xmrig | 3e45e6ede785bc4e9bac24905212e7bd85a3633172582d25a27d1e28dd1b0880

Analysis

max time kernel
125s
max time network
144s
platform
windows10-2004_x64
resource
win10v2004-20240508-en
resource tags

arch:x64arch:x86image:win10v2004-20240508-enlocale:en-usos:windows10-2004-x64system
submitted
15/05/2024, 05:15

Sharing

Copy URL Twitter E-mail

Report Analysis Logs

General

Target

872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
Size

3.1MB
MD5

872904e215ecf2130cfd82ada017e8a0
SHA1

e9afa8c78a549d45e820dcb3e129aef77efe1b89
SHA256

3e45e6ede785bc4e9bac24905212e7bd85a3633172582d25a27d1e28dd1b0880
SHA512

4472253443745cb06a6d41ed1561ea71ebc4b980f3fc907108ff520e1ee25c49d8b9c22a1174d04c7c03291f2ebf5e1df3ebe8300991467860a5697d21eac9ac
SSDEEP

98304:N0GnJMOWPClFdx6e0EALKWVTffZiPAcRq6jHjc40q:NFWPClFkq

Score

10^/10

xmrig miner upx

Malware Config

Signatures

xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 64 IoCs

miner

resource	yara_rule
behavioral2/memory/212-0-0x00007FF7E5730000-0x00007FF7E5B25000-memory.dmp	xmrig
behavioral2/files/0x000900000002328e-5.dat	xmrig
behavioral2/files/0x00090000000233f8-12.dat	xmrig
behavioral2/files/0x0007000000023406-15.dat	xmrig
behavioral2/files/0x0007000000023407-25.dat	xmrig
behavioral2/files/0x0007000000023408-30.dat	xmrig
behavioral2/files/0x0007000000023409-33.dat	xmrig
behavioral2/files/0x000700000002340a-38.dat	xmrig
behavioral2/files/0x000700000002340e-60.dat	xmrig
behavioral2/files/0x0007000000023411-75.dat	xmrig
behavioral2/files/0x0007000000023413-83.dat	xmrig
behavioral2/files/0x0007000000023415-93.dat	xmrig
behavioral2/files/0x0007000000023419-115.dat	xmrig
behavioral2/files/0x000700000002341c-133.dat	xmrig
behavioral2/files/0x0007000000023424-166.dat	xmrig
behavioral2/files/0x0007000000023422-163.dat	xmrig
behavioral2/files/0x0007000000023423-161.dat	xmrig
behavioral2/files/0x0007000000023421-158.dat	xmrig
behavioral2/files/0x0007000000023420-153.dat	xmrig
behavioral2/files/0x000700000002341f-148.dat	xmrig
behavioral2/files/0x000700000002341e-143.dat	xmrig
behavioral2/files/0x000700000002341d-138.dat	xmrig
behavioral2/files/0x000700000002341b-125.dat	xmrig
behavioral2/files/0x000700000002341a-120.dat	xmrig
behavioral2/files/0x0007000000023418-110.dat	xmrig
behavioral2/files/0x0007000000023417-105.dat	xmrig
behavioral2/files/0x0007000000023416-100.dat	xmrig
behavioral2/files/0x0007000000023414-90.dat	xmrig
behavioral2/files/0x0007000000023412-80.dat	xmrig
behavioral2/files/0x0007000000023410-70.dat	xmrig
behavioral2/files/0x000700000002340f-65.dat	xmrig
behavioral2/files/0x000700000002340d-55.dat	xmrig
behavioral2/files/0x000700000002340c-50.dat	xmrig
behavioral2/files/0x000700000002340b-45.dat	xmrig
behavioral2/memory/3012-23-0x00007FF7FCDE0000-0x00007FF7FD1D5000-memory.dmp	xmrig
behavioral2/memory/4996-22-0x00007FF6C71A0000-0x00007FF6C7595000-memory.dmp	xmrig
behavioral2/memory/1764-20-0x00007FF7FA940000-0x00007FF7FAD35000-memory.dmp	xmrig
behavioral2/memory/2720-10-0x00007FF6E12E0000-0x00007FF6E16D5000-memory.dmp	xmrig
behavioral2/memory/3776-826-0x00007FF75E140000-0x00007FF75E535000-memory.dmp	xmrig
behavioral2/memory/5116-823-0x00007FF69F340000-0x00007FF69F735000-memory.dmp	xmrig
behavioral2/memory/4224-834-0x00007FF710250000-0x00007FF710645000-memory.dmp	xmrig
behavioral2/memory/4728-830-0x00007FF7B7BB0000-0x00007FF7B7FA5000-memory.dmp	xmrig
behavioral2/memory/4708-843-0x00007FF704400000-0x00007FF7047F5000-memory.dmp	xmrig
behavioral2/memory/2288-880-0x00007FF693340000-0x00007FF693735000-memory.dmp	xmrig
behavioral2/memory/1744-889-0x00007FF619EE0000-0x00007FF61A2D5000-memory.dmp	xmrig
behavioral2/memory/1296-872-0x00007FF75E360000-0x00007FF75E755000-memory.dmp	xmrig
behavioral2/memory/2424-867-0x00007FF717E90000-0x00007FF718285000-memory.dmp	xmrig
behavioral2/memory/548-864-0x00007FF78AD70000-0x00007FF78B165000-memory.dmp	xmrig
behavioral2/memory/464-848-0x00007FF6EFA50000-0x00007FF6EFE45000-memory.dmp	xmrig
behavioral2/memory/2492-932-0x00007FF701300000-0x00007FF7016F5000-memory.dmp	xmrig
behavioral2/memory/3256-936-0x00007FF680650000-0x00007FF680A45000-memory.dmp	xmrig
behavioral2/memory/3576-948-0x00007FF6FE2F0000-0x00007FF6FE6E5000-memory.dmp	xmrig
behavioral2/memory/516-940-0x00007FF661860000-0x00007FF661C55000-memory.dmp	xmrig
behavioral2/memory/4092-955-0x00007FF71C060000-0x00007FF71C455000-memory.dmp	xmrig
behavioral2/memory/4748-954-0x00007FF78BAE0000-0x00007FF78BED5000-memory.dmp	xmrig
behavioral2/memory/1532-965-0x00007FF7C0AA0000-0x00007FF7C0E95000-memory.dmp	xmrig
behavioral2/memory/1068-962-0x00007FF760640000-0x00007FF760A35000-memory.dmp	xmrig
behavioral2/memory/2684-958-0x00007FF6AD470000-0x00007FF6AD865000-memory.dmp	xmrig
behavioral2/memory/2720-1932-0x00007FF6E12E0000-0x00007FF6E16D5000-memory.dmp	xmrig
behavioral2/memory/1764-1933-0x00007FF7FA940000-0x00007FF7FAD35000-memory.dmp	xmrig
behavioral2/memory/3012-1934-0x00007FF7FCDE0000-0x00007FF7FD1D5000-memory.dmp	xmrig
behavioral2/memory/2720-1935-0x00007FF6E12E0000-0x00007FF6E16D5000-memory.dmp	xmrig
behavioral2/memory/4996-1936-0x00007FF6C71A0000-0x00007FF6C7595000-memory.dmp	xmrig
behavioral2/memory/3012-1938-0x00007FF7FCDE0000-0x00007FF7FD1D5000-memory.dmp	xmrig

Executes dropped EXE 64 IoCs

pid	Process
2720	nMGxsZv.exe
1764	CvgUUOG.exe
4996	KhUuAlB.exe
3012	HxjWLbq.exe
5116	wCqOISX.exe
3776	HLhzDDE.exe
4728	OGpSItz.exe
4224	vtXnENU.exe
4708	ULVUvKV.exe
464	jskfPHh.exe
548	KdGWMwQ.exe
2424	WRHfPnL.exe
1296	GQjGcdT.exe
2288	diqXVPI.exe
1744	XsXahdD.exe
2492	KfveTNq.exe
3256	pgQrDLn.exe
516	SGxaLNG.exe
3576	mlClocI.exe
4748	MkaLcsc.exe
4092	laUruOo.exe
2684	wLyLudi.exe
1068	rjtgcTQ.exe
1532	cnvmyhc.exe
2652	VdTOntJ.exe
884	klYrJQj.exe
652	YGdnmCx.exe
4480	tPzFhxC.exe
2816	bSxxmZF.exe
3524	SLfMxpc.exe
3248	oKAYwvP.exe
1712	UeJCORF.exe
2168	MkweYnY.exe
4512	AKmKbTe.exe
3832	QZDARWm.exe
4624	OSnbDdy.exe
2144	OazODIm.exe
1824	CigjeCL.exe
3052	WfCevTo.exe
5032	jnsrNjS.exe
2352	WdpALnu.exe
4952	lIREvWn.exe
4588	rAkvowH.exe
3364	LWWCosi.exe
1596	jycUSVw.exe
4124	mGyBGCx.exe
1072	FMNazaN.exe
4764	RBRSsIm.exe
556	zhIqSXk.exe
2148	HAPtwyC.exe
208	lVtsgtS.exe
2096	FPrusGJ.exe
1316	zAzTvHF.exe
1800	gYotkOp.exe
2016	uuYhxYv.exe
2152	fLsqMUW.exe
2068	wXUSbgu.exe
544	lKOTstx.exe
2572	cHjHsRY.exe
60	zNSFWkl.exe
4628	myJomtO.exe
4636	ShxJnbP.exe
4776	skhapqV.exe
3092	EuTyCci.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/212-0-0x00007FF7E5730000-0x00007FF7E5B25000-memory.dmp	upx
behavioral2/files/0x000900000002328e-5.dat	upx
behavioral2/files/0x00090000000233f8-12.dat	upx
behavioral2/files/0x0007000000023406-15.dat	upx
behavioral2/files/0x0007000000023407-25.dat	upx
behavioral2/files/0x0007000000023408-30.dat	upx
behavioral2/files/0x0007000000023409-33.dat	upx
behavioral2/files/0x000700000002340a-38.dat	upx
behavioral2/files/0x000700000002340e-60.dat	upx
behavioral2/files/0x0007000000023411-75.dat	upx
behavioral2/files/0x0007000000023413-83.dat	upx
behavioral2/files/0x0007000000023415-93.dat	upx
behavioral2/files/0x0007000000023419-115.dat	upx
behavioral2/files/0x000700000002341c-133.dat	upx
behavioral2/files/0x0007000000023424-166.dat	upx
behavioral2/files/0x0007000000023422-163.dat	upx
behavioral2/files/0x0007000000023423-161.dat	upx
behavioral2/files/0x0007000000023421-158.dat	upx
behavioral2/files/0x0007000000023420-153.dat	upx
behavioral2/files/0x000700000002341f-148.dat	upx
behavioral2/files/0x000700000002341e-143.dat	upx
behavioral2/files/0x000700000002341d-138.dat	upx
behavioral2/files/0x000700000002341b-125.dat	upx
behavioral2/files/0x000700000002341a-120.dat	upx
behavioral2/files/0x0007000000023418-110.dat	upx
behavioral2/files/0x0007000000023417-105.dat	upx
behavioral2/files/0x0007000000023416-100.dat	upx
behavioral2/files/0x0007000000023414-90.dat	upx
behavioral2/files/0x0007000000023412-80.dat	upx
behavioral2/files/0x0007000000023410-70.dat	upx
behavioral2/files/0x000700000002340f-65.dat	upx
behavioral2/files/0x000700000002340d-55.dat	upx
behavioral2/files/0x000700000002340c-50.dat	upx
behavioral2/files/0x000700000002340b-45.dat	upx
behavioral2/memory/3012-23-0x00007FF7FCDE0000-0x00007FF7FD1D5000-memory.dmp	upx
behavioral2/memory/4996-22-0x00007FF6C71A0000-0x00007FF6C7595000-memory.dmp	upx
behavioral2/memory/1764-20-0x00007FF7FA940000-0x00007FF7FAD35000-memory.dmp	upx
behavioral2/memory/2720-10-0x00007FF6E12E0000-0x00007FF6E16D5000-memory.dmp	upx
behavioral2/memory/3776-826-0x00007FF75E140000-0x00007FF75E535000-memory.dmp	upx
behavioral2/memory/5116-823-0x00007FF69F340000-0x00007FF69F735000-memory.dmp	upx
behavioral2/memory/4224-834-0x00007FF710250000-0x00007FF710645000-memory.dmp	upx
behavioral2/memory/4728-830-0x00007FF7B7BB0000-0x00007FF7B7FA5000-memory.dmp	upx
behavioral2/memory/4708-843-0x00007FF704400000-0x00007FF7047F5000-memory.dmp	upx
behavioral2/memory/2288-880-0x00007FF693340000-0x00007FF693735000-memory.dmp	upx
behavioral2/memory/1744-889-0x00007FF619EE0000-0x00007FF61A2D5000-memory.dmp	upx
behavioral2/memory/1296-872-0x00007FF75E360000-0x00007FF75E755000-memory.dmp	upx
behavioral2/memory/2424-867-0x00007FF717E90000-0x00007FF718285000-memory.dmp	upx
behavioral2/memory/548-864-0x00007FF78AD70000-0x00007FF78B165000-memory.dmp	upx
behavioral2/memory/464-848-0x00007FF6EFA50000-0x00007FF6EFE45000-memory.dmp	upx
behavioral2/memory/2492-932-0x00007FF701300000-0x00007FF7016F5000-memory.dmp	upx
behavioral2/memory/3256-936-0x00007FF680650000-0x00007FF680A45000-memory.dmp	upx
behavioral2/memory/3576-948-0x00007FF6FE2F0000-0x00007FF6FE6E5000-memory.dmp	upx
behavioral2/memory/516-940-0x00007FF661860000-0x00007FF661C55000-memory.dmp	upx
behavioral2/memory/4092-955-0x00007FF71C060000-0x00007FF71C455000-memory.dmp	upx
behavioral2/memory/4748-954-0x00007FF78BAE0000-0x00007FF78BED5000-memory.dmp	upx
behavioral2/memory/1532-965-0x00007FF7C0AA0000-0x00007FF7C0E95000-memory.dmp	upx
behavioral2/memory/1068-962-0x00007FF760640000-0x00007FF760A35000-memory.dmp	upx
behavioral2/memory/2684-958-0x00007FF6AD470000-0x00007FF6AD865000-memory.dmp	upx
behavioral2/memory/2720-1932-0x00007FF6E12E0000-0x00007FF6E16D5000-memory.dmp	upx
behavioral2/memory/1764-1933-0x00007FF7FA940000-0x00007FF7FAD35000-memory.dmp	upx
behavioral2/memory/3012-1934-0x00007FF7FCDE0000-0x00007FF7FD1D5000-memory.dmp	upx
behavioral2/memory/2720-1935-0x00007FF6E12E0000-0x00007FF6E16D5000-memory.dmp	upx
behavioral2/memory/4996-1936-0x00007FF6C71A0000-0x00007FF6C7595000-memory.dmp	upx
behavioral2/memory/3012-1938-0x00007FF7FCDE0000-0x00007FF7FD1D5000-memory.dmp	upx

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\System32\dHGMeTQ.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\tpAdNaY.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\TaiiGdl.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\HYYkxEE.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\zgsqnOt.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\joNqAFL.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\zoxTmnu.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\DiTRcyb.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\HDtmkGa.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\HQFCRox.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\uCdBFXW.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\hohAKYA.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\crHHYfg.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\ObTpQYL.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\JimFnoS.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\oAasqjo.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\HjyvDeV.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\TWhddEy.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\OTMcsqp.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\crnllop.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\TqLgMhI.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\nJiouXS.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\UXBmVmS.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\VZneWhG.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\zlPeyai.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\ygzIAvX.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\WdpALnu.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\gYotkOp.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\MARewQp.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\bzVNxjf.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\myHypKW.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\IIngUMj.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\DmveeMi.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\KoiMIGD.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\RJWakjg.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\ZTRWIrY.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\DWXeIHQ.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\xkxlMZV.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\FNwebjD.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\GQjGcdT.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\KfveTNq.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\hTxYAsJ.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\QZwusba.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\YEDAEgX.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\epbWBDT.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\vebtqfD.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\YYxXayO.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\SJHCxJe.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\HAPtwyC.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\bCpnzej.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\bpDTJAw.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\czBlZjr.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\ipIJLyn.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\jWCFiWK.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\uCLweLA.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\HlOULNx.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\iSGvbeC.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\IDQtbyH.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\sAxWZXI.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\sIKQDYt.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\EfarRQY.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\bYLZbNZ.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\PqtKSKi.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
File created	C:\Windows\System32\nCFohRH.exe	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe

Checks SCSI registry key(s) 3 TTPs 6 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\HardwareID	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_QEMU&PROD_QEMU_DVD-ROM\4&215468A5&0&010000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_DADY&PROD_HARDDISK\4&215468A5&0&000000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\ConfigFlags	dwm.exe

Enumerates system info in registry 2 TTPs 2 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe

Modifies data under HKEY_USERS 18 IoCs

description	ioc	Process
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2a\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe

Suspicious use of AdjustPrivilegeToken 6 IoCs

description	pid	Process
Token: SeCreateGlobalPrivilege	13272	dwm.exe
Token: SeChangeNotifyPrivilege	13272	dwm.exe
Token: 33	13272	dwm.exe
Token: SeIncBasePriorityPrivilege	13272	dwm.exe
Token: SeShutdownPrivilege	13272	dwm.exe
Token: SeCreatePagefilePrivilege	13272	dwm.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 212 wrote to memory of 2720	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	85
PID 212 wrote to memory of 2720	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	85
PID 212 wrote to memory of 1764	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	86
PID 212 wrote to memory of 1764	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	86
PID 212 wrote to memory of 4996	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	87
PID 212 wrote to memory of 4996	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	87
PID 212 wrote to memory of 3012	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	88
PID 212 wrote to memory of 3012	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	88
PID 212 wrote to memory of 5116	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	89
PID 212 wrote to memory of 5116	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	89
PID 212 wrote to memory of 3776	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	90
PID 212 wrote to memory of 3776	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	90
PID 212 wrote to memory of 4728	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	91
PID 212 wrote to memory of 4728	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	91
PID 212 wrote to memory of 4224	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	92
PID 212 wrote to memory of 4224	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	92
PID 212 wrote to memory of 4708	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	93
PID 212 wrote to memory of 4708	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	93
PID 212 wrote to memory of 464	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	94
PID 212 wrote to memory of 464	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	94
PID 212 wrote to memory of 548	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	95
PID 212 wrote to memory of 548	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	95
PID 212 wrote to memory of 2424	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	96
PID 212 wrote to memory of 2424	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	96
PID 212 wrote to memory of 1296	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	97
PID 212 wrote to memory of 1296	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	97
PID 212 wrote to memory of 2288	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	98
PID 212 wrote to memory of 2288	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	98
PID 212 wrote to memory of 1744	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	99
PID 212 wrote to memory of 1744	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	99
PID 212 wrote to memory of 2492	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	100
PID 212 wrote to memory of 2492	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	100
PID 212 wrote to memory of 3256	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	101
PID 212 wrote to memory of 3256	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	101
PID 212 wrote to memory of 516	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	102
PID 212 wrote to memory of 516	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	102
PID 212 wrote to memory of 3576	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	103
PID 212 wrote to memory of 3576	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	103
PID 212 wrote to memory of 4748	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	104
PID 212 wrote to memory of 4748	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	104
PID 212 wrote to memory of 4092	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	105
PID 212 wrote to memory of 4092	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	105
PID 212 wrote to memory of 2684	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	106
PID 212 wrote to memory of 2684	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	106
PID 212 wrote to memory of 1068	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	107
PID 212 wrote to memory of 1068	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	107
PID 212 wrote to memory of 1532	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	108
PID 212 wrote to memory of 1532	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	108
PID 212 wrote to memory of 2652	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	109
PID 212 wrote to memory of 2652	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	109
PID 212 wrote to memory of 884	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	110
PID 212 wrote to memory of 884	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	110
PID 212 wrote to memory of 652	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	111
PID 212 wrote to memory of 652	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	111
PID 212 wrote to memory of 4480	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	112
PID 212 wrote to memory of 4480	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	112
PID 212 wrote to memory of 2816	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	113
PID 212 wrote to memory of 2816	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	113
PID 212 wrote to memory of 3524	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	114
PID 212 wrote to memory of 3524	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	114
PID 212 wrote to memory of 3248	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	115
PID 212 wrote to memory of 3248	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	115
PID 212 wrote to memory of 1712	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	116
PID 212 wrote to memory of 1712	212	872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe	116

C:\Users\Admin\AppData\Local\Temp\872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe
"C:\Users\Admin\AppData\Local\Temp\872904e215ecf2130cfd82ada017e8a0_NeikiAnalytics.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:212
- C:\Windows\System32\nMGxsZv.exe
  C:\Windows\System32\nMGxsZv.exe
  2⤵
  - Executes dropped EXE
  PID:2720
- C:\Windows\System32\CvgUUOG.exe
  C:\Windows\System32\CvgUUOG.exe
  2⤵
  - Executes dropped EXE
  PID:1764
- C:\Windows\System32\KhUuAlB.exe
  C:\Windows\System32\KhUuAlB.exe
  2⤵
  - Executes dropped EXE
  PID:4996
- C:\Windows\System32\HxjWLbq.exe
  C:\Windows\System32\HxjWLbq.exe
  2⤵
  - Executes dropped EXE
  PID:3012
- C:\Windows\System32\wCqOISX.exe
  C:\Windows\System32\wCqOISX.exe
  2⤵
  - Executes dropped EXE
  PID:5116
- C:\Windows\System32\HLhzDDE.exe
  C:\Windows\System32\HLhzDDE.exe
  2⤵
  - Executes dropped EXE
  PID:3776
- C:\Windows\System32\OGpSItz.exe
  C:\Windows\System32\OGpSItz.exe
  2⤵
  - Executes dropped EXE
  PID:4728
- C:\Windows\System32\vtXnENU.exe
  C:\Windows\System32\vtXnENU.exe
  2⤵
  - Executes dropped EXE
  PID:4224
- C:\Windows\System32\ULVUvKV.exe
  C:\Windows\System32\ULVUvKV.exe
  2⤵
  - Executes dropped EXE
  PID:4708
- C:\Windows\System32\jskfPHh.exe
  C:\Windows\System32\jskfPHh.exe
  2⤵
  - Executes dropped EXE
  PID:464
- C:\Windows\System32\KdGWMwQ.exe
  C:\Windows\System32\KdGWMwQ.exe
  2⤵
  - Executes dropped EXE
  PID:548
- C:\Windows\System32\WRHfPnL.exe
  C:\Windows\System32\WRHfPnL.exe
  2⤵
  - Executes dropped EXE
  PID:2424
- C:\Windows\System32\GQjGcdT.exe
  C:\Windows\System32\GQjGcdT.exe
  2⤵
  - Executes dropped EXE
  PID:1296
- C:\Windows\System32\diqXVPI.exe
  C:\Windows\System32\diqXVPI.exe
  2⤵
  - Executes dropped EXE
  PID:2288
- C:\Windows\System32\XsXahdD.exe
  C:\Windows\System32\XsXahdD.exe
  2⤵
  - Executes dropped EXE
  PID:1744
- C:\Windows\System32\KfveTNq.exe
  C:\Windows\System32\KfveTNq.exe
  2⤵
  - Executes dropped EXE
  PID:2492
- C:\Windows\System32\pgQrDLn.exe
  C:\Windows\System32\pgQrDLn.exe
  2⤵
  - Executes dropped EXE
  PID:3256
- C:\Windows\System32\SGxaLNG.exe
  C:\Windows\System32\SGxaLNG.exe
  2⤵
  - Executes dropped EXE
  PID:516
- C:\Windows\System32\mlClocI.exe
  C:\Windows\System32\mlClocI.exe
  2⤵
  - Executes dropped EXE
  PID:3576
- C:\Windows\System32\MkaLcsc.exe
  C:\Windows\System32\MkaLcsc.exe
  2⤵
  - Executes dropped EXE
  PID:4748
- C:\Windows\System32\laUruOo.exe
  C:\Windows\System32\laUruOo.exe
  2⤵
  - Executes dropped EXE
  PID:4092
- C:\Windows\System32\wLyLudi.exe
  C:\Windows\System32\wLyLudi.exe
  2⤵
  - Executes dropped EXE
  PID:2684
- C:\Windows\System32\rjtgcTQ.exe
  C:\Windows\System32\rjtgcTQ.exe
  2⤵
  - Executes dropped EXE
  PID:1068
- C:\Windows\System32\cnvmyhc.exe
  C:\Windows\System32\cnvmyhc.exe
  2⤵
  - Executes dropped EXE
  PID:1532
- C:\Windows\System32\VdTOntJ.exe
  C:\Windows\System32\VdTOntJ.exe
  2⤵
  - Executes dropped EXE
  PID:2652
- C:\Windows\System32\klYrJQj.exe
  C:\Windows\System32\klYrJQj.exe
  2⤵
  - Executes dropped EXE
  PID:884
- C:\Windows\System32\YGdnmCx.exe
  C:\Windows\System32\YGdnmCx.exe
  2⤵
  - Executes dropped EXE
  PID:652
- C:\Windows\System32\tPzFhxC.exe
  C:\Windows\System32\tPzFhxC.exe
  2⤵
  - Executes dropped EXE
  PID:4480
- C:\Windows\System32\bSxxmZF.exe
  C:\Windows\System32\bSxxmZF.exe
  2⤵
  - Executes dropped EXE
  PID:2816
- C:\Windows\System32\SLfMxpc.exe
  C:\Windows\System32\SLfMxpc.exe
  2⤵
  - Executes dropped EXE
  PID:3524
- C:\Windows\System32\oKAYwvP.exe
  C:\Windows\System32\oKAYwvP.exe
  2⤵
  - Executes dropped EXE
  PID:3248
- C:\Windows\System32\UeJCORF.exe
  C:\Windows\System32\UeJCORF.exe
  2⤵
  - Executes dropped EXE
  PID:1712
- C:\Windows\System32\MkweYnY.exe
  C:\Windows\System32\MkweYnY.exe
  2⤵
  - Executes dropped EXE
  PID:2168
- C:\Windows\System32\AKmKbTe.exe
  C:\Windows\System32\AKmKbTe.exe
  2⤵
  - Executes dropped EXE
  PID:4512
- C:\Windows\System32\QZDARWm.exe
  C:\Windows\System32\QZDARWm.exe
  2⤵
  - Executes dropped EXE
  PID:3832
- C:\Windows\System32\OSnbDdy.exe
  C:\Windows\System32\OSnbDdy.exe
  2⤵
  - Executes dropped EXE
  PID:4624
- C:\Windows\System32\OazODIm.exe
  C:\Windows\System32\OazODIm.exe
  2⤵
  - Executes dropped EXE
  PID:2144
- C:\Windows\System32\CigjeCL.exe
  C:\Windows\System32\CigjeCL.exe
  2⤵
  - Executes dropped EXE
  PID:1824
- C:\Windows\System32\WfCevTo.exe
  C:\Windows\System32\WfCevTo.exe
  2⤵
  - Executes dropped EXE
  PID:3052
- C:\Windows\System32\jnsrNjS.exe
  C:\Windows\System32\jnsrNjS.exe
  2⤵
  - Executes dropped EXE
  PID:5032
- C:\Windows\System32\WdpALnu.exe
  C:\Windows\System32\WdpALnu.exe
  2⤵
  - Executes dropped EXE
  PID:2352
- C:\Windows\System32\lIREvWn.exe
  C:\Windows\System32\lIREvWn.exe
  2⤵
  - Executes dropped EXE
  PID:4952
- C:\Windows\System32\rAkvowH.exe
  C:\Windows\System32\rAkvowH.exe
  2⤵
  - Executes dropped EXE
  PID:4588
- C:\Windows\System32\LWWCosi.exe
  C:\Windows\System32\LWWCosi.exe
  2⤵
  - Executes dropped EXE
  PID:3364
- C:\Windows\System32\jycUSVw.exe
  C:\Windows\System32\jycUSVw.exe
  2⤵
  - Executes dropped EXE
  PID:1596
- C:\Windows\System32\mGyBGCx.exe
  C:\Windows\System32\mGyBGCx.exe
  2⤵
  - Executes dropped EXE
  PID:4124
- C:\Windows\System32\FMNazaN.exe
  C:\Windows\System32\FMNazaN.exe
  2⤵
  - Executes dropped EXE
  PID:1072
- C:\Windows\System32\RBRSsIm.exe
  C:\Windows\System32\RBRSsIm.exe
  2⤵
  - Executes dropped EXE
  PID:4764
- C:\Windows\System32\zhIqSXk.exe
  C:\Windows\System32\zhIqSXk.exe
  2⤵
  - Executes dropped EXE
  PID:556
- C:\Windows\System32\HAPtwyC.exe
  C:\Windows\System32\HAPtwyC.exe
  2⤵
  - Executes dropped EXE
  PID:2148
- C:\Windows\System32\lVtsgtS.exe
  C:\Windows\System32\lVtsgtS.exe
  2⤵
  - Executes dropped EXE
  PID:208
- C:\Windows\System32\FPrusGJ.exe
  C:\Windows\System32\FPrusGJ.exe
  2⤵
  - Executes dropped EXE
  PID:2096
- C:\Windows\System32\zAzTvHF.exe
  C:\Windows\System32\zAzTvHF.exe
  2⤵
  - Executes dropped EXE
  PID:1316
- C:\Windows\System32\gYotkOp.exe
  C:\Windows\System32\gYotkOp.exe
  2⤵
  - Executes dropped EXE
  PID:1800
- C:\Windows\System32\uuYhxYv.exe
  C:\Windows\System32\uuYhxYv.exe
  2⤵
  - Executes dropped EXE
  PID:2016
- C:\Windows\System32\fLsqMUW.exe
  C:\Windows\System32\fLsqMUW.exe
  2⤵
  - Executes dropped EXE
  PID:2152
- C:\Windows\System32\wXUSbgu.exe
  C:\Windows\System32\wXUSbgu.exe
  2⤵
  - Executes dropped EXE
  PID:2068
- C:\Windows\System32\lKOTstx.exe
  C:\Windows\System32\lKOTstx.exe
  2⤵
  - Executes dropped EXE
  PID:544
- C:\Windows\System32\cHjHsRY.exe
  C:\Windows\System32\cHjHsRY.exe
  2⤵
  - Executes dropped EXE
  PID:2572
- C:\Windows\System32\zNSFWkl.exe
  C:\Windows\System32\zNSFWkl.exe
  2⤵
  - Executes dropped EXE
  PID:60
- C:\Windows\System32\myJomtO.exe
  C:\Windows\System32\myJomtO.exe
  2⤵
  - Executes dropped EXE
  PID:4628
- C:\Windows\System32\ShxJnbP.exe
  C:\Windows\System32\ShxJnbP.exe
  2⤵
  - Executes dropped EXE
  PID:4636
- C:\Windows\System32\skhapqV.exe
  C:\Windows\System32\skhapqV.exe
  2⤵
  - Executes dropped EXE
  PID:4776
- C:\Windows\System32\EuTyCci.exe
  C:\Windows\System32\EuTyCci.exe
  2⤵
  - Executes dropped EXE
  PID:3092
- C:\Windows\System32\XMdjjmu.exe
  C:\Windows\System32\XMdjjmu.exe
  2⤵
  PID:1648
- C:\Windows\System32\JAFwuOA.exe
  C:\Windows\System32\JAFwuOA.exe
  2⤵
  PID:2220
- C:\Windows\System32\mwuMiDR.exe
  C:\Windows\System32\mwuMiDR.exe
  2⤵
  PID:2692
- C:\Windows\System32\zDPviiy.exe
  C:\Windows\System32\zDPviiy.exe
  2⤵
  PID:3024
- C:\Windows\System32\OTMcsqp.exe
  C:\Windows\System32\OTMcsqp.exe
  2⤵
  PID:3556
- C:\Windows\System32\DVvzEQb.exe
  C:\Windows\System32\DVvzEQb.exe
  2⤵
  PID:4348
- C:\Windows\System32\DqaoNDs.exe
  C:\Windows\System32\DqaoNDs.exe
  2⤵
  PID:2384
- C:\Windows\System32\sNDokRu.exe
  C:\Windows\System32\sNDokRu.exe
  2⤵
  PID:4956
- C:\Windows\System32\TnuVIEU.exe
  C:\Windows\System32\TnuVIEU.exe
  2⤵
  PID:4560
- C:\Windows\System32\yLUpIqu.exe
  C:\Windows\System32\yLUpIqu.exe
  2⤵
  PID:4392
- C:\Windows\System32\xNyFzoR.exe
  C:\Windows\System32\xNyFzoR.exe
  2⤵
  PID:4316
- C:\Windows\System32\eOjlgnw.exe
  C:\Windows\System32\eOjlgnw.exe
  2⤵
  PID:4012
- C:\Windows\System32\GKpccOa.exe
  C:\Windows\System32\GKpccOa.exe
  2⤵
  PID:2876
- C:\Windows\System32\XfjZiIu.exe
  C:\Windows\System32\XfjZiIu.exe
  2⤵
  PID:1972
- C:\Windows\System32\cyxdlae.exe
  C:\Windows\System32\cyxdlae.exe
  2⤵
  PID:3924
- C:\Windows\System32\QanppWo.exe
  C:\Windows\System32\QanppWo.exe
  2⤵
  PID:2980
- C:\Windows\System32\FBLrzQo.exe
  C:\Windows\System32\FBLrzQo.exe
  2⤵
  PID:5012
- C:\Windows\System32\wbjZKLp.exe
  C:\Windows\System32\wbjZKLp.exe
  2⤵
  PID:1940
- C:\Windows\System32\pSwMJmc.exe
  C:\Windows\System32\pSwMJmc.exe
  2⤵
  PID:3320
- C:\Windows\System32\SRRDdtM.exe
  C:\Windows\System32\SRRDdtM.exe
  2⤵
  PID:3172
- C:\Windows\System32\uCLweLA.exe
  C:\Windows\System32\uCLweLA.exe
  2⤵
  PID:5132
- C:\Windows\System32\seppvFz.exe
  C:\Windows\System32\seppvFz.exe
  2⤵
  PID:5156
- C:\Windows\System32\VSsUeFg.exe
  C:\Windows\System32\VSsUeFg.exe
  2⤵
  PID:5184
- C:\Windows\System32\tulamYt.exe
  C:\Windows\System32\tulamYt.exe
  2⤵
  PID:5212
- C:\Windows\System32\sPHNVMj.exe
  C:\Windows\System32\sPHNVMj.exe
  2⤵
  PID:5244
- C:\Windows\System32\IwbtxaD.exe
  C:\Windows\System32\IwbtxaD.exe
  2⤵
  PID:5268
- C:\Windows\System32\IfayPdZ.exe
  C:\Windows\System32\IfayPdZ.exe
  2⤵
  PID:5300
- C:\Windows\System32\CHRKnmR.exe
  C:\Windows\System32\CHRKnmR.exe
  2⤵
  PID:5328
- C:\Windows\System32\rHsDjQG.exe
  C:\Windows\System32\rHsDjQG.exe
  2⤵
  PID:5356
- C:\Windows\System32\QbxIvTZ.exe
  C:\Windows\System32\QbxIvTZ.exe
  2⤵
  PID:5384
- C:\Windows\System32\CSPwMgv.exe
  C:\Windows\System32\CSPwMgv.exe
  2⤵
  PID:5424
- C:\Windows\System32\VoNgMDP.exe
  C:\Windows\System32\VoNgMDP.exe
  2⤵
  PID:5440
- C:\Windows\System32\JABJmpx.exe
  C:\Windows\System32\JABJmpx.exe
  2⤵
  PID:5468
- C:\Windows\System32\YdIUtle.exe
  C:\Windows\System32\YdIUtle.exe
  2⤵
  PID:5496
- C:\Windows\System32\XJmrzCw.exe
  C:\Windows\System32\XJmrzCw.exe
  2⤵
  PID:5524
- C:\Windows\System32\kwqEItj.exe
  C:\Windows\System32\kwqEItj.exe
  2⤵
  PID:5548
- C:\Windows\System32\tyocsAR.exe
  C:\Windows\System32\tyocsAR.exe
  2⤵
  PID:5580
- C:\Windows\System32\DtaUxgA.exe
  C:\Windows\System32\DtaUxgA.exe
  2⤵
  PID:5604
- C:\Windows\System32\DZxudYV.exe
  C:\Windows\System32\DZxudYV.exe
  2⤵
  PID:5632
- C:\Windows\System32\aEWaMjK.exe
  C:\Windows\System32\aEWaMjK.exe
  2⤵
  PID:5672
- C:\Windows\System32\srIbgpw.exe
  C:\Windows\System32\srIbgpw.exe
  2⤵
  PID:5692
- C:\Windows\System32\MWhxSdQ.exe
  C:\Windows\System32\MWhxSdQ.exe
  2⤵
  PID:5716
- C:\Windows\System32\ubqxgIA.exe
  C:\Windows\System32\ubqxgIA.exe
  2⤵
  PID:5748
- C:\Windows\System32\TCIoKEW.exe
  C:\Windows\System32\TCIoKEW.exe
  2⤵
  PID:5772
- C:\Windows\System32\NcXPJAN.exe
  C:\Windows\System32\NcXPJAN.exe
  2⤵
  PID:5804
- C:\Windows\System32\LKsNPCu.exe
  C:\Windows\System32\LKsNPCu.exe
  2⤵
  PID:5828
- C:\Windows\System32\crnllop.exe
  C:\Windows\System32\crnllop.exe
  2⤵
  PID:5872
- C:\Windows\System32\rznRHtA.exe
  C:\Windows\System32\rznRHtA.exe
  2⤵
  PID:5896
- C:\Windows\System32\YjPeMpm.exe
  C:\Windows\System32\YjPeMpm.exe
  2⤵
  PID:5916
- C:\Windows\System32\zuCqmGv.exe
  C:\Windows\System32\zuCqmGv.exe
  2⤵
  PID:5944
- C:\Windows\System32\eDYxAqo.exe
  C:\Windows\System32\eDYxAqo.exe
  2⤵
  PID:5972
- C:\Windows\System32\MARewQp.exe
  C:\Windows\System32\MARewQp.exe
  2⤵
  PID:6000
- C:\Windows\System32\FHoMNgx.exe
  C:\Windows\System32\FHoMNgx.exe
  2⤵
  PID:6028
- C:\Windows\System32\tbHjjwr.exe
  C:\Windows\System32\tbHjjwr.exe
  2⤵
  PID:6056
- C:\Windows\System32\kahIIxS.exe
  C:\Windows\System32\kahIIxS.exe
  2⤵
  PID:6084
- C:\Windows\System32\ioHIYpV.exe
  C:\Windows\System32\ioHIYpV.exe
  2⤵
  PID:6108
- C:\Windows\System32\zjpMZKW.exe
  C:\Windows\System32\zjpMZKW.exe
  2⤵
  PID:6140
- C:\Windows\System32\tEslUrB.exe
  C:\Windows\System32\tEslUrB.exe
  2⤵
  PID:1152
- C:\Windows\System32\ouTpiEc.exe
  C:\Windows\System32\ouTpiEc.exe
  2⤵
  PID:4228
- C:\Windows\System32\MGGFVIv.exe
  C:\Windows\System32\MGGFVIv.exe
  2⤵
  PID:3596
- C:\Windows\System32\sESfBmd.exe
  C:\Windows\System32\sESfBmd.exe
  2⤵
  PID:972
- C:\Windows\System32\cXBTlMO.exe
  C:\Windows\System32\cXBTlMO.exe
  2⤵
  PID:5124
- C:\Windows\System32\fIEeDIW.exe
  C:\Windows\System32\fIEeDIW.exe
  2⤵
  PID:5200
- C:\Windows\System32\gvuoVWh.exe
  C:\Windows\System32\gvuoVWh.exe
  2⤵
  PID:5252
- C:\Windows\System32\uwKiAxb.exe
  C:\Windows\System32\uwKiAxb.exe
  2⤵
  PID:5312
- C:\Windows\System32\zgsqnOt.exe
  C:\Windows\System32\zgsqnOt.exe
  2⤵
  PID:5364
- C:\Windows\System32\HlOULNx.exe
  C:\Windows\System32\HlOULNx.exe
  2⤵
  PID:5448
- C:\Windows\System32\DtydRjE.exe
  C:\Windows\System32\DtydRjE.exe
  2⤵
  PID:5536
- C:\Windows\System32\VLMiXSw.exe
  C:\Windows\System32\VLMiXSw.exe
  2⤵
  PID:5556
- C:\Windows\System32\yopBZDZ.exe
  C:\Windows\System32\yopBZDZ.exe
  2⤵
  PID:5628
- C:\Windows\System32\rXXbHvo.exe
  C:\Windows\System32\rXXbHvo.exe
  2⤵
  PID:5700
- C:\Windows\System32\dHGMeTQ.exe
  C:\Windows\System32\dHGMeTQ.exe
  2⤵
  PID:5788
- C:\Windows\System32\cEXLxdN.exe
  C:\Windows\System32\cEXLxdN.exe
  2⤵
  PID:5852
- C:\Windows\System32\uMnVZZf.exe
  C:\Windows\System32\uMnVZZf.exe
  2⤵
  PID:5904
- C:\Windows\System32\FLmHIwu.exe
  C:\Windows\System32\FLmHIwu.exe
  2⤵
  PID:5952
- C:\Windows\System32\WEvFOxn.exe
  C:\Windows\System32\WEvFOxn.exe
  2⤵
  PID:6048
- C:\Windows\System32\atFVSHd.exe
  C:\Windows\System32\atFVSHd.exe
  2⤵
  PID:6096
- C:\Windows\System32\DBfXYLi.exe
  C:\Windows\System32\DBfXYLi.exe
  2⤵
  PID:4064
- C:\Windows\System32\JtGkGOz.exe
  C:\Windows\System32\JtGkGOz.exe
  2⤵
  PID:4400
- C:\Windows\System32\mclMivl.exe
  C:\Windows\System32\mclMivl.exe
  2⤵
  PID:5144
- C:\Windows\System32\bCpnzej.exe
  C:\Windows\System32\bCpnzej.exe
  2⤵
  PID:5264
- C:\Windows\System32\TqLgMhI.exe
  C:\Windows\System32\TqLgMhI.exe
  2⤵
  PID:5396
- C:\Windows\System32\IMzitEo.exe
  C:\Windows\System32\IMzitEo.exe
  2⤵
  PID:5592
- C:\Windows\System32\XWTMHfF.exe
  C:\Windows\System32\XWTMHfF.exe
  2⤵
  PID:5712
- C:\Windows\System32\IIngUMj.exe
  C:\Windows\System32\IIngUMj.exe
  2⤵
  PID:5964
- C:\Windows\System32\rWkTErN.exe
  C:\Windows\System32\rWkTErN.exe
  2⤵
  PID:6076
- C:\Windows\System32\SErVdxC.exe
  C:\Windows\System32\SErVdxC.exe
  2⤵
  PID:6168
- C:\Windows\System32\HQFCRox.exe
  C:\Windows\System32\HQFCRox.exe
  2⤵
  PID:6196
- C:\Windows\System32\GClxDKu.exe
  C:\Windows\System32\GClxDKu.exe
  2⤵
  PID:6224
- C:\Windows\System32\gicKOwH.exe
  C:\Windows\System32\gicKOwH.exe
  2⤵
  PID:6252
- C:\Windows\System32\lFSlqpN.exe
  C:\Windows\System32\lFSlqpN.exe
  2⤵
  PID:6280
- C:\Windows\System32\iPrhCFC.exe
  C:\Windows\System32\iPrhCFC.exe
  2⤵
  PID:6308
- C:\Windows\System32\PSZwWrq.exe
  C:\Windows\System32\PSZwWrq.exe
  2⤵
  PID:6336
- C:\Windows\System32\tiXVazD.exe
  C:\Windows\System32\tiXVazD.exe
  2⤵
  PID:6364
- C:\Windows\System32\uCdBFXW.exe
  C:\Windows\System32\uCdBFXW.exe
  2⤵
  PID:6392
- C:\Windows\System32\mUTuYia.exe
  C:\Windows\System32\mUTuYia.exe
  2⤵
  PID:6420
- C:\Windows\System32\pVrFlNP.exe
  C:\Windows\System32\pVrFlNP.exe
  2⤵
  PID:6448
- C:\Windows\System32\VhcohYQ.exe
  C:\Windows\System32\VhcohYQ.exe
  2⤵
  PID:6476
- C:\Windows\System32\jnLhjGy.exe
  C:\Windows\System32\jnLhjGy.exe
  2⤵
  PID:6504
- C:\Windows\System32\AupfeMN.exe
  C:\Windows\System32\AupfeMN.exe
  2⤵
  PID:6540
- C:\Windows\System32\sxblpAr.exe
  C:\Windows\System32\sxblpAr.exe
  2⤵
  PID:6560
- C:\Windows\System32\YvQGRwq.exe
  C:\Windows\System32\YvQGRwq.exe
  2⤵
  PID:6588
- C:\Windows\System32\uEHkDjf.exe
  C:\Windows\System32\uEHkDjf.exe
  2⤵
  PID:6612
- C:\Windows\System32\qTFfZqC.exe
  C:\Windows\System32\qTFfZqC.exe
  2⤵
  PID:6656
- C:\Windows\System32\EqbAmhb.exe
  C:\Windows\System32\EqbAmhb.exe
  2⤵
  PID:6672
- C:\Windows\System32\oCCJcIU.exe
  C:\Windows\System32\oCCJcIU.exe
  2⤵
  PID:6700
- C:\Windows\System32\WISabNl.exe
  C:\Windows\System32\WISabNl.exe
  2⤵
  PID:6728
- C:\Windows\System32\GaSuIBz.exe
  C:\Windows\System32\GaSuIBz.exe
  2⤵
  PID:6756
- C:\Windows\System32\zVbebYS.exe
  C:\Windows\System32\zVbebYS.exe
  2⤵
  PID:6784
- C:\Windows\System32\bpDTJAw.exe
  C:\Windows\System32\bpDTJAw.exe
  2⤵
  PID:6812
- C:\Windows\System32\GaINIQT.exe
  C:\Windows\System32\GaINIQT.exe
  2⤵
  PID:6852
- C:\Windows\System32\VkUjxvh.exe
  C:\Windows\System32\VkUjxvh.exe
  2⤵
  PID:6868
- C:\Windows\System32\PcKHfVS.exe
  C:\Windows\System32\PcKHfVS.exe
  2⤵
  PID:6896
- C:\Windows\System32\cCjSjPE.exe
  C:\Windows\System32\cCjSjPE.exe
  2⤵
  PID:6924
- C:\Windows\System32\syAQPqm.exe
  C:\Windows\System32\syAQPqm.exe
  2⤵
  PID:6952
- C:\Windows\System32\nWnUjcD.exe
  C:\Windows\System32\nWnUjcD.exe
  2⤵
  PID:6992
- C:\Windows\System32\QADngBY.exe
  C:\Windows\System32\QADngBY.exe
  2⤵
  PID:7008
- C:\Windows\System32\ljGGTnK.exe
  C:\Windows\System32\ljGGTnK.exe
  2⤵
  PID:7036
- C:\Windows\System32\zHFgfdn.exe
  C:\Windows\System32\zHFgfdn.exe
  2⤵
  PID:7064
- C:\Windows\System32\ergZuvG.exe
  C:\Windows\System32\ergZuvG.exe
  2⤵
  PID:7092
- C:\Windows\System32\gQxqQqw.exe
  C:\Windows\System32\gQxqQqw.exe
  2⤵
  PID:7120
- C:\Windows\System32\qVTGrBB.exe
  C:\Windows\System32\qVTGrBB.exe
  2⤵
  PID:7160
- C:\Windows\System32\hohAKYA.exe
  C:\Windows\System32\hohAKYA.exe
  2⤵
  PID:6132
- C:\Windows\System32\joNqAFL.exe
  C:\Windows\System32\joNqAFL.exe
  2⤵
  PID:5292
- C:\Windows\System32\vsQSUrz.exe
  C:\Windows\System32\vsQSUrz.exe
  2⤵
  PID:5516
- C:\Windows\System32\JZRKkXH.exe
  C:\Windows\System32\JZRKkXH.exe
  2⤵
  PID:5824
- C:\Windows\System32\QcGzaca.exe
  C:\Windows\System32\QcGzaca.exe
  2⤵
  PID:6188
- C:\Windows\System32\GOfOjFn.exe
  C:\Windows\System32\GOfOjFn.exe
  2⤵
  PID:6236
- C:\Windows\System32\vRgHhry.exe
  C:\Windows\System32\vRgHhry.exe
  2⤵
  PID:6300
- C:\Windows\System32\qNsEvqx.exe
  C:\Windows\System32\qNsEvqx.exe
  2⤵
  PID:6384
- C:\Windows\System32\psAkOAw.exe
  C:\Windows\System32\psAkOAw.exe
  2⤵
  PID:6460
- C:\Windows\System32\czBlZjr.exe
  C:\Windows\System32\czBlZjr.exe
  2⤵
  PID:6512
- C:\Windows\System32\ZddeJaq.exe
  C:\Windows\System32\ZddeJaq.exe
  2⤵
  PID:8
- C:\Windows\System32\crHHYfg.exe
  C:\Windows\System32\crHHYfg.exe
  2⤵
  PID:6636
- C:\Windows\System32\ycDbxUh.exe
  C:\Windows\System32\ycDbxUh.exe
  2⤵
  PID:6684
- C:\Windows\System32\QoOvywy.exe
  C:\Windows\System32\QoOvywy.exe
  2⤵
  PID:6776
- C:\Windows\System32\UpfuvMX.exe
  C:\Windows\System32\UpfuvMX.exe
  2⤵
  PID:6832
- C:\Windows\System32\ObTpQYL.exe
  C:\Windows\System32\ObTpQYL.exe
  2⤵
  PID:6864
- C:\Windows\System32\FXdwcZP.exe
  C:\Windows\System32\FXdwcZP.exe
  2⤵
  PID:6936
- C:\Windows\System32\DGfOEyL.exe
  C:\Windows\System32\DGfOEyL.exe
  2⤵
  PID:7028
- C:\Windows\System32\vTqykhz.exe
  C:\Windows\System32\vTqykhz.exe
  2⤵
  PID:7048
- C:\Windows\System32\XzffCRc.exe
  C:\Windows\System32\XzffCRc.exe
  2⤵
  PID:7104
- C:\Windows\System32\IAoUXbF.exe
  C:\Windows\System32\IAoUXbF.exe
  2⤵
  PID:2192
- C:\Windows\System32\QjAiFtu.exe
  C:\Windows\System32\QjAiFtu.exe
  2⤵
  PID:5756
- C:\Windows\System32\AYoBlLX.exe
  C:\Windows\System32\AYoBlLX.exe
  2⤵
  PID:6288
- C:\Windows\System32\TvFuIPb.exe
  C:\Windows\System32\TvFuIPb.exe
  2⤵
  PID:6320
- C:\Windows\System32\scIUXXn.exe
  C:\Windows\System32\scIUXXn.exe
  2⤵
  PID:6484
- C:\Windows\System32\fXlXtUz.exe
  C:\Windows\System32\fXlXtUz.exe
  2⤵
  PID:6664
- C:\Windows\System32\HMZHthu.exe
  C:\Windows\System32\HMZHthu.exe
  2⤵
  PID:6792
- C:\Windows\System32\MJmDTTy.exe
  C:\Windows\System32\MJmDTTy.exe
  2⤵
  PID:6904
- C:\Windows\System32\hTxYAsJ.exe
  C:\Windows\System32\hTxYAsJ.exe
  2⤵
  PID:7044
- C:\Windows\System32\VQrkqXl.exe
  C:\Windows\System32\VQrkqXl.exe
  2⤵
  PID:7128
- C:\Windows\System32\nFEWiBm.exe
  C:\Windows\System32\nFEWiBm.exe
  2⤵
  PID:6012
- C:\Windows\System32\iSGvbeC.exe
  C:\Windows\System32\iSGvbeC.exe
  2⤵
  PID:7192
- C:\Windows\System32\uabenwQ.exe
  C:\Windows\System32\uabenwQ.exe
  2⤵
  PID:7220
- C:\Windows\System32\QnoYKSx.exe
  C:\Windows\System32\QnoYKSx.exe
  2⤵
  PID:7248
- C:\Windows\System32\IDQtbyH.exe
  C:\Windows\System32\IDQtbyH.exe
  2⤵
  PID:7276
- C:\Windows\System32\pOdLNxf.exe
  C:\Windows\System32\pOdLNxf.exe
  2⤵
  PID:7304
- C:\Windows\System32\BSAuqDm.exe
  C:\Windows\System32\BSAuqDm.exe
  2⤵
  PID:7332
- C:\Windows\System32\sOGjHIz.exe
  C:\Windows\System32\sOGjHIz.exe
  2⤵
  PID:7360
- C:\Windows\System32\QZwusba.exe
  C:\Windows\System32\QZwusba.exe
  2⤵
  PID:7388
- C:\Windows\System32\zAVLAaT.exe
  C:\Windows\System32\zAVLAaT.exe
  2⤵
  PID:7416
- C:\Windows\System32\LDRWGOT.exe
  C:\Windows\System32\LDRWGOT.exe
  2⤵
  PID:7456
- C:\Windows\System32\rRMTcwF.exe
  C:\Windows\System32\rRMTcwF.exe
  2⤵
  PID:7472
- C:\Windows\System32\kGrZvYR.exe
  C:\Windows\System32\kGrZvYR.exe
  2⤵
  PID:7500
- C:\Windows\System32\CyeVFiO.exe
  C:\Windows\System32\CyeVFiO.exe
  2⤵
  PID:7528
- C:\Windows\System32\QXBqVoH.exe
  C:\Windows\System32\QXBqVoH.exe
  2⤵
  PID:7556
- C:\Windows\System32\LxiztdR.exe
  C:\Windows\System32\LxiztdR.exe
  2⤵
  PID:7584
- C:\Windows\System32\wAxlESh.exe
  C:\Windows\System32\wAxlESh.exe
  2⤵
  PID:7612
- C:\Windows\System32\okpsErk.exe
  C:\Windows\System32\okpsErk.exe
  2⤵
  PID:7640
- C:\Windows\System32\yrbnEdh.exe
  C:\Windows\System32\yrbnEdh.exe
  2⤵
  PID:7668
- C:\Windows\System32\DmveeMi.exe
  C:\Windows\System32\DmveeMi.exe
  2⤵
  PID:7696
- C:\Windows\System32\TQGMALq.exe
  C:\Windows\System32\TQGMALq.exe
  2⤵
  PID:7724
- C:\Windows\System32\iBgpXNJ.exe
  C:\Windows\System32\iBgpXNJ.exe
  2⤵
  PID:7752
- C:\Windows\System32\PhNefKm.exe
  C:\Windows\System32\PhNefKm.exe
  2⤵
  PID:7792
- C:\Windows\System32\cGedGJG.exe
  C:\Windows\System32\cGedGJG.exe
  2⤵
  PID:7808
- C:\Windows\System32\ipIJLyn.exe
  C:\Windows\System32\ipIJLyn.exe
  2⤵
  PID:7836
- C:\Windows\System32\aliajXI.exe
  C:\Windows\System32\aliajXI.exe
  2⤵
  PID:7864
- C:\Windows\System32\KoiMIGD.exe
  C:\Windows\System32\KoiMIGD.exe
  2⤵
  PID:7892
- C:\Windows\System32\fzcPMKq.exe
  C:\Windows\System32\fzcPMKq.exe
  2⤵
  PID:7920
- C:\Windows\System32\fAIKXuq.exe
  C:\Windows\System32\fAIKXuq.exe
  2⤵
  PID:7948
- C:\Windows\System32\AqhOkgg.exe
  C:\Windows\System32\AqhOkgg.exe
  2⤵
  PID:7976
- C:\Windows\System32\CEFtGeV.exe
  C:\Windows\System32\CEFtGeV.exe
  2⤵
  PID:8004
- C:\Windows\System32\fwGiTQc.exe
  C:\Windows\System32\fwGiTQc.exe
  2⤵
  PID:8028
- C:\Windows\System32\MtpqbVM.exe
  C:\Windows\System32\MtpqbVM.exe
  2⤵
  PID:8060
- C:\Windows\System32\sAxWZXI.exe
  C:\Windows\System32\sAxWZXI.exe
  2⤵
  PID:8088
- C:\Windows\System32\bzVNxjf.exe
  C:\Windows\System32\bzVNxjf.exe
  2⤵
  PID:8188
- C:\Windows\System32\xugjYhs.exe
  C:\Windows\System32\xugjYhs.exe
  2⤵
  PID:6556
- C:\Windows\System32\TXfYpFp.exe
  C:\Windows\System32\TXfYpFp.exe
  2⤵
  PID:4220
- C:\Windows\System32\MnxfkUS.exe
  C:\Windows\System32\MnxfkUS.exe
  2⤵
  PID:7112
- C:\Windows\System32\sspmpaW.exe
  C:\Windows\System32\sspmpaW.exe
  2⤵
  PID:5340
- C:\Windows\System32\orVyrbA.exe
  C:\Windows\System32\orVyrbA.exe
  2⤵
  PID:7184
- C:\Windows\System32\jptZvOv.exe
  C:\Windows\System32\jptZvOv.exe
  2⤵
  PID:7240
- C:\Windows\System32\iZSZxvu.exe
  C:\Windows\System32\iZSZxvu.exe
  2⤵
  PID:7256
- C:\Windows\System32\wRfjgOf.exe
  C:\Windows\System32\wRfjgOf.exe
  2⤵
  PID:7288
- C:\Windows\System32\JqfpSIQ.exe
  C:\Windows\System32\JqfpSIQ.exe
  2⤵
  PID:7368
- C:\Windows\System32\tpAdNaY.exe
  C:\Windows\System32\tpAdNaY.exe
  2⤵
  PID:7436
- C:\Windows\System32\EZALeKg.exe
  C:\Windows\System32\EZALeKg.exe
  2⤵
  PID:7484
- C:\Windows\System32\DVjlIcU.exe
  C:\Windows\System32\DVjlIcU.exe
  2⤵
  PID:7512
- C:\Windows\System32\DakpSRY.exe
  C:\Windows\System32\DakpSRY.exe
  2⤵
  PID:7536
- C:\Windows\System32\rZQSxhb.exe
  C:\Windows\System32\rZQSxhb.exe
  2⤵
  PID:1392
- C:\Windows\System32\rBYPtTH.exe
  C:\Windows\System32\rBYPtTH.exe
  2⤵
  PID:7704
- C:\Windows\System32\uxpsLOX.exe
  C:\Windows\System32\uxpsLOX.exe
  2⤵
  PID:7784
- C:\Windows\System32\sIKQDYt.exe
  C:\Windows\System32\sIKQDYt.exe
  2⤵
  PID:7816
- C:\Windows\System32\Zjxivut.exe
  C:\Windows\System32\Zjxivut.exe
  2⤵
  PID:7844
- C:\Windows\System32\wNqwsUf.exe
  C:\Windows\System32\wNqwsUf.exe
  2⤵
  PID:7884
- C:\Windows\System32\GEJWkuq.exe
  C:\Windows\System32\GEJWkuq.exe
  2⤵
  PID:7956
- C:\Windows\System32\YFRnTWH.exe
  C:\Windows\System32\YFRnTWH.exe
  2⤵
  PID:3292
- C:\Windows\System32\MNuoKGB.exe
  C:\Windows\System32\MNuoKGB.exe
  2⤵
  PID:8016
- C:\Windows\System32\XDRrjGp.exe
  C:\Windows\System32\XDRrjGp.exe
  2⤵
  PID:8036
- C:\Windows\System32\lLHojhS.exe
  C:\Windows\System32\lLHojhS.exe
  2⤵
  PID:4360
- C:\Windows\System32\RJWakjg.exe
  C:\Windows\System32\RJWakjg.exe
  2⤵
  PID:4368
- C:\Windows\System32\Xbsxdmt.exe
  C:\Windows\System32\Xbsxdmt.exe
  2⤵
  PID:6264
- C:\Windows\System32\MllMCWs.exe
  C:\Windows\System32\MllMCWs.exe
  2⤵
  PID:6720
- C:\Windows\System32\nKavdUC.exe
  C:\Windows\System32\nKavdUC.exe
  2⤵
  PID:7296
- C:\Windows\System32\QKGWieU.exe
  C:\Windows\System32\QKGWieU.exe
  2⤵
  PID:7316
- C:\Windows\System32\ybapqyB.exe
  C:\Windows\System32\ybapqyB.exe
  2⤵
  PID:7592
- C:\Windows\System32\MESWeoN.exe
  C:\Windows\System32\MESWeoN.exe
  2⤵
  PID:7520
- C:\Windows\System32\IwVXXwQ.exe
  C:\Windows\System32\IwVXXwQ.exe
  2⤵
  PID:1960
- C:\Windows\System32\xHlUStt.exe
  C:\Windows\System32\xHlUStt.exe
  2⤵
  PID:7232
- C:\Windows\System32\eLcoEiW.exe
  C:\Windows\System32\eLcoEiW.exe
  2⤵
  PID:5864
- C:\Windows\System32\IKHClNs.exe
  C:\Windows\System32\IKHClNs.exe
  2⤵
  PID:3748
- C:\Windows\System32\CKVBAeX.exe
  C:\Windows\System32\CKVBAeX.exe
  2⤵
  PID:680
- C:\Windows\System32\KGgvxrl.exe
  C:\Windows\System32\KGgvxrl.exe
  2⤵
  PID:3756
- C:\Windows\System32\VqdQYvA.exe
  C:\Windows\System32\VqdQYvA.exe
  2⤵
  PID:932
- C:\Windows\System32\BRMKKwZ.exe
  C:\Windows\System32\BRMKKwZ.exe
  2⤵
  PID:7400
- C:\Windows\System32\YlJvjDo.exe
  C:\Windows\System32\YlJvjDo.exe
  2⤵
  PID:1600
- C:\Windows\System32\pvWLfDH.exe
  C:\Windows\System32\pvWLfDH.exe
  2⤵
  PID:2332
- C:\Windows\System32\kJFYJdC.exe
  C:\Windows\System32\kJFYJdC.exe
  2⤵
  PID:7996
- C:\Windows\System32\oVjxnCP.exe
  C:\Windows\System32\oVjxnCP.exe
  2⤵
  PID:4580
- C:\Windows\System32\sejmITw.exe
  C:\Windows\System32\sejmITw.exe
  2⤵
  PID:2752
- C:\Windows\System32\cFRrYct.exe
  C:\Windows\System32\cFRrYct.exe
  2⤵
  PID:3764
- C:\Windows\System32\lvLkrqL.exe
  C:\Windows\System32\lvLkrqL.exe
  2⤵
  PID:7680
- C:\Windows\System32\BFdyTiQ.exe
  C:\Windows\System32\BFdyTiQ.exe
  2⤵
  PID:2236
- C:\Windows\System32\LgSaEGl.exe
  C:\Windows\System32\LgSaEGl.exe
  2⤵
  PID:980
- C:\Windows\System32\becPeWX.exe
  C:\Windows\System32\becPeWX.exe
  2⤵
  PID:8208
- C:\Windows\System32\CZduOXl.exe
  C:\Windows\System32\CZduOXl.exe
  2⤵
  PID:8252
- C:\Windows\System32\nJiouXS.exe
  C:\Windows\System32\nJiouXS.exe
  2⤵
  PID:8280
- C:\Windows\System32\GkSgPnj.exe
  C:\Windows\System32\GkSgPnj.exe
  2⤵
  PID:8308
- C:\Windows\System32\UXBmVmS.exe
  C:\Windows\System32\UXBmVmS.exe
  2⤵
  PID:8336
- C:\Windows\System32\PXdFHqu.exe
  C:\Windows\System32\PXdFHqu.exe
  2⤵
  PID:8352
- C:\Windows\System32\UFiIRfc.exe
  C:\Windows\System32\UFiIRfc.exe
  2⤵
  PID:8400
- C:\Windows\System32\ZTRWIrY.exe
  C:\Windows\System32\ZTRWIrY.exe
  2⤵
  PID:8420
- C:\Windows\System32\DMxjpez.exe
  C:\Windows\System32\DMxjpez.exe
  2⤵
  PID:8452
- C:\Windows\System32\eBqowIZ.exe
  C:\Windows\System32\eBqowIZ.exe
  2⤵
  PID:8480
- C:\Windows\System32\BWfclUm.exe
  C:\Windows\System32\BWfclUm.exe
  2⤵
  PID:8512
- C:\Windows\System32\zdATjyZ.exe
  C:\Windows\System32\zdATjyZ.exe
  2⤵
  PID:8528
- C:\Windows\System32\tPHtqxB.exe
  C:\Windows\System32\tPHtqxB.exe
  2⤵
  PID:8548
- C:\Windows\System32\axJbPZV.exe
  C:\Windows\System32\axJbPZV.exe
  2⤵
  PID:8580
- C:\Windows\System32\CtvtGtn.exe
  C:\Windows\System32\CtvtGtn.exe
  2⤵
  PID:8604
- C:\Windows\System32\FhLlmPS.exe
  C:\Windows\System32\FhLlmPS.exe
  2⤵
  PID:8632
- C:\Windows\System32\dZXesYg.exe
  C:\Windows\System32\dZXesYg.exe
  2⤵
  PID:8668
- C:\Windows\System32\bjkRMGb.exe
  C:\Windows\System32\bjkRMGb.exe
  2⤵
  PID:8708
- C:\Windows\System32\aNgZAba.exe
  C:\Windows\System32\aNgZAba.exe
  2⤵
  PID:8728
- C:\Windows\System32\HYmdNip.exe
  C:\Windows\System32\HYmdNip.exe
  2⤵
  PID:8764
- C:\Windows\System32\rGlmWmO.exe
  C:\Windows\System32\rGlmWmO.exe
  2⤵
  PID:8780
- C:\Windows\System32\GuFfBzl.exe
  C:\Windows\System32\GuFfBzl.exe
  2⤵
  PID:8808
- C:\Windows\System32\jXCpajd.exe
  C:\Windows\System32\jXCpajd.exe
  2⤵
  PID:8840
- C:\Windows\System32\noUtlVu.exe
  C:\Windows\System32\noUtlVu.exe
  2⤵
  PID:8876
- C:\Windows\System32\Ygpavgz.exe
  C:\Windows\System32\Ygpavgz.exe
  2⤵
  PID:8908
- C:\Windows\System32\auFYrXh.exe
  C:\Windows\System32\auFYrXh.exe
  2⤵
  PID:8928
- C:\Windows\System32\zoxTmnu.exe
  C:\Windows\System32\zoxTmnu.exe
  2⤵
  PID:8960
- C:\Windows\System32\bKWffOg.exe
  C:\Windows\System32\bKWffOg.exe
  2⤵
  PID:8992
- C:\Windows\System32\insaUDd.exe
  C:\Windows\System32\insaUDd.exe
  2⤵
  PID:9020
- C:\Windows\System32\cSzrJEV.exe
  C:\Windows\System32\cSzrJEV.exe
  2⤵
  PID:9040
- C:\Windows\System32\MwbRxnH.exe
  C:\Windows\System32\MwbRxnH.exe
  2⤵
  PID:9076
- C:\Windows\System32\nRLLgPL.exe
  C:\Windows\System32\nRLLgPL.exe
  2⤵
  PID:9108
- C:\Windows\System32\zfxojxs.exe
  C:\Windows\System32\zfxojxs.exe
  2⤵
  PID:9136
- C:\Windows\System32\PxqURUP.exe
  C:\Windows\System32\PxqURUP.exe
  2⤵
  PID:9152
- C:\Windows\System32\NrGmQmf.exe
  C:\Windows\System32\NrGmQmf.exe
  2⤵
  PID:9180
- C:\Windows\System32\eXhlLUX.exe
  C:\Windows\System32\eXhlLUX.exe
  2⤵
  PID:9196
- C:\Windows\System32\YEDAEgX.exe
  C:\Windows\System32\YEDAEgX.exe
  2⤵
  PID:8248
- C:\Windows\System32\mvHMlHt.exe
  C:\Windows\System32\mvHMlHt.exe
  2⤵
  PID:8320
- C:\Windows\System32\zEGKJYH.exe
  C:\Windows\System32\zEGKJYH.exe
  2⤵
  PID:8412
- C:\Windows\System32\yYTQDYQ.exe
  C:\Windows\System32\yYTQDYQ.exe
  2⤵
  PID:8476
- C:\Windows\System32\xubrPhW.exe
  C:\Windows\System32\xubrPhW.exe
  2⤵
  PID:8520
- C:\Windows\System32\fvpzDkP.exe
  C:\Windows\System32\fvpzDkP.exe
  2⤵
  PID:8600
- C:\Windows\System32\epbWBDT.exe
  C:\Windows\System32\epbWBDT.exe
  2⤵
  PID:8592
- C:\Windows\System32\bxsAVfF.exe
  C:\Windows\System32\bxsAVfF.exe
  2⤵
  PID:8720
- C:\Windows\System32\AGTPdqT.exe
  C:\Windows\System32\AGTPdqT.exe
  2⤵
  PID:8756
- C:\Windows\System32\EiswCCF.exe
  C:\Windows\System32\EiswCCF.exe
  2⤵
  PID:8892
- C:\Windows\System32\mDEhgWg.exe
  C:\Windows\System32\mDEhgWg.exe
  2⤵
  PID:8936
- C:\Windows\System32\PJRbuoG.exe
  C:\Windows\System32\PJRbuoG.exe
  2⤵
  PID:1624
- C:\Windows\System32\NPWKXqL.exe
  C:\Windows\System32\NPWKXqL.exe
  2⤵
  PID:9060
- C:\Windows\System32\ckOabam.exe
  C:\Windows\System32\ckOabam.exe
  2⤵
  PID:9096
- C:\Windows\System32\FqAvNzH.exe
  C:\Windows\System32\FqAvNzH.exe
  2⤵
  PID:9164
- C:\Windows\System32\vebtqfD.exe
  C:\Windows\System32\vebtqfD.exe
  2⤵
  PID:9208
- C:\Windows\System32\KQSyxWu.exe
  C:\Windows\System32\KQSyxWu.exe
  2⤵
  PID:8388
- C:\Windows\System32\piFXpKb.exe
  C:\Windows\System32\piFXpKb.exe
  2⤵
  PID:8508
- C:\Windows\System32\kENACzT.exe
  C:\Windows\System32\kENACzT.exe
  2⤵
  PID:8660
- C:\Windows\System32\RKXiLcd.exe
  C:\Windows\System32\RKXiLcd.exe
  2⤵
  PID:8904
- C:\Windows\System32\xNcZvYS.exe
  C:\Windows\System32\xNcZvYS.exe
  2⤵
  PID:9028
- C:\Windows\System32\NikeNVz.exe
  C:\Windows\System32\NikeNVz.exe
  2⤵
  PID:9132
- C:\Windows\System32\AYrSQcu.exe
  C:\Windows\System32\AYrSQcu.exe
  2⤵
  PID:9212
- C:\Windows\System32\fZYvQIf.exe
  C:\Windows\System32\fZYvQIf.exe
  2⤵
  PID:8464
- C:\Windows\System32\KqpCloj.exe
  C:\Windows\System32\KqpCloj.exe
  2⤵
  PID:8620
- C:\Windows\System32\uCZXGoI.exe
  C:\Windows\System32\uCZXGoI.exe
  2⤵
  PID:9088
- C:\Windows\System32\HrPkIJM.exe
  C:\Windows\System32\HrPkIJM.exe
  2⤵
  PID:8448
- C:\Windows\System32\dUvBHDt.exe
  C:\Windows\System32\dUvBHDt.exe
  2⤵
  PID:8796
- C:\Windows\System32\lWgkyqV.exe
  C:\Windows\System32\lWgkyqV.exe
  2⤵
  PID:8968
- C:\Windows\System32\zcPKoWR.exe
  C:\Windows\System32\zcPKoWR.exe
  2⤵
  PID:9248
- C:\Windows\System32\TqDlSce.exe
  C:\Windows\System32\TqDlSce.exe
  2⤵
  PID:9276
- C:\Windows\System32\nkWoUqi.exe
  C:\Windows\System32\nkWoUqi.exe
  2⤵
  PID:9304
- C:\Windows\System32\AinSPkm.exe
  C:\Windows\System32\AinSPkm.exe
  2⤵
  PID:9332
- C:\Windows\System32\GlLlwQm.exe
  C:\Windows\System32\GlLlwQm.exe
  2⤵
  PID:9356
- C:\Windows\System32\PTQyyUc.exe
  C:\Windows\System32\PTQyyUc.exe
  2⤵
  PID:9392
- C:\Windows\System32\FJLTjgY.exe
  C:\Windows\System32\FJLTjgY.exe
  2⤵
  PID:9412
- C:\Windows\System32\JimFnoS.exe
  C:\Windows\System32\JimFnoS.exe
  2⤵
  PID:9452
- C:\Windows\System32\vJGVEBT.exe
  C:\Windows\System32\vJGVEBT.exe
  2⤵
  PID:9480
- C:\Windows\System32\ZSoCLaz.exe
  C:\Windows\System32\ZSoCLaz.exe
  2⤵
  PID:9508
- C:\Windows\System32\nqwuEfP.exe
  C:\Windows\System32\nqwuEfP.exe
  2⤵
  PID:9536
- C:\Windows\System32\vIUskvO.exe
  C:\Windows\System32\vIUskvO.exe
  2⤵
  PID:9564
- C:\Windows\System32\gWZZEcE.exe
  C:\Windows\System32\gWZZEcE.exe
  2⤵
  PID:9580
- C:\Windows\System32\dgwvtUt.exe
  C:\Windows\System32\dgwvtUt.exe
  2⤵
  PID:9620
- C:\Windows\System32\wlGkDzd.exe
  C:\Windows\System32\wlGkDzd.exe
  2⤵
  PID:9648
- C:\Windows\System32\EfarRQY.exe
  C:\Windows\System32\EfarRQY.exe
  2⤵
  PID:9676
- C:\Windows\System32\fOvVrcI.exe
  C:\Windows\System32\fOvVrcI.exe
  2⤵
  PID:9700
- C:\Windows\System32\qvXktsg.exe
  C:\Windows\System32\qvXktsg.exe
  2⤵
  PID:9728
- C:\Windows\System32\tJkGOIF.exe
  C:\Windows\System32\tJkGOIF.exe
  2⤵
  PID:9760
- C:\Windows\System32\GbLEndH.exe
  C:\Windows\System32\GbLEndH.exe
  2⤵
  PID:9792
- C:\Windows\System32\PbBXoPB.exe
  C:\Windows\System32\PbBXoPB.exe
  2⤵
  PID:9808
- C:\Windows\System32\kXklCwJ.exe
  C:\Windows\System32\kXklCwJ.exe
  2⤵
  PID:9828
- C:\Windows\System32\DWXeIHQ.exe
  C:\Windows\System32\DWXeIHQ.exe
  2⤵
  PID:9888
- C:\Windows\System32\BLTBRWr.exe
  C:\Windows\System32\BLTBRWr.exe
  2⤵
  PID:9904
- C:\Windows\System32\brbuhTG.exe
  C:\Windows\System32\brbuhTG.exe
  2⤵
  PID:9920
- C:\Windows\System32\EbCpaXq.exe
  C:\Windows\System32\EbCpaXq.exe
  2⤵
  PID:9952
- C:\Windows\System32\hzZCnDG.exe
  C:\Windows\System32\hzZCnDG.exe
  2⤵
  PID:9984
- C:\Windows\System32\nOZeoUh.exe
  C:\Windows\System32\nOZeoUh.exe
  2⤵
  PID:10004
- C:\Windows\System32\wrTxMpU.exe
  C:\Windows\System32\wrTxMpU.exe
  2⤵
  PID:10032
- C:\Windows\System32\uigKQyW.exe
  C:\Windows\System32\uigKQyW.exe
  2⤵
  PID:10068
- C:\Windows\System32\BUClMAj.exe
  C:\Windows\System32\BUClMAj.exe
  2⤵
  PID:10100
- C:\Windows\System32\VlLMzoJ.exe
  C:\Windows\System32\VlLMzoJ.exe
  2⤵
  PID:10128
- C:\Windows\System32\GlAaOGE.exe
  C:\Windows\System32\GlAaOGE.exe
  2⤵
  PID:10156
- C:\Windows\System32\gFQZEKa.exe
  C:\Windows\System32\gFQZEKa.exe
  2⤵
  PID:10176
- C:\Windows\System32\JeKxicX.exe
  C:\Windows\System32\JeKxicX.exe
  2⤵
  PID:10216
- C:\Windows\System32\oSzXTGf.exe
  C:\Windows\System32\oSzXTGf.exe
  2⤵
  PID:9228
- C:\Windows\System32\rxExEuG.exe
  C:\Windows\System32\rxExEuG.exe
  2⤵
  PID:9292
- C:\Windows\System32\dsRKJLA.exe
  C:\Windows\System32\dsRKJLA.exe
  2⤵
  PID:9340
- C:\Windows\System32\gjNrtbD.exe
  C:\Windows\System32\gjNrtbD.exe
  2⤵
  PID:9444
- C:\Windows\System32\hEbxTct.exe
  C:\Windows\System32\hEbxTct.exe
  2⤵
  PID:9476
- C:\Windows\System32\jSkLMZJ.exe
  C:\Windows\System32\jSkLMZJ.exe
  2⤵
  PID:9524
- C:\Windows\System32\QtwpCBt.exe
  C:\Windows\System32\QtwpCBt.exe
  2⤵
  PID:9604
- C:\Windows\System32\GEgtmjS.exe
  C:\Windows\System32\GEgtmjS.exe
  2⤵
  PID:9640
- C:\Windows\System32\dFWveJh.exe
  C:\Windows\System32\dFWveJh.exe
  2⤵
  PID:9720
- C:\Windows\System32\FNBhvPa.exe
  C:\Windows\System32\FNBhvPa.exe
  2⤵
  PID:9780
- C:\Windows\System32\lCTuwhm.exe
  C:\Windows\System32\lCTuwhm.exe
  2⤵
  PID:9852
- C:\Windows\System32\OALeEIp.exe
  C:\Windows\System32\OALeEIp.exe
  2⤵
  PID:9932
- C:\Windows\System32\nsaFEVv.exe
  C:\Windows\System32\nsaFEVv.exe
  2⤵
  PID:9972
- C:\Windows\System32\rQikcGR.exe
  C:\Windows\System32\rQikcGR.exe
  2⤵
  PID:8772
- C:\Windows\System32\tvAcWng.exe
  C:\Windows\System32\tvAcWng.exe
  2⤵
  PID:10096
- C:\Windows\System32\tvAitzH.exe
  C:\Windows\System32\tvAitzH.exe
  2⤵
  PID:10196
- C:\Windows\System32\dULggkD.exe
  C:\Windows\System32\dULggkD.exe
  2⤵
  PID:9272
- C:\Windows\System32\oPdTKbb.exe
  C:\Windows\System32\oPdTKbb.exe
  2⤵
  PID:9400
- C:\Windows\System32\btfBhqg.exe
  C:\Windows\System32\btfBhqg.exe
  2⤵
  PID:9504
- C:\Windows\System32\nsWBpAt.exe
  C:\Windows\System32\nsWBpAt.exe
  2⤵
  PID:9632
- C:\Windows\System32\swyAnCP.exe
  C:\Windows\System32\swyAnCP.exe
  2⤵
  PID:9840
- C:\Windows\System32\PxhfjuI.exe
  C:\Windows\System32\PxhfjuI.exe
  2⤵
  PID:10056
- C:\Windows\System32\jzQEzIr.exe
  C:\Windows\System32\jzQEzIr.exe
  2⤵
  PID:10168
- C:\Windows\System32\xoBVhLg.exe
  C:\Windows\System32\xoBVhLg.exe
  2⤵
  PID:10228
- C:\Windows\System32\oGDwpkS.exe
  C:\Windows\System32\oGDwpkS.exe
  2⤵
  PID:9576
- C:\Windows\System32\VNyIDES.exe
  C:\Windows\System32\VNyIDES.exe
  2⤵
  PID:10084
- C:\Windows\System32\NsjoMpD.exe
  C:\Windows\System32\NsjoMpD.exe
  2⤵
  PID:9684
- C:\Windows\System32\MNtnssc.exe
  C:\Windows\System32\MNtnssc.exe
  2⤵
  PID:10152
- C:\Windows\System32\ubpPmEJ.exe
  C:\Windows\System32\ubpPmEJ.exe
  2⤵
  PID:10268
- C:\Windows\System32\gNGREKo.exe
  C:\Windows\System32\gNGREKo.exe
  2⤵
  PID:10300
- C:\Windows\System32\xOPfGPX.exe
  C:\Windows\System32\xOPfGPX.exe
  2⤵
  PID:10324
- C:\Windows\System32\Azqkhmy.exe
  C:\Windows\System32\Azqkhmy.exe
  2⤵
  PID:10344
- C:\Windows\System32\ZmBJfay.exe
  C:\Windows\System32\ZmBJfay.exe
  2⤵
  PID:10380
- C:\Windows\System32\UPcHlhI.exe
  C:\Windows\System32\UPcHlhI.exe
  2⤵
  PID:10396
- C:\Windows\System32\vUAmutb.exe
  C:\Windows\System32\vUAmutb.exe
  2⤵
  PID:10432
- C:\Windows\System32\lBtXEYo.exe
  C:\Windows\System32\lBtXEYo.exe
  2⤵
  PID:10464
- C:\Windows\System32\ZYTnFEX.exe
  C:\Windows\System32\ZYTnFEX.exe
  2⤵
  PID:10480
- C:\Windows\System32\EKnZuPl.exe
  C:\Windows\System32\EKnZuPl.exe
  2⤵
  PID:10508
- C:\Windows\System32\TaiiGdl.exe
  C:\Windows\System32\TaiiGdl.exe
  2⤵
  PID:10536
- C:\Windows\System32\RHeaxLi.exe
  C:\Windows\System32\RHeaxLi.exe
  2⤵
  PID:10552
- C:\Windows\System32\yIrZlZW.exe
  C:\Windows\System32\yIrZlZW.exe
  2⤵
  PID:10604
- C:\Windows\System32\HYYkxEE.exe
  C:\Windows\System32\HYYkxEE.exe
  2⤵
  PID:10624
- C:\Windows\System32\sBScCCT.exe
  C:\Windows\System32\sBScCCT.exe
  2⤵
  PID:10660
- C:\Windows\System32\ETSfdvn.exe
  C:\Windows\System32\ETSfdvn.exe
  2⤵
  PID:10688
- C:\Windows\System32\adoMvey.exe
  C:\Windows\System32\adoMvey.exe
  2⤵
  PID:10704
- C:\Windows\System32\dKXgzOZ.exe
  C:\Windows\System32\dKXgzOZ.exe
  2⤵
  PID:10736
- C:\Windows\System32\RRBwmXH.exe
  C:\Windows\System32\RRBwmXH.exe
  2⤵
  PID:10764
- C:\Windows\System32\pFInAkf.exe
  C:\Windows\System32\pFInAkf.exe
  2⤵
  PID:10800
- C:\Windows\System32\SPemQsD.exe
  C:\Windows\System32\SPemQsD.exe
  2⤵
  PID:10828
- C:\Windows\System32\fUtosVS.exe
  C:\Windows\System32\fUtosVS.exe
  2⤵
  PID:10852
- C:\Windows\System32\ONrXAVY.exe
  C:\Windows\System32\ONrXAVY.exe
  2⤵
  PID:10880
- C:\Windows\System32\DJniGey.exe
  C:\Windows\System32\DJniGey.exe
  2⤵
  PID:10912
- C:\Windows\System32\augAMuw.exe
  C:\Windows\System32\augAMuw.exe
  2⤵
  PID:10952
- C:\Windows\System32\ZNXjdMO.exe
  C:\Windows\System32\ZNXjdMO.exe
  2⤵
  PID:10972
- C:\Windows\System32\oqSkXwo.exe
  C:\Windows\System32\oqSkXwo.exe
  2⤵
  PID:11000
- C:\Windows\System32\SckLAtC.exe
  C:\Windows\System32\SckLAtC.exe
  2⤵
  PID:11032
- C:\Windows\System32\vHrikKm.exe
  C:\Windows\System32\vHrikKm.exe
  2⤵
  PID:11056
- C:\Windows\System32\WwaQBwJ.exe
  C:\Windows\System32\WwaQBwJ.exe
  2⤵
  PID:11080
- C:\Windows\System32\ARDWtBB.exe
  C:\Windows\System32\ARDWtBB.exe
  2⤵
  PID:11116
- C:\Windows\System32\IIfuiBK.exe
  C:\Windows\System32\IIfuiBK.exe
  2⤵
  PID:11144
- C:\Windows\System32\pwByMNM.exe
  C:\Windows\System32\pwByMNM.exe
  2⤵
  PID:11172
- C:\Windows\System32\NroXqMw.exe
  C:\Windows\System32\NroXqMw.exe
  2⤵
  PID:11200
- C:\Windows\System32\WAHWcrm.exe
  C:\Windows\System32\WAHWcrm.exe
  2⤵
  PID:11228
- C:\Windows\System32\PiFqZdQ.exe
  C:\Windows\System32\PiFqZdQ.exe
  2⤵
  PID:11244
- C:\Windows\System32\ZmNehoK.exe
  C:\Windows\System32\ZmNehoK.exe
  2⤵
  PID:10280
- C:\Windows\System32\HbpHYLk.exe
  C:\Windows\System32\HbpHYLk.exe
  2⤵
  PID:10332
- C:\Windows\System32\LhlQESN.exe
  C:\Windows\System32\LhlQESN.exe
  2⤵
  PID:10408
- C:\Windows\System32\fkEVVtB.exe
  C:\Windows\System32\fkEVVtB.exe
  2⤵
  PID:10448
- C:\Windows\System32\PmMwExS.exe
  C:\Windows\System32\PmMwExS.exe
  2⤵
  PID:10500
- C:\Windows\System32\AXMngry.exe
  C:\Windows\System32\AXMngry.exe
  2⤵
  PID:10584
- C:\Windows\System32\zFFpjKg.exe
  C:\Windows\System32\zFFpjKg.exe
  2⤵
  PID:10652
- C:\Windows\System32\woJswWg.exe
  C:\Windows\System32\woJswWg.exe
  2⤵
  PID:10720
- C:\Windows\System32\mFuKKtk.exe
  C:\Windows\System32\mFuKKtk.exe
  2⤵
  PID:10760
- C:\Windows\System32\ERiadPe.exe
  C:\Windows\System32\ERiadPe.exe
  2⤵
  PID:10164
- C:\Windows\System32\NyEbrDk.exe
  C:\Windows\System32\NyEbrDk.exe
  2⤵
  PID:10896
- C:\Windows\System32\ehDYAcT.exe
  C:\Windows\System32\ehDYAcT.exe
  2⤵
  PID:10940
- C:\Windows\System32\oAasqjo.exe
  C:\Windows\System32\oAasqjo.exe
  2⤵
  PID:11016
- C:\Windows\System32\DiTRcyb.exe
  C:\Windows\System32\DiTRcyb.exe
  2⤵
  PID:11040
- C:\Windows\System32\PftLAlO.exe
  C:\Windows\System32\PftLAlO.exe
  2⤵
  PID:11164
- C:\Windows\System32\KDVxlou.exe
  C:\Windows\System32\KDVxlou.exe
  2⤵
  PID:11224
- C:\Windows\System32\ifJOiXT.exe
  C:\Windows\System32\ifJOiXT.exe
  2⤵
  PID:9940
- C:\Windows\System32\xkxlMZV.exe
  C:\Windows\System32\xkxlMZV.exe
  2⤵
  PID:10420
- C:\Windows\System32\bYLZbNZ.exe
  C:\Windows\System32\bYLZbNZ.exe
  2⤵
  PID:10544
- C:\Windows\System32\iFzbrZp.exe
  C:\Windows\System32\iFzbrZp.exe
  2⤵
  PID:10716
- C:\Windows\System32\STXJETu.exe
  C:\Windows\System32\STXJETu.exe
  2⤵
  PID:10812
- C:\Windows\System32\GyMIFyI.exe
  C:\Windows\System32\GyMIFyI.exe
  2⤵
  PID:11048
- C:\Windows\System32\ByAMSyx.exe
  C:\Windows\System32\ByAMSyx.exe
  2⤵
  PID:11192
- C:\Windows\System32\hvdgGQX.exe
  C:\Windows\System32\hvdgGQX.exe
  2⤵
  PID:11256
- C:\Windows\System32\QAeNwPs.exe
  C:\Windows\System32\QAeNwPs.exe
  2⤵
  PID:10632
- C:\Windows\System32\fxnKbDF.exe
  C:\Windows\System32\fxnKbDF.exe
  2⤵
  PID:11068
- C:\Windows\System32\ADAkLwR.exe
  C:\Windows\System32\ADAkLwR.exe
  2⤵
  PID:11220
- C:\Windows\System32\XVBkUdr.exe
  C:\Windows\System32\XVBkUdr.exe
  2⤵
  PID:11136
- C:\Windows\System32\CvAfTsn.exe
  C:\Windows\System32\CvAfTsn.exe
  2⤵
  PID:11296
- C:\Windows\System32\qUSALmC.exe
  C:\Windows\System32\qUSALmC.exe
  2⤵
  PID:11328
- C:\Windows\System32\emHOnMW.exe
  C:\Windows\System32\emHOnMW.exe
  2⤵
  PID:11364
- C:\Windows\System32\bDSWvBw.exe
  C:\Windows\System32\bDSWvBw.exe
  2⤵
  PID:11388
- C:\Windows\System32\aOqfOEB.exe
  C:\Windows\System32\aOqfOEB.exe
  2⤵
  PID:11416
- C:\Windows\System32\FNwebjD.exe
  C:\Windows\System32\FNwebjD.exe
  2⤵
  PID:11432
- C:\Windows\System32\HDtmkGa.exe
  C:\Windows\System32\HDtmkGa.exe
  2⤵
  PID:11472
- C:\Windows\System32\OnKfglY.exe
  C:\Windows\System32\OnKfglY.exe
  2⤵
  PID:11488
- C:\Windows\System32\shLDYzo.exe
  C:\Windows\System32\shLDYzo.exe
  2⤵
  PID:11516
- C:\Windows\System32\RufIPtC.exe
  C:\Windows\System32\RufIPtC.exe
  2⤵
  PID:11544
- C:\Windows\System32\wijXtrt.exe
  C:\Windows\System32\wijXtrt.exe
  2⤵
  PID:11572
- C:\Windows\System32\SNFozRX.exe
  C:\Windows\System32\SNFozRX.exe
  2⤵
  PID:11592
- C:\Windows\System32\JRAKEPG.exe
  C:\Windows\System32\JRAKEPG.exe
  2⤵
  PID:11652
- C:\Windows\System32\CVPcrPS.exe
  C:\Windows\System32\CVPcrPS.exe
  2⤵
  PID:11672
- C:\Windows\System32\UYSIrtI.exe
  C:\Windows\System32\UYSIrtI.exe
  2⤵
  PID:11700
- C:\Windows\System32\gvUtHjN.exe
  C:\Windows\System32\gvUtHjN.exe
  2⤵
  PID:11716
- C:\Windows\System32\OsZqBfu.exe
  C:\Windows\System32\OsZqBfu.exe
  2⤵
  PID:11748
- C:\Windows\System32\KtWOfQp.exe
  C:\Windows\System32\KtWOfQp.exe
  2⤵
  PID:11784
- C:\Windows\System32\nEjhcNo.exe
  C:\Windows\System32\nEjhcNo.exe
  2⤵
  PID:11804
- C:\Windows\System32\PqtKSKi.exe
  C:\Windows\System32\PqtKSKi.exe
  2⤵
  PID:11828
- C:\Windows\System32\XoffWzX.exe
  C:\Windows\System32\XoffWzX.exe
  2⤵
  PID:11864
- C:\Windows\System32\mxxaEwN.exe
  C:\Windows\System32\mxxaEwN.exe
  2⤵
  PID:11884
- C:\Windows\System32\MOvpNqf.exe
  C:\Windows\System32\MOvpNqf.exe
  2⤵
  PID:11928
- C:\Windows\System32\UDManFE.exe
  C:\Windows\System32\UDManFE.exe
  2⤵
  PID:11952
- C:\Windows\System32\wMhJTEo.exe
  C:\Windows\System32\wMhJTEo.exe
  2⤵
  PID:11980
- C:\Windows\System32\QFIPLhz.exe
  C:\Windows\System32\QFIPLhz.exe
  2⤵
  PID:12008
- C:\Windows\System32\fhqIczz.exe
  C:\Windows\System32\fhqIczz.exe
  2⤵
  PID:12036
- C:\Windows\System32\iCulhpz.exe
  C:\Windows\System32\iCulhpz.exe
  2⤵
  PID:12064
- C:\Windows\System32\tGQwWgZ.exe
  C:\Windows\System32\tGQwWgZ.exe
  2⤵
  PID:12092
- C:\Windows\System32\LqBdqdr.exe
  C:\Windows\System32\LqBdqdr.exe
  2⤵
  PID:12120
- C:\Windows\System32\APXVFFA.exe
  C:\Windows\System32\APXVFFA.exe
  2⤵
  PID:12148
- C:\Windows\System32\HjyvDeV.exe
  C:\Windows\System32\HjyvDeV.exe
  2⤵
  PID:12176
- C:\Windows\System32\ACTcpgY.exe
  C:\Windows\System32\ACTcpgY.exe
  2⤵
  PID:12204
- C:\Windows\System32\FsRTkWR.exe
  C:\Windows\System32\FsRTkWR.exe
  2⤵
  PID:12232
- C:\Windows\System32\eaxvFzv.exe
  C:\Windows\System32\eaxvFzv.exe
  2⤵
  PID:12260
- C:\Windows\System32\nCFohRH.exe
  C:\Windows\System32\nCFohRH.exe
  2⤵
  PID:4832
- C:\Windows\System32\bwEPpGi.exe
  C:\Windows\System32\bwEPpGi.exe
  2⤵
  PID:11336
- C:\Windows\System32\VRVDQPd.exe
  C:\Windows\System32\VRVDQPd.exe
  2⤵
  PID:11400
- C:\Windows\System32\tdzhpZa.exe
  C:\Windows\System32\tdzhpZa.exe
  2⤵
  PID:11452
- C:\Windows\System32\WHpyAUW.exe
  C:\Windows\System32\WHpyAUW.exe
  2⤵
  PID:11512
- C:\Windows\System32\rHLABRx.exe
  C:\Windows\System32\rHLABRx.exe
  2⤵
  PID:11584
- C:\Windows\System32\WFeNqdf.exe
  C:\Windows\System32\WFeNqdf.exe
  2⤵
  PID:11648
- C:\Windows\System32\SWqKopo.exe
  C:\Windows\System32\SWqKopo.exe
  2⤵
  PID:11728
- C:\Windows\System32\MTBcjzn.exe
  C:\Windows\System32\MTBcjzn.exe
  2⤵
  PID:11816
- C:\Windows\System32\jADRNZx.exe
  C:\Windows\System32\jADRNZx.exe
  2⤵
  PID:11860
- C:\Windows\System32\xYXBXFH.exe
  C:\Windows\System32\xYXBXFH.exe
  2⤵
  PID:11936
- C:\Windows\System32\tQrrJWx.exe
  C:\Windows\System32\tQrrJWx.exe
  2⤵
  PID:12000
- C:\Windows\System32\KEwBTlV.exe
  C:\Windows\System32\KEwBTlV.exe
  2⤵
  PID:12060
- C:\Windows\System32\ENaNRKS.exe
  C:\Windows\System32\ENaNRKS.exe
  2⤵
  PID:12132
- C:\Windows\System32\DKSVram.exe
  C:\Windows\System32\DKSVram.exe
  2⤵
  PID:868
- C:\Windows\System32\YYxXayO.exe
  C:\Windows\System32\YYxXayO.exe
  2⤵
  PID:12196
- C:\Windows\System32\mUxUpfW.exe
  C:\Windows\System32\mUxUpfW.exe
  2⤵
  PID:12272
- C:\Windows\System32\zrBCOHz.exe
  C:\Windows\System32\zrBCOHz.exe
  2⤵
  PID:11376
- C:\Windows\System32\dxYEDyN.exe
  C:\Windows\System32\dxYEDyN.exe
  2⤵
  PID:11500
- C:\Windows\System32\EWMUfMO.exe
  C:\Windows\System32\EWMUfMO.exe
  2⤵
  PID:11732
- C:\Windows\System32\hnODSmY.exe
  C:\Windows\System32\hnODSmY.exe
  2⤵
  PID:11908
- C:\Windows\System32\myHypKW.exe
  C:\Windows\System32\myHypKW.exe
  2⤵
  PID:12108
- C:\Windows\System32\NGMTgLo.exe
  C:\Windows\System32\NGMTgLo.exe
  2⤵
  PID:12188
- C:\Windows\System32\RZjAVnd.exe
  C:\Windows\System32\RZjAVnd.exe
  2⤵
  PID:10920
- C:\Windows\System32\FneULIL.exe
  C:\Windows\System32\FneULIL.exe
  2⤵
  PID:11896
- C:\Windows\System32\HIrltPS.exe
  C:\Windows\System32\HIrltPS.exe
  2⤵
  PID:11356
- C:\Windows\System32\LojFNLX.exe
  C:\Windows\System32\LojFNLX.exe
  2⤵
  PID:12296
- C:\Windows\System32\UHrXcEk.exe
  C:\Windows\System32\UHrXcEk.exe
  2⤵
  PID:12324
- C:\Windows\System32\Wuvoufm.exe
  C:\Windows\System32\Wuvoufm.exe
  2⤵
  PID:12352
- C:\Windows\System32\QAsRpqa.exe
  C:\Windows\System32\QAsRpqa.exe
  2⤵
  PID:12392
- C:\Windows\System32\oGZJlug.exe
  C:\Windows\System32\oGZJlug.exe
  2⤵
  PID:12424
- C:\Windows\System32\OTDacfG.exe
  C:\Windows\System32\OTDacfG.exe
  2⤵
  PID:12452
- C:\Windows\System32\EDBcpak.exe
  C:\Windows\System32\EDBcpak.exe
  2⤵
  PID:12484
- C:\Windows\System32\onQMEmc.exe
  C:\Windows\System32\onQMEmc.exe
  2⤵
  PID:12512
- C:\Windows\System32\FzYWWXZ.exe
  C:\Windows\System32\FzYWWXZ.exe
  2⤵
  PID:12548
- C:\Windows\System32\wIAlFrd.exe
  C:\Windows\System32\wIAlFrd.exe
  2⤵
  PID:12576
- C:\Windows\System32\HHnOaHv.exe
  C:\Windows\System32\HHnOaHv.exe
  2⤵
  PID:12632
- C:\Windows\System32\uXaDQoA.exe
  C:\Windows\System32\uXaDQoA.exe
  2⤵
  PID:12652
- C:\Windows\System32\zknjebT.exe
  C:\Windows\System32\zknjebT.exe
  2⤵
  PID:12680
- C:\Windows\System32\QjHBFbi.exe
  C:\Windows\System32\QjHBFbi.exe
  2⤵
  PID:12712
- C:\Windows\System32\aKDSalZ.exe
  C:\Windows\System32\aKDSalZ.exe
  2⤵
  PID:12740
- C:\Windows\System32\VZneWhG.exe
  C:\Windows\System32\VZneWhG.exe
  2⤵
  PID:12768
- C:\Windows\System32\TWhddEy.exe
  C:\Windows\System32\TWhddEy.exe
  2⤵
  PID:12796
- C:\Windows\System32\BSzMBjq.exe
  C:\Windows\System32\BSzMBjq.exe
  2⤵
  PID:12824
- C:\Windows\System32\xVoyXUO.exe
  C:\Windows\System32\xVoyXUO.exe
  2⤵
  PID:12852
- C:\Windows\System32\tXfGguM.exe
  C:\Windows\System32\tXfGguM.exe
  2⤵
  PID:12884
- C:\Windows\System32\VahItyh.exe
  C:\Windows\System32\VahItyh.exe
  2⤵
  PID:12912
- C:\Windows\System32\LSJXfEj.exe
  C:\Windows\System32\LSJXfEj.exe
  2⤵
  PID:12944
- C:\Windows\System32\kKteIrT.exe
  C:\Windows\System32\kKteIrT.exe
  2⤵
  PID:12972
- C:\Windows\System32\kwmLoir.exe
  C:\Windows\System32\kwmLoir.exe
  2⤵
  PID:13000
- C:\Windows\System32\HeExxqS.exe
  C:\Windows\System32\HeExxqS.exe
  2⤵
  PID:13028
- C:\Windows\System32\rsKVNrB.exe
  C:\Windows\System32\rsKVNrB.exe
  2⤵
  PID:13056
- C:\Windows\System32\auosKkN.exe
  C:\Windows\System32\auosKkN.exe
  2⤵
  PID:13084
- C:\Windows\System32\eHaLPIh.exe
  C:\Windows\System32\eHaLPIh.exe
  2⤵
  PID:13112
- C:\Windows\System32\XgoOQSC.exe
  C:\Windows\System32\XgoOQSC.exe
  2⤵
  PID:13140
- C:\Windows\System32\ZtJlaNT.exe
  C:\Windows\System32\ZtJlaNT.exe
  2⤵
  PID:13176
- C:\Windows\System32\grgXfgG.exe
  C:\Windows\System32\grgXfgG.exe
  2⤵
  PID:13204
- C:\Windows\System32\jHueKal.exe
  C:\Windows\System32\jHueKal.exe
  2⤵
  PID:13232
- C:\Windows\System32\bHfGcNr.exe
  C:\Windows\System32\bHfGcNr.exe
  2⤵
  PID:13260
- C:\Windows\System32\wHxYQFS.exe
  C:\Windows\System32\wHxYQFS.exe
  2⤵
  PID:13288
- C:\Windows\System32\zfGCfDz.exe
  C:\Windows\System32\zfGCfDz.exe
  2⤵
  PID:11696

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:13272

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\CvgUUOG.exe

Filesize
3.1MB

MD5
c061b27be8b575fd71d23a70a55a05d5

SHA1
ede23479d3ad1ec0763b0768b54692f35af502a1

SHA256
d8c54c1e403cb508ff7ce86ae66d7520dde4f7314761d4991dc1ec317c422d93

SHA512
9c2147b8634c71e375e26dc267e98aa3d1e77feb6b5bf50daff65f0bd29750c8c362b836d0440d6b5537f5839c5262c1acced58d076b705dbd0aaa0ec27e29a9

Download Submit
C:\Windows\System32\GQjGcdT.exe

Filesize
3.1MB

MD5
22d21d0a2b5e19ee0c96874e0f662804

SHA1
9b2c8bdf4490af1baa2a2a614eb80717e2937d77

SHA256
c3e57956d590817d92e49945383ef19ccab436045f4bded3c559cec4f1dd6380

SHA512
4fd3675df5a65bce58d73b501b83b1a9e84b7f774ed59f800fa38fae845407684ece9111a77978de89a0eea929842095c97d04324cb5063ac932486141fb3922

Download Submit
C:\Windows\System32\HLhzDDE.exe

Filesize
3.1MB

MD5
3f9e8a10485fb0b139f2f84cef06af6b

SHA1
892f09d30ff88de6d81ac354a24f57470b5d4656

SHA256
40cc2280ed4fffb363427bb4bf199bdcf219163254997c1a1f8b11d39a88a600

SHA512
80c9624625d744a6ef61c4ec2882ef3429061ccfb0e23829226a1df7aac6eef0831aa6184ad7beeaf7a87fc10ea1e4b360e5a8b418ceb43e4068cb88cf8fcd3b

Download Submit
C:\Windows\System32\HxjWLbq.exe

Filesize
3.1MB

MD5
97f95d6544657e6703e390ae09e079d7

SHA1
21ed04d5e7efd4c798b60c76a7a658645680253a

SHA256
36d823f34f7450010317103bb515bfb3c7081ca11dd4d4d2ffea3db6ea13f549

SHA512
92d464c5911533d79d0aef68261470cd4e0ac35fe1a608014abecded511431b57b0a19e9c7bdec26d826bc499cc7335d4f0cce29c27580556ef53192ad92bd98

Download Submit
C:\Windows\System32\KdGWMwQ.exe

Filesize
3.1MB

MD5
a8b590f5cdfeec4f8f1e3bc32f69861a

SHA1
f717974bd591067c353f2e5a2c8c0a51a94573f1

SHA256
b6a3e16f9001419dab44b06d6956f7209e1c48034bcfed7c804831d402218aa1

SHA512
5c0b7b05d49e4ab50f0250e31690969aec01efa8680e0f683aaf6891f0a1f8ea442ecc5e4e8956ef37461e43e475e371a9ca1570ebcd246110817effd3eeba0a

Download Submit
C:\Windows\System32\KfveTNq.exe

Filesize
3.1MB

MD5
7fa5891f14ae6f30bd649075cc6c0e5b

SHA1
142c34900c5b3beb398d8a5f5749f1b8d09c4c41

SHA256
14d09e64db157dba5cb92c9bb1dc6bef0f8499d792557d8324b2fa6eac8fb2d0

SHA512
6675cf35adf83aeb126a90b55e5d21730a74f3a8d05ecf03e2af9d33e6efbf8efa93ed393cced8649b28b7a556f8a9d123e85ead5193ec9cc7f1885e406e8b83

Download Submit
C:\Windows\System32\KhUuAlB.exe

Filesize
3.1MB

MD5
cd310e89d46543cbed2d58ebbbcf2d19

SHA1
3c91456124dd42a009f1d843989c46fede165584

SHA256
85732a8d0e94d1b7bab992a1c5baed2abca869b17497a1817a0ed16a8a7ed605

SHA512
b461f580b7ece46fbd90e2335b46115197d30c4afbbff4d4d4364e8097b2241fbc055fe53e771f16f575ac82e847fbf8126ca05f07ee7f63d3f6e23601f37eee

Download Submit
C:\Windows\System32\MkaLcsc.exe

Filesize
3.1MB

MD5
30815c734ac1f0e8d6a8ad5948ce4f49

SHA1
4c32ad38635f9922894052a38d6de4ea9f98d1d1

SHA256
f03c637c6c64e5c2cebacd51b418f4d8116585f03287ab46f541fc6933e2a41b

SHA512
a292356aaf79ef7192e574107f3ea12baeff9ddd5c59752e98afab68eae3563421d86475aa12e9e30a3b0e303a33ff92789d8e38268c3e43e37cd1088741b797

Download Submit
C:\Windows\System32\MkweYnY.exe

Filesize
3.1MB

MD5
76a334acaac2e0c851fa9a8ecf7a3292

SHA1
35d03aedb5413570be6d1e3e7608fdab2de80d84

SHA256
5c24080ef4b53b8fb88869d6604c031a30ea288c98354206b902eca913adb613

SHA512
9155d325a1d33d85a2f108fcc4ca50142889ab3dc4f84ea95892b884ec70a9fe0d78ece9904ccf1484a1ede7f4eff7b16f34a124e25ee1c0ddf4c9144c9585d2

Download Submit
C:\Windows\System32\OGpSItz.exe

Filesize
3.1MB

MD5
b094e2954c1806d9bce770c529c8e94f

SHA1
ed984974a8b5d2919119c8bac3ab8deac8f43785

SHA256
94a35118abb854dd1f9dfcdae8663fae954874315bb0a9b4a016be02dcd45eae

SHA512
871b6873ba0c57fbb68c442c5f85d66ba0a9542c9b656c7da29608abcf97bf9fbae5e8914f25e48a477879c4bd6091349f102ce75434bd5715a2d53738d6a40e

Download Submit
C:\Windows\System32\SGxaLNG.exe

Filesize
3.1MB

MD5
4e2d0c2aa194c2816d66849fefe8942f

SHA1
c76272fa8ec9ba261f65cd46c849f47dbd9ab05f

SHA256
793781fbbffc80de7530b8e131960b68411925331216cbc5f06f30bc9544770d

SHA512
2295476fe7bfa2dbe61db00fe79865966bc608d0e1782174ed5cf31c514d327b43a9e72a3a5a2154e9d3e0c455836e7a18de7164e7b7ed3dc37fecdff691b8bb

Download Submit
C:\Windows\System32\SLfMxpc.exe

Filesize
3.1MB

MD5
8cee9052c7404aab0d5019feb9ae7ff6

SHA1
c3859953d3df6eb64091998592de822a0ca2707f

SHA256
3f1660bb4b08aa479b4e29509c192d6534927f120c1163c0063db7e228d2d4d2

SHA512
88d3706d37ad45627007628f98e045b51bd44662542a8e42ff4298678878c4f888cb59a4a94d716708ce71a3eff44876d2c2d53f99243a2179cb16df8f5fdfe6

Download Submit
C:\Windows\System32\ULVUvKV.exe

Filesize
3.1MB

MD5
19a0c6fc6080b98fcdcf1a508b096766

SHA1
95343dab89e595ecdec58f524f9d7fc0a3798d3d

SHA256
11febe9cb637e5d4234238b3b6eca597b8d5b19777d0a9a3f421aad5721504d5

SHA512
8c7eaff59aab74088e7687cace2429530dede4d05035cca44ff0e57becdb758371d27717a8b7ad5b89095b052e5782578e93aa3d7c2305de03c6cb325f4ecba1

Download Submit
C:\Windows\System32\UeJCORF.exe

Filesize
3.1MB

MD5
e38486e2a8a252462ac2e3716362149a

SHA1
83f462e5d7faee739ca7fc61f7089614cefcfd91

SHA256
a025ca5b08b67c82ae85bfab2f043b20d7538596b6efd2da2dda8d1b156102f5

SHA512
e662af8169f9341ce2893105ea16375eeeb2e7ec8438ffd6de7771c5b7d2ca95a6dd776fa2fe76cd04f0b05081fb4454735ff33b9a7847d59c2c133fd75fb59c

Download Submit
C:\Windows\System32\VdTOntJ.exe

Filesize
3.1MB

MD5
b3455c78ed8d23ec93bd27f4507698d1

SHA1
1daad3d6263a559853258777a44438bc761d8e25

SHA256
7eeca3bfe8f44e1873efb8e35f06c1cffc2dba7d22f2585729a3b2833772a75c

SHA512
db9938bfa450b73669a1815feb50490c74d42ffe1588808940816b72538a0bacbdf25e8024f4346e1d2305a6c0bbc065b7216e82fb825de02ccae0f65e7fdd7a

Download Submit
C:\Windows\System32\WRHfPnL.exe

Filesize
3.1MB

MD5
90e63f7fdfceb47b2f6678b7f61858e6

SHA1
c8677d7112c644a91f6c18cd6670258093631638

SHA256
a3a413fbcecc80ae80245830fe59e14f7845f002cfe513717c28991bed650ae0

SHA512
04e3844c64cb6147104aadd5c7c588f3de404d51118a50523a8800bc8e3ea97a0940c5edb964467d1d93c2de549ab451d7a6a5f3f823fa66d6e6c19e5b2e680c

Download Submit
C:\Windows\System32\XsXahdD.exe

Filesize
3.1MB

MD5
3109a21ba292db42054b056ce8c21ff1

SHA1
87afec5d43e44c7d50a1749c8be5a141c9e645c3

SHA256
6554bc43569a7c9f8e6b0468bc09bb8f6058a0892e0fe43c8468b744dc95ef2c

SHA512
c2c24625b9f95063eb43720de5755e4ac894accf33ca01099a86c0133178b4729a2731b8fe22f5ff8b74b006e8fcfee47db02f7cf3173c3993a2dddd47c07cec

Download Submit
C:\Windows\System32\YGdnmCx.exe

Filesize
3.1MB

MD5
c3858a4d1e3da4c5b7836fd5d10bac5c

SHA1
045939a515d1a6a83800b940f306109f15496205

SHA256
96526a1c6de59896e7bd6fdc13449e705292da0e52efcd6926fe83c44086f6f6

SHA512
dfda587dcd3f72680b91d9ab18dcbd7f1adc750401b7e7671361148229fec2d699af664c3865411d04cd637f29c5b31bc9599de19ac485ffdbcfebcc04fe0bae

Download Submit
C:\Windows\System32\bSxxmZF.exe

Filesize
3.1MB

MD5
6e3f9b5a4384299a9a3da7ff20fa7401

SHA1
93026524748c29d7ef74c4318c9f0d90848074d2

SHA256
f79315d5f93d51c531b8e8044cc747bc50f8844c66f04ade2f5fff232675b21e

SHA512
0bd71de62400277483e60942766c27047bfcf104d0b5da46f4b9f399aa42cccf4292911addbc00b8eaca1ede29ad339f32bb8967db1f9d71280fb5776b461ed3

Download Submit
C:\Windows\System32\cnvmyhc.exe

Filesize
3.1MB

MD5
92f67008e09e96f89fea0066a1f122a8

SHA1
fb8c797703d397bf0a65f2687086169556a3c179

SHA256
6d48c4caa77c33aa2fa75585d824c9af922ec7c41d7a0f0428cacd099fa8aee1

SHA512
fee26f9f68d7b6dda1f45c0b18a22529b41745b417648f72c313c696b03b3536a780f8a43f762ef485edf29ad7c621476699cb5a8ce3b05bf6919bd1142ed334

Download Submit
C:\Windows\System32\diqXVPI.exe

Filesize
3.1MB

MD5
73861030ed88373a28ec5937b9c5f983

SHA1
84bc5e6d70f0e23e85b613fd6a357ce7883eb916

SHA256
f615e259476a69cb35e71eb7ab92c04ec3482189033a4dce80d9af526be92af5

SHA512
f43f98b279c6aa2d05f1bc26c23833f6c4aff523241dd505f34f0e9848b2f46fec8a3f2523ec02684e7f7272af2737cc4844c9f0eddd1c5f31256a35a49ca0a6

Download Submit
C:\Windows\System32\jskfPHh.exe

Filesize
3.1MB

MD5
8bb6677b6e650a7fcc81e5264956930b

SHA1
d908f213764233b7d5b56ba2df71e572a7b59659

SHA256
dfe3127b1a9fe45976acc4e1e70c1ede41b1255e4c0082fb7aface9339b39190

SHA512
e6d05a596606b562ab5768cebee91422a1a7d9bf3e30e7f33b74a7af9ccabc8253c23037054bded3a211aaefbf6352f022b7cd9e807beb9bfaa025da4e0e8904

Download Submit
C:\Windows\System32\klYrJQj.exe

Filesize
3.1MB

MD5
8b5d9a58d402b8b77916497aa28c9e46

SHA1
1b48d78920849142e3c85b9938086be76743aba4

SHA256
25eaf347f20a986c4ae23fe773f1805be55074b410ea75b0a687e2d3ad4d6057

SHA512
350c5951222371dcdd7b3388e85dd409110598f4fa65c908c45ad73ecd024966902036370264569e9c3984914d73d496fd2b1330b10cad79c0e501bc2326b000

Download Submit
C:\Windows\System32\laUruOo.exe

Filesize
3.1MB

MD5
202f452382298b05f3492fee798bde92

SHA1
96332262b15ccc640c246f866931eda21a39f0b0

SHA256
9e23f91e529f49a5a95c491c71628c4ee0998c9a9971ba1d80eafcb8ffae4450

SHA512
40dd9a65aa7e6ff964282a24b7ac2f8596afb624eed2a1678ffa24966d9eb7afb7bf72b89ecde5903e4fc5edec84c646a04e8f8e89009edc9b1561f493680bc1

Download Submit
C:\Windows\System32\mlClocI.exe

Filesize
3.1MB

MD5
a378c73987f24c0ec171fa8cb4e5905f

SHA1
88d2865a2bd2d9755916a4d3ab3189d351d642a3

SHA256
91390dedad3e88782a62dbbd9b4a5cf1a150fa7381a31d2a8bcb501a75cf1a2c

SHA512
172b3d3af17186b5f333808ca3c02e891b8cd2036e5b25bf586e303acb14897e03465779aa084961f7246e152ae8304e345feb5baf446c801120f6637f9424d1

Download Submit
C:\Windows\System32\nMGxsZv.exe

Filesize
3.1MB

MD5
5b981c477eb2af4174281377825124d0

SHA1
0ea3d69b2f8353cf450476c949fbf2303e3dc8ff

SHA256
c15080cf4410fbda54428ca352c29d372ac42d6cfdf185d7f4e0f031b94cf76c

SHA512
127b71c48f454e3053575121206cb77a88ebb5a0d289115127a63cda618973a7b10d2992217764c3ba51fd2083d3021af9d477ba5ab504377c612ce4af6ad8ff

Download Submit
C:\Windows\System32\oKAYwvP.exe

Filesize
3.1MB

MD5
426c4f3ad8faccfb5e5fbcc56ae0511b

SHA1
653d216b9b6adbe6671e79dc8da560482c65a1cf

SHA256
1c6d21943ada0f584f913cce859ef25842fc7e4f6c5a8d74175d55c2835e961e

SHA512
677c5d90171323c008ccf9638a1d3eeadb1f4a1efd785b4af94c30270a4c5e24077379356669058a7c6cd732ab73754d08b57753b5f6a6781427e783ee66f720

Download Submit
C:\Windows\System32\pgQrDLn.exe

Filesize
3.1MB

MD5
a8ab0a0abbf97e42c7a7c2292eb8f611

SHA1
c4919b63e1e423e1d1dc2fb5488b347f629a1cdb

SHA256
e771e11090b21dd9987dea9012efd0b46dfe58bcc23e259bd2878cc9381b788c

SHA512
95d1daa09e1759b93a1f4b7093d25bcbcbf1a2d8def19e85ea9731664c4492036f3a95e6b564e6618f241ef6ba85a91116c2df0f5efbb4ddaea67f79b5ed3dc5

Download Submit
C:\Windows\System32\rjtgcTQ.exe

Filesize
3.1MB

MD5
0410a811ab5b3b472a41c4697bfaeb0b

SHA1
50202623d2a7cd7fd141a62da313d3b138996fc3

SHA256
c9528edaa1817d426ee7dcc37f1218a906ac1f5e63c4ba9cda0d73c4867f0b1b

SHA512
fe3a24bdae744947942102ff72ebf25ee99cc2ba6ac27ec55d68702744fe53ddabd0a821937897dba191cfe85b52a5d581f527f199fcd68e47362319d97f1427

Download Submit
C:\Windows\System32\tPzFhxC.exe

Filesize
3.1MB

MD5
11356a7c3bcccca979b7f60e4ab3ebe3

SHA1
1d2af49007176d10461d6339a9b17e599de49422

SHA256
ec04765a182c2c878570ebff195459ba8b0f3523fa16f84b139f20c48bf2e08a

SHA512
0113df2af9082a0d72baa8d2a84fd45b64484de147ac77fe965112a0a6a7fef99a894fc4576fb6f2b455fd8af0a03ed952194c01e3732b9318ab9fcd2fc13a57

Download Submit
C:\Windows\System32\vtXnENU.exe

Filesize
3.1MB

MD5
0a46bd902f1236539b6eedbc2818fff6

SHA1
5cdce1f082732a8a7a8f5c8c44ac12df563b8c05

SHA256
b8ae7698e73e0d8f7cb98aa0eaf0925c9fbd10ce5b7dde5cabaf163d32532062

SHA512
592a2abcb62b60ffb4826a0367042b5d34330fd868ee3053f510c65edafb7ee0bb75940bf88d359e09b3e4dca80e597eb9cc4b26d8808b1636b62ced4de84a86

Download Submit
C:\Windows\System32\wCqOISX.exe

Filesize
3.1MB

MD5
75be09128017a34e59bf70428b2f8bca

SHA1
8af6d62818180c8608d82cb94c5d8e966d23f8e8

SHA256
a9e2e85bb63f634df8907a9d6fcf46cbdf584ed8bc077437fbe82c66f2f54ff5

SHA512
851f423762afaedbcaeddff7664549f119a7b0207fba7a09868ee2bd6c2a473dae97416f545b29f892626ff947c5131968e99e616ab03691cefac4a5876c7add

Download Submit
C:\Windows\System32\wLyLudi.exe

Filesize
3.1MB

MD5
82552721ea682c2f7f37c1db9f04f9ac

SHA1
3abbc1a47d236d57db743ea29ab4bcfb5e7f5b40

SHA256
b240b22bd713829267fbe96550957550cfd5fd33cd870c0acbb7e4efc654e096

SHA512
4fe7b5b806b158026e1254acca7b1cc5b7ff0e7dc1ebffc4ef3c5f9fc403496aade48f59546a1eface63d64dc30415219664997bf138ab1aae1dba1c8710c08f

Download Submit
memory/212-0-0x00007FF7E5730000-0x00007FF7E5B25000-memory.dmp

Filesize
4.0MB

Download
memory/212-1-0x00000292CAF30000-0x00000292CAF40000-memory.dmp

Filesize
64KB

Download
memory/464-848-0x00007FF6EFA50000-0x00007FF6EFE45000-memory.dmp

Filesize
4.0MB

Download
memory/464-1943-0x00007FF6EFA50000-0x00007FF6EFE45000-memory.dmp

Filesize
4.0MB

Download
memory/516-1955-0x00007FF661860000-0x00007FF661C55000-memory.dmp

Filesize
4.0MB

Download
memory/516-940-0x00007FF661860000-0x00007FF661C55000-memory.dmp

Filesize
4.0MB

Download
memory/548-864-0x00007FF78AD70000-0x00007FF78B165000-memory.dmp

Filesize
4.0MB

Download
memory/548-1950-0x00007FF78AD70000-0x00007FF78B165000-memory.dmp

Filesize
4.0MB

Download
memory/1068-1948-0x00007FF760640000-0x00007FF760A35000-memory.dmp

Filesize
4.0MB

Download
memory/1068-962-0x00007FF760640000-0x00007FF760A35000-memory.dmp

Filesize
4.0MB

Download
memory/1296-1947-0x00007FF75E360000-0x00007FF75E755000-memory.dmp

Filesize
4.0MB

Download
memory/1296-872-0x00007FF75E360000-0x00007FF75E755000-memory.dmp

Filesize
4.0MB

Download
memory/1532-965-0x00007FF7C0AA0000-0x00007FF7C0E95000-memory.dmp

Filesize
4.0MB

Download
memory/1532-1946-0x00007FF7C0AA0000-0x00007FF7C0E95000-memory.dmp

Filesize
4.0MB

Download
memory/1744-889-0x00007FF619EE0000-0x00007FF61A2D5000-memory.dmp

Filesize
4.0MB

Download
memory/1744-1951-0x00007FF619EE0000-0x00007FF61A2D5000-memory.dmp

Filesize
4.0MB

Download
memory/1764-1937-0x00007FF7FA940000-0x00007FF7FAD35000-memory.dmp

Filesize
4.0MB

Download
memory/1764-20-0x00007FF7FA940000-0x00007FF7FAD35000-memory.dmp

Filesize
4.0MB

Download
memory/1764-1933-0x00007FF7FA940000-0x00007FF7FAD35000-memory.dmp

Filesize
4.0MB

Download
memory/2288-880-0x00007FF693340000-0x00007FF693735000-memory.dmp

Filesize
4.0MB

Download
memory/2288-1954-0x00007FF693340000-0x00007FF693735000-memory.dmp

Filesize
4.0MB

Download
memory/2424-1944-0x00007FF717E90000-0x00007FF718285000-memory.dmp

Filesize
4.0MB

Download
memory/2424-867-0x00007FF717E90000-0x00007FF718285000-memory.dmp

Filesize
4.0MB

Download
memory/2492-1957-0x00007FF701300000-0x00007FF7016F5000-memory.dmp

Filesize
4.0MB

Download
memory/2492-932-0x00007FF701300000-0x00007FF7016F5000-memory.dmp

Filesize
4.0MB

Download
memory/2684-1949-0x00007FF6AD470000-0x00007FF6AD865000-memory.dmp

Filesize
4.0MB

Download
memory/2684-958-0x00007FF6AD470000-0x00007FF6AD865000-memory.dmp

Filesize
4.0MB

Download
memory/2720-10-0x00007FF6E12E0000-0x00007FF6E16D5000-memory.dmp

Filesize
4.0MB

Download
memory/2720-1932-0x00007FF6E12E0000-0x00007FF6E16D5000-memory.dmp

Filesize
4.0MB

Download
memory/2720-1935-0x00007FF6E12E0000-0x00007FF6E16D5000-memory.dmp

Filesize
4.0MB

Download
memory/3012-1938-0x00007FF7FCDE0000-0x00007FF7FD1D5000-memory.dmp

Filesize
4.0MB

Download
memory/3012-1934-0x00007FF7FCDE0000-0x00007FF7FD1D5000-memory.dmp

Filesize
4.0MB

Download
memory/3012-23-0x00007FF7FCDE0000-0x00007FF7FD1D5000-memory.dmp

Filesize
4.0MB

Download
memory/3256-936-0x00007FF680650000-0x00007FF680A45000-memory.dmp

Filesize
4.0MB

Download
memory/3256-1952-0x00007FF680650000-0x00007FF680A45000-memory.dmp

Filesize
4.0MB

Download
memory/3576-948-0x00007FF6FE2F0000-0x00007FF6FE6E5000-memory.dmp

Filesize
4.0MB

Download
memory/3576-1958-0x00007FF6FE2F0000-0x00007FF6FE6E5000-memory.dmp

Filesize
4.0MB

Download
memory/3776-1940-0x00007FF75E140000-0x00007FF75E535000-memory.dmp

Filesize
4.0MB

Download
memory/3776-826-0x00007FF75E140000-0x00007FF75E535000-memory.dmp

Filesize
4.0MB

Download
memory/4092-955-0x00007FF71C060000-0x00007FF71C455000-memory.dmp

Filesize
4.0MB

Download
memory/4092-1956-0x00007FF71C060000-0x00007FF71C455000-memory.dmp

Filesize
4.0MB

Download
memory/4224-834-0x00007FF710250000-0x00007FF710645000-memory.dmp

Filesize
4.0MB

Download
memory/4224-1945-0x00007FF710250000-0x00007FF710645000-memory.dmp

Filesize
4.0MB

Download
memory/4708-843-0x00007FF704400000-0x00007FF7047F5000-memory.dmp

Filesize
4.0MB

Download
memory/4708-1939-0x00007FF704400000-0x00007FF7047F5000-memory.dmp

Filesize
4.0MB

Download
memory/4728-830-0x00007FF7B7BB0000-0x00007FF7B7FA5000-memory.dmp

Filesize
4.0MB

Download
memory/4728-1942-0x00007FF7B7BB0000-0x00007FF7B7FA5000-memory.dmp

Filesize
4.0MB

Download
memory/4748-1953-0x00007FF78BAE0000-0x00007FF78BED5000-memory.dmp

Filesize
4.0MB

Download
memory/4748-954-0x00007FF78BAE0000-0x00007FF78BED5000-memory.dmp

Filesize
4.0MB

Download
memory/4996-1936-0x00007FF6C71A0000-0x00007FF6C7595000-memory.dmp

Filesize
4.0MB

Download
memory/4996-22-0x00007FF6C71A0000-0x00007FF6C7595000-memory.dmp

Filesize
4.0MB

Download
memory/5116-823-0x00007FF69F340000-0x00007FF69F735000-memory.dmp

Filesize
4.0MB

Download
memory/5116-1941-0x00007FF69F340000-0x00007FF69F735000-memory.dmp

Filesize
4.0MB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads