xmrig | 61cfdd2d00e218340c6d79ceaff34b7783497f59087aa826b831cf97ef229a8d

Analysis

max time kernel
141s
max time network
152s
platform
windows10-2004_x64
resource
win10v2004-20240426-en
resource tags

arch:x64arch:x86image:win10v2004-20240426-enlocale:en-usos:windows10-2004-x64system
submitted
08/05/2024, 07:36

Sharing

Copy URL Twitter E-mail

Report Analysis Logs

General

Target

104c9d634059133292219f481e0f2880_NEIKI.exe
Size

1.1MB
MD5

104c9d634059133292219f481e0f2880
SHA1

9bacd39f6cdbf6cfeb87d95d880c225f4f91fcc8
SHA256

61cfdd2d00e218340c6d79ceaff34b7783497f59087aa826b831cf97ef229a8d
SHA512

c9aceb2a88ea6c5ba468dc2483c381b85791dd5491bc03593e8fefaa24ab3a89d47e233dc0d4735e73e713b3f0d9ff13aaca87089a13b57d2c30a8fa6a5eeeab
SSDEEP

24576:JanwhSe11QSONCpGJCjETPlia+zzDwd+t56p6aGuseH3:knw9oUUEEDlnd+XRqb3

Score

10^/10

xmrig miner upx

Malware Config

Signatures

xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 49 IoCs

miner

resource	yara_rule
behavioral2/memory/4392-33-0x00007FF6CA6D0000-0x00007FF6CAAC1000-memory.dmp	xmrig
behavioral2/memory/3832-37-0x00007FF6FCEB0000-0x00007FF6FD2A1000-memory.dmp	xmrig
behavioral2/memory/3420-306-0x00007FF7F0BF0000-0x00007FF7F0FE1000-memory.dmp	xmrig
behavioral2/memory/3548-329-0x00007FF6479E0000-0x00007FF647DD1000-memory.dmp	xmrig
behavioral2/memory/1412-339-0x00007FF6C1F20000-0x00007FF6C2311000-memory.dmp	xmrig
behavioral2/memory/5072-346-0x00007FF64B590000-0x00007FF64B981000-memory.dmp	xmrig
behavioral2/memory/5080-342-0x00007FF6D8400000-0x00007FF6D87F1000-memory.dmp	xmrig
behavioral2/memory/5000-322-0x00007FF665D90000-0x00007FF666181000-memory.dmp	xmrig
behavioral2/memory/1488-319-0x00007FF670CA0000-0x00007FF671091000-memory.dmp	xmrig
behavioral2/memory/4980-317-0x00007FF7736D0000-0x00007FF773AC1000-memory.dmp	xmrig
behavioral2/memory/2172-310-0x00007FF62EA70000-0x00007FF62EE61000-memory.dmp	xmrig
behavioral2/memory/4240-307-0x00007FF6B50A0000-0x00007FF6B5491000-memory.dmp	xmrig
behavioral2/memory/4176-304-0x00007FF68ED70000-0x00007FF68F161000-memory.dmp	xmrig
behavioral2/memory/2248-82-0x00007FF6F55D0000-0x00007FF6F59C1000-memory.dmp	xmrig
behavioral2/memory/3772-81-0x00007FF7067B0000-0x00007FF706BA1000-memory.dmp	xmrig
behavioral2/memory/4300-61-0x00007FF618070000-0x00007FF618461000-memory.dmp	xmrig
behavioral2/memory/3864-60-0x00007FF668C10000-0x00007FF669001000-memory.dmp	xmrig
behavioral2/memory/392-1951-0x00007FF764830000-0x00007FF764C21000-memory.dmp	xmrig
behavioral2/memory/2676-1952-0x00007FF638320000-0x00007FF638711000-memory.dmp	xmrig
behavioral2/memory/1268-1973-0x00007FF6BBBC0000-0x00007FF6BBFB1000-memory.dmp	xmrig
behavioral2/memory/3108-1987-0x00007FF6A2290000-0x00007FF6A2681000-memory.dmp	xmrig
behavioral2/memory/4804-1986-0x00007FF73C760000-0x00007FF73CB51000-memory.dmp	xmrig
behavioral2/memory/3864-1988-0x00007FF668C10000-0x00007FF669001000-memory.dmp	xmrig
behavioral2/memory/1968-1989-0x00007FF6A87A0000-0x00007FF6A8B91000-memory.dmp	xmrig
behavioral2/memory/1468-1991-0x00007FF6FB0E0000-0x00007FF6FB4D1000-memory.dmp	xmrig
behavioral2/memory/2916-2051-0x00007FF7F4900000-0x00007FF7F4CF1000-memory.dmp	xmrig
behavioral2/memory/2676-2054-0x00007FF638320000-0x00007FF638711000-memory.dmp	xmrig
behavioral2/memory/1268-2058-0x00007FF6BBBC0000-0x00007FF6BBFB1000-memory.dmp	xmrig
behavioral2/memory/4300-2060-0x00007FF618070000-0x00007FF618461000-memory.dmp	xmrig
behavioral2/memory/3864-2062-0x00007FF668C10000-0x00007FF669001000-memory.dmp	xmrig
behavioral2/memory/4804-2064-0x00007FF73C760000-0x00007FF73CB51000-memory.dmp	xmrig
behavioral2/memory/3108-2066-0x00007FF6A2290000-0x00007FF6A2681000-memory.dmp	xmrig
behavioral2/memory/3832-2056-0x00007FF6FCEB0000-0x00007FF6FD2A1000-memory.dmp	xmrig
behavioral2/memory/392-2052-0x00007FF764830000-0x00007FF764C21000-memory.dmp	xmrig
behavioral2/memory/4392-2048-0x00007FF6CA6D0000-0x00007FF6CAAC1000-memory.dmp	xmrig
behavioral2/memory/1968-2070-0x00007FF6A87A0000-0x00007FF6A8B91000-memory.dmp	xmrig
behavioral2/memory/2172-2078-0x00007FF62EA70000-0x00007FF62EE61000-memory.dmp	xmrig
behavioral2/memory/4240-2076-0x00007FF6B50A0000-0x00007FF6B5491000-memory.dmp	xmrig
behavioral2/memory/3420-2082-0x00007FF7F0BF0000-0x00007FF7F0FE1000-memory.dmp	xmrig
behavioral2/memory/5000-2086-0x00007FF665D90000-0x00007FF666181000-memory.dmp	xmrig
behavioral2/memory/3548-2088-0x00007FF6479E0000-0x00007FF647DD1000-memory.dmp	xmrig
behavioral2/memory/5080-2090-0x00007FF6D8400000-0x00007FF6D87F1000-memory.dmp	xmrig
behavioral2/memory/4980-2081-0x00007FF7736D0000-0x00007FF773AC1000-memory.dmp	xmrig
behavioral2/memory/1488-2084-0x00007FF670CA0000-0x00007FF671091000-memory.dmp	xmrig
behavioral2/memory/3772-2074-0x00007FF7067B0000-0x00007FF706BA1000-memory.dmp	xmrig
behavioral2/memory/2248-2072-0x00007FF6F55D0000-0x00007FF6F59C1000-memory.dmp	xmrig
behavioral2/memory/4176-2068-0x00007FF68ED70000-0x00007FF68F161000-memory.dmp	xmrig
behavioral2/memory/1412-2092-0x00007FF6C1F20000-0x00007FF6C2311000-memory.dmp	xmrig
behavioral2/memory/5072-2094-0x00007FF64B590000-0x00007FF64B981000-memory.dmp	xmrig

Executes dropped EXE 64 IoCs

pid	Process
2916	fgOFcza.exe
2676	CjMoAeV.exe
392	TARSNBs.exe
4392	DyjSttz.exe
1268	owvpTLh.exe
3832	JuoajOH.exe
3864	rWFJWZZ.exe
4804	rHJvRwG.exe
3108	koOWcRk.exe
4300	QgLFGLQ.exe
1968	DJcKepM.exe
3772	kCqcwXe.exe
2248	rbqVhiq.exe
4176	LTInILg.exe
3420	vtyOKpb.exe
4240	qXvkVZi.exe
2172	mZSLxzE.exe
4980	qOzaPBV.exe
1488	pSLKMuc.exe
5000	soabsum.exe
3548	XWWPAFR.exe
1412	LmnRgoc.exe
5080	ssFBKUR.exe
5072	MbVaAVX.exe
5060	LkmYpqH.exe
4480	gIjshPa.exe
3564	SCZoPUi.exe
2432	DKgBufM.exe
2840	edRFgeJ.exe
3044	agQaQkM.exe
3128	XkCmpqc.exe
4364	DuCJdQM.exe
3012	dOzWcOc.exe
3792	QgjiCRQ.exe
4832	BmECXhZ.exe
4872	IbBHbub.exe
1436	qCRusmn.exe
808	uiSQOpf.exe
2908	okRFSai.exe
4384	JThNoDt.exe
4616	wRmZkVk.exe
4348	GCchZvF.exe
2956	uOfNogt.exe
4664	yMZhBWC.exe
4340	cznPdis.exe
1676	CPcRDRD.exe
888	QuzYpDT.exe
468	diQmJsl.exe
3408	mspIhij.exe
3196	gbTFWDO.exe
3240	GvKbBUm.exe
4892	QaMRXNZ.exe
1912	VyCXpXI.exe
2816	fGYbrsS.exe
4748	YQsFKKH.exe
1692	GJXYgkl.exe
1516	MpzQzzc.exe
3612	suELHhC.exe
4008	rMRixtD.exe
3004	pFUbJOc.exe
3636	elbuBqh.exe
740	AynmsmN.exe
3512	HpyPMtW.exe
1340	JwEDmez.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/1468-0-0x00007FF6FB0E0000-0x00007FF6FB4D1000-memory.dmp	upx
behavioral2/files/0x000800000002342d-4.dat	upx
behavioral2/files/0x0007000000023432-8.dat	upx
behavioral2/memory/2916-12-0x00007FF7F4900000-0x00007FF7F4CF1000-memory.dmp	upx
behavioral2/memory/392-18-0x00007FF764830000-0x00007FF764C21000-memory.dmp	upx
behavioral2/files/0x0007000000023431-21.dat	upx
behavioral2/memory/4392-33-0x00007FF6CA6D0000-0x00007FF6CAAC1000-memory.dmp	upx
behavioral2/memory/3832-37-0x00007FF6FCEB0000-0x00007FF6FD2A1000-memory.dmp	upx
behavioral2/files/0x0007000000023437-39.dat	upx
behavioral2/memory/4804-51-0x00007FF73C760000-0x00007FF73CB51000-memory.dmp	upx
behavioral2/files/0x0007000000023436-57.dat	upx
behavioral2/files/0x000700000002343a-64.dat	upx
behavioral2/files/0x000700000002343b-75.dat	upx
behavioral2/files/0x000700000002343c-78.dat	upx
behavioral2/files/0x000700000002343f-95.dat	upx
behavioral2/files/0x0007000000023441-102.dat	upx
behavioral2/files/0x0007000000023444-119.dat	upx
behavioral2/files/0x0007000000023447-134.dat	upx
behavioral2/files/0x000700000002344b-154.dat	upx
behavioral2/files/0x000700000002344e-169.dat	upx
behavioral2/memory/3420-306-0x00007FF7F0BF0000-0x00007FF7F0FE1000-memory.dmp	upx
behavioral2/memory/3548-329-0x00007FF6479E0000-0x00007FF647DD1000-memory.dmp	upx
behavioral2/memory/1412-339-0x00007FF6C1F20000-0x00007FF6C2311000-memory.dmp	upx
behavioral2/memory/5072-346-0x00007FF64B590000-0x00007FF64B981000-memory.dmp	upx
behavioral2/memory/5080-342-0x00007FF6D8400000-0x00007FF6D87F1000-memory.dmp	upx
behavioral2/memory/5000-322-0x00007FF665D90000-0x00007FF666181000-memory.dmp	upx
behavioral2/memory/1488-319-0x00007FF670CA0000-0x00007FF671091000-memory.dmp	upx
behavioral2/memory/4980-317-0x00007FF7736D0000-0x00007FF773AC1000-memory.dmp	upx
behavioral2/memory/2172-310-0x00007FF62EA70000-0x00007FF62EE61000-memory.dmp	upx
behavioral2/memory/4240-307-0x00007FF6B50A0000-0x00007FF6B5491000-memory.dmp	upx
behavioral2/memory/4176-304-0x00007FF68ED70000-0x00007FF68F161000-memory.dmp	upx
behavioral2/files/0x000700000002344f-174.dat	upx
behavioral2/files/0x000700000002344d-165.dat	upx
behavioral2/files/0x000700000002344c-159.dat	upx
behavioral2/files/0x000700000002344a-150.dat	upx
behavioral2/files/0x0007000000023449-144.dat	upx
behavioral2/files/0x0007000000023448-139.dat	upx
behavioral2/files/0x0007000000023446-129.dat	upx
behavioral2/files/0x0007000000023445-124.dat	upx
behavioral2/files/0x0007000000023443-114.dat	upx
behavioral2/files/0x0007000000023442-109.dat	upx
behavioral2/files/0x0007000000023440-99.dat	upx
behavioral2/files/0x000700000002343e-89.dat	upx
behavioral2/files/0x000700000002343d-84.dat	upx
behavioral2/memory/2248-82-0x00007FF6F55D0000-0x00007FF6F59C1000-memory.dmp	upx
behavioral2/memory/3772-81-0x00007FF7067B0000-0x00007FF706BA1000-memory.dmp	upx
behavioral2/memory/1968-67-0x00007FF6A87A0000-0x00007FF6A8B91000-memory.dmp	upx
behavioral2/memory/4300-61-0x00007FF618070000-0x00007FF618461000-memory.dmp	upx
behavioral2/memory/3864-60-0x00007FF668C10000-0x00007FF669001000-memory.dmp	upx
behavioral2/files/0x0007000000023438-58.dat	upx
behavioral2/memory/3108-54-0x00007FF6A2290000-0x00007FF6A2681000-memory.dmp	upx
behavioral2/files/0x0007000000023439-50.dat	upx
behavioral2/memory/1268-48-0x00007FF6BBBC0000-0x00007FF6BBFB1000-memory.dmp	upx
behavioral2/files/0x0007000000023434-41.dat	upx
behavioral2/memory/2676-31-0x00007FF638320000-0x00007FF638711000-memory.dmp	upx
behavioral2/files/0x0007000000023435-30.dat	upx
behavioral2/files/0x0007000000023433-17.dat	upx
behavioral2/memory/392-1951-0x00007FF764830000-0x00007FF764C21000-memory.dmp	upx
behavioral2/memory/2676-1952-0x00007FF638320000-0x00007FF638711000-memory.dmp	upx
behavioral2/memory/1268-1973-0x00007FF6BBBC0000-0x00007FF6BBFB1000-memory.dmp	upx
behavioral2/memory/3108-1987-0x00007FF6A2290000-0x00007FF6A2681000-memory.dmp	upx
behavioral2/memory/4804-1986-0x00007FF73C760000-0x00007FF73CB51000-memory.dmp	upx
behavioral2/memory/3864-1988-0x00007FF668C10000-0x00007FF669001000-memory.dmp	upx
behavioral2/memory/1968-1989-0x00007FF6A87A0000-0x00007FF6A8B91000-memory.dmp	upx

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\System32\HFQgwYT.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\ljcHeCQ.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\YRvudUF.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\xKHrwMS.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\eKGGDOS.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\ApeAobO.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\jiwFsaZ.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\XWWPAFR.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\wifgGPy.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\xAkORCF.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\VKVdOmU.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\dAerZOE.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\dtzPdKs.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\GsDWnas.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\MbVaAVX.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\JPuRPmC.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\XHGvoGP.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\RlBjSGc.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\SruXvKf.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\xsQIjDE.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\uXnMMNX.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\JrQxKaj.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\fGYbrsS.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\slrjhJZ.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\gungjCV.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\eDHonry.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\nwNWDPz.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\QNTyqtt.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\MIGPhoF.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\PmLHhba.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\GJXYgkl.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\gEhUNpV.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\hkTUhcX.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\WqrEEiX.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\PXHuKmQ.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\zWCbYqh.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\CfzjBkj.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\wboaeea.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\yPXMYhE.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\WoUEVvc.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\rrflftD.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\VKaFSog.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\kyTYZjH.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\XWdQSzZ.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\kkubKZQ.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\clDytbT.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\rbqVhiq.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\ITkNkOw.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\PnzGDxY.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\DyjSttz.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\VXzcctx.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\ETLVTKy.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\NhmxUBg.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\LPNfoQG.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\ncoSaKA.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\nvCwZli.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\vgOppXk.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\JFqwgoi.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\mspIhij.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\dpaRhpJ.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\ymlVbST.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\xdHMeZA.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\PwMbulT.exe	104c9d634059133292219f481e0f2880_NEIKI.exe
File created	C:\Windows\System32\JlDclOV.exe	104c9d634059133292219f481e0f2880_NEIKI.exe

Checks SCSI registry key(s) 3 TTPs 6 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_DADY&PROD_HARDDISK\4&215468A5&0&000000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\ConfigFlags	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\HardwareID	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_QEMU&PROD_QEMU_DVD-ROM\4&215468A5&0&010000	dwm.exe

Enumerates system info in registry 2 TTPs 2 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe

Modifies data under HKEY_USERS 18 IoCs

description	ioc	Process
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2a\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe

Suspicious use of AdjustPrivilegeToken 6 IoCs

description	pid	Process
Token: SeCreateGlobalPrivilege	4944	dwm.exe
Token: SeChangeNotifyPrivilege	4944	dwm.exe
Token: 33	4944	dwm.exe
Token: SeIncBasePriorityPrivilege	4944	dwm.exe
Token: SeShutdownPrivilege	4944	dwm.exe
Token: SeCreatePagefilePrivilege	4944	dwm.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 1468 wrote to memory of 2916	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	84
PID 1468 wrote to memory of 2916	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	84
PID 1468 wrote to memory of 392	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	85
PID 1468 wrote to memory of 392	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	85
PID 1468 wrote to memory of 2676	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	86
PID 1468 wrote to memory of 2676	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	86
PID 1468 wrote to memory of 4392	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	87
PID 1468 wrote to memory of 4392	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	87
PID 1468 wrote to memory of 1268	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	88
PID 1468 wrote to memory of 1268	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	88
PID 1468 wrote to memory of 3832	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	89
PID 1468 wrote to memory of 3832	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	89
PID 1468 wrote to memory of 4804	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	90
PID 1468 wrote to memory of 4804	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	90
PID 1468 wrote to memory of 3864	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	91
PID 1468 wrote to memory of 3864	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	91
PID 1468 wrote to memory of 3108	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	92
PID 1468 wrote to memory of 3108	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	92
PID 1468 wrote to memory of 4300	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	93
PID 1468 wrote to memory of 4300	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	93
PID 1468 wrote to memory of 1968	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	94
PID 1468 wrote to memory of 1968	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	94
PID 1468 wrote to memory of 3772	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	95
PID 1468 wrote to memory of 3772	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	95
PID 1468 wrote to memory of 2248	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	96
PID 1468 wrote to memory of 2248	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	96
PID 1468 wrote to memory of 4176	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	97
PID 1468 wrote to memory of 4176	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	97
PID 1468 wrote to memory of 3420	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	98
PID 1468 wrote to memory of 3420	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	98
PID 1468 wrote to memory of 4240	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	99
PID 1468 wrote to memory of 4240	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	99
PID 1468 wrote to memory of 2172	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	100
PID 1468 wrote to memory of 2172	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	100
PID 1468 wrote to memory of 4980	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	101
PID 1468 wrote to memory of 4980	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	101
PID 1468 wrote to memory of 1488	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	102
PID 1468 wrote to memory of 1488	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	102
PID 1468 wrote to memory of 5000	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	103
PID 1468 wrote to memory of 5000	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	103
PID 1468 wrote to memory of 3548	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	104
PID 1468 wrote to memory of 3548	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	104
PID 1468 wrote to memory of 1412	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	105
PID 1468 wrote to memory of 1412	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	105
PID 1468 wrote to memory of 5080	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	106
PID 1468 wrote to memory of 5080	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	106
PID 1468 wrote to memory of 5072	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	107
PID 1468 wrote to memory of 5072	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	107
PID 1468 wrote to memory of 5060	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	108
PID 1468 wrote to memory of 5060	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	108
PID 1468 wrote to memory of 4480	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	109
PID 1468 wrote to memory of 4480	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	109
PID 1468 wrote to memory of 3564	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	110
PID 1468 wrote to memory of 3564	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	110
PID 1468 wrote to memory of 2432	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	111
PID 1468 wrote to memory of 2432	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	111
PID 1468 wrote to memory of 2840	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	112
PID 1468 wrote to memory of 2840	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	112
PID 1468 wrote to memory of 3044	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	113
PID 1468 wrote to memory of 3044	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	113
PID 1468 wrote to memory of 3128	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	114
PID 1468 wrote to memory of 3128	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	114
PID 1468 wrote to memory of 4364	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	115
PID 1468 wrote to memory of 4364	1468	104c9d634059133292219f481e0f2880_NEIKI.exe	115

C:\Users\Admin\AppData\Local\Temp\104c9d634059133292219f481e0f2880_NEIKI.exe
"C:\Users\Admin\AppData\Local\Temp\104c9d634059133292219f481e0f2880_NEIKI.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:1468
- C:\Windows\System32\fgOFcza.exe
  C:\Windows\System32\fgOFcza.exe
  2⤵
  - Executes dropped EXE
  PID:2916
- C:\Windows\System32\TARSNBs.exe
  C:\Windows\System32\TARSNBs.exe
  2⤵
  - Executes dropped EXE
  PID:392
- C:\Windows\System32\CjMoAeV.exe
  C:\Windows\System32\CjMoAeV.exe
  2⤵
  - Executes dropped EXE
  PID:2676
- C:\Windows\System32\DyjSttz.exe
  C:\Windows\System32\DyjSttz.exe
  2⤵
  - Executes dropped EXE
  PID:4392
- C:\Windows\System32\owvpTLh.exe
  C:\Windows\System32\owvpTLh.exe
  2⤵
  - Executes dropped EXE
  PID:1268
- C:\Windows\System32\JuoajOH.exe
  C:\Windows\System32\JuoajOH.exe
  2⤵
  - Executes dropped EXE
  PID:3832
- C:\Windows\System32\rHJvRwG.exe
  C:\Windows\System32\rHJvRwG.exe
  2⤵
  - Executes dropped EXE
  PID:4804
- C:\Windows\System32\rWFJWZZ.exe
  C:\Windows\System32\rWFJWZZ.exe
  2⤵
  - Executes dropped EXE
  PID:3864
- C:\Windows\System32\koOWcRk.exe
  C:\Windows\System32\koOWcRk.exe
  2⤵
  - Executes dropped EXE
  PID:3108
- C:\Windows\System32\QgLFGLQ.exe
  C:\Windows\System32\QgLFGLQ.exe
  2⤵
  - Executes dropped EXE
  PID:4300
- C:\Windows\System32\DJcKepM.exe
  C:\Windows\System32\DJcKepM.exe
  2⤵
  - Executes dropped EXE
  PID:1968
- C:\Windows\System32\kCqcwXe.exe
  C:\Windows\System32\kCqcwXe.exe
  2⤵
  - Executes dropped EXE
  PID:3772
- C:\Windows\System32\rbqVhiq.exe
  C:\Windows\System32\rbqVhiq.exe
  2⤵
  - Executes dropped EXE
  PID:2248
- C:\Windows\System32\LTInILg.exe
  C:\Windows\System32\LTInILg.exe
  2⤵
  - Executes dropped EXE
  PID:4176
- C:\Windows\System32\vtyOKpb.exe
  C:\Windows\System32\vtyOKpb.exe
  2⤵
  - Executes dropped EXE
  PID:3420
- C:\Windows\System32\qXvkVZi.exe
  C:\Windows\System32\qXvkVZi.exe
  2⤵
  - Executes dropped EXE
  PID:4240
- C:\Windows\System32\mZSLxzE.exe
  C:\Windows\System32\mZSLxzE.exe
  2⤵
  - Executes dropped EXE
  PID:2172
- C:\Windows\System32\qOzaPBV.exe
  C:\Windows\System32\qOzaPBV.exe
  2⤵
  - Executes dropped EXE
  PID:4980
- C:\Windows\System32\pSLKMuc.exe
  C:\Windows\System32\pSLKMuc.exe
  2⤵
  - Executes dropped EXE
  PID:1488
- C:\Windows\System32\soabsum.exe
  C:\Windows\System32\soabsum.exe
  2⤵
  - Executes dropped EXE
  PID:5000
- C:\Windows\System32\XWWPAFR.exe
  C:\Windows\System32\XWWPAFR.exe
  2⤵
  - Executes dropped EXE
  PID:3548
- C:\Windows\System32\LmnRgoc.exe
  C:\Windows\System32\LmnRgoc.exe
  2⤵
  - Executes dropped EXE
  PID:1412
- C:\Windows\System32\ssFBKUR.exe
  C:\Windows\System32\ssFBKUR.exe
  2⤵
  - Executes dropped EXE
  PID:5080
- C:\Windows\System32\MbVaAVX.exe
  C:\Windows\System32\MbVaAVX.exe
  2⤵
  - Executes dropped EXE
  PID:5072
- C:\Windows\System32\LkmYpqH.exe
  C:\Windows\System32\LkmYpqH.exe
  2⤵
  - Executes dropped EXE
  PID:5060
- C:\Windows\System32\gIjshPa.exe
  C:\Windows\System32\gIjshPa.exe
  2⤵
  - Executes dropped EXE
  PID:4480
- C:\Windows\System32\SCZoPUi.exe
  C:\Windows\System32\SCZoPUi.exe
  2⤵
  - Executes dropped EXE
  PID:3564
- C:\Windows\System32\DKgBufM.exe
  C:\Windows\System32\DKgBufM.exe
  2⤵
  - Executes dropped EXE
  PID:2432
- C:\Windows\System32\edRFgeJ.exe
  C:\Windows\System32\edRFgeJ.exe
  2⤵
  - Executes dropped EXE
  PID:2840
- C:\Windows\System32\agQaQkM.exe
  C:\Windows\System32\agQaQkM.exe
  2⤵
  - Executes dropped EXE
  PID:3044
- C:\Windows\System32\XkCmpqc.exe
  C:\Windows\System32\XkCmpqc.exe
  2⤵
  - Executes dropped EXE
  PID:3128
- C:\Windows\System32\DuCJdQM.exe
  C:\Windows\System32\DuCJdQM.exe
  2⤵
  - Executes dropped EXE
  PID:4364
- C:\Windows\System32\dOzWcOc.exe
  C:\Windows\System32\dOzWcOc.exe
  2⤵
  - Executes dropped EXE
  PID:3012
- C:\Windows\System32\QgjiCRQ.exe
  C:\Windows\System32\QgjiCRQ.exe
  2⤵
  - Executes dropped EXE
  PID:3792
- C:\Windows\System32\BmECXhZ.exe
  C:\Windows\System32\BmECXhZ.exe
  2⤵
  - Executes dropped EXE
  PID:4832
- C:\Windows\System32\IbBHbub.exe
  C:\Windows\System32\IbBHbub.exe
  2⤵
  - Executes dropped EXE
  PID:4872
- C:\Windows\System32\qCRusmn.exe
  C:\Windows\System32\qCRusmn.exe
  2⤵
  - Executes dropped EXE
  PID:1436
- C:\Windows\System32\uiSQOpf.exe
  C:\Windows\System32\uiSQOpf.exe
  2⤵
  - Executes dropped EXE
  PID:808
- C:\Windows\System32\okRFSai.exe
  C:\Windows\System32\okRFSai.exe
  2⤵
  - Executes dropped EXE
  PID:2908
- C:\Windows\System32\JThNoDt.exe
  C:\Windows\System32\JThNoDt.exe
  2⤵
  - Executes dropped EXE
  PID:4384
- C:\Windows\System32\wRmZkVk.exe
  C:\Windows\System32\wRmZkVk.exe
  2⤵
  - Executes dropped EXE
  PID:4616
- C:\Windows\System32\GCchZvF.exe
  C:\Windows\System32\GCchZvF.exe
  2⤵
  - Executes dropped EXE
  PID:4348
- C:\Windows\System32\uOfNogt.exe
  C:\Windows\System32\uOfNogt.exe
  2⤵
  - Executes dropped EXE
  PID:2956
- C:\Windows\System32\yMZhBWC.exe
  C:\Windows\System32\yMZhBWC.exe
  2⤵
  - Executes dropped EXE
  PID:4664
- C:\Windows\System32\cznPdis.exe
  C:\Windows\System32\cznPdis.exe
  2⤵
  - Executes dropped EXE
  PID:4340
- C:\Windows\System32\CPcRDRD.exe
  C:\Windows\System32\CPcRDRD.exe
  2⤵
  - Executes dropped EXE
  PID:1676
- C:\Windows\System32\QuzYpDT.exe
  C:\Windows\System32\QuzYpDT.exe
  2⤵
  - Executes dropped EXE
  PID:888
- C:\Windows\System32\diQmJsl.exe
  C:\Windows\System32\diQmJsl.exe
  2⤵
  - Executes dropped EXE
  PID:468
- C:\Windows\System32\mspIhij.exe
  C:\Windows\System32\mspIhij.exe
  2⤵
  - Executes dropped EXE
  PID:3408
- C:\Windows\System32\gbTFWDO.exe
  C:\Windows\System32\gbTFWDO.exe
  2⤵
  - Executes dropped EXE
  PID:3196
- C:\Windows\System32\GvKbBUm.exe
  C:\Windows\System32\GvKbBUm.exe
  2⤵
  - Executes dropped EXE
  PID:3240
- C:\Windows\System32\QaMRXNZ.exe
  C:\Windows\System32\QaMRXNZ.exe
  2⤵
  - Executes dropped EXE
  PID:4892
- C:\Windows\System32\VyCXpXI.exe
  C:\Windows\System32\VyCXpXI.exe
  2⤵
  - Executes dropped EXE
  PID:1912
- C:\Windows\System32\fGYbrsS.exe
  C:\Windows\System32\fGYbrsS.exe
  2⤵
  - Executes dropped EXE
  PID:2816
- C:\Windows\System32\YQsFKKH.exe
  C:\Windows\System32\YQsFKKH.exe
  2⤵
  - Executes dropped EXE
  PID:4748
- C:\Windows\System32\GJXYgkl.exe
  C:\Windows\System32\GJXYgkl.exe
  2⤵
  - Executes dropped EXE
  PID:1692
- C:\Windows\System32\MpzQzzc.exe
  C:\Windows\System32\MpzQzzc.exe
  2⤵
  - Executes dropped EXE
  PID:1516
- C:\Windows\System32\suELHhC.exe
  C:\Windows\System32\suELHhC.exe
  2⤵
  - Executes dropped EXE
  PID:3612
- C:\Windows\System32\rMRixtD.exe
  C:\Windows\System32\rMRixtD.exe
  2⤵
  - Executes dropped EXE
  PID:4008
- C:\Windows\System32\pFUbJOc.exe
  C:\Windows\System32\pFUbJOc.exe
  2⤵
  - Executes dropped EXE
  PID:3004
- C:\Windows\System32\elbuBqh.exe
  C:\Windows\System32\elbuBqh.exe
  2⤵
  - Executes dropped EXE
  PID:3636
- C:\Windows\System32\AynmsmN.exe
  C:\Windows\System32\AynmsmN.exe
  2⤵
  - Executes dropped EXE
  PID:740
- C:\Windows\System32\HpyPMtW.exe
  C:\Windows\System32\HpyPMtW.exe
  2⤵
  - Executes dropped EXE
  PID:3512
- C:\Windows\System32\JwEDmez.exe
  C:\Windows\System32\JwEDmez.exe
  2⤵
  - Executes dropped EXE
  PID:1340
- C:\Windows\System32\xvycwuS.exe
  C:\Windows\System32\xvycwuS.exe
  2⤵
  PID:3116
- C:\Windows\System32\SmulDFg.exe
  C:\Windows\System32\SmulDFg.exe
  2⤵
  PID:2372
- C:\Windows\System32\qAsutIQ.exe
  C:\Windows\System32\qAsutIQ.exe
  2⤵
  PID:3096
- C:\Windows\System32\jBqmGFM.exe
  C:\Windows\System32\jBqmGFM.exe
  2⤵
  PID:2596
- C:\Windows\System32\YyvfrTE.exe
  C:\Windows\System32\YyvfrTE.exe
  2⤵
  PID:2608
- C:\Windows\System32\eMCqqXI.exe
  C:\Windows\System32\eMCqqXI.exe
  2⤵
  PID:380
- C:\Windows\System32\GaqCGmV.exe
  C:\Windows\System32\GaqCGmV.exe
  2⤵
  PID:3860
- C:\Windows\System32\tsVooqz.exe
  C:\Windows\System32\tsVooqz.exe
  2⤵
  PID:3052
- C:\Windows\System32\swtLKxG.exe
  C:\Windows\System32\swtLKxG.exe
  2⤵
  PID:3976
- C:\Windows\System32\mHbYsHG.exe
  C:\Windows\System32\mHbYsHG.exe
  2⤵
  PID:4592
- C:\Windows\System32\dpaRhpJ.exe
  C:\Windows\System32\dpaRhpJ.exe
  2⤵
  PID:4868
- C:\Windows\System32\NLtfeyl.exe
  C:\Windows\System32\NLtfeyl.exe
  2⤵
  PID:2336
- C:\Windows\System32\VZQXjUZ.exe
  C:\Windows\System32\VZQXjUZ.exe
  2⤵
  PID:3620
- C:\Windows\System32\EhccELn.exe
  C:\Windows\System32\EhccELn.exe
  2⤵
  PID:1492
- C:\Windows\System32\Vedczyy.exe
  C:\Windows\System32\Vedczyy.exe
  2⤵
  PID:2180
- C:\Windows\System32\hVDbJXo.exe
  C:\Windows\System32\hVDbJXo.exe
  2⤵
  PID:724
- C:\Windows\System32\DqhEzhl.exe
  C:\Windows\System32\DqhEzhl.exe
  2⤵
  PID:2496
- C:\Windows\System32\gEhUNpV.exe
  C:\Windows\System32\gEhUNpV.exe
  2⤵
  PID:3204
- C:\Windows\System32\ZETMSGm.exe
  C:\Windows\System32\ZETMSGm.exe
  2⤵
  PID:3604
- C:\Windows\System32\cYbbUcH.exe
  C:\Windows\System32\cYbbUcH.exe
  2⤵
  PID:2360
- C:\Windows\System32\syzubsH.exe
  C:\Windows\System32\syzubsH.exe
  2⤵
  PID:1144
- C:\Windows\System32\kPoPdQX.exe
  C:\Windows\System32\kPoPdQX.exe
  2⤵
  PID:4316
- C:\Windows\System32\LSGrlvG.exe
  C:\Windows\System32\LSGrlvG.exe
  2⤵
  PID:4280
- C:\Windows\System32\YBCfXye.exe
  C:\Windows\System32\YBCfXye.exe
  2⤵
  PID:752
- C:\Windows\System32\vrOkihE.exe
  C:\Windows\System32\vrOkihE.exe
  2⤵
  PID:4736
- C:\Windows\System32\MfVbglJ.exe
  C:\Windows\System32\MfVbglJ.exe
  2⤵
  PID:3492
- C:\Windows\System32\PmiPsRg.exe
  C:\Windows\System32\PmiPsRg.exe
  2⤵
  PID:2164
- C:\Windows\System32\jvrzrqW.exe
  C:\Windows\System32\jvrzrqW.exe
  2⤵
  PID:4756
- C:\Windows\System32\lGkCCwt.exe
  C:\Windows\System32\lGkCCwt.exe
  2⤵
  PID:3028
- C:\Windows\System32\DhcjzNW.exe
  C:\Windows\System32\DhcjzNW.exe
  2⤵
  PID:5176
- C:\Windows\System32\YAMefad.exe
  C:\Windows\System32\YAMefad.exe
  2⤵
  PID:5232
- C:\Windows\System32\OLOKEBx.exe
  C:\Windows\System32\OLOKEBx.exe
  2⤵
  PID:5248
- C:\Windows\System32\slrjhJZ.exe
  C:\Windows\System32\slrjhJZ.exe
  2⤵
  PID:5272
- C:\Windows\System32\NrhRyPT.exe
  C:\Windows\System32\NrhRyPT.exe
  2⤵
  PID:5292
- C:\Windows\System32\rhWLRFD.exe
  C:\Windows\System32\rhWLRFD.exe
  2⤵
  PID:5308
- C:\Windows\System32\Idltlzm.exe
  C:\Windows\System32\Idltlzm.exe
  2⤵
  PID:5328
- C:\Windows\System32\ymlVbST.exe
  C:\Windows\System32\ymlVbST.exe
  2⤵
  PID:5380
- C:\Windows\System32\jLUKufS.exe
  C:\Windows\System32\jLUKufS.exe
  2⤵
  PID:5396
- C:\Windows\System32\RododDk.exe
  C:\Windows\System32\RododDk.exe
  2⤵
  PID:5412
- C:\Windows\System32\AyCHFHm.exe
  C:\Windows\System32\AyCHFHm.exe
  2⤵
  PID:5436
- C:\Windows\System32\OJcqaHG.exe
  C:\Windows\System32\OJcqaHG.exe
  2⤵
  PID:5452
- C:\Windows\System32\vInqrTv.exe
  C:\Windows\System32\vInqrTv.exe
  2⤵
  PID:5472
- C:\Windows\System32\IYReIHu.exe
  C:\Windows\System32\IYReIHu.exe
  2⤵
  PID:5516
- C:\Windows\System32\sOtlqTN.exe
  C:\Windows\System32\sOtlqTN.exe
  2⤵
  PID:5556
- C:\Windows\System32\WeuZEBu.exe
  C:\Windows\System32\WeuZEBu.exe
  2⤵
  PID:5572
- C:\Windows\System32\CRrKrMJ.exe
  C:\Windows\System32\CRrKrMJ.exe
  2⤵
  PID:5588
- C:\Windows\System32\GKeofNQ.exe
  C:\Windows\System32\GKeofNQ.exe
  2⤵
  PID:5616
- C:\Windows\System32\SELKtuf.exe
  C:\Windows\System32\SELKtuf.exe
  2⤵
  PID:5632
- C:\Windows\System32\MxhfXBS.exe
  C:\Windows\System32\MxhfXBS.exe
  2⤵
  PID:5648
- C:\Windows\System32\KBnyikl.exe
  C:\Windows\System32\KBnyikl.exe
  2⤵
  PID:5688
- C:\Windows\System32\nSUwdBy.exe
  C:\Windows\System32\nSUwdBy.exe
  2⤵
  PID:5716
- C:\Windows\System32\deVLgUQ.exe
  C:\Windows\System32\deVLgUQ.exe
  2⤵
  PID:5732
- C:\Windows\System32\NtCoAyi.exe
  C:\Windows\System32\NtCoAyi.exe
  2⤵
  PID:5760
- C:\Windows\System32\cTdzZZz.exe
  C:\Windows\System32\cTdzZZz.exe
  2⤵
  PID:5776
- C:\Windows\System32\xIUrILM.exe
  C:\Windows\System32\xIUrILM.exe
  2⤵
  PID:5800
- C:\Windows\System32\DkuElvC.exe
  C:\Windows\System32\DkuElvC.exe
  2⤵
  PID:5816
- C:\Windows\System32\eKdoXBF.exe
  C:\Windows\System32\eKdoXBF.exe
  2⤵
  PID:5840
- C:\Windows\System32\UweXOai.exe
  C:\Windows\System32\UweXOai.exe
  2⤵
  PID:5936
- C:\Windows\System32\vvqqCRO.exe
  C:\Windows\System32\vvqqCRO.exe
  2⤵
  PID:5960
- C:\Windows\System32\IPxlJUW.exe
  C:\Windows\System32\IPxlJUW.exe
  2⤵
  PID:5980
- C:\Windows\System32\uwISkOb.exe
  C:\Windows\System32\uwISkOb.exe
  2⤵
  PID:5996
- C:\Windows\System32\zlePCpD.exe
  C:\Windows\System32\zlePCpD.exe
  2⤵
  PID:6012
- C:\Windows\System32\whRunBx.exe
  C:\Windows\System32\whRunBx.exe
  2⤵
  PID:6036
- C:\Windows\System32\WXwpQud.exe
  C:\Windows\System32\WXwpQud.exe
  2⤵
  PID:6060
- C:\Windows\System32\wlHXSzR.exe
  C:\Windows\System32\wlHXSzR.exe
  2⤵
  PID:4564
- C:\Windows\System32\UiWfxgV.exe
  C:\Windows\System32\UiWfxgV.exe
  2⤵
  PID:1764
- C:\Windows\System32\sXsKlpM.exe
  C:\Windows\System32\sXsKlpM.exe
  2⤵
  PID:1068
- C:\Windows\System32\XPeisIg.exe
  C:\Windows\System32\XPeisIg.exe
  2⤵
  PID:5244
- C:\Windows\System32\LFOTabI.exe
  C:\Windows\System32\LFOTabI.exe
  2⤵
  PID:5300
- C:\Windows\System32\nBRvHVd.exe
  C:\Windows\System32\nBRvHVd.exe
  2⤵
  PID:5316
- C:\Windows\System32\ckNCkmf.exe
  C:\Windows\System32\ckNCkmf.exe
  2⤵
  PID:5432
- C:\Windows\System32\ldPOnAK.exe
  C:\Windows\System32\ldPOnAK.exe
  2⤵
  PID:5392
- C:\Windows\System32\wqqALyw.exe
  C:\Windows\System32\wqqALyw.exe
  2⤵
  PID:5492
- C:\Windows\System32\KzViiYh.exe
  C:\Windows\System32\KzViiYh.exe
  2⤵
  PID:5640
- C:\Windows\System32\yyQDNYa.exe
  C:\Windows\System32\yyQDNYa.exe
  2⤵
  PID:5604
- C:\Windows\System32\tHwaKaY.exe
  C:\Windows\System32\tHwaKaY.exe
  2⤵
  PID:5668
- C:\Windows\System32\ItAcVJO.exe
  C:\Windows\System32\ItAcVJO.exe
  2⤵
  PID:5792
- C:\Windows\System32\CRVavsV.exe
  C:\Windows\System32\CRVavsV.exe
  2⤵
  PID:5848
- C:\Windows\System32\LmgcGsR.exe
  C:\Windows\System32\LmgcGsR.exe
  2⤵
  PID:5972
- C:\Windows\System32\tqJIxtX.exe
  C:\Windows\System32\tqJIxtX.exe
  2⤵
  PID:6008
- C:\Windows\System32\RAxmKdG.exe
  C:\Windows\System32\RAxmKdG.exe
  2⤵
  PID:6076
- C:\Windows\System32\nHXkDFK.exe
  C:\Windows\System32\nHXkDFK.exe
  2⤵
  PID:2760
- C:\Windows\System32\jdzJJdw.exe
  C:\Windows\System32\jdzJJdw.exe
  2⤵
  PID:6116
- C:\Windows\System32\RLcLCUf.exe
  C:\Windows\System32\RLcLCUf.exe
  2⤵
  PID:3932
- C:\Windows\System32\HfrIVbC.exe
  C:\Windows\System32\HfrIVbC.exe
  2⤵
  PID:5208
- C:\Windows\System32\AneyjiB.exe
  C:\Windows\System32\AneyjiB.exe
  2⤵
  PID:5468
- C:\Windows\System32\ycNWpzT.exe
  C:\Windows\System32\ycNWpzT.exe
  2⤵
  PID:5508
- C:\Windows\System32\uNTrxAN.exe
  C:\Windows\System32\uNTrxAN.exe
  2⤵
  PID:5464
- C:\Windows\System32\beKsRnN.exe
  C:\Windows\System32\beKsRnN.exe
  2⤵
  PID:5684
- C:\Windows\System32\HTewXyZ.exe
  C:\Windows\System32\HTewXyZ.exe
  2⤵
  PID:5812
- C:\Windows\System32\yPXMYhE.exe
  C:\Windows\System32\yPXMYhE.exe
  2⤵
  PID:5992
- C:\Windows\System32\szCGWGz.exe
  C:\Windows\System32\szCGWGz.exe
  2⤵
  PID:3648
- C:\Windows\System32\yemGIFJ.exe
  C:\Windows\System32\yemGIFJ.exe
  2⤵
  PID:5836
- C:\Windows\System32\huubIPf.exe
  C:\Windows\System32\huubIPf.exe
  2⤵
  PID:6204
- C:\Windows\System32\lPLsUfK.exe
  C:\Windows\System32\lPLsUfK.exe
  2⤵
  PID:6228
- C:\Windows\System32\bGOIfuv.exe
  C:\Windows\System32\bGOIfuv.exe
  2⤵
  PID:6248
- C:\Windows\System32\ebFloHN.exe
  C:\Windows\System32\ebFloHN.exe
  2⤵
  PID:6272
- C:\Windows\System32\kcLeikK.exe
  C:\Windows\System32\kcLeikK.exe
  2⤵
  PID:6308
- C:\Windows\System32\uMjmsoO.exe
  C:\Windows\System32\uMjmsoO.exe
  2⤵
  PID:6332
- C:\Windows\System32\snyIQbQ.exe
  C:\Windows\System32\snyIQbQ.exe
  2⤵
  PID:6352
- C:\Windows\System32\vkAvbOf.exe
  C:\Windows\System32\vkAvbOf.exe
  2⤵
  PID:6400
- C:\Windows\System32\txExoCs.exe
  C:\Windows\System32\txExoCs.exe
  2⤵
  PID:6432
- C:\Windows\System32\VwaImlO.exe
  C:\Windows\System32\VwaImlO.exe
  2⤵
  PID:6452
- C:\Windows\System32\tjfkqSs.exe
  C:\Windows\System32\tjfkqSs.exe
  2⤵
  PID:6484
- C:\Windows\System32\kyTYZjH.exe
  C:\Windows\System32\kyTYZjH.exe
  2⤵
  PID:6520
- C:\Windows\System32\vLhJBEj.exe
  C:\Windows\System32\vLhJBEj.exe
  2⤵
  PID:6544
- C:\Windows\System32\PYqZArZ.exe
  C:\Windows\System32\PYqZArZ.exe
  2⤵
  PID:6564
- C:\Windows\System32\LAzZuyj.exe
  C:\Windows\System32\LAzZuyj.exe
  2⤵
  PID:6584
- C:\Windows\System32\HbIlktp.exe
  C:\Windows\System32\HbIlktp.exe
  2⤵
  PID:6632
- C:\Windows\System32\hkTUhcX.exe
  C:\Windows\System32\hkTUhcX.exe
  2⤵
  PID:6652
- C:\Windows\System32\sCTazDR.exe
  C:\Windows\System32\sCTazDR.exe
  2⤵
  PID:6684
- C:\Windows\System32\Rzuthkr.exe
  C:\Windows\System32\Rzuthkr.exe
  2⤵
  PID:6712
- C:\Windows\System32\WeGTIWE.exe
  C:\Windows\System32\WeGTIWE.exe
  2⤵
  PID:6736
- C:\Windows\System32\rGeWaaN.exe
  C:\Windows\System32\rGeWaaN.exe
  2⤵
  PID:6752
- C:\Windows\System32\mYkwiWs.exe
  C:\Windows\System32\mYkwiWs.exe
  2⤵
  PID:6772
- C:\Windows\System32\mFoGuxm.exe
  C:\Windows\System32\mFoGuxm.exe
  2⤵
  PID:6796
- C:\Windows\System32\rhOjaBG.exe
  C:\Windows\System32\rhOjaBG.exe
  2⤵
  PID:6812
- C:\Windows\System32\wDItEUn.exe
  C:\Windows\System32\wDItEUn.exe
  2⤵
  PID:6836
- C:\Windows\System32\WjlKYqc.exe
  C:\Windows\System32\WjlKYqc.exe
  2⤵
  PID:6852
- C:\Windows\System32\WoUEVvc.exe
  C:\Windows\System32\WoUEVvc.exe
  2⤵
  PID:6872
- C:\Windows\System32\kGUNCiA.exe
  C:\Windows\System32\kGUNCiA.exe
  2⤵
  PID:6908
- C:\Windows\System32\qEiKlHf.exe
  C:\Windows\System32\qEiKlHf.exe
  2⤵
  PID:6988
- C:\Windows\System32\JPuRPmC.exe
  C:\Windows\System32\JPuRPmC.exe
  2⤵
  PID:7004
- C:\Windows\System32\GJrUPQj.exe
  C:\Windows\System32\GJrUPQj.exe
  2⤵
  PID:7036
- C:\Windows\System32\EocVoZW.exe
  C:\Windows\System32\EocVoZW.exe
  2⤵
  PID:7076
- C:\Windows\System32\nIuIqSD.exe
  C:\Windows\System32\nIuIqSD.exe
  2⤵
  PID:7100
- C:\Windows\System32\VsUmZgz.exe
  C:\Windows\System32\VsUmZgz.exe
  2⤵
  PID:7116
- C:\Windows\System32\DRLZATb.exe
  C:\Windows\System32\DRLZATb.exe
  2⤵
  PID:7132
- C:\Windows\System32\PLNcOhf.exe
  C:\Windows\System32\PLNcOhf.exe
  2⤵
  PID:7160
- C:\Windows\System32\QABvvvz.exe
  C:\Windows\System32\QABvvvz.exe
  2⤵
  PID:5796
- C:\Windows\System32\lkPoGqG.exe
  C:\Windows\System32\lkPoGqG.exe
  2⤵
  PID:5580
- C:\Windows\System32\bZwbdEU.exe
  C:\Windows\System32\bZwbdEU.exe
  2⤵
  PID:6256
- C:\Windows\System32\jFxuyrV.exe
  C:\Windows\System32\jFxuyrV.exe
  2⤵
  PID:6364
- C:\Windows\System32\FOpBqRc.exe
  C:\Windows\System32\FOpBqRc.exe
  2⤵
  PID:6376
- C:\Windows\System32\XZwWgvE.exe
  C:\Windows\System32\XZwWgvE.exe
  2⤵
  PID:6444
- C:\Windows\System32\IrBWmpT.exe
  C:\Windows\System32\IrBWmpT.exe
  2⤵
  PID:6476
- C:\Windows\System32\YRvudUF.exe
  C:\Windows\System32\YRvudUF.exe
  2⤵
  PID:6560
- C:\Windows\System32\dhTisnh.exe
  C:\Windows\System32\dhTisnh.exe
  2⤵
  PID:6572
- C:\Windows\System32\UYIbxPR.exe
  C:\Windows\System32\UYIbxPR.exe
  2⤵
  PID:6660
- C:\Windows\System32\CfwLJgy.exe
  C:\Windows\System32\CfwLJgy.exe
  2⤵
  PID:6696
- C:\Windows\System32\CvAjamX.exe
  C:\Windows\System32\CvAjamX.exe
  2⤵
  PID:6760
- C:\Windows\System32\MmHQEwD.exe
  C:\Windows\System32\MmHQEwD.exe
  2⤵
  PID:6896
- C:\Windows\System32\palgrzP.exe
  C:\Windows\System32\palgrzP.exe
  2⤵
  PID:6948
- C:\Windows\System32\rbPMBiD.exe
  C:\Windows\System32\rbPMBiD.exe
  2⤵
  PID:7000
- C:\Windows\System32\DZboULO.exe
  C:\Windows\System32\DZboULO.exe
  2⤵
  PID:3536
- C:\Windows\System32\RwwHhcd.exe
  C:\Windows\System32\RwwHhcd.exe
  2⤵
  PID:7092
- C:\Windows\System32\TXJovMI.exe
  C:\Windows\System32\TXJovMI.exe
  2⤵
  PID:7108
- C:\Windows\System32\CSLMSZX.exe
  C:\Windows\System32\CSLMSZX.exe
  2⤵
  PID:5584
- C:\Windows\System32\MqXZAiC.exe
  C:\Windows\System32\MqXZAiC.exe
  2⤵
  PID:4904
- C:\Windows\System32\QTmOQen.exe
  C:\Windows\System32\QTmOQen.exe
  2⤵
  PID:6152
- C:\Windows\System32\FSdtYcr.exe
  C:\Windows\System32\FSdtYcr.exe
  2⤵
  PID:6340
- C:\Windows\System32\SeSGcAa.exe
  C:\Windows\System32\SeSGcAa.exe
  2⤵
  PID:6504
- C:\Windows\System32\ncoSaKA.exe
  C:\Windows\System32\ncoSaKA.exe
  2⤵
  PID:6768
- C:\Windows\System32\QSDoSXK.exe
  C:\Windows\System32\QSDoSXK.exe
  2⤵
  PID:7060
- C:\Windows\System32\HaGkdCU.exe
  C:\Windows\System32\HaGkdCU.exe
  2⤵
  PID:6188
- C:\Windows\System32\YmLZnRg.exe
  C:\Windows\System32\YmLZnRg.exe
  2⤵
  PID:6468
- C:\Windows\System32\ZnogRWX.exe
  C:\Windows\System32\ZnogRWX.exe
  2⤵
  PID:6940
- C:\Windows\System32\mukpMbD.exe
  C:\Windows\System32\mukpMbD.exe
  2⤵
  PID:6728
- C:\Windows\System32\nyvGymB.exe
  C:\Windows\System32\nyvGymB.exe
  2⤵
  PID:7124
- C:\Windows\System32\yeUuqmy.exe
  C:\Windows\System32\yeUuqmy.exe
  2⤵
  PID:6264
- C:\Windows\System32\lxDrZuN.exe
  C:\Windows\System32\lxDrZuN.exe
  2⤵
  PID:7212
- C:\Windows\System32\RKPGCRb.exe
  C:\Windows\System32\RKPGCRb.exe
  2⤵
  PID:7240
- C:\Windows\System32\wifgGPy.exe
  C:\Windows\System32\wifgGPy.exe
  2⤵
  PID:7256
- C:\Windows\System32\kFsbKDt.exe
  C:\Windows\System32\kFsbKDt.exe
  2⤵
  PID:7284
- C:\Windows\System32\TQirruh.exe
  C:\Windows\System32\TQirruh.exe
  2⤵
  PID:7300
- C:\Windows\System32\WakpgKt.exe
  C:\Windows\System32\WakpgKt.exe
  2⤵
  PID:7320
- C:\Windows\System32\mAIECRm.exe
  C:\Windows\System32\mAIECRm.exe
  2⤵
  PID:7344
- C:\Windows\System32\RCiQXpX.exe
  C:\Windows\System32\RCiQXpX.exe
  2⤵
  PID:7372
- C:\Windows\System32\eejCPhI.exe
  C:\Windows\System32\eejCPhI.exe
  2⤵
  PID:7396
- C:\Windows\System32\APWDvzr.exe
  C:\Windows\System32\APWDvzr.exe
  2⤵
  PID:7416
- C:\Windows\System32\lauyAKc.exe
  C:\Windows\System32\lauyAKc.exe
  2⤵
  PID:7436
- C:\Windows\System32\mCyhorY.exe
  C:\Windows\System32\mCyhorY.exe
  2⤵
  PID:7456
- C:\Windows\System32\ZhNgoHV.exe
  C:\Windows\System32\ZhNgoHV.exe
  2⤵
  PID:7492
- C:\Windows\System32\BywScvY.exe
  C:\Windows\System32\BywScvY.exe
  2⤵
  PID:7536
- C:\Windows\System32\neAkJAI.exe
  C:\Windows\System32\neAkJAI.exe
  2⤵
  PID:7596
- C:\Windows\System32\jzTCVNX.exe
  C:\Windows\System32\jzTCVNX.exe
  2⤵
  PID:7624
- C:\Windows\System32\AjQoPIy.exe
  C:\Windows\System32\AjQoPIy.exe
  2⤵
  PID:7672
- C:\Windows\System32\lXwwOzW.exe
  C:\Windows\System32\lXwwOzW.exe
  2⤵
  PID:7692
- C:\Windows\System32\beILmvO.exe
  C:\Windows\System32\beILmvO.exe
  2⤵
  PID:7716
- C:\Windows\System32\zYvyEbH.exe
  C:\Windows\System32\zYvyEbH.exe
  2⤵
  PID:7736
- C:\Windows\System32\bvVpVnH.exe
  C:\Windows\System32\bvVpVnH.exe
  2⤵
  PID:7756
- C:\Windows\System32\dfUHasa.exe
  C:\Windows\System32\dfUHasa.exe
  2⤵
  PID:7776
- C:\Windows\System32\PXHuKmQ.exe
  C:\Windows\System32\PXHuKmQ.exe
  2⤵
  PID:7820
- C:\Windows\System32\bCNquJP.exe
  C:\Windows\System32\bCNquJP.exe
  2⤵
  PID:7840
- C:\Windows\System32\qCFCubb.exe
  C:\Windows\System32\qCFCubb.exe
  2⤵
  PID:7904
- C:\Windows\System32\SxqzIYo.exe
  C:\Windows\System32\SxqzIYo.exe
  2⤵
  PID:7932
- C:\Windows\System32\aZRuUxy.exe
  C:\Windows\System32\aZRuUxy.exe
  2⤵
  PID:7948
- C:\Windows\System32\tfCUTdr.exe
  C:\Windows\System32\tfCUTdr.exe
  2⤵
  PID:8004
- C:\Windows\System32\xKHrwMS.exe
  C:\Windows\System32\xKHrwMS.exe
  2⤵
  PID:8020
- C:\Windows\System32\bmYaJFP.exe
  C:\Windows\System32\bmYaJFP.exe
  2⤵
  PID:8036
- C:\Windows\System32\uyVOorc.exe
  C:\Windows\System32\uyVOorc.exe
  2⤵
  PID:8052
- C:\Windows\System32\VQlgLbT.exe
  C:\Windows\System32\VQlgLbT.exe
  2⤵
  PID:8068
- C:\Windows\System32\WNEUpZQ.exe
  C:\Windows\System32\WNEUpZQ.exe
  2⤵
  PID:8100
- C:\Windows\System32\GPHyxKG.exe
  C:\Windows\System32\GPHyxKG.exe
  2⤵
  PID:8120
- C:\Windows\System32\oSYGOeN.exe
  C:\Windows\System32\oSYGOeN.exe
  2⤵
  PID:8136
- C:\Windows\System32\rrflftD.exe
  C:\Windows\System32\rrflftD.exe
  2⤵
  PID:8160
- C:\Windows\System32\OUegxnH.exe
  C:\Windows\System32\OUegxnH.exe
  2⤵
  PID:8176
- C:\Windows\System32\SruXvKf.exe
  C:\Windows\System32\SruXvKf.exe
  2⤵
  PID:6440
- C:\Windows\System32\SHVirRU.exe
  C:\Windows\System32\SHVirRU.exe
  2⤵
  PID:7208
- C:\Windows\System32\pWOVdNE.exe
  C:\Windows\System32\pWOVdNE.exe
  2⤵
  PID:7232
- C:\Windows\System32\gDWtKgI.exe
  C:\Windows\System32\gDWtKgI.exe
  2⤵
  PID:7384
- C:\Windows\System32\yhcSOPa.exe
  C:\Windows\System32\yhcSOPa.exe
  2⤵
  PID:7428
- C:\Windows\System32\xAkORCF.exe
  C:\Windows\System32\xAkORCF.exe
  2⤵
  PID:7500
- C:\Windows\System32\yCywysT.exe
  C:\Windows\System32\yCywysT.exe
  2⤵
  PID:7660
- C:\Windows\System32\pifmwjW.exe
  C:\Windows\System32\pifmwjW.exe
  2⤵
  PID:7704
- C:\Windows\System32\KaPvfVn.exe
  C:\Windows\System32\KaPvfVn.exe
  2⤵
  PID:7768
- C:\Windows\System32\QKjEKhI.exe
  C:\Windows\System32\QKjEKhI.exe
  2⤵
  PID:7900
- C:\Windows\System32\sbselLI.exe
  C:\Windows\System32\sbselLI.exe
  2⤵
  PID:7992
- C:\Windows\System32\NyVHYuI.exe
  C:\Windows\System32\NyVHYuI.exe
  2⤵
  PID:5044
- C:\Windows\System32\ITkNkOw.exe
  C:\Windows\System32\ITkNkOw.exe
  2⤵
  PID:8060
- C:\Windows\System32\KjqGOLR.exe
  C:\Windows\System32\KjqGOLR.exe
  2⤵
  PID:6664
- C:\Windows\System32\XtjygYN.exe
  C:\Windows\System32\XtjygYN.exe
  2⤵
  PID:6388
- C:\Windows\System32\LjBQWgE.exe
  C:\Windows\System32\LjBQWgE.exe
  2⤵
  PID:7268
- C:\Windows\System32\RTiWHOk.exe
  C:\Windows\System32\RTiWHOk.exe
  2⤵
  PID:7296
- C:\Windows\System32\krVJWTm.exe
  C:\Windows\System32\krVJWTm.exe
  2⤵
  PID:7276
- C:\Windows\System32\EtZIbtg.exe
  C:\Windows\System32\EtZIbtg.exe
  2⤵
  PID:7648
- C:\Windows\System32\LKjHxyP.exe
  C:\Windows\System32\LKjHxyP.exe
  2⤵
  PID:7608
- C:\Windows\System32\vmOHJDR.exe
  C:\Windows\System32\vmOHJDR.exe
  2⤵
  PID:7852
- C:\Windows\System32\OvNTypZ.exe
  C:\Windows\System32\OvNTypZ.exe
  2⤵
  PID:8028
- C:\Windows\System32\pCVJGVz.exe
  C:\Windows\System32\pCVJGVz.exe
  2⤵
  PID:7308
- C:\Windows\System32\yFcpfqS.exe
  C:\Windows\System32\yFcpfqS.exe
  2⤵
  PID:3640
- C:\Windows\System32\ACsfpoG.exe
  C:\Windows\System32\ACsfpoG.exe
  2⤵
  PID:7552
- C:\Windows\System32\YsBMvvI.exe
  C:\Windows\System32\YsBMvvI.exe
  2⤵
  PID:8200
- C:\Windows\System32\PcKqpRW.exe
  C:\Windows\System32\PcKqpRW.exe
  2⤵
  PID:8228
- C:\Windows\System32\EPbSVuU.exe
  C:\Windows\System32\EPbSVuU.exe
  2⤵
  PID:8256
- C:\Windows\System32\gungjCV.exe
  C:\Windows\System32\gungjCV.exe
  2⤵
  PID:8280
- C:\Windows\System32\wlSdFZT.exe
  C:\Windows\System32\wlSdFZT.exe
  2⤵
  PID:8304
- C:\Windows\System32\MfrrFal.exe
  C:\Windows\System32\MfrrFal.exe
  2⤵
  PID:8340
- C:\Windows\System32\lFDSelv.exe
  C:\Windows\System32\lFDSelv.exe
  2⤵
  PID:8360
- C:\Windows\System32\geuybJi.exe
  C:\Windows\System32\geuybJi.exe
  2⤵
  PID:8388
- C:\Windows\System32\AzzRrrG.exe
  C:\Windows\System32\AzzRrrG.exe
  2⤵
  PID:8408
- C:\Windows\System32\fnkucbL.exe
  C:\Windows\System32\fnkucbL.exe
  2⤵
  PID:8452
- C:\Windows\System32\QiwJrQr.exe
  C:\Windows\System32\QiwJrQr.exe
  2⤵
  PID:8476
- C:\Windows\System32\gqDrpCZ.exe
  C:\Windows\System32\gqDrpCZ.exe
  2⤵
  PID:8504
- C:\Windows\System32\NBGuEsx.exe
  C:\Windows\System32\NBGuEsx.exe
  2⤵
  PID:8532
- C:\Windows\System32\IbayLqx.exe
  C:\Windows\System32\IbayLqx.exe
  2⤵
  PID:8548
- C:\Windows\System32\idphMaS.exe
  C:\Windows\System32\idphMaS.exe
  2⤵
  PID:8568
- C:\Windows\System32\FIGCKWg.exe
  C:\Windows\System32\FIGCKWg.exe
  2⤵
  PID:8588
- C:\Windows\System32\VxbDZaK.exe
  C:\Windows\System32\VxbDZaK.exe
  2⤵
  PID:8628
- C:\Windows\System32\jisOdBx.exe
  C:\Windows\System32\jisOdBx.exe
  2⤵
  PID:8656
- C:\Windows\System32\OUHBnEm.exe
  C:\Windows\System32\OUHBnEm.exe
  2⤵
  PID:8692
- C:\Windows\System32\mjWGOXI.exe
  C:\Windows\System32\mjWGOXI.exe
  2⤵
  PID:8708
- C:\Windows\System32\eDHonry.exe
  C:\Windows\System32\eDHonry.exe
  2⤵
  PID:8736
- C:\Windows\System32\kOzGHff.exe
  C:\Windows\System32\kOzGHff.exe
  2⤵
  PID:8756
- C:\Windows\System32\xuveENx.exe
  C:\Windows\System32\xuveENx.exe
  2⤵
  PID:8780
- C:\Windows\System32\VKVdOmU.exe
  C:\Windows\System32\VKVdOmU.exe
  2⤵
  PID:8844
- C:\Windows\System32\IezSawe.exe
  C:\Windows\System32\IezSawe.exe
  2⤵
  PID:8860
- C:\Windows\System32\yWOnzoQ.exe
  C:\Windows\System32\yWOnzoQ.exe
  2⤵
  PID:8884
- C:\Windows\System32\FqqUEXm.exe
  C:\Windows\System32\FqqUEXm.exe
  2⤵
  PID:8912
- C:\Windows\System32\cMOMnwf.exe
  C:\Windows\System32\cMOMnwf.exe
  2⤵
  PID:8936
- C:\Windows\System32\kQXeRtA.exe
  C:\Windows\System32\kQXeRtA.exe
  2⤵
  PID:8960
- C:\Windows\System32\IEOZWoe.exe
  C:\Windows\System32\IEOZWoe.exe
  2⤵
  PID:8976
- C:\Windows\System32\bBJnAmD.exe
  C:\Windows\System32\bBJnAmD.exe
  2⤵
  PID:9008
- C:\Windows\System32\nvCwZli.exe
  C:\Windows\System32\nvCwZli.exe
  2⤵
  PID:9060
- C:\Windows\System32\wMLXmNw.exe
  C:\Windows\System32\wMLXmNw.exe
  2⤵
  PID:9080
- C:\Windows\System32\hRbRqCk.exe
  C:\Windows\System32\hRbRqCk.exe
  2⤵
  PID:9096
- C:\Windows\System32\hLwalaQ.exe
  C:\Windows\System32\hLwalaQ.exe
  2⤵
  PID:9124
- C:\Windows\System32\PfgUrYK.exe
  C:\Windows\System32\PfgUrYK.exe
  2⤵
  PID:9140
- C:\Windows\System32\hqVObzh.exe
  C:\Windows\System32\hqVObzh.exe
  2⤵
  PID:9188
- C:\Windows\System32\LgSLsVl.exe
  C:\Windows\System32\LgSLsVl.exe
  2⤵
  PID:8184
- C:\Windows\System32\boXElSG.exe
  C:\Windows\System32\boXElSG.exe
  2⤵
  PID:8196
- C:\Windows\System32\cLsVTKd.exe
  C:\Windows\System32\cLsVTKd.exe
  2⤵
  PID:8316
- C:\Windows\System32\iMCIQec.exe
  C:\Windows\System32\iMCIQec.exe
  2⤵
  PID:8368
- C:\Windows\System32\XHGvoGP.exe
  C:\Windows\System32\XHGvoGP.exe
  2⤵
  PID:8464
- C:\Windows\System32\wIewhmj.exe
  C:\Windows\System32\wIewhmj.exe
  2⤵
  PID:8520
- C:\Windows\System32\IqHjcaY.exe
  C:\Windows\System32\IqHjcaY.exe
  2⤵
  PID:8608
- C:\Windows\System32\USDXlJr.exe
  C:\Windows\System32\USDXlJr.exe
  2⤵
  PID:8672
- C:\Windows\System32\jJgJQpz.exe
  C:\Windows\System32\jJgJQpz.exe
  2⤵
  PID:8748
- C:\Windows\System32\TrteCPJ.exe
  C:\Windows\System32\TrteCPJ.exe
  2⤵
  PID:8752
- C:\Windows\System32\slIbkoX.exe
  C:\Windows\System32\slIbkoX.exe
  2⤵
  PID:8832
- C:\Windows\System32\GRiJLHw.exe
  C:\Windows\System32\GRiJLHw.exe
  2⤵
  PID:8876
- C:\Windows\System32\DYlftba.exe
  C:\Windows\System32\DYlftba.exe
  2⤵
  PID:8932
- C:\Windows\System32\rKVuCjq.exe
  C:\Windows\System32\rKVuCjq.exe
  2⤵
  PID:9052
- C:\Windows\System32\OPDWmNt.exe
  C:\Windows\System32\OPDWmNt.exe
  2⤵
  PID:9092
- C:\Windows\System32\eoHaVBb.exe
  C:\Windows\System32\eoHaVBb.exe
  2⤵
  PID:9160
- C:\Windows\System32\EzEpcJD.exe
  C:\Windows\System32\EzEpcJD.exe
  2⤵
  PID:4928
- C:\Windows\System32\JVOqdmy.exe
  C:\Windows\System32\JVOqdmy.exe
  2⤵
  PID:8208
- C:\Windows\System32\yyAnMdb.exe
  C:\Windows\System32\yyAnMdb.exe
  2⤵
  PID:8416
- C:\Windows\System32\voLVtcg.exe
  C:\Windows\System32\voLVtcg.exe
  2⤵
  PID:8604
- C:\Windows\System32\QGPQmdH.exe
  C:\Windows\System32\QGPQmdH.exe
  2⤵
  PID:8728
- C:\Windows\System32\PnzGDxY.exe
  C:\Windows\System32\PnzGDxY.exe
  2⤵
  PID:8968
- C:\Windows\System32\lbtdELU.exe
  C:\Windows\System32\lbtdELU.exe
  2⤵
  PID:9076
- C:\Windows\System32\ohXQrJk.exe
  C:\Windows\System32\ohXQrJk.exe
  2⤵
  PID:8268
- C:\Windows\System32\GoUCHCi.exe
  C:\Windows\System32\GoUCHCi.exe
  2⤵
  PID:8328
- C:\Windows\System32\GegcaTC.exe
  C:\Windows\System32\GegcaTC.exe
  2⤵
  PID:8540
- C:\Windows\System32\uWhZIDl.exe
  C:\Windows\System32\uWhZIDl.exe
  2⤵
  PID:8852
- C:\Windows\System32\uKDkiVG.exe
  C:\Windows\System32\uKDkiVG.exe
  2⤵
  PID:9148
- C:\Windows\System32\uvnZZZs.exe
  C:\Windows\System32\uvnZZZs.exe
  2⤵
  PID:1844
- C:\Windows\System32\XkoCutV.exe
  C:\Windows\System32\XkoCutV.exe
  2⤵
  PID:9252
- C:\Windows\System32\BnORTyX.exe
  C:\Windows\System32\BnORTyX.exe
  2⤵
  PID:9272
- C:\Windows\System32\SKREAjp.exe
  C:\Windows\System32\SKREAjp.exe
  2⤵
  PID:9308
- C:\Windows\System32\gYkEXCt.exe
  C:\Windows\System32\gYkEXCt.exe
  2⤵
  PID:9340
- C:\Windows\System32\RwLjiMH.exe
  C:\Windows\System32\RwLjiMH.exe
  2⤵
  PID:9356
- C:\Windows\System32\SDBLvlV.exe
  C:\Windows\System32\SDBLvlV.exe
  2⤵
  PID:9380
- C:\Windows\System32\hdneLuV.exe
  C:\Windows\System32\hdneLuV.exe
  2⤵
  PID:9408
- C:\Windows\System32\KNyfhlo.exe
  C:\Windows\System32\KNyfhlo.exe
  2⤵
  PID:9436
- C:\Windows\System32\rBHVdEl.exe
  C:\Windows\System32\rBHVdEl.exe
  2⤵
  PID:9496
- C:\Windows\System32\mqKiXxk.exe
  C:\Windows\System32\mqKiXxk.exe
  2⤵
  PID:9520
- C:\Windows\System32\TxMxkTb.exe
  C:\Windows\System32\TxMxkTb.exe
  2⤵
  PID:9544
- C:\Windows\System32\DsQEpVo.exe
  C:\Windows\System32\DsQEpVo.exe
  2⤵
  PID:9564
- C:\Windows\System32\BLJZYcQ.exe
  C:\Windows\System32\BLJZYcQ.exe
  2⤵
  PID:9584
- C:\Windows\System32\htZeeYz.exe
  C:\Windows\System32\htZeeYz.exe
  2⤵
  PID:9636
- C:\Windows\System32\HkaSvds.exe
  C:\Windows\System32\HkaSvds.exe
  2⤵
  PID:9652
- C:\Windows\System32\RSTgCWL.exe
  C:\Windows\System32\RSTgCWL.exe
  2⤵
  PID:9688
- C:\Windows\System32\wkjbOOa.exe
  C:\Windows\System32\wkjbOOa.exe
  2⤵
  PID:9732
- C:\Windows\System32\BsuVXPv.exe
  C:\Windows\System32\BsuVXPv.exe
  2⤵
  PID:9752
- C:\Windows\System32\ApeAobO.exe
  C:\Windows\System32\ApeAobO.exe
  2⤵
  PID:9776
- C:\Windows\System32\dUBWAkS.exe
  C:\Windows\System32\dUBWAkS.exe
  2⤵
  PID:9796
- C:\Windows\System32\KHYlzns.exe
  C:\Windows\System32\KHYlzns.exe
  2⤵
  PID:9816
- C:\Windows\System32\aqPAAlJ.exe
  C:\Windows\System32\aqPAAlJ.exe
  2⤵
  PID:9832
- C:\Windows\System32\RYHzVQM.exe
  C:\Windows\System32\RYHzVQM.exe
  2⤵
  PID:9860
- C:\Windows\System32\fYlLtyh.exe
  C:\Windows\System32\fYlLtyh.exe
  2⤵
  PID:9884
- C:\Windows\System32\PplbRAj.exe
  C:\Windows\System32\PplbRAj.exe
  2⤵
  PID:9920
- C:\Windows\System32\FwEyaAP.exe
  C:\Windows\System32\FwEyaAP.exe
  2⤵
  PID:9976
- C:\Windows\System32\FdopmEz.exe
  C:\Windows\System32\FdopmEz.exe
  2⤵
  PID:10000
- C:\Windows\System32\bUMWyEQ.exe
  C:\Windows\System32\bUMWyEQ.exe
  2⤵
  PID:10020
- C:\Windows\System32\XGqmUMW.exe
  C:\Windows\System32\XGqmUMW.exe
  2⤵
  PID:10044
- C:\Windows\System32\XtRXbLw.exe
  C:\Windows\System32\XtRXbLw.exe
  2⤵
  PID:10060
- C:\Windows\System32\VKaFSog.exe
  C:\Windows\System32\VKaFSog.exe
  2⤵
  PID:10096
- C:\Windows\System32\zXvtFpa.exe
  C:\Windows\System32\zXvtFpa.exe
  2⤵
  PID:10116
- C:\Windows\System32\scGwAxY.exe
  C:\Windows\System32\scGwAxY.exe
  2⤵
  PID:10164
- C:\Windows\System32\VKkYiiw.exe
  C:\Windows\System32\VKkYiiw.exe
  2⤵
  PID:10184
- C:\Windows\System32\gMBUIDZ.exe
  C:\Windows\System32\gMBUIDZ.exe
  2⤵
  PID:10200
- C:\Windows\System32\XlrSbde.exe
  C:\Windows\System32\XlrSbde.exe
  2⤵
  PID:10236
- C:\Windows\System32\iVnLBAj.exe
  C:\Windows\System32\iVnLBAj.exe
  2⤵
  PID:9232
- C:\Windows\System32\KIoZIqa.exe
  C:\Windows\System32\KIoZIqa.exe
  2⤵
  PID:9260
- C:\Windows\System32\Zctlusq.exe
  C:\Windows\System32\Zctlusq.exe
  2⤵
  PID:9332
- C:\Windows\System32\oiNbXSX.exe
  C:\Windows\System32\oiNbXSX.exe
  2⤵
  PID:9328
- C:\Windows\System32\NZfcimt.exe
  C:\Windows\System32\NZfcimt.exe
  2⤵
  PID:9516
- C:\Windows\System32\xdHMeZA.exe
  C:\Windows\System32\xdHMeZA.exe
  2⤵
  PID:9596
- C:\Windows\System32\dChYZXl.exe
  C:\Windows\System32\dChYZXl.exe
  2⤵
  PID:9696
- C:\Windows\System32\EvkIdQa.exe
  C:\Windows\System32\EvkIdQa.exe
  2⤵
  PID:9768
- C:\Windows\System32\TdSOpri.exe
  C:\Windows\System32\TdSOpri.exe
  2⤵
  PID:9824
- C:\Windows\System32\agRvzAp.exe
  C:\Windows\System32\agRvzAp.exe
  2⤵
  PID:9492
- C:\Windows\System32\twXLmYj.exe
  C:\Windows\System32\twXLmYj.exe
  2⤵
  PID:9984
- C:\Windows\System32\YvIDiQh.exe
  C:\Windows\System32\YvIDiQh.exe
  2⤵
  PID:10068
- C:\Windows\System32\pyODCZw.exe
  C:\Windows\System32\pyODCZw.exe
  2⤵
  PID:10112
- C:\Windows\System32\qhlBpje.exe
  C:\Windows\System32\qhlBpje.exe
  2⤵
  PID:10108
- C:\Windows\System32\wTXmgXe.exe
  C:\Windows\System32\wTXmgXe.exe
  2⤵
  PID:10176
- C:\Windows\System32\VhWkzHs.exe
  C:\Windows\System32\VhWkzHs.exe
  2⤵
  PID:8648
- C:\Windows\System32\ktPKUQa.exe
  C:\Windows\System32\ktPKUQa.exe
  2⤵
  PID:9268
- C:\Windows\System32\TFShvBi.exe
  C:\Windows\System32\TFShvBi.exe
  2⤵
  PID:9608
- C:\Windows\System32\egPWGbZ.exe
  C:\Windows\System32\egPWGbZ.exe
  2⤵
  PID:9712
- C:\Windows\System32\PwMbulT.exe
  C:\Windows\System32\PwMbulT.exe
  2⤵
  PID:9828
- C:\Windows\System32\QYEByJB.exe
  C:\Windows\System32\QYEByJB.exe
  2⤵
  PID:9852
- C:\Windows\System32\wTTNjLJ.exe
  C:\Windows\System32\wTTNjLJ.exe
  2⤵
  PID:10032
- C:\Windows\System32\HFQgwYT.exe
  C:\Windows\System32\HFQgwYT.exe
  2⤵
  PID:10160
- C:\Windows\System32\jXgLbtA.exe
  C:\Windows\System32\jXgLbtA.exe
  2⤵
  PID:9404
- C:\Windows\System32\fEnCcCv.exe
  C:\Windows\System32\fEnCcCv.exe
  2⤵
  PID:9644
- C:\Windows\System32\EdbZmwu.exe
  C:\Windows\System32\EdbZmwu.exe
  2⤵
  PID:10144
- C:\Windows\System32\jUbbDVm.exe
  C:\Windows\System32\jUbbDVm.exe
  2⤵
  PID:9368
- C:\Windows\System32\oUfqoUa.exe
  C:\Windows\System32\oUfqoUa.exe
  2⤵
  PID:9304
- C:\Windows\System32\TNqOOAO.exe
  C:\Windows\System32\TNqOOAO.exe
  2⤵
  PID:10288
- C:\Windows\System32\ZDohQib.exe
  C:\Windows\System32\ZDohQib.exe
  2⤵
  PID:10312
- C:\Windows\System32\yEWuLNN.exe
  C:\Windows\System32\yEWuLNN.exe
  2⤵
  PID:10336
- C:\Windows\System32\wsBljfP.exe
  C:\Windows\System32\wsBljfP.exe
  2⤵
  PID:10364
- C:\Windows\System32\fEboKnY.exe
  C:\Windows\System32\fEboKnY.exe
  2⤵
  PID:10392
- C:\Windows\System32\oyZoSeQ.exe
  C:\Windows\System32\oyZoSeQ.exe
  2⤵
  PID:10420
- C:\Windows\System32\qYVZRPD.exe
  C:\Windows\System32\qYVZRPD.exe
  2⤵
  PID:10456
- C:\Windows\System32\EAnyyTr.exe
  C:\Windows\System32\EAnyyTr.exe
  2⤵
  PID:10476
- C:\Windows\System32\hMeVdvD.exe
  C:\Windows\System32\hMeVdvD.exe
  2⤵
  PID:10500
- C:\Windows\System32\SblEFQY.exe
  C:\Windows\System32\SblEFQY.exe
  2⤵
  PID:10552
- C:\Windows\System32\jQOjEAC.exe
  C:\Windows\System32\jQOjEAC.exe
  2⤵
  PID:10576
- C:\Windows\System32\mguLxHH.exe
  C:\Windows\System32\mguLxHH.exe
  2⤵
  PID:10600
- C:\Windows\System32\WqrEEiX.exe
  C:\Windows\System32\WqrEEiX.exe
  2⤵
  PID:10624
- C:\Windows\System32\Zyluwrl.exe
  C:\Windows\System32\Zyluwrl.exe
  2⤵
  PID:10660
- C:\Windows\System32\KrfGADE.exe
  C:\Windows\System32\KrfGADE.exe
  2⤵
  PID:10688
- C:\Windows\System32\pTqVmRn.exe
  C:\Windows\System32\pTqVmRn.exe
  2⤵
  PID:10704
- C:\Windows\System32\GcUNQBk.exe
  C:\Windows\System32\GcUNQBk.exe
  2⤵
  PID:10728
- C:\Windows\System32\SeesPTL.exe
  C:\Windows\System32\SeesPTL.exe
  2⤵
  PID:10748
- C:\Windows\System32\ApfXhvI.exe
  C:\Windows\System32\ApfXhvI.exe
  2⤵
  PID:10768
- C:\Windows\System32\qKAwMnY.exe
  C:\Windows\System32\qKAwMnY.exe
  2⤵
  PID:10788
- C:\Windows\System32\AaMXKpE.exe
  C:\Windows\System32\AaMXKpE.exe
  2⤵
  PID:10828
- C:\Windows\System32\fYqwkia.exe
  C:\Windows\System32\fYqwkia.exe
  2⤵
  PID:10844
- C:\Windows\System32\KHtMpZd.exe
  C:\Windows\System32\KHtMpZd.exe
  2⤵
  PID:10892
- C:\Windows\System32\vjTVCjs.exe
  C:\Windows\System32\vjTVCjs.exe
  2⤵
  PID:10940
- C:\Windows\System32\OYNObnr.exe
  C:\Windows\System32\OYNObnr.exe
  2⤵
  PID:10968
- C:\Windows\System32\XWdQSzZ.exe
  C:\Windows\System32\XWdQSzZ.exe
  2⤵
  PID:11004
- C:\Windows\System32\nwNWDPz.exe
  C:\Windows\System32\nwNWDPz.exe
  2⤵
  PID:11024
- C:\Windows\System32\ulffBKW.exe
  C:\Windows\System32\ulffBKW.exe
  2⤵
  PID:11048
- C:\Windows\System32\ShGbYeB.exe
  C:\Windows\System32\ShGbYeB.exe
  2⤵
  PID:11076
- C:\Windows\System32\zWCbYqh.exe
  C:\Windows\System32\zWCbYqh.exe
  2⤵
  PID:11116
- C:\Windows\System32\bwuzgZy.exe
  C:\Windows\System32\bwuzgZy.exe
  2⤵
  PID:11140
- C:\Windows\System32\ILzAhUl.exe
  C:\Windows\System32\ILzAhUl.exe
  2⤵
  PID:11164
- C:\Windows\System32\TMFKQCO.exe
  C:\Windows\System32\TMFKQCO.exe
  2⤵
  PID:11188
- C:\Windows\System32\tqATggW.exe
  C:\Windows\System32\tqATggW.exe
  2⤵
  PID:11208
- C:\Windows\System32\xroNpaH.exe
  C:\Windows\System32\xroNpaH.exe
  2⤵
  PID:9464
- C:\Windows\System32\LKJBgcW.exe
  C:\Windows\System32\LKJBgcW.exe
  2⤵
  PID:9904
- C:\Windows\System32\vgOppXk.exe
  C:\Windows\System32\vgOppXk.exe
  2⤵
  PID:10308
- C:\Windows\System32\EzYBshK.exe
  C:\Windows\System32\EzYBshK.exe
  2⤵
  PID:10356
- C:\Windows\System32\kcRYTEA.exe
  C:\Windows\System32\kcRYTEA.exe
  2⤵
  PID:10428
- C:\Windows\System32\frHdqNQ.exe
  C:\Windows\System32\frHdqNQ.exe
  2⤵
  PID:10468
- C:\Windows\System32\xqlghPO.exe
  C:\Windows\System32\xqlghPO.exe
  2⤵
  PID:10572
- C:\Windows\System32\sdZbxTE.exe
  C:\Windows\System32\sdZbxTE.exe
  2⤵
  PID:10656
- C:\Windows\System32\AbLytcM.exe
  C:\Windows\System32\AbLytcM.exe
  2⤵
  PID:10712
- C:\Windows\System32\JKhGQEo.exe
  C:\Windows\System32\JKhGQEo.exe
  2⤵
  PID:10776
- C:\Windows\System32\NBGwvbk.exe
  C:\Windows\System32\NBGwvbk.exe
  2⤵
  PID:10852
- C:\Windows\System32\kHYPQWz.exe
  C:\Windows\System32\kHYPQWz.exe
  2⤵
  PID:10916
- C:\Windows\System32\jiwFsaZ.exe
  C:\Windows\System32\jiwFsaZ.exe
  2⤵
  PID:10900
- C:\Windows\System32\LPepmXR.exe
  C:\Windows\System32\LPepmXR.exe
  2⤵
  PID:10976
- C:\Windows\System32\npvHQRI.exe
  C:\Windows\System32\npvHQRI.exe
  2⤵
  PID:11088
- C:\Windows\System32\sEOGfYN.exe
  C:\Windows\System32\sEOGfYN.exe
  2⤵
  PID:11172
- C:\Windows\System32\prmvrAv.exe
  C:\Windows\System32\prmvrAv.exe
  2⤵
  PID:11240
- C:\Windows\System32\jalzPjf.exe
  C:\Windows\System32\jalzPjf.exe
  2⤵
  PID:10284
- C:\Windows\System32\evvOfFL.exe
  C:\Windows\System32\evvOfFL.exe
  2⤵
  PID:10400
- C:\Windows\System32\csOvAXU.exe
  C:\Windows\System32\csOvAXU.exe
  2⤵
  PID:10588
- C:\Windows\System32\GAvsKDa.exe
  C:\Windows\System32\GAvsKDa.exe
  2⤵
  PID:10740
- C:\Windows\System32\DMkopUc.exe
  C:\Windows\System32\DMkopUc.exe
  2⤵
  PID:10932
- C:\Windows\System32\gZewEqt.exe
  C:\Windows\System32\gZewEqt.exe
  2⤵
  PID:11072
- C:\Windows\System32\qvczmWz.exe
  C:\Windows\System32\qvczmWz.exe
  2⤵
  PID:11104
- C:\Windows\System32\dOUaKWg.exe
  C:\Windows\System32\dOUaKWg.exe
  2⤵
  PID:11196
- C:\Windows\System32\YBlBsSV.exe
  C:\Windows\System32\YBlBsSV.exe
  2⤵
  PID:10436
- C:\Windows\System32\zHZzqWx.exe
  C:\Windows\System32\zHZzqWx.exe
  2⤵
  PID:11096
- C:\Windows\System32\TEmhOeT.exe
  C:\Windows\System32\TEmhOeT.exe
  2⤵
  PID:11280
- C:\Windows\System32\pRrMifS.exe
  C:\Windows\System32\pRrMifS.exe
  2⤵
  PID:11304
- C:\Windows\System32\rbKWoWq.exe
  C:\Windows\System32\rbKWoWq.exe
  2⤵
  PID:11328
- C:\Windows\System32\WdFnfiO.exe
  C:\Windows\System32\WdFnfiO.exe
  2⤵
  PID:11352
- C:\Windows\System32\aXVXMNt.exe
  C:\Windows\System32\aXVXMNt.exe
  2⤵
  PID:11372
- C:\Windows\System32\skrCmax.exe
  C:\Windows\System32\skrCmax.exe
  2⤵
  PID:11396
- C:\Windows\System32\QxsrJvB.exe
  C:\Windows\System32\QxsrJvB.exe
  2⤵
  PID:11412
- C:\Windows\System32\XSpWeJe.exe
  C:\Windows\System32\XSpWeJe.exe
  2⤵
  PID:11444
- C:\Windows\System32\eKGGDOS.exe
  C:\Windows\System32\eKGGDOS.exe
  2⤵
  PID:11480
- C:\Windows\System32\MCnbBVQ.exe
  C:\Windows\System32\MCnbBVQ.exe
  2⤵
  PID:11512
- C:\Windows\System32\JFqwgoi.exe
  C:\Windows\System32\JFqwgoi.exe
  2⤵
  PID:11540
- C:\Windows\System32\MnHCTDE.exe
  C:\Windows\System32\MnHCTDE.exe
  2⤵
  PID:11580
- C:\Windows\System32\EXKYQiR.exe
  C:\Windows\System32\EXKYQiR.exe
  2⤵
  PID:11604
- C:\Windows\System32\NrnfECq.exe
  C:\Windows\System32\NrnfECq.exe
  2⤵
  PID:11628
- C:\Windows\System32\dQFCDOd.exe
  C:\Windows\System32\dQFCDOd.exe
  2⤵
  PID:11668
- C:\Windows\System32\FvBlJLQ.exe
  C:\Windows\System32\FvBlJLQ.exe
  2⤵
  PID:11700
- C:\Windows\System32\CfzjBkj.exe
  C:\Windows\System32\CfzjBkj.exe
  2⤵
  PID:11728
- C:\Windows\System32\RlBjSGc.exe
  C:\Windows\System32\RlBjSGc.exe
  2⤵
  PID:11764
- C:\Windows\System32\vKoRXhA.exe
  C:\Windows\System32\vKoRXhA.exe
  2⤵
  PID:11792
- C:\Windows\System32\ETLVTKy.exe
  C:\Windows\System32\ETLVTKy.exe
  2⤵
  PID:11892
- C:\Windows\System32\hiFkcuZ.exe
  C:\Windows\System32\hiFkcuZ.exe
  2⤵
  PID:11908
- C:\Windows\System32\VyfQKGX.exe
  C:\Windows\System32\VyfQKGX.exe
  2⤵
  PID:11924
- C:\Windows\System32\zPnuVMm.exe
  C:\Windows\System32\zPnuVMm.exe
  2⤵
  PID:11940
- C:\Windows\System32\lHXvZSh.exe
  C:\Windows\System32\lHXvZSh.exe
  2⤵
  PID:11956
- C:\Windows\System32\QHiIKFB.exe
  C:\Windows\System32\QHiIKFB.exe
  2⤵
  PID:11972
- C:\Windows\System32\cpsKQgs.exe
  C:\Windows\System32\cpsKQgs.exe
  2⤵
  PID:11988
- C:\Windows\System32\cLpNTss.exe
  C:\Windows\System32\cLpNTss.exe
  2⤵
  PID:12004
- C:\Windows\System32\oHxiMnP.exe
  C:\Windows\System32\oHxiMnP.exe
  2⤵
  PID:12020
- C:\Windows\System32\EuWYRKr.exe
  C:\Windows\System32\EuWYRKr.exe
  2⤵
  PID:12036
- C:\Windows\System32\gAYVsxh.exe
  C:\Windows\System32\gAYVsxh.exe
  2⤵
  PID:12052
- C:\Windows\System32\hcmmpCG.exe
  C:\Windows\System32\hcmmpCG.exe
  2⤵
  PID:12068
- C:\Windows\System32\bZGXhvW.exe
  C:\Windows\System32\bZGXhvW.exe
  2⤵
  PID:12084
- C:\Windows\System32\zuIjzLh.exe
  C:\Windows\System32\zuIjzLh.exe
  2⤵
  PID:12100
- C:\Windows\System32\xZHyYzM.exe
  C:\Windows\System32\xZHyYzM.exe
  2⤵
  PID:12116
- C:\Windows\System32\SxllNXl.exe
  C:\Windows\System32\SxllNXl.exe
  2⤵
  PID:12132
- C:\Windows\System32\rUcCXYQ.exe
  C:\Windows\System32\rUcCXYQ.exe
  2⤵
  PID:12148
- C:\Windows\System32\EjTNnxu.exe
  C:\Windows\System32\EjTNnxu.exe
  2⤵
  PID:12164
- C:\Windows\System32\cfqtaFf.exe
  C:\Windows\System32\cfqtaFf.exe
  2⤵
  PID:12180
- C:\Windows\System32\sqAJfQJ.exe
  C:\Windows\System32\sqAJfQJ.exe
  2⤵
  PID:12200
- C:\Windows\System32\SRMRZhf.exe
  C:\Windows\System32\SRMRZhf.exe
  2⤵
  PID:12260
- C:\Windows\System32\iyyNCZK.exe
  C:\Windows\System32\iyyNCZK.exe
  2⤵
  PID:11324
- C:\Windows\System32\kkubKZQ.exe
  C:\Windows\System32\kkubKZQ.exe
  2⤵
  PID:11676
- C:\Windows\System32\wZJvOYm.exe
  C:\Windows\System32\wZJvOYm.exe
  2⤵
  PID:11860
- C:\Windows\System32\encNDKz.exe
  C:\Windows\System32\encNDKz.exe
  2⤵
  PID:11900
- C:\Windows\System32\VvuEHFq.exe
  C:\Windows\System32\VvuEHFq.exe
  2⤵
  PID:11996
- C:\Windows\System32\JlDclOV.exe
  C:\Windows\System32\JlDclOV.exe
  2⤵
  PID:12108
- C:\Windows\System32\XTvuWmh.exe
  C:\Windows\System32\XTvuWmh.exe
  2⤵
  PID:11828
- C:\Windows\System32\aPtZRSD.exe
  C:\Windows\System32\aPtZRSD.exe
  2⤵
  PID:11984
- C:\Windows\System32\aSwtTdI.exe
  C:\Windows\System32\aSwtTdI.exe
  2⤵
  PID:11852
- C:\Windows\System32\GwjkjKm.exe
  C:\Windows\System32\GwjkjKm.exe
  2⤵
  PID:12128
- C:\Windows\System32\sNAarnb.exe
  C:\Windows\System32\sNAarnb.exe
  2⤵
  PID:11884
- C:\Windows\System32\eoaxonv.exe
  C:\Windows\System32\eoaxonv.exe
  2⤵
  PID:12176
- C:\Windows\System32\QNTyqtt.exe
  C:\Windows\System32\QNTyqtt.exe
  2⤵
  PID:11276
- C:\Windows\System32\IRMcOJM.exe
  C:\Windows\System32\IRMcOJM.exe
  2⤵
  PID:12060
- C:\Windows\System32\IHiPaNL.exe
  C:\Windows\System32\IHiPaNL.exe
  2⤵
  PID:12256
- C:\Windows\System32\GOePeSd.exe
  C:\Windows\System32\GOePeSd.exe
  2⤵
  PID:11408
- C:\Windows\System32\VqPpnPR.exe
  C:\Windows\System32\VqPpnPR.exe
  2⤵
  PID:11904
- C:\Windows\System32\hUsazQd.exe
  C:\Windows\System32\hUsazQd.exe
  2⤵
  PID:11624
- C:\Windows\System32\WVjYBrr.exe
  C:\Windows\System32\WVjYBrr.exe
  2⤵
  PID:11812
- C:\Windows\System32\NhmxUBg.exe
  C:\Windows\System32\NhmxUBg.exe
  2⤵
  PID:11868
- C:\Windows\System32\JqAlqtJ.exe
  C:\Windows\System32\JqAlqtJ.exe
  2⤵
  PID:12160
- C:\Windows\System32\BVnnzMe.exe
  C:\Windows\System32\BVnnzMe.exe
  2⤵
  PID:12216
- C:\Windows\System32\VXzcctx.exe
  C:\Windows\System32\VXzcctx.exe
  2⤵
  PID:2588
- C:\Windows\System32\hoGztxE.exe
  C:\Windows\System32\hoGztxE.exe
  2⤵
  PID:12172
- C:\Windows\System32\JuTFEez.exe
  C:\Windows\System32\JuTFEez.exe
  2⤵
  PID:12016
- C:\Windows\System32\bGFlLyV.exe
  C:\Windows\System32\bGFlLyV.exe
  2⤵
  PID:11644
- C:\Windows\System32\hgwBoxf.exe
  C:\Windows\System32\hgwBoxf.exe
  2⤵
  PID:12212
- C:\Windows\System32\lhiRDhC.exe
  C:\Windows\System32\lhiRDhC.exe
  2⤵
  PID:12308
- C:\Windows\System32\iuJApAD.exe
  C:\Windows\System32\iuJApAD.exe
  2⤵
  PID:12348
- C:\Windows\System32\clDytbT.exe
  C:\Windows\System32\clDytbT.exe
  2⤵
  PID:12368
- C:\Windows\System32\tpnZNYm.exe
  C:\Windows\System32\tpnZNYm.exe
  2⤵
  PID:12392
- C:\Windows\System32\xizMava.exe
  C:\Windows\System32\xizMava.exe
  2⤵
  PID:12432
- C:\Windows\System32\UhURaKX.exe
  C:\Windows\System32\UhURaKX.exe
  2⤵
  PID:12468
- C:\Windows\System32\ZjjvLCE.exe
  C:\Windows\System32\ZjjvLCE.exe
  2⤵
  PID:12488
- C:\Windows\System32\ToJxhRj.exe
  C:\Windows\System32\ToJxhRj.exe
  2⤵
  PID:12516
- C:\Windows\System32\rdwvLEr.exe
  C:\Windows\System32\rdwvLEr.exe
  2⤵
  PID:12540
- C:\Windows\System32\sorLmQT.exe
  C:\Windows\System32\sorLmQT.exe
  2⤵
  PID:12572
- C:\Windows\System32\ZNfFdfb.exe
  C:\Windows\System32\ZNfFdfb.exe
  2⤵
  PID:12592
- C:\Windows\System32\lQuOPDu.exe
  C:\Windows\System32\lQuOPDu.exe
  2⤵
  PID:12608
- C:\Windows\System32\nSeNRMB.exe
  C:\Windows\System32\nSeNRMB.exe
  2⤵
  PID:12632
- C:\Windows\System32\KXVdruX.exe
  C:\Windows\System32\KXVdruX.exe
  2⤵
  PID:12668
- C:\Windows\System32\sDYczOb.exe
  C:\Windows\System32\sDYczOb.exe
  2⤵
  PID:12688
- C:\Windows\System32\LPNfoQG.exe
  C:\Windows\System32\LPNfoQG.exe
  2⤵
  PID:12728
- C:\Windows\System32\zCGMgtn.exe
  C:\Windows\System32\zCGMgtn.exe
  2⤵
  PID:12764
- C:\Windows\System32\GUXstVz.exe
  C:\Windows\System32\GUXstVz.exe
  2⤵
  PID:12788
- C:\Windows\System32\NtrADxj.exe
  C:\Windows\System32\NtrADxj.exe
  2⤵
  PID:12812
- C:\Windows\System32\lAAcxqu.exe
  C:\Windows\System32\lAAcxqu.exe
  2⤵
  PID:12832
- C:\Windows\System32\wxGGIuQ.exe
  C:\Windows\System32\wxGGIuQ.exe
  2⤵
  PID:12848
- C:\Windows\System32\JVslHNQ.exe
  C:\Windows\System32\JVslHNQ.exe
  2⤵
  PID:12876
- C:\Windows\System32\iiwtwYL.exe
  C:\Windows\System32\iiwtwYL.exe
  2⤵
  PID:12900
- C:\Windows\System32\cVupFJt.exe
  C:\Windows\System32\cVupFJt.exe
  2⤵
  PID:12964
- C:\Windows\System32\DlzXDhR.exe
  C:\Windows\System32\DlzXDhR.exe
  2⤵
  PID:13004
- C:\Windows\System32\DTdutZu.exe
  C:\Windows\System32\DTdutZu.exe
  2⤵
  PID:13024
- C:\Windows\System32\LKrkSPD.exe
  C:\Windows\System32\LKrkSPD.exe
  2⤵
  PID:13048
- C:\Windows\System32\EkDhAva.exe
  C:\Windows\System32\EkDhAva.exe
  2⤵
  PID:13068
- C:\Windows\System32\OnUCxsw.exe
  C:\Windows\System32\OnUCxsw.exe
  2⤵
  PID:13088
- C:\Windows\System32\QrXMkaw.exe
  C:\Windows\System32\QrXMkaw.exe
  2⤵
  PID:13104
- C:\Windows\System32\nxZRSTM.exe
  C:\Windows\System32\nxZRSTM.exe
  2⤵
  PID:13128
- C:\Windows\System32\rwvlhJH.exe
  C:\Windows\System32\rwvlhJH.exe
  2⤵
  PID:13148
- C:\Windows\System32\KwhdwwE.exe
  C:\Windows\System32\KwhdwwE.exe
  2⤵
  PID:13192
- C:\Windows\System32\JrQxKaj.exe
  C:\Windows\System32\JrQxKaj.exe
  2⤵
  PID:13248
- C:\Windows\System32\ViUkzUT.exe
  C:\Windows\System32\ViUkzUT.exe
  2⤵
  PID:13272
- C:\Windows\System32\sVRKIif.exe
  C:\Windows\System32\sVRKIif.exe
  2⤵
  PID:13292
- C:\Windows\System32\ovFvmCP.exe
  C:\Windows\System32\ovFvmCP.exe
  2⤵
  PID:12304
- C:\Windows\System32\IRtGCXI.exe
  C:\Windows\System32\IRtGCXI.exe
  2⤵
  PID:12376
- C:\Windows\System32\oQhTwkA.exe
  C:\Windows\System32\oQhTwkA.exe
  2⤵
  PID:12416
- C:\Windows\System32\gcxPdLZ.exe
  C:\Windows\System32\gcxPdLZ.exe
  2⤵
  PID:12484
- C:\Windows\System32\vrIHquu.exe
  C:\Windows\System32\vrIHquu.exe
  2⤵
  PID:12548
- C:\Windows\System32\xHGJKLw.exe
  C:\Windows\System32\xHGJKLw.exe
  2⤵
  PID:12556
- C:\Windows\System32\lOvECPf.exe
  C:\Windows\System32\lOvECPf.exe
  2⤵
  PID:12680
- C:\Windows\System32\sBqahOa.exe
  C:\Windows\System32\sBqahOa.exe
  2⤵
  PID:12724
- C:\Windows\System32\UOoMUBX.exe
  C:\Windows\System32\UOoMUBX.exe
  2⤵
  PID:12780
- C:\Windows\System32\dAerZOE.exe
  C:\Windows\System32\dAerZOE.exe
  2⤵
  PID:12840
- C:\Windows\System32\xOCgNHf.exe
  C:\Windows\System32\xOCgNHf.exe
  2⤵
  PID:12940
- C:\Windows\System32\DlgioOq.exe
  C:\Windows\System32\DlgioOq.exe
  2⤵
  PID:13016

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:4944

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\CjMoAeV.exe

Filesize
1.1MB

MD5
b9cb6b70be390e1e7982d2051837d18c

SHA1
017ed3a4129094f8524cc53c3388c3ab09a74730

SHA256
3ae77bb78e0d02aa32c4215d9265765d056b1c4ee25ad076753ca295ae8edb85

SHA512
ee5ecb0263367005c5136934a704b298586334996cab1846c285e0fd98ac9320348e9ed15dfe7dd4eae92d77980f9cf7b1771887a1de3184c7da8f1a94b9f340

Download Submit
C:\Windows\System32\DJcKepM.exe

Filesize
1.1MB

MD5
a1ccdf6f285fc2812eb9e69b0b7c806d

SHA1
596ce0af841c48bae8a10d10c9547a80f1644b7e

SHA256
ed6ec4ab0c2101c57c02cf10b759dec80481723eb06b85922152980b3b8c75cd

SHA512
d2bd07a69b68f8c3384315ec5ba93eadefadc0ef3f7af6bb098946c62159604300554a1dfd57678c9562a7a5faf723bcdc711406d4dc2a30a3d77d5ed475a38e

Download Submit
C:\Windows\System32\DKgBufM.exe

Filesize
1.1MB

MD5
05db7c9b76f816481c773bafb7cb6f21

SHA1
d79b7e59ee4997e1cc0fe12e5ed8f45e5ef6c8ea

SHA256
51ccb9e8832ae1c73f48ad37ec46503d74795b6ab79e44a74bf20a0d720c1c68

SHA512
e4e822dfc1ecf84cd530ad1028adbf675f41e0735e77b7390255b5a240606aeb868e5eb5d6ee29a57eb54f6ef1350364bbd17f37231f0fd941df3e11758a644a

Download Submit
C:\Windows\System32\DuCJdQM.exe

Filesize
1.1MB

MD5
da4418ec87e8f066bf9cdece712b2c74

SHA1
670a795d33bcf23e84c2d84ebf16ae1bf293ef83

SHA256
c73188bb4226a22562470037f16383abdfee015de3cdffc066a1347bbd61d6f4

SHA512
ff83ed8fda4efe91c1457d1a16fa4977b1c05172459387a6f7d422a2d666ac41544e1c13da2a54116c98f557be37be308509b38ec0c66858359188974fd73b97

Download Submit
C:\Windows\System32\DyjSttz.exe

Filesize
1.1MB

MD5
52ad2a183a09b7237bc74e0eee3ad659

SHA1
9932aa500af9be3a70f0fd7564040ca229147f9e

SHA256
41094bdb107f7cfd848a813d82ad46210405351da49f16e4c80edced9c88498e

SHA512
7e90878b3aba42d0612bba20abeeb1e40b3f47b30d3f60151138eaa39525173f1631d267b4fcfe697a2b70bbb433ac6528c4abb066eaeec4e5d1a84f409bd953

Download Submit
C:\Windows\System32\JuoajOH.exe

Filesize
1.1MB

MD5
10e449eb74065158d8a04eb0a7bdc719

SHA1
bd67023eee4f94c28296355c53f85c7027f009ee

SHA256
b71c6fbbf95b799e62063328f34522a5f184791d43ae8ffe4e5926086f84b1b1

SHA512
9da93515e14bee22c74c1c893ff3a5da07ffff2274f312945cd09e33a802ec28f2e3ae18e41fc6ab821fbd454d8f4df93aee32364f5b9a5612997e15edc50385

Download Submit
C:\Windows\System32\LTInILg.exe

Filesize
1.1MB

MD5
156ab597268c2c0ef1143a88480cc6dd

SHA1
f578411d284ccbd43d67214c169ee6a6239a1de9

SHA256
ab337da1fe15e3b1a03e954575c7045b3b3d8513f48999ee4b14ff29213b0ff1

SHA512
c7e2f9d4802dcae287a6d4d799c499205c6259fd32c9ecc73ee60b2082627ce9eb656d3f862fca28faae7cf8a4d2f8d667bac62033564672ccfa931ce9682521

Download Submit
C:\Windows\System32\LkmYpqH.exe

Filesize
1.1MB

MD5
02fef7a4138bfd536c9dfd7fea3ea907

SHA1
dac63c4ae725a40c6a889f36f91516368c24e43b

SHA256
3519803088d19d797c93c5b607d4a5860d11a1416b71ff5869145c436647d501

SHA512
442341e0de30d792698083228a1a88c3c055e47b7ccab6b3302a386b6ba58dd46e22a4a276f28784a483f721c12cb3bc17ad7c88b88bd2b91df83cad2a2a739d

Download Submit
C:\Windows\System32\LmnRgoc.exe

Filesize
1.1MB

MD5
6131d51e776c167fe62589af02a2f2e1

SHA1
c81d91faf658a0f59ff9e73609897e0a8c7351be

SHA256
b349748910ae898564ec305114b45b26bc806efccc04167fa390ddbf2b2560b8

SHA512
7a292f6865998db6e2e145ec0f408ac4ff2953e2246a8752a78bf54f648b718947a2c9c0da3268b3bdd24a078b1ceb3d7256133a5a9808f8486f27630e0afac1

Download Submit
C:\Windows\System32\MbVaAVX.exe

Filesize
1.1MB

MD5
45f8f7d96f263ef8fef7ed8fe96c2c2b

SHA1
2f8b65a7b370b6ab37f662454814fdbe11e410c1

SHA256
f9d4ced5f0d3406f6d51222871a1adbc6925e9c1415f5e255dc8bba2bac6985a

SHA512
a15bb501cc37d1095d3255b27e01b856141c9882387a4e5f2be2345d05f2be38ddf6bfbad7c7bc09547e8fde6326131b87e0ec077e74855e125e76160d388360

Download Submit
C:\Windows\System32\QgLFGLQ.exe

Filesize
1.1MB

MD5
d87d0d870ee2c4b20580949b6594b928

SHA1
1401a43a72d178141beae43c3cd730a4f9d6e9e9

SHA256
99e55ae38438f5d95f2d1fba8db4a1decf1b16bcf03b26933cf5c5f766467a56

SHA512
e66ee8f690e70625ab86f1868f43a7315f6b15a66032e5eb841a96d8f2ecf89e6d794612f4f818f490676709ee51da056456d0d5c4c56ba214e8cbef24fe51c2

Download Submit
C:\Windows\System32\SCZoPUi.exe

Filesize
1.1MB

MD5
f6dce6288bd2ad4d6e1aeeefd326eae4

SHA1
c58a6cec948becc225a464804bff5a264a9cb67b

SHA256
77ceb39eef2a4eaeb540f4fd001d64b95fb748dae05728585ac0dfbffaeaa3d5

SHA512
96a27b182a2a2be40e98540c9f4aae87c7503c66c4524c37fca6bda3152166d3d968825d210420d35fca4d97c680ef61d14bb443483fcc461b8b56ec47d44399

Download Submit
C:\Windows\System32\TARSNBs.exe

Filesize
1.1MB

MD5
a5bbc027d77e8ec83d656242c673fd41

SHA1
e414e7719086218707c71e76ec3137b8130a09f5

SHA256
576887518d18044bcb51aa62823a851ef56e9ddbdecbd728fce64062af3c487f

SHA512
50494620d9f32c7361341cde02436ab536fd85f363b40c0c58526368fd89d85a225a00d9d767b9d6d8f9bd0882e51716993e9abdf8aecdd9bb8e13a222e2e1da

Download Submit
C:\Windows\System32\XWWPAFR.exe

Filesize
1.1MB

MD5
1a86ec5490cb9a63d2efd86fcd65530d

SHA1
c9084cbeee9864e245661b787d491b8f9f8a03fd

SHA256
503785087499d1681bbb64e64077394c6b8567d47e79a738b63dfc82f7cbf4b9

SHA512
18cbb4505d83634fa88fbfaeb47dd0cd749e7ed265a3d009c966a08bd596dacce4216e71c9e3073d83a8b4ddb2abbc20e590583dace9d6f162b3a6dafaac4d44

Download Submit
C:\Windows\System32\XkCmpqc.exe

Filesize
1.1MB

MD5
1fee490cba6d4e3389a6837713507f8e

SHA1
de00a4da14edbe111d9cf0216cd7ada623d41425

SHA256
0235f2a48bca268480b44610dae829e75926801e1cd209dec551379af388da33

SHA512
44e2dabdcda55d27a1ba6fdb4cd1ba023a2dd3bada9744d0ef14df809c6862ec064294dff51266111e195e4bd65cfae46ff022f653b83592f28aa00e5a089e64

Download Submit
C:\Windows\System32\agQaQkM.exe

Filesize
1.1MB

MD5
979c15006b5af514c389c8e0f5ea2a3c

SHA1
94ebd8c33596f8d998fd23b1de244495db897a42

SHA256
7b8d3463b035ac04018f7fce1e9493ea46ac760698ed813d48d9581268eabb21

SHA512
dcfa1bc715c9efcb40f30d0a6916d9189af2b7b1f7deb9f0f2c63011e6dfb277cb69e50a2f61b26734ffce74a6f04c709487f37b6432712c2fd0cfae4bf2bcbd

Download Submit
C:\Windows\System32\edRFgeJ.exe

Filesize
1.1MB

MD5
0ac8ed4809e04bc485e95bbfe627a3e9

SHA1
6d342abeecd2fa3432d65a59c34064824efaeda8

SHA256
b61e2deec0f780fee7399ba5bd184ef800ac4a391fcded9d08eb8a9d6060120e

SHA512
1d86d7689b3a891fe544dfa1f9e50a904e804f92849f3ab2ce41ade4cf809726b5012d9f06c2ab91aacaa7f2dc95a3bc0eb8a15122c09508063bf730466ec554

Download Submit
C:\Windows\System32\fgOFcza.exe

Filesize
1.1MB

MD5
eb6c7b81229bc46acc879bd3cbd9aee6

SHA1
b9b9d8459e92117de33f6d30f76f8053bb57e599

SHA256
cdb2b6d423c4faf99cf85dd528d2442f408f54ab80b994b6ad8b44b0f5f0f078

SHA512
67cc8f31c4502d2cd0db6b3aaa52c86bf0afb1a21e18471eed7e078000c259a8a21bd1e7abfd5bfa9c790e3d16817561c77c67230f834b0152e53e971361b4bd

Download Submit
C:\Windows\System32\gIjshPa.exe

Filesize
1.1MB

MD5
74ea1a8348b530c152fd5e3778675924

SHA1
fcf2c35227a6a7ebfa6d348e21ea1820a4f51ecf

SHA256
d355a08d4e98e9d7ace38322b8ccc0e734f5070a1a29a15ae34e553948b585f1

SHA512
95224a2f018cd1d48f08232d44de54a7a50a7c099ada7dd9c68adf9b7fc23ff9d8abd55eef926828cd93bf79b7c76a3c5e1b8e332cfa2abe259d93b7412c21cb

Download Submit
C:\Windows\System32\kCqcwXe.exe

Filesize
1.1MB

MD5
cc2004ffe8939da1ee747617cdd39c44

SHA1
25c38a6f431d6a4ffae0f6930e0fca8978fb6a96

SHA256
4759a2956dafa17c9e109babd2c13acb0b868731784465cd4757666ca99e77f6

SHA512
30c7ad9000d007dcb967c51e4959461ad07094c70cee50a3fa91ccbdb6a79b7b6a15f98d3ee30603e487af75398d38f98964a6608eaaba6ba02f10dc56064f6d

Download Submit
C:\Windows\System32\koOWcRk.exe

Filesize
1.1MB

MD5
65b945e47f12dfde7237a7282e2e5e5c

SHA1
f262a70148072bdc6bc1672f471eb03616301ba3

SHA256
32c793815c355eb642c44407aa3f6a91fe95c63ab40b22bb0bb43328bb5516d9

SHA512
412be7e07701846a824d8a5be07b3f7d55732a5dd0f358f109296f6016d1dbbf96f99eaa3e96d86d09756cb4d8fa62b25acf23950a0ba95790340e8a08cf12bc

Download Submit
C:\Windows\System32\mZSLxzE.exe

Filesize
1.1MB

MD5
173630f564a25cceff7f47ef6d153d89

SHA1
3718b090f554d3278e88b47bfc5cda449f32fc8f

SHA256
9cd1f4a842cd176a1ee09eac32e316e10247247f98cc95b4764cc5af139d0713

SHA512
a67c11dee506a712cc7a0b0b43699cf882e36e0186880440da8fb5ddc8977c6a48d58f634f0802ae63a7b60e25990777a83a661951bfead49fccdaadc48701c6

Download Submit
C:\Windows\System32\owvpTLh.exe

Filesize
1.1MB

MD5
cfbb0baceed7a4b382f4281283791335

SHA1
2885bd9e65d90e1915cd9213f6420b93ce387e40

SHA256
495a910e39132cdc35a6e90877b75167d91345e6af955065858622edad0b5c17

SHA512
c58401592237b3bf7b5e2335d1e6487cc48f6c533500a19b813b5725c3eae8c89b7beb678b56e95c75e50dddc0597495b57b90e53e6b5a3d173f65c9e3d69356

Download Submit
C:\Windows\System32\pSLKMuc.exe

Filesize
1.1MB

MD5
ac77bdae871f79e1270f9aa880970ea6

SHA1
440c13faac2bcd5110e7dd7c2f8499f3afdae202

SHA256
35e628e7704dab62d8c968c26b43d98925d9693d3fb70fab0485a0475a6cba16

SHA512
a7c6ae3d0fdbdaf14600c6cca50d309b6c7c4af65020107175327b8e06907f759acd8ec1191b58d59de5b35ced66e6cc465c4797a1325452213a5104a2635139

Download Submit
C:\Windows\System32\qOzaPBV.exe

Filesize
1.1MB

MD5
de6feaa337001998a3f76e97b1c797a5

SHA1
9290fda64455fc9e62f168ae3666d9141d4c3396

SHA256
853c9161101d2248f61c3083e2d0a4581ad12e277b2109509cc132cfc3064a74

SHA512
8fb759e04122fadbf906a0519aec5fef3fd6962fd50c4f151948e006e1bdac76e894a15b56a42e59417f3eac9f6e1ceb624860a638cb31de9f8df29ebfa80667

Download Submit
C:\Windows\System32\qXvkVZi.exe

Filesize
1.1MB

MD5
4c933c6128ac5e8f72f8c177a38b56ad

SHA1
23735ccdb4fdfe8ab3e21f755c410b69e8644778

SHA256
0c47690e345eab6f33b71751fcd58afa08ddc41bc491f322a602d5abc6f83b51

SHA512
333c5ea65d68217a8950c68283c22824527e9cea0fc2d090d6a00b1d827a631675420a3deaf7eceaf5b595857e3aeef5e9fe0f8be49b341f58876fcc0d68d91d

Download Submit
C:\Windows\System32\rHJvRwG.exe

Filesize
1.1MB

MD5
24ea0a8107d22226629044544bd358c2

SHA1
32635bbb5f9607a1eaa1ccc79b7e2272bf262e80

SHA256
30edf2ddd73764fa1458db500e6422ea5995e1d2cce8a8c0f3cd7240f6b8738c

SHA512
90f26d88546388e113f0e45fd5aea1f0cdb08b608da6401a2285a1bfca0fc47a137490dfdff753fa29b4c0701ad03991cd3afc0d349b2665405a0704caebf7e9

Download Submit
C:\Windows\System32\rWFJWZZ.exe

Filesize
1.1MB

MD5
a76dffc3f337f0af326573a1fcc92e52

SHA1
d9980a900e2a036d87f8b250300c9865ca28a474

SHA256
dea4e8614421eab4a8790e2c63b47a6a2364b323e55a2c83bd5d102d5ad9a8cf

SHA512
2845c7f7888fb2053b832dea6324c7d03a15796262624227ec7425eb08cb355a9a67efb03879e2a5adf90242f8e5fda5e17db101433d9e16fe92f622757e864f

Download Submit
C:\Windows\System32\rbqVhiq.exe

Filesize
1.1MB

MD5
44d8c5031823559e55594e6b4a9b4e46

SHA1
d786a449272521bb3b2005dc01da389a6b4eea2b

SHA256
758b9c40584c57ba5be71746415bae0826b82a79fe303f4a72920787479758dd

SHA512
7265956e35e17173e79efaef1d5795351c48520ee8fa7959dd3a1d963e234dda1e7858d9ca19c8bc7e62d374c78b493d3f2b0d9c9f6f4dfebbeebdbb52d06c87

Download Submit
C:\Windows\System32\soabsum.exe

Filesize
1.1MB

MD5
5c16f38080d8b538e7849c82b255a38b

SHA1
fedd8b61bf08f345b0447157fceb92073b801d27

SHA256
6e866167704ff99cb01c6100a022dbb8769d9bc1b973c962d293223191fe9079

SHA512
a6003e66d9b609cae9c2aa69df929a1514be82664698afa46e2b4991e78882be342de451b1c17035fb889c4bda8085f1a8dfe165e098bc12478c67e096e0e6da

Download Submit
C:\Windows\System32\ssFBKUR.exe

Filesize
1.1MB

MD5
7855b127b918a51f25a38df48545d9eb

SHA1
56d2cfcb5faaf00efdec575f085b562a0eec4bd4

SHA256
ed6f5adfd2dd9ddd06facd87b8cb926ca948a416480f50bcaa1202eb88cd6a51

SHA512
b15368c6b25cb810aadf685056d08dbd3e028dd569fae2842080de48eb79fcfd0d0594a2921fc45966d33cd5109505cdc9c5534f279fe41c41c18b3f6043b8ad

Download Submit
C:\Windows\System32\vtyOKpb.exe

Filesize
1.1MB

MD5
0c540f94e91231b52298754270ed73c0

SHA1
bc08d1974bb48d1279613b1bc1638eb6e5027438

SHA256
04e90414b453d6be81b5fe1c9d2110f2e0ee338487e0b3a747827b5cca71fc0c

SHA512
bfd6d4e6953c9cf06f7d9a368a9bdaafcacd858d1d7a398bf1f6dd203d1fb9d95c2331bec19a85e9ec7acce3fc97cf9bcf09069f663ffa5273c9bd9e28c2cc82

Download Submit
memory/392-2052-0x00007FF764830000-0x00007FF764C21000-memory.dmp

Filesize
3.9MB

Download
memory/392-1951-0x00007FF764830000-0x00007FF764C21000-memory.dmp

Filesize
3.9MB

Download
memory/392-18-0x00007FF764830000-0x00007FF764C21000-memory.dmp

Filesize
3.9MB

Download
memory/1268-48-0x00007FF6BBBC0000-0x00007FF6BBFB1000-memory.dmp

Filesize
3.9MB

Download
memory/1268-1973-0x00007FF6BBBC0000-0x00007FF6BBFB1000-memory.dmp

Filesize
3.9MB

Download
memory/1268-2058-0x00007FF6BBBC0000-0x00007FF6BBFB1000-memory.dmp

Filesize
3.9MB

Download
memory/1412-2092-0x00007FF6C1F20000-0x00007FF6C2311000-memory.dmp

Filesize
3.9MB

Download
memory/1412-339-0x00007FF6C1F20000-0x00007FF6C2311000-memory.dmp

Filesize
3.9MB

Download
memory/1468-1991-0x00007FF6FB0E0000-0x00007FF6FB4D1000-memory.dmp

Filesize
3.9MB

Download
memory/1468-0-0x00007FF6FB0E0000-0x00007FF6FB4D1000-memory.dmp

Filesize
3.9MB

Download
memory/1468-1-0x0000028B5D770000-0x0000028B5D780000-memory.dmp

Filesize
64KB

Download
memory/1488-2084-0x00007FF670CA0000-0x00007FF671091000-memory.dmp

Filesize
3.9MB

Download
memory/1488-319-0x00007FF670CA0000-0x00007FF671091000-memory.dmp

Filesize
3.9MB

Download
memory/1968-2070-0x00007FF6A87A0000-0x00007FF6A8B91000-memory.dmp

Filesize
3.9MB

Download
memory/1968-67-0x00007FF6A87A0000-0x00007FF6A8B91000-memory.dmp

Filesize
3.9MB

Download
memory/1968-1989-0x00007FF6A87A0000-0x00007FF6A8B91000-memory.dmp

Filesize
3.9MB

Download
memory/2172-2078-0x00007FF62EA70000-0x00007FF62EE61000-memory.dmp

Filesize
3.9MB

Download
memory/2172-310-0x00007FF62EA70000-0x00007FF62EE61000-memory.dmp

Filesize
3.9MB

Download
memory/2248-82-0x00007FF6F55D0000-0x00007FF6F59C1000-memory.dmp

Filesize
3.9MB

Download
memory/2248-2072-0x00007FF6F55D0000-0x00007FF6F59C1000-memory.dmp

Filesize
3.9MB

Download
memory/2676-2054-0x00007FF638320000-0x00007FF638711000-memory.dmp

Filesize
3.9MB

Download
memory/2676-1952-0x00007FF638320000-0x00007FF638711000-memory.dmp

Filesize
3.9MB

Download
memory/2676-31-0x00007FF638320000-0x00007FF638711000-memory.dmp

Filesize
3.9MB

Download
memory/2916-2051-0x00007FF7F4900000-0x00007FF7F4CF1000-memory.dmp

Filesize
3.9MB

Download
memory/2916-12-0x00007FF7F4900000-0x00007FF7F4CF1000-memory.dmp

Filesize
3.9MB

Download
memory/3108-54-0x00007FF6A2290000-0x00007FF6A2681000-memory.dmp

Filesize
3.9MB

Download
memory/3108-1987-0x00007FF6A2290000-0x00007FF6A2681000-memory.dmp

Filesize
3.9MB

Download
memory/3108-2066-0x00007FF6A2290000-0x00007FF6A2681000-memory.dmp

Filesize
3.9MB

Download
memory/3420-306-0x00007FF7F0BF0000-0x00007FF7F0FE1000-memory.dmp

Filesize
3.9MB

Download
memory/3420-2082-0x00007FF7F0BF0000-0x00007FF7F0FE1000-memory.dmp

Filesize
3.9MB

Download
memory/3548-2088-0x00007FF6479E0000-0x00007FF647DD1000-memory.dmp

Filesize
3.9MB

Download
memory/3548-329-0x00007FF6479E0000-0x00007FF647DD1000-memory.dmp

Filesize
3.9MB

Download
memory/3772-2074-0x00007FF7067B0000-0x00007FF706BA1000-memory.dmp

Filesize
3.9MB

Download
memory/3772-81-0x00007FF7067B0000-0x00007FF706BA1000-memory.dmp

Filesize
3.9MB

Download
memory/3832-2056-0x00007FF6FCEB0000-0x00007FF6FD2A1000-memory.dmp

Filesize
3.9MB

Download
memory/3832-37-0x00007FF6FCEB0000-0x00007FF6FD2A1000-memory.dmp

Filesize
3.9MB

Download
memory/3864-60-0x00007FF668C10000-0x00007FF669001000-memory.dmp

Filesize
3.9MB

Download
memory/3864-2062-0x00007FF668C10000-0x00007FF669001000-memory.dmp

Filesize
3.9MB

Download
memory/3864-1988-0x00007FF668C10000-0x00007FF669001000-memory.dmp

Filesize
3.9MB

Download
memory/4176-2068-0x00007FF68ED70000-0x00007FF68F161000-memory.dmp

Filesize
3.9MB

Download
memory/4176-304-0x00007FF68ED70000-0x00007FF68F161000-memory.dmp

Filesize
3.9MB

Download
memory/4240-307-0x00007FF6B50A0000-0x00007FF6B5491000-memory.dmp

Filesize
3.9MB

Download
memory/4240-2076-0x00007FF6B50A0000-0x00007FF6B5491000-memory.dmp

Filesize
3.9MB

Download
memory/4300-2060-0x00007FF618070000-0x00007FF618461000-memory.dmp

Filesize
3.9MB

Download
memory/4300-61-0x00007FF618070000-0x00007FF618461000-memory.dmp

Filesize
3.9MB

Download
memory/4392-33-0x00007FF6CA6D0000-0x00007FF6CAAC1000-memory.dmp

Filesize
3.9MB

Download
memory/4392-2048-0x00007FF6CA6D0000-0x00007FF6CAAC1000-memory.dmp

Filesize
3.9MB

Download
memory/4804-2064-0x00007FF73C760000-0x00007FF73CB51000-memory.dmp

Filesize
3.9MB

Download
memory/4804-51-0x00007FF73C760000-0x00007FF73CB51000-memory.dmp

Filesize
3.9MB

Download
memory/4804-1986-0x00007FF73C760000-0x00007FF73CB51000-memory.dmp

Filesize
3.9MB

Download
memory/4980-2081-0x00007FF7736D0000-0x00007FF773AC1000-memory.dmp

Filesize
3.9MB

Download
memory/4980-317-0x00007FF7736D0000-0x00007FF773AC1000-memory.dmp

Filesize
3.9MB

Download
memory/5000-2086-0x00007FF665D90000-0x00007FF666181000-memory.dmp

Filesize
3.9MB

Download
memory/5000-322-0x00007FF665D90000-0x00007FF666181000-memory.dmp

Filesize
3.9MB

Download
memory/5072-346-0x00007FF64B590000-0x00007FF64B981000-memory.dmp

Filesize
3.9MB

Download
memory/5072-2094-0x00007FF64B590000-0x00007FF64B981000-memory.dmp

Filesize
3.9MB

Download
memory/5080-2090-0x00007FF6D8400000-0x00007FF6D87F1000-memory.dmp

Filesize
3.9MB

Download
memory/5080-342-0x00007FF6D8400000-0x00007FF6D87F1000-memory.dmp

Filesize
3.9MB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads