xmrig | 801623aeaf6196d3737e748f8abb20baddee33df968a0a4dfef273f0862c01a2

Analysis

max time kernel
150s
max time network
98s
platform
windows10-2004_x64
resource
win10v2004-20240426-en
resource tags

arch:x64arch:x86image:win10v2004-20240426-enlocale:en-usos:windows10-2004-x64system
submitted
13/05/2024, 07:47

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
Size

3.1MB
MD5

a72e03dafc7d9f8311b3313b1e882730
SHA1

af1fc6bed4ca308664f5af957db6d9f27143bfbb
SHA256

801623aeaf6196d3737e748f8abb20baddee33df968a0a4dfef273f0862c01a2
SHA512

d9e9162f06d0464047591b59871ddd144c2801deecb27194d841a531118a0275f958768333358bc8001b27699b57743f841b127e8beec70d23a7ffd23e023101
SSDEEP

98304:N0GnJMOWPClFdx6e0EALKWVTffZiPAcRq6jHjc4g:NFWPClFQ

Score

10^/10

xmrig miner upx

Malware Config

Signatures

xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 59 IoCs

miner

resource	yara_rule
behavioral2/memory/4576-0-0x00007FF783790000-0x00007FF783B85000-memory.dmp	xmrig
behavioral2/files/0x000800000002341c-4.dat	xmrig
behavioral2/files/0x0007000000023420-10.dat	xmrig
behavioral2/memory/4920-13-0x00007FF7062B0000-0x00007FF7066A5000-memory.dmp	xmrig
behavioral2/files/0x0007000000023421-17.dat	xmrig
behavioral2/memory/220-19-0x00007FF737F00000-0x00007FF7382F5000-memory.dmp	xmrig
behavioral2/files/0x0007000000023422-22.dat	xmrig
behavioral2/files/0x0007000000023423-27.dat	xmrig
behavioral2/files/0x0007000000023424-34.dat	xmrig
behavioral2/files/0x0007000000023425-37.dat	xmrig
behavioral2/files/0x0007000000023426-42.dat	xmrig
behavioral2/files/0x0007000000023427-49.dat	xmrig
behavioral2/files/0x0007000000023428-54.dat	xmrig
behavioral2/files/0x0007000000023429-59.dat	xmrig
behavioral2/files/0x000700000002342b-69.dat	xmrig
behavioral2/files/0x000700000002342e-84.dat	xmrig
behavioral2/files/0x0007000000023430-92.dat	xmrig
behavioral2/files/0x0007000000023432-102.dat	xmrig
behavioral2/files/0x0007000000023436-122.dat	xmrig
behavioral2/files/0x0007000000023439-137.dat	xmrig
behavioral2/files/0x000700000002343e-164.dat	xmrig
behavioral2/memory/2744-523-0x00007FF635B40000-0x00007FF635F35000-memory.dmp	xmrig
behavioral2/memory/4912-528-0x00007FF6AE710000-0x00007FF6AEB05000-memory.dmp	xmrig
behavioral2/memory/1544-548-0x00007FF7DF5E0000-0x00007FF7DF9D5000-memory.dmp	xmrig
behavioral2/memory/4200-563-0x00007FF7973E0000-0x00007FF7977D5000-memory.dmp	xmrig
behavioral2/memory/5068-584-0x00007FF70D460000-0x00007FF70D855000-memory.dmp	xmrig
behavioral2/memory/1972-596-0x00007FF631810000-0x00007FF631C05000-memory.dmp	xmrig
behavioral2/memory/464-601-0x00007FF76E950000-0x00007FF76ED45000-memory.dmp	xmrig
behavioral2/memory/1792-588-0x00007FF7B4570000-0x00007FF7B4965000-memory.dmp	xmrig
behavioral2/memory/3148-580-0x00007FF68A3F0000-0x00007FF68A7E5000-memory.dmp	xmrig
behavioral2/memory/1072-576-0x00007FF625510000-0x00007FF625905000-memory.dmp	xmrig
behavioral2/memory/1676-566-0x00007FF790260000-0x00007FF790655000-memory.dmp	xmrig
behavioral2/memory/3184-560-0x00007FF658610000-0x00007FF658A05000-memory.dmp	xmrig
behavioral2/memory/4320-554-0x00007FF644F00000-0x00007FF6452F5000-memory.dmp	xmrig
behavioral2/memory/1388-550-0x00007FF71ACC0000-0x00007FF71B0B5000-memory.dmp	xmrig
behavioral2/memory/2640-544-0x00007FF7709D0000-0x00007FF770DC5000-memory.dmp	xmrig
behavioral2/memory/5004-541-0x00007FF6BE960000-0x00007FF6BED55000-memory.dmp	xmrig
behavioral2/memory/1056-535-0x00007FF6D5050000-0x00007FF6D5445000-memory.dmp	xmrig
behavioral2/memory/2104-533-0x00007FF758230000-0x00007FF758625000-memory.dmp	xmrig
behavioral2/memory/2304-607-0x00007FF7DADE0000-0x00007FF7DB1D5000-memory.dmp	xmrig
behavioral2/memory/5008-612-0x00007FF7F9DB0000-0x00007FF7FA1A5000-memory.dmp	xmrig
behavioral2/memory/552-616-0x00007FF61AE00000-0x00007FF61B1F5000-memory.dmp	xmrig
behavioral2/files/0x000700000002343d-159.dat	xmrig
behavioral2/files/0x000700000002343c-154.dat	xmrig
behavioral2/files/0x000700000002343b-149.dat	xmrig
behavioral2/files/0x000700000002343a-144.dat	xmrig
behavioral2/files/0x0007000000023438-134.dat	xmrig
behavioral2/files/0x0007000000023437-129.dat	xmrig
behavioral2/files/0x0007000000023435-119.dat	xmrig
behavioral2/files/0x0007000000023434-114.dat	xmrig
behavioral2/files/0x0007000000023433-109.dat	xmrig
behavioral2/files/0x0007000000023431-99.dat	xmrig
behavioral2/files/0x000700000002342f-89.dat	xmrig
behavioral2/files/0x000700000002342d-79.dat	xmrig
behavioral2/files/0x000700000002342c-74.dat	xmrig
behavioral2/files/0x000700000002342a-64.dat	xmrig
behavioral2/memory/4512-25-0x00007FF7C8A00000-0x00007FF7C8DF5000-memory.dmp	xmrig
behavioral2/memory/4576-2127-0x00007FF783790000-0x00007FF783B85000-memory.dmp	xmrig
behavioral2/memory/4576-2595-0x00007FF783790000-0x00007FF783B85000-memory.dmp	xmrig

Executes dropped EXE 64 IoCs

pid	Process
4920	taizROB.exe
220	YDmLUeM.exe
4512	liwDYqS.exe
5008	wJkoGmR.exe
2744	mFVHTAG.exe
552	vYDhTAz.exe
4912	LvwYCRO.exe
2104	ozQGBDq.exe
1056	rzZvYuG.exe
5004	PzKafhL.exe
2640	LRtWjof.exe
1544	VMPaXUI.exe
1388	kGXXuzi.exe
4320	rBTPEwz.exe
3184	oDhvWGS.exe
4200	jacxOyc.exe
1676	dkwgYcF.exe
1072	rEQjwBi.exe
3148	KbwPJxk.exe
5068	ByQnnQn.exe
1792	ghwbYdY.exe
1972	XjnCYPe.exe
464	GAIklUs.exe
2304	HWdGGIj.exe
3296	qxFFrXx.exe
560	ukIkTWg.exe
1580	kxvnYLt.exe
4036	EqNdBEF.exe
4220	nWoSHSW.exe
1472	xKNOPPb.exe
2076	EoHKTfI.exe
2728	zXHqzPO.exe
484	dnrausl.exe
4992	ljKXvOi.exe
2244	UZEiAGv.exe
3456	VYNotNs.exe
2028	aWjrGQW.exe
1588	dWTIOBh.exe
524	qxZPMmy.exe
3648	SOQQoAI.exe
4936	GYoMNdl.exe
4148	stlbIHv.exe
1380	LuQfsPT.exe
4444	IyVpYhn.exe
5064	ZpmtUVE.exe
380	jILFyQv.exe
2512	ACZeqvm.exe
4292	wzsjnBD.exe
3692	NKHtLTC.exe
4892	KVecFuF.exe
2036	LdGMYIu.exe
2124	DLYiAsV.exe
2000	IMVYdLZ.exe
3320	RGBfrdO.exe
3688	BZlAJgN.exe
2328	OiiQUiK.exe
4088	jLnVHrU.exe
3040	uXbGlNL.exe
2844	wPKupjz.exe
2292	yhHvpRP.exe
2528	UOwBDdo.exe
3164	hBYxWni.exe
2176	ATCQkxV.exe
2496	oDwOCZE.exe

UPX packed file 59 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/4576-0-0x00007FF783790000-0x00007FF783B85000-memory.dmp	upx
behavioral2/files/0x000800000002341c-4.dat	upx
behavioral2/files/0x0007000000023420-10.dat	upx
behavioral2/memory/4920-13-0x00007FF7062B0000-0x00007FF7066A5000-memory.dmp	upx
behavioral2/files/0x0007000000023421-17.dat	upx
behavioral2/memory/220-19-0x00007FF737F00000-0x00007FF7382F5000-memory.dmp	upx
behavioral2/files/0x0007000000023422-22.dat	upx
behavioral2/files/0x0007000000023423-27.dat	upx
behavioral2/files/0x0007000000023424-34.dat	upx
behavioral2/files/0x0007000000023425-37.dat	upx
behavioral2/files/0x0007000000023426-42.dat	upx
behavioral2/files/0x0007000000023427-49.dat	upx
behavioral2/files/0x0007000000023428-54.dat	upx
behavioral2/files/0x0007000000023429-59.dat	upx
behavioral2/files/0x000700000002342b-69.dat	upx
behavioral2/files/0x000700000002342e-84.dat	upx
behavioral2/files/0x0007000000023430-92.dat	upx
behavioral2/files/0x0007000000023432-102.dat	upx
behavioral2/files/0x0007000000023436-122.dat	upx
behavioral2/files/0x0007000000023439-137.dat	upx
behavioral2/files/0x000700000002343e-164.dat	upx
behavioral2/memory/2744-523-0x00007FF635B40000-0x00007FF635F35000-memory.dmp	upx
behavioral2/memory/4912-528-0x00007FF6AE710000-0x00007FF6AEB05000-memory.dmp	upx
behavioral2/memory/1544-548-0x00007FF7DF5E0000-0x00007FF7DF9D5000-memory.dmp	upx
behavioral2/memory/4200-563-0x00007FF7973E0000-0x00007FF7977D5000-memory.dmp	upx
behavioral2/memory/5068-584-0x00007FF70D460000-0x00007FF70D855000-memory.dmp	upx
behavioral2/memory/1972-596-0x00007FF631810000-0x00007FF631C05000-memory.dmp	upx
behavioral2/memory/464-601-0x00007FF76E950000-0x00007FF76ED45000-memory.dmp	upx
behavioral2/memory/1792-588-0x00007FF7B4570000-0x00007FF7B4965000-memory.dmp	upx
behavioral2/memory/3148-580-0x00007FF68A3F0000-0x00007FF68A7E5000-memory.dmp	upx
behavioral2/memory/1072-576-0x00007FF625510000-0x00007FF625905000-memory.dmp	upx
behavioral2/memory/1676-566-0x00007FF790260000-0x00007FF790655000-memory.dmp	upx
behavioral2/memory/3184-560-0x00007FF658610000-0x00007FF658A05000-memory.dmp	upx
behavioral2/memory/4320-554-0x00007FF644F00000-0x00007FF6452F5000-memory.dmp	upx
behavioral2/memory/1388-550-0x00007FF71ACC0000-0x00007FF71B0B5000-memory.dmp	upx
behavioral2/memory/2640-544-0x00007FF7709D0000-0x00007FF770DC5000-memory.dmp	upx
behavioral2/memory/5004-541-0x00007FF6BE960000-0x00007FF6BED55000-memory.dmp	upx
behavioral2/memory/1056-535-0x00007FF6D5050000-0x00007FF6D5445000-memory.dmp	upx
behavioral2/memory/2104-533-0x00007FF758230000-0x00007FF758625000-memory.dmp	upx
behavioral2/memory/2304-607-0x00007FF7DADE0000-0x00007FF7DB1D5000-memory.dmp	upx
behavioral2/memory/5008-612-0x00007FF7F9DB0000-0x00007FF7FA1A5000-memory.dmp	upx
behavioral2/memory/552-616-0x00007FF61AE00000-0x00007FF61B1F5000-memory.dmp	upx
behavioral2/files/0x000700000002343d-159.dat	upx
behavioral2/files/0x000700000002343c-154.dat	upx
behavioral2/files/0x000700000002343b-149.dat	upx
behavioral2/files/0x000700000002343a-144.dat	upx
behavioral2/files/0x0007000000023438-134.dat	upx
behavioral2/files/0x0007000000023437-129.dat	upx
behavioral2/files/0x0007000000023435-119.dat	upx
behavioral2/files/0x0007000000023434-114.dat	upx
behavioral2/files/0x0007000000023433-109.dat	upx
behavioral2/files/0x0007000000023431-99.dat	upx
behavioral2/files/0x000700000002342f-89.dat	upx
behavioral2/files/0x000700000002342d-79.dat	upx
behavioral2/files/0x000700000002342c-74.dat	upx
behavioral2/files/0x000700000002342a-64.dat	upx
behavioral2/memory/4512-25-0x00007FF7C8A00000-0x00007FF7C8DF5000-memory.dmp	upx
behavioral2/memory/4576-2127-0x00007FF783790000-0x00007FF783B85000-memory.dmp	upx
behavioral2/memory/4576-2595-0x00007FF783790000-0x00007FF783B85000-memory.dmp	upx

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\System32\vNyJHjm.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\VrGvuUE.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\vIIQlWt.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\rVARlVZ.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\neqGVDD.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\WNOwznw.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\toUkiEh.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\vbXaBSJ.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\DOTKOVH.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\IbAWixb.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\nnjPRzm.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\mNgelZI.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\iaoBPfW.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\iSdeQcv.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\XpXfqau.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\PEGuLVC.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\SMWhYaN.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\awtQtNH.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\zhoNJCu.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\EqNdBEF.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\Aykfhww.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\ypTGVUJ.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\FYDvTWe.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\uEFQZsQ.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\EUhXJRS.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\ACZeqvm.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\tRBRVgq.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\hYGuYkg.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\eUptPPr.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\dkwgYcF.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\dZIpDvw.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\YrkvTKm.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\StDZQQC.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\vQNIYyX.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\WiBOaER.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\RJJqBsY.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\NJzygQG.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\LpFHjiR.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\uknDjKU.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\xYgdnxj.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\SGphZaX.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\LMCfYwV.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\fsdGbuQ.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\UoPUDAd.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\kNsLxZZ.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\zcCEJYS.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\fiuAPeU.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\QggvkCf.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\OYAawpa.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\kJWQLnl.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\tZPmmLr.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\etQzhpi.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\GYoMNdl.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\CeBgyEA.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\GzRfODg.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\KzfEgIy.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\XexgkYA.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\jLavvIE.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\Gkgerxq.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\fQkEjLi.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\uFTBASI.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\Nbrqnfj.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\IXLUNmV.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
File created	C:\Windows\System32\vaKEwUS.exe	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe

Checks SCSI registry key(s) 3 TTPs 6 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\HardwareID	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_QEMU&PROD_QEMU_DVD-ROM\4&215468A5&0&010000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_DADY&PROD_HARDDISK\4&215468A5&0&000000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\ConfigFlags	dwm.exe

Enumerates system info in registry 2 TTPs 2 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe

Modifies data under HKEY_USERS 18 IoCs

description	ioc	Process
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2a\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe

Suspicious behavior: LoadsDriver 64 IoCs

pid	Process
15528	Process not Found
15564	Process not Found
3696	Process not Found
15580	Process not Found
15588	Process not Found
15604	Process not Found
5000	Process not Found
15620	Process not Found
15628	Process not Found
3356	Process not Found
15644	Process not Found
15660	Process not Found
15668	Process not Found
3620	Process not Found
15684	Process not Found
15700	Process not Found
15704	Process not Found
15720	Process not Found
15728	Process not Found
3052	Process not Found
15752	Process not Found
15768	Process not Found
15732	Process not Found
15744	Process not Found
15792	Process not Found
15808	Process not Found
15816	Process not Found
5048	Process not Found
15832	Process not Found
15848	Process not Found
15856	Process not Found
4916	Process not Found
15872	Process not Found
15888	Process not Found
15896	Process not Found
1616	Process not Found
15912	Process not Found
15928	Process not Found
2004	Process not Found
15936	Process not Found
15952	Process not Found
3752	Process not Found
15972	Process not Found
15980	Process not Found
5072	Process not Found
15996	Process not Found
16012	Process not Found
16016	Process not Found
16020	Process not Found
16036	Process not Found
16052	Process not Found
3336	Process not Found
16060	Process not Found
16076	Process not Found
488	Process not Found
16092	Process not Found
16100	Process not Found
4380	Process not Found
16116	Process not Found
16132	Process not Found
16140	Process not Found
2012	Process not Found
16156	Process not Found
3612	Process not Found

Suspicious use of AdjustPrivilegeToken 4 IoCs

description	pid	Process
Token: SeCreateGlobalPrivilege	13712	dwm.exe
Token: SeChangeNotifyPrivilege	13712	dwm.exe
Token: 33	13712	dwm.exe
Token: SeIncBasePriorityPrivilege	13712	dwm.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 4576 wrote to memory of 4920	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	84
PID 4576 wrote to memory of 4920	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	84
PID 4576 wrote to memory of 220	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	85
PID 4576 wrote to memory of 220	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	85
PID 4576 wrote to memory of 4512	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	86
PID 4576 wrote to memory of 4512	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	86
PID 4576 wrote to memory of 5008	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	87
PID 4576 wrote to memory of 5008	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	87
PID 4576 wrote to memory of 2744	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	88
PID 4576 wrote to memory of 2744	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	88
PID 4576 wrote to memory of 552	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	89
PID 4576 wrote to memory of 552	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	89
PID 4576 wrote to memory of 4912	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	90
PID 4576 wrote to memory of 4912	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	90
PID 4576 wrote to memory of 2104	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	91
PID 4576 wrote to memory of 2104	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	91
PID 4576 wrote to memory of 1056	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	92
PID 4576 wrote to memory of 1056	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	92
PID 4576 wrote to memory of 5004	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	93
PID 4576 wrote to memory of 5004	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	93
PID 4576 wrote to memory of 2640	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	94
PID 4576 wrote to memory of 2640	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	94
PID 4576 wrote to memory of 1544	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	95
PID 4576 wrote to memory of 1544	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	95
PID 4576 wrote to memory of 1388	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	96
PID 4576 wrote to memory of 1388	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	96
PID 4576 wrote to memory of 4320	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	97
PID 4576 wrote to memory of 4320	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	97
PID 4576 wrote to memory of 3184	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	98
PID 4576 wrote to memory of 3184	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	98
PID 4576 wrote to memory of 4200	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	99
PID 4576 wrote to memory of 4200	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	99
PID 4576 wrote to memory of 1676	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	100
PID 4576 wrote to memory of 1676	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	100
PID 4576 wrote to memory of 1072	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	101
PID 4576 wrote to memory of 1072	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	101
PID 4576 wrote to memory of 3148	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	102
PID 4576 wrote to memory of 3148	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	102
PID 4576 wrote to memory of 5068	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	103
PID 4576 wrote to memory of 5068	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	103
PID 4576 wrote to memory of 1792	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	104
PID 4576 wrote to memory of 1792	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	104
PID 4576 wrote to memory of 1972	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	105
PID 4576 wrote to memory of 1972	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	105
PID 4576 wrote to memory of 464	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	106
PID 4576 wrote to memory of 464	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	106
PID 4576 wrote to memory of 2304	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	107
PID 4576 wrote to memory of 2304	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	107
PID 4576 wrote to memory of 3296	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	108
PID 4576 wrote to memory of 3296	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	108
PID 4576 wrote to memory of 560	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	109
PID 4576 wrote to memory of 560	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	109
PID 4576 wrote to memory of 1580	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	110
PID 4576 wrote to memory of 1580	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	110
PID 4576 wrote to memory of 4036	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	111
PID 4576 wrote to memory of 4036	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	111
PID 4576 wrote to memory of 4220	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	112
PID 4576 wrote to memory of 4220	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	112
PID 4576 wrote to memory of 1472	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	113
PID 4576 wrote to memory of 1472	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	113
PID 4576 wrote to memory of 2076	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	114
PID 4576 wrote to memory of 2076	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	114
PID 4576 wrote to memory of 2728	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	115
PID 4576 wrote to memory of 2728	4576	a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe	115

C:\Users\Admin\AppData\Local\Temp\a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe
"C:\Users\Admin\AppData\Local\Temp\a72e03dafc7d9f8311b3313b1e882730_NeikiAnalytics.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:4576
- C:\Windows\System32\taizROB.exe
  C:\Windows\System32\taizROB.exe
  2⤵
  - Executes dropped EXE
  PID:4920
- C:\Windows\System32\YDmLUeM.exe
  C:\Windows\System32\YDmLUeM.exe
  2⤵
  - Executes dropped EXE
  PID:220
- C:\Windows\System32\liwDYqS.exe
  C:\Windows\System32\liwDYqS.exe
  2⤵
  - Executes dropped EXE
  PID:4512
- C:\Windows\System32\wJkoGmR.exe
  C:\Windows\System32\wJkoGmR.exe
  2⤵
  - Executes dropped EXE
  PID:5008
- C:\Windows\System32\mFVHTAG.exe
  C:\Windows\System32\mFVHTAG.exe
  2⤵
  - Executes dropped EXE
  PID:2744
- C:\Windows\System32\vYDhTAz.exe
  C:\Windows\System32\vYDhTAz.exe
  2⤵
  - Executes dropped EXE
  PID:552
- C:\Windows\System32\LvwYCRO.exe
  C:\Windows\System32\LvwYCRO.exe
  2⤵
  - Executes dropped EXE
  PID:4912
- C:\Windows\System32\ozQGBDq.exe
  C:\Windows\System32\ozQGBDq.exe
  2⤵
  - Executes dropped EXE
  PID:2104
- C:\Windows\System32\rzZvYuG.exe
  C:\Windows\System32\rzZvYuG.exe
  2⤵
  - Executes dropped EXE
  PID:1056
- C:\Windows\System32\PzKafhL.exe
  C:\Windows\System32\PzKafhL.exe
  2⤵
  - Executes dropped EXE
  PID:5004
- C:\Windows\System32\LRtWjof.exe
  C:\Windows\System32\LRtWjof.exe
  2⤵
  - Executes dropped EXE
  PID:2640
- C:\Windows\System32\VMPaXUI.exe
  C:\Windows\System32\VMPaXUI.exe
  2⤵
  - Executes dropped EXE
  PID:1544
- C:\Windows\System32\kGXXuzi.exe
  C:\Windows\System32\kGXXuzi.exe
  2⤵
  - Executes dropped EXE
  PID:1388
- C:\Windows\System32\rBTPEwz.exe
  C:\Windows\System32\rBTPEwz.exe
  2⤵
  - Executes dropped EXE
  PID:4320
- C:\Windows\System32\oDhvWGS.exe
  C:\Windows\System32\oDhvWGS.exe
  2⤵
  - Executes dropped EXE
  PID:3184
- C:\Windows\System32\jacxOyc.exe
  C:\Windows\System32\jacxOyc.exe
  2⤵
  - Executes dropped EXE
  PID:4200
- C:\Windows\System32\dkwgYcF.exe
  C:\Windows\System32\dkwgYcF.exe
  2⤵
  - Executes dropped EXE
  PID:1676
- C:\Windows\System32\rEQjwBi.exe
  C:\Windows\System32\rEQjwBi.exe
  2⤵
  - Executes dropped EXE
  PID:1072
- C:\Windows\System32\KbwPJxk.exe
  C:\Windows\System32\KbwPJxk.exe
  2⤵
  - Executes dropped EXE
  PID:3148
- C:\Windows\System32\ByQnnQn.exe
  C:\Windows\System32\ByQnnQn.exe
  2⤵
  - Executes dropped EXE
  PID:5068
- C:\Windows\System32\ghwbYdY.exe
  C:\Windows\System32\ghwbYdY.exe
  2⤵
  - Executes dropped EXE
  PID:1792
- C:\Windows\System32\XjnCYPe.exe
  C:\Windows\System32\XjnCYPe.exe
  2⤵
  - Executes dropped EXE
  PID:1972
- C:\Windows\System32\GAIklUs.exe
  C:\Windows\System32\GAIklUs.exe
  2⤵
  - Executes dropped EXE
  PID:464
- C:\Windows\System32\HWdGGIj.exe
  C:\Windows\System32\HWdGGIj.exe
  2⤵
  - Executes dropped EXE
  PID:2304
- C:\Windows\System32\qxFFrXx.exe
  C:\Windows\System32\qxFFrXx.exe
  2⤵
  - Executes dropped EXE
  PID:3296
- C:\Windows\System32\ukIkTWg.exe
  C:\Windows\System32\ukIkTWg.exe
  2⤵
  - Executes dropped EXE
  PID:560
- C:\Windows\System32\kxvnYLt.exe
  C:\Windows\System32\kxvnYLt.exe
  2⤵
  - Executes dropped EXE
  PID:1580
- C:\Windows\System32\EqNdBEF.exe
  C:\Windows\System32\EqNdBEF.exe
  2⤵
  - Executes dropped EXE
  PID:4036
- C:\Windows\System32\nWoSHSW.exe
  C:\Windows\System32\nWoSHSW.exe
  2⤵
  - Executes dropped EXE
  PID:4220
- C:\Windows\System32\xKNOPPb.exe
  C:\Windows\System32\xKNOPPb.exe
  2⤵
  - Executes dropped EXE
  PID:1472
- C:\Windows\System32\EoHKTfI.exe
  C:\Windows\System32\EoHKTfI.exe
  2⤵
  - Executes dropped EXE
  PID:2076
- C:\Windows\System32\zXHqzPO.exe
  C:\Windows\System32\zXHqzPO.exe
  2⤵
  - Executes dropped EXE
  PID:2728
- C:\Windows\System32\dnrausl.exe
  C:\Windows\System32\dnrausl.exe
  2⤵
  - Executes dropped EXE
  PID:484
- C:\Windows\System32\ljKXvOi.exe
  C:\Windows\System32\ljKXvOi.exe
  2⤵
  - Executes dropped EXE
  PID:4992
- C:\Windows\System32\UZEiAGv.exe
  C:\Windows\System32\UZEiAGv.exe
  2⤵
  - Executes dropped EXE
  PID:2244
- C:\Windows\System32\VYNotNs.exe
  C:\Windows\System32\VYNotNs.exe
  2⤵
  - Executes dropped EXE
  PID:3456
- C:\Windows\System32\aWjrGQW.exe
  C:\Windows\System32\aWjrGQW.exe
  2⤵
  - Executes dropped EXE
  PID:2028
- C:\Windows\System32\dWTIOBh.exe
  C:\Windows\System32\dWTIOBh.exe
  2⤵
  - Executes dropped EXE
  PID:1588
- C:\Windows\System32\qxZPMmy.exe
  C:\Windows\System32\qxZPMmy.exe
  2⤵
  - Executes dropped EXE
  PID:524
- C:\Windows\System32\SOQQoAI.exe
  C:\Windows\System32\SOQQoAI.exe
  2⤵
  - Executes dropped EXE
  PID:3648
- C:\Windows\System32\GYoMNdl.exe
  C:\Windows\System32\GYoMNdl.exe
  2⤵
  - Executes dropped EXE
  PID:4936
- C:\Windows\System32\stlbIHv.exe
  C:\Windows\System32\stlbIHv.exe
  2⤵
  - Executes dropped EXE
  PID:4148
- C:\Windows\System32\LuQfsPT.exe
  C:\Windows\System32\LuQfsPT.exe
  2⤵
  - Executes dropped EXE
  PID:1380
- C:\Windows\System32\IyVpYhn.exe
  C:\Windows\System32\IyVpYhn.exe
  2⤵
  - Executes dropped EXE
  PID:4444
- C:\Windows\System32\ZpmtUVE.exe
  C:\Windows\System32\ZpmtUVE.exe
  2⤵
  - Executes dropped EXE
  PID:5064
- C:\Windows\System32\jILFyQv.exe
  C:\Windows\System32\jILFyQv.exe
  2⤵
  - Executes dropped EXE
  PID:380
- C:\Windows\System32\ACZeqvm.exe
  C:\Windows\System32\ACZeqvm.exe
  2⤵
  - Executes dropped EXE
  PID:2512
- C:\Windows\System32\wzsjnBD.exe
  C:\Windows\System32\wzsjnBD.exe
  2⤵
  - Executes dropped EXE
  PID:4292
- C:\Windows\System32\NKHtLTC.exe
  C:\Windows\System32\NKHtLTC.exe
  2⤵
  - Executes dropped EXE
  PID:3692
- C:\Windows\System32\KVecFuF.exe
  C:\Windows\System32\KVecFuF.exe
  2⤵
  - Executes dropped EXE
  PID:4892
- C:\Windows\System32\LdGMYIu.exe
  C:\Windows\System32\LdGMYIu.exe
  2⤵
  - Executes dropped EXE
  PID:2036
- C:\Windows\System32\DLYiAsV.exe
  C:\Windows\System32\DLYiAsV.exe
  2⤵
  - Executes dropped EXE
  PID:2124
- C:\Windows\System32\IMVYdLZ.exe
  C:\Windows\System32\IMVYdLZ.exe
  2⤵
  - Executes dropped EXE
  PID:2000
- C:\Windows\System32\RGBfrdO.exe
  C:\Windows\System32\RGBfrdO.exe
  2⤵
  - Executes dropped EXE
  PID:3320
- C:\Windows\System32\BZlAJgN.exe
  C:\Windows\System32\BZlAJgN.exe
  2⤵
  - Executes dropped EXE
  PID:3688
- C:\Windows\System32\OiiQUiK.exe
  C:\Windows\System32\OiiQUiK.exe
  2⤵
  - Executes dropped EXE
  PID:2328
- C:\Windows\System32\jLnVHrU.exe
  C:\Windows\System32\jLnVHrU.exe
  2⤵
  - Executes dropped EXE
  PID:4088
- C:\Windows\System32\uXbGlNL.exe
  C:\Windows\System32\uXbGlNL.exe
  2⤵
  - Executes dropped EXE
  PID:3040
- C:\Windows\System32\wPKupjz.exe
  C:\Windows\System32\wPKupjz.exe
  2⤵
  - Executes dropped EXE
  PID:2844
- C:\Windows\System32\yhHvpRP.exe
  C:\Windows\System32\yhHvpRP.exe
  2⤵
  - Executes dropped EXE
  PID:2292
- C:\Windows\System32\UOwBDdo.exe
  C:\Windows\System32\UOwBDdo.exe
  2⤵
  - Executes dropped EXE
  PID:2528
- C:\Windows\System32\hBYxWni.exe
  C:\Windows\System32\hBYxWni.exe
  2⤵
  - Executes dropped EXE
  PID:3164
- C:\Windows\System32\ATCQkxV.exe
  C:\Windows\System32\ATCQkxV.exe
  2⤵
  - Executes dropped EXE
  PID:2176
- C:\Windows\System32\oDwOCZE.exe
  C:\Windows\System32\oDwOCZE.exe
  2⤵
  - Executes dropped EXE
  PID:2496
- C:\Windows\System32\ZmJrbIZ.exe
  C:\Windows\System32\ZmJrbIZ.exe
  2⤵
  PID:3284
- C:\Windows\System32\qSftUSy.exe
  C:\Windows\System32\qSftUSy.exe
  2⤵
  PID:4748
- C:\Windows\System32\eonLNON.exe
  C:\Windows\System32\eonLNON.exe
  2⤵
  PID:4316
- C:\Windows\System32\fUChLbE.exe
  C:\Windows\System32\fUChLbE.exe
  2⤵
  PID:3344
- C:\Windows\System32\RlSAaXz.exe
  C:\Windows\System32\RlSAaXz.exe
  2⤵
  PID:4684
- C:\Windows\System32\IGYpzhT.exe
  C:\Windows\System32\IGYpzhT.exe
  2⤵
  PID:1152
- C:\Windows\System32\pYvTwFH.exe
  C:\Windows\System32\pYvTwFH.exe
  2⤵
  PID:2472
- C:\Windows\System32\QuQWTSm.exe
  C:\Windows\System32\QuQWTSm.exe
  2⤵
  PID:3204
- C:\Windows\System32\iogrCwM.exe
  C:\Windows\System32\iogrCwM.exe
  2⤵
  PID:1368
- C:\Windows\System32\RzxvndC.exe
  C:\Windows\System32\RzxvndC.exe
  2⤵
  PID:648
- C:\Windows\System32\SCZhhvD.exe
  C:\Windows\System32\SCZhhvD.exe
  2⤵
  PID:1032
- C:\Windows\System32\ilvEfbl.exe
  C:\Windows\System32\ilvEfbl.exe
  2⤵
  PID:944
- C:\Windows\System32\wnYWQfg.exe
  C:\Windows\System32\wnYWQfg.exe
  2⤵
  PID:1412
- C:\Windows\System32\BblmHEk.exe
  C:\Windows\System32\BblmHEk.exe
  2⤵
  PID:2876
- C:\Windows\System32\POVkuFX.exe
  C:\Windows\System32\POVkuFX.exe
  2⤵
  PID:4056
- C:\Windows\System32\cEsXDpY.exe
  C:\Windows\System32\cEsXDpY.exe
  2⤵
  PID:2180
- C:\Windows\System32\PwKuOyx.exe
  C:\Windows\System32\PwKuOyx.exe
  2⤵
  PID:2216
- C:\Windows\System32\RTpluEn.exe
  C:\Windows\System32\RTpluEn.exe
  2⤵
  PID:2720
- C:\Windows\System32\IrdwOQQ.exe
  C:\Windows\System32\IrdwOQQ.exe
  2⤵
  PID:5148
- C:\Windows\System32\cXmNVqU.exe
  C:\Windows\System32\cXmNVqU.exe
  2⤵
  PID:5168
- C:\Windows\System32\ZQrtIuI.exe
  C:\Windows\System32\ZQrtIuI.exe
  2⤵
  PID:5196
- C:\Windows\System32\mNhAoLf.exe
  C:\Windows\System32\mNhAoLf.exe
  2⤵
  PID:5224
- C:\Windows\System32\qJPzxRW.exe
  C:\Windows\System32\qJPzxRW.exe
  2⤵
  PID:5252
- C:\Windows\System32\vNyJHjm.exe
  C:\Windows\System32\vNyJHjm.exe
  2⤵
  PID:5280
- C:\Windows\System32\AiGpdOp.exe
  C:\Windows\System32\AiGpdOp.exe
  2⤵
  PID:5308
- C:\Windows\System32\dZIpDvw.exe
  C:\Windows\System32\dZIpDvw.exe
  2⤵
  PID:5336
- C:\Windows\System32\Aykfhww.exe
  C:\Windows\System32\Aykfhww.exe
  2⤵
  PID:5364
- C:\Windows\System32\IkHftLy.exe
  C:\Windows\System32\IkHftLy.exe
  2⤵
  PID:5392
- C:\Windows\System32\LDpwUGK.exe
  C:\Windows\System32\LDpwUGK.exe
  2⤵
  PID:5420
- C:\Windows\System32\acucnZG.exe
  C:\Windows\System32\acucnZG.exe
  2⤵
  PID:5448
- C:\Windows\System32\UetTXOV.exe
  C:\Windows\System32\UetTXOV.exe
  2⤵
  PID:5476
- C:\Windows\System32\rEGLmFP.exe
  C:\Windows\System32\rEGLmFP.exe
  2⤵
  PID:5516
- C:\Windows\System32\LgsJKDI.exe
  C:\Windows\System32\LgsJKDI.exe
  2⤵
  PID:5532
- C:\Windows\System32\FIKSOQg.exe
  C:\Windows\System32\FIKSOQg.exe
  2⤵
  PID:5560
- C:\Windows\System32\yFxyEaB.exe
  C:\Windows\System32\yFxyEaB.exe
  2⤵
  PID:5588
- C:\Windows\System32\xIgsnnO.exe
  C:\Windows\System32\xIgsnnO.exe
  2⤵
  PID:5616
- C:\Windows\System32\JeguGXB.exe
  C:\Windows\System32\JeguGXB.exe
  2⤵
  PID:5644
- C:\Windows\System32\vFNXcQE.exe
  C:\Windows\System32\vFNXcQE.exe
  2⤵
  PID:5672
- C:\Windows\System32\LIlkTWv.exe
  C:\Windows\System32\LIlkTWv.exe
  2⤵
  PID:5700
- C:\Windows\System32\EyKhaxw.exe
  C:\Windows\System32\EyKhaxw.exe
  2⤵
  PID:5728
- C:\Windows\System32\IDlFuXP.exe
  C:\Windows\System32\IDlFuXP.exe
  2⤵
  PID:5756
- C:\Windows\System32\SpZTVTU.exe
  C:\Windows\System32\SpZTVTU.exe
  2⤵
  PID:5784
- C:\Windows\System32\Tjghqyw.exe
  C:\Windows\System32\Tjghqyw.exe
  2⤵
  PID:5812
- C:\Windows\System32\saQdcjI.exe
  C:\Windows\System32\saQdcjI.exe
  2⤵
  PID:5840
- C:\Windows\System32\TIxxlcl.exe
  C:\Windows\System32\TIxxlcl.exe
  2⤵
  PID:5868
- C:\Windows\System32\tRBRVgq.exe
  C:\Windows\System32\tRBRVgq.exe
  2⤵
  PID:5904
- C:\Windows\System32\oCDmknN.exe
  C:\Windows\System32\oCDmknN.exe
  2⤵
  PID:5924
- C:\Windows\System32\ZOAfJlf.exe
  C:\Windows\System32\ZOAfJlf.exe
  2⤵
  PID:5952
- C:\Windows\System32\ASaCnKR.exe
  C:\Windows\System32\ASaCnKR.exe
  2⤵
  PID:5980
- C:\Windows\System32\CnqGuoW.exe
  C:\Windows\System32\CnqGuoW.exe
  2⤵
  PID:6008
- C:\Windows\System32\DHhVctZ.exe
  C:\Windows\System32\DHhVctZ.exe
  2⤵
  PID:6036
- C:\Windows\System32\zEnPsAp.exe
  C:\Windows\System32\zEnPsAp.exe
  2⤵
  PID:6064
- C:\Windows\System32\yDedyCa.exe
  C:\Windows\System32\yDedyCa.exe
  2⤵
  PID:6092
- C:\Windows\System32\BANBaHy.exe
  C:\Windows\System32\BANBaHy.exe
  2⤵
  PID:6120
- C:\Windows\System32\lQHVsFQ.exe
  C:\Windows\System32\lQHVsFQ.exe
  2⤵
  PID:2912
- C:\Windows\System32\LmxQgXR.exe
  C:\Windows\System32\LmxQgXR.exe
  2⤵
  PID:1160
- C:\Windows\System32\ETENWug.exe
  C:\Windows\System32\ETENWug.exe
  2⤵
  PID:2988
- C:\Windows\System32\BkTmysk.exe
  C:\Windows\System32\BkTmysk.exe
  2⤵
  PID:5136
- C:\Windows\System32\tFnULpE.exe
  C:\Windows\System32\tFnULpE.exe
  2⤵
  PID:5208
- C:\Windows\System32\lpxaCEu.exe
  C:\Windows\System32\lpxaCEu.exe
  2⤵
  PID:5276
- C:\Windows\System32\rVYoDIM.exe
  C:\Windows\System32\rVYoDIM.exe
  2⤵
  PID:5324
- C:\Windows\System32\mOoZWMR.exe
  C:\Windows\System32\mOoZWMR.exe
  2⤵
  PID:5404
- C:\Windows\System32\RWVPyhA.exe
  C:\Windows\System32\RWVPyhA.exe
  2⤵
  PID:5472
- C:\Windows\System32\MwrRmoG.exe
  C:\Windows\System32\MwrRmoG.exe
  2⤵
  PID:5524
- C:\Windows\System32\sAoJgRe.exe
  C:\Windows\System32\sAoJgRe.exe
  2⤵
  PID:5600
- C:\Windows\System32\IZJBRaQ.exe
  C:\Windows\System32\IZJBRaQ.exe
  2⤵
  PID:5656
- C:\Windows\System32\eNKnEoj.exe
  C:\Windows\System32\eNKnEoj.exe
  2⤵
  PID:5724
- C:\Windows\System32\UBidvOs.exe
  C:\Windows\System32\UBidvOs.exe
  2⤵
  PID:5772
- C:\Windows\System32\jUEVXuQ.exe
  C:\Windows\System32\jUEVXuQ.exe
  2⤵
  PID:5828
- C:\Windows\System32\TebPEax.exe
  C:\Windows\System32\TebPEax.exe
  2⤵
  PID:5936
- C:\Windows\System32\ZuSBPRN.exe
  C:\Windows\System32\ZuSBPRN.exe
  2⤵
  PID:5964
- C:\Windows\System32\QYmTMOm.exe
  C:\Windows\System32\QYmTMOm.exe
  2⤵
  PID:6032
- C:\Windows\System32\ICdNvuL.exe
  C:\Windows\System32\ICdNvuL.exe
  2⤵
  PID:6080
- C:\Windows\System32\PHhRWex.exe
  C:\Windows\System32\PHhRWex.exe
  2⤵
  PID:6136
- C:\Windows\System32\NpROcIt.exe
  C:\Windows\System32\NpROcIt.exe
  2⤵
  PID:2508
- C:\Windows\System32\CgKGXFC.exe
  C:\Windows\System32\CgKGXFC.exe
  2⤵
  PID:5236
- C:\Windows\System32\hYGuYkg.exe
  C:\Windows\System32\hYGuYkg.exe
  2⤵
  PID:5380
- C:\Windows\System32\uSSHOEP.exe
  C:\Windows\System32\uSSHOEP.exe
  2⤵
  PID:5500
- C:\Windows\System32\vywMWvF.exe
  C:\Windows\System32\vywMWvF.exe
  2⤵
  PID:5632
- C:\Windows\System32\VPFmOta.exe
  C:\Windows\System32\VPFmOta.exe
  2⤵
  PID:5744
- C:\Windows\System32\whSPcfD.exe
  C:\Windows\System32\whSPcfD.exe
  2⤵
  PID:1612
- C:\Windows\System32\oHrgmtk.exe
  C:\Windows\System32\oHrgmtk.exe
  2⤵
  PID:4856
- C:\Windows\System32\jPCSmIy.exe
  C:\Windows\System32\jPCSmIy.exe
  2⤵
  PID:5352
- C:\Windows\System32\hJyVQLO.exe
  C:\Windows\System32\hJyVQLO.exe
  2⤵
  PID:2100
- C:\Windows\System32\ueUZryD.exe
  C:\Windows\System32\ueUZryD.exe
  2⤵
  PID:6160
- C:\Windows\System32\WQDScIJ.exe
  C:\Windows\System32\WQDScIJ.exe
  2⤵
  PID:6188
- C:\Windows\System32\dLQRgJt.exe
  C:\Windows\System32\dLQRgJt.exe
  2⤵
  PID:6224
- C:\Windows\System32\DWXdyjN.exe
  C:\Windows\System32\DWXdyjN.exe
  2⤵
  PID:6244
- C:\Windows\System32\cZyjMlp.exe
  C:\Windows\System32\cZyjMlp.exe
  2⤵
  PID:6264
- C:\Windows\System32\shBrJiC.exe
  C:\Windows\System32\shBrJiC.exe
  2⤵
  PID:6300
- C:\Windows\System32\dPicgev.exe
  C:\Windows\System32\dPicgev.exe
  2⤵
  PID:6368
- C:\Windows\System32\yfZcqGp.exe
  C:\Windows\System32\yfZcqGp.exe
  2⤵
  PID:6396
- C:\Windows\System32\UoPUDAd.exe
  C:\Windows\System32\UoPUDAd.exe
  2⤵
  PID:6416
- C:\Windows\System32\BAKZPSu.exe
  C:\Windows\System32\BAKZPSu.exe
  2⤵
  PID:6436
- C:\Windows\System32\PVKZzEX.exe
  C:\Windows\System32\PVKZzEX.exe
  2⤵
  PID:6468
- C:\Windows\System32\LBLQuBL.exe
  C:\Windows\System32\LBLQuBL.exe
  2⤵
  PID:6516
- C:\Windows\System32\eXNGiuE.exe
  C:\Windows\System32\eXNGiuE.exe
  2⤵
  PID:6552
- C:\Windows\System32\KtrOeAZ.exe
  C:\Windows\System32\KtrOeAZ.exe
  2⤵
  PID:6572
- C:\Windows\System32\ltufljf.exe
  C:\Windows\System32\ltufljf.exe
  2⤵
  PID:6596
- C:\Windows\System32\MiSDSRh.exe
  C:\Windows\System32\MiSDSRh.exe
  2⤵
  PID:6616
- C:\Windows\System32\vdWVwAg.exe
  C:\Windows\System32\vdWVwAg.exe
  2⤵
  PID:6640
- C:\Windows\System32\UeeBmKF.exe
  C:\Windows\System32\UeeBmKF.exe
  2⤵
  PID:6672
- C:\Windows\System32\atfvpxK.exe
  C:\Windows\System32\atfvpxK.exe
  2⤵
  PID:6696
- C:\Windows\System32\xaHaNcr.exe
  C:\Windows\System32\xaHaNcr.exe
  2⤵
  PID:6732
- C:\Windows\System32\txesQpz.exe
  C:\Windows\System32\txesQpz.exe
  2⤵
  PID:6756
- C:\Windows\System32\kNdjdCU.exe
  C:\Windows\System32\kNdjdCU.exe
  2⤵
  PID:6792
- C:\Windows\System32\CeBgyEA.exe
  C:\Windows\System32\CeBgyEA.exe
  2⤵
  PID:6824
- C:\Windows\System32\bATfQtq.exe
  C:\Windows\System32\bATfQtq.exe
  2⤵
  PID:6856
- C:\Windows\System32\KGqVVMx.exe
  C:\Windows\System32\KGqVVMx.exe
  2⤵
  PID:6924
- C:\Windows\System32\xvOogcN.exe
  C:\Windows\System32\xvOogcN.exe
  2⤵
  PID:6988
- C:\Windows\System32\pXIWmPt.exe
  C:\Windows\System32\pXIWmPt.exe
  2⤵
  PID:7028
- C:\Windows\System32\uISIBGL.exe
  C:\Windows\System32\uISIBGL.exe
  2⤵
  PID:7044
- C:\Windows\System32\aIVfzZx.exe
  C:\Windows\System32\aIVfzZx.exe
  2⤵
  PID:7080
- C:\Windows\System32\mbTFasp.exe
  C:\Windows\System32\mbTFasp.exe
  2⤵
  PID:7120
- C:\Windows\System32\rsZnftv.exe
  C:\Windows\System32\rsZnftv.exe
  2⤵
  PID:5304
- C:\Windows\System32\JDVrloy.exe
  C:\Windows\System32\JDVrloy.exe
  2⤵
  PID:2596
- C:\Windows\System32\XpXfqau.exe
  C:\Windows\System32\XpXfqau.exe
  2⤵
  PID:5836
- C:\Windows\System32\OYAawpa.exe
  C:\Windows\System32\OYAawpa.exe
  2⤵
  PID:6240
- C:\Windows\System32\ztIAYBH.exe
  C:\Windows\System32\ztIAYBH.exe
  2⤵
  PID:6252
- C:\Windows\System32\tCNBmGz.exe
  C:\Windows\System32\tCNBmGz.exe
  2⤵
  PID:632
- C:\Windows\System32\XAkBABV.exe
  C:\Windows\System32\XAkBABV.exe
  2⤵
  PID:6332
- C:\Windows\System32\kRNeZro.exe
  C:\Windows\System32\kRNeZro.exe
  2⤵
  PID:992
- C:\Windows\System32\FROLbkA.exe
  C:\Windows\System32\FROLbkA.exe
  2⤵
  PID:6408
- C:\Windows\System32\aYuAXnl.exe
  C:\Windows\System32\aYuAXnl.exe
  2⤵
  PID:2160
- C:\Windows\System32\BINPRZL.exe
  C:\Windows\System32\BINPRZL.exe
  2⤵
  PID:4028
- C:\Windows\System32\wwwrbJd.exe
  C:\Windows\System32\wwwrbJd.exe
  2⤵
  PID:224
- C:\Windows\System32\xTUZAJd.exe
  C:\Windows\System32\xTUZAJd.exe
  2⤵
  PID:1416
- C:\Windows\System32\EFwwDgg.exe
  C:\Windows\System32\EFwwDgg.exe
  2⤵
  PID:6608
- C:\Windows\System32\VsaKyql.exe
  C:\Windows\System32\VsaKyql.exe
  2⤵
  PID:6628
- C:\Windows\System32\qMstNEZ.exe
  C:\Windows\System32\qMstNEZ.exe
  2⤵
  PID:6692
- C:\Windows\System32\SPuABUU.exe
  C:\Windows\System32\SPuABUU.exe
  2⤵
  PID:6776
- C:\Windows\System32\IkSfAeh.exe
  C:\Windows\System32\IkSfAeh.exe
  2⤵
  PID:6908
- C:\Windows\System32\hMPjGEg.exe
  C:\Windows\System32\hMPjGEg.exe
  2⤵
  PID:3008
- C:\Windows\System32\BQOIMKY.exe
  C:\Windows\System32\BQOIMKY.exe
  2⤵
  PID:7000
- C:\Windows\System32\DVcWlAA.exe
  C:\Windows\System32\DVcWlAA.exe
  2⤵
  PID:7020
- C:\Windows\System32\AJZlKTY.exe
  C:\Windows\System32\AJZlKTY.exe
  2⤵
  PID:6260
- C:\Windows\System32\neqGVDD.exe
  C:\Windows\System32\neqGVDD.exe
  2⤵
  PID:4164
- C:\Windows\System32\hrKXHSv.exe
  C:\Windows\System32\hrKXHSv.exe
  2⤵
  PID:6584
- C:\Windows\System32\ZZLXNSr.exe
  C:\Windows\System32\ZZLXNSr.exe
  2⤵
  PID:6284
- C:\Windows\System32\XZIBfCd.exe
  C:\Windows\System32\XZIBfCd.exe
  2⤵
  PID:6536
- C:\Windows\System32\qsJTDLw.exe
  C:\Windows\System32\qsJTDLw.exe
  2⤵
  PID:4340
- C:\Windows\System32\ZfbPOgX.exe
  C:\Windows\System32\ZfbPOgX.exe
  2⤵
  PID:7164
- C:\Windows\System32\uEPzbBQ.exe
  C:\Windows\System32\uEPzbBQ.exe
  2⤵
  PID:2908
- C:\Windows\System32\GcDeDPb.exe
  C:\Windows\System32\GcDeDPb.exe
  2⤵
  PID:3276
- C:\Windows\System32\aECGOLh.exe
  C:\Windows\System32\aECGOLh.exe
  2⤵
  PID:492
- C:\Windows\System32\itzTdUn.exe
  C:\Windows\System32\itzTdUn.exe
  2⤵
  PID:6648
- C:\Windows\System32\JGZUrTM.exe
  C:\Windows\System32\JGZUrTM.exe
  2⤵
  PID:6748
- C:\Windows\System32\EhScbNe.exe
  C:\Windows\System32\EhScbNe.exe
  2⤵
  PID:6900
- C:\Windows\System32\gADpbnA.exe
  C:\Windows\System32\gADpbnA.exe
  2⤵
  PID:7024
- C:\Windows\System32\RlTRdAs.exe
  C:\Windows\System32\RlTRdAs.exe
  2⤵
  PID:6308
- C:\Windows\System32\mflhbRy.exe
  C:\Windows\System32\mflhbRy.exe
  2⤵
  PID:6496
- C:\Windows\System32\PEGuLVC.exe
  C:\Windows\System32\PEGuLVC.exe
  2⤵
  PID:7160
- C:\Windows\System32\exRTLjv.exe
  C:\Windows\System32\exRTLjv.exe
  2⤵
  PID:6484
- C:\Windows\System32\fKAOqLz.exe
  C:\Windows\System32\fKAOqLz.exe
  2⤵
  PID:6592
- C:\Windows\System32\ejBhtak.exe
  C:\Windows\System32\ejBhtak.exe
  2⤵
  PID:6840
- C:\Windows\System32\HAaUjAt.exe
  C:\Windows\System32\HAaUjAt.exe
  2⤵
  PID:7088
- C:\Windows\System32\cgjPcDo.exe
  C:\Windows\System32\cgjPcDo.exe
  2⤵
  PID:6364
- C:\Windows\System32\SKhVsjP.exe
  C:\Windows\System32\SKhVsjP.exe
  2⤵
  PID:6780
- C:\Windows\System32\HXPbINm.exe
  C:\Windows\System32\HXPbINm.exe
  2⤵
  PID:2188
- C:\Windows\System32\DiQdduK.exe
  C:\Windows\System32\DiQdduK.exe
  2⤵
  PID:816
- C:\Windows\System32\lXcXOEt.exe
  C:\Windows\System32\lXcXOEt.exe
  2⤵
  PID:7204
- C:\Windows\System32\quceJVu.exe
  C:\Windows\System32\quceJVu.exe
  2⤵
  PID:7232
- C:\Windows\System32\XUZIJFL.exe
  C:\Windows\System32\XUZIJFL.exe
  2⤵
  PID:7260
- C:\Windows\System32\RFXAtmw.exe
  C:\Windows\System32\RFXAtmw.exe
  2⤵
  PID:7288
- C:\Windows\System32\SMWhYaN.exe
  C:\Windows\System32\SMWhYaN.exe
  2⤵
  PID:7320
- C:\Windows\System32\WcfBVAu.exe
  C:\Windows\System32\WcfBVAu.exe
  2⤵
  PID:7352
- C:\Windows\System32\MzxRAMV.exe
  C:\Windows\System32\MzxRAMV.exe
  2⤵
  PID:7372
- C:\Windows\System32\vRccDMS.exe
  C:\Windows\System32\vRccDMS.exe
  2⤵
  PID:7400
- C:\Windows\System32\PPqLCCk.exe
  C:\Windows\System32\PPqLCCk.exe
  2⤵
  PID:7428
- C:\Windows\System32\uknDjKU.exe
  C:\Windows\System32\uknDjKU.exe
  2⤵
  PID:7456
- C:\Windows\System32\GuAXpfH.exe
  C:\Windows\System32\GuAXpfH.exe
  2⤵
  PID:7524
- C:\Windows\System32\TfUUQaZ.exe
  C:\Windows\System32\TfUUQaZ.exe
  2⤵
  PID:7540
- C:\Windows\System32\opgSuig.exe
  C:\Windows\System32\opgSuig.exe
  2⤵
  PID:7568
- C:\Windows\System32\nrCdvUt.exe
  C:\Windows\System32\nrCdvUt.exe
  2⤵
  PID:7612
- C:\Windows\System32\tqEUAzP.exe
  C:\Windows\System32\tqEUAzP.exe
  2⤵
  PID:7632
- C:\Windows\System32\XRweXhu.exe
  C:\Windows\System32\XRweXhu.exe
  2⤵
  PID:7660
- C:\Windows\System32\lcSBTvz.exe
  C:\Windows\System32\lcSBTvz.exe
  2⤵
  PID:7696
- C:\Windows\System32\voFArhM.exe
  C:\Windows\System32\voFArhM.exe
  2⤵
  PID:7732
- C:\Windows\System32\klaGbad.exe
  C:\Windows\System32\klaGbad.exe
  2⤵
  PID:7756
- C:\Windows\System32\pQKxmnM.exe
  C:\Windows\System32\pQKxmnM.exe
  2⤵
  PID:7784
- C:\Windows\System32\ZryRXwu.exe
  C:\Windows\System32\ZryRXwu.exe
  2⤵
  PID:7820
- C:\Windows\System32\WOOpDPY.exe
  C:\Windows\System32\WOOpDPY.exe
  2⤵
  PID:7848
- C:\Windows\System32\OYUNnNo.exe
  C:\Windows\System32\OYUNnNo.exe
  2⤵
  PID:7896
- C:\Windows\System32\nxTeeHk.exe
  C:\Windows\System32\nxTeeHk.exe
  2⤵
  PID:7912
- C:\Windows\System32\EXGezzP.exe
  C:\Windows\System32\EXGezzP.exe
  2⤵
  PID:7928
- C:\Windows\System32\vRELHFL.exe
  C:\Windows\System32\vRELHFL.exe
  2⤵
  PID:7952
- C:\Windows\System32\uRJiVYz.exe
  C:\Windows\System32\uRJiVYz.exe
  2⤵
  PID:8012
- C:\Windows\System32\VbDdExZ.exe
  C:\Windows\System32\VbDdExZ.exe
  2⤵
  PID:8048
- C:\Windows\System32\YevwhrV.exe
  C:\Windows\System32\YevwhrV.exe
  2⤵
  PID:8072
- C:\Windows\System32\sYrsfiL.exe
  C:\Windows\System32\sYrsfiL.exe
  2⤵
  PID:8104
- C:\Windows\System32\uxCeChb.exe
  C:\Windows\System32\uxCeChb.exe
  2⤵
  PID:8128
- C:\Windows\System32\kJWQLnl.exe
  C:\Windows\System32\kJWQLnl.exe
  2⤵
  PID:8156
- C:\Windows\System32\AZbJIGk.exe
  C:\Windows\System32\AZbJIGk.exe
  2⤵
  PID:8180
- C:\Windows\System32\dOchvcw.exe
  C:\Windows\System32\dOchvcw.exe
  2⤵
  PID:7188
- C:\Windows\System32\rQsGgyA.exe
  C:\Windows\System32\rQsGgyA.exe
  2⤵
  PID:7272
- C:\Windows\System32\awtQtNH.exe
  C:\Windows\System32\awtQtNH.exe
  2⤵
  PID:7340
- C:\Windows\System32\oGvhHjj.exe
  C:\Windows\System32\oGvhHjj.exe
  2⤵
  PID:7412
- C:\Windows\System32\wDIAJug.exe
  C:\Windows\System32\wDIAJug.exe
  2⤵
  PID:7444
- C:\Windows\System32\syBBEPl.exe
  C:\Windows\System32\syBBEPl.exe
  2⤵
  PID:7580
- C:\Windows\System32\YrkvTKm.exe
  C:\Windows\System32\YrkvTKm.exe
  2⤵
  PID:7620
- C:\Windows\System32\lMJWvoh.exe
  C:\Windows\System32\lMJWvoh.exe
  2⤵
  PID:7708
- C:\Windows\System32\rmwSJbP.exe
  C:\Windows\System32\rmwSJbP.exe
  2⤵
  PID:7772
- C:\Windows\System32\tcyRJyU.exe
  C:\Windows\System32\tcyRJyU.exe
  2⤵
  PID:7840
- C:\Windows\System32\nvRoHkE.exe
  C:\Windows\System32\nvRoHkE.exe
  2⤵
  PID:7908
- C:\Windows\System32\qcSgXcz.exe
  C:\Windows\System32\qcSgXcz.exe
  2⤵
  PID:7980
- C:\Windows\System32\yCeSdEA.exe
  C:\Windows\System32\yCeSdEA.exe
  2⤵
  PID:8036
- C:\Windows\System32\TcJQzSw.exe
  C:\Windows\System32\TcJQzSw.exe
  2⤵
  PID:8124
- C:\Windows\System32\Eyqqenw.exe
  C:\Windows\System32\Eyqqenw.exe
  2⤵
  PID:8176
- C:\Windows\System32\fctsoYh.exe
  C:\Windows\System32\fctsoYh.exe
  2⤵
  PID:7368
- C:\Windows\System32\kosKFUq.exe
  C:\Windows\System32\kosKFUq.exe
  2⤵
  PID:7492
- C:\Windows\System32\EFpnrPt.exe
  C:\Windows\System32\EFpnrPt.exe
  2⤵
  PID:7740
- C:\Windows\System32\BHcOaOn.exe
  C:\Windows\System32\BHcOaOn.exe
  2⤵
  PID:7804
- C:\Windows\System32\VCSRidx.exe
  C:\Windows\System32\VCSRidx.exe
  2⤵
  PID:7948
- C:\Windows\System32\usjbRUR.exe
  C:\Windows\System32\usjbRUR.exe
  2⤵
  PID:7300
- C:\Windows\System32\BpNwXVn.exe
  C:\Windows\System32\BpNwXVn.exe
  2⤵
  PID:7768
- C:\Windows\System32\HNqrjtX.exe
  C:\Windows\System32\HNqrjtX.exe
  2⤵
  PID:7860
- C:\Windows\System32\CbDyNRB.exe
  C:\Windows\System32\CbDyNRB.exe
  2⤵
  PID:8236
- C:\Windows\System32\GSbNsdI.exe
  C:\Windows\System32\GSbNsdI.exe
  2⤵
  PID:8280
- C:\Windows\System32\OPqHYnZ.exe
  C:\Windows\System32\OPqHYnZ.exe
  2⤵
  PID:8296
- C:\Windows\System32\JGVeoKy.exe
  C:\Windows\System32\JGVeoKy.exe
  2⤵
  PID:8340
- C:\Windows\System32\BkoAbcp.exe
  C:\Windows\System32\BkoAbcp.exe
  2⤵
  PID:8368
- C:\Windows\System32\mVQcQfd.exe
  C:\Windows\System32\mVQcQfd.exe
  2⤵
  PID:8396
- C:\Windows\System32\eCmfwvv.exe
  C:\Windows\System32\eCmfwvv.exe
  2⤵
  PID:8432
- C:\Windows\System32\rGecutg.exe
  C:\Windows\System32\rGecutg.exe
  2⤵
  PID:8460
- C:\Windows\System32\hdPxmyD.exe
  C:\Windows\System32\hdPxmyD.exe
  2⤵
  PID:8504
- C:\Windows\System32\iavLiTx.exe
  C:\Windows\System32\iavLiTx.exe
  2⤵
  PID:8528
- C:\Windows\System32\afKirmT.exe
  C:\Windows\System32\afKirmT.exe
  2⤵
  PID:8556
- C:\Windows\System32\cmXJQzt.exe
  C:\Windows\System32\cmXJQzt.exe
  2⤵
  PID:8584
- C:\Windows\System32\EvGuCyy.exe
  C:\Windows\System32\EvGuCyy.exe
  2⤵
  PID:8608
- C:\Windows\System32\PUqsjmt.exe
  C:\Windows\System32\PUqsjmt.exe
  2⤵
  PID:8640
- C:\Windows\System32\XnxqSLq.exe
  C:\Windows\System32\XnxqSLq.exe
  2⤵
  PID:8684
- C:\Windows\System32\KdqCXGb.exe
  C:\Windows\System32\KdqCXGb.exe
  2⤵
  PID:8704
- C:\Windows\System32\QoWbALK.exe
  C:\Windows\System32\QoWbALK.exe
  2⤵
  PID:8748
- C:\Windows\System32\QbCkHkq.exe
  C:\Windows\System32\QbCkHkq.exe
  2⤵
  PID:8804
- C:\Windows\System32\GdLDRwd.exe
  C:\Windows\System32\GdLDRwd.exe
  2⤵
  PID:8840
- C:\Windows\System32\ukxQYfS.exe
  C:\Windows\System32\ukxQYfS.exe
  2⤵
  PID:8868
- C:\Windows\System32\jefEqNj.exe
  C:\Windows\System32\jefEqNj.exe
  2⤵
  PID:8896
- C:\Windows\System32\TstFPQv.exe
  C:\Windows\System32\TstFPQv.exe
  2⤵
  PID:8924
- C:\Windows\System32\zOYZHeG.exe
  C:\Windows\System32\zOYZHeG.exe
  2⤵
  PID:8948
- C:\Windows\System32\wyIJnNo.exe
  C:\Windows\System32\wyIJnNo.exe
  2⤵
  PID:8976
- C:\Windows\System32\LRmvrVR.exe
  C:\Windows\System32\LRmvrVR.exe
  2⤵
  PID:8996
- C:\Windows\System32\fUccGRX.exe
  C:\Windows\System32\fUccGRX.exe
  2⤵
  PID:9032
- C:\Windows\System32\wiVBGNd.exe
  C:\Windows\System32\wiVBGNd.exe
  2⤵
  PID:9072
- C:\Windows\System32\UquKThL.exe
  C:\Windows\System32\UquKThL.exe
  2⤵
  PID:9096
- C:\Windows\System32\WNOwznw.exe
  C:\Windows\System32\WNOwznw.exe
  2⤵
  PID:9124
- C:\Windows\System32\QmzmZFr.exe
  C:\Windows\System32\QmzmZFr.exe
  2⤵
  PID:9156
- C:\Windows\System32\hlnVnoj.exe
  C:\Windows\System32\hlnVnoj.exe
  2⤵
  PID:9172
- C:\Windows\System32\mspbtms.exe
  C:\Windows\System32\mspbtms.exe
  2⤵
  PID:9212
- C:\Windows\System32\jEEbKpW.exe
  C:\Windows\System32\jEEbKpW.exe
  2⤵
  PID:8276
- C:\Windows\System32\HtIsSMu.exe
  C:\Windows\System32\HtIsSMu.exe
  2⤵
  PID:8332
- C:\Windows\System32\nRiXlix.exe
  C:\Windows\System32\nRiXlix.exe
  2⤵
  PID:8440
- C:\Windows\System32\yRqxpPf.exe
  C:\Windows\System32\yRqxpPf.exe
  2⤵
  PID:8520
- C:\Windows\System32\PDqgYjO.exe
  C:\Windows\System32\PDqgYjO.exe
  2⤵
  PID:8600
- C:\Windows\System32\bCVIzKe.exe
  C:\Windows\System32\bCVIzKe.exe
  2⤵
  PID:8664
- C:\Windows\System32\axTRVwy.exe
  C:\Windows\System32\axTRVwy.exe
  2⤵
  PID:8768
- C:\Windows\System32\xOFwFut.exe
  C:\Windows\System32\xOFwFut.exe
  2⤵
  PID:8848
- C:\Windows\System32\GUfvDCh.exe
  C:\Windows\System32\GUfvDCh.exe
  2⤵
  PID:8916
- C:\Windows\System32\XUuOvGL.exe
  C:\Windows\System32\XUuOvGL.exe
  2⤵
  PID:8964
- C:\Windows\System32\rszNVNL.exe
  C:\Windows\System32\rszNVNL.exe
  2⤵
  PID:9056
- C:\Windows\System32\OyzbqfL.exe
  C:\Windows\System32\OyzbqfL.exe
  2⤵
  PID:9120
- C:\Windows\System32\mZQUOsC.exe
  C:\Windows\System32\mZQUOsC.exe
  2⤵
  PID:9196
- C:\Windows\System32\SIxSNVh.exe
  C:\Windows\System32\SIxSNVh.exe
  2⤵
  PID:8412
- C:\Windows\System32\qRBjDBa.exe
  C:\Windows\System32\qRBjDBa.exe
  2⤵
  PID:8544
- C:\Windows\System32\gPtiKDL.exe
  C:\Windows\System32\gPtiKDL.exe
  2⤵
  PID:8728
- C:\Windows\System32\ZLIkdNf.exe
  C:\Windows\System32\ZLIkdNf.exe
  2⤵
  PID:8932
- C:\Windows\System32\NpDWCNL.exe
  C:\Windows\System32\NpDWCNL.exe
  2⤵
  PID:9108
- C:\Windows\System32\VrGvuUE.exe
  C:\Windows\System32\VrGvuUE.exe
  2⤵
  PID:8488
- C:\Windows\System32\VCVtLNl.exe
  C:\Windows\System32\VCVtLNl.exe
  2⤵
  PID:8860
- C:\Windows\System32\joTiKuB.exe
  C:\Windows\System32\joTiKuB.exe
  2⤵
  PID:8328
- C:\Windows\System32\Zexvcbe.exe
  C:\Windows\System32\Zexvcbe.exe
  2⤵
  PID:9220
- C:\Windows\System32\SxOcvDl.exe
  C:\Windows\System32\SxOcvDl.exe
  2⤵
  PID:9240
- C:\Windows\System32\FniirMT.exe
  C:\Windows\System32\FniirMT.exe
  2⤵
  PID:9268
- C:\Windows\System32\NvyFejy.exe
  C:\Windows\System32\NvyFejy.exe
  2⤵
  PID:9296
- C:\Windows\System32\LJtrvOv.exe
  C:\Windows\System32\LJtrvOv.exe
  2⤵
  PID:9324
- C:\Windows\System32\uIGzwgJ.exe
  C:\Windows\System32\uIGzwgJ.exe
  2⤵
  PID:9352
- C:\Windows\System32\NmGSRuE.exe
  C:\Windows\System32\NmGSRuE.exe
  2⤵
  PID:9380
- C:\Windows\System32\fzevHZV.exe
  C:\Windows\System32\fzevHZV.exe
  2⤵
  PID:9408
- C:\Windows\System32\ZwOMyDC.exe
  C:\Windows\System32\ZwOMyDC.exe
  2⤵
  PID:9436
- C:\Windows\System32\eMAqfgi.exe
  C:\Windows\System32\eMAqfgi.exe
  2⤵
  PID:9468
- C:\Windows\System32\HynhMCr.exe
  C:\Windows\System32\HynhMCr.exe
  2⤵
  PID:9496
- C:\Windows\System32\EjVIoip.exe
  C:\Windows\System32\EjVIoip.exe
  2⤵
  PID:9524
- C:\Windows\System32\BFowJxs.exe
  C:\Windows\System32\BFowJxs.exe
  2⤵
  PID:9552
- C:\Windows\System32\bnzZZiY.exe
  C:\Windows\System32\bnzZZiY.exe
  2⤵
  PID:9580
- C:\Windows\System32\dLQChcM.exe
  C:\Windows\System32\dLQChcM.exe
  2⤵
  PID:9608
- C:\Windows\System32\qsStcPe.exe
  C:\Windows\System32\qsStcPe.exe
  2⤵
  PID:9636
- C:\Windows\System32\fpdlUHx.exe
  C:\Windows\System32\fpdlUHx.exe
  2⤵
  PID:9688
- C:\Windows\System32\mShxwwI.exe
  C:\Windows\System32\mShxwwI.exe
  2⤵
  PID:9704
- C:\Windows\System32\ImGehea.exe
  C:\Windows\System32\ImGehea.exe
  2⤵
  PID:9732
- C:\Windows\System32\TFsTuEu.exe
  C:\Windows\System32\TFsTuEu.exe
  2⤵
  PID:9768
- C:\Windows\System32\LirUFsD.exe
  C:\Windows\System32\LirUFsD.exe
  2⤵
  PID:9788
- C:\Windows\System32\YZzFAAW.exe
  C:\Windows\System32\YZzFAAW.exe
  2⤵
  PID:9816
- C:\Windows\System32\FhLofXH.exe
  C:\Windows\System32\FhLofXH.exe
  2⤵
  PID:9848
- C:\Windows\System32\XJMAfki.exe
  C:\Windows\System32\XJMAfki.exe
  2⤵
  PID:9876
- C:\Windows\System32\JSVKCbs.exe
  C:\Windows\System32\JSVKCbs.exe
  2⤵
  PID:9912
- C:\Windows\System32\hhhlNpw.exe
  C:\Windows\System32\hhhlNpw.exe
  2⤵
  PID:9940
- C:\Windows\System32\kTFWxOk.exe
  C:\Windows\System32\kTFWxOk.exe
  2⤵
  PID:9968
- C:\Windows\System32\LKMHmDN.exe
  C:\Windows\System32\LKMHmDN.exe
  2⤵
  PID:9996
- C:\Windows\System32\vCReZPw.exe
  C:\Windows\System32\vCReZPw.exe
  2⤵
  PID:10024
- C:\Windows\System32\ijocAeX.exe
  C:\Windows\System32\ijocAeX.exe
  2⤵
  PID:10052
- C:\Windows\System32\rCcfYMr.exe
  C:\Windows\System32\rCcfYMr.exe
  2⤵
  PID:10080
- C:\Windows\System32\eMnmoqY.exe
  C:\Windows\System32\eMnmoqY.exe
  2⤵
  PID:10108
- C:\Windows\System32\Fonsqnt.exe
  C:\Windows\System32\Fonsqnt.exe
  2⤵
  PID:10136
- C:\Windows\System32\jMigpVy.exe
  C:\Windows\System32\jMigpVy.exe
  2⤵
  PID:10164
- C:\Windows\System32\GTFUiHF.exe
  C:\Windows\System32\GTFUiHF.exe
  2⤵
  PID:10192
- C:\Windows\System32\HUyLvXx.exe
  C:\Windows\System32\HUyLvXx.exe
  2⤵
  PID:10220
- C:\Windows\System32\UEYxMxs.exe
  C:\Windows\System32\UEYxMxs.exe
  2⤵
  PID:9236
- C:\Windows\System32\JSoJShF.exe
  C:\Windows\System32\JSoJShF.exe
  2⤵
  PID:9292
- C:\Windows\System32\UjxmIIn.exe
  C:\Windows\System32\UjxmIIn.exe
  2⤵
  PID:9368
- C:\Windows\System32\kmHUZEq.exe
  C:\Windows\System32\kmHUZEq.exe
  2⤵
  PID:9420
- C:\Windows\System32\YHMywyL.exe
  C:\Windows\System32\YHMywyL.exe
  2⤵
  PID:9508
- C:\Windows\System32\NfaorYO.exe
  C:\Windows\System32\NfaorYO.exe
  2⤵
  PID:9564
- C:\Windows\System32\sXBapGr.exe
  C:\Windows\System32\sXBapGr.exe
  2⤵
  PID:9632
- C:\Windows\System32\drxKdiL.exe
  C:\Windows\System32\drxKdiL.exe
  2⤵
  PID:9700
- C:\Windows\System32\OoBeEpH.exe
  C:\Windows\System32\OoBeEpH.exe
  2⤵
  PID:9776
- C:\Windows\System32\kxEbLuK.exe
  C:\Windows\System32\kxEbLuK.exe
  2⤵
  PID:9840
- C:\Windows\System32\WcwDaBO.exe
  C:\Windows\System32\WcwDaBO.exe
  2⤵
  PID:9896
- C:\Windows\System32\ShOiMoK.exe
  C:\Windows\System32\ShOiMoK.exe
  2⤵
  PID:9984
- C:\Windows\System32\zqSGUmG.exe
  C:\Windows\System32\zqSGUmG.exe
  2⤵
  PID:10044
- C:\Windows\System32\nybzfzG.exe
  C:\Windows\System32\nybzfzG.exe
  2⤵
  PID:10104
- C:\Windows\System32\RJJqBsY.exe
  C:\Windows\System32\RJJqBsY.exe
  2⤵
  PID:10176
- C:\Windows\System32\xcmQFJC.exe
  C:\Windows\System32\xcmQFJC.exe
  2⤵
  PID:9228
- C:\Windows\System32\CqMkZFl.exe
  C:\Windows\System32\CqMkZFl.exe
  2⤵
  PID:9316
- C:\Windows\System32\odSMciW.exe
  C:\Windows\System32\odSMciW.exe
  2⤵
  PID:9544
- C:\Windows\System32\oOYdTGT.exe
  C:\Windows\System32\oOYdTGT.exe
  2⤵
  PID:9660
- C:\Windows\System32\xPGUzCr.exe
  C:\Windows\System32\xPGUzCr.exe
  2⤵
  PID:9832
- C:\Windows\System32\tmtjGMr.exe
  C:\Windows\System32\tmtjGMr.exe
  2⤵
  PID:10156
- C:\Windows\System32\vFVUNvR.exe
  C:\Windows\System32\vFVUNvR.exe
  2⤵
  PID:9484
- C:\Windows\System32\NIjRHWb.exe
  C:\Windows\System32\NIjRHWb.exe
  2⤵
  PID:9812
- C:\Windows\System32\yQGVXVj.exe
  C:\Windows\System32\yQGVXVj.exe
  2⤵
  PID:9404
- C:\Windows\System32\IbAWixb.exe
  C:\Windows\System32\IbAWixb.exe
  2⤵
  PID:9804
- C:\Windows\System32\tZPmmLr.exe
  C:\Windows\System32\tZPmmLr.exe
  2⤵
  PID:10260
- C:\Windows\System32\xYgdnxj.exe
  C:\Windows\System32\xYgdnxj.exe
  2⤵
  PID:10288
- C:\Windows\System32\ovaQreC.exe
  C:\Windows\System32\ovaQreC.exe
  2⤵
  PID:10316
- C:\Windows\System32\qsDjICh.exe
  C:\Windows\System32\qsDjICh.exe
  2⤵
  PID:10344
- C:\Windows\System32\nEBDwgf.exe
  C:\Windows\System32\nEBDwgf.exe
  2⤵
  PID:10372
- C:\Windows\System32\fQkEjLi.exe
  C:\Windows\System32\fQkEjLi.exe
  2⤵
  PID:10400
- C:\Windows\System32\misMJPM.exe
  C:\Windows\System32\misMJPM.exe
  2⤵
  PID:10428
- C:\Windows\System32\xXQgsqk.exe
  C:\Windows\System32\xXQgsqk.exe
  2⤵
  PID:10456
- C:\Windows\System32\pmsXAPU.exe
  C:\Windows\System32\pmsXAPU.exe
  2⤵
  PID:10484
- C:\Windows\System32\ebnRIyf.exe
  C:\Windows\System32\ebnRIyf.exe
  2⤵
  PID:10516
- C:\Windows\System32\hwAEBPJ.exe
  C:\Windows\System32\hwAEBPJ.exe
  2⤵
  PID:10544
- C:\Windows\System32\CSQULSZ.exe
  C:\Windows\System32\CSQULSZ.exe
  2⤵
  PID:10572
- C:\Windows\System32\dxSGbXa.exe
  C:\Windows\System32\dxSGbXa.exe
  2⤵
  PID:10608
- C:\Windows\System32\cuqgwla.exe
  C:\Windows\System32\cuqgwla.exe
  2⤵
  PID:10636
- C:\Windows\System32\Rouxwoq.exe
  C:\Windows\System32\Rouxwoq.exe
  2⤵
  PID:10664
- C:\Windows\System32\VVpZnbb.exe
  C:\Windows\System32\VVpZnbb.exe
  2⤵
  PID:10700
- C:\Windows\System32\QuhwoWn.exe
  C:\Windows\System32\QuhwoWn.exe
  2⤵
  PID:10720
- C:\Windows\System32\McGCXer.exe
  C:\Windows\System32\McGCXer.exe
  2⤵
  PID:10748
- C:\Windows\System32\vLErkzy.exe
  C:\Windows\System32\vLErkzy.exe
  2⤵
  PID:10776
- C:\Windows\System32\HUysZfF.exe
  C:\Windows\System32\HUysZfF.exe
  2⤵
  PID:10804
- C:\Windows\System32\BZSPpED.exe
  C:\Windows\System32\BZSPpED.exe
  2⤵
  PID:10856
- C:\Windows\System32\gGeKyMu.exe
  C:\Windows\System32\gGeKyMu.exe
  2⤵
  PID:10884
- C:\Windows\System32\jWZHrKm.exe
  C:\Windows\System32\jWZHrKm.exe
  2⤵
  PID:10912
- C:\Windows\System32\MJgmCaJ.exe
  C:\Windows\System32\MJgmCaJ.exe
  2⤵
  PID:10944
- C:\Windows\System32\XzNZizQ.exe
  C:\Windows\System32\XzNZizQ.exe
  2⤵
  PID:10968
- C:\Windows\System32\kZGJODX.exe
  C:\Windows\System32\kZGJODX.exe
  2⤵
  PID:10996
- C:\Windows\System32\uHrKNXB.exe
  C:\Windows\System32\uHrKNXB.exe
  2⤵
  PID:11024
- C:\Windows\System32\ypTGVUJ.exe
  C:\Windows\System32\ypTGVUJ.exe
  2⤵
  PID:11052
- C:\Windows\System32\ZUkfAnv.exe
  C:\Windows\System32\ZUkfAnv.exe
  2⤵
  PID:11080
- C:\Windows\System32\CaSVNjn.exe
  C:\Windows\System32\CaSVNjn.exe
  2⤵
  PID:11132
- C:\Windows\System32\ANNZALZ.exe
  C:\Windows\System32\ANNZALZ.exe
  2⤵
  PID:11148
- C:\Windows\System32\RIeltsg.exe
  C:\Windows\System32\RIeltsg.exe
  2⤵
  PID:11176
- C:\Windows\System32\SGphZaX.exe
  C:\Windows\System32\SGphZaX.exe
  2⤵
  PID:11204
- C:\Windows\System32\KzfEgIy.exe
  C:\Windows\System32\KzfEgIy.exe
  2⤵
  PID:11232
- C:\Windows\System32\tNANgVh.exe
  C:\Windows\System32\tNANgVh.exe
  2⤵
  PID:11260
- C:\Windows\System32\xIBlWdZ.exe
  C:\Windows\System32\xIBlWdZ.exe
  2⤵
  PID:10304
- C:\Windows\System32\uMwCUgv.exe
  C:\Windows\System32\uMwCUgv.exe
  2⤵
  PID:10364
- C:\Windows\System32\IYzPzvS.exe
  C:\Windows\System32\IYzPzvS.exe
  2⤵
  PID:10440
- C:\Windows\System32\NhEWjsV.exe
  C:\Windows\System32\NhEWjsV.exe
  2⤵
  PID:10512
- C:\Windows\System32\wXRmAUE.exe
  C:\Windows\System32\wXRmAUE.exe
  2⤵
  PID:10584
- C:\Windows\System32\qOxhxrL.exe
  C:\Windows\System32\qOxhxrL.exe
  2⤵
  PID:10656
- C:\Windows\System32\vIIQlWt.exe
  C:\Windows\System32\vIIQlWt.exe
  2⤵
  PID:10744
- C:\Windows\System32\ifxYtOq.exe
  C:\Windows\System32\ifxYtOq.exe
  2⤵
  PID:10788
- C:\Windows\System32\LhbZfDM.exe
  C:\Windows\System32\LhbZfDM.exe
  2⤵
  PID:10876
- C:\Windows\System32\nWIWnqq.exe
  C:\Windows\System32\nWIWnqq.exe
  2⤵
  PID:10936
- C:\Windows\System32\SJGpEHm.exe
  C:\Windows\System32\SJGpEHm.exe
  2⤵
  PID:11008
- C:\Windows\System32\EryEwjQ.exe
  C:\Windows\System32\EryEwjQ.exe
  2⤵
  PID:9520
- C:\Windows\System32\VLoBTLn.exe
  C:\Windows\System32\VLoBTLn.exe
  2⤵
  PID:116
- C:\Windows\System32\lwDpcjz.exe
  C:\Windows\System32\lwDpcjz.exe
  2⤵
  PID:11200
- C:\Windows\System32\HMSfwCm.exe
  C:\Windows\System32\HMSfwCm.exe
  2⤵
  PID:10276
- C:\Windows\System32\heMgzjR.exe
  C:\Windows\System32\heMgzjR.exe
  2⤵
  PID:10424
- C:\Windows\System32\CDaLkRv.exe
  C:\Windows\System32\CDaLkRv.exe
  2⤵
  PID:10568
- C:\Windows\System32\nZyAmlz.exe
  C:\Windows\System32\nZyAmlz.exe
  2⤵
  PID:10684
- C:\Windows\System32\GhyzHjO.exe
  C:\Windows\System32\GhyzHjO.exe
  2⤵
  PID:10904
- C:\Windows\System32\yKNTjpt.exe
  C:\Windows\System32\yKNTjpt.exe
  2⤵
  PID:10988
- C:\Windows\System32\YzArRum.exe
  C:\Windows\System32\YzArRum.exe
  2⤵
  PID:11144
- C:\Windows\System32\VgzDhoL.exe
  C:\Windows\System32\VgzDhoL.exe
  2⤵
  PID:4020
- C:\Windows\System32\cjYukIR.exe
  C:\Windows\System32\cjYukIR.exe
  2⤵
  PID:10632
- C:\Windows\System32\YdmgXSQ.exe
  C:\Windows\System32\YdmgXSQ.exe
  2⤵
  PID:11064
- C:\Windows\System32\LyZSDnb.exe
  C:\Windows\System32\LyZSDnb.exe
  2⤵
  PID:11244
- C:\Windows\System32\eLfrshM.exe
  C:\Windows\System32\eLfrshM.exe
  2⤵
  PID:10328
- C:\Windows\System32\NMediCD.exe
  C:\Windows\System32\NMediCD.exe
  2⤵
  PID:11280
- C:\Windows\System32\KiLQVVM.exe
  C:\Windows\System32\KiLQVVM.exe
  2⤵
  PID:11308
- C:\Windows\System32\alBXTnB.exe
  C:\Windows\System32\alBXTnB.exe
  2⤵
  PID:11336
- C:\Windows\System32\twapYUF.exe
  C:\Windows\System32\twapYUF.exe
  2⤵
  PID:11364
- C:\Windows\System32\jLaPExS.exe
  C:\Windows\System32\jLaPExS.exe
  2⤵
  PID:11392
- C:\Windows\System32\SyaMWny.exe
  C:\Windows\System32\SyaMWny.exe
  2⤵
  PID:11428
- C:\Windows\System32\dQUWAkN.exe
  C:\Windows\System32\dQUWAkN.exe
  2⤵
  PID:11456
- C:\Windows\System32\TMFcBYz.exe
  C:\Windows\System32\TMFcBYz.exe
  2⤵
  PID:11488
- C:\Windows\System32\xwuCpgQ.exe
  C:\Windows\System32\xwuCpgQ.exe
  2⤵
  PID:11516
- C:\Windows\System32\pIYzPWD.exe
  C:\Windows\System32\pIYzPWD.exe
  2⤵
  PID:11544
- C:\Windows\System32\kYMxTDs.exe
  C:\Windows\System32\kYMxTDs.exe
  2⤵
  PID:11576
- C:\Windows\System32\ooDcuAv.exe
  C:\Windows\System32\ooDcuAv.exe
  2⤵
  PID:11604
- C:\Windows\System32\airmXuP.exe
  C:\Windows\System32\airmXuP.exe
  2⤵
  PID:11632
- C:\Windows\System32\jFnXGqX.exe
  C:\Windows\System32\jFnXGqX.exe
  2⤵
  PID:11660
- C:\Windows\System32\mJVOolk.exe
  C:\Windows\System32\mJVOolk.exe
  2⤵
  PID:11688
- C:\Windows\System32\KDzJTRn.exe
  C:\Windows\System32\KDzJTRn.exe
  2⤵
  PID:11716
- C:\Windows\System32\UqVnRxc.exe
  C:\Windows\System32\UqVnRxc.exe
  2⤵
  PID:11744
- C:\Windows\System32\nveQvEc.exe
  C:\Windows\System32\nveQvEc.exe
  2⤵
  PID:11772
- C:\Windows\System32\gEcewmd.exe
  C:\Windows\System32\gEcewmd.exe
  2⤵
  PID:11800
- C:\Windows\System32\GtxwKhh.exe
  C:\Windows\System32\GtxwKhh.exe
  2⤵
  PID:11828
- C:\Windows\System32\RsgUMfw.exe
  C:\Windows\System32\RsgUMfw.exe
  2⤵
  PID:11856
- C:\Windows\System32\JOhRRVd.exe
  C:\Windows\System32\JOhRRVd.exe
  2⤵
  PID:11888
- C:\Windows\System32\dPiqSyb.exe
  C:\Windows\System32\dPiqSyb.exe
  2⤵
  PID:11920
- C:\Windows\System32\aNfTKRf.exe
  C:\Windows\System32\aNfTKRf.exe
  2⤵
  PID:11948
- C:\Windows\System32\NZoSBwi.exe
  C:\Windows\System32\NZoSBwi.exe
  2⤵
  PID:11980
- C:\Windows\System32\OpNubnU.exe
  C:\Windows\System32\OpNubnU.exe
  2⤵
  PID:12008
- C:\Windows\System32\gsXBJxe.exe
  C:\Windows\System32\gsXBJxe.exe
  2⤵
  PID:12036
- C:\Windows\System32\qphZmUB.exe
  C:\Windows\System32\qphZmUB.exe
  2⤵
  PID:12064
- C:\Windows\System32\VPcFFrz.exe
  C:\Windows\System32\VPcFFrz.exe
  2⤵
  PID:12092
- C:\Windows\System32\dInEaQr.exe
  C:\Windows\System32\dInEaQr.exe
  2⤵
  PID:12152
- C:\Windows\System32\hqvRkBH.exe
  C:\Windows\System32\hqvRkBH.exe
  2⤵
  PID:12212
- C:\Windows\System32\KhuLXUv.exe
  C:\Windows\System32\KhuLXUv.exe
  2⤵
  PID:12276
- C:\Windows\System32\JncSPKW.exe
  C:\Windows\System32\JncSPKW.exe
  2⤵
  PID:11304
- C:\Windows\System32\jXCSmjC.exe
  C:\Windows\System32\jXCSmjC.exe
  2⤵
  PID:11388
- C:\Windows\System32\guxEDqU.exe
  C:\Windows\System32\guxEDqU.exe
  2⤵
  PID:11440
- C:\Windows\System32\WXYroMj.exe
  C:\Windows\System32\WXYroMj.exe
  2⤵
  PID:11480
- C:\Windows\System32\vJRLRUB.exe
  C:\Windows\System32\vJRLRUB.exe
  2⤵
  PID:11556
- C:\Windows\System32\piDcqdd.exe
  C:\Windows\System32\piDcqdd.exe
  2⤵
  PID:1924
- C:\Windows\System32\rTFtGfK.exe
  C:\Windows\System32\rTFtGfK.exe
  2⤵
  PID:11700
- C:\Windows\System32\epMabip.exe
  C:\Windows\System32\epMabip.exe
  2⤵
  PID:11764
- C:\Windows\System32\RQWrdYV.exe
  C:\Windows\System32\RQWrdYV.exe
  2⤵
  PID:11840
- C:\Windows\System32\lTSPklD.exe
  C:\Windows\System32\lTSPklD.exe
  2⤵
  PID:11900
- C:\Windows\System32\dukIuUM.exe
  C:\Windows\System32\dukIuUM.exe
  2⤵
  PID:11972
- C:\Windows\System32\DGXjKCl.exe
  C:\Windows\System32\DGXjKCl.exe
  2⤵
  PID:12032
- C:\Windows\System32\wYpcGwj.exe
  C:\Windows\System32\wYpcGwj.exe
  2⤵
  PID:12116
- C:\Windows\System32\UPYhfvm.exe
  C:\Windows\System32\UPYhfvm.exe
  2⤵
  PID:12224
- C:\Windows\System32\jVWPGrG.exe
  C:\Windows\System32\jVWPGrG.exe
  2⤵
  PID:11360
- C:\Windows\System32\zDkKjVk.exe
  C:\Windows\System32\zDkKjVk.exe
  2⤵
  PID:11500
- C:\Windows\System32\hjUwEzn.exe
  C:\Windows\System32\hjUwEzn.exe
  2⤵
  PID:11652
- C:\Windows\System32\GoRYvAz.exe
  C:\Windows\System32\GoRYvAz.exe
  2⤵
  PID:11816
- C:\Windows\System32\NWrUpfv.exe
  C:\Windows\System32\NWrUpfv.exe
  2⤵
  PID:11944
- C:\Windows\System32\uPvXuaS.exe
  C:\Windows\System32\uPvXuaS.exe
  2⤵
  PID:12088
- C:\Windows\System32\nnjPRzm.exe
  C:\Windows\System32\nnjPRzm.exe
  2⤵
  PID:2284
- C:\Windows\System32\BiySHgw.exe
  C:\Windows\System32\BiySHgw.exe
  2⤵
  PID:11424
- C:\Windows\System32\jaBbNxR.exe
  C:\Windows\System32\jaBbNxR.exe
  2⤵
  PID:11884
- C:\Windows\System32\xypPVfW.exe
  C:\Windows\System32\xypPVfW.exe
  2⤵
  PID:1224
- C:\Windows\System32\bwdOfET.exe
  C:\Windows\System32\bwdOfET.exe
  2⤵
  PID:12208
- C:\Windows\System32\yGGZWvB.exe
  C:\Windows\System32\yGGZWvB.exe
  2⤵
  PID:11756
- C:\Windows\System32\fsJOXQX.exe
  C:\Windows\System32\fsJOXQX.exe
  2⤵
  PID:12084
- C:\Windows\System32\uEFQZsQ.exe
  C:\Windows\System32\uEFQZsQ.exe
  2⤵
  PID:2288
- C:\Windows\System32\mNgelZI.exe
  C:\Windows\System32\mNgelZI.exe
  2⤵
  PID:12308
- C:\Windows\System32\jCWRFAf.exe
  C:\Windows\System32\jCWRFAf.exe
  2⤵
  PID:12336
- C:\Windows\System32\DAndIFX.exe
  C:\Windows\System32\DAndIFX.exe
  2⤵
  PID:12368
- C:\Windows\System32\jrFtLmp.exe
  C:\Windows\System32\jrFtLmp.exe
  2⤵
  PID:12396
- C:\Windows\System32\OkzuvHp.exe
  C:\Windows\System32\OkzuvHp.exe
  2⤵
  PID:12424
- C:\Windows\System32\xjzSTpp.exe
  C:\Windows\System32\xjzSTpp.exe
  2⤵
  PID:12452
- C:\Windows\System32\JfkMmmi.exe
  C:\Windows\System32\JfkMmmi.exe
  2⤵
  PID:12480
- C:\Windows\System32\xVVZoKe.exe
  C:\Windows\System32\xVVZoKe.exe
  2⤵
  PID:12508
- C:\Windows\System32\zQQEYxT.exe
  C:\Windows\System32\zQQEYxT.exe
  2⤵
  PID:12540
- C:\Windows\System32\nMHzDKp.exe
  C:\Windows\System32\nMHzDKp.exe
  2⤵
  PID:12568
- C:\Windows\System32\fFcTfWy.exe
  C:\Windows\System32\fFcTfWy.exe
  2⤵
  PID:12596
- C:\Windows\System32\sfTEOQU.exe
  C:\Windows\System32\sfTEOQU.exe
  2⤵
  PID:12624
- C:\Windows\System32\KoCwkaF.exe
  C:\Windows\System32\KoCwkaF.exe
  2⤵
  PID:12652
- C:\Windows\System32\jjrHWNE.exe
  C:\Windows\System32\jjrHWNE.exe
  2⤵
  PID:12696
- C:\Windows\System32\zNpngaf.exe
  C:\Windows\System32\zNpngaf.exe
  2⤵
  PID:12716
- C:\Windows\System32\fFwJSSc.exe
  C:\Windows\System32\fFwJSSc.exe
  2⤵
  PID:12748
- C:\Windows\System32\caeuaWs.exe
  C:\Windows\System32\caeuaWs.exe
  2⤵
  PID:12772
- C:\Windows\System32\lJeKKvc.exe
  C:\Windows\System32\lJeKKvc.exe
  2⤵
  PID:12804
- C:\Windows\System32\bahrBHx.exe
  C:\Windows\System32\bahrBHx.exe
  2⤵
  PID:12840
- C:\Windows\System32\OXUiHEt.exe
  C:\Windows\System32\OXUiHEt.exe
  2⤵
  PID:12872
- C:\Windows\System32\xSWXhsx.exe
  C:\Windows\System32\xSWXhsx.exe
  2⤵
  PID:12896
- C:\Windows\System32\kDkKmZH.exe
  C:\Windows\System32\kDkKmZH.exe
  2⤵
  PID:12916
- C:\Windows\System32\UeAvXnW.exe
  C:\Windows\System32\UeAvXnW.exe
  2⤵
  PID:12956
- C:\Windows\System32\zcCEJYS.exe
  C:\Windows\System32\zcCEJYS.exe
  2⤵
  PID:12984
- C:\Windows\System32\vRUgCDZ.exe
  C:\Windows\System32\vRUgCDZ.exe
  2⤵
  PID:13008
- C:\Windows\System32\OoawdQv.exe
  C:\Windows\System32\OoawdQv.exe
  2⤵
  PID:13060
- C:\Windows\System32\ZVELrph.exe
  C:\Windows\System32\ZVELrph.exe
  2⤵
  PID:13096
- C:\Windows\System32\RebtTow.exe
  C:\Windows\System32\RebtTow.exe
  2⤵
  PID:13136
- C:\Windows\System32\SMDXGiV.exe
  C:\Windows\System32\SMDXGiV.exe
  2⤵
  PID:13168
- C:\Windows\System32\nZwroXK.exe
  C:\Windows\System32\nZwroXK.exe
  2⤵
  PID:13196
- C:\Windows\System32\FTCsjnh.exe
  C:\Windows\System32\FTCsjnh.exe
  2⤵
  PID:13224
- C:\Windows\System32\VaVhBHl.exe
  C:\Windows\System32\VaVhBHl.exe
  2⤵
  PID:13256
- C:\Windows\System32\oiAkZeQ.exe
  C:\Windows\System32\oiAkZeQ.exe
  2⤵
  PID:13284
- C:\Windows\System32\gFgUQqg.exe
  C:\Windows\System32\gFgUQqg.exe
  2⤵
  PID:12292
- C:\Windows\System32\yIrWLFy.exe
  C:\Windows\System32\yIrWLFy.exe
  2⤵
  PID:12360
- C:\Windows\System32\ObjOqRl.exe
  C:\Windows\System32\ObjOqRl.exe
  2⤵
  PID:12416
- C:\Windows\System32\LpfnfOY.exe
  C:\Windows\System32\LpfnfOY.exe
  2⤵
  PID:12500
- C:\Windows\System32\oKOFkad.exe
  C:\Windows\System32\oKOFkad.exe
  2⤵
  PID:12584
- C:\Windows\System32\KHgLcnn.exe
  C:\Windows\System32\KHgLcnn.exe
  2⤵
  PID:12664
- C:\Windows\System32\GVclhbe.exe
  C:\Windows\System32\GVclhbe.exe
  2⤵
  PID:12736
- C:\Windows\System32\bUySmQe.exe
  C:\Windows\System32\bUySmQe.exe
  2⤵
  PID:12792
- C:\Windows\System32\kCiQSPj.exe
  C:\Windows\System32\kCiQSPj.exe
  2⤵
  PID:12816
- C:\Windows\System32\krVwFtg.exe
  C:\Windows\System32\krVwFtg.exe
  2⤵
  PID:12912
- C:\Windows\System32\RAoOuUI.exe
  C:\Windows\System32\RAoOuUI.exe
  2⤵
  PID:12972
- C:\Windows\System32\joiIiLQ.exe
  C:\Windows\System32\joiIiLQ.exe
  2⤵
  PID:13032
- C:\Windows\System32\HHjDVZi.exe
  C:\Windows\System32\HHjDVZi.exe
  2⤵
  PID:13160
- C:\Windows\System32\etQzhpi.exe
  C:\Windows\System32\etQzhpi.exe
  2⤵
  PID:13208
- C:\Windows\System32\EBKglIW.exe
  C:\Windows\System32\EBKglIW.exe
  2⤵
  PID:13280
- C:\Windows\System32\TgusAtv.exe
  C:\Windows\System32\TgusAtv.exe
  2⤵
  PID:12388
- C:\Windows\System32\GXxmnFN.exe
  C:\Windows\System32\GXxmnFN.exe
  2⤵
  PID:12564
- C:\Windows\System32\OHcDRPd.exe
  C:\Windows\System32\OHcDRPd.exe
  2⤵
  PID:12708
- C:\Windows\System32\iaoBPfW.exe
  C:\Windows\System32\iaoBPfW.exe
  2⤵
  PID:12892
- C:\Windows\System32\XsvsfEc.exe
  C:\Windows\System32\XsvsfEc.exe
  2⤵
  PID:13048
- C:\Windows\System32\BgQPnQe.exe
  C:\Windows\System32\BgQPnQe.exe
  2⤵
  PID:13252
- C:\Windows\System32\pUoIZVy.exe
  C:\Windows\System32\pUoIZVy.exe
  2⤵
  PID:12496
- C:\Windows\System32\ApJRzXZ.exe
  C:\Windows\System32\ApJRzXZ.exe
  2⤵
  PID:12852
- C:\Windows\System32\hvjNfUV.exe
  C:\Windows\System32\hvjNfUV.exe
  2⤵
  PID:13308
- C:\Windows\System32\AjGGWup.exe
  C:\Windows\System32\AjGGWup.exe
  2⤵
  PID:13180
- C:\Windows\System32\OqkJmPE.exe
  C:\Windows\System32\OqkJmPE.exe
  2⤵
  PID:13320
- C:\Windows\System32\ZUKJYNB.exe
  C:\Windows\System32\ZUKJYNB.exe
  2⤵
  PID:13348
- C:\Windows\System32\gqwZeuv.exe
  C:\Windows\System32\gqwZeuv.exe
  2⤵
  PID:13376
- C:\Windows\System32\UHTOVCf.exe
  C:\Windows\System32\UHTOVCf.exe
  2⤵
  PID:13412
- C:\Windows\System32\WvZdsFb.exe
  C:\Windows\System32\WvZdsFb.exe
  2⤵
  PID:13672
- C:\Windows\System32\DyGnByl.exe
  C:\Windows\System32\DyGnByl.exe
  2⤵
  PID:13692
- C:\Windows\System32\VpryCRC.exe
  C:\Windows\System32\VpryCRC.exe
  2⤵
  PID:13724
- C:\Windows\System32\lbXMdmT.exe
  C:\Windows\System32\lbXMdmT.exe
  2⤵
  PID:13752
- C:\Windows\System32\yKudylV.exe
  C:\Windows\System32\yKudylV.exe
  2⤵
  PID:13772
- C:\Windows\System32\ZTjixsp.exe
  C:\Windows\System32\ZTjixsp.exe
  2⤵
  PID:13996
- C:\Windows\System32\LPoWUFU.exe
  C:\Windows\System32\LPoWUFU.exe
  2⤵
  PID:14028
- C:\Windows\System32\Xwvdrye.exe
  C:\Windows\System32\Xwvdrye.exe
  2⤵
  PID:14208
- C:\Windows\System32\ZVJAmWr.exe
  C:\Windows\System32\ZVJAmWr.exe
  2⤵
  PID:14228
- C:\Windows\System32\phWGbeI.exe
  C:\Windows\System32\phWGbeI.exe
  2⤵
  PID:14248
- C:\Windows\System32\hstdvBH.exe
  C:\Windows\System32\hstdvBH.exe
  2⤵
  PID:14304
- C:\Windows\System32\fDNUSri.exe
  C:\Windows\System32\fDNUSri.exe
  2⤵
  PID:14324
- C:\Windows\System32\TaKCMML.exe
  C:\Windows\System32\TaKCMML.exe
  2⤵
  PID:13340
- C:\Windows\System32\LMNOIfR.exe
  C:\Windows\System32\LMNOIfR.exe
  2⤵
  PID:13404
- C:\Windows\System32\zdNZLGq.exe
  C:\Windows\System32\zdNZLGq.exe
  2⤵
  PID:13036
- C:\Windows\System32\yLrgfwS.exe
  C:\Windows\System32\yLrgfwS.exe
  2⤵
  PID:12348
- C:\Windows\System32\WiIOqXT.exe
  C:\Windows\System32\WiIOqXT.exe
  2⤵
  PID:13488
- C:\Windows\System32\WwYhQhV.exe
  C:\Windows\System32\WwYhQhV.exe
  2⤵
  PID:13504
- C:\Windows\System32\EcCBrdN.exe
  C:\Windows\System32\EcCBrdN.exe
  2⤵
  PID:13548
- C:\Windows\System32\FUBAsnI.exe
  C:\Windows\System32\FUBAsnI.exe
  2⤵
  PID:13572
- C:\Windows\System32\GzRfODg.exe
  C:\Windows\System32\GzRfODg.exe
  2⤵
  PID:13092
- C:\Windows\System32\Tqborpc.exe
  C:\Windows\System32\Tqborpc.exe
  2⤵
  PID:13604
- C:\Windows\System32\FhPOMQS.exe
  C:\Windows\System32\FhPOMQS.exe
  2⤵
  PID:580
- C:\Windows\System32\lrcCUQQ.exe
  C:\Windows\System32\lrcCUQQ.exe
  2⤵
  PID:13644
- C:\Windows\System32\OLKGNzy.exe
  C:\Windows\System32\OLKGNzy.exe
  2⤵
  PID:1832
- C:\Windows\System32\OlRyCmN.exe
  C:\Windows\System32\OlRyCmN.exe
  2⤵
  PID:1220
- C:\Windows\System32\MlTQIya.exe
  C:\Windows\System32\MlTQIya.exe
  2⤵
  PID:1240
- C:\Windows\System32\DUmtXrs.exe
  C:\Windows\System32\DUmtXrs.exe
  2⤵
  PID:13668
- C:\Windows\System32\iYqtTFI.exe
  C:\Windows\System32\iYqtTFI.exe
  2⤵
  PID:13768
- C:\Windows\System32\rVARlVZ.exe
  C:\Windows\System32\rVARlVZ.exe
  2⤵
  PID:13856
- C:\Windows\System32\wSQMfhe.exe
  C:\Windows\System32\wSQMfhe.exe
  2⤵
  PID:13896
- C:\Windows\System32\uszHXtV.exe
  C:\Windows\System32\uszHXtV.exe
  2⤵
  PID:13916
- C:\Windows\System32\noyuOMs.exe
  C:\Windows\System32\noyuOMs.exe
  2⤵
  PID:13812
- C:\Windows\System32\RcvYGkQ.exe
  C:\Windows\System32\RcvYGkQ.exe
  2⤵
  PID:13808
- C:\Windows\System32\zhoNJCu.exe
  C:\Windows\System32\zhoNJCu.exe
  2⤵
  PID:13820
- C:\Windows\System32\lCtiFHB.exe
  C:\Windows\System32\lCtiFHB.exe
  2⤵
  PID:13716
- C:\Windows\System32\MtIGrqE.exe
  C:\Windows\System32\MtIGrqE.exe
  2⤵
  PID:11120
- C:\Windows\System32\anIJFjT.exe
  C:\Windows\System32\anIJFjT.exe
  2⤵
  PID:844
- C:\Windows\System32\UbIRYai.exe
  C:\Windows\System32\UbIRYai.exe
  2⤵
  PID:14064
- C:\Windows\System32\MwWoEBT.exe
  C:\Windows\System32\MwWoEBT.exe
  2⤵
  PID:14068
- C:\Windows\System32\duApQsi.exe
  C:\Windows\System32\duApQsi.exe
  2⤵
  PID:3916
- C:\Windows\System32\WTdcQoY.exe
  C:\Windows\System32\WTdcQoY.exe
  2⤵
  PID:4668
- C:\Windows\System32\qedVOww.exe
  C:\Windows\System32\qedVOww.exe
  2⤵
  PID:14088
- C:\Windows\System32\lpfZduX.exe
  C:\Windows\System32\lpfZduX.exe
  2⤵
  PID:13852
- C:\Windows\System32\dLUTekt.exe
  C:\Windows\System32\dLUTekt.exe
  2⤵
  PID:2652
- C:\Windows\System32\hInMiAN.exe
  C:\Windows\System32\hInMiAN.exe
  2⤵
  PID:14140
- C:\Windows\System32\kNmJHga.exe
  C:\Windows\System32\kNmJHga.exe
  2⤵
  PID:776
- C:\Windows\System32\jLUsZaB.exe
  C:\Windows\System32\jLUsZaB.exe
  2⤵
  PID:2892
- C:\Windows\System32\wkiOzCz.exe
  C:\Windows\System32\wkiOzCz.exe
  2⤵
  PID:3540
- C:\Windows\System32\LCoqtrK.exe
  C:\Windows\System32\LCoqtrK.exe
  2⤵
  PID:4104
- C:\Windows\System32\XzuJyEv.exe
  C:\Windows\System32\XzuJyEv.exe
  2⤵
  PID:14236
- C:\Windows\System32\ozFQIWu.exe
  C:\Windows\System32\ozFQIWu.exe
  2⤵
  PID:4248
- C:\Windows\System32\gmmcaae.exe
  C:\Windows\System32\gmmcaae.exe
  2⤵
  PID:4332
- C:\Windows\System32\mgWvKBz.exe
  C:\Windows\System32\mgWvKBz.exe
  2⤵
  PID:1988
- C:\Windows\System32\chiWopN.exe
  C:\Windows\System32\chiWopN.exe
  2⤵
  PID:14316
- C:\Windows\System32\TujmaXe.exe
  C:\Windows\System32\TujmaXe.exe
  2⤵
  PID:14200
- C:\Windows\System32\bXZSHem.exe
  C:\Windows\System32\bXZSHem.exe
  2⤵
  PID:13388
- C:\Windows\System32\rWJnWRZ.exe
  C:\Windows\System32\rWJnWRZ.exe
  2⤵
  PID:13156
- C:\Windows\System32\hQVnwez.exe
  C:\Windows\System32\hQVnwez.exe
  2⤵
  PID:13372
- C:\Windows\System32\pVOKEtb.exe
  C:\Windows\System32\pVOKEtb.exe
  2⤵
  PID:13104
- C:\Windows\System32\dGkzvKD.exe
  C:\Windows\System32\dGkzvKD.exe
  2⤵
  PID:13468
- C:\Windows\System32\DjqBmTx.exe
  C:\Windows\System32\DjqBmTx.exe
  2⤵
  PID:13424
- C:\Windows\System32\pcABntt.exe
  C:\Windows\System32\pcABntt.exe
  2⤵
  PID:13516
- C:\Windows\System32\fNSYSBf.exe
  C:\Windows\System32\fNSYSBf.exe
  2⤵
  PID:13564
- C:\Windows\System32\DPUpvLU.exe
  C:\Windows\System32\DPUpvLU.exe
  2⤵
  PID:13592
- C:\Windows\System32\zCNWCIC.exe
  C:\Windows\System32\zCNWCIC.exe
  2⤵
  PID:13624
- C:\Windows\System32\zHuJwYS.exe
  C:\Windows\System32\zHuJwYS.exe
  2⤵
  PID:13660
- C:\Windows\System32\gmDAWDI.exe
  C:\Windows\System32\gmDAWDI.exe
  2⤵
  PID:7752
- C:\Windows\System32\CvqpFgN.exe
  C:\Windows\System32\CvqpFgN.exe
  2⤵
  PID:4664
- C:\Windows\System32\mvmHyms.exe
  C:\Windows\System32\mvmHyms.exe
  2⤵
  PID:13764
- C:\Windows\System32\BBCOHBq.exe
  C:\Windows\System32\BBCOHBq.exe
  2⤵
  PID:13988
- C:\Windows\System32\CACxgRt.exe
  C:\Windows\System32\CACxgRt.exe
  2⤵
  PID:13964
- C:\Windows\System32\CbQYaYD.exe
  C:\Windows\System32\CbQYaYD.exe
  2⤵
  PID:13720
- C:\Windows\System32\xwKESmR.exe
  C:\Windows\System32\xwKESmR.exe
  2⤵
  PID:628
- C:\Windows\System32\MDdHMaP.exe
  C:\Windows\System32\MDdHMaP.exe
  2⤵
  PID:7536
- C:\Windows\System32\uIAaFXC.exe
  C:\Windows\System32\uIAaFXC.exe
  2⤵
  PID:7832
- C:\Windows\System32\MRygQSj.exe
  C:\Windows\System32\MRygQSj.exe
  2⤵
  PID:7552
- C:\Windows\System32\ohiArBW.exe
  C:\Windows\System32\ohiArBW.exe
  2⤵
  PID:5060
- C:\Windows\System32\OBXsdGN.exe
  C:\Windows\System32\OBXsdGN.exe
  2⤵
  PID:3168
- C:\Windows\System32\LQSalfF.exe
  C:\Windows\System32\LQSalfF.exe
  2⤵
  PID:4388
- C:\Windows\System32\ZXLHXOe.exe
  C:\Windows\System32\ZXLHXOe.exe
  2⤵
  PID:13924
- C:\Windows\System32\ciwuXBK.exe
  C:\Windows\System32\ciwuXBK.exe
  2⤵
  PID:4820
- C:\Windows\System32\AKvHoCd.exe
  C:\Windows\System32\AKvHoCd.exe
  2⤵
  PID:13732
- C:\Windows\System32\ZbEkdmo.exe
  C:\Windows\System32\ZbEkdmo.exe
  2⤵
  PID:14112
- C:\Windows\System32\RqQEcCv.exe
  C:\Windows\System32\RqQEcCv.exe
  2⤵
  PID:14136
- C:\Windows\System32\PaEFWHP.exe
  C:\Windows\System32\PaEFWHP.exe
  2⤵
  PID:980
- C:\Windows\System32\lVfSjYf.exe
  C:\Windows\System32\lVfSjYf.exe
  2⤵
  PID:14004
- C:\Windows\System32\Nbrqnfj.exe
  C:\Windows\System32\Nbrqnfj.exe
  2⤵
  PID:4156
- C:\Windows\System32\KwuKxSP.exe
  C:\Windows\System32\KwuKxSP.exe
  2⤵
  PID:4224
- C:\Windows\System32\IUVDoQn.exe
  C:\Windows\System32\IUVDoQn.exe
  2⤵
  PID:13316
- C:\Windows\System32\gztldDO.exe
  C:\Windows\System32\gztldDO.exe
  2⤵
  PID:2360
- C:\Windows\System32\NJzygQG.exe
  C:\Windows\System32\NJzygQG.exe
  2⤵
  PID:4536
- C:\Windows\System32\TfuzZwX.exe
  C:\Windows\System32\TfuzZwX.exe
  2⤵
  PID:4932
- C:\Windows\System32\nzsyRUM.exe
  C:\Windows\System32\nzsyRUM.exe
  2⤵
  PID:14276
- C:\Windows\System32\MHLzgjQ.exe
  C:\Windows\System32\MHLzgjQ.exe
  2⤵
  PID:14332
- C:\Windows\System32\fufZRWo.exe
  C:\Windows\System32\fufZRWo.exe
  2⤵
  PID:13332
- C:\Windows\System32\RqTWAzB.exe
  C:\Windows\System32\RqTWAzB.exe
  2⤵
  PID:13360
- C:\Windows\System32\DRAstcw.exe
  C:\Windows\System32\DRAstcw.exe
  2⤵
  PID:13444
- C:\Windows\System32\urweGUE.exe
  C:\Windows\System32\urweGUE.exe
  2⤵
  PID:13536
- C:\Windows\System32\jIWhCSN.exe
  C:\Windows\System32\jIWhCSN.exe
  2⤵
  PID:13560
- C:\Windows\System32\eaTFrgA.exe
  C:\Windows\System32\eaTFrgA.exe
  2⤵
  PID:12472
- C:\Windows\System32\ZsweKbN.exe
  C:\Windows\System32\ZsweKbN.exe
  2⤵
  PID:1164
- C:\Windows\System32\FtDWEcg.exe
  C:\Windows\System32\FtDWEcg.exe
  2⤵
  PID:748
- C:\Windows\System32\zImTtBo.exe
  C:\Windows\System32\zImTtBo.exe
  2⤵
  PID:13748
- C:\Windows\System32\zbaYzKb.exe
  C:\Windows\System32\zbaYzKb.exe
  2⤵
  PID:13880
- C:\Windows\System32\mDKJBrD.exe
  C:\Windows\System32\mDKJBrD.exe
  2⤵
  PID:13816
- C:\Windows\System32\OuaqJPm.exe
  C:\Windows\System32\OuaqJPm.exe
  2⤵
  PID:14044
- C:\Windows\System32\vQNIYyX.exe
  C:\Windows\System32\vQNIYyX.exe
  2⤵
  PID:7724
- C:\Windows\System32\ATGmFyw.exe
  C:\Windows\System32\ATGmFyw.exe
  2⤵
  PID:7488
- C:\Windows\System32\QggvkCf.exe
  C:\Windows\System32\QggvkCf.exe
  2⤵
  PID:14084
- C:\Windows\System32\LxsuipT.exe
  C:\Windows\System32\LxsuipT.exe
  2⤵
  PID:2476
- C:\Windows\System32\IXLUNmV.exe
  C:\Windows\System32\IXLUNmV.exe
  2⤵
  PID:4532
- C:\Windows\System32\OkUIocD.exe
  C:\Windows\System32\OkUIocD.exe
  2⤵
  PID:10596
- C:\Windows\System32\jdrITSj.exe
  C:\Windows\System32\jdrITSj.exe
  2⤵
  PID:884
- C:\Windows\System32\ikLTaEs.exe
  C:\Windows\System32\ikLTaEs.exe
  2⤵
  PID:3216
- C:\Windows\System32\RnKjjPE.exe
  C:\Windows\System32\RnKjjPE.exe
  2⤵
  PID:2612
- C:\Windows\System32\eZhjlqG.exe
  C:\Windows\System32\eZhjlqG.exe
  2⤵
  PID:11168
- C:\Windows\System32\mgEzjpt.exe
  C:\Windows\System32\mgEzjpt.exe
  2⤵
  PID:14020
- C:\Windows\System32\WiBOaER.exe
  C:\Windows\System32\WiBOaER.exe
  2⤵
  PID:2904
- C:\Windows\System32\QEBOrNo.exe
  C:\Windows\System32\QEBOrNo.exe
  2⤵
  PID:1012
- C:\Windows\System32\UhjKYCV.exe
  C:\Windows\System32\UhjKYCV.exe
  2⤵
  PID:13952
- C:\Windows\System32\RZtykcJ.exe
  C:\Windows\System32\RZtykcJ.exe
  2⤵
  PID:14220
- C:\Windows\System32\GrYnDxC.exe
  C:\Windows\System32\GrYnDxC.exe
  2⤵
  PID:14256
- C:\Windows\System32\GxfdMGF.exe
  C:\Windows\System32\GxfdMGF.exe
  2⤵
  PID:8496
- C:\Windows\System32\ECXpVIJ.exe
  C:\Windows\System32\ECXpVIJ.exe
  2⤵
  PID:4796
- C:\Windows\System32\psCgOWk.exe
  C:\Windows\System32\psCgOWk.exe
  2⤵
  PID:14320
- C:\Windows\System32\xJYvKXd.exe
  C:\Windows\System32\xJYvKXd.exe
  2⤵
  PID:13028
- C:\Windows\System32\wSPJlnz.exe
  C:\Windows\System32\wSPJlnz.exe
  2⤵
  PID:13484
- C:\Windows\System32\rAdaJzq.exe
  C:\Windows\System32\rAdaJzq.exe
  2⤵
  PID:13584
- C:\Windows\System32\nNEbnzl.exe
  C:\Windows\System32\nNEbnzl.exe
  2⤵
  PID:1168
- C:\Windows\System32\gFazyJU.exe
  C:\Windows\System32\gFazyJU.exe
  2⤵
  PID:13876
- C:\Windows\System32\GhGexke.exe
  C:\Windows\System32\GhGexke.exe
  2⤵
  PID:13832
- C:\Windows\System32\vIhqBLz.exe
  C:\Windows\System32\vIhqBLz.exe
  2⤵
  PID:832
- C:\Windows\System32\OVwsZrZ.exe
  C:\Windows\System32\OVwsZrZ.exe
  2⤵
  PID:4436
- C:\Windows\System32\IovAmub.exe
  C:\Windows\System32\IovAmub.exe
  2⤵
  PID:14076
- C:\Windows\System32\LGdbAgG.exe
  C:\Windows\System32\LGdbAgG.exe
  2⤵
  PID:4836
- C:\Windows\System32\MAQxYoT.exe
  C:\Windows\System32\MAQxYoT.exe
  2⤵
  PID:11256
- C:\Windows\System32\NUrbQKV.exe
  C:\Windows\System32\NUrbQKV.exe
  2⤵
  PID:2660
- C:\Windows\System32\wjInWTg.exe
  C:\Windows\System32\wjInWTg.exe
  2⤵
  PID:5992
- C:\Windows\System32\sSSmRDn.exe
  C:\Windows\System32\sSSmRDn.exe
  2⤵
  PID:9464
- C:\Windows\System32\JzbrqnK.exe
  C:\Windows\System32\JzbrqnK.exe
  2⤵
  PID:4180
- C:\Windows\System32\yLztajk.exe
  C:\Windows\System32\yLztajk.exe
  2⤵
  PID:14144
- C:\Windows\System32\hZCAtwT.exe
  C:\Windows\System32\hZCAtwT.exe
  2⤵
  PID:2748
- C:\Windows\System32\YsyEBkq.exe
  C:\Windows\System32\YsyEBkq.exe
  2⤵
  PID:3156
- C:\Windows\System32\iSdeQcv.exe
  C:\Windows\System32\iSdeQcv.exe
  2⤵
  PID:3548
- C:\Windows\System32\JbuxlPB.exe
  C:\Windows\System32\JbuxlPB.exe
  2⤵
  PID:13436
- C:\Windows\System32\eiIuMfb.exe
  C:\Windows\System32\eiIuMfb.exe
  2⤵
  PID:13556
- C:\Windows\System32\HHbmaEB.exe
  C:\Windows\System32\HHbmaEB.exe
  2⤵
  PID:13640
- C:\Windows\System32\PUcJlzw.exe
  C:\Windows\System32\PUcJlzw.exe
  2⤵
  PID:13800
- C:\Windows\System32\AvPcxEk.exe
  C:\Windows\System32\AvPcxEk.exe
  2⤵
  PID:13892
- C:\Windows\System32\EUhXJRS.exe
  C:\Windows\System32\EUhXJRS.exe
  2⤵
  PID:796
- C:\Windows\System32\MrkqTQV.exe
  C:\Windows\System32\MrkqTQV.exe
  2⤵
  PID:3964
- C:\Windows\System32\ASWBxEo.exe
  C:\Windows\System32\ASWBxEo.exe
  2⤵
  PID:4012
- C:\Windows\System32\XOZdrkN.exe
  C:\Windows\System32\XOZdrkN.exe
  2⤵
  PID:8888
- C:\Windows\System32\OTSwXwX.exe
  C:\Windows\System32\OTSwXwX.exe
  2⤵
  PID:14060
- C:\Windows\System32\JkYiowM.exe
  C:\Windows\System32\JkYiowM.exe
  2⤵
  PID:1836
- C:\Windows\System32\cVPVJgd.exe
  C:\Windows\System32\cVPVJgd.exe
  2⤵
  PID:14296
- C:\Windows\System32\EiTXlrz.exe
  C:\Windows\System32\EiTXlrz.exe
  2⤵
  PID:13396
- C:\Windows\System32\AQrrgmG.exe
  C:\Windows\System32\AQrrgmG.exe
  2⤵
  PID:13656
- C:\Windows\System32\ZnwwRYV.exe
  C:\Windows\System32\ZnwwRYV.exe
  2⤵
  PID:8492
- C:\Windows\System32\sJgBamH.exe
  C:\Windows\System32\sJgBamH.exe
  2⤵
  PID:7520
- C:\Windows\System32\RqmaFyK.exe
  C:\Windows\System32\RqmaFyK.exe
  2⤵
  PID:13936
- C:\Windows\System32\CTLljRr.exe
  C:\Windows\System32\CTLljRr.exe
  2⤵
  PID:2396
- C:\Windows\System32\esqOwAL.exe
  C:\Windows\System32\esqOwAL.exe
  2⤵
  PID:13616
- C:\Windows\System32\nMmExMf.exe
  C:\Windows\System32\nMmExMf.exe
  2⤵
  PID:13044
- C:\Windows\System32\HbUCjGg.exe
  C:\Windows\System32\HbUCjGg.exe
  2⤵
  PID:13684
- C:\Windows\System32\OODQSkU.exe
  C:\Windows\System32\OODQSkU.exe
  2⤵
  PID:7564
- C:\Windows\System32\vbXaBSJ.exe
  C:\Windows\System32\vbXaBSJ.exe
  2⤵
  PID:6204
- C:\Windows\System32\XFfNzcJ.exe
  C:\Windows\System32\XFfNzcJ.exe
  2⤵
  PID:4852
- C:\Windows\System32\SeXnsUM.exe
  C:\Windows\System32\SeXnsUM.exe
  2⤵
  PID:2344
- C:\Windows\System32\THHaRiy.exe
  C:\Windows\System32\THHaRiy.exe
  2⤵
  PID:8448
- C:\Windows\System32\YpfRgiB.exe
  C:\Windows\System32\YpfRgiB.exe
  2⤵
  PID:14284
- C:\Windows\System32\fcdlOJD.exe
  C:\Windows\System32\fcdlOJD.exe
  2⤵
  PID:14288
- C:\Windows\System32\GisFbMm.exe
  C:\Windows\System32\GisFbMm.exe
  2⤵
  PID:13828
- C:\Windows\System32\GZswzcy.exe
  C:\Windows\System32\GZswzcy.exe
  2⤵
  PID:14160
- C:\Windows\System32\xbEVPIs.exe
  C:\Windows\System32\xbEVPIs.exe
  2⤵
  PID:14352
- C:\Windows\System32\BOOJpqF.exe
  C:\Windows\System32\BOOJpqF.exe
  2⤵
  PID:14368
- C:\Windows\System32\bYrzsru.exe
  C:\Windows\System32\bYrzsru.exe
  2⤵
  PID:14396
- C:\Windows\System32\bbfwmBz.exe
  C:\Windows\System32\bbfwmBz.exe
  2⤵
  PID:14412
- C:\Windows\System32\EsGZPnA.exe
  C:\Windows\System32\EsGZPnA.exe
  2⤵
  PID:14432
- C:\Windows\System32\MjKCjUx.exe
  C:\Windows\System32\MjKCjUx.exe
  2⤵
  PID:14452
- C:\Windows\System32\dHVVgYI.exe
  C:\Windows\System32\dHVVgYI.exe
  2⤵
  PID:14472
- C:\Windows\System32\jLavvIE.exe
  C:\Windows\System32\jLavvIE.exe
  2⤵
  PID:14492
- C:\Windows\System32\OaRyvcB.exe
  C:\Windows\System32\OaRyvcB.exe
  2⤵
  PID:14512
- C:\Windows\System32\PYQjaSJ.exe
  C:\Windows\System32\PYQjaSJ.exe
  2⤵
  PID:14532
- C:\Windows\System32\YcFKZQQ.exe
  C:\Windows\System32\YcFKZQQ.exe
  2⤵
  PID:14552
- C:\Windows\System32\pvKuXUa.exe
  C:\Windows\System32\pvKuXUa.exe
  2⤵
  PID:14572
- C:\Windows\System32\pebGpXo.exe
  C:\Windows\System32\pebGpXo.exe
  2⤵
  PID:14592
- C:\Windows\System32\vaKEwUS.exe
  C:\Windows\System32\vaKEwUS.exe
  2⤵
  PID:14612
- C:\Windows\System32\udhmWJN.exe
  C:\Windows\System32\udhmWJN.exe
  2⤵
  PID:14632
- C:\Windows\System32\RqtlWbA.exe
  C:\Windows\System32\RqtlWbA.exe
  2⤵
  PID:14652
- C:\Windows\System32\KfRWzGK.exe
  C:\Windows\System32\KfRWzGK.exe
  2⤵
  PID:14672
- C:\Windows\System32\SWhHfqI.exe
  C:\Windows\System32\SWhHfqI.exe
  2⤵
  PID:14692
- C:\Windows\System32\bcwtasP.exe
  C:\Windows\System32\bcwtasP.exe
  2⤵
  PID:14712
- C:\Windows\System32\oodUjTM.exe
  C:\Windows\System32\oodUjTM.exe
  2⤵
  PID:14740
- C:\Windows\System32\DKkbxku.exe
  C:\Windows\System32\DKkbxku.exe
  2⤵
  PID:14756
- C:\Windows\System32\lZtXMwU.exe
  C:\Windows\System32\lZtXMwU.exe
  2⤵
  PID:14776
- C:\Windows\System32\kAxrpAi.exe
  C:\Windows\System32\kAxrpAi.exe
  2⤵
  PID:14796
- C:\Windows\System32\EXOmHpv.exe
  C:\Windows\System32\EXOmHpv.exe
  2⤵
  PID:14816
- C:\Windows\System32\twMPWsG.exe
  C:\Windows\System32\twMPWsG.exe
  2⤵
  PID:14836
- C:\Windows\System32\RXHWOXn.exe
  C:\Windows\System32\RXHWOXn.exe
  2⤵
  PID:14856
- C:\Windows\System32\oTCTlQk.exe
  C:\Windows\System32\oTCTlQk.exe
  2⤵
  PID:14876
- C:\Windows\System32\TVqvXbn.exe
  C:\Windows\System32\TVqvXbn.exe
  2⤵
  PID:14896
- C:\Windows\System32\DafdheS.exe
  C:\Windows\System32\DafdheS.exe
  2⤵
  PID:14916
- C:\Windows\System32\KxdXVgk.exe
  C:\Windows\System32\KxdXVgk.exe
  2⤵
  PID:14936
- C:\Windows\System32\LYPwVJw.exe
  C:\Windows\System32\LYPwVJw.exe
  2⤵
  PID:14956
- C:\Windows\System32\EFrorDA.exe
  C:\Windows\System32\EFrorDA.exe
  2⤵
  PID:14976
- C:\Windows\System32\YQHQEyP.exe
  C:\Windows\System32\YQHQEyP.exe
  2⤵
  PID:14996
- C:\Windows\System32\pnqERmp.exe
  C:\Windows\System32\pnqERmp.exe
  2⤵
  PID:15016
- C:\Windows\System32\HLAslKo.exe
  C:\Windows\System32\HLAslKo.exe
  2⤵
  PID:15036
- C:\Windows\System32\WnDJcba.exe
  C:\Windows\System32\WnDJcba.exe
  2⤵
  PID:15056
- C:\Windows\System32\zpxTsSY.exe
  C:\Windows\System32\zpxTsSY.exe
  2⤵
  PID:15076
- C:\Windows\System32\KuFLHpZ.exe
  C:\Windows\System32\KuFLHpZ.exe
  2⤵
  PID:15096
- C:\Windows\System32\UjWylVm.exe
  C:\Windows\System32\UjWylVm.exe
  2⤵
  PID:15116
- C:\Windows\System32\QfQAAsh.exe
  C:\Windows\System32\QfQAAsh.exe
  2⤵
  PID:15136
- C:\Windows\System32\QKKaWim.exe
  C:\Windows\System32\QKKaWim.exe
  2⤵
  PID:15156
- C:\Windows\System32\VPNWVVb.exe
  C:\Windows\System32\VPNWVVb.exe
  2⤵
  PID:15176
- C:\Windows\System32\hVifdlK.exe
  C:\Windows\System32\hVifdlK.exe
  2⤵
  PID:15196
- C:\Windows\System32\qIlawFO.exe
  C:\Windows\System32\qIlawFO.exe
  2⤵
  PID:15216
- C:\Windows\System32\bYQZllA.exe
  C:\Windows\System32\bYQZllA.exe
  2⤵
  PID:15236
- C:\Windows\System32\yTtIAeN.exe
  C:\Windows\System32\yTtIAeN.exe
  2⤵
  PID:15256
- C:\Windows\System32\DiCBJZg.exe
  C:\Windows\System32\DiCBJZg.exe
  2⤵
  PID:15276
- C:\Windows\System32\whVsZPb.exe
  C:\Windows\System32\whVsZPb.exe
  2⤵
  PID:15296
- C:\Windows\System32\PzePXEi.exe
  C:\Windows\System32\PzePXEi.exe
  2⤵
  PID:15316
- C:\Windows\System32\tvkTMVe.exe
  C:\Windows\System32\tvkTMVe.exe
  2⤵
  PID:15336
- C:\Windows\System32\DnFIPWI.exe
  C:\Windows\System32\DnFIPWI.exe
  2⤵
  PID:15356
- C:\Windows\System32\tZOfxGg.exe
  C:\Windows\System32\tZOfxGg.exe
  2⤵
  PID:14360
- C:\Windows\System32\kuKVtGB.exe
  C:\Windows\System32\kuKVtGB.exe
  2⤵
  PID:14392
- C:\Windows\System32\YVXEdKq.exe
  C:\Windows\System32\YVXEdKq.exe
  2⤵
  PID:14424
- C:\Windows\System32\icypZhg.exe
  C:\Windows\System32\icypZhg.exe
  2⤵
  PID:14460
- C:\Windows\System32\QnIzmRf.exe
  C:\Windows\System32\QnIzmRf.exe
  2⤵
  PID:14488
- C:\Windows\System32\aPxOexJ.exe
  C:\Windows\System32\aPxOexJ.exe
  2⤵
  PID:14524
- C:\Windows\System32\VYMRHKE.exe
  C:\Windows\System32\VYMRHKE.exe
  2⤵
  PID:14560
- C:\Windows\System32\pSGRajR.exe
  C:\Windows\System32\pSGRajR.exe
  2⤵
  PID:14588
- C:\Windows\System32\jpaNhwS.exe
  C:\Windows\System32\jpaNhwS.exe
  2⤵
  PID:14624
- C:\Windows\System32\eULBIpY.exe
  C:\Windows\System32\eULBIpY.exe
  2⤵
  PID:14660
- C:\Windows\System32\DzqydhI.exe
  C:\Windows\System32\DzqydhI.exe
  2⤵
  PID:14688
- C:\Windows\System32\CZjBmlS.exe
  C:\Windows\System32\CZjBmlS.exe
  2⤵
  PID:14724
- C:\Windows\System32\uxBjWcF.exe
  C:\Windows\System32\uxBjWcF.exe
  2⤵
  PID:14752
- C:\Windows\System32\WXxnurD.exe
  C:\Windows\System32\WXxnurD.exe
  2⤵
  PID:14792
- C:\Windows\System32\TOnwjIf.exe
  C:\Windows\System32\TOnwjIf.exe
  2⤵
  PID:14828
- C:\Windows\System32\TCsuzFg.exe
  C:\Windows\System32\TCsuzFg.exe
  2⤵
  PID:14852
- C:\Windows\System32\ePqwzNW.exe
  C:\Windows\System32\ePqwzNW.exe
  2⤵
  PID:14884
- C:\Windows\System32\hLKNCTZ.exe
  C:\Windows\System32\hLKNCTZ.exe
  2⤵
  PID:14924
- C:\Windows\System32\zlEWyXb.exe
  C:\Windows\System32\zlEWyXb.exe
  2⤵
  PID:14952
- C:\Windows\System32\OveOqPN.exe
  C:\Windows\System32\OveOqPN.exe
  2⤵
  PID:14988
- C:\Windows\System32\xMvhlKK.exe
  C:\Windows\System32\xMvhlKK.exe
  2⤵
  PID:15032
- C:\Windows\System32\nvVHRGO.exe
  C:\Windows\System32\nvVHRGO.exe
  2⤵
  PID:15048
- C:\Windows\System32\JFwMspW.exe
  C:\Windows\System32\JFwMspW.exe
  2⤵
  PID:15092
- C:\Windows\System32\zKfnoqv.exe
  C:\Windows\System32\zKfnoqv.exe
  2⤵
  PID:15124
- C:\Windows\System32\ypojzen.exe
  C:\Windows\System32\ypojzen.exe
  2⤵
  PID:15148
- C:\Windows\System32\PVbqSXM.exe
  C:\Windows\System32\PVbqSXM.exe
  2⤵
  PID:15188
- C:\Windows\System32\jGTbFBa.exe
  C:\Windows\System32\jGTbFBa.exe
  2⤵
  PID:15212
- C:\Windows\System32\stDyucC.exe
  C:\Windows\System32\stDyucC.exe
  2⤵
  PID:15252
- C:\Windows\System32\FejYBBa.exe
  C:\Windows\System32\FejYBBa.exe
  2⤵
  PID:15288
- C:\Windows\System32\gUwYSyJ.exe
  C:\Windows\System32\gUwYSyJ.exe
  2⤵
  PID:15324
- C:\Windows\System32\GCRaBIg.exe
  C:\Windows\System32\GCRaBIg.exe
  2⤵
  PID:15352
- C:\Windows\System32\LiuXbeU.exe
  C:\Windows\System32\LiuXbeU.exe
  2⤵
  PID:14380
- C:\Windows\System32\VkbbtPl.exe
  C:\Windows\System32\VkbbtPl.exe
  2⤵
  PID:14440
- C:\Windows\System32\hEJWALM.exe
  C:\Windows\System32\hEJWALM.exe
  2⤵
  PID:14484
- C:\Windows\System32\CKOhNWM.exe
  C:\Windows\System32\CKOhNWM.exe
  2⤵
  PID:14568
- C:\Windows\System32\QitMcpt.exe
  C:\Windows\System32\QitMcpt.exe
  2⤵
  PID:14608
- C:\Windows\System32\TalBixG.exe
  C:\Windows\System32\TalBixG.exe
  2⤵
  PID:14668
- C:\Windows\System32\LpFHjiR.exe
  C:\Windows\System32\LpFHjiR.exe
  2⤵
  PID:14720
- C:\Windows\System32\sUZxcnd.exe
  C:\Windows\System32\sUZxcnd.exe
  2⤵
  PID:14772
- C:\Windows\System32\QGBADYv.exe
  C:\Windows\System32\QGBADYv.exe
  2⤵
  PID:14824
- C:\Windows\System32\vYbFRTm.exe
  C:\Windows\System32\vYbFRTm.exe
  2⤵
  PID:14888
- C:\Windows\System32\lXkilhZ.exe
  C:\Windows\System32\lXkilhZ.exe
  2⤵
  PID:14944
- C:\Windows\System32\sScwrUl.exe
  C:\Windows\System32\sScwrUl.exe
  2⤵
  PID:15004
- C:\Windows\System32\ataWcCd.exe
  C:\Windows\System32\ataWcCd.exe
  2⤵
  PID:15044
- C:\Windows\System32\LIgRXtU.exe
  C:\Windows\System32\LIgRXtU.exe
  2⤵
  PID:15112
- C:\Windows\System32\FLuvFjT.exe
  C:\Windows\System32\FLuvFjT.exe
  2⤵
  PID:15184
- C:\Windows\System32\SGXFqsU.exe
  C:\Windows\System32\SGXFqsU.exe
  2⤵
  PID:15228
- C:\Windows\System32\lkoLfbi.exe
  C:\Windows\System32\lkoLfbi.exe
  2⤵
  PID:15272
- C:\Windows\System32\kuCeBzC.exe
  C:\Windows\System32\kuCeBzC.exe
  2⤵
  PID:15332
- C:\Windows\System32\uJmnNov.exe
  C:\Windows\System32\uJmnNov.exe
  2⤵
  PID:14376
- C:\Windows\System32\woztYBV.exe
  C:\Windows\System32\woztYBV.exe
  2⤵
  PID:14464
- C:\Windows\System32\CLkqEFF.exe
  C:\Windows\System32\CLkqEFF.exe
  2⤵
  PID:14640
- C:\Windows\System32\DOTKOVH.exe
  C:\Windows\System32\DOTKOVH.exe
  2⤵
  PID:14804
- C:\Windows\System32\UtpTbTy.exe
  C:\Windows\System32\UtpTbTy.exe
  2⤵
  PID:14872
- C:\Windows\System32\HNHmVff.exe
  C:\Windows\System32\HNHmVff.exe
  2⤵
  PID:14972
- C:\Windows\System32\sHNWpUX.exe
  C:\Windows\System32\sHNWpUX.exe
  2⤵
  PID:15068
- C:\Windows\System32\NrMXWMV.exe
  C:\Windows\System32\NrMXWMV.exe
  2⤵
  PID:15144
- C:\Windows\System32\TWrSWRJ.exe
  C:\Windows\System32\TWrSWRJ.exe
  2⤵
  PID:15232
- C:\Windows\System32\nkkoQCh.exe
  C:\Windows\System32\nkkoQCh.exe
  2⤵
  PID:14348
- C:\Windows\System32\UhAzNci.exe
  C:\Windows\System32\UhAzNci.exe
  2⤵
  PID:14604
- C:\Windows\System32\AFwFJNf.exe
  C:\Windows\System32\AFwFJNf.exe
  2⤵
  PID:4660
- C:\Windows\System32\NcmPPFS.exe
  C:\Windows\System32\NcmPPFS.exe
  2⤵
  PID:14812
- C:\Windows\System32\VJPvGPW.exe
  C:\Windows\System32\VJPvGPW.exe
  2⤵
  PID:15012
- C:\Windows\System32\RDsjnPV.exe
  C:\Windows\System32\RDsjnPV.exe
  2⤵
  PID:15204
- C:\Windows\System32\eEbMKrJ.exe
  C:\Windows\System32\eEbMKrJ.exe
  2⤵
  PID:15348
- C:\Windows\System32\XttIHcJ.exe
  C:\Windows\System32\XttIHcJ.exe
  2⤵
  PID:1252
- C:\Windows\System32\GlwYnZv.exe
  C:\Windows\System32\GlwYnZv.exe
  2⤵
  PID:14868
- C:\Windows\System32\fysuuTl.exe
  C:\Windows\System32\fysuuTl.exe
  2⤵
  PID:15152
- C:\Windows\System32\tvmGUcG.exe
  C:\Windows\System32\tvmGUcG.exe
  2⤵
  PID:15312
- C:\Windows\System32\yyNepyo.exe
  C:\Windows\System32\yyNepyo.exe
  2⤵
  PID:14704
- C:\Windows\System32\ZCsHvrs.exe
  C:\Windows\System32\ZCsHvrs.exe
  2⤵
  PID:2020
- C:\Windows\System32\ZYSEBTp.exe
  C:\Windows\System32\ZYSEBTp.exe
  2⤵
  PID:3316
- C:\Windows\System32\tKBKcCQ.exe
  C:\Windows\System32\tKBKcCQ.exe
  2⤵
  PID:4424
- C:\Windows\System32\LYTIgMk.exe
  C:\Windows\System32\LYTIgMk.exe
  2⤵
  PID:15104
- C:\Windows\System32\KTHGeQN.exe
  C:\Windows\System32\KTHGeQN.exe
  2⤵
  PID:15304
- C:\Windows\System32\MdmEtnr.exe
  C:\Windows\System32\MdmEtnr.exe
  2⤵
  PID:15368
- C:\Windows\System32\FYDvTWe.exe
  C:\Windows\System32\FYDvTWe.exe
  2⤵
  PID:15388
- C:\Windows\System32\PGUFkIQ.exe
  C:\Windows\System32\PGUFkIQ.exe
  2⤵
  PID:15404
- C:\Windows\System32\DDOKEFb.exe
  C:\Windows\System32\DDOKEFb.exe
  2⤵
  PID:15428
- C:\Windows\System32\bEvKAIW.exe
  C:\Windows\System32\bEvKAIW.exe
  2⤵
  PID:15448
- C:\Windows\System32\gkEavcP.exe
  C:\Windows\System32\gkEavcP.exe
  2⤵
  PID:15472
- C:\Windows\System32\kQUoyKr.exe
  C:\Windows\System32\kQUoyKr.exe
  2⤵
  PID:15492
- C:\Windows\System32\RffXkrp.exe
  C:\Windows\System32\RffXkrp.exe
  2⤵
  PID:15512
- C:\Windows\System32\JomqvJz.exe
  C:\Windows\System32\JomqvJz.exe
  2⤵
  PID:15532
- C:\Windows\System32\zxRnuFv.exe
  C:\Windows\System32\zxRnuFv.exe
  2⤵
  PID:15552
- C:\Windows\System32\NsbEtta.exe
  C:\Windows\System32\NsbEtta.exe
  2⤵
  PID:15572
- C:\Windows\System32\YEwTDFF.exe
  C:\Windows\System32\YEwTDFF.exe
  2⤵
  PID:15592
- C:\Windows\System32\CcqodKB.exe
  C:\Windows\System32\CcqodKB.exe
  2⤵
  PID:15612
- C:\Windows\System32\KtYnzgp.exe
  C:\Windows\System32\KtYnzgp.exe
  2⤵
  PID:15632
- C:\Windows\System32\OaBpXuR.exe
  C:\Windows\System32\OaBpXuR.exe
  2⤵
  PID:15652
- C:\Windows\System32\SVFLNzS.exe
  C:\Windows\System32\SVFLNzS.exe
  2⤵
  PID:15672
- C:\Windows\System32\sigVmCt.exe
  C:\Windows\System32\sigVmCt.exe
  2⤵
  PID:15692
- C:\Windows\System32\GKDIOIg.exe
  C:\Windows\System32\GKDIOIg.exe
  2⤵
  PID:15712
- C:\Windows\System32\Gkgerxq.exe
  C:\Windows\System32\Gkgerxq.exe
  2⤵
  PID:15736
- C:\Windows\System32\xAnUwKR.exe
  C:\Windows\System32\xAnUwKR.exe
  2⤵
  PID:15760
- C:\Windows\System32\DswOLaF.exe
  C:\Windows\System32\DswOLaF.exe
  2⤵
  PID:15780
- C:\Windows\System32\diIxSsz.exe
  C:\Windows\System32\diIxSsz.exe
  2⤵
  PID:15800
- C:\Windows\System32\mkxbAjK.exe
  C:\Windows\System32\mkxbAjK.exe
  2⤵
  PID:15820
- C:\Windows\System32\ETpsAvv.exe
  C:\Windows\System32\ETpsAvv.exe
  2⤵
  PID:15840
- C:\Windows\System32\bZwlDZF.exe
  C:\Windows\System32\bZwlDZF.exe
  2⤵
  PID:15860
- C:\Windows\System32\HIesnTA.exe
  C:\Windows\System32\HIesnTA.exe
  2⤵
  PID:15880
- C:\Windows\System32\JuDsdVI.exe
  C:\Windows\System32\JuDsdVI.exe
  2⤵
  PID:15900
- C:\Windows\System32\OmfTKyj.exe
  C:\Windows\System32\OmfTKyj.exe
  2⤵
  PID:15920
- C:\Windows\System32\kdVSYZs.exe
  C:\Windows\System32\kdVSYZs.exe
  2⤵
  PID:15940
- C:\Windows\System32\apwhrbq.exe
  C:\Windows\System32\apwhrbq.exe
  2⤵
  PID:15964
- C:\Windows\System32\JuzDhAa.exe
  C:\Windows\System32\JuzDhAa.exe
  2⤵
  PID:15984
- C:\Windows\System32\NIAZQtV.exe
  C:\Windows\System32\NIAZQtV.exe
  2⤵
  PID:16004
- C:\Windows\System32\vdUurjC.exe
  C:\Windows\System32\vdUurjC.exe
  2⤵
  PID:16024
- C:\Windows\System32\bbrbtLz.exe
  C:\Windows\System32\bbrbtLz.exe
  2⤵
  PID:16044
- C:\Windows\System32\DmxkMoe.exe
  C:\Windows\System32\DmxkMoe.exe
  2⤵
  PID:16064
- C:\Windows\System32\dOmkcNs.exe
  C:\Windows\System32\dOmkcNs.exe
  2⤵
  PID:16084
- C:\Windows\System32\MUdnjhc.exe
  C:\Windows\System32\MUdnjhc.exe
  2⤵
  PID:16104
- C:\Windows\System32\puYpeiQ.exe
  C:\Windows\System32\puYpeiQ.exe
  2⤵
  PID:16124
- C:\Windows\System32\ajeFTds.exe
  C:\Windows\System32\ajeFTds.exe
  2⤵
  PID:16144
- C:\Windows\System32\bNXUWKQ.exe
  C:\Windows\System32\bNXUWKQ.exe
  2⤵
  PID:16164
- C:\Windows\System32\KyZVDtR.exe
  C:\Windows\System32\KyZVDtR.exe
  2⤵
  PID:16184
- C:\Windows\System32\TckYBPg.exe
  C:\Windows\System32\TckYBPg.exe
  2⤵
  PID:16204
- C:\Windows\System32\cchlKAV.exe
  C:\Windows\System32\cchlKAV.exe
  2⤵
  PID:16224
- C:\Windows\System32\wgUsZvM.exe
  C:\Windows\System32\wgUsZvM.exe
  2⤵
  PID:16244
- C:\Windows\System32\XMQxTYG.exe
  C:\Windows\System32\XMQxTYG.exe
  2⤵
  PID:16268
- C:\Windows\System32\hLfqsYm.exe
  C:\Windows\System32\hLfqsYm.exe
  2⤵
  PID:16284
- C:\Windows\System32\uhxafYH.exe
  C:\Windows\System32\uhxafYH.exe
  2⤵
  PID:16304
- C:\Windows\System32\ExZIjIk.exe
  C:\Windows\System32\ExZIjIk.exe
  2⤵
  PID:16324
- C:\Windows\System32\kNsLxZZ.exe
  C:\Windows\System32\kNsLxZZ.exe
  2⤵
  PID:16344
- C:\Windows\System32\tZMbvay.exe
  C:\Windows\System32\tZMbvay.exe
  2⤵
  PID:16364
- C:\Windows\System32\foegOpB.exe
  C:\Windows\System32\foegOpB.exe
  2⤵
  PID:15028
- C:\Windows\System32\jydypxo.exe
  C:\Windows\System32\jydypxo.exe
  2⤵
  PID:4632
- C:\Windows\System32\DXWGiip.exe
  C:\Windows\System32\DXWGiip.exe
  2⤵
  PID:15416
- C:\Windows\System32\YVMTITo.exe
  C:\Windows\System32\YVMTITo.exe
  2⤵
  PID:15456

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:13712

C:\Windows\system32\sihost.exe
sihost.exe
1⤵
PID:14200

C:\Windows\system32\sihost.exe
sihost.exe
1⤵
PID:13332

C:\Windows\system32\sihost.exe
sihost.exe
1⤵
PID:13088

C:\Windows\system32\sihost.exe
sihost.exe
1⤵
PID:13424

C:\Windows\system32\sihost.exe
sihost.exe
1⤵
PID:13500

C:\Windows\system32\sihost.exe
sihost.exe
1⤵
PID:13544

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\ByQnnQn.exe

Filesize
3.1MB

MD5
c40cb9844efa1e12f76082c7ef61d879

SHA1
5800b7701f692e6c3d8110be0603d4bc07a18638

SHA256
9dee44503b4b871803dd0776eda4ec5e79a0bdd81626b854cd24ae637312cf9b

SHA512
9238d705b9bd2901fb88f6b5fae97f5b2a58ddac23802fb307fe849fd644de9f5aa6ad16cf99e919f46ecb436e42aafaed6fcf7e4fe6cafe2f5a0ed98574f1b4

Download Submit
C:\Windows\System32\EoHKTfI.exe

Filesize
3.1MB

MD5
26fc38b4bfef7e412c09c9d64fbfdafa

SHA1
3199bfd454fb4c8d6a9e331d9d78abcde9febd77

SHA256
d0c71931e3d99a04ae30a4eae09b7d007842cd75661626f3e4603b2b55c573f0

SHA512
c816900d8f9254df99a293d6b4a0d9a56534b98f046b69f3afa75d925e3b8633e5f9927ed9aba7b5e8578092034ba11e112139637c3ea930f4405bd782f211e9

Download Submit
C:\Windows\System32\EqNdBEF.exe

Filesize
3.1MB

MD5
811494691737736491ce14c4ecf1fd77

SHA1
38b4669c333c37b76d42aa6d83789fd9f3bc0691

SHA256
47f558657e76f9a081e9428dbb37c9516a305458ce88e08db7afe8de6cf094c1

SHA512
e8422b3957ab907fe6d0d7f575c9b7686a8e8f28d61d1e5a1b290f4b0767728612cc5b8576115c30f24985e0aa12934997d2a9b66c7b2e13daa7feddba83acd3

Download Submit
C:\Windows\System32\GAIklUs.exe

Filesize
3.1MB

MD5
5e855362fef4b7b018dd1a2737e6d955

SHA1
8a9702576ae627389d3e8c600129dba3f527957f

SHA256
c4898e610390cf19c2ad5a86a767c7e464a912dd55bcd0ca5549e07bf97fee4a

SHA512
95d940584ec1d25b4fbf9d4ea28709b1fd5d1d40bfa0172ffa60f11512affd9e82018e0346a633522b5e8375dc0044ec3ac88b1383325feb96c1b0dcbfb9d849

Download Submit
C:\Windows\System32\HWdGGIj.exe

Filesize
3.1MB

MD5
bbebb4b3f0b699cf18a5703dabac1302

SHA1
ab0b3e2e34dc05962aa0f44dded125bb47acd8bb

SHA256
0a37957477f81025f69f193a7ca84a2de34a5a81d51e9c94c721bfbede43066c

SHA512
46b05ae8f56080432d603fd0e6986c946f8355156679b4f21343616bb29758aa2a9cf62b6898a3e8b1f98a7551e7f1ad46a550789d256a558433ed45dcaeed1a

Download Submit
C:\Windows\System32\KbwPJxk.exe

Filesize
3.1MB

MD5
c14f0a8d36e94a1aa62fbe30c4e0ad5f

SHA1
308d6caed171b9674bca63480ad9c73203bdb8ca

SHA256
7cc3240c467da9bdc512ccad927bbb00f5c364767265fb66cf0e0fcedb10aa73

SHA512
24bcb75b73f466ea687a4713e123f6a52ea91ad66c03389249d1bd6ec2ee8ce2e821254e863f952492cdf073b705491a0b25a5b6f70b21ede43f0bac92944aa6

Download Submit
C:\Windows\System32\LRtWjof.exe

Filesize
3.1MB

MD5
6a982b209e40d318378e29093caa488c

SHA1
891a55586da77f46c6caac2d1c958a2b0ba64e49

SHA256
f89f1dc5810f4b2f0a5406a96735eba1354619cd780faae6585e5bea6807cd37

SHA512
60f2efb6826d79233ace63aa0e10d537149298ca3c408a9044c50e9d76b4eac42d5eb96162a8ddf5fa88c668f5f04aba215dbd042be9ddaeee813ba3fe16c008

Download Submit
C:\Windows\System32\LvwYCRO.exe

Filesize
3.1MB

MD5
6cba4fa17f4ac9849013fbe6f5e7dfac

SHA1
c6e8e8e132c6b41c10b11cd34e7cf4dbe2ef7649

SHA256
b35ea42b1bf22ea18ce6aabbcacf0fe5c660a3b5325d6f494711e8b321c02ed3

SHA512
c2410faadb3b0c9abb20eaf6ccf94fccab22b0432eed03b78f84094b51d975cf6f2172887582b20196ee4f3e18a4bc2ab7f52497502fb4b76b7d12044b359616

Download Submit
C:\Windows\System32\PzKafhL.exe

Filesize
3.1MB

MD5
06b6450b0e332b41715fb39559f24bd0

SHA1
3e3cd8185f3646ba6a4055a1b3d2858d4843687b

SHA256
f408bda1ff1db2ab1ede75da69643ef083e199a79092d9298926fb266706852e

SHA512
20344e8d724a96b0ec68e3a328946aa736d6ced040513b46746dab0660c0fb1bd5a3a4732db2991e53a0db8bdf07adfb09fde8b3d2452419024064dabc661dc6

Download Submit
C:\Windows\System32\VMPaXUI.exe

Filesize
3.1MB

MD5
5c873ccff0aea9d093072861b8a3f9ad

SHA1
d265a11e52e807feda568721f12b035c93b22137

SHA256
eed283688c720fa53b01e00b70aded2c157437cf30afd97c0f6512874461d1a9

SHA512
51d2adb42f4603c42fd082474d7f179b8250fdc1f9cbfeb08fdf5b78c2cd0fbfc93a150c0bcc0facb5decfa34f6840f80dead46094dc2be3e724412085238704

Download Submit
C:\Windows\System32\XjnCYPe.exe

Filesize
3.1MB

MD5
73f3acda48b6cc3111da073302660c9b

SHA1
faadeef8fb45ded540bf64679ef9df18e139483b

SHA256
1472b38fdbad60357f10973cc6c0ebe3320bee1d29688541d15c583aecc4c29d

SHA512
eb4391d70d72da02986eb2bdbc0b8ae3051f014b79d893976f38b6f0f584d39990ef19af2b4866c3e35971d90b12ca75bb805207aed29cb5779d7c99dab8d407

Download Submit
C:\Windows\System32\YDmLUeM.exe

Filesize
3.1MB

MD5
c4ff5d00f9d17adfb05e6bc873698967

SHA1
3e611ed8087218332121e47c527f6a2c6d4c1902

SHA256
56a6752b81cd5616e0f942fa4f724ac6c99dd3729eae8c1b239f010b4ef4296c

SHA512
1e5d4987bd5836b6dba5e46798d12050db5b700858b59aa103abbaf4b0843b0fb4a7ca267d2a23f86cecd4c7ca52dcdd387f7d0ecef217b1577c03194d7b4197

Download Submit
C:\Windows\System32\dkwgYcF.exe

Filesize
3.1MB

MD5
c6b3c0a5f707448af05885ec6730fe53

SHA1
6581f630da5b8ce2ea1e01a6c49c3e3b6f8fa60c

SHA256
4500162dcb41a6bc5ad78717d857a4b8cf2593bb856f1ba63a1d9c5f08727f80

SHA512
7e2cd6c76bb41fb945a82f11f783379af2f1f76fb397a8ec2d5d64262ecac2b16afca18b08981cb7ec71e9a2028ed7c6b15cb095f8c41fcd8923c05a1993a886

Download Submit
C:\Windows\System32\ghwbYdY.exe

Filesize
3.1MB

MD5
54530e37484b2abf89ba5f3323c11fd4

SHA1
82c61d25b0c382e795771b6889f7d147aaa3e937

SHA256
3cc2cdf6d2a33cd2608cc1e8c65ddbe2d76fd606527d1effc1e03980adbfe6b6

SHA512
b3fce4208ed68ff4710ad55fb42cf836656866a2cf16e03169556fa16b08471cfb3b1eeca3bb4ccf49ae855e6e60ba270c72fc2059358d2f2027e81a1b94eeb9

Download Submit
C:\Windows\System32\jacxOyc.exe

Filesize
3.1MB

MD5
17d54f6ce8c54a1433997534cf81b9e9

SHA1
9480a38995fa173b5929c586e91f675de1540000

SHA256
3563778f96b717df6e0c5f1a3a032d3057170ab3beedc37dd014e9289f01ae27

SHA512
f77be7ef6ff33809e5b72511132f79f64d8758b9e23f67cd59d5f903a30fe2d27ae35e0878a0597e3a55879cec9324b2fd53933c1d88482cfc165b7a78d925f9

Download Submit
C:\Windows\System32\kGXXuzi.exe

Filesize
3.1MB

MD5
2d0546a34b8f7c2ab85313c8d9bb8622

SHA1
6befa5d99bce8ad4683b2c55c6ba58a2d43a5d45

SHA256
82962dd864873450746b51b981ec448839a85099d9e67d1106175993a926ac1a

SHA512
be272c08f673e5132195ef445db801b81b4a11d749d78428da33ba8ff6328ad7b0ab0265740ed46ec91d6f4089d8ef729ba3200149656febdae3c04d4353047f

Download Submit
C:\Windows\System32\kxvnYLt.exe

Filesize
3.1MB

MD5
104963487e0c1103b9e0a5ad992dff3f

SHA1
30df284d78af3f8b8e96032480cd1e250538e640

SHA256
32e675d65fc8eae2febb6cf829c64df5ddc6de83b6fa45cdd7559c1b9b18a6e8

SHA512
1e571a0f055d8f826835a8daae894c9e4ba3a1ef28b9100a7ce0a1e6d9ed2bc976c3b2480401157ccbfcf01ee5050844e93a3ef86db3f8b901626ee300c351e5

Download Submit
C:\Windows\System32\liwDYqS.exe

Filesize
3.1MB

MD5
4a0e07c0a05eb3ee30c379ff48a336d1

SHA1
7d4d7ecb991a6d2fda4c5448f8a3a8e6c2fe4a9c

SHA256
7644ce84c5d6d027ee8417910edd07c4d9e926ffd284fe718d3a8df08be5a2d7

SHA512
d3ee1a28f4b0c5b0fd62e69e7b07a069a3399ed322555bb105f80e23ac71133292d21ada17272776c52e568a8e20e72ea013d31a84f8de69e8f7d63b3245fbba

Download Submit
C:\Windows\System32\mFVHTAG.exe

Filesize
3.1MB

MD5
229c2e4ec021809175e5fbdff4048edb

SHA1
6127e4a54bba4d3e860d8f8722f10b799ef74013

SHA256
0c132c812facb13f2669a42ebdbad5176d72a536c13cc75bcb5b05accd750da6

SHA512
c4faa6a68c6069a7bae3dc8a65e3c678726876a12675d6a4d42340da7cc81a75f494c2603f998f86f669d2c7694137a6907bcc3338cbcf7952bac8d8a31ba45f

Download Submit
C:\Windows\System32\nWoSHSW.exe

Filesize
3.1MB

MD5
368e186c507a877266266912f9a91ee8

SHA1
f33dd9deb80fbc160f390e239f3ea2cf0824e948

SHA256
894c1f466beb3db83ea288a4ccf480a25ef2bd20232a6649453a5bb80232484d

SHA512
0fbd5dd0afd251133791582fee465044435d21aa1fa17469fd143d78e58958b47821638574f770af5826cb564d8d199ae918595de3145f62b39fe19578bdfd53

Download Submit
C:\Windows\System32\oDhvWGS.exe

Filesize
3.1MB

MD5
5a99b57ad3117d7090220f9806054bf8

SHA1
b4657e7dabee48255a69d77912540c9332b14f96

SHA256
8f4305d10902ba8e60f85aab586a6e30db74028f95ebf668e13b28677b3a9dcc

SHA512
745fb21b6db41453da3db890858bbcb88cc3e694bf353ffa1c4195abe191877f7e4e7a6bd19b39bb99854e72ec0224bd5f3fcede14fac774cdf03fccfcbbc2db

Download Submit
C:\Windows\System32\ozQGBDq.exe

Filesize
3.1MB

MD5
d0de50442c74154c3b14dcb24c58c0e1

SHA1
d723853dfcffed45acc510a6ec6040ffd5e5997b

SHA256
b27a8f145027893aeeb157956c718bf1a13dc5c787083d33d787d18132761aa2

SHA512
16433c47a9926b71ba525dd26bb1c99736bf0a8cee8b7e0d5d7f4a19a216a61daa80813d7dbd7beb655aa0981d49ec5dce6ca1ea4fa040cfbc68f4e1335f50c6

Download Submit
C:\Windows\System32\qxFFrXx.exe

Filesize
3.1MB

MD5
3f0fa4a102798cdeedee199acf9e8888

SHA1
867ff8fb2e654baf2a3d5bfd156ec9cce6fde806

SHA256
c8c271cde391c2966d1da649ec2ac31e8da6bc0f268e1cdbeaa94f04d8b140ca

SHA512
0af46b28623028fc86d7098b6a189b9933e050272ff704987a5196f06f58da7cb5d282e0a24410546b99ef19b48955708457679fd621429b1556591d7fa49394

Download Submit
C:\Windows\System32\rBTPEwz.exe

Filesize
3.1MB

MD5
13e29391ba12098a30e2bfc458a01a05

SHA1
9f964841d44fbaae8113a68e30185e40b0b7fc7d

SHA256
28d161fc339bcc6d6dd118933a8c1185e4e6974d30a61a2026e3cbfca394479e

SHA512
e3b2ba550327c48a16a9bbcf5fac1124b4942251e0c23698a37dbe7741461719459b25f6ca17092ee8111f5861c42bd06b83f339e8af60f75f61079a5ecc64c9

Download Submit
C:\Windows\System32\rEQjwBi.exe

Filesize
3.1MB

MD5
db6e09ff1f94916eb8f5a8d75c0d170b

SHA1
c8b8011b8958fced1951cfb981d9df82a6e1824e

SHA256
76f4675c666027d47cd1b50e2f39bf599abf169abe49d485a916e9cc4b4befe7

SHA512
4593a97c06924552a779a28528905845481ad6cda842ab15e939edf1b2ef514fb2acf9168792e9612e3a2b7666b12c25e0d2d4f6788ab22bcf48ed21ee7bf3da

Download Submit
C:\Windows\System32\rzZvYuG.exe

Filesize
3.1MB

MD5
32b7cc2975bdd429e0e211082ee755d4

SHA1
9f81939ec213fe98835a04f1de261e79c8a0f1a3

SHA256
7d40cf148ba66958985502f2f5b2229cda3680edc1cb9d3b324595b175eb329b

SHA512
4c69abe0d2a321e7b0c2c53589973200d22ebd399f232ca247acd115b065d3e3cda98f60174d48cda7744d7453616f7eca530914fd86ccfc98eb2e7466cd3af1

Download Submit
C:\Windows\System32\taizROB.exe

Filesize
3.1MB

MD5
f1b10f7c370432213f2294c97b8c98ea

SHA1
8ab7551845f831ca8a8d30edd85a61d9d3a58002

SHA256
f0f1082c77628c23ff612a1b8a2443ceb90129ffd94e9698c836651b2ef8d7c2

SHA512
114b479b3bf38ab40687c5b4bac8e0525ca551749f9e3341e4e0f3ac5a447fc0c91396e80b5fad154689c38b62906d7a7cf07b7da3e9018656ac808d2a7e5ceb

Download Submit
C:\Windows\System32\ukIkTWg.exe

Filesize
3.1MB

MD5
38dc0c3d8e6407d947835a4034d4378e

SHA1
118ee60763d97870f2742b084d8ea54f33994685

SHA256
c69ce8fd26470aef5ab003ec083c85417e3cc53ac5a9bd6ebd4a59a7b8c6f22a

SHA512
a93e433a44bf78f312d63ba81d22c560e812f6940730564fc009825b1dcc157831808f5654a3da6230f3257bc5d2e8a6276ddd8f7d73901ec3e9701719d16f23

Download Submit
C:\Windows\System32\vYDhTAz.exe

Filesize
3.1MB

MD5
06f9d0c7d4359effca979a002b240a81

SHA1
e58ae03f550d9d010caa78cb69b4cf3d2a2d0f90

SHA256
388ff53b58022af981eaebb830f4ae1d5173bd6794e6a93e089dfeecb5ab6caa

SHA512
28fa0781403c09008f11fd8677505e270952b5e28fd891e92e8d4b5dcfbf0499154423e6d42689b2c6167a37bb2c39aa73e01ec72bac6a3a32287a378867a208

Download Submit
C:\Windows\System32\wJkoGmR.exe

Filesize
3.1MB

MD5
1feb5c24dbe9762f6c815c72b7ca042e

SHA1
b8258bb54505730b365fa6513a824ddd77e3c44d

SHA256
2091bb539c6f30e631e7451b665b834bca8be4f1a56fbaa54d148113f4e5373a

SHA512
bcdf14452a28dd750a5e87508a405a904ae8b2d615007866b9ee58461e15d909ea79066711457262f8894ffe2cbddeb39a98178f10c262af02b76bff2701dd77

Download Submit
C:\Windows\System32\xKNOPPb.exe

Filesize
3.1MB

MD5
812b79a63af16af120f88c1d74d597a2

SHA1
01e03a4fd66cc7178e5db3a7ab83acc7d617c97f

SHA256
a1ab2987d09664cb1c59b4ed1e3316ef29dce7c1ec6da3c55712375386ded095

SHA512
6aea9d5937e76dbd77f1adf42a047b25b4314ea3ca134f342757d4c9ea359dd5c552bb5703186b8dfac3e04c8f3a34787ac9090e8e157f89019b3ddcf32a647a

Download Submit
C:\Windows\System32\zXHqzPO.exe

Filesize
3.1MB

MD5
849cb34b9cc5f437e167d5f95c1f6755

SHA1
e2879e14a1c64a0bc8878c1e098cd32b35dbf1c2

SHA256
97ac3968a69be68bdfa3664d592a775a7cfcbe9b534bf98eaa0fa13da1b53cdf

SHA512
5ef50598996da186bcb992dfbab5808d77894e63a967ebed1ef5b733940bebbbc4643116c27bb11f9961de33ffdf867b2a41c4397bb01160bfc3c059c3b50313

Download Submit
memory/220-19-0x00007FF737F00000-0x00007FF7382F5000-memory.dmp

Filesize
4.0MB

Download
memory/464-601-0x00007FF76E950000-0x00007FF76ED45000-memory.dmp

Filesize
4.0MB

Download
memory/552-616-0x00007FF61AE00000-0x00007FF61B1F5000-memory.dmp

Filesize
4.0MB

Download
memory/1056-535-0x00007FF6D5050000-0x00007FF6D5445000-memory.dmp

Filesize
4.0MB

Download
memory/1072-576-0x00007FF625510000-0x00007FF625905000-memory.dmp

Filesize
4.0MB

Download
memory/1388-550-0x00007FF71ACC0000-0x00007FF71B0B5000-memory.dmp

Filesize
4.0MB

Download
memory/1544-548-0x00007FF7DF5E0000-0x00007FF7DF9D5000-memory.dmp

Filesize
4.0MB

Download
memory/1676-566-0x00007FF790260000-0x00007FF790655000-memory.dmp

Filesize
4.0MB

Download
memory/1792-588-0x00007FF7B4570000-0x00007FF7B4965000-memory.dmp

Filesize
4.0MB

Download
memory/1972-596-0x00007FF631810000-0x00007FF631C05000-memory.dmp

Filesize
4.0MB

Download
memory/2104-533-0x00007FF758230000-0x00007FF758625000-memory.dmp

Filesize
4.0MB

Download
memory/2304-607-0x00007FF7DADE0000-0x00007FF7DB1D5000-memory.dmp

Filesize
4.0MB

Download
memory/2640-544-0x00007FF7709D0000-0x00007FF770DC5000-memory.dmp

Filesize
4.0MB

Download
memory/2744-523-0x00007FF635B40000-0x00007FF635F35000-memory.dmp

Filesize
4.0MB

Download
memory/3148-580-0x00007FF68A3F0000-0x00007FF68A7E5000-memory.dmp

Filesize
4.0MB

Download
memory/3184-560-0x00007FF658610000-0x00007FF658A05000-memory.dmp

Filesize
4.0MB

Download
memory/4200-563-0x00007FF7973E0000-0x00007FF7977D5000-memory.dmp

Filesize
4.0MB

Download
memory/4320-554-0x00007FF644F00000-0x00007FF6452F5000-memory.dmp

Filesize
4.0MB

Download
memory/4512-25-0x00007FF7C8A00000-0x00007FF7C8DF5000-memory.dmp

Filesize
4.0MB

Download
memory/4576-1-0x00000224C0650000-0x00000224C0660000-memory.dmp

Filesize
64KB

Download
memory/4576-0-0x00007FF783790000-0x00007FF783B85000-memory.dmp

Filesize
4.0MB

Download
memory/4576-2127-0x00007FF783790000-0x00007FF783B85000-memory.dmp

Filesize
4.0MB

Download
memory/4576-2595-0x00007FF783790000-0x00007FF783B85000-memory.dmp

Filesize
4.0MB

Download
memory/4912-528-0x00007FF6AE710000-0x00007FF6AEB05000-memory.dmp

Filesize
4.0MB

Download
memory/4920-13-0x00007FF7062B0000-0x00007FF7066A5000-memory.dmp

Filesize
4.0MB

Download
memory/5004-541-0x00007FF6BE960000-0x00007FF6BED55000-memory.dmp

Filesize
4.0MB

Download
memory/5008-612-0x00007FF7F9DB0000-0x00007FF7FA1A5000-memory.dmp

Filesize
4.0MB

Download
memory/5068-584-0x00007FF70D460000-0x00007FF70D855000-memory.dmp

Filesize
4.0MB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads