9d3370f765555159e0529a9ea5bd816794755ec94d3f080e3c022306b17c6232

Analysis

max time kernel
150s
max time network
115s
platform
windows10-2004_x64
resource
win10v2004-20240426-en
resource tags

arch:x64arch:x86image:win10v2004-20240426-enlocale:en-usos:windows10-2004-x64system
submitted
12/05/2024, 20:01

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

4f8fce4f7ff36aeb56e8fc9b751016e0_NeikiAnalytics.exe
Size

51KB
MD5

4f8fce4f7ff36aeb56e8fc9b751016e0
SHA1

146ff31b4f999ba397624a05054b915adb03ad56
SHA256

9d3370f765555159e0529a9ea5bd816794755ec94d3f080e3c022306b17c6232
SHA512

5519d7382214f5b18412af89612d59db625338a5db8e8700f5a0f90f33139b5ebe5f80f9887a7f035c7dee0c8fb89214ad7e6eb09465fd323ecdf82972001f56
SSDEEP

1536:nNJb/HkwoLe29UjQ4wqQOLIMVnS3Wxxxxxxxxxxxxxxxxxxxxxxxf:b+LKSOLIMdgWxxxxxxxxxxxxxxxxxxxH

Score

10^/10

evasion persistence upx

Malware Config

Signatures

Modifies WinLogon for persistence 2 TTPs 1 IoCs

persistence

Winlogon Helper DLL

T1547.004

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\shell = "C:\\Windows\\explorer.exe, c:\\windows\\system\\userinit.exe"	userinit.exe

Modifies visiblity of hidden/system files in Explorer 2 TTPs 1 IoCs

evasion

Hidden Files and Directories

T1564.001

Modify Registry

T1112

description	ioc	Process
Set value (int)	\REGISTRY\USER\S-1-5-21-540404634-651139247-2967210625-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden = "0"	userinit.exe

Drops file in Drivers directory 3 IoCs

description	ioc	Process
File opened for modification	C:\Windows\SysWOW64\drivers\udsys.exe	userinit.exe
File opened for modification	\??\c:\windows\SysWOW64\drivers\taskmgr.exe	userinit.exe
File opened for modification	\??\c:\windows\SysWOW64\drivers\csrss.exe	taskmgr.exe

Modifies Installed Components in the registry 2 TTPs 2 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}\StubPath = "C:\\Users\\Admin\\AppData\\Local\\mrkl.exe MR"	userinit.exe
Key created	\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}	userinit.exe

Executes dropped EXE 64 IoCs

pid	Process
220	userinit.exe
3268	taskmgr.exe
4724	csrss.exe
2996	userinit.exe
3292	taskmgr.exe
4888	csrss.exe
2612	userinit.exe
1900	taskmgr.exe
1988	csrss.exe
4148	userinit.exe
2108	taskmgr.exe
3712	csrss.exe
4424	userinit.exe
740	taskmgr.exe
3796	csrss.exe
3488	userinit.exe
960	taskmgr.exe
536	csrss.exe
4356	userinit.exe
3984	taskmgr.exe
1424	csrss.exe
2012	userinit.exe
4136	taskmgr.exe
3408	csrss.exe
1640	userinit.exe
4120	taskmgr.exe
2588	csrss.exe
3900	userinit.exe
3328	taskmgr.exe
608	csrss.exe
4504	userinit.exe
1280	taskmgr.exe
1568	csrss.exe
2428	userinit.exe
1428	taskmgr.exe
116	csrss.exe
2636	userinit.exe
3888	taskmgr.exe
3788	csrss.exe
1864	userinit.exe
3212	taskmgr.exe
1900	csrss.exe
2792	userinit.exe
3104	taskmgr.exe
4168	csrss.exe
4704	userinit.exe
4416	taskmgr.exe
2168	csrss.exe
2388	userinit.exe
2276	taskmgr.exe
4700	csrss.exe
2336	userinit.exe
3408	taskmgr.exe
4444	csrss.exe
224	userinit.exe
800	taskmgr.exe
2780	csrss.exe
4508	userinit.exe
2616	taskmgr.exe
4060	csrss.exe
4660	userinit.exe
1692	taskmgr.exe
1572	csrss.exe
2372	userinit.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/2652-0-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/files/0x0008000000023403-6.dat	upx
behavioral2/memory/220-8-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/files/0x0008000000023405-12.dat	upx
behavioral2/files/0x0008000000023407-21.dat	upx
behavioral2/memory/2996-29-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4724-34-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2652-35-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3268-33-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4888-40-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2612-47-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4888-50-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3292-49-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4148-61-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1900-65-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1988-63-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/220-67-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4424-77-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2108-81-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3712-79-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3488-92-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/740-96-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3796-95-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4356-107-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/536-109-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/960-111-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2012-122-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1424-124-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3984-126-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3408-131-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1640-138-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3408-139-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4136-140-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4120-142-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3900-152-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4120-154-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4504-165-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/608-166-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3328-167-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2428-178-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1280-182-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1568-180-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2636-193-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/116-194-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1428-195-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1864-206-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3788-208-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3888-210-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2792-220-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1900-221-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3212-223-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4704-234-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4168-236-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3104-238-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2388-249-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2168-250-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2336-262-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4700-264-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2276-266-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/224-277-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4444-279-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3408-281-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4508-292-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/800-294-0x0000000000400000-0x0000000000426000-memory.dmp	upx

Adds Run key to start application 2 TTPs 2 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce\userinit = "c:\\windows\\system\\userinit.exe RO"	userinit.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce\csrss = "c:\\windows\\system32\\drivers\\csrss.exe RO"	userinit.exe

Drops file in Windows directory 2 IoCs

description	ioc	Process
File opened for modification	\??\c:\windows\system\userinit.exe	4f8fce4f7ff36aeb56e8fc9b751016e0_NeikiAnalytics.exe
File opened for modification	\??\c:\windows\system\userinit.exe	userinit.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

Suspicious behavior: EnumeratesProcesses 64 IoCs

pid	Process
2652	4f8fce4f7ff36aeb56e8fc9b751016e0_NeikiAnalytics.exe
2652	4f8fce4f7ff36aeb56e8fc9b751016e0_NeikiAnalytics.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe
220	userinit.exe

Suspicious behavior: GetForegroundWindowSpam 1 IoCs

pid	Process
220	userinit.exe

Suspicious use of SetWindowsHookEx 64 IoCs

pid	Process
2652	4f8fce4f7ff36aeb56e8fc9b751016e0_NeikiAnalytics.exe
220	userinit.exe
3268	taskmgr.exe
4724	csrss.exe
2996	userinit.exe
220	userinit.exe
3292	taskmgr.exe
4888	csrss.exe
2612	userinit.exe
1900	taskmgr.exe
1988	csrss.exe
4148	userinit.exe
2108	taskmgr.exe
3712	csrss.exe
4424	userinit.exe
740	taskmgr.exe
3796	csrss.exe
3488	userinit.exe
960	taskmgr.exe
536	csrss.exe
4356	userinit.exe
3984	taskmgr.exe
1424	csrss.exe
2012	userinit.exe
4136	taskmgr.exe
3408	csrss.exe
1640	userinit.exe
4120	taskmgr.exe
2588	csrss.exe
3900	userinit.exe
3328	taskmgr.exe
608	csrss.exe
4504	userinit.exe
1280	taskmgr.exe
1568	csrss.exe
2428	userinit.exe
1428	taskmgr.exe
116	csrss.exe
2636	userinit.exe
3888	taskmgr.exe
3788	csrss.exe
1864	userinit.exe
3212	taskmgr.exe
1900	csrss.exe
2792	userinit.exe
3104	taskmgr.exe
4168	csrss.exe
4704	userinit.exe
4416	taskmgr.exe
2168	csrss.exe
2388	userinit.exe
2276	taskmgr.exe
4700	csrss.exe
2336	userinit.exe
3408	taskmgr.exe
4444	csrss.exe
224	userinit.exe
800	taskmgr.exe
2780	csrss.exe
4508	userinit.exe
2616	taskmgr.exe
4060	csrss.exe
4660	userinit.exe
1692	taskmgr.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 2652 wrote to memory of 220	2652	4f8fce4f7ff36aeb56e8fc9b751016e0_NeikiAnalytics.exe	83
PID 2652 wrote to memory of 220	2652	4f8fce4f7ff36aeb56e8fc9b751016e0_NeikiAnalytics.exe	83
PID 2652 wrote to memory of 220	2652	4f8fce4f7ff36aeb56e8fc9b751016e0_NeikiAnalytics.exe	83
PID 220 wrote to memory of 3268	220	userinit.exe	84
PID 220 wrote to memory of 3268	220	userinit.exe	84
PID 220 wrote to memory of 3268	220	userinit.exe	84
PID 3268 wrote to memory of 4724	3268	taskmgr.exe	85
PID 3268 wrote to memory of 4724	3268	taskmgr.exe	85
PID 3268 wrote to memory of 4724	3268	taskmgr.exe	85
PID 4724 wrote to memory of 2996	4724	csrss.exe	86
PID 4724 wrote to memory of 2996	4724	csrss.exe	86
PID 4724 wrote to memory of 2996	4724	csrss.exe	86
PID 220 wrote to memory of 3292	220	userinit.exe	87
PID 220 wrote to memory of 3292	220	userinit.exe	87
PID 220 wrote to memory of 3292	220	userinit.exe	87
PID 3292 wrote to memory of 4888	3292	taskmgr.exe	88
PID 3292 wrote to memory of 4888	3292	taskmgr.exe	88
PID 3292 wrote to memory of 4888	3292	taskmgr.exe	88
PID 4888 wrote to memory of 2612	4888	csrss.exe	89
PID 4888 wrote to memory of 2612	4888	csrss.exe	89
PID 4888 wrote to memory of 2612	4888	csrss.exe	89
PID 220 wrote to memory of 1900	220	userinit.exe	90
PID 220 wrote to memory of 1900	220	userinit.exe	90
PID 220 wrote to memory of 1900	220	userinit.exe	90
PID 1900 wrote to memory of 1988	1900	taskmgr.exe	91
PID 1900 wrote to memory of 1988	1900	taskmgr.exe	91
PID 1900 wrote to memory of 1988	1900	taskmgr.exe	91
PID 1988 wrote to memory of 4148	1988	csrss.exe	92
PID 1988 wrote to memory of 4148	1988	csrss.exe	92
PID 1988 wrote to memory of 4148	1988	csrss.exe	92
PID 220 wrote to memory of 2108	220	userinit.exe	93
PID 220 wrote to memory of 2108	220	userinit.exe	93
PID 220 wrote to memory of 2108	220	userinit.exe	93
PID 2108 wrote to memory of 3712	2108	taskmgr.exe	94
PID 2108 wrote to memory of 3712	2108	taskmgr.exe	94
PID 2108 wrote to memory of 3712	2108	taskmgr.exe	94
PID 3712 wrote to memory of 4424	3712	csrss.exe	95
PID 3712 wrote to memory of 4424	3712	csrss.exe	95
PID 3712 wrote to memory of 4424	3712	csrss.exe	95
PID 220 wrote to memory of 740	220	userinit.exe	96
PID 220 wrote to memory of 740	220	userinit.exe	96
PID 220 wrote to memory of 740	220	userinit.exe	96
PID 740 wrote to memory of 3796	740	taskmgr.exe	97
PID 740 wrote to memory of 3796	740	taskmgr.exe	97
PID 740 wrote to memory of 3796	740	taskmgr.exe	97
PID 3796 wrote to memory of 3488	3796	csrss.exe	99
PID 3796 wrote to memory of 3488	3796	csrss.exe	99
PID 3796 wrote to memory of 3488	3796	csrss.exe	99
PID 220 wrote to memory of 960	220	userinit.exe	100
PID 220 wrote to memory of 960	220	userinit.exe	100
PID 220 wrote to memory of 960	220	userinit.exe	100
PID 960 wrote to memory of 536	960	taskmgr.exe	102
PID 960 wrote to memory of 536	960	taskmgr.exe	102
PID 960 wrote to memory of 536	960	taskmgr.exe	102
PID 536 wrote to memory of 4356	536	csrss.exe	103
PID 536 wrote to memory of 4356	536	csrss.exe	103
PID 536 wrote to memory of 4356	536	csrss.exe	103
PID 220 wrote to memory of 3984	220	userinit.exe	105
PID 220 wrote to memory of 3984	220	userinit.exe	105
PID 220 wrote to memory of 3984	220	userinit.exe	105
PID 3984 wrote to memory of 1424	3984	taskmgr.exe	106
PID 3984 wrote to memory of 1424	3984	taskmgr.exe	106
PID 3984 wrote to memory of 1424	3984	taskmgr.exe	106
PID 1424 wrote to memory of 2012	1424	csrss.exe	107

C:\Users\Admin\AppData\Local\Temp\4f8fce4f7ff36aeb56e8fc9b751016e0_NeikiAnalytics.exe
"C:\Users\Admin\AppData\Local\Temp\4f8fce4f7ff36aeb56e8fc9b751016e0_NeikiAnalytics.exe"
1⤵
- Drops file in Windows directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2652
- \??\c:\windows\system\userinit.exe
  c:\windows\system\userinit.exe
  2⤵
  - Modifies WinLogon for persistence
  - Modifies visiblity of hidden/system files in Explorer
  - Drops file in Drivers directory
  - Modifies Installed Components in the registry
  - Executes dropped EXE
  - Adds Run key to start application
  - Drops file in Windows directory
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious behavior: GetForegroundWindowSpam
  - Suspicious use of SetWindowsHookEx
  - Suspicious use of WriteProcessMemory
  PID:220
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Drops file in Drivers directory
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    - Suspicious use of WriteProcessMemory
    PID:3268
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      Suspicious use of WriteProcessMemory
      PID:4724
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:2996
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    - Suspicious use of WriteProcessMemory
    PID:3292
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      Suspicious use of WriteProcessMemory
      PID:4888
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:2612
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    - Suspicious use of WriteProcessMemory
    PID:1900
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      Suspicious use of WriteProcessMemory
      PID:1988
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:4148
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    - Suspicious use of WriteProcessMemory
    PID:2108
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      Suspicious use of WriteProcessMemory
      PID:3712
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:4424
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    - Suspicious use of WriteProcessMemory
    PID:740
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      Suspicious use of WriteProcessMemory
      PID:3796
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:3488
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    - Suspicious use of WriteProcessMemory
    PID:960
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      Suspicious use of WriteProcessMemory
      PID:536
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:4356
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    - Suspicious use of WriteProcessMemory
    PID:3984
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      Suspicious use of WriteProcessMemory
      PID:1424
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:2012
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:4136
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:3408
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:1640
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:4120
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:2588
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:3900
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:3328
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:608
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:4504
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:1280
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:1568
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:2428
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:1428
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:116
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:2636
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:3888
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:3788
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:1864
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:3212
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:1900
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:2792
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:3104
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:4168
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:4704
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:4416
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:2168
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:2388
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:2276
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:4700
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:2336
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:3408
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:4444
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:224
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:800
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:2780
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:4508
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:2616
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:4060
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:4660
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:1692
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      PID:1572
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        
        PID:2372
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2856
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2636
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4296
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4176
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1680
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3944
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1512
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4392
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3540
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1244
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3544
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3776
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:960
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2752
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2020
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:5080
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4436
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4876
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4760
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4492
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4628
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3120
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1276
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1936
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2404
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1572
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2796
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3156
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3056
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1636
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4424
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1680
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3064
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4960
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2876
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4944
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:788
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4012
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1244
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2516
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2460
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2784
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4948
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:208
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:5080
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2284
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2696
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1328
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4760
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:660
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2660
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2372
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3308
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2796
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2088
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2360
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1864
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3992
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3596
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3280
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:756
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2108
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4404
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2772
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3572
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4416
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:332
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3668
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4212
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4528
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4816
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4120
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4256
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2388
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1096
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3740
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3356
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2496
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4976
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2976
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1896
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3920
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2588
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2612
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2508
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1576
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:784
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2972
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:848
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2836
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:756
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3984
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1508
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4012
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2752
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1424
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:332
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1556
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:5032
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4816
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2232
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4948
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1096
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:5068
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3120
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3560
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3836
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2748
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:660
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3788
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1488
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1404
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2564
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2032
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2188
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3280
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4272
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4396
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2836
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2448
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4616
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4960
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3984
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1508
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1492
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2276
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2516
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4120
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1988
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4508
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4520
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4688
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:864
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3760
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1344
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1788
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4820
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:868
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2636
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3056
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:5076
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1228
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3380
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2564
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:608
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4680
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3528
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4392
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1776
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2792
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1324
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3572
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2168
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4616
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4700
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2480
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2276
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1556
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4528
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4256
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2232
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4596
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4632
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1096
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3000
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3600
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2496
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4776
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1548
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3296
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3056
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:5076
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1680
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3888
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3488
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4128
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2508
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3088
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4396
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3064
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1656
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3376
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4324
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3144
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4572
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2480
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3028
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1064
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4120
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2860
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3060
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:224
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2232
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4508
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3760
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1328
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:864
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2976
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1084
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2696
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3600
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3920
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2900
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3552
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4148
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2372
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1228
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4620
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2528
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3516
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3156
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1764
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:5040
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2904
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:5084
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:452
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:960
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:788
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1324
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:332
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2784
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2516
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4948
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1620
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:5096
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4500
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3108
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2712
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2040
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3772
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1096
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4112
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2496
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4296
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3988
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:784
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3788
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3888
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1636
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4176
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4144
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4128
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4272
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3088
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:608
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1776
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:880
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2296
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3124
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3144
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4572
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2532
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4120
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1556
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2400
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:224
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2276
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4948
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2884
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2072
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2616
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2988
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4760
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1700
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2980
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:876
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4776
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3944
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2404
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1548
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2032
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2292
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:5076
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4620
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3064
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4944
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3932
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4392
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3776
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:956
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1244
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1324
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:440
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2532
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4616
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3028
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2436
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1620
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4504
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3108
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:540
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2232
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2796
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2672
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3748
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4296
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:660
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3292
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1592
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1488
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3944
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1444
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1124
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1336
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1220
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3540
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3712
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3528
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3564
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4392
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4932
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4148
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3464
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3572
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:5064
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2784
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2896
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4508
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:5068
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2400
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3836
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3120
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4256
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:212
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2976
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2884
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3920
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:660
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:5108
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3296
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2528
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2900
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3212
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3664
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1348
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3380
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4564
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4272
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2792
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4960
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4100
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3280
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4324
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2560
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3776
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2296
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3052
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1324
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3464
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2388
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4616
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4596
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3000
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1568
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4736
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4928
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1788
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3612
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3600
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2636
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3308
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4296
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4776
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3560
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3296
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2980
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1488
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3888
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3944
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2876
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4588
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4532
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2336
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2792
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4416
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3712
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2176
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3932
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:208
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4520
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4012
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:332
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2532
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3464
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2744
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4632
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1568
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4184
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4064
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1788
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4576
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:212
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1528
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2988
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1896
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1052
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:784
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4052
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4972
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4224
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4640
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3360
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1048
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4168
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4652
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4560
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4604
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2560
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2688
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2448
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:5032
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4692
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4212
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:5044
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2388
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:332
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2984
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4436
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2072
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2960
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2040
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4184
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2752
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3124
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2284
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1096
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:864
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2980
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3976
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3984
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1348
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2528
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:784
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1512
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2372
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2032
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3196
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3380
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1048
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1704
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3540
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3900
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:432
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1424
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:5032
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1056
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4212
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3792
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:428
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4216
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2712
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2184
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1084
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2748
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4148
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:224
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4012
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4144
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:212
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1096
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3988
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4992
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3552
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1228
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4480
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3664
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1336
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4272
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4116
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3668
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4920
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4532
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2300
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4132
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4316
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4392
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3932
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2168
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2400
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2660
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3760
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4256
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3464
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4596
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1328
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4760
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3772
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:828
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1700
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:880
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2696
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4376
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2752
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3200
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3292
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4976
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2292
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:620
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3800
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1512
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4680
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3664
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4524
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4332
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3064
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4620
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:5084
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4532
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1324
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4960
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4316
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3088
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2560
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2168
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1568
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1620
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3792
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3120
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2436
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4596
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4200
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:608
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4500
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:876
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1428
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2040
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1576
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2980
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2752
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3296
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4308
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4976
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2528
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1220
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4176
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3668
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2836
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2972
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4448
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4100
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3812
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1508
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4960
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2896
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4512
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:208
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3340
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2560
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3472
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4932
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4928
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4120
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2884
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2436
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:5068
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2712
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4144
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4552
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4084
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2360
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3808
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:212
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3776
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1572
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:868
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2404
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1548
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:620
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3612
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2120
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3800
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1704
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4604
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4488
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:956
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3540
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2772
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2532
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4616
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4948
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4060
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1932
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4508
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4628
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:5044
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4196
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4240
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1064
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2796
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:5108
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2672
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3124
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3920
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4396
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4104
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1348
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3944
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4012
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4640
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4112
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1336
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1764
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4564
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4976
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4620
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3564
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2336
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1048
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3712
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3064
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3572
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3060
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2448
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4616
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:5080
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:5032
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2032
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3000
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2660
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1988
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4444
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3992
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4196
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3972
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:5108
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2712
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4128
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3788
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4576
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1444
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3056
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3296
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3376
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3292
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1992
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2956
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1492
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:756
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1720
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2524
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2108
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4100
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2972
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2084
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3712
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4532
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4960
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:208
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4060
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4616
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2448
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:704
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4676
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:5032
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4184
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2860
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2660
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1160
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4376
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1528
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3476
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:880
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4596
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1404
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1680
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4500
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3788
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4940
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4772
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3560
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3580
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3196
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:868
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1888
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1548
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1488
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3488
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1324
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4332
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4620
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4392
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4520
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:8
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2540
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:428
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3572
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4532
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4948
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3932
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2184
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4212
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:5056
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4700
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4444
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4644
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4148
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:5068
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4144
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2284
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3600
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4424
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3476
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4992
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2508
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1404
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3144
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2040
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3788
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3516
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4012
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3296
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:960
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:452
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4168
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1764
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2516
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3052
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2108
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3088
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2524
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4332
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4488
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1244
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4520
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4688
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4960
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3060
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1080
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1932
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2744
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2168
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2232
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4212
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2436
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2860
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4444
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2616
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2420
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:5068
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4396
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:400
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2696
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4812
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3984
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3308
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3376
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1808
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3144
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3156
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4224
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3516
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1548
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1888
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:960
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1492
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2296
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1764
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2324
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:956
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2108
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2084
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4692
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1244
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:540
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2784
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2448
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3060
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3748
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4948
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3792
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4184
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:608
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2672
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1528
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3476
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:732
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2712
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3776
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4128
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1680
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3656
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3300
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2040
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3944
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3308
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:5076
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1512
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3144
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4564
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1548
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4116
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3028
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4976
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4604
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4820
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4652
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3052
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2416
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4572
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2524
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3000
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2540
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1568
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2400
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2276
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2168
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3428
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2588
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1988
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1160
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:848
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4064
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2560
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3808
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1428
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4412
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2884
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3628
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3172
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:660
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4992
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2564
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:992
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2496
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4108
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3112
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3156
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2332
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:784
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3668
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3380
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1336
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2516
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1720
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3028
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4920
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4604
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2300
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4488
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2324
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1508
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4628
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3048
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3000
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4676
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1568
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4928
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4700
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3748
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2744
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4932
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1988
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2284
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2796
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4596
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:732
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3572
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4876
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2896
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4812
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3628
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2292
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4084
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4992
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3376
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2876
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2496
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3056
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4980
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2752
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2332
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:868
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:468
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3528
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2904
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1704
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2756
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:740
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3488
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2460
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3540
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4820
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3932
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3664
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4572
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2184
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:428
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4168
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1568
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4436
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2436
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4444
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1064
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4932
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2360
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4396
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1528
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4272
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3808
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3876
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4876
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3920
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4492
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3628
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1692
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3288
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4588
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4772
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3300
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4900
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3560
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:5076
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1636
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2836
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4524
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:788
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4560
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4940
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:960
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4104
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3360
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1324
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3800
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3540
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:5096
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3356
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3664
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2772
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4696
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:540
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4168
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4196
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4436
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2436
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4148
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1064
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3200
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2796
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4396
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4504
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3572
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4596
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3876
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3992
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4632
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4492
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1776
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4640
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2824
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2040
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4012
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3156
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3944
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3560
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:5076
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:784
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2836
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4524
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3996

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Defense Evasion

Hide Artifacts

T1564

Hidden Files and Directories

T1564.001

Modify Registry

T1112

Credential Access

Discovery

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\SysWOW64\drivers\csrss.exe

Filesize
51KB

MD5
4faab09a5b4cc8ae797ae305c80f715f

SHA1
3c21947afed9529361dea4b892cfbc1640ddcc2c

SHA256
1303cfb4b5b3f979289f396443a072a18dba1dabfd28bf330ddaf6c14d1877fa

SHA512
61aa246d74862886e05ecea56cd8a52507568c847e3a714b978e74233de0987a3793df73e803ae77acee8f820fcc51c9822c1d392a83302cbeeec74b4acb07e6

Download Submit
C:\Windows\SysWOW64\drivers\taskmgr.exe

Filesize
51KB

MD5
9d7283bc2df9d943b74677542482277d

SHA1
6bf5c7f469da0869ee73a53bc46c02c74412ea8a

SHA256
326eda55e55591de184cff122fa39324816ded1a95edfbb302029e8fec43761a

SHA512
ef56aa0a9ab78b72dcd313300849c46a03ee6cf949b1ddb29ea5f3d7b1f2eecad93c656c2bb084a7e63506cf0dab4a7a17a646602b05d5ab90aa3dd7758ae67c

Download Submit
C:\Windows\System\userinit.exe

Filesize
51KB

MD5
668a3e7694b5e3b4c0600d3bc4005301

SHA1
cd029811f337abb4d451c1d8c745436cc92175f0

SHA256
03bbbadbf7051a9ce61f6c60c1a79020c5bcbe8fd9dde08216b8aa6c125caf59

SHA512
a810f100eb0dfde77d7011dc1c8f757f575e457fe6c732b1802b063f71fd54eecb1fa3781c41603c4e7cd6d9208b12aa394f8494e57f61be5eda0c02d0795a7a

Download Submit
memory/116-194-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/208-495-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/220-8-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/220-67-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/224-277-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/536-109-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/608-166-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/740-96-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/788-474-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/800-294-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/960-381-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/960-111-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1244-470-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1244-370-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1280-182-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1328-505-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1424-124-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1428-195-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1512-358-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1568-180-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1572-426-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1572-320-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1636-435-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1640-138-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1680-344-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1692-322-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1864-206-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1900-65-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1900-221-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1936-412-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1988-63-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2012-122-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2020-378-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2108-81-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2168-250-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2276-266-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2284-507-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2336-262-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2372-318-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2388-249-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2404-427-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2428-178-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2516-485-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2612-47-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2616-310-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2636-332-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2636-193-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2652-0-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2652-35-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2780-295-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2784-482-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2792-220-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2796-423-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2856-334-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2876-460-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2996-29-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3056-437-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3064-447-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3104-238-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3120-415-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3156-439-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3212-223-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3268-33-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3292-49-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3328-167-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3408-131-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3408-281-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3408-139-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3488-92-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3540-354-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3544-368-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3712-79-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3776-366-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3788-208-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3796-95-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3888-210-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3900-152-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3944-342-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3984-126-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4012-472-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4060-308-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4120-142-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4120-154-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4136-140-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4148-61-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4168-236-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4176-346-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4296-330-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4356-107-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4392-356-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4424-450-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4424-77-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4436-391-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4444-279-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4504-165-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4508-292-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4628-401-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4660-306-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4700-264-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4704-234-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4724-34-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4760-404-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4876-389-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4888-40-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4888-50-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4944-458-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4948-497-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4960-462-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/5080-393-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/5080-493-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download