows\System32\qAgBxuE.exe
  2⤵
  PID:7744
- C:\Windows\System32\LHrreTT.exe
  C:\Windows\System32\LHrreTT.exe
  2⤵
  PID:7768
- C:\Windows\System32\FYRNLJC.exe
  C:\Windows\System32\FYRNLJC.exe
  2⤵
  PID:7788
- C:\Windows\System32\QCzZFWQ.exe
  C:\Windows\System32\QCzZFWQ.exe
  2⤵
  PID:7804
- C:\Windows\System32\uxDxkMM.exe
  C:\Windows\System32\uxDxkMM.exe
  2⤵
  PID:7824
- C:\Windows\System32\ePHMGQS.exe
  C:\Windows\System32\ePHMGQS.exe
  2⤵
  PID:7864
- C:\Windows\System32\nrOraMA.exe
  C:\Windows\System32\nrOraMA.exe
  2⤵
  PID:7880
- C:\Windows\System32\JwBCsiF.exe
  C:\Windows\System32\JwBCsiF.exe
  2⤵
  PID:7904
- C:\Windows\System32\XPiNQHX.exe
  C:\Windows\System32\XPiNQHX.exe
  2⤵
  PID:7932
- C:\Windows\System32\xCWQmFz.exe
  C:\Windows\System32\xCWQmFz.exe
  2⤵
  PID:7948
- C:\Windows\System32\gSEAcBc.exe
  C:\Windows\System32\gSEAcBc.exe
  2⤵
  PID:7976
- C:\Windows\System32\ZTIEvIK.exe
  C:\Windows\System32\ZTIEvIK.exe
  2⤵
  PID:8000
- C:\Windows\System32\WLEpqjD.exe
  C:\Windows\System32\WLEpqjD.exe
  2⤵
  PID:8028
- C:\Windows\System32\ipeSRQt.exe
  C:\Windows\System32\ipeSRQt.exe
  2⤵
  PID:8056
- C:\Windows\System32\QJumEbH.exe
  C:\Windows\System32\QJumEbH.exe
  2⤵
  PID:8100
- C:\Windows\System32\BQHhGHn.exe
  C:\Windows\System32\BQHhGHn.exe
  2⤵
  PID:8152
- C:\Windows\System32\BckOsUe.exe
  C:\Windows\System32\BckOsUe.exe
  2⤵
  PID:6584
- C:\Windows\System32\IdRVCuG.exe
  C:\Windows\System32\IdRVCuG.exe
  2⤵
  PID:7216
- C:\Windows\System32\hmIqHXJ.exe
  C:\Windows\System32\hmIqHXJ.exe
  2⤵
  PID:7252
- C:\Windows\System32\NdwISPC.exe
  C:\Windows\System32\NdwISPC.exe
  2⤵
  PID:7300
- C:\Windows\System32\SoiqisR.exe
  C:\Windows\System32\SoiqisR.exe
  2⤵
  PID:7288
- C:\Windows\System32\AVmcfvl.exe
  C:\Windows\System32\AVmcfvl.exe
  2⤵
  PID:7312
- C:\Windows\System32\hBkVZHm.exe
  C:\Windows\System32\hBkVZHm.exe
  2⤵
  PID:7468
- C:\Windows\System32\AOckOyl.exe
  C:\Windows\System32\AOckOyl.exe
  2⤵
  PID:7556
- C:\Windows\System32\ucDNvrz.exe
  C:\Windows\System32\ucDNvrz.exe
  2⤵
  PID:7536
- C:\Windows\System32\pkVtSYa.exe
  C:\Windows\System32\pkVtSYa.exe
  2⤵
  PID:7716
- C:\Windows\System32\DkkgwTS.exe
  C:\Windows\System32\DkkgwTS.exe
  2⤵
  PID:7780
- C:\Windows\System32\tZzhXmu.exe
  C:\Windows\System32\tZzhXmu.exe
  2⤵
  PID:7840
- C:\Windows\System32\AHCEMGL.exe
  C:\Windows\System32\AHCEMGL.exe
  2⤵
  PID:7876
- C:\Windows\System32\cScfbRI.exe
  C:\Windows\System32\cScfbRI.exe
  2⤵
  PID:7956
- C:\Windows\System32\RbFEcfc.exe
  C:\Windows\System32\RbFEcfc.exe
  2⤵
  PID:8036
- C:\Windows\System32\KFUPWvo.exe
  C:\Windows\System32\KFUPWvo.exe
  2⤵
  PID:8048
- C:\Windows\System32\FVSLyRB.exe
  C:\Windows\System32\FVSLyRB.exe
  2⤵
  PID:8144
- C:\Windows\System32\wcZQyEB.exe
  C:\Windows\System32\wcZQyEB.exe
  2⤵
  PID:7196
- C:\Windows\System32\WrPHYPv.exe
  C:\Windows\System32\WrPHYPv.exe
  2⤵
  PID:7384
- C:\Windows\System32\nAOLvFI.exe
  C:\Windows\System32\nAOLvFI.exe
  2⤵
  PID:7584
- C:\Windows\System32\aCIbzXP.exe
  C:\Windows\System32\aCIbzXP.exe
  2⤵
  PID:6456
- C:\Windows\System32\wGHKRVY.exe
  C:\Windows\System32\wGHKRVY.exe
  2⤵
  PID:7900
- C:\Windows\System32\FJxMbRi.exe
  C:\Windows\System32\FJxMbRi.exe
  2⤵
  PID:7916
- C:\Windows\System32\cGNislN.exe
  C:\Windows\System32\cGNislN.exe
  2⤵
  PID:8172
- C:\Windows\System32\ukyUWyw.exe
  C:\Windows\System32\ukyUWyw.exe
  2⤵
  PID:7604
- C:\Windows\System32\WWbVczb.exe
  C:\Windows\System32\WWbVczb.exe
  2⤵
  PID:7668
- C:\Windows\System32\lAyCnzo.exe
  C:\Windows\System32\lAyCnzo.exe
  2⤵
  PID:8008
- C:\Windows\System32\GlfJqSj.exe
  C:\Windows\System32\GlfJqSj.exe
  2⤵
  PID:7424
- C:\Windows\System32\risPUVQ.exe
  C:\Windows\System32\risPUVQ.exe
  2⤵
  PID:8200
- C:\Windows\System32\HATfnsf.exe
  C:\Windows\System32\HATfnsf.exe
  2⤵
  PID:8236
- C:\Windows\System32\GLcWmgl.exe
  C:\Windows\System32\GLcWmgl.exe
  2⤵
  PID:8264
- C:\Windows\System32\fZBsvvV.exe
  C:\Windows\System32\fZBsvvV.exe
  2⤵
  PID:8284
- C:\Windows\System32\raCwMkz.exe
  C:\Windows\System32\raCwMkz.exe
  2⤵
  PID:8304
- C:\Windows\System32\FKZZmep.exe
  C:\Windows\System32\FKZZmep.exe
  2⤵
  PID:8336
- C:\Windows\System32\iwUCkuv.exe
  C:\Windows\System32\iwUCkuv.exe
  2⤵
  PID:8368
- C:\Windows\System32\eTtMbWu.exe
  C:\Windows\System32\eTtMbWu.exe
  2⤵
  PID:8400
- C:\Windows\System32\zPJBCcx.exe
  C:\Windows\System32\zPJBCcx.exe
  2⤵
  PID:8428
- C:\Windows\System32\LqigrTL.exe
  C:\Windows\System32\LqigrTL.exe
  2⤵
  PID:8476
- C:\Windows\System32\aGXDhml.exe
  C:\Windows\System32\aGXDhml.exe
  2⤵
  PID:8504
- C:\Windows\System32\qAEbpAQ.exe
  C:\Windows\System32\qAEbpAQ.exe
  2⤵
  PID:8524
- C:\Windows\System32\GAzPVEP.exe
  C:\Windows\System32\GAzPVEP.exe
  2⤵
  PID:8540
- C:\Windows\System32\osfayBZ.exe
  C:\Windows\System32\osfayBZ.exe
  2⤵
  PID:8556
- C:\Windows\System32\SUySxSM.exe
  C:\Windows\System32\SUySxSM.exe
  2⤵
  PID:8592
- C:\Windows\System32\CHNciwB.exe
  C:\Windows\System32\CHNciwB.exe
  2⤵
  PID:8608
- C:\Windows\System32\WplqnkR.exe
  C:\Windows\System32\WplqnkR.exe
  2⤵
  PID:8632
- C:\Windows\System32\WhWkazt.exe
  C:\Windows\System32\WhWkazt.exe
  2⤵
  PID:8680
- C:\Windows\System32\CuUFooa.exe
  C:\Windows\System32\CuUFooa.exe
  2⤵
  PID:8700
- C:\Windows\System32\yDaXWkY.exe
  C:\Windows\System32\yDaXWkY.exe
  2⤵
  PID:8728
- C:\Windows\System32\iHzldEX.exe
  C:\Windows\System32\iHzldEX.exe
  2⤵
  PID:8744
- C:\Windows\System32\rioccgJ.exe
  C:\Windows\System32\rioccgJ.exe
  2⤵
  PID:8768
- C:\Windows\System32\fCdHVuE.exe
  C:\Windows\System32\fCdHVuE.exe
  2⤵
  PID:8792
- C:\Windows\System32\iuwzBXc.exe
  C:\Windows\System32\iuwzBXc.exe
  2⤵
  PID:8840
- C:\Windows\System32\gDrkZNF.exe
  C:\Windows\System32\gDrkZNF.exe
  2⤵
  PID:8900
- C:\Windows\System32\RREVgGy.exe
  C:\Windows\System32\RREVgGy.exe
  2⤵
  PID:8940
- C:\Windows\System32\PwlFBeN.exe
  C:\Windows\System32\PwlFBeN.exe
  2⤵
  PID:8960
- C:\Windows\System32\oTYiJxs.exe
  C:\Windows\System32\oTYiJxs.exe
  2⤵
  PID:8980
- C:\Windows\System32\gnrbCuv.exe
  C:\Windows\System32\gnrbCuv.exe
  2⤵
  PID:9016
- C:\Windows\System32\YQhZwtO.exe
  C:\Windows\System32\YQhZwtO.exe
  2⤵
  PID:9040
- C:\Windows\System32\qcbbiRz.exe
  C:\Windows\System32\qcbbiRz.exe
  2⤵
  PID:9064
- C:\Windows\System32\JmUUkSz.exe
  C:\Windows\System32\JmUUkSz.exe
  2⤵
  PID:9096
- C:\Windows\System32\bWPuWfc.exe
  C:\Windows\System32\bWPuWfc.exe
  2⤵
  PID:9132
- C:\Windows\System32\QXHiqxs.exe
  C:\Windows\System32\QXHiqxs.exe
  2⤵
  PID:9152
- C:\Windows\System32\VykXgES.exe
  C:\Windows\System32\VykXgES.exe
  2⤵
  PID:9176
- C:\Windows\System32\BfyXsTq.exe
  C:\Windows\System32\BfyXsTq.exe
  2⤵
  PID:9196
- C:\Windows\System32\AErfLXS.exe
  C:\Windows\System32\AErfLXS.exe
  2⤵
  PID:8216
- C:\Windows\System32\KpwBTuy.exe
  C:\Windows\System32\KpwBTuy.exe
  2⤵
  PID:8272
- C:\Windows\System32\SXuQAAq.exe
  C:\Windows\System32\SXuQAAq.exe
  2⤵
  PID:8276
- C:\Windows\System32\qwDcBWs.exe
  C:\Windows\System32\qwDcBWs.exe
  2⤵
  PID:8352
- C:\Windows\System32\soBVPRN.exe
  C:\Windows\System32\soBVPRN.exe
  2⤵
  PID:8376
- C:\Windows\System32\SxOERzx.exe
  C:\Windows\System32\SxOERzx.exe
  2⤵
  PID:8452
- C:\Windows\System32\peDVcHw.exe
  C:\Windows\System32\peDVcHw.exe
  2⤵
  PID:8536
- C:\Windows\System32\zmGADak.exe
  C:\Windows\System32\zmGADak.exe
  2⤵
  PID:8576
- C:\Windows\System32\SAfIYsC.exe
  C:\Windows\System32\SAfIYsC.exe
  2⤵
  PID:8756
- C:\Windows\System32\zcbLQsc.exe
  C:\Windows\System32\zcbLQsc.exe
  2⤵
  PID:8692
- C:\Windows\System32\jjBGxio.exe
  C:\Windows\System32\jjBGxio.exe
  2⤵
  PID:8780
- C:\Windows\System32\vuUSHSg.exe
  C:\Windows\System32\vuUSHSg.exe
  2⤵
  PID:8912
- C:\Windows\System32\lgIaJwQ.exe
  C:\Windows\System32\lgIaJwQ.exe
  2⤵
  PID:9024
- C:\Windows\System32\HTxadGL.exe
  C:\Windows\System32\HTxadGL.exe
  2⤵
  PID:9060
- C:\Windows\System32\ZTNzHWa.exe
  C:\Windows\System32\ZTNzHWa.exe
  2⤵
  PID:9104
- C:\Windows\System32\AJhoIiJ.exe
  C:\Windows\System32\AJhoIiJ.exe
  2⤵
  PID:9208
- C:\Windows\System32\IuUXCHG.exe
  C:\Windows\System32\IuUXCHG.exe
  2⤵
  PID:8320
- C:\Windows\System32\DbIRsqa.exe
  C:\Windows\System32\DbIRsqa.exe
  2⤵
  PID:8360
- C:\Windows\System32\VTiTjux.exe
  C:\Windows\System32\VTiTjux.exe
  2⤵
  PID:8464
- C:\Windows\System32\dYFuLMb.exe
  C:\Windows\System32\dYFuLMb.exe
  2⤵
  PID:8604
- C:\Windows\System32\xagMGSR.exe
  C:\Windows\System32\xagMGSR.exe
  2⤵
  PID:8384
- C:\Windows\System32\VwcyaqO.exe
  C:\Windows\System32\VwcyaqO.exe
  2⤵
  PID:8468
- C:\Windows\System32\qsBdwqx.exe
  C:\Windows\System32\qsBdwqx.exe
  2⤵
  PID:9108
- C:\Windows\System32\EmzQIXM.exe
  C:\Windows\System32\EmzQIXM.exe
  2⤵
  PID:9052
- C:\Windows\System32\AFCSIjP.exe
  C:\Windows\System32\AFCSIjP.exe
  2⤵
  PID:9232
- C:\Windows\System32\aedljuC.exe
  C:\Windows\System32\aedljuC.exe
  2⤵
  PID:9248
- C:\Windows\System32\eiDlRPa.exe
  C:\Windows\System32\eiDlRPa.exe
  2⤵
  PID:9264
- C:\Windows\System32\UnjMWRh.exe
  C:\Windows\System32\UnjMWRh.exe
  2⤵
  PID:9280
- C:\Windows\System32\ucYkjiP.exe
  C:\Windows\System32\ucYkjiP.exe
  2⤵
  PID:9300
- C:\Windows\System32\NDeQBKh.exe
  C:\Windows\System32\NDeQBKh.exe
  2⤵
  PID:9316
- C:\Windows\System32\XxEMbvD.exe
  C:\Windows\System32\XxEMbvD.exe
  2⤵
  PID:9332
- C:\Windows\System32\GkpeRrS.exe
  C:\Windows\System32\GkpeRrS.exe
  2⤵
  PID:9352
- C:\Windows\System32\LiDguXx.exe
  C:\Windows\System32\LiDguXx.exe
  2⤵
  PID:9372
- C:\Windows\System32\fZZOzTn.exe
  C:\Windows\System32\fZZOzTn.exe
  2⤵
  PID:9420
- C:\Windows\System32\FeGmLtk.exe
  C:\Windows\System32\FeGmLtk.exe
  2⤵
  PID:9536
- C:\Windows\System32\MMGwnOI.exe
  C:\Windows\System32\MMGwnOI.exe
  2⤵
  PID:9560
- C:\Windows\System32\pskSZbh.exe
  C:\Windows\System32\pskSZbh.exe
  2⤵
  PID:9576
- C:\Windows\System32\PgrbdHX.exe
  C:\Windows\System32\PgrbdHX.exe
  2⤵
  PID:9640
- C:\Windows\System32\nqiKeSg.exe
  C:\Windows\System32\nqiKeSg.exe
  2⤵
  PID:9664
- C:\Windows\System32\BWBNwjb.exe
  C:\Windows\System32\BWBNwjb.exe
  2⤵
  PID:9680
- C:\Windows\System32\eEhfnDU.exe
  C:\Windows\System32\eEhfnDU.exe
  2⤵
  PID:9704
- C:\Windows\System32\nqsxdwb.exe
  C:\Windows\System32\nqsxdwb.exe
  2⤵
  PID:9724
- C:\Windows\System32\peEESVF.exe
  C:\Windows\System32\peEESVF.exe
  2⤵
  PID:9756
- C:\Windows\System32\WHfTtYp.exe
  C:\Windows\System32\WHfTtYp.exe
  2⤵
  PID:9816
- C:\Windows\System32\BiEMkeE.exe
  C:\Windows\System32\BiEMkeE.exe
  2⤵
  PID:9856
- C:\Windows\System32\VCVhWqr.exe
  C:\Windows\System32\VCVhWqr.exe
  2⤵
  PID:9876
- C:\Windows\System32\qHvJgRH.exe
  C:\Windows\System32\qHvJgRH.exe
  2⤵
  PID:9892
- C:\Windows\System32\zjEsDPb.exe
  C:\Windows\System32\zjEsDPb.exe
  2⤵
  PID:9920
- C:\Windows\System32\eeqsAWZ.exe
  C:\Windows\System32\eeqsAWZ.exe
  2⤵
  PID:9944
- C:\Windows\System32\JcQFdbP.exe
  C:\Windows\System32\JcQFdbP.exe
  2⤵
  PID:9960
- C:\Windows\System32\LjfleDS.exe
  C:\Windows\System32\LjfleDS.exe
  2⤵
  PID:9984
- C:\Windows\System32\AbxrGrm.exe
  C:\Windows\System32\AbxrGrm.exe
  2⤵
  PID:10020
- C:\Windows\System32\IFiLGGi.exe
  C:\Windows\System32\IFiLGGi.exe
  2⤵
  PID:10084
- C:\Windows\System32\gSysDHo.exe
  C:\Windows\System32\gSysDHo.exe
  2⤵
  PID:10112
- C:\Windows\System32\yCSYZqa.exe
  C:\Windows\System32\yCSYZqa.exe
  2⤵
  PID:10144
- C:\Windows\System32\pMdXjtd.exe
  C:\Windows\System32\pMdXjtd.exe
  2⤵
  PID:10172
- C:\Windows\System32\BxNihFF.exe
  C:\Windows\System32\BxNihFF.exe
  2⤵
  PID:10200
- C:\Windows\System32\NxvPxaB.exe
  C:\Windows\System32\NxvPxaB.exe
  2⤵
  PID:10216
- C:\Windows\System32\xGNyPag.exe
  C:\Windows\System32\xGNyPag.exe
  2⤵
  PID:8564
- C:\Windows\System32\dPlObci.exe
  C:\Windows\System32\dPlObci.exe
  2⤵
  PID:8936
- C:\Windows\System32\tgsXNlK.exe
  C:\Windows\System32\tgsXNlK.exe
  2⤵
  PID:9168
- C:\Windows\System32\hfhJtCx.exe
  C:\Windows\System32\hfhJtCx.exe
  2⤵
  PID:3192
- C:\Windows\System32\BAYeWUY.exe
  C:\Windows\System32\BAYeWUY.exe
  2⤵
  PID:9312
- C:\Windows\System32\WWMxCLp.exe
  C:\Windows\System32\WWMxCLp.exe
  2⤵
  PID:9344
- C:\Windows\System32\iiUyEJq.exe
  C:\Windows\System32\iiUyEJq.exe
  2⤵
  PID:9288
- C:\Windows\System32\TUJWzET.exe
  C:\Windows\System32\TUJWzET.exe
  2⤵
  PID:9520
- C:\Windows\System32\OmrqdBI.exe
  C:\Windows\System32\OmrqdBI.exe
  2⤵
  PID:9456
- C:\Windows\System32\XRyVKrd.exe
  C:\Windows\System32\XRyVKrd.exe
  2⤵
  PID:9616
- C:\Windows\System32\LTfIILi.exe
  C:\Windows\System32\LTfIILi.exe
  2⤵
  PID:9552
- C:\Windows\System32\BBfednb.exe
  C:\Windows\System32\BBfednb.exe
  2⤵
  PID:9716
- C:\Windows\System32\tprzYfE.exe
  C:\Windows\System32\tprzYfE.exe
  2⤵
  PID:9800
- C:\Windows\System32\zGtwkLH.exe
  C:\Windows\System32\zGtwkLH.exe
  2⤵
  PID:9868
- C:\Windows\System32\SpCReRP.exe
  C:\Windows\System32\SpCReRP.exe
  2⤵
  PID:9908
- C:\Windows\System32\cfAooNu.exe
  C:\Windows\System32\cfAooNu.exe
  2⤵
  PID:9928
- C:\Windows\System32\NBYgdyq.exe
  C:\Windows\System32\NBYgdyq.exe
  2⤵
  PID:9976
- C:\Windows\System32\ZdZIVxS.exe
  C:\Windows\System32\ZdZIVxS.exe
  2⤵
  PID:10100
- C:\Windows\System32\ndFsVLK.exe
  C:\Windows\System32\ndFsVLK.exe
  2⤵
  PID:10156
- C:\Windows\System32\pAjkhKN.exe
  C:\Windows\System32\pAjkhKN.exe
  2⤵
  PID:10212
- C:\Windows\System32\YJjDIku.exe
  C:\Windows\System32\YJjDIku.exe
  2⤵
  PID:8084
- C:\Windows\System32\ggcOdTa.exe
  C:\Windows\System32\ggcOdTa.exe
  2⤵
  PID:8500
- C:\Windows\System32\qQAJnYQ.exe
  C:\Windows\System32\qQAJnYQ.exe
  2⤵
  PID:9348
- C:\Windows\System32\IkMLdRu.exe
  C:\Windows\System32\IkMLdRu.exe
  2⤵
  PID:9484
- C:\Windows\System32\JyYzCeI.exe
  C:\Windows\System32\JyYzCeI.exe
  2⤵
  PID:9480
- C:\Windows\System32\zHcrhVs.exe
  C:\Windows\System32\zHcrhVs.exe
  2⤵
  PID:9832
- C:\Windows\System32\JgXdJqe.exe
  C:\Windows\System32\JgXdJqe.exe
  2⤵
  PID:9952
- C:\Windows\System32\VmxsIWi.exe
  C:\Windows\System32\VmxsIWi.exe
  2⤵
  PID:8824
- C:\Windows\System32\oVGbPGr.exe
  C:\Windows\System32\oVGbPGr.exe
  2⤵
  PID:9384
- C:\Windows\System32\xtnKWCt.exe
  C:\Windows\System32\xtnKWCt.exe
  2⤵
  PID:9416
- C:\Windows\System32\EXlDQcd.exe
  C:\Windows\System32\EXlDQcd.exe
  2⤵
  PID:9852
- C:\Windows\System32\HhPANNa.exe
  C:\Windows\System32\HhPANNa.exe
  2⤵
  PID:9872
- C:\Windows\System32\IXaAGYY.exe
  C:\Windows\System32\IXaAGYY.exe
  2⤵
  PID:9556
- C:\Windows\System32\JCMRIai.exe
  C:\Windows\System32\JCMRIai.exe
  2⤵
  PID:4980
- C:\Windows\System32\ndOhjgo.exe
  C:\Windows\System32\ndOhjgo.exe
  2⤵
  PID:9696
- C:\Windows\System32\ekCwQMt.exe
  C:\Windows\System32\ekCwQMt.exe
  2⤵
  PID:10260
- C:\Windows\System32\cYaMFcA.exe
  C:\Windows\System32\cYaMFcA.exe
  2⤵
  PID:10276
- C:\Windows\System32\yGQlvMf.exe
  C:\Windows\System32\yGQlvMf.exe
  2⤵
  PID:10296
- C:\Windows\System32\rGHCtJR.exe
  C:\Windows\System32\rGHCtJR.exe
  2⤵
  PID:10316
- C:\Windows\System32\yAjOLRa.exe
  C:\Windows\System32\yAjOLRa.exe
  2⤵
  PID:10344
- C:\Windows\System32\RPmlepy.exe
  C:\Windows\System32\RPmlepy.exe
  2⤵
  PID:10364
- C:\Windows\System32\QtfLAVk.exe
  C:\Windows\System32\QtfLAVk.exe
  2⤵
  PID:10396
- C:\Windows\System32\dRlnsYb.exe
  C:\Windows\System32\dRlnsYb.exe
  2⤵
  PID:10416
- C:\Windows\System32\rnvQLyH.exe
  C:\Windows\System32\rnvQLyH.exe
  2⤵
  PID:10436
- C:\Windows\System32\FPxXGpm.exe
  C:\Windows\System32\FPxXGpm.exe
  2⤵
  PID:10492
- C:\Windows\System32\aGgjfiO.exe
  C:\Windows\System32\aGgjfiO.exe
  2⤵
  PID:10508
- C:\Windows\System32\uSfWKNk.exe
  C:\Windows\System32\uSfWKNk.exe
  2⤵
  PID:10532
- C:\Windows\System32\kmwdUrW.exe
  C:\Windows\System32\kmwdUrW.exe
  2⤵
  PID:10556
- C:\Windows\System32\CIBLeGR.exe
  C:\Windows\System32\CIBLeGR.exe
  2⤵
  PID:10592
- C:\Windows\System32\NUshhmf.exe
  C:\Windows\System32\NUshhmf.exe
  2⤵
  PID:10656
- C:\Windows\System32\zyWKlGx.exe
  C:\Windows\System32\zyWKlGx.exe
  2⤵
  PID:10692
- C:\Windows\System32\roekuns.exe
  C:\Windows\System32\roekuns.exe
  2⤵
  PID:10708
- C:\Windows\System32\VxzzGkb.exe
  C:\Windows\System32\VxzzGkb.exe
  2⤵
  PID:10740
- C:\Windows\System32\KmRSUsO.exe
  C:\Windows\System32\KmRSUsO.exe
  2⤵
  PID:10764
- C:\Windows\System32\CrCZzOx.exe
  C:\Windows\System32\CrCZzOx.exe
  2⤵
  PID:10792
- C:\Windows\System32\JxGCLai.exe
  C:\Windows\System32\JxGCLai.exe
  2⤵
  PID:10844
- C:\Windows\System32\AsMzehV.exe
  C:\Windows\System32\AsMzehV.exe
  2⤵
  PID:10864
- C:\Windows\System32\eOvixKD.exe
  C:\Windows\System32\eOvixKD.exe
  2⤵
  PID:10880
- C:\Windows\System32\tVQubxB.exe
  C:\Windows\System32\tVQubxB.exe
  2⤵
  PID:10908
- C:\Windows\System32\uXcelne.exe
  C:\Windows\System32\uXcelne.exe
  2⤵
  PID:10928
- C:\Windows\System32\ipDuqGV.exe
  C:\Windows\System32\ipDuqGV.exe
  2⤵
  PID:10984
- C:\Windows\System32\zpJXrDJ.exe
  C:\Windows\System32\zpJXrDJ.exe
  2⤵
  PID:11004
- C:\Windows\System32\yETsGPm.exe
  C:\Windows\System32\yETsGPm.exe
  2⤵
  PID:11024
- C:\Windows\System32\INEZhrR.exe
  C:\Windows\System32\INEZhrR.exe
  2⤵
  PID:11048
- C:\Windows\System32\PqZCwoI.exe
  C:\Windows\System32\PqZCwoI.exe
  2⤵
  PID:11092
- C:\Windows\System32\EYGiseQ.exe
  C:\Windows\System32\EYGiseQ.exe
  2⤵
  PID:11108
- C:\Windows\System32\RhYslQs.exe
  C:\Windows\System32\RhYslQs.exe
  2⤵
  PID:11140
- C:\Windows\System32\qcvJtlR.exe
  C:\Windows\System32\qcvJtlR.exe
  2⤵
  PID:11168
- C:\Windows\System32\uUDfJvI.exe
  C:\Windows\System32\uUDfJvI.exe
  2⤵
  PID:11200
- C:\Windows\System32\SUEoUZk.exe
  C:\Windows\System32\SUEoUZk.exe
  2⤵
  PID:11220
- C:\Windows\System32\kKFoGnc.exe
  C:\Windows\System32\kKFoGnc.exe
  2⤵
  PID:11240
- C:\Windows\System32\BuMiETM.exe
  C:\Windows\System32\BuMiETM.exe
  2⤵
  PID:11260
- C:\Windows\System32\qoygOka.exe
  C:\Windows\System32\qoygOka.exe
  2⤵
  PID:10324
- C:\Windows\System32\PneNsAA.exe
  C:\Windows\System32\PneNsAA.exe
  2⤵
  PID:10392
- C:\Windows\System32\ohjjYSb.exe
  C:\Windows\System32\ohjjYSb.exe
  2⤵
  PID:10468
- C:\Windows\System32\zyUefOk.exe
  C:\Windows\System32\zyUefOk.exe
  2⤵
  PID:10516
- C:\Windows\System32\wEPAGZL.exe
  C:\Windows\System32\wEPAGZL.exe
  2⤵
  PID:10584
- C:\Windows\System32\kAEZBgP.exe
  C:\Windows\System32\kAEZBgP.exe
  2⤵
  PID:10612
- C:\Windows\System32\hfrhnAS.exe
  C:\Windows\System32\hfrhnAS.exe
  2⤵
  PID:10636
- C:\Windows\System32\Fdnalvl.exe
  C:\Windows\System32\Fdnalvl.exe
  2⤵
  PID:10800
- C:\Windows\System32\NDvHdjd.exe
  C:\Windows\System32\NDvHdjd.exe
  2⤵
  PID:10876
- C:\Windows\System32\GkohQLB.exe
  C:\Windows\System32\GkohQLB.exe
  2⤵
  PID:10900
- C:\Windows\System32\YkZiKfZ.exe
  C:\Windows\System32\YkZiKfZ.exe
  2⤵
  PID:10948
- C:\Windows\System32\CCVsaBF.exe
  C:\Windows\System32\CCVsaBF.exe
  2⤵
  PID:11036
- C:\Windows\System32\okwWmFl.exe
  C:\Windows\System32\okwWmFl.exe
  2⤵
  PID:11044
- C:\Windows\System32\qvmLlAX.exe
  C:\Windows\System32\qvmLlAX.exe
  2⤵
  PID:11160
- C:\Windows\System32\oYAJuVW.exe
  C:\Windows\System32\oYAJuVW.exe
  2⤵
  PID:11252
- C:\Windows\System32\uJgMyVM.exe
  C:\Windows\System32\uJgMyVM.exe
  2⤵
  PID:10328
- C:\Windows\System32\rccbQbj.exe
  C:\Windows\System32\rccbQbj.exe
  2⤵
  PID:10136
- C:\Windows\System32\daAPNVM.exe
  C:\Windows\System32\daAPNVM.exe
  2⤵
  PID:10524
- C:\Windows\System32\LycfvrV.exe
  C:\Windows\System32\LycfvrV.exe
  2⤵
  PID:10784
- C:\Windows\System32\huwpQOw.exe
  C:\Windows\System32\huwpQOw.exe
  2⤵
  PID:11000
- C:\Windows\System32\IzLQzuc.exe
  C:\Windows\System32\IzLQzuc.exe
  2⤵
  PID:11100
- C:\Windows\System32\JDWpFuK.exe
  C:\Windows\System32\JDWpFuK.exe
  2⤵
  PID:11228
- C:\Windows\System32\RamOWTB.exe
  C:\Windows\System32\RamOWTB.exe
  2⤵
  PID:10528
- C:\Windows\System32\avnoUhe.exe
  C:\Windows\System32\avnoUhe.exe
  2⤵
  PID:11132
- C:\Windows\System32\gLAbWns.exe
  C:\Windows\System32\gLAbWns.exe
  2⤵
  PID:10852
- C:\Windows\System32\SiKcEjS.exe
  C:\Windows\System32\SiKcEjS.exe
  2⤵
  PID:11268
- C:\Windows\System32\yGMSaXs.exe
  C:\Windows\System32\yGMSaXs.exe
  2⤵
  PID:11292
- C:\Windows\System32\WZvVlFc.exe
  C:\Windows\System32\WZvVlFc.exe
  2⤵
  PID:11312
- C:\Windows\System32\cQcedVY.exe
  C:\Windows\System32\cQcedVY.exe
  2⤵
  PID:11336
- C:\Windows\System32\MzGXNnp.exe
  C:\Windows\System32\MzGXNnp.exe
  2⤵
  PID:11356
- C:\Windows\System32\fYtneGR.exe
  C:\Windows\System32\fYtneGR.exe
  2⤵
  PID:11384
- C:\Windows\System32\HZkKfkC.exe
  C:\Windows\System32\HZkKfkC.exe
  2⤵
  PID:11404
- C:\Windows\System32\GaRKJKg.exe
  C:\Windows\System32\GaRKJKg.exe
  2⤵
  PID:11428
- C:\Windows\System32\JrGgjga.exe
  C:\Windows\System32\JrGgjga.exe
  2⤵
  PID:11504
- C:\Windows\System32\DgJdCdw.exe
  C:\Windows\System32\DgJdCdw.exe
  2⤵
  PID:11532
- C:\Windows\System32\LbdfgdR.exe
  C:\Windows\System32\LbdfgdR.exe
  2⤵
  PID:11548
- C:\Windows\System32\FJeKqbu.exe
  C:\Windows\System32\FJeKqbu.exe
  2⤵
  PID:11584
- C:\Windows\System32\dmVSJWX.exe
  C:\Windows\System32\dmVSJWX.exe
  2⤵
  PID:11612
- C:\Windows\System32\FsiSHKn.exe
  C:\Windows\System32\FsiSHKn.exe
  2⤵
  PID:11640
- C:\Windows\System32\HSeNOEx.exe
  C:\Windows\System32\HSeNOEx.exe
  2⤵
  PID:11660
- C:\Windows\System32\JBVtdPX.exe
  C:\Windows\System32\JBVtdPX.exe
  2⤵
  PID:11692
- C:\Windows\System32\YubBTrQ.exe
  C:\Windows\System32\YubBTrQ.exe
  2⤵
  PID:11712
- C:\Windows\System32\WCXkxCS.exe
  C:\Windows\System32\WCXkxCS.exe
  2⤵
  PID:11732
- C:\Windows\System32\QjOlcQU.exe
  C:\Windows\System32\QjOlcQU.exe
  2⤵
  PID:11760
- C:\Windows\System32\oBjOhnd.exe
  C:\Windows\System32\oBjOhnd.exe
  2⤵
  PID:11812
- C:\Windows\System32\vgorZSu.exe
  C:\Windows\System32\vgorZSu.exe
  2⤵
  PID:11840
- C:\Windows\System32\ONzkZeY.exe
  C:\Windows\System32\ONzkZeY.exe
  2⤵
  PID:11872
- C:\Windows\System32\GJaIYjS.exe
  C:\Windows\System32\GJaIYjS.exe
  2⤵
  PID:11908
- C:\Windows\System32\TQsZrlN.exe
  C:\Windows\System32\TQsZrlN.exe
  2⤵
  PID:11940
- C:\Windows\System32\LCBSqgq.exe
  C:\Windows\System32\LCBSqgq.exe
  2⤵
  PID:11956
- C:\Windows\System32\UAJSHZb.exe
  C:\Windows\System32\UAJSHZb.exe
  2⤵
  PID:11984
- C:\Windows\System32\bhOJPPR.exe
  C:\Windows\System32\bhOJPPR.exe
  2⤵
  PID:12004
- C:\Windows\System32\UlEVRtj.exe
  C:\Windows\System32\UlEVRtj.exe
  2⤵
  PID:12032
- C:\Windows\System32\bdPDDOv.exe
  C:\Windows\System32\bdPDDOv.exe
  2⤵
  PID:12072
- C:\Windows\System32\uPOgEot.exe
  C:\Windows\System32\uPOgEot.exe
  2⤵
  PID:12088
- C:\Windows\System32\AVnuBii.exe
  C:\Windows\System32\AVnuBii.exe
  2⤵
  PID:12112
- C:\Windows\System32\mulVtTa.exe
  C:\Windows\System32\mulVtTa.exe
  2⤵
  PID:12144
- C:\Windows\System32\bjPgvuF.exe
  C:\Windows\System32\bjPgvuF.exe
  2⤵
  PID:12168
- C:\Windows\System32\WxyZTLk.exe
  C:\Windows\System32\WxyZTLk.exe
  2⤵
  PID:12224
- C:\Windows\System32\WjqsCHv.exe
  C:\Windows\System32\WjqsCHv.exe
  2⤵
  PID:12240
- C:\Windows\System32\Wtsrhyn.exe
  C:\Windows\System32\Wtsrhyn.exe
  2⤵
  PID:12268
- C:\Windows\System32\KoffOYh.exe
  C:\Windows\System32\KoffOYh.exe
  2⤵
  PID:11276
- C:\Windows\System32\NiPTmno.exe
  C:\Windows\System32\NiPTmno.exe
  2⤵
  PID:11328
- C:\Windows\System32\sjTbDWy.exe
  C:\Windows\System32\sjTbDWy.exe
  2⤵
  PID:11412
- C:\Windows\System32\hCxumAZ.exe
  C:\Windows\System32\hCxumAZ.exe
  2⤵
  PID:11484
- C:\Windows\System32\cmSrIsq.exe
  C:\Windows\System32\cmSrIsq.exe
  2⤵
  PID:11520
- C:\Windows\System32\KqCrtmp.exe
  C:\Windows\System32\KqCrtmp.exe
  2⤵
  PID:11580
- C:\Windows\System32\sVKgasL.exe
  C:\Windows\System32\sVKgasL.exe
  2⤵
  PID:11652
- C:\Windows\System32\ypzCOvg.exe
  C:\Windows\System32\ypzCOvg.exe
  2⤵
  PID:11708
- C:\Windows\System32\MZVddfU.exe
  C:\Windows\System32\MZVddfU.exe
  2⤵
  PID:11748
- C:\Windows\System32\YekmlDM.exe
  C:\Windows\System32\YekmlDM.exe
  2⤵
  PID:11820
- C:\Windows\System32\hOpstqV.exe
  C:\Windows\System32\hOpstqV.exe
  2⤵
  PID:11572
- C:\Windows\System32\KDTVUGB.exe
  C:\Windows\System32\KDTVUGB.exe
  2⤵
  PID:11896
- C:\Windows\System32\rpPQlUM.exe
  C:\Windows\System32\rpPQlUM.exe
  2⤵
  PID:11996
- C:\Windows\System32\SHjUpUg.exe
  C:\Windows\System32\SHjUpUg.exe
  2⤵
  PID:12108
- C:\Windows\System32\cGEqRvt.exe
  C:\Windows\System32\cGEqRvt.exe
  2⤵
  PID:12080
- C:\Windows\System32\WUXrjKH.exe
  C:\Windows\System32\WUXrjKH.exe
  2⤵
  PID:11320
- C:\Windows\System32\FQztSWa.exe
  C:\Windows\System32\FQztSWa.exe
  2⤵
  PID:11364
- C:\Windows\System32\BIZrywW.exe
  C:\Windows\System32\BIZrywW.exe
  2⤵
  PID:11624
- C:\Windows\System32\apKifyG.exe
  C:\Windows\System32\apKifyG.exe
  2⤵
  PID:11888
- C:\Windows\System32\PuHTqJz.exe
  C:\Windows\System32\PuHTqJz.exe
  2⤵
  PID:11928
- C:\Windows\System32\ymdwONP.exe
  C:\Windows\System32\ymdwONP.exe
  2⤵
  PID:1536
- C:\Windows\System32\fTXIJOk.exe
  C:\Windows\System32\fTXIJOk.exe
  2⤵
  PID:12056
- C:\Windows\System32\BnHvuNd.exe
  C:\Windows\System32\BnHvuNd.exe
  2⤵
  PID:12280
- C:\Windows\System32\hqBTxcn.exe
  C:\Windows\System32\hqBTxcn.exe
  2⤵
  PID:11348
- C:\Windows\System32\JVQzLbw.exe
  C:\Windows\System32\JVQzLbw.exe
  2⤵
  PID:11540
- C:\Windows\System32\ZHHvRGc.exe
  C:\Windows\System32\ZHHvRGc.exe
  2⤵
  PID:3748
- C:\Windows\System32\HsNcqXT.exe
  C:\Windows\System32\HsNcqXT.exe
  2⤵
  PID:12232
- C:\Windows\System32\yXIXfyz.exe
  C:\Windows\System32\yXIXfyz.exe
  2⤵
  PID:11472
- C:\Windows\System32\nXsqdHU.exe
  C:\Windows\System32\nXsqdHU.exe
  2⤵
  PID:12096
- C:\Windows\System32\mhrPNIu.exe
  C:\Windows\System32\mhrPNIu.exe
  2⤵
  PID:12316
- C:\Windows\System32\KoklcIK.exe
  C:\Windows\System32\KoklcIK.exe
  2⤵
  PID:12360
- C:\Windows\System32\MtbCChK.exe
  C:\Windows\System32\MtbCChK.exe
  2⤵
  PID:12376
- C:\Windows\System32\EsSiuar.exe
  C:\Windows\System32\EsSiuar.exe
  2⤵
  PID:12404
- C:\Windows\System32\mHHFtOG.exe
  C:\Windows\System32\mHHFtOG.exe
  2⤵
  PID:12448
- C:\Windows\System32\NWMfXJe.exe
  C:\Windows\System32\NWMfXJe.exe
  2⤵
  PID:12472
- C:\Windows\System32\plSibZw.exe
  C:\Windows\System32\plSibZw.exe
  2⤵
  PID:12496
- C:\Windows\System32\FDEjINA.exe
  C:\Windows\System32\FDEjINA.exe
  2⤵
  PID:12520
- C:\Windows\System32\urrycYm.exe
  C:\Windows\System32\urrycYm.exe
  2⤵
  PID:12536
- C:\Windows\System32\HEvAWya.exe
  C:\Windows\System32\HEvAWya.exe
  2⤵
  PID:12568
- C:\Windows\System32\KIPzxkF.exe
  C:\Windows\System32\KIPzxkF.exe
  2⤵
  PID:12612
- C:\Windows\System32\BJWULgn.exe
  C:\Windows\System32\BJWULgn.exe
  2⤵
  PID:12644
- C:\Windows\System32\oYVJWbt.exe
  C:\Windows\System32\oYVJWbt.exe
  2⤵
  PID:12664
- C:\Windows\System32\XFwAEmZ.exe
  C:\Windows\System32\XFwAEmZ.exe
  2⤵
  PID:12692
- C:\Windows\System32\NtnLpOo.exe
  C:\Windows\System32\NtnLpOo.exe
  2⤵
  PID:12712
- C:\Windows\System32\ryCfLEI.exe
  C:\Windows\System32\ryCfLEI.exe
  2⤵
  PID:12736
- C:\Windows\System32\ncnjYkT.exe
  C:\Windows\System32\ncnjYkT.exe
  2⤵
  PID:12776
- C:\Windows\System32\ZTokgPv.exe
  C:\Windows\System32\ZTokgPv.exe
  2⤵
  PID:12816
- C:\Windows\System32\fdwQiVK.exe
  C:\Windows\System32\fdwQiVK.exe
  2⤵
  PID:12840
- C:\Windows\System32\hVuBFZr.exe
  C:\Windows\System32\hVuBFZr.exe
  2⤵
  PID:12860
- C:\Windows\System32\JcQxIVV.exe
  C:\Windows\System32\JcQxIVV.exe
  2⤵
  PID:12900
- C:\Windows\System32\YYudkwj.exe
  C:\Windows\System32\YYudkwj.exe
  2⤵
  PID:12920
- C:\Windows\System32\vOCHHOF.exe
  C:\Windows\System32\vOCHHOF.exe
  2⤵
  PID:12956
- C:\Windows\System32\wagMQlE.exe
  C:\Windows\System32\wagMQlE.exe
  2⤵
  PID:12980
- C:\Windows\System32\JPQFrSD.exe
  C:\Windows\System32\JPQFrSD.exe
  2⤵
  PID:13000
- C:\Windows\System32\tARXMlU.exe
  C:\Windows\System32\tARXMlU.exe
  2⤵
  PID:13020
- C:\Windows\System32\XvCvGrU.exe
  C:\Windows\System32\XvCvGrU.exe
  2⤵
  PID:13048
- C:\Windows\System32\EfUwjhh.exe
  C:\Windows\System32\EfUwjhh.exe
  2⤵
  PID:13064
- C:\Windows\System32\CAtqgoA.exe
  C:\Windows\System32\CAtqgoA.exe
  2⤵
  PID:13088
- C:\Windows\System32\hPREpmb.exe
  C:\Windows\System32\hPREpmb.exe
  2⤵
  PID:13116
- C:\Windows\System32\uJqMxPM.exe
  C:\Windows\System32\uJqMxPM.exe
  2⤵
  PID:13136
- C:\Windows\System32\WbaxTtl.exe
  C:\Windows\System32\WbaxTtl.exe
  2⤵
  PID:13184
- C:\Windows\System32\pwHGOIP.exe
  C:\Windows\System32\pwHGOIP.exe
  2⤵
  PID:13204
- C:\Windows\System32\ieSxaVs.exe
  C:\Windows\System32\ieSxaVs.exe
  2⤵
  PID:13220
- C:\Windows\System32\BHNAUoo.exe
  C:\Windows\System32\BHNAUoo.exe
  2⤵
  PID:13244
- C:\Windows\System32\BEktHhR.exe
  C:\Windows\System32\BEktHhR.exe
  2⤵
  PID:13260
- C:\Windows\System32\azZRMvv.exe
  C:\Windows\System32\azZRMvv.exe
  2⤵
  PID:13304
- C:\Windows\System32\FvUrrzR.exe
  C:\Windows\System32\FvUrrzR.exe
  2⤵
  PID:12308
- C:\Windows\System32\BGVUetU.exe
  C:\Windows\System32\BGVUetU.exe
  2⤵
  PID:12468
- C:\Windows\System32\fOQXuTz.exe
  C:\Windows\System32\fOQXuTz.exe
  2⤵
  PID:12532
- C:\Windows\System32\WzgKgDE.exe
  C:\Windows\System32\WzgKgDE.exe
  2⤵
  PID:12592
- C:\Windows\System32\udEcfRl.exe
  C:\Windows\System32\udEcfRl.exe
  2⤵
  PID:12652
- C:\Windows\System32\pGFmDos.exe
  C:\Windows\System32\pGFmDos.exe
  2⤵
  PID:12720
- C:\Windows\System32\JuseNTV.exe
  C:\Windows\System32\JuseNTV.exe
  2⤵
  PID:12812
- C:\Windows\System32\TOhSMdJ.exe
  C:\Windows\System32\TOhSMdJ.exe
  2⤵
  PID:12828
- C:\Windows\System32\iamitjh.exe
  C:\Windows\System32\iamitjh.exe
  2⤵
  PID:12952
- C:\Windows\System32\xbnMrdN.exe
  C:\Windows\System32\xbnMrdN.exe
  2⤵
  PID:12968
- C:\Windows\System32\oXWVnsJ.exe
  C:\Windows\System32\oXWVnsJ.exe
  2⤵
  PID:13028
- C:\Windows\System32\hpvXVCA.exe
  C:\Windows\System32\hpvXVCA.exe
  2⤵
  PID:13084
- C:\Windows\System32\pWMLCcC.exe
  C:\Windows\System32\pWMLCcC.exe
  2⤵
  PID:13132

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:2924

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\ADsepAq.exe

Filesize
1.6MB

MD5
4248af2a7cdcb572f676d5cee6d2eba5

SHA1
424f4ce19801472319fa679f204d2df325ec54c4

SHA256
c4761af182ec2e3469e082ce78a51de28d67d7366d5990340294c2991862d8ba

SHA512
d300c4830e40f8d3e30d0419f949ed39720a8273774c1be5965690b6fbd602caa7dceeed2291d3730ce07733973943b7c0e7af0a6bae0ca19255023924a4f72d

Download Submit
C:\Windows\System32\AOIXvVg.exe

Filesize
1.6MB

MD5
ce657b0f6f7a2bc060daf596a495a2a7

SHA1
25543f0f94fc6c0e65ff3115d9eebaf66965315e

SHA256
237e6b4f7831befe9f93a6a276472836b918fc09af08d652fb759f89f1e07bba

SHA512
7f931f6989107fc9b8aefd97671e5cef20302ac2c1557bed129bd6a340616d7899c2ef2798526d6a9e939a1428477e4eb156f11e59e35bb25a2786748b0248a5

Download Submit
C:\Windows\System32\BpNlMHc.exe

Filesize
1.6MB

MD5
5b7caf6e54ff3501b88ab4cd90371e2b

SHA1
ffe9b777bc86f94e481698d88b2e5a18d82f69b6

SHA256
bb3bb0ac505c51dabad34ca471fc4d7be4bdcec3a360ba8a47c0816f9bb89b05

SHA512
a7eefe6d2767fd75e57b0c30714366048922871e82ee6a77cb2af502c0c74e58573c8a98edf6ee10624765fe0fa6c8325ab94142b2e42799a0163ae5c6d3c1d3

Download Submit
C:\Windows\System32\CugAXMj.exe

Filesize
1.6MB

MD5
94b540f0b68a3ed49c21df5f032fcbfc

SHA1
bf124d8623de00d63c5531bb1e04dcfac9ca0aed

SHA256
572cdfa2c0fb51ad8fbd3526cd2839f8bc3c02425cd6a601f6607852c2ed6274

SHA512
37c0c41bf6dc5a36fabe81ecbe765a279779b2280af0472485738b12f6b79d82674e8e0b22af6e9174c25aafe2c28ec0bf2d5d090f918d66128e521f33128250

Download Submit
C:\Windows\System32\GKmyGLo.exe

Filesize
1.6MB

MD5
2b7390b4682ed8ba574c3c0b54c75b79

SHA1
6be026d58df7fff73a127e1c8c5b94c679a9478b

SHA256
da02e23399cc4e629eb7edacaad5c9e9b2e0e39f812c71f2ec80c4f09e992a53

SHA512
1dc13a04f02c784c4c65adfaab10aedc00a6b1bb64d02f8acdd01bc6a644d05ba91afd608cb7394f1c1017c99d068659a85a0b361cc97227cf352e7dd8e966a5

Download Submit
C:\Windows\System32\JCTJelb.exe

Filesize
1.6MB

MD5
3f6bd3d70303cbaed7b095a68b62dbca

SHA1
c522da19b223b4e35fd28cb93824c23abaa46ca2

SHA256
768148517c9ffee0fa47b8b9f068cff26ae730c78907e5572d37b17a6adbd55f

SHA512
3396025db76e3f8bbd6be7470584c4de307469ce9a6f0832303351d8a52d21e7452678cf5383d207e9bf23d9595763516f1a5647df2cf5dd8a0deac670c0ce9d

Download Submit
C:\Windows\System32\LHDKUWG.exe

Filesize
1.6MB

MD5
36708e773fb07916ad20507b4926ed47

SHA1
6df685117a62b84dbe977c7a86a83be51864a0fc

SHA256
36adbcb6bc630ff7b5be5dd446b1f914a62a902dfb69055400c067c7f5040b92

SHA512
113ae31c792ba311de470a5f4486f8edb216e5fe44d82bafb6d7916a851ca7f1d3913640b363f89fd957579de0cb386bbfeaa6c3f9216bd386b8eff77d97580c

Download Submit
C:\Windows\System32\LfPfbRe.exe

Filesize
1.6MB

MD5
5cde75c21da90eb23505f1b47f318582

SHA1
dcd73f01e5c2e2c4e16551855c833b855997ea3a

SHA256
0bb41fec17f707c20ae21fed08eeec3e4da2801edde7b21c70f08ae8ec5bd20e

SHA512
5d3cdfe9b5856d8474c8ea89f796b26d753d8616dce7ffa7d8bf21f35691a0f2fa77fd6ab114847897c9350c778e832aa5f71b1f4fa5a1679b25ba07842a5c2f

Download Submit
C:\Windows\System32\NDgYQjn.exe

Filesize
1.6MB

MD5
dd9a920c01cac076419fc252996838d1

SHA1
b17d86641d1e3e9bd73d62bedac5cf637ea55cbb

SHA256
23253ddaa295f5b76f8cae271c123bdf2c045eb46d5b560bcdb79ca327879146

SHA512
7da965ed7888808b39a068988f7d63775c9978606aa5a0a71312a08db35fd044fbc6dfa9ea105651aa3c2747ac46976d74c5235598b48b01ff4346edd9eca018

Download Submit
C:\Windows\System32\PxaJhjp.exe

Filesize
1.6MB

MD5
edfeba921cc8d97a5b5b44296fe58773

SHA1
1c758f9adacbd6b1f64f36d27aef33cd67ed720c

SHA256
22e0168669c61033b04653cf85586aaf8f8bd02dd6fd67e493573b2d7669c7b9

SHA512
04152f25d0dd4a1c6804475a2d238e9268510fdc7ad1e135859ad85aa9da845017d3702962cb15f22640b49659d63231d958a4f6f399363d56247bd1ac441e92

Download Submit
C:\Windows\System32\SJZhyyZ.exe

Filesize
1.6MB

MD5
da07efac593b872b807cb0267c607154

SHA1
15bb0d0b786e014e264476afc82b526d0798dd14

SHA256
88390413461076c9b8f365336ca12b73a267bd26ff8abb4809bfcadb9bd3ba22

SHA512
31e28ba3b45f74d079483ef267c955b6e4e99b83752c38514a39c869177e24a656557267f37922e2ec32aaeb90fb81179b8fa0b538f9873c5342b79efc1567fa

Download Submit
C:\Windows\System32\SklyzKe.exe

Filesize
1.6MB

MD5
effd03aa6028a0cc0dfa982111e43cf3

SHA1
a56e7ffa8aa26f3f0f7597715ecabbecbe17522b

SHA256
30a5cbfafba58b7fb7b29f8b80e1ea9aae3a801910f8d148c41cd5480da5ea21

SHA512
9db2257ced08c42a0c077dfae1638dc6113a5dea22d30161780e5370fb15ebff5c3d2f2bda0d186f4bda73697f0eb21e92d4a17cdb9428fdb6f65187aab567d1

Download Submit
C:\Windows\System32\ThVVOUk.exe

Filesize
1.6MB

MD5
e35e2c825a4dab873af0f69e3a3328c2

SHA1
a69dbcb5658134164bbe1cdc137ca6c61474e5e5

SHA256
ed31b2164ff1869cb9f9b8d4b5574acc1e2febe33475f732c0c7ea04a1da301a

SHA512
e13a445948ec0a66c3edc1cb837a93ca684310c840bce964cca4d8e0d9eb24bfc4bf9e0a7f216cff36da6496b69fc7585b5278d85774217b6219bdbf38235801

Download Submit
C:\Windows\System32\VGnWWPd.exe

Filesize
1.6MB

MD5
10962b4368d2b1c78b97aa80a2d7a999

SHA1
c20586bdeed6422053ea84a015c249183548ddc5

SHA256
2f24f8b104116c0117d7a3c7553c628a11636ba73d4c6275dbc0d6816b3bd90e

SHA512
8b2ad1e8b0046da7e1e1936e26dbcda9e4b8298a483ee233e0294309e3c731300d1ff59a4fa69998846a379c9c73074d9fe805e14b445070d79ef419e610d30b

Download Submit
C:\Windows\System32\YUDukfD.exe

Filesize
1.6MB

MD5
e0494ea3e2587d1069c9eac646c4097d

SHA1
e6d03be12a297739f4000ab9f6b6a240b0a22571

SHA256
c4e3b446bc1f8e8ed2ae9116e79e4a21dbf897360f6d03d5828782f49ab1209e

SHA512
db7b00ea8119de1e5de161ec3e8896757645d6ce670f11f646d2485068f70f9ea10d80596b3b296fe64b56b75e053fdb10fb9e011038c735fe6ab32d48fb9da7

Download Submit
C:\Windows\System32\cgTDdAD.exe

Filesize
1.6MB

MD5
ff32c4d93beff153e7cd0b34887d9133

SHA1
ea32aa8dc7ccae8e6c0b3a8e1d441c2213853887

SHA256
b483ef12b619f26cfb94f6174f8ca9d01397f6e09817abf0e7146921f7ea11ae

SHA512
76e0eb78110a1f506ebc6574c8b9b2bff2ff913026ad62e76206eacd9ffedca56bc417bee420ad2fd712e427e92d88d811415292a864accf9016b38d2d9178c6

Download Submit
C:\Windows\System32\czmgClZ.exe

Filesize
1.6MB

MD5
59737962e3548fff17b1cf6e01f0f0f9

SHA1
0dd6b001895c5556fabe9ec0d9fe2f311ed83cbc

SHA256
10154315a237cd2b5877c11138adb93b5e3f6c0f0f6408776e0367bf65512a1e

SHA512
204e8f324b21608f1db4f9752b56670cd4457ee116e8f8f05917fd0cd3fb8702705fb7214b69fbd7b7a02f1619d095ad0abb45add097f61ec6f45831462ce666

Download Submit
C:\Windows\System32\dAtHWHp.exe

Filesize
1.6MB

MD5
4a5227d3b9e5160f9eb808d0b2f75922

SHA1
76a093f3371a8f0297a5f11eaac00bceb659b59a

SHA256
5de6c9fe46f0cba26c3402becffe2a024f0f2f1c97c69a0ad6f55d09868988a0

SHA512
3d36c18beb1b3bb32724659ff283ce72134aff96233ea09a48f6dad197053da43177f7f1da5615443a2be8b76277077c5d62d108584250d13b8743d79e66f542

Download Submit
C:\Windows\System32\dIpSXMp.exe

Filesize
1.6MB

MD5
83681548215a95a75d5fddb5e9d3bcf0

SHA1
1a85a82c0bfb9234b136c2a7bf7a749353f0dc04

SHA256
3657bca77406b041eaafb71c9fe84871319e5cf149138499a47c9cf527131402

SHA512
4ef0d257245905644cfbbef7d2e353b1756f2c53dcf0f95241e9ac8f71f89aecd9e23847f7e1a1b1ff96d63e7a24da861c1f22f5d8b37ffccb5f096f014bc6c0

Download Submit
C:\Windows\System32\eBhSZkY.exe

Filesize
1.6MB

MD5
605981c2cecb04b1b7664c4719123070

SHA1
cf531204bb9b71d2925ceb3075716ad8c226c8cd

SHA256
28b7e9fc29dc0f8d9af5c422b013510a71ab9b8de8bfd09f69c544b0c4c5f8a6

SHA512
b72e9ba77d5285f713cd1c50238be508c3107695dc610feaf8bd23b0a3e474242350741e5bb8c58069ec3278bacd697247f5c1dbfaf8853f75227a2940c915df

Download Submit
C:\Windows\System32\fcopWcx.exe

Filesize
1.6MB

MD5
ca9558d1cec933dd61529db260a808fe

SHA1
1521d2114bebae09a6039ca761a037b1eb8744c9

SHA256
9c9a176deae28000298fded3eaf3bab2f4122333f3550fb4ea7ee9d234bc3d00

SHA512
f0ece405b3349e03eaae05a8c47ac64857b6d2eed227cf79a6617b38cf39dbe509cc1d496dda28b8c01104ce3c543ea4f89b7e5c79c73953eb7f549c5bc45f50

Download Submit
C:\Windows\System32\gbInYjE.exe

Filesize
1.6MB

MD5
9b1144cd46e64669fb36b8bad63fe045

SHA1
6f2d8a7f6d3341886997941202180e02d19f67f6

SHA256
50125237a335805c0222b622c450a8af41c1a506e180c39d9fe88ea225d09c0b

SHA512
f5d1e89aec2e601f41a6e09476a16e85890cf1d8bfc2ba4713b5296359ae7dd0547ce3ce79a9aa51d0b3b75c49057d6086560b72b3ce74749714a93a8b4cbcd8

Download Submit
C:\Windows\System32\gtEPSIC.exe

Filesize
1.6MB

MD5
ff71c0a91c9c5fc01f71252c40553660

SHA1
bfc1f933b72ab19048e7337dd80687115ad44429

SHA256
db300211cb181759b320da369d65a0b095971582fe7b3c7129bca284f4366a76

SHA512
5c6a76e7fc44151328540cbd30b2c485bb1a0c047d6587d05962e33584ca01f7fb2e7907ef4a9d38d0648866ec0d05a6cf9c1206fc7ece23e6cb3ef7ef5824c1

Download Submit
C:\Windows\System32\iHDXuVD.exe

Filesize
1.6MB

MD5
419e16c30c676b1d7180424fec425201

SHA1
0937dcfe735532140c7c35cb099c1cf0a689190c

SHA256
7f446444b332d25cf1605d3ad64252b0ae9bd562f43da8cc5c475590dfd169ba

SHA512
29b39ae48e2a24265843cd96a33c5513806c9e2a0b8f23203e483c89095cdac56a99c0b4fb90779a7d301abe5d4f3da7cdc66054b0acc2a215633ab361b7b889

Download Submit
C:\Windows\System32\iLDysZz.exe

Filesize
1.6MB

MD5
2c075ccc9d9b6c4392f469807fcd522c

SHA1
68874bc747cf4ac3cc9ca61872bb7b2361036db7

SHA256
9c7678fb07a62c8d83dddd439fc608b1e75a1d7b5393a6927afc5cecf89b6993

SHA512
5a599153e165da72fa3f9c9632d236d9a5b968eb07996134fba525a6118a445ba0b77ee8208ddf5eb6f1aef1ba35d9806e6c2bf442d475f54d3ebeb279e9001f

Download Submit
C:\Windows\System32\qzKaPjh.exe

Filesize
1.6MB

MD5
e49b76f6f2244a990f83bf3bf19f14a1

SHA1
9c2d52f8c97c8b74167083d953e1f948abb05693

SHA256
91b5af5ecc8d8b2054d73a650a113658ccc18973916dd20623947fdbaacc3282

SHA512
88578a0797428a6c354ec93286055cef6edc41fc18a59e5b2b62f5e8e0b54b7739ec3cf80ab79cb98ced08cd595428488fc6cb619cf05b8986cadfbedd6aeeb6

Download Submit
C:\Windows\System32\swsXepg.exe

Filesize
1.6MB

MD5
959f32acbe6a528c7081defd17e9a907

SHA1
9b07539746f4b9c8c41012a9e0a7d6c8e5f8ae3a

SHA256
1c4397b05797f540c07049d2899c5a3503518b0f9da9b5fdcd5ed6e3b7ebb2e0

SHA512
7729cc3ed9c046654bbbc0b6fc17369c6ea476c5df9d403fad1dcdd60c0d6d9a454fa43f248e0a5237b7a812e71ac58368682de3844d947d52c1e9e4545aafea

Download Submit
C:\Windows\System32\xuUbAcE.exe

Filesize
1.6MB

MD5
5b13f1b78e13d049831c80d6a3ffb832

SHA1
f45bfbc31f425876179baad2227a560a4268d3ca

SHA256
baade475665261bc5f7ed7cb36be1955e1c343b6d5cecf5476c8bdda7d5a23a7

SHA512
d62c6288b45b5dcb66f42a1aaef760c5d72227a13348a30c26f95b17f349084e75500aebff96876aa264cd3b448a3ae4f14682395f0d892a183bdde9148e71db

Download Submit
C:\Windows\System32\yLitLqK.exe

Filesize
1.6MB

MD5
d7a095e07e0fa85a744008eb1b543bb7

SHA1
614888ead028d35069dc0e278440ff5c240a60db

SHA256
606d9804c5e32804dc527836999a413903a759eaca58676a80ad6f6088b8887a

SHA512
e4769efbbd15581f301e4944e8c49956b223ece2d5425a9c3008c093c3b170dc5436483c940080463de38077eb53f4493a351d12386435f50d91908786cd1bac

Download Submit
C:\Windows\System32\ySJsLbd.exe

Filesize
1.6MB

MD5
5830710fecacf595f1c1f5ce222ad5f6

SHA1
80227438d86a5cbf329edd7775d9480ee7841429

SHA256
b932d037c9b1e3e4a83574a57a92f8010dc3d94ea080b81eff86befa664253a9

SHA512
94ddaa3b63f7a021968996cba3719bee828242c9cf077743e6d325f7d70ba6cddc014f36fde2b7d66016d105917bd6f077af29e0f546a1b0f88fabda21f2d8a7

Download Submit
C:\Windows\System32\yzbszCM.exe

Filesize
1.6MB

MD5
340d979bc5321488f8a68d4d2fc16c41

SHA1
5bd7f886f7d40359a886f3f23f76f61d1d934895

SHA256
426184dafa6fd3e0d6ef845446d02c88124f87314db9b1ace9ee9692ffab7539

SHA512
4767afeb7e14ee0395ae1764e8f0e30da514e0c38fd97f6fab678dd67a2bfa40793c8ac03e277cd25a42a3e9e7125eb7675fe283ca0b8e1c86c5ddc86a586309

Download Submit
C:\Windows\System32\zTRwinU.exe

Filesize
1.6MB

MD5
1489a71975105378703ca84ca7e27676

SHA1
1a5a740918a44f75755ecc4d1c898fbbe010afa4

SHA256
ab7fc8c6273661edf33b7c743e0f231cf01762bdce482039ca848cec0f85fbc5

SHA512
77de7e19c4915e646b89d234931b75c416d1b1138316dac4d7e92cd9a24249d765c1a8a8123b10274e80cae6a46f41e81340f888fd8d90821bf0d5ad0a7c51ef

Download Submit
memory/224-2060-0x00007FF799EF0000-0x00007FF79A2E1000-memory.dmp

Filesize
3.9MB

Download
memory/224-442-0x00007FF799EF0000-0x00007FF79A2E1000-memory.dmp

Filesize
3.9MB

Download
memory/896-458-0x00007FF66CE10000-0x00007FF66D201000-memory.dmp

Filesize
3.9MB

Download
memory/896-2064-0x00007FF66CE10000-0x00007FF66D201000-memory.dmp

Filesize
3.9MB

Download
memory/1020-459-0x00007FF65D9B0000-0x00007FF65DDA1000-memory.dmp

Filesize
3.9MB

Download
memory/1020-2068-0x00007FF65D9B0000-0x00007FF65DDA1000-memory.dmp

Filesize
3.9MB

Download
memory/1388-2032-0x00007FF664D60000-0x00007FF665151000-memory.dmp

Filesize
3.9MB

Download
memory/1388-39-0x00007FF664D60000-0x00007FF665151000-memory.dmp

Filesize
3.9MB

Download
memory/1852-2040-0x00007FF76A970000-0x00007FF76AD61000-memory.dmp

Filesize
3.9MB

Download
memory/1852-435-0x00007FF76A970000-0x00007FF76AD61000-memory.dmp

Filesize
3.9MB

Download
memory/2112-54-0x00007FF6DDEB0000-0x00007FF6DE2A1000-memory.dmp

Filesize
3.9MB

Download
memory/2112-2194-0x00007FF6DDEB0000-0x00007FF6DE2A1000-memory.dmp

Filesize
3.9MB

Download
memory/2112-2016-0x00007FF6DDEB0000-0x00007FF6DE2A1000-memory.dmp

Filesize
3.9MB

Download
memory/2232-2086-0x00007FF72E160000-0x00007FF72E551000-memory.dmp

Filesize
3.9MB

Download
memory/2232-466-0x00007FF72E160000-0x00007FF72E551000-memory.dmp

Filesize
3.9MB

Download
memory/2364-2056-0x00007FF68BEB0000-0x00007FF68C2A1000-memory.dmp

Filesize
3.9MB

Download
memory/2364-448-0x00007FF68BEB0000-0x00007FF68C2A1000-memory.dmp

Filesize
3.9MB

Download
memory/2668-2020-0x00007FF6C79E0000-0x00007FF6C7DD1000-memory.dmp

Filesize
3.9MB

Download
memory/2668-62-0x00007FF6C79E0000-0x00007FF6C7DD1000-memory.dmp

Filesize
3.9MB

Download
memory/2668-2054-0x00007FF6C79E0000-0x00007FF6C7DD1000-memory.dmp

Filesize
3.9MB

Download
memory/2848-428-0x00007FF7365B0000-0x00007FF7369A1000-memory.dmp

Filesize
3.9MB

Download
memory/2848-2050-0x00007FF7365B0000-0x00007FF7369A1000-memory.dmp

Filesize
3.9MB

Download
memory/3040-2066-0x00007FF6E6B20000-0x00007FF6E6F11000-memory.dmp

Filesize
3.9MB

Download
memory/3040-452-0x00007FF6E6B20000-0x00007FF6E6F11000-memory.dmp

Filesize
3.9MB

Download
memory/3228-436-0x00007FF61C0E0000-0x00007FF61C4D1000-memory.dmp

Filesize
3.9MB

Download
memory/3228-2046-0x00007FF61C0E0000-0x00007FF61C4D1000-memory.dmp

Filesize
3.9MB

Download
memory/3264-22-0x00007FF7EC4B0000-0x00007FF7EC8A1000-memory.dmp

Filesize
3.9MB

Download
memory/3264-2026-0x00007FF7EC4B0000-0x00007FF7EC8A1000-memory.dmp

Filesize
3.9MB

Download
memory/3452-2036-0x00007FF6E00C0000-0x00007FF6E04B1000-memory.dmp

Filesize
3.9MB

Download
memory/3452-1981-0x00007FF6E00C0000-0x00007FF6E04B1000-memory.dmp

Filesize
3.9MB

Download
memory/3452-45-0x00007FF6E00C0000-0x00007FF6E04B1000-memory.dmp

Filesize
3.9MB

Download
memory/3700-2024-0x00007FF6CFF80000-0x00007FF6D0371000-memory.dmp

Filesize
3.9MB

Download
memory/3700-8-0x00007FF6CFF80000-0x00007FF6D0371000-memory.dmp

Filesize
3.9MB

Download
memory/3900-2034-0x00007FF75CD20000-0x00007FF75D111000-memory.dmp

Filesize
3.9MB

Download
memory/3900-41-0x00007FF75CD20000-0x00007FF75D111000-memory.dmp

Filesize
3.9MB

Download
memory/3900-1982-0x00007FF75CD20000-0x00007FF75D111000-memory.dmp

Filesize
3.9MB

Download
memory/3988-24-0x00007FF718DC0000-0x00007FF7191B1000-memory.dmp

Filesize
3.9MB

Download
memory/3988-1980-0x00007FF718DC0000-0x00007FF7191B1000-memory.dmp

Filesize
3.9MB

Download
memory/3988-2030-0x00007FF718DC0000-0x00007FF7191B1000-memory.dmp

Filesize
3.9MB

Download
memory/4036-2028-0x00007FF6778A0000-0x00007FF677C91000-memory.dmp

Filesize
3.9MB

Download
memory/4036-1979-0x00007FF6778A0000-0x00007FF677C91000-memory.dmp

Filesize
3.9MB

Download
memory/4036-14-0x00007FF6778A0000-0x00007FF677C91000-memory.dmp

Filesize
3.9MB

Download
memory/4416-429-0x00007FF66A1B0000-0x00007FF66A5A1000-memory.dmp

Filesize
3.9MB

Download
memory/4416-2048-0x00007FF66A1B0000-0x00007FF66A5A1000-memory.dmp

Filesize
3.9MB

Download
memory/4488-2038-0x00007FF781400000-0x00007FF7817F1000-memory.dmp

Filesize
3.9MB

Download
memory/4488-432-0x00007FF781400000-0x00007FF7817F1000-memory.dmp

Filesize
3.9MB

Download
memory/4556-0-0x00007FF71F2A0000-0x00007FF71F691000-memory.dmp

Filesize
3.9MB

Download
memory/4556-1691-0x00007FF71F2A0000-0x00007FF71F691000-memory.dmp

Filesize
3.9MB

Download
memory/4556-1-0x000001F46C1D0000-0x000001F46C1E0000-memory.dmp

Filesize
64KB

Download
memory/4556-2018-0x00007FF71F2A0000-0x00007FF71F691000-memory.dmp

Filesize
3.9MB

Download
memory/4576-2042-0x00007FF77D0E0000-0x00007FF77D4D1000-memory.dmp

Filesize
3.9MB

Download
memory/4576-431-0x00007FF77D0E0000-0x00007FF77D4D1000-memory.dmp

Filesize
3.9MB

Download
memory/4728-2015-0x00007FF643C60000-0x00007FF644051000-memory.dmp

Filesize
3.9MB

Download
memory/4728-49-0x00007FF643C60000-0x00007FF644051000-memory.dmp

Filesize
3.9MB

Download
memory/4728-2052-0x00007FF643C60000-0x00007FF644051000-memory.dmp

Filesize
3.9MB

Download
memory/5060-2058-0x00007FF744090000-0x00007FF744481000-memory.dmp

Filesize
3.9MB

Download
memory/5060-446-0x00007FF744090000-0x00007FF744481000-memory.dmp

Filesize
3.9MB

Download
memory/5068-430-0x00007FF685870000-0x00007FF685C61000-memory.dmp

Filesize
3.9MB

Download
memory/5068-2044-0x00007FF685870000-0x00007FF685C61000-memory.dmp

Filesize
3.9MB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads