xmrig | 0d3913ee9b163ecc1af81d3289e8011f7bbb2ea9660767ef35f61d5dafa239e0

Analysis

max time kernel
125s
max time network
133s
platform
windows10-2004_x64
resource
win10v2004-20240508-en
resource tags

arch:x64arch:x86image:win10v2004-20240508-enlocale:en-usos:windows10-2004-x64system
submitted
15-05-2024 20:35

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
Size

3.0MB
MD5

2ed5f2cb78115b4d95340e6d2e059e80
SHA1

0536d45f3e6db74a983a614666308ec2bae23566
SHA256

0d3913ee9b163ecc1af81d3289e8011f7bbb2ea9660767ef35f61d5dafa239e0
SHA512

d19cfe30aa308b914ebdf6be106247ccb2a8fb3742cd8cc594cfcaecf3f3b9d80a3aefe145249cff11790077101feb72e7111d8dd7d926007c17cf940692b918
SSDEEP

49152:N0wjnJMOWh50kC1/dVFdx6e0EALKWVTffZiPAcRq6jHjcz8DzJuJitekwhgBFljt:N0GnJMOWPClFdx6e0EALKWVTffZiPAcZ

Score

10^/10

xmrig miner upx

Malware Config

Signatures

xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 64 IoCs

miner

resource	yara_rule
behavioral2/memory/1408-0-0x00007FF6051B0000-0x00007FF6055A5000-memory.dmp	xmrig
behavioral2/files/0x00080000000235ba-4.dat	xmrig
behavioral2/files/0x00070000000235bf-9.dat	xmrig
behavioral2/files/0x00070000000235be-10.dat	xmrig
behavioral2/memory/112-12-0x00007FF77E870000-0x00007FF77EC65000-memory.dmp	xmrig
behavioral2/files/0x00070000000235c0-20.dat	xmrig
behavioral2/files/0x00070000000235c1-27.dat	xmrig
behavioral2/files/0x00070000000235c2-30.dat	xmrig
behavioral2/files/0x00070000000235c3-37.dat	xmrig
behavioral2/files/0x00070000000235c5-48.dat	xmrig
behavioral2/files/0x00070000000235c7-58.dat	xmrig
behavioral2/files/0x00070000000235ca-73.dat	xmrig
behavioral2/files/0x00070000000235cc-81.dat	xmrig
behavioral2/files/0x00070000000235d0-103.dat	xmrig
behavioral2/files/0x00070000000235d5-128.dat	xmrig
behavioral2/files/0x00070000000235da-153.dat	xmrig
behavioral2/memory/4696-712-0x00007FF6A66B0000-0x00007FF6A6AA5000-memory.dmp	xmrig
behavioral2/memory/3444-713-0x00007FF799D00000-0x00007FF79A0F5000-memory.dmp	xmrig
behavioral2/files/0x00070000000235dc-163.dat	xmrig
behavioral2/files/0x00070000000235db-158.dat	xmrig
behavioral2/files/0x00070000000235d9-148.dat	xmrig
behavioral2/files/0x00070000000235d8-143.dat	xmrig
behavioral2/files/0x00070000000235d7-138.dat	xmrig
behavioral2/files/0x00070000000235d6-133.dat	xmrig
behavioral2/files/0x00070000000235d4-123.dat	xmrig
behavioral2/files/0x00070000000235d3-118.dat	xmrig
behavioral2/files/0x00070000000235d2-113.dat	xmrig
behavioral2/files/0x00070000000235d1-108.dat	xmrig
behavioral2/files/0x00070000000235cf-98.dat	xmrig
behavioral2/files/0x00070000000235ce-93.dat	xmrig
behavioral2/files/0x00070000000235cd-88.dat	xmrig
behavioral2/files/0x00070000000235cb-78.dat	xmrig
behavioral2/files/0x00070000000235c9-68.dat	xmrig
behavioral2/files/0x00070000000235c8-63.dat	xmrig
behavioral2/files/0x00070000000235c6-53.dat	xmrig
behavioral2/files/0x00070000000235c4-46.dat	xmrig
behavioral2/memory/628-42-0x00007FF66DDA0000-0x00007FF66E195000-memory.dmp	xmrig
behavioral2/memory/4556-714-0x00007FF6307D0000-0x00007FF630BC5000-memory.dmp	xmrig
behavioral2/memory/8-717-0x00007FF73C250000-0x00007FF73C645000-memory.dmp	xmrig
behavioral2/memory/3184-726-0x00007FF75DF60000-0x00007FF75E355000-memory.dmp	xmrig
behavioral2/memory/4136-723-0x00007FF70F320000-0x00007FF70F715000-memory.dmp	xmrig
behavioral2/memory/3940-729-0x00007FF798F00000-0x00007FF7992F5000-memory.dmp	xmrig
behavioral2/memory/4580-734-0x00007FF6F3BC0000-0x00007FF6F3FB5000-memory.dmp	xmrig
behavioral2/memory/2056-742-0x00007FF67CB50000-0x00007FF67CF45000-memory.dmp	xmrig
behavioral2/memory/2844-746-0x00007FF650170000-0x00007FF650565000-memory.dmp	xmrig
behavioral2/memory/2824-749-0x00007FF77DEA0000-0x00007FF77E295000-memory.dmp	xmrig
behavioral2/memory/4900-752-0x00007FF7EB3C0000-0x00007FF7EB7B5000-memory.dmp	xmrig
behavioral2/memory/3660-768-0x00007FF7FD930000-0x00007FF7FDD25000-memory.dmp	xmrig
behavioral2/memory/1684-763-0x00007FF771160000-0x00007FF771555000-memory.dmp	xmrig
behavioral2/memory/1016-759-0x00007FF665CD0000-0x00007FF6660C5000-memory.dmp	xmrig
behavioral2/memory/1104-779-0x00007FF7D5910000-0x00007FF7D5D05000-memory.dmp	xmrig
behavioral2/memory/452-784-0x00007FF7ED130000-0x00007FF7ED525000-memory.dmp	xmrig
behavioral2/memory/1292-782-0x00007FF657270000-0x00007FF657665000-memory.dmp	xmrig
behavioral2/memory/4492-793-0x00007FF63BCC0000-0x00007FF63C0B5000-memory.dmp	xmrig
behavioral2/memory/2712-792-0x00007FF7D9260000-0x00007FF7D9655000-memory.dmp	xmrig
behavioral2/memory/4628-802-0x00007FF7E2240000-0x00007FF7E2635000-memory.dmp	xmrig
behavioral2/memory/1476-798-0x00007FF6B2770000-0x00007FF6B2B65000-memory.dmp	xmrig
behavioral2/memory/112-1857-0x00007FF77E870000-0x00007FF77EC65000-memory.dmp	xmrig
behavioral2/memory/628-1858-0x00007FF66DDA0000-0x00007FF66E195000-memory.dmp	xmrig
behavioral2/memory/4628-1859-0x00007FF7E2240000-0x00007FF7E2635000-memory.dmp	xmrig
behavioral2/memory/4696-1860-0x00007FF6A66B0000-0x00007FF6A6AA5000-memory.dmp	xmrig
behavioral2/memory/3444-1861-0x00007FF799D00000-0x00007FF79A0F5000-memory.dmp	xmrig
behavioral2/memory/4136-1865-0x00007FF70F320000-0x00007FF70F715000-memory.dmp	xmrig
behavioral2/memory/4580-1867-0x00007FF6F3BC0000-0x00007FF6F3FB5000-memory.dmp	xmrig

Executes dropped EXE 64 IoCs

pid	Process
112	vwuKGfR.exe
628	UkCyRMq.exe
4628	ATKrRXA.exe
4696	xeJuZid.exe
3444	SFnkdMl.exe
4556	OIHADAT.exe
8	ZKokEJI.exe
4136	kDkRUxQ.exe
3184	HHKoOTR.exe
3940	QseWIgn.exe
4580	RILTfVI.exe
2056	ISVariw.exe
2844	MOZezPi.exe
2824	BSKuwDP.exe
4900	vwumLFp.exe
1016	nSaBnJB.exe
1684	zblMtBW.exe
3660	LQaWIdS.exe
1104	VOQikLo.exe
1292	MvryKUu.exe
452	nJGGEeM.exe
2712	NsEjREt.exe
4492	PDFEMKf.exe
1476	cdaFvHy.exe
2352	QcIHUrE.exe
4720	WSlEvIy.exe
1484	NPybSrw.exe
2020	BLaYfMr.exe
3280	dmsQJIE.exe
512	ifCyEPz.exe
1320	pgXSLII.exe
2580	dOljfpD.exe
4728	aLEBaUb.exe
3292	JvvdJOe.exe
220	fwUbRgL.exe
3236	pRujxmX.exe
4332	mKfLUwf.exe
4820	xYMJxZj.exe
2796	eRuhJLf.exe
5028	dTYqaqv.exe
3664	DTHzEbd.exe
4148	bOqwPyj.exe
1380	PpUwKSH.exe
1124	dzGehGV.exe
4608	uqdCtsO.exe
2196	uMbDqPW.exe
2092	beFdqkc.exe
2348	LsxgNCl.exe
3888	FGkenAj.exe
3152	rTeVEqY.exe
1524	QPVLsXF.exe
1000	czYfWYr.exe
3308	jEutcvU.exe
3712	LUenOkA.exe
5148	Zdzgvoz.exe
5164	IpQFcCp.exe
5200	nsWoCEq.exe
5220	RvbFZmz.exe
5260	iWqAhZB.exe
5288	tygSFKf.exe
5316	vluoLPQ.exe
5344	ZNGaDmL.exe
5372	sWvogLp.exe
5388	eqJxOdx.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/1408-0-0x00007FF6051B0000-0x00007FF6055A5000-memory.dmp	upx
behavioral2/files/0x00080000000235ba-4.dat	upx
behavioral2/files/0x00070000000235bf-9.dat	upx
behavioral2/files/0x00070000000235be-10.dat	upx
behavioral2/memory/112-12-0x00007FF77E870000-0x00007FF77EC65000-memory.dmp	upx
behavioral2/files/0x00070000000235c0-20.dat	upx
behavioral2/files/0x00070000000235c1-27.dat	upx
behavioral2/files/0x00070000000235c2-30.dat	upx
behavioral2/files/0x00070000000235c3-37.dat	upx
behavioral2/files/0x00070000000235c5-48.dat	upx
behavioral2/files/0x00070000000235c7-58.dat	upx
behavioral2/files/0x00070000000235ca-73.dat	upx
behavioral2/files/0x00070000000235cc-81.dat	upx
behavioral2/files/0x00070000000235d0-103.dat	upx
behavioral2/files/0x00070000000235d5-128.dat	upx
behavioral2/files/0x00070000000235da-153.dat	upx
behavioral2/memory/4696-712-0x00007FF6A66B0000-0x00007FF6A6AA5000-memory.dmp	upx
behavioral2/memory/3444-713-0x00007FF799D00000-0x00007FF79A0F5000-memory.dmp	upx
behavioral2/files/0x00070000000235dc-163.dat	upx
behavioral2/files/0x00070000000235db-158.dat	upx
behavioral2/files/0x00070000000235d9-148.dat	upx
behavioral2/files/0x00070000000235d8-143.dat	upx
behavioral2/files/0x00070000000235d7-138.dat	upx
behavioral2/files/0x00070000000235d6-133.dat	upx
behavioral2/files/0x00070000000235d4-123.dat	upx
behavioral2/files/0x00070000000235d3-118.dat	upx
behavioral2/files/0x00070000000235d2-113.dat	upx
behavioral2/files/0x00070000000235d1-108.dat	upx
behavioral2/files/0x00070000000235cf-98.dat	upx
behavioral2/files/0x00070000000235ce-93.dat	upx
behavioral2/files/0x00070000000235cd-88.dat	upx
behavioral2/files/0x00070000000235cb-78.dat	upx
behavioral2/files/0x00070000000235c9-68.dat	upx
behavioral2/files/0x00070000000235c8-63.dat	upx
behavioral2/files/0x00070000000235c6-53.dat	upx
behavioral2/files/0x00070000000235c4-46.dat	upx
behavioral2/memory/628-42-0x00007FF66DDA0000-0x00007FF66E195000-memory.dmp	upx
behavioral2/memory/4556-714-0x00007FF6307D0000-0x00007FF630BC5000-memory.dmp	upx
behavioral2/memory/8-717-0x00007FF73C250000-0x00007FF73C645000-memory.dmp	upx
behavioral2/memory/3184-726-0x00007FF75DF60000-0x00007FF75E355000-memory.dmp	upx
behavioral2/memory/4136-723-0x00007FF70F320000-0x00007FF70F715000-memory.dmp	upx
behavioral2/memory/3940-729-0x00007FF798F00000-0x00007FF7992F5000-memory.dmp	upx
behavioral2/memory/4580-734-0x00007FF6F3BC0000-0x00007FF6F3FB5000-memory.dmp	upx
behavioral2/memory/2056-742-0x00007FF67CB50000-0x00007FF67CF45000-memory.dmp	upx
behavioral2/memory/2844-746-0x00007FF650170000-0x00007FF650565000-memory.dmp	upx
behavioral2/memory/2824-749-0x00007FF77DEA0000-0x00007FF77E295000-memory.dmp	upx
behavioral2/memory/4900-752-0x00007FF7EB3C0000-0x00007FF7EB7B5000-memory.dmp	upx
behavioral2/memory/3660-768-0x00007FF7FD930000-0x00007FF7FDD25000-memory.dmp	upx
behavioral2/memory/1684-763-0x00007FF771160000-0x00007FF771555000-memory.dmp	upx
behavioral2/memory/1016-759-0x00007FF665CD0000-0x00007FF6660C5000-memory.dmp	upx
behavioral2/memory/1104-779-0x00007FF7D5910000-0x00007FF7D5D05000-memory.dmp	upx
behavioral2/memory/452-784-0x00007FF7ED130000-0x00007FF7ED525000-memory.dmp	upx
behavioral2/memory/1292-782-0x00007FF657270000-0x00007FF657665000-memory.dmp	upx
behavioral2/memory/4492-793-0x00007FF63BCC0000-0x00007FF63C0B5000-memory.dmp	upx
behavioral2/memory/2712-792-0x00007FF7D9260000-0x00007FF7D9655000-memory.dmp	upx
behavioral2/memory/4628-802-0x00007FF7E2240000-0x00007FF7E2635000-memory.dmp	upx
behavioral2/memory/1476-798-0x00007FF6B2770000-0x00007FF6B2B65000-memory.dmp	upx
behavioral2/memory/112-1857-0x00007FF77E870000-0x00007FF77EC65000-memory.dmp	upx
behavioral2/memory/628-1858-0x00007FF66DDA0000-0x00007FF66E195000-memory.dmp	upx
behavioral2/memory/4628-1859-0x00007FF7E2240000-0x00007FF7E2635000-memory.dmp	upx
behavioral2/memory/4696-1860-0x00007FF6A66B0000-0x00007FF6A6AA5000-memory.dmp	upx
behavioral2/memory/3444-1861-0x00007FF799D00000-0x00007FF79A0F5000-memory.dmp	upx
behavioral2/memory/4136-1865-0x00007FF70F320000-0x00007FF70F715000-memory.dmp	upx
behavioral2/memory/4580-1867-0x00007FF6F3BC0000-0x00007FF6F3FB5000-memory.dmp	upx

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\System32\kCDndrv.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\FNQFXUw.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\mBdgrXo.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\XUxfilQ.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\sZTDMep.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\rgmpntb.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\QvPFgmV.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\ZDgOAti.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\IiBZvgQ.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\smsamAf.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\zNXDUeR.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\nIATlZl.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\ZldaSqA.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\QmArihj.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\AiCzmnj.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\ghBRHUG.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\DaeEocs.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\nWRQtsF.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\ZTrcqky.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\LWTywzI.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\RnkzFqt.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\mbCnNJl.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\HlJfNFO.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\YRPGiqZ.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\XsnxXXr.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\cDAPpnR.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\SqRRilg.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\MOZezPi.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\LUenOkA.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\fkCTPtq.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\DTHzEbd.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\QYBOjuy.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\qOstaoU.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\SPgOajW.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\CyKzyYK.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\YhAWRjv.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\XuDWZiv.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\PZXextu.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\jiCjvCz.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\MYeEBsZ.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\pRujxmX.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\qlbdkWc.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\pfkMKbE.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\cwLWIJa.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\YSuMroe.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\HMLJHsj.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\ATKrRXA.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\PDFEMKf.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\xHhfNvA.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\FqCWqOF.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\YgNGsba.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\ISVariw.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\igCgPPt.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\xpGVxqx.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\UicAjcU.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\nJNuEBm.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\WcUwMiM.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\BmSMHJO.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\uXaxyCr.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\nnUyhSV.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\tvszAmZ.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\vrwZYlq.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\pwRidxG.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
File created	C:\Windows\System32\hZvBFXx.exe	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe

Checks SCSI registry key(s) 3 TTPs 6 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_DADY&PROD_HARDDISK\4&215468A5&0&000000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\ConfigFlags	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\HardwareID	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_QEMU&PROD_QEMU_DVD-ROM\4&215468A5&0&010000	dwm.exe

Enumerates system info in registry 2 TTPs 2 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe

Modifies data under HKEY_USERS 18 IoCs

description	ioc	Process
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2a\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe

Suspicious use of AdjustPrivilegeToken 6 IoCs

description	pid	Process
Token: SeCreateGlobalPrivilege	13848	dwm.exe
Token: SeChangeNotifyPrivilege	13848	dwm.exe
Token: 33	13848	dwm.exe
Token: SeIncBasePriorityPrivilege	13848	dwm.exe
Token: SeShutdownPrivilege	13848	dwm.exe
Token: SeCreatePagefilePrivilege	13848	dwm.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 1408 wrote to memory of 112	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	92
PID 1408 wrote to memory of 112	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	92
PID 1408 wrote to memory of 628	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	93
PID 1408 wrote to memory of 628	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	93
PID 1408 wrote to memory of 4628	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	94
PID 1408 wrote to memory of 4628	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	94
PID 1408 wrote to memory of 4696	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	95
PID 1408 wrote to memory of 4696	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	95
PID 1408 wrote to memory of 3444	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	96
PID 1408 wrote to memory of 3444	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	96
PID 1408 wrote to memory of 4556	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	97
PID 1408 wrote to memory of 4556	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	97
PID 1408 wrote to memory of 8	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	98
PID 1408 wrote to memory of 8	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	98
PID 1408 wrote to memory of 4136	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	99
PID 1408 wrote to memory of 4136	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	99
PID 1408 wrote to memory of 3184	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	100
PID 1408 wrote to memory of 3184	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	100
PID 1408 wrote to memory of 3940	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	101
PID 1408 wrote to memory of 3940	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	101
PID 1408 wrote to memory of 4580	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	102
PID 1408 wrote to memory of 4580	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	102
PID 1408 wrote to memory of 2056	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	103
PID 1408 wrote to memory of 2056	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	103
PID 1408 wrote to memory of 2844	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	104
PID 1408 wrote to memory of 2844	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	104
PID 1408 wrote to memory of 2824	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	105
PID 1408 wrote to memory of 2824	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	105
PID 1408 wrote to memory of 4900	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	106
PID 1408 wrote to memory of 4900	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	106
PID 1408 wrote to memory of 1016	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	107
PID 1408 wrote to memory of 1016	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	107
PID 1408 wrote to memory of 1684	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	108
PID 1408 wrote to memory of 1684	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	108
PID 1408 wrote to memory of 3660	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	109
PID 1408 wrote to memory of 3660	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	109
PID 1408 wrote to memory of 1104	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	110
PID 1408 wrote to memory of 1104	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	110
PID 1408 wrote to memory of 1292	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	111
PID 1408 wrote to memory of 1292	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	111
PID 1408 wrote to memory of 452	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	112
PID 1408 wrote to memory of 452	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	112
PID 1408 wrote to memory of 2712	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	113
PID 1408 wrote to memory of 2712	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	113
PID 1408 wrote to memory of 4492	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	114
PID 1408 wrote to memory of 4492	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	114
PID 1408 wrote to memory of 1476	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	115
PID 1408 wrote to memory of 1476	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	115
PID 1408 wrote to memory of 2352	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	116
PID 1408 wrote to memory of 2352	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	116
PID 1408 wrote to memory of 4720	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	117
PID 1408 wrote to memory of 4720	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	117
PID 1408 wrote to memory of 1484	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	118
PID 1408 wrote to memory of 1484	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	118
PID 1408 wrote to memory of 2020	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	119
PID 1408 wrote to memory of 2020	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	119
PID 1408 wrote to memory of 3280	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	120
PID 1408 wrote to memory of 3280	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	120
PID 1408 wrote to memory of 512	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	121
PID 1408 wrote to memory of 512	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	121
PID 1408 wrote to memory of 1320	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	122
PID 1408 wrote to memory of 1320	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	122
PID 1408 wrote to memory of 2580	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	123
PID 1408 wrote to memory of 2580	1408	2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe	123

C:\Users\Admin\AppData\Local\Temp\2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe
"C:\Users\Admin\AppData\Local\Temp\2ed5f2cb78115b4d95340e6d2e059e80_NeikiAnalytics.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:1408
- C:\Windows\System32\vwuKGfR.exe
  C:\Windows\System32\vwuKGfR.exe
  2⤵
  - Executes dropped EXE
  PID:112
- C:\Windows\System32\UkCyRMq.exe
  C:\Windows\System32\UkCyRMq.exe
  2⤵
  - Executes dropped EXE
  PID:628
- C:\Windows\System32\ATKrRXA.exe
  C:\Windows\System32\ATKrRXA.exe
  2⤵
  - Executes dropped EXE
  PID:4628
- C:\Windows\System32\xeJuZid.exe
  C:\Windows\System32\xeJuZid.exe
  2⤵
  - Executes dropped EXE
  PID:4696
- C:\Windows\System32\SFnkdMl.exe
  C:\Windows\System32\SFnkdMl.exe
  2⤵
  - Executes dropped EXE
  PID:3444
- C:\Windows\System32\OIHADAT.exe
  C:\Windows\System32\OIHADAT.exe
  2⤵
  - Executes dropped EXE
  PID:4556
- C:\Windows\System32\ZKokEJI.exe
  C:\Windows\System32\ZKokEJI.exe
  2⤵
  - Executes dropped EXE
  PID:8
- C:\Windows\System32\kDkRUxQ.exe
  C:\Windows\System32\kDkRUxQ.exe
  2⤵
  - Executes dropped EXE
  PID:4136
- C:\Windows\System32\HHKoOTR.exe
  C:\Windows\System32\HHKoOTR.exe
  2⤵
  - Executes dropped EXE
  PID:3184
- C:\Windows\System32\QseWIgn.exe
  C:\Windows\System32\QseWIgn.exe
  2⤵
  - Executes dropped EXE
  PID:3940
- C:\Windows\System32\RILTfVI.exe
  C:\Windows\System32\RILTfVI.exe
  2⤵
  - Executes dropped EXE
  PID:4580
- C:\Windows\System32\ISVariw.exe
  C:\Windows\System32\ISVariw.exe
  2⤵
  - Executes dropped EXE
  PID:2056
- C:\Windows\System32\MOZezPi.exe
  C:\Windows\System32\MOZezPi.exe
  2⤵
  - Executes dropped EXE
  PID:2844
- C:\Windows\System32\BSKuwDP.exe
  C:\Windows\System32\BSKuwDP.exe
  2⤵
  - Executes dropped EXE
  PID:2824
- C:\Windows\System32\vwumLFp.exe
  C:\Windows\System32\vwumLFp.exe
  2⤵
  - Executes dropped EXE
  PID:4900
- C:\Windows\System32\nSaBnJB.exe
  C:\Windows\System32\nSaBnJB.exe
  2⤵
  - Executes dropped EXE
  PID:1016
- C:\Windows\System32\zblMtBW.exe
  C:\Windows\System32\zblMtBW.exe
  2⤵
  - Executes dropped EXE
  PID:1684
- C:\Windows\System32\LQaWIdS.exe
  C:\Windows\System32\LQaWIdS.exe
  2⤵
  - Executes dropped EXE
  PID:3660
- C:\Windows\System32\VOQikLo.exe
  C:\Windows\System32\VOQikLo.exe
  2⤵
  - Executes dropped EXE
  PID:1104
- C:\Windows\System32\MvryKUu.exe
  C:\Windows\System32\MvryKUu.exe
  2⤵
  - Executes dropped EXE
  PID:1292
- C:\Windows\System32\nJGGEeM.exe
  C:\Windows\System32\nJGGEeM.exe
  2⤵
  - Executes dropped EXE
  PID:452
- C:\Windows\System32\NsEjREt.exe
  C:\Windows\System32\NsEjREt.exe
  2⤵
  - Executes dropped EXE
  PID:2712
- C:\Windows\System32\PDFEMKf.exe
  C:\Windows\System32\PDFEMKf.exe
  2⤵
  - Executes dropped EXE
  PID:4492
- C:\Windows\System32\cdaFvHy.exe
  C:\Windows\System32\cdaFvHy.exe
  2⤵
  - Executes dropped EXE
  PID:1476
- C:\Windows\System32\QcIHUrE.exe
  C:\Windows\System32\QcIHUrE.exe
  2⤵
  - Executes dropped EXE
  PID:2352
- C:\Windows\System32\WSlEvIy.exe
  C:\Windows\System32\WSlEvIy.exe
  2⤵
  - Executes dropped EXE
  PID:4720
- C:\Windows\System32\NPybSrw.exe
  C:\Windows\System32\NPybSrw.exe
  2⤵
  - Executes dropped EXE
  PID:1484
- C:\Windows\System32\BLaYfMr.exe
  C:\Windows\System32\BLaYfMr.exe
  2⤵
  - Executes dropped EXE
  PID:2020
- C:\Windows\System32\dmsQJIE.exe
  C:\Windows\System32\dmsQJIE.exe
  2⤵
  - Executes dropped EXE
  PID:3280
- C:\Windows\System32\ifCyEPz.exe
  C:\Windows\System32\ifCyEPz.exe
  2⤵
  - Executes dropped EXE
  PID:512
- C:\Windows\System32\pgXSLII.exe
  C:\Windows\System32\pgXSLII.exe
  2⤵
  - Executes dropped EXE
  PID:1320
- C:\Windows\System32\dOljfpD.exe
  C:\Windows\System32\dOljfpD.exe
  2⤵
  - Executes dropped EXE
  PID:2580
- C:\Windows\System32\aLEBaUb.exe
  C:\Windows\System32\aLEBaUb.exe
  2⤵
  - Executes dropped EXE
  PID:4728
- C:\Windows\System32\JvvdJOe.exe
  C:\Windows\System32\JvvdJOe.exe
  2⤵
  - Executes dropped EXE
  PID:3292
- C:\Windows\System32\fwUbRgL.exe
  C:\Windows\System32\fwUbRgL.exe
  2⤵
  - Executes dropped EXE
  PID:220
- C:\Windows\System32\pRujxmX.exe
  C:\Windows\System32\pRujxmX.exe
  2⤵
  - Executes dropped EXE
  PID:3236
- C:\Windows\System32\mKfLUwf.exe
  C:\Windows\System32\mKfLUwf.exe
  2⤵
  - Executes dropped EXE
  PID:4332
- C:\Windows\System32\xYMJxZj.exe
  C:\Windows\System32\xYMJxZj.exe
  2⤵
  - Executes dropped EXE
  PID:4820
- C:\Windows\System32\eRuhJLf.exe
  C:\Windows\System32\eRuhJLf.exe
  2⤵
  - Executes dropped EXE
  PID:2796
- C:\Windows\System32\dTYqaqv.exe
  C:\Windows\System32\dTYqaqv.exe
  2⤵
  - Executes dropped EXE
  PID:5028
- C:\Windows\System32\DTHzEbd.exe
  C:\Windows\System32\DTHzEbd.exe
  2⤵
  - Executes dropped EXE
  PID:3664
- C:\Windows\System32\bOqwPyj.exe
  C:\Windows\System32\bOqwPyj.exe
  2⤵
  - Executes dropped EXE
  PID:4148
- C:\Windows\System32\PpUwKSH.exe
  C:\Windows\System32\PpUwKSH.exe
  2⤵
  - Executes dropped EXE
  PID:1380
- C:\Windows\System32\dzGehGV.exe
  C:\Windows\System32\dzGehGV.exe
  2⤵
  - Executes dropped EXE
  PID:1124
- C:\Windows\System32\uqdCtsO.exe
  C:\Windows\System32\uqdCtsO.exe
  2⤵
  - Executes dropped EXE
  PID:4608
- C:\Windows\System32\uMbDqPW.exe
  C:\Windows\System32\uMbDqPW.exe
  2⤵
  - Executes dropped EXE
  PID:2196
- C:\Windows\System32\beFdqkc.exe
  C:\Windows\System32\beFdqkc.exe
  2⤵
  - Executes dropped EXE
  PID:2092
- C:\Windows\System32\LsxgNCl.exe
  C:\Windows\System32\LsxgNCl.exe
  2⤵
  - Executes dropped EXE
  PID:2348
- C:\Windows\System32\FGkenAj.exe
  C:\Windows\System32\FGkenAj.exe
  2⤵
  - Executes dropped EXE
  PID:3888
- C:\Windows\System32\rTeVEqY.exe
  C:\Windows\System32\rTeVEqY.exe
  2⤵
  - Executes dropped EXE
  PID:3152
- C:\Windows\System32\QPVLsXF.exe
  C:\Windows\System32\QPVLsXF.exe
  2⤵
  - Executes dropped EXE
  PID:1524
- C:\Windows\System32\czYfWYr.exe
  C:\Windows\System32\czYfWYr.exe
  2⤵
  - Executes dropped EXE
  PID:1000
- C:\Windows\System32\jEutcvU.exe
  C:\Windows\System32\jEutcvU.exe
  2⤵
  - Executes dropped EXE
  PID:3308
- C:\Windows\System32\LUenOkA.exe
  C:\Windows\System32\LUenOkA.exe
  2⤵
  - Executes dropped EXE
  PID:3712
- C:\Windows\System32\Zdzgvoz.exe
  C:\Windows\System32\Zdzgvoz.exe
  2⤵
  - Executes dropped EXE
  PID:5148
- C:\Windows\System32\IpQFcCp.exe
  C:\Windows\System32\IpQFcCp.exe
  2⤵
  - Executes dropped EXE
  PID:5164
- C:\Windows\System32\nsWoCEq.exe
  C:\Windows\System32\nsWoCEq.exe
  2⤵
  - Executes dropped EXE
  PID:5200
- C:\Windows\System32\RvbFZmz.exe
  C:\Windows\System32\RvbFZmz.exe
  2⤵
  - Executes dropped EXE
  PID:5220
- C:\Windows\System32\iWqAhZB.exe
  C:\Windows\System32\iWqAhZB.exe
  2⤵
  - Executes dropped EXE
  PID:5260
- C:\Windows\System32\tygSFKf.exe
  C:\Windows\System32\tygSFKf.exe
  2⤵
  - Executes dropped EXE
  PID:5288
- C:\Windows\System32\vluoLPQ.exe
  C:\Windows\System32\vluoLPQ.exe
  2⤵
  - Executes dropped EXE
  PID:5316
- C:\Windows\System32\ZNGaDmL.exe
  C:\Windows\System32\ZNGaDmL.exe
  2⤵
  - Executes dropped EXE
  PID:5344
- C:\Windows\System32\sWvogLp.exe
  C:\Windows\System32\sWvogLp.exe
  2⤵
  - Executes dropped EXE
  PID:5372
- C:\Windows\System32\eqJxOdx.exe
  C:\Windows\System32\eqJxOdx.exe
  2⤵
  - Executes dropped EXE
  PID:5388
- C:\Windows\System32\jXADkDL.exe
  C:\Windows\System32\jXADkDL.exe
  2⤵
  PID:5416
- C:\Windows\System32\BpjGcSO.exe
  C:\Windows\System32\BpjGcSO.exe
  2⤵
  PID:5444
- C:\Windows\System32\plsQlDE.exe
  C:\Windows\System32\plsQlDE.exe
  2⤵
  PID:5484
- C:\Windows\System32\UMMzMtm.exe
  C:\Windows\System32\UMMzMtm.exe
  2⤵
  PID:5512
- C:\Windows\System32\kCDndrv.exe
  C:\Windows\System32\kCDndrv.exe
  2⤵
  PID:5540
- C:\Windows\System32\GqWhZBF.exe
  C:\Windows\System32\GqWhZBF.exe
  2⤵
  PID:5556
- C:\Windows\System32\FXpspUr.exe
  C:\Windows\System32\FXpspUr.exe
  2⤵
  PID:5596
- C:\Windows\System32\DxHBOTa.exe
  C:\Windows\System32\DxHBOTa.exe
  2⤵
  PID:5624
- C:\Windows\System32\SyLvDLX.exe
  C:\Windows\System32\SyLvDLX.exe
  2⤵
  PID:5652
- C:\Windows\System32\vVMEuJG.exe
  C:\Windows\System32\vVMEuJG.exe
  2⤵
  PID:5668
- C:\Windows\System32\qhuGoXs.exe
  C:\Windows\System32\qhuGoXs.exe
  2⤵
  PID:5696
- C:\Windows\System32\fQPoasj.exe
  C:\Windows\System32\fQPoasj.exe
  2⤵
  PID:5736
- C:\Windows\System32\klmzzXD.exe
  C:\Windows\System32\klmzzXD.exe
  2⤵
  PID:5752
- C:\Windows\System32\rkezcTE.exe
  C:\Windows\System32\rkezcTE.exe
  2⤵
  PID:5780
- C:\Windows\System32\gCQFxFP.exe
  C:\Windows\System32\gCQFxFP.exe
  2⤵
  PID:5808
- C:\Windows\System32\ICQNwnU.exe
  C:\Windows\System32\ICQNwnU.exe
  2⤵
  PID:5848
- C:\Windows\System32\rgmpntb.exe
  C:\Windows\System32\rgmpntb.exe
  2⤵
  PID:5876
- C:\Windows\System32\MyzgACi.exe
  C:\Windows\System32\MyzgACi.exe
  2⤵
  PID:5904
- C:\Windows\System32\oSGriLC.exe
  C:\Windows\System32\oSGriLC.exe
  2⤵
  PID:5920
- C:\Windows\System32\hxZFztU.exe
  C:\Windows\System32\hxZFztU.exe
  2⤵
  PID:5960
- C:\Windows\System32\PtBXwbM.exe
  C:\Windows\System32\PtBXwbM.exe
  2⤵
  PID:5976
- C:\Windows\System32\tEXkrKf.exe
  C:\Windows\System32\tEXkrKf.exe
  2⤵
  PID:6016
- C:\Windows\System32\XWvAOmn.exe
  C:\Windows\System32\XWvAOmn.exe
  2⤵
  PID:6032
- C:\Windows\System32\jowflbH.exe
  C:\Windows\System32\jowflbH.exe
  2⤵
  PID:6060
- C:\Windows\System32\rvwbeYe.exe
  C:\Windows\System32\rvwbeYe.exe
  2⤵
  PID:6088
- C:\Windows\System32\qVLeSJi.exe
  C:\Windows\System32\qVLeSJi.exe
  2⤵
  PID:6128
- C:\Windows\System32\nJNuEBm.exe
  C:\Windows\System32\nJNuEBm.exe
  2⤵
  PID:3252
- C:\Windows\System32\pgEkzoG.exe
  C:\Windows\System32\pgEkzoG.exe
  2⤵
  PID:4940
- C:\Windows\System32\uuJvKrl.exe
  C:\Windows\System32\uuJvKrl.exe
  2⤵
  PID:2144
- C:\Windows\System32\tTiVxct.exe
  C:\Windows\System32\tTiVxct.exe
  2⤵
  PID:2812
- C:\Windows\System32\ptoFYdh.exe
  C:\Windows\System32\ptoFYdh.exe
  2⤵
  PID:880
- C:\Windows\System32\dxyQDpp.exe
  C:\Windows\System32\dxyQDpp.exe
  2⤵
  PID:5176
- C:\Windows\System32\LIicGWa.exe
  C:\Windows\System32\LIicGWa.exe
  2⤵
  PID:5268
- C:\Windows\System32\vDdIXzc.exe
  C:\Windows\System32\vDdIXzc.exe
  2⤵
  PID:5296
- C:\Windows\System32\aVSvRvU.exe
  C:\Windows\System32\aVSvRvU.exe
  2⤵
  PID:5352
- C:\Windows\System32\xtLWxTs.exe
  C:\Windows\System32\xtLWxTs.exe
  2⤵
  PID:5432
- C:\Windows\System32\nfRcRwg.exe
  C:\Windows\System32\nfRcRwg.exe
  2⤵
  PID:5496
- C:\Windows\System32\eAbgNde.exe
  C:\Windows\System32\eAbgNde.exe
  2⤵
  PID:5572
- C:\Windows\System32\lwRoSuB.exe
  C:\Windows\System32\lwRoSuB.exe
  2⤵
  PID:5636
- C:\Windows\System32\igCgPPt.exe
  C:\Windows\System32\igCgPPt.exe
  2⤵
  PID:5692
- C:\Windows\System32\BGNySYd.exe
  C:\Windows\System32\BGNySYd.exe
  2⤵
  PID:5792
- C:\Windows\System32\foKzakd.exe
  C:\Windows\System32\foKzakd.exe
  2⤵
  PID:5840
- C:\Windows\System32\wPpUIZD.exe
  C:\Windows\System32\wPpUIZD.exe
  2⤵
  PID:5912
- C:\Windows\System32\DFRAwwe.exe
  C:\Windows\System32\DFRAwwe.exe
  2⤵
  PID:5988
- C:\Windows\System32\dXumoMo.exe
  C:\Windows\System32\dXumoMo.exe
  2⤵
  PID:6028
- C:\Windows\System32\jhdASvq.exe
  C:\Windows\System32\jhdASvq.exe
  2⤵
  PID:6084
- C:\Windows\System32\ceKGpTm.exe
  C:\Windows\System32\ceKGpTm.exe
  2⤵
  PID:5084
- C:\Windows\System32\MIKZjKP.exe
  C:\Windows\System32\MIKZjKP.exe
  2⤵
  PID:3784
- C:\Windows\System32\KwIpYPs.exe
  C:\Windows\System32\KwIpYPs.exe
  2⤵
  PID:5180
- C:\Windows\System32\KDrWWaR.exe
  C:\Windows\System32\KDrWWaR.exe
  2⤵
  PID:5324
- C:\Windows\System32\heMbWms.exe
  C:\Windows\System32\heMbWms.exe
  2⤵
  PID:5588
- C:\Windows\System32\myKsRbt.exe
  C:\Windows\System32\myKsRbt.exe
  2⤵
  PID:5664
- C:\Windows\System32\rNDbNtE.exe
  C:\Windows\System32\rNDbNtE.exe
  2⤵
  PID:5804
- C:\Windows\System32\TiTiige.exe
  C:\Windows\System32\TiTiige.exe
  2⤵
  PID:5968
- C:\Windows\System32\xMtlMsJ.exe
  C:\Windows\System32\xMtlMsJ.exe
  2⤵
  PID:6168
- C:\Windows\System32\QiyXKWf.exe
  C:\Windows\System32\QiyXKWf.exe
  2⤵
  PID:6184
- C:\Windows\System32\RBzogmv.exe
  C:\Windows\System32\RBzogmv.exe
  2⤵
  PID:6212
- C:\Windows\System32\uqncCgO.exe
  C:\Windows\System32\uqncCgO.exe
  2⤵
  PID:6252
- C:\Windows\System32\jZHbsMG.exe
  C:\Windows\System32\jZHbsMG.exe
  2⤵
  PID:6268
- C:\Windows\System32\wjzBEKY.exe
  C:\Windows\System32\wjzBEKY.exe
  2⤵
  PID:6308
- C:\Windows\System32\hnLayyW.exe
  C:\Windows\System32\hnLayyW.exe
  2⤵
  PID:6324
- C:\Windows\System32\GZflgwA.exe
  C:\Windows\System32\GZflgwA.exe
  2⤵
  PID:6364
- C:\Windows\System32\BovxPuW.exe
  C:\Windows\System32\BovxPuW.exe
  2⤵
  PID:6380
- C:\Windows\System32\OWYQfKa.exe
  C:\Windows\System32\OWYQfKa.exe
  2⤵
  PID:6408
- C:\Windows\System32\hxNNXNC.exe
  C:\Windows\System32\hxNNXNC.exe
  2⤵
  PID:6436
- C:\Windows\System32\xHhfNvA.exe
  C:\Windows\System32\xHhfNvA.exe
  2⤵
  PID:6464
- C:\Windows\System32\uISjjRL.exe
  C:\Windows\System32\uISjjRL.exe
  2⤵
  PID:6504
- C:\Windows\System32\AGUEGpP.exe
  C:\Windows\System32\AGUEGpP.exe
  2⤵
  PID:6520
- C:\Windows\System32\JgddghA.exe
  C:\Windows\System32\JgddghA.exe
  2⤵
  PID:6560
- C:\Windows\System32\hToKzns.exe
  C:\Windows\System32\hToKzns.exe
  2⤵
  PID:6576
- C:\Windows\System32\SCyDBrP.exe
  C:\Windows\System32\SCyDBrP.exe
  2⤵
  PID:6604
- C:\Windows\System32\SwCzdXN.exe
  C:\Windows\System32\SwCzdXN.exe
  2⤵
  PID:6644
- C:\Windows\System32\zMqugca.exe
  C:\Windows\System32\zMqugca.exe
  2⤵
  PID:6660
- C:\Windows\System32\uXaxyCr.exe
  C:\Windows\System32\uXaxyCr.exe
  2⤵
  PID:6700
- C:\Windows\System32\PbmDKYk.exe
  C:\Windows\System32\PbmDKYk.exe
  2⤵
  PID:6716
- C:\Windows\System32\QOvOhva.exe
  C:\Windows\System32\QOvOhva.exe
  2⤵
  PID:6744
- C:\Windows\System32\YhAWRjv.exe
  C:\Windows\System32\YhAWRjv.exe
  2⤵
  PID:6784
- C:\Windows\System32\fsuhAoD.exe
  C:\Windows\System32\fsuhAoD.exe
  2⤵
  PID:6800
- C:\Windows\System32\SMIsijB.exe
  C:\Windows\System32\SMIsijB.exe
  2⤵
  PID:6840
- C:\Windows\System32\ZTrcqky.exe
  C:\Windows\System32\ZTrcqky.exe
  2⤵
  PID:6868
- C:\Windows\System32\VrWvCvZ.exe
  C:\Windows\System32\VrWvCvZ.exe
  2⤵
  PID:6896
- C:\Windows\System32\IdAItaQ.exe
  C:\Windows\System32\IdAItaQ.exe
  2⤵
  PID:6924
- C:\Windows\System32\qrdCTKv.exe
  C:\Windows\System32\qrdCTKv.exe
  2⤵
  PID:6940
- C:\Windows\System32\Xqbovbn.exe
  C:\Windows\System32\Xqbovbn.exe
  2⤵
  PID:6968
- C:\Windows\System32\DaQKejr.exe
  C:\Windows\System32\DaQKejr.exe
  2⤵
  PID:7008
- C:\Windows\System32\yCvRFgJ.exe
  C:\Windows\System32\yCvRFgJ.exe
  2⤵
  PID:7036
- C:\Windows\System32\dULFraP.exe
  C:\Windows\System32\dULFraP.exe
  2⤵
  PID:7052
- C:\Windows\System32\BwCQBrf.exe
  C:\Windows\System32\BwCQBrf.exe
  2⤵
  PID:7080
- C:\Windows\System32\AkHnwjl.exe
  C:\Windows\System32\AkHnwjl.exe
  2⤵
  PID:7108
- C:\Windows\System32\SpJyMFw.exe
  C:\Windows\System32\SpJyMFw.exe
  2⤵
  PID:7148
- C:\Windows\System32\oZtjsum.exe
  C:\Windows\System32\oZtjsum.exe
  2⤵
  PID:6120
- C:\Windows\System32\igcPOUd.exe
  C:\Windows\System32\igcPOUd.exe
  2⤵
  PID:5124
- C:\Windows\System32\mSiRQtE.exe
  C:\Windows\System32\mSiRQtE.exe
  2⤵
  PID:5328
- C:\Windows\System32\RvhQFyP.exe
  C:\Windows\System32\RvhQFyP.exe
  2⤵
  PID:5728
- C:\Windows\System32\TsDoNKy.exe
  C:\Windows\System32\TsDoNKy.exe
  2⤵
  PID:6180
- C:\Windows\System32\RhHgJUm.exe
  C:\Windows\System32\RhHgJUm.exe
  2⤵
  PID:6244
- C:\Windows\System32\GLewWuc.exe
  C:\Windows\System32\GLewWuc.exe
  2⤵
  PID:6300
- C:\Windows\System32\mUbkiQs.exe
  C:\Windows\System32\mUbkiQs.exe
  2⤵
  PID:6336
- C:\Windows\System32\UWwpNFt.exe
  C:\Windows\System32\UWwpNFt.exe
  2⤵
  PID:6404
- C:\Windows\System32\GQfhyqB.exe
  C:\Windows\System32\GQfhyqB.exe
  2⤵
  PID:6488
- C:\Windows\System32\gWRCgvI.exe
  C:\Windows\System32\gWRCgvI.exe
  2⤵
  PID:6532
- C:\Windows\System32\pXYvoFF.exe
  C:\Windows\System32\pXYvoFF.exe
  2⤵
  PID:6616
- C:\Windows\System32\FzLYWPH.exe
  C:\Windows\System32\FzLYWPH.exe
  2⤵
  PID:6652
- C:\Windows\System32\yOOthbO.exe
  C:\Windows\System32\yOOthbO.exe
  2⤵
  PID:6708
- C:\Windows\System32\QYBOjuy.exe
  C:\Windows\System32\QYBOjuy.exe
  2⤵
  PID:6760
- C:\Windows\System32\lLupiiB.exe
  C:\Windows\System32\lLupiiB.exe
  2⤵
  PID:6848
- C:\Windows\System32\IGDzDAm.exe
  C:\Windows\System32\IGDzDAm.exe
  2⤵
  PID:6936
- C:\Windows\System32\meminYj.exe
  C:\Windows\System32\meminYj.exe
  2⤵
  PID:6984
- C:\Windows\System32\LuEYpcR.exe
  C:\Windows\System32\LuEYpcR.exe
  2⤵
  PID:7048
- C:\Windows\System32\RKRPBhu.exe
  C:\Windows\System32\RKRPBhu.exe
  2⤵
  PID:7104
- C:\Windows\System32\fCarsfU.exe
  C:\Windows\System32\fCarsfU.exe
  2⤵
  PID:6104
- C:\Windows\System32\dirFiNo.exe
  C:\Windows\System32\dirFiNo.exe
  2⤵
  PID:5212
- C:\Windows\System32\cRzdATu.exe
  C:\Windows\System32\cRzdATu.exe
  2⤵
  PID:6160
- C:\Windows\System32\IAZRidx.exe
  C:\Windows\System32\IAZRidx.exe
  2⤵
  PID:4596
- C:\Windows\System32\VtflpFC.exe
  C:\Windows\System32\VtflpFC.exe
  2⤵
  PID:6452
- C:\Windows\System32\wBDprwA.exe
  C:\Windows\System32\wBDprwA.exe
  2⤵
  PID:6636
- C:\Windows\System32\vrIjXXj.exe
  C:\Windows\System32\vrIjXXj.exe
  2⤵
  PID:6732
- C:\Windows\System32\uKrihNQ.exe
  C:\Windows\System32\uKrihNQ.exe
  2⤵
  PID:6908
- C:\Windows\System32\SejthxT.exe
  C:\Windows\System32\SejthxT.exe
  2⤵
  PID:7016
- C:\Windows\System32\tVpqAtk.exe
  C:\Windows\System32\tVpqAtk.exe
  2⤵
  PID:3928
- C:\Windows\System32\VCLtexM.exe
  C:\Windows\System32\VCLtexM.exe
  2⤵
  PID:6200
- C:\Windows\System32\JGYNQOr.exe
  C:\Windows\System32\JGYNQOr.exe
  2⤵
  PID:6392
- C:\Windows\System32\xpGVxqx.exe
  C:\Windows\System32\xpGVxqx.exe
  2⤵
  PID:7204
- C:\Windows\System32\DvIJAzS.exe
  C:\Windows\System32\DvIJAzS.exe
  2⤵
  PID:7220
- C:\Windows\System32\HukfXMT.exe
  C:\Windows\System32\HukfXMT.exe
  2⤵
  PID:7248
- C:\Windows\System32\BMbMgzk.exe
  C:\Windows\System32\BMbMgzk.exe
  2⤵
  PID:7276
- C:\Windows\System32\radTWuc.exe
  C:\Windows\System32\radTWuc.exe
  2⤵
  PID:7304
- C:\Windows\System32\qmrpNDq.exe
  C:\Windows\System32\qmrpNDq.exe
  2⤵
  PID:7332
- C:\Windows\System32\xCdGFjx.exe
  C:\Windows\System32\xCdGFjx.exe
  2⤵
  PID:7372
- C:\Windows\System32\lPvHLrm.exe
  C:\Windows\System32\lPvHLrm.exe
  2⤵
  PID:7392
- C:\Windows\System32\iIEIjbd.exe
  C:\Windows\System32\iIEIjbd.exe
  2⤵
  PID:7428
- C:\Windows\System32\bnIVcWZ.exe
  C:\Windows\System32\bnIVcWZ.exe
  2⤵
  PID:7444
- C:\Windows\System32\VmSoLGf.exe
  C:\Windows\System32\VmSoLGf.exe
  2⤵
  PID:7484
- C:\Windows\System32\EXlvkvc.exe
  C:\Windows\System32\EXlvkvc.exe
  2⤵
  PID:7500
- C:\Windows\System32\aIlSxgw.exe
  C:\Windows\System32\aIlSxgw.exe
  2⤵
  PID:7528
- C:\Windows\System32\ARiDzPw.exe
  C:\Windows\System32\ARiDzPw.exe
  2⤵
  PID:7568
- C:\Windows\System32\NOrBRDO.exe
  C:\Windows\System32\NOrBRDO.exe
  2⤵
  PID:7584
- C:\Windows\System32\NfNkvlT.exe
  C:\Windows\System32\NfNkvlT.exe
  2⤵
  PID:7612
- C:\Windows\System32\jmynrlF.exe
  C:\Windows\System32\jmynrlF.exe
  2⤵
  PID:7652
- C:\Windows\System32\eLOxTce.exe
  C:\Windows\System32\eLOxTce.exe
  2⤵
  PID:7680
- C:\Windows\System32\keTbYyN.exe
  C:\Windows\System32\keTbYyN.exe
  2⤵
  PID:7708
- C:\Windows\System32\wUbMjuF.exe
  C:\Windows\System32\wUbMjuF.exe
  2⤵
  PID:7724
- C:\Windows\System32\SODkWdw.exe
  C:\Windows\System32\SODkWdw.exe
  2⤵
  PID:7748
- C:\Windows\System32\xtjkywD.exe
  C:\Windows\System32\xtjkywD.exe
  2⤵
  PID:7780
- C:\Windows\System32\kacELdr.exe
  C:\Windows\System32\kacELdr.exe
  2⤵
  PID:7808
- C:\Windows\System32\YBCaUNt.exe
  C:\Windows\System32\YBCaUNt.exe
  2⤵
  PID:7848
- C:\Windows\System32\YVdMJsz.exe
  C:\Windows\System32\YVdMJsz.exe
  2⤵
  PID:7864
- C:\Windows\System32\rjHrDXa.exe
  C:\Windows\System32\rjHrDXa.exe
  2⤵
  PID:7904
- C:\Windows\System32\nIATlZl.exe
  C:\Windows\System32\nIATlZl.exe
  2⤵
  PID:7920
- C:\Windows\System32\qwrzecA.exe
  C:\Windows\System32\qwrzecA.exe
  2⤵
  PID:7960
- C:\Windows\System32\dRNJQUL.exe
  C:\Windows\System32\dRNJQUL.exe
  2⤵
  PID:7988
- C:\Windows\System32\jZRSjZV.exe
  C:\Windows\System32\jZRSjZV.exe
  2⤵
  PID:8016
- C:\Windows\System32\zQIUWKJ.exe
  C:\Windows\System32\zQIUWKJ.exe
  2⤵
  PID:8084
- C:\Windows\System32\qOstaoU.exe
  C:\Windows\System32\qOstaoU.exe
  2⤵
  PID:8136
- C:\Windows\System32\ZldaSqA.exe
  C:\Windows\System32\ZldaSqA.exe
  2⤵
  PID:8160
- C:\Windows\System32\sEfOFuV.exe
  C:\Windows\System32\sEfOFuV.exe
  2⤵
  PID:8180
- C:\Windows\System32\tsDIYHS.exe
  C:\Windows\System32\tsDIYHS.exe
  2⤵
  PID:448
- C:\Windows\System32\CVOrliy.exe
  C:\Windows\System32\CVOrliy.exe
  2⤵
  PID:7096
- C:\Windows\System32\qHlEFFE.exe
  C:\Windows\System32\qHlEFFE.exe
  2⤵
  PID:7244
- C:\Windows\System32\kGtfEWF.exe
  C:\Windows\System32\kGtfEWF.exe
  2⤵
  PID:7316
- C:\Windows\System32\batPWHU.exe
  C:\Windows\System32\batPWHU.exe
  2⤵
  PID:7356
- C:\Windows\System32\XCybkjG.exe
  C:\Windows\System32\XCybkjG.exe
  2⤵
  PID:7440
- C:\Windows\System32\qlbdkWc.exe
  C:\Windows\System32\qlbdkWc.exe
  2⤵
  PID:2320
- C:\Windows\System32\lamcGJk.exe
  C:\Windows\System32\lamcGJk.exe
  2⤵
  PID:7608
- C:\Windows\System32\klJPhuD.exe
  C:\Windows\System32\klJPhuD.exe
  2⤵
  PID:7644
- C:\Windows\System32\yoEvkHd.exe
  C:\Windows\System32\yoEvkHd.exe
  2⤵
  PID:2856
- C:\Windows\System32\AZDTikp.exe
  C:\Windows\System32\AZDTikp.exe
  2⤵
  PID:2788
- C:\Windows\System32\GBKpRCa.exe
  C:\Windows\System32\GBKpRCa.exe
  2⤵
  PID:4984
- C:\Windows\System32\FNQFXUw.exe
  C:\Windows\System32\FNQFXUw.exe
  2⤵
  PID:7840
- C:\Windows\System32\QvPFgmV.exe
  C:\Windows\System32\QvPFgmV.exe
  2⤵
  PID:7860
- C:\Windows\System32\hByfYun.exe
  C:\Windows\System32\hByfYun.exe
  2⤵
  PID:2172
- C:\Windows\System32\rfTBxKN.exe
  C:\Windows\System32\rfTBxKN.exe
  2⤵
  PID:7916
- C:\Windows\System32\sKngvSV.exe
  C:\Windows\System32\sKngvSV.exe
  2⤵
  PID:7944
- C:\Windows\System32\RtINIAw.exe
  C:\Windows\System32\RtINIAw.exe
  2⤵
  PID:3996
- C:\Windows\System32\koNluYj.exe
  C:\Windows\System32\koNluYj.exe
  2⤵
  PID:924
- C:\Windows\System32\JYNGmPs.exe
  C:\Windows\System32\JYNGmPs.exe
  2⤵
  PID:4980
- C:\Windows\System32\klBAsJZ.exe
  C:\Windows\System32\klBAsJZ.exe
  2⤵
  PID:2620
- C:\Windows\System32\JvjCwkD.exe
  C:\Windows\System32\JvjCwkD.exe
  2⤵
  PID:8080
- C:\Windows\System32\JifCKnz.exe
  C:\Windows\System32\JifCKnz.exe
  2⤵
  PID:4436
- C:\Windows\System32\tbjmZGU.exe
  C:\Windows\System32\tbjmZGU.exe
  2⤵
  PID:8152
- C:\Windows\System32\aZiRPnA.exe
  C:\Windows\System32\aZiRPnA.exe
  2⤵
  PID:7132
- C:\Windows\System32\KimlkTr.exe
  C:\Windows\System32\KimlkTr.exe
  2⤵
  PID:7300
- C:\Windows\System32\QWzGOIK.exe
  C:\Windows\System32\QWzGOIK.exe
  2⤵
  PID:7408
- C:\Windows\System32\tkwQxfo.exe
  C:\Windows\System32\tkwQxfo.exe
  2⤵
  PID:7540
- C:\Windows\System32\myyFImm.exe
  C:\Windows\System32\myyFImm.exe
  2⤵
  PID:7688
- C:\Windows\System32\dPhMvyf.exe
  C:\Windows\System32\dPhMvyf.exe
  2⤵
  PID:7764
- C:\Windows\System32\OGopvof.exe
  C:\Windows\System32\OGopvof.exe
  2⤵
  PID:4676
- C:\Windows\System32\ZDkQrGA.exe
  C:\Windows\System32\ZDkQrGA.exe
  2⤵
  PID:7880
- C:\Windows\System32\RbiVqVm.exe
  C:\Windows\System32\RbiVqVm.exe
  2⤵
  PID:7476
- C:\Windows\System32\ZmmQQjS.exe
  C:\Windows\System32\ZmmQQjS.exe
  2⤵
  PID:6596
- C:\Windows\System32\LKeAEwe.exe
  C:\Windows\System32\LKeAEwe.exe
  2⤵
  PID:8124
- C:\Windows\System32\VssMVDx.exe
  C:\Windows\System32\VssMVDx.exe
  2⤵
  PID:8048
- C:\Windows\System32\fuzgPXp.exe
  C:\Windows\System32\fuzgPXp.exe
  2⤵
  PID:8064
- C:\Windows\System32\pkbJTOy.exe
  C:\Windows\System32\pkbJTOy.exe
  2⤵
  PID:8000
- C:\Windows\System32\qtffYbi.exe
  C:\Windows\System32\qtffYbi.exe
  2⤵
  PID:7664
- C:\Windows\System32\buObyMs.exe
  C:\Windows\System32\buObyMs.exe
  2⤵
  PID:2772
- C:\Windows\System32\BjAyhjd.exe
  C:\Windows\System32\BjAyhjd.exe
  2⤵
  PID:7380
- C:\Windows\System32\yPdVpfA.exe
  C:\Windows\System32\yPdVpfA.exe
  2⤵
  PID:7720
- C:\Windows\System32\nGaysil.exe
  C:\Windows\System32\nGaysil.exe
  2⤵
  PID:6956
- C:\Windows\System32\GLmdRKh.exe
  C:\Windows\System32\GLmdRKh.exe
  2⤵
  PID:3344
- C:\Windows\System32\xfwFNOi.exe
  C:\Windows\System32\xfwFNOi.exe
  2⤵
  PID:3440
- C:\Windows\System32\frxAunC.exe
  C:\Windows\System32\frxAunC.exe
  2⤵
  PID:8232
- C:\Windows\System32\HfHQYom.exe
  C:\Windows\System32\HfHQYom.exe
  2⤵
  PID:8272
- C:\Windows\System32\eHUPFmy.exe
  C:\Windows\System32\eHUPFmy.exe
  2⤵
  PID:8292
- C:\Windows\System32\rJmXRcC.exe
  C:\Windows\System32\rJmXRcC.exe
  2⤵
  PID:8328
- C:\Windows\System32\nnUyhSV.exe
  C:\Windows\System32\nnUyhSV.exe
  2⤵
  PID:8356
- C:\Windows\System32\redbLhb.exe
  C:\Windows\System32\redbLhb.exe
  2⤵
  PID:8384
- C:\Windows\System32\RAHjTEW.exe
  C:\Windows\System32\RAHjTEW.exe
  2⤵
  PID:8420
- C:\Windows\System32\pwRidxG.exe
  C:\Windows\System32\pwRidxG.exe
  2⤵
  PID:8452
- C:\Windows\System32\EyMWxrt.exe
  C:\Windows\System32\EyMWxrt.exe
  2⤵
  PID:8488
- C:\Windows\System32\WBBnUWR.exe
  C:\Windows\System32\WBBnUWR.exe
  2⤵
  PID:8512
- C:\Windows\System32\sjKmvvO.exe
  C:\Windows\System32\sjKmvvO.exe
  2⤵
  PID:8552
- C:\Windows\System32\SPgOajW.exe
  C:\Windows\System32\SPgOajW.exe
  2⤵
  PID:8580
- C:\Windows\System32\uuVwDcD.exe
  C:\Windows\System32\uuVwDcD.exe
  2⤵
  PID:8596
- C:\Windows\System32\LWTywzI.exe
  C:\Windows\System32\LWTywzI.exe
  2⤵
  PID:8640
- C:\Windows\System32\JjxnybZ.exe
  C:\Windows\System32\JjxnybZ.exe
  2⤵
  PID:8664
- C:\Windows\System32\HQAUzjV.exe
  C:\Windows\System32\HQAUzjV.exe
  2⤵
  PID:8692
- C:\Windows\System32\RfIJzGz.exe
  C:\Windows\System32\RfIJzGz.exe
  2⤵
  PID:8720
- C:\Windows\System32\GDTnRpZ.exe
  C:\Windows\System32\GDTnRpZ.exe
  2⤵
  PID:8748
- C:\Windows\System32\ZDgOAti.exe
  C:\Windows\System32\ZDgOAti.exe
  2⤵
  PID:8776
- C:\Windows\System32\NzyelbL.exe
  C:\Windows\System32\NzyelbL.exe
  2⤵
  PID:8804
- C:\Windows\System32\KfKChma.exe
  C:\Windows\System32\KfKChma.exe
  2⤵
  PID:8832
- C:\Windows\System32\HlJfNFO.exe
  C:\Windows\System32\HlJfNFO.exe
  2⤵
  PID:8860
- C:\Windows\System32\zYPvUMT.exe
  C:\Windows\System32\zYPvUMT.exe
  2⤵
  PID:8896
- C:\Windows\System32\FbbnmVg.exe
  C:\Windows\System32\FbbnmVg.exe
  2⤵
  PID:8924
- C:\Windows\System32\tdWEPys.exe
  C:\Windows\System32\tdWEPys.exe
  2⤵
  PID:8952
- C:\Windows\System32\okaTEuS.exe
  C:\Windows\System32\okaTEuS.exe
  2⤵
  PID:8988
- C:\Windows\System32\KnYghia.exe
  C:\Windows\System32\KnYghia.exe
  2⤵
  PID:9020
- C:\Windows\System32\IiBZvgQ.exe
  C:\Windows\System32\IiBZvgQ.exe
  2⤵
  PID:9040
- C:\Windows\System32\YRPGiqZ.exe
  C:\Windows\System32\YRPGiqZ.exe
  2⤵
  PID:9064
- C:\Windows\System32\fLKXFep.exe
  C:\Windows\System32\fLKXFep.exe
  2⤵
  PID:9104
- C:\Windows\System32\SJPGXJI.exe
  C:\Windows\System32\SJPGXJI.exe
  2⤵
  PID:9136
- C:\Windows\System32\YSuMroe.exe
  C:\Windows\System32\YSuMroe.exe
  2⤵
  PID:9172
- C:\Windows\System32\CMBzIaP.exe
  C:\Windows\System32\CMBzIaP.exe
  2⤵
  PID:9200
- C:\Windows\System32\cvZajTf.exe
  C:\Windows\System32\cvZajTf.exe
  2⤵
  PID:8280
- C:\Windows\System32\WyajnsY.exe
  C:\Windows\System32\WyajnsY.exe
  2⤵
  PID:8316
- C:\Windows\System32\VTSeGTT.exe
  C:\Windows\System32\VTSeGTT.exe
  2⤵
  PID:8380
- C:\Windows\System32\fkybnAR.exe
  C:\Windows\System32\fkybnAR.exe
  2⤵
  PID:8476
- C:\Windows\System32\qiGukrj.exe
  C:\Windows\System32\qiGukrj.exe
  2⤵
  PID:8576
- C:\Windows\System32\FkciMkP.exe
  C:\Windows\System32\FkciMkP.exe
  2⤵
  PID:8688
- C:\Windows\System32\mBdgrXo.exe
  C:\Windows\System32\mBdgrXo.exe
  2⤵
  PID:8764
- C:\Windows\System32\HGuSPFA.exe
  C:\Windows\System32\HGuSPFA.exe
  2⤵
  PID:8828
- C:\Windows\System32\gYAlQgL.exe
  C:\Windows\System32\gYAlQgL.exe
  2⤵
  PID:8908
- C:\Windows\System32\XUxfilQ.exe
  C:\Windows\System32\XUxfilQ.exe
  2⤵
  PID:8964
- C:\Windows\System32\BJlaxvs.exe
  C:\Windows\System32\BJlaxvs.exe
  2⤵
  PID:8496
- C:\Windows\System32\XsnxXXr.exe
  C:\Windows\System32\XsnxXXr.exe
  2⤵
  PID:9056
- C:\Windows\System32\oGRiWzK.exe
  C:\Windows\System32\oGRiWzK.exe
  2⤵
  PID:9164
- C:\Windows\System32\IZMsLoi.exe
  C:\Windows\System32\IZMsLoi.exe
  2⤵
  PID:8252
- C:\Windows\System32\hZvBFXx.exe
  C:\Windows\System32\hZvBFXx.exe
  2⤵
  PID:8416
- C:\Windows\System32\ciHaNea.exe
  C:\Windows\System32\ciHaNea.exe
  2⤵
  PID:8628
- C:\Windows\System32\HpcAzJr.exe
  C:\Windows\System32\HpcAzJr.exe
  2⤵
  PID:8824
- C:\Windows\System32\chPYqVL.exe
  C:\Windows\System32\chPYqVL.exe
  2⤵
  PID:8996
- C:\Windows\System32\eoRKCtI.exe
  C:\Windows\System32\eoRKCtI.exe
  2⤵
  PID:9148
- C:\Windows\System32\LALHoos.exe
  C:\Windows\System32\LALHoos.exe
  2⤵
  PID:8368
- C:\Windows\System32\FqCWqOF.exe
  C:\Windows\System32\FqCWqOF.exe
  2⤵
  PID:8736
- C:\Windows\System32\QPwiiJK.exe
  C:\Windows\System32\QPwiiJK.exe
  2⤵
  PID:8300
- C:\Windows\System32\yZwxMfR.exe
  C:\Windows\System32\yZwxMfR.exe
  2⤵
  PID:8224
- C:\Windows\System32\caHAJwE.exe
  C:\Windows\System32\caHAJwE.exe
  2⤵
  PID:9244
- C:\Windows\System32\VHHkLTh.exe
  C:\Windows\System32\VHHkLTh.exe
  2⤵
  PID:9276
- C:\Windows\System32\oprAbET.exe
  C:\Windows\System32\oprAbET.exe
  2⤵
  PID:9304
- C:\Windows\System32\dsXaIOV.exe
  C:\Windows\System32\dsXaIOV.exe
  2⤵
  PID:9332
- C:\Windows\System32\VdjiyJJ.exe
  C:\Windows\System32\VdjiyJJ.exe
  2⤵
  PID:9360
- C:\Windows\System32\Jjbawpu.exe
  C:\Windows\System32\Jjbawpu.exe
  2⤵
  PID:9396
- C:\Windows\System32\DVXSOnZ.exe
  C:\Windows\System32\DVXSOnZ.exe
  2⤵
  PID:9416
- C:\Windows\System32\CKTMVfa.exe
  C:\Windows\System32\CKTMVfa.exe
  2⤵
  PID:9444
- C:\Windows\System32\ZdNbzYP.exe
  C:\Windows\System32\ZdNbzYP.exe
  2⤵
  PID:9460
- C:\Windows\System32\XZQUoal.exe
  C:\Windows\System32\XZQUoal.exe
  2⤵
  PID:9508
- C:\Windows\System32\smsamAf.exe
  C:\Windows\System32\smsamAf.exe
  2⤵
  PID:9528
- C:\Windows\System32\iYhYPVW.exe
  C:\Windows\System32\iYhYPVW.exe
  2⤵
  PID:9556
- C:\Windows\System32\LOvAkKl.exe
  C:\Windows\System32\LOvAkKl.exe
  2⤵
  PID:9584
- C:\Windows\System32\WVereWn.exe
  C:\Windows\System32\WVereWn.exe
  2⤵
  PID:9612
- C:\Windows\System32\ZgwAKKI.exe
  C:\Windows\System32\ZgwAKKI.exe
  2⤵
  PID:9628
- C:\Windows\System32\PNRkSaq.exe
  C:\Windows\System32\PNRkSaq.exe
  2⤵
  PID:9668
- C:\Windows\System32\HMLJHsj.exe
  C:\Windows\System32\HMLJHsj.exe
  2⤵
  PID:9696
- C:\Windows\System32\zFmtGKV.exe
  C:\Windows\System32\zFmtGKV.exe
  2⤵
  PID:9724
- C:\Windows\System32\PpzlOVS.exe
  C:\Windows\System32\PpzlOVS.exe
  2⤵
  PID:9752
- C:\Windows\System32\IAhQUsd.exe
  C:\Windows\System32\IAhQUsd.exe
  2⤵
  PID:9780
- C:\Windows\System32\JahKsuP.exe
  C:\Windows\System32\JahKsuP.exe
  2⤵
  PID:9808
- C:\Windows\System32\qxWbowO.exe
  C:\Windows\System32\qxWbowO.exe
  2⤵
  PID:9824
- C:\Windows\System32\biNavUJ.exe
  C:\Windows\System32\biNavUJ.exe
  2⤵
  PID:9860
- C:\Windows\System32\dmHJMdu.exe
  C:\Windows\System32\dmHJMdu.exe
  2⤵
  PID:9888
- C:\Windows\System32\cDAPpnR.exe
  C:\Windows\System32\cDAPpnR.exe
  2⤵
  PID:9912
- C:\Windows\System32\jikiKrx.exe
  C:\Windows\System32\jikiKrx.exe
  2⤵
  PID:9944
- C:\Windows\System32\jFEyDxX.exe
  C:\Windows\System32\jFEyDxX.exe
  2⤵
  PID:9980
- C:\Windows\System32\cPsuQXm.exe
  C:\Windows\System32\cPsuQXm.exe
  2⤵
  PID:10008
- C:\Windows\System32\voVusEO.exe
  C:\Windows\System32\voVusEO.exe
  2⤵
  PID:10036
- C:\Windows\System32\RnkzFqt.exe
  C:\Windows\System32\RnkzFqt.exe
  2⤵
  PID:10080
- C:\Windows\System32\iAqVvIb.exe
  C:\Windows\System32\iAqVvIb.exe
  2⤵
  PID:10096
- C:\Windows\System32\hMfPphB.exe
  C:\Windows\System32\hMfPphB.exe
  2⤵
  PID:10112
- C:\Windows\System32\GWuzHUP.exe
  C:\Windows\System32\GWuzHUP.exe
  2⤵
  PID:10148
- C:\Windows\System32\xBOvGiu.exe
  C:\Windows\System32\xBOvGiu.exe
  2⤵
  PID:10180
- C:\Windows\System32\kowvIEq.exe
  C:\Windows\System32\kowvIEq.exe
  2⤵
  PID:10208
- C:\Windows\System32\QknKnpk.exe
  C:\Windows\System32\QknKnpk.exe
  2⤵
  PID:10236
- C:\Windows\System32\ECoCdmC.exe
  C:\Windows\System32\ECoCdmC.exe
  2⤵
  PID:9260
- C:\Windows\System32\tvszAmZ.exe
  C:\Windows\System32\tvszAmZ.exe
  2⤵
  PID:9292
- C:\Windows\System32\CXEpaWN.exe
  C:\Windows\System32\CXEpaWN.exe
  2⤵
  PID:9380
- C:\Windows\System32\YdSwrSm.exe
  C:\Windows\System32\YdSwrSm.exe
  2⤵
  PID:9440
- C:\Windows\System32\QmArihj.exe
  C:\Windows\System32\QmArihj.exe
  2⤵
  PID:9520
- C:\Windows\System32\MxpTvvd.exe
  C:\Windows\System32\MxpTvvd.exe
  2⤵
  PID:9596
- C:\Windows\System32\KdniYLY.exe
  C:\Windows\System32\KdniYLY.exe
  2⤵
  PID:9660
- C:\Windows\System32\iJPXMws.exe
  C:\Windows\System32\iJPXMws.exe
  2⤵
  PID:9692
- C:\Windows\System32\OluGppU.exe
  C:\Windows\System32\OluGppU.exe
  2⤵
  PID:9772
- C:\Windows\System32\qHZICSb.exe
  C:\Windows\System32\qHZICSb.exe
  2⤵
  PID:9848
- C:\Windows\System32\VRrMQEU.exe
  C:\Windows\System32\VRrMQEU.exe
  2⤵
  PID:9884
- C:\Windows\System32\pfkMKbE.exe
  C:\Windows\System32\pfkMKbE.exe
  2⤵
  PID:10024
- C:\Windows\System32\YHVfIOD.exe
  C:\Windows\System32\YHVfIOD.exe
  2⤵
  PID:10088
- C:\Windows\System32\zbdlhcN.exe
  C:\Windows\System32\zbdlhcN.exe
  2⤵
  PID:10176
- C:\Windows\System32\HVdFrCd.exe
  C:\Windows\System32\HVdFrCd.exe
  2⤵
  PID:9240
- C:\Windows\System32\cGksIdy.exe
  C:\Windows\System32\cGksIdy.exe
  2⤵
  PID:9408
- C:\Windows\System32\jaLwtzf.exe
  C:\Windows\System32\jaLwtzf.exe
  2⤵
  PID:9516
- C:\Windows\System32\CyKzyYK.exe
  C:\Windows\System32\CyKzyYK.exe
  2⤵
  PID:9652
- C:\Windows\System32\oOYKbhG.exe
  C:\Windows\System32\oOYKbhG.exe
  2⤵
  PID:9820
- C:\Windows\System32\qbrWBRs.exe
  C:\Windows\System32\qbrWBRs.exe
  2⤵
  PID:10068
- C:\Windows\System32\GVqhYtz.exe
  C:\Windows\System32\GVqhYtz.exe
  2⤵
  PID:8888
- C:\Windows\System32\vQgYtQW.exe
  C:\Windows\System32\vQgYtQW.exe
  2⤵
  PID:9688
- C:\Windows\System32\ZeUbAGi.exe
  C:\Windows\System32\ZeUbAGi.exe
  2⤵
  PID:9996
- C:\Windows\System32\eewJnpI.exe
  C:\Windows\System32\eewJnpI.exe
  2⤵
  PID:9764
- C:\Windows\System32\TQbCnqK.exe
  C:\Windows\System32\TQbCnqK.exe
  2⤵
  PID:9972
- C:\Windows\System32\kAYjkeE.exe
  C:\Windows\System32\kAYjkeE.exe
  2⤵
  PID:10268
- C:\Windows\System32\SzOVWLG.exe
  C:\Windows\System32\SzOVWLG.exe
  2⤵
  PID:10304
- C:\Windows\System32\bIbXBVi.exe
  C:\Windows\System32\bIbXBVi.exe
  2⤵
  PID:10344
- C:\Windows\System32\zNXDUeR.exe
  C:\Windows\System32\zNXDUeR.exe
  2⤵
  PID:10364
- C:\Windows\System32\sfDLkWm.exe
  C:\Windows\System32\sfDLkWm.exe
  2⤵
  PID:10404
- C:\Windows\System32\jLKlgoj.exe
  C:\Windows\System32\jLKlgoj.exe
  2⤵
  PID:10452
- C:\Windows\System32\UarYhQo.exe
  C:\Windows\System32\UarYhQo.exe
  2⤵
  PID:10484
- C:\Windows\System32\VHbMuTe.exe
  C:\Windows\System32\VHbMuTe.exe
  2⤵
  PID:10512
- C:\Windows\System32\mnKqOBR.exe
  C:\Windows\System32\mnKqOBR.exe
  2⤵
  PID:10540
- C:\Windows\System32\VttoMBT.exe
  C:\Windows\System32\VttoMBT.exe
  2⤵
  PID:10568
- C:\Windows\System32\OZUMZlc.exe
  C:\Windows\System32\OZUMZlc.exe
  2⤵
  PID:10596
- C:\Windows\System32\KUucRJz.exe
  C:\Windows\System32\KUucRJz.exe
  2⤵
  PID:10616
- C:\Windows\System32\GffWVIT.exe
  C:\Windows\System32\GffWVIT.exe
  2⤵
  PID:10644
- C:\Windows\System32\rsnFQoR.exe
  C:\Windows\System32\rsnFQoR.exe
  2⤵
  PID:10680
- C:\Windows\System32\dpanLJE.exe
  C:\Windows\System32\dpanLJE.exe
  2⤵
  PID:10708
- C:\Windows\System32\xjhLusW.exe
  C:\Windows\System32\xjhLusW.exe
  2⤵
  PID:10728
- C:\Windows\System32\DQAWKEk.exe
  C:\Windows\System32\DQAWKEk.exe
  2⤵
  PID:10764
- C:\Windows\System32\xlxfLIw.exe
  C:\Windows\System32\xlxfLIw.exe
  2⤵
  PID:10804
- C:\Windows\System32\bZbJXcK.exe
  C:\Windows\System32\bZbJXcK.exe
  2⤵
  PID:10840
- C:\Windows\System32\lLzNvwU.exe
  C:\Windows\System32\lLzNvwU.exe
  2⤵
  PID:10868
- C:\Windows\System32\sTYthCJ.exe
  C:\Windows\System32\sTYthCJ.exe
  2⤵
  PID:10888
- C:\Windows\System32\HvHNVcz.exe
  C:\Windows\System32\HvHNVcz.exe
  2⤵
  PID:10936
- C:\Windows\System32\rFTfYFH.exe
  C:\Windows\System32\rFTfYFH.exe
  2⤵
  PID:10976
- C:\Windows\System32\dtZIwhj.exe
  C:\Windows\System32\dtZIwhj.exe
  2⤵
  PID:11024
- C:\Windows\System32\ycJIoNt.exe
  C:\Windows\System32\ycJIoNt.exe
  2⤵
  PID:11060
- C:\Windows\System32\AiCzmnj.exe
  C:\Windows\System32\AiCzmnj.exe
  2⤵
  PID:11092
- C:\Windows\System32\VsslIQj.exe
  C:\Windows\System32\VsslIQj.exe
  2⤵
  PID:11112
- C:\Windows\System32\yHJwdTS.exe
  C:\Windows\System32\yHJwdTS.exe
  2⤵
  PID:11160
- C:\Windows\System32\DmPUwBA.exe
  C:\Windows\System32\DmPUwBA.exe
  2⤵
  PID:11192
- C:\Windows\System32\yOPpBml.exe
  C:\Windows\System32\yOPpBml.exe
  2⤵
  PID:11228
- C:\Windows\System32\WcUwMiM.exe
  C:\Windows\System32\WcUwMiM.exe
  2⤵
  PID:11260
- C:\Windows\System32\lEaJTXv.exe
  C:\Windows\System32\lEaJTXv.exe
  2⤵
  PID:8408
- C:\Windows\System32\xjWeVlt.exe
  C:\Windows\System32\xjWeVlt.exe
  2⤵
  PID:8508
- C:\Windows\System32\opSirbG.exe
  C:\Windows\System32\opSirbG.exe
  2⤵
  PID:10448
- C:\Windows\System32\fkCTPtq.exe
  C:\Windows\System32\fkCTPtq.exe
  2⤵
  PID:10504
- C:\Windows\System32\annYldq.exe
  C:\Windows\System32\annYldq.exe
  2⤵
  PID:10584
- C:\Windows\System32\CDvFxgp.exe
  C:\Windows\System32\CDvFxgp.exe
  2⤵
  PID:10632
- C:\Windows\System32\gbCPzHC.exe
  C:\Windows\System32\gbCPzHC.exe
  2⤵
  PID:10696
- C:\Windows\System32\vrwZYlq.exe
  C:\Windows\System32\vrwZYlq.exe
  2⤵
  PID:10800
- C:\Windows\System32\BpQGTsQ.exe
  C:\Windows\System32\BpQGTsQ.exe
  2⤵
  PID:10852
- C:\Windows\System32\kyIrPSJ.exe
  C:\Windows\System32\kyIrPSJ.exe
  2⤵
  PID:10956
- C:\Windows\System32\RxqXbzJ.exe
  C:\Windows\System32\RxqXbzJ.exe
  2⤵
  PID:11056
- C:\Windows\System32\GQxQrUV.exe
  C:\Windows\System32\GQxQrUV.exe
  2⤵
  PID:11140
- C:\Windows\System32\hWzhlQe.exe
  C:\Windows\System32\hWzhlQe.exe
  2⤵
  PID:11208
- C:\Windows\System32\nwCKBai.exe
  C:\Windows\System32\nwCKBai.exe
  2⤵
  PID:10052
- C:\Windows\System32\kvcdxYA.exe
  C:\Windows\System32\kvcdxYA.exe
  2⤵
  PID:10564
- C:\Windows\System32\WIfNrDP.exe
  C:\Windows\System32\WIfNrDP.exe
  2⤵
  PID:10612
- C:\Windows\System32\zmlUzzL.exe
  C:\Windows\System32\zmlUzzL.exe
  2⤵
  PID:10880
- C:\Windows\System32\krDGLjA.exe
  C:\Windows\System32\krDGLjA.exe
  2⤵
  PID:11104
- C:\Windows\System32\AyjYKzs.exe
  C:\Windows\System32\AyjYKzs.exe
  2⤵
  PID:10604
- C:\Windows\System32\WNaQNzI.exe
  C:\Windows\System32\WNaQNzI.exe
  2⤵
  PID:11100
- C:\Windows\System32\UxFrnKe.exe
  C:\Windows\System32\UxFrnKe.exe
  2⤵
  PID:10904
- C:\Windows\System32\yPvwqUx.exe
  C:\Windows\System32\yPvwqUx.exe
  2⤵
  PID:11280
- C:\Windows\System32\YgNGsba.exe
  C:\Windows\System32\YgNGsba.exe
  2⤵
  PID:11308
- C:\Windows\System32\KpMxJjn.exe
  C:\Windows\System32\KpMxJjn.exe
  2⤵
  PID:11336
- C:\Windows\System32\rvacPNk.exe
  C:\Windows\System32\rvacPNk.exe
  2⤵
  PID:11364
- C:\Windows\System32\Wsycuue.exe
  C:\Windows\System32\Wsycuue.exe
  2⤵
  PID:11392
- C:\Windows\System32\PlWyskS.exe
  C:\Windows\System32\PlWyskS.exe
  2⤵
  PID:11420
- C:\Windows\System32\JJabCxQ.exe
  C:\Windows\System32\JJabCxQ.exe
  2⤵
  PID:11448
- C:\Windows\System32\daRfwni.exe
  C:\Windows\System32\daRfwni.exe
  2⤵
  PID:11476
- C:\Windows\System32\DxheQLA.exe
  C:\Windows\System32\DxheQLA.exe
  2⤵
  PID:11504
- C:\Windows\System32\HPgjeEL.exe
  C:\Windows\System32\HPgjeEL.exe
  2⤵
  PID:11532
- C:\Windows\System32\TGgGLvk.exe
  C:\Windows\System32\TGgGLvk.exe
  2⤵
  PID:11560
- C:\Windows\System32\oIautSZ.exe
  C:\Windows\System32\oIautSZ.exe
  2⤵
  PID:11588
- C:\Windows\System32\RaRNhno.exe
  C:\Windows\System32\RaRNhno.exe
  2⤵
  PID:11612
- C:\Windows\System32\kIcTuso.exe
  C:\Windows\System32\kIcTuso.exe
  2⤵
  PID:11648
- C:\Windows\System32\dlyRNgs.exe
  C:\Windows\System32\dlyRNgs.exe
  2⤵
  PID:11684
- C:\Windows\System32\RdILJSp.exe
  C:\Windows\System32\RdILJSp.exe
  2⤵
  PID:11712
- C:\Windows\System32\njYhmgj.exe
  C:\Windows\System32\njYhmgj.exe
  2⤵
  PID:11740
- C:\Windows\System32\gwcrlCU.exe
  C:\Windows\System32\gwcrlCU.exe
  2⤵
  PID:11768
- C:\Windows\System32\bqrEHaq.exe
  C:\Windows\System32\bqrEHaq.exe
  2⤵
  PID:11796
- C:\Windows\System32\kPmmWXs.exe
  C:\Windows\System32\kPmmWXs.exe
  2⤵
  PID:11824
- C:\Windows\System32\XuDWZiv.exe
  C:\Windows\System32\XuDWZiv.exe
  2⤵
  PID:11852
- C:\Windows\System32\VWLBgVQ.exe
  C:\Windows\System32\VWLBgVQ.exe
  2⤵
  PID:11880
- C:\Windows\System32\CQVnEbC.exe
  C:\Windows\System32\CQVnEbC.exe
  2⤵
  PID:11908
- C:\Windows\System32\IgjQtpN.exe
  C:\Windows\System32\IgjQtpN.exe
  2⤵
  PID:11932
- C:\Windows\System32\pHCqzRj.exe
  C:\Windows\System32\pHCqzRj.exe
  2⤵
  PID:11964
- C:\Windows\System32\rtBDQNr.exe
  C:\Windows\System32\rtBDQNr.exe
  2⤵
  PID:11988
- C:\Windows\System32\LTDBFcZ.exe
  C:\Windows\System32\LTDBFcZ.exe
  2⤵
  PID:12020
- C:\Windows\System32\NbtZrGH.exe
  C:\Windows\System32\NbtZrGH.exe
  2⤵
  PID:12048
- C:\Windows\System32\hFieZTh.exe
  C:\Windows\System32\hFieZTh.exe
  2⤵
  PID:12076
- C:\Windows\System32\IkUcZtH.exe
  C:\Windows\System32\IkUcZtH.exe
  2⤵
  PID:12104
- C:\Windows\System32\VYUTLkb.exe
  C:\Windows\System32\VYUTLkb.exe
  2⤵
  PID:12132
- C:\Windows\System32\McTskXU.exe
  C:\Windows\System32\McTskXU.exe
  2⤵
  PID:12160
- C:\Windows\System32\BKqvtJn.exe
  C:\Windows\System32\BKqvtJn.exe
  2⤵
  PID:12188
- C:\Windows\System32\FUWNwIN.exe
  C:\Windows\System32\FUWNwIN.exe
  2⤵
  PID:12204
- C:\Windows\System32\NcJVycj.exe
  C:\Windows\System32\NcJVycj.exe
  2⤵
  PID:12244
- C:\Windows\System32\GcmGYpB.exe
  C:\Windows\System32\GcmGYpB.exe
  2⤵
  PID:12272
- C:\Windows\System32\sWidrco.exe
  C:\Windows\System32\sWidrco.exe
  2⤵
  PID:11296
- C:\Windows\System32\EbPuaqL.exe
  C:\Windows\System32\EbPuaqL.exe
  2⤵
  PID:11352
- C:\Windows\System32\adUqBoR.exe
  C:\Windows\System32\adUqBoR.exe
  2⤵
  PID:11416
- C:\Windows\System32\VAHTyDJ.exe
  C:\Windows\System32\VAHTyDJ.exe
  2⤵
  PID:11460
- C:\Windows\System32\HDODEhV.exe
  C:\Windows\System32\HDODEhV.exe
  2⤵
  PID:11556
- C:\Windows\System32\XaIJnNT.exe
  C:\Windows\System32\XaIJnNT.exe
  2⤵
  PID:11640
- C:\Windows\System32\UicAjcU.exe
  C:\Windows\System32\UicAjcU.exe
  2⤵
  PID:11708
- C:\Windows\System32\hfuZlfR.exe
  C:\Windows\System32\hfuZlfR.exe
  2⤵
  PID:11780
- C:\Windows\System32\zuOaUId.exe
  C:\Windows\System32\zuOaUId.exe
  2⤵
  PID:11844
- C:\Windows\System32\mimIAOo.exe
  C:\Windows\System32\mimIAOo.exe
  2⤵
  PID:11876
- C:\Windows\System32\ibLzSDU.exe
  C:\Windows\System32\ibLzSDU.exe
  2⤵
  PID:12012
- C:\Windows\System32\fWkLFRT.exe
  C:\Windows\System32\fWkLFRT.exe
  2⤵
  PID:12036
- C:\Windows\System32\WuYuiWT.exe
  C:\Windows\System32\WuYuiWT.exe
  2⤵
  PID:12116
- C:\Windows\System32\uWniSkH.exe
  C:\Windows\System32\uWniSkH.exe
  2⤵
  PID:12172
- C:\Windows\System32\STDWIET.exe
  C:\Windows\System32\STDWIET.exe
  2⤵
  PID:12232
- C:\Windows\System32\wHGeJaG.exe
  C:\Windows\System32\wHGeJaG.exe
  2⤵
  PID:11276
- C:\Windows\System32\AFDnlIH.exe
  C:\Windows\System32\AFDnlIH.exe
  2⤵
  PID:11444
- C:\Windows\System32\Txpiqur.exe
  C:\Windows\System32\Txpiqur.exe
  2⤵
  PID:11620
- C:\Windows\System32\yNbnGLJ.exe
  C:\Windows\System32\yNbnGLJ.exe
  2⤵
  PID:11836
- C:\Windows\System32\yOfdmxA.exe
  C:\Windows\System32\yOfdmxA.exe
  2⤵
  PID:11956
- C:\Windows\System32\NlDPwcC.exe
  C:\Windows\System32\NlDPwcC.exe
  2⤵
  PID:12152
- C:\Windows\System32\sUCEeBQ.exe
  C:\Windows\System32\sUCEeBQ.exe
  2⤵
  PID:12284
- C:\Windows\System32\OFoyPON.exe
  C:\Windows\System32\OFoyPON.exe
  2⤵
  PID:11544
- C:\Windows\System32\eOPHIif.exe
  C:\Windows\System32\eOPHIif.exe
  2⤵
  PID:11904
- C:\Windows\System32\rqgfAUi.exe
  C:\Windows\System32\rqgfAUi.exe
  2⤵
  PID:11412
- C:\Windows\System32\PZXextu.exe
  C:\Windows\System32\PZXextu.exe
  2⤵
  PID:12216
- C:\Windows\System32\BmSMHJO.exe
  C:\Windows\System32\BmSMHJO.exe
  2⤵
  PID:12296
- C:\Windows\System32\EwxBHNS.exe
  C:\Windows\System32\EwxBHNS.exe
  2⤵
  PID:12328
- C:\Windows\System32\ZZZNKmV.exe
  C:\Windows\System32\ZZZNKmV.exe
  2⤵
  PID:12356
- C:\Windows\System32\rLrEEKc.exe
  C:\Windows\System32\rLrEEKc.exe
  2⤵
  PID:12384
- C:\Windows\System32\HkpfMgX.exe
  C:\Windows\System32\HkpfMgX.exe
  2⤵
  PID:12412
- C:\Windows\System32\ibDQlTy.exe
  C:\Windows\System32\ibDQlTy.exe
  2⤵
  PID:12440
- C:\Windows\System32\DJpVBtU.exe
  C:\Windows\System32\DJpVBtU.exe
  2⤵
  PID:12476
- C:\Windows\System32\hBnwjLs.exe
  C:\Windows\System32\hBnwjLs.exe
  2⤵
  PID:12516
- C:\Windows\System32\BRHwSSE.exe
  C:\Windows\System32\BRHwSSE.exe
  2⤵
  PID:12560
- C:\Windows\System32\awNnaoB.exe
  C:\Windows\System32\awNnaoB.exe
  2⤵
  PID:12588
- C:\Windows\System32\rqintxJ.exe
  C:\Windows\System32\rqintxJ.exe
  2⤵
  PID:12616
- C:\Windows\System32\jiCjvCz.exe
  C:\Windows\System32\jiCjvCz.exe
  2⤵
  PID:12644
- C:\Windows\System32\LrMNgVZ.exe
  C:\Windows\System32\LrMNgVZ.exe
  2⤵
  PID:12672
- C:\Windows\System32\rmDeEqx.exe
  C:\Windows\System32\rmDeEqx.exe
  2⤵
  PID:12700
- C:\Windows\System32\nPRbeBJ.exe
  C:\Windows\System32\nPRbeBJ.exe
  2⤵
  PID:12728
- C:\Windows\System32\qHaWxcZ.exe
  C:\Windows\System32\qHaWxcZ.exe
  2⤵
  PID:12768
- C:\Windows\System32\JCivRAC.exe
  C:\Windows\System32\JCivRAC.exe
  2⤵
  PID:12788
- C:\Windows\System32\fmahAOk.exe
  C:\Windows\System32\fmahAOk.exe
  2⤵
  PID:12816
- C:\Windows\System32\pFGQyNi.exe
  C:\Windows\System32\pFGQyNi.exe
  2⤵
  PID:12844
- C:\Windows\System32\mNldNdd.exe
  C:\Windows\System32\mNldNdd.exe
  2⤵
  PID:12872
- C:\Windows\System32\GqUOXnC.exe
  C:\Windows\System32\GqUOXnC.exe
  2⤵
  PID:12900
- C:\Windows\System32\LjgYyoT.exe
  C:\Windows\System32\LjgYyoT.exe
  2⤵
  PID:12928
- C:\Windows\System32\jMfGbgL.exe
  C:\Windows\System32\jMfGbgL.exe
  2⤵
  PID:12956
- C:\Windows\System32\WlSHpYs.exe
  C:\Windows\System32\WlSHpYs.exe
  2⤵
  PID:12984
- C:\Windows\System32\tBMXrPg.exe
  C:\Windows\System32\tBMXrPg.exe
  2⤵
  PID:13012
- C:\Windows\System32\ghBRHUG.exe
  C:\Windows\System32\ghBRHUG.exe
  2⤵
  PID:13040
- C:\Windows\System32\AEFEXAq.exe
  C:\Windows\System32\AEFEXAq.exe
  2⤵
  PID:13068
- C:\Windows\System32\WaZjtAe.exe
  C:\Windows\System32\WaZjtAe.exe
  2⤵
  PID:13096
- C:\Windows\System32\hKYVVWU.exe
  C:\Windows\System32\hKYVVWU.exe
  2⤵
  PID:13128
- C:\Windows\System32\yDkYJKN.exe
  C:\Windows\System32\yDkYJKN.exe
  2⤵
  PID:13152
- C:\Windows\System32\ZOGewLH.exe
  C:\Windows\System32\ZOGewLH.exe
  2⤵
  PID:13180
- C:\Windows\System32\mbCnNJl.exe
  C:\Windows\System32\mbCnNJl.exe
  2⤵
  PID:13208
- C:\Windows\System32\BCbqHEA.exe
  C:\Windows\System32\BCbqHEA.exe
  2⤵
  PID:13236
- C:\Windows\System32\mJcFPaO.exe
  C:\Windows\System32\mJcFPaO.exe
  2⤵
  PID:13252
- C:\Windows\System32\ttxnTDn.exe
  C:\Windows\System32\ttxnTDn.exe
  2⤵
  PID:13268
- C:\Windows\System32\pETsqdH.exe
  C:\Windows\System32\pETsqdH.exe
  2⤵
  PID:13288
- C:\Windows\System32\GAAMOXy.exe
  C:\Windows\System32\GAAMOXy.exe
  2⤵
  PID:12344
- C:\Windows\System32\SKvUXLy.exe
  C:\Windows\System32\SKvUXLy.exe
  2⤵
  PID:12408
- C:\Windows\System32\oqOqenP.exe
  C:\Windows\System32\oqOqenP.exe
  2⤵
  PID:12456
- C:\Windows\System32\JClvwor.exe
  C:\Windows\System32\JClvwor.exe
  2⤵
  PID:12524
- C:\Windows\System32\ppPXMVM.exe
  C:\Windows\System32\ppPXMVM.exe
  2⤵
  PID:1864
- C:\Windows\System32\KahERdO.exe
  C:\Windows\System32\KahERdO.exe
  2⤵
  PID:12612
- C:\Windows\System32\SqRRilg.exe
  C:\Windows\System32\SqRRilg.exe
  2⤵
  PID:12684
- C:\Windows\System32\WtwVYwq.exe
  C:\Windows\System32\WtwVYwq.exe
  2⤵
  PID:12724
- C:\Windows\System32\mFlaKVP.exe
  C:\Windows\System32\mFlaKVP.exe
  2⤵
  PID:12812
- C:\Windows\System32\LNBdgwr.exe
  C:\Windows\System32\LNBdgwr.exe
  2⤵
  PID:12884
- C:\Windows\System32\qZFKqda.exe
  C:\Windows\System32\qZFKqda.exe
  2⤵
  PID:12948
- C:\Windows\System32\MdzJQcQ.exe
  C:\Windows\System32\MdzJQcQ.exe
  2⤵
  PID:13008
- C:\Windows\System32\uhHPMhn.exe
  C:\Windows\System32\uhHPMhn.exe
  2⤵
  PID:13080
- C:\Windows\System32\juGwmMz.exe
  C:\Windows\System32\juGwmMz.exe
  2⤵
  PID:13136
- C:\Windows\System32\rymZNuv.exe
  C:\Windows\System32\rymZNuv.exe
  2⤵
  PID:13204
- C:\Windows\System32\RIXmIVg.exe
  C:\Windows\System32\RIXmIVg.exe
  2⤵
  PID:13276
- C:\Windows\System32\sAyqsCX.exe
  C:\Windows\System32\sAyqsCX.exe
  2⤵
  PID:12348
- C:\Windows\System32\lEsKqVd.exe
  C:\Windows\System32\lEsKqVd.exe
  2⤵
  PID:12512
- C:\Windows\System32\PPcTDro.exe
  C:\Windows\System32\PPcTDro.exe
  2⤵
  PID:12600
- C:\Windows\System32\pWIoGBE.exe
  C:\Windows\System32\pWIoGBE.exe
  2⤵
  PID:12776
- C:\Windows\System32\navPscu.exe
  C:\Windows\System32\navPscu.exe
  2⤵
  PID:12920
- C:\Windows\System32\zUPLkho.exe
  C:\Windows\System32\zUPLkho.exe
  2⤵
  PID:13060
- C:\Windows\System32\UyUeRik.exe
  C:\Windows\System32\UyUeRik.exe
  2⤵
  PID:13232
- C:\Windows\System32\xkQjywx.exe
  C:\Windows\System32\xkQjywx.exe
  2⤵
  PID:12436
- C:\Windows\System32\SSSRRQa.exe
  C:\Windows\System32\SSSRRQa.exe
  2⤵
  PID:12712
- C:\Windows\System32\SBDidKT.exe
  C:\Windows\System32\SBDidKT.exe
  2⤵
  PID:13144
- C:\Windows\System32\nZctdnc.exe
  C:\Windows\System32\nZctdnc.exe
  2⤵
  PID:12668
- C:\Windows\System32\FSISxbr.exe
  C:\Windows\System32\FSISxbr.exe
  2⤵
  PID:5036
- C:\Windows\System32\tqVIxwn.exe
  C:\Windows\System32\tqVIxwn.exe
  2⤵
  PID:13328
- C:\Windows\System32\oAzpFLW.exe
  C:\Windows\System32\oAzpFLW.exe
  2⤵
  PID:13356
- C:\Windows\System32\vXgQzwz.exe
  C:\Windows\System32\vXgQzwz.exe
  2⤵
  PID:13384
- C:\Windows\System32\qPjkGjo.exe
  C:\Windows\System32\qPjkGjo.exe
  2⤵
  PID:13424

C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
"C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --type=utility --utility-sub-type=asset_store.mojom.AssetStoreService --lang=en-US --service-sandbox-type=asset_store_service --no-appcompat-clear --field-trial-handle=3772,i,11746347647270949551,7786733067759450703,262144 --variations-seed-version --mojo-platform-channel-handle=1288 /prefetch:8
1⤵
PID:8068

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:13848

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\ATKrRXA.exe

Filesize
3.0MB

MD5
9f9484bc1162501f88289b637af4f1fa

SHA1
70d77d309c5caa3fec33ef22a0c1f48bd306e7e8

SHA256
ac63c438c2a8782ef0332eca28ffd0bf6f634ae9b719bec54572d0d019869611

SHA512
76bd8dcd25af5067babf0cce186e2632eb30236055d77741d555aea507250c7a6ea57be8ce71f7cf0fb4f5f4837bd64b7f881d97b9eedfe6a5d1f7be1275032e

Download Submit
C:\Windows\System32\BLaYfMr.exe

Filesize
3.0MB

MD5
635ccb85e906f5bfdb504b0bef83e2b4

SHA1
fc449990d68eb6a8e73fbecfb84a2fac6661c947

SHA256
75ad70d09bd15b0651c48bf311115e11d3e5a5eaed59c4306990e81996c57859

SHA512
5fe668f10283cefe5f2443e84aba4bc4df033e8d6278be42f8ef17be57b730558b9c063b771cc1448427ddf3a1909356446e19df4bc55164facc830d73df93fb

Download Submit
C:\Windows\System32\BSKuwDP.exe

Filesize
3.0MB

MD5
f41aac5ef1bb0b77f8c4b15362eb3046

SHA1
cebf2a5a03a1aaa308114152d282eb5dde3d22b6

SHA256
73835e4a5208ab8e72e6e0c3edbc4dc2a6a2164d462a21dc013ab5f1269bbe92

SHA512
58e05429217befe169def73a2fba1bfe9525f9e56c0ce46ea199bf4a30e2147aaf262ad01a566da52249773e03971b5bf9713c9fee1ec02c1a6ed5b4037e1740

Download Submit
C:\Windows\System32\HHKoOTR.exe

Filesize
3.0MB

MD5
8ce631b7893577d2bbdf75e7a2ede8f5

SHA1
06871f30f17741ef33f28a31ee2e4e9efe814157

SHA256
c91b5e2abc944a06ebae77a1f48ef0a44950c7f71d6a65a460203d19524e6d61

SHA512
e669a7eac6bae280b62bbdf79ab2a2fc65eb465b91b06c9b4e17bc07a8081bb1f3022e4c486cfa6c5d02feebe8fa056df316a11baaddd6d184850ee38ed8f41e

Download Submit
C:\Windows\System32\ISVariw.exe

Filesize
3.0MB

MD5
5805049eba0fcc8859b08950d10e4d18

SHA1
a2abe1d9ddb60582dd8aac9f2313a2f84982a8de

SHA256
9671284381a27189684662d6837e72d3de6d62e8657aa822311279b1a92af5dc

SHA512
d3d9b97a7bf4bab5d4be13890fcfa11f073d665af8f8e0000d3b03ac70a8f7f809c8a6c07f477970db2b11b9162dffe523d6d2d0ad6fd32b5a0a1d9fca4ea7f1

Download Submit
C:\Windows\System32\LQaWIdS.exe

Filesize
3.0MB

MD5
842a45c7f63e4dfc5f0e9a2f5214d85a

SHA1
2c221bc051b5f41de62a3a8b520abff507ef1879

SHA256
f810f71077f7f43b8c80faed895dca0242fc263dc676d60f9044bcc69fe04851

SHA512
3b3267e5043084c78afa9f070232b89f59f4d533d9d201299cf2e161b51f196f81ffebafdb6fe266ed20d955ac9648445d9d86f529a53e0a7a5852abe5ef1988

Download Submit
C:\Windows\System32\MOZezPi.exe

Filesize
3.0MB

MD5
50a4ae4d113ff43bb05e25d5b14e9355

SHA1
9321bc8ec5088c94df017c6b4cca4dfbd632c1bd

SHA256
e14a54b917835102b7cbc609562b89a0b34d6a2d70b329eb459b05a007484527

SHA512
185dcd945a7a446fa4fd13ba9b16ddcd45920ee4bae17a68e152142a7a12f91085001544d0739333e7e63f45a66638530b759366b0d429113abe74518b52c87e

Download Submit
C:\Windows\System32\MvryKUu.exe

Filesize
3.0MB

MD5
9ebb5a79130aca8a12b890f357cb96ee

SHA1
3c8cd355057fecfac15288275b369e1d45fd59f3

SHA256
d87a4cb3ab13382cc03b11d259ea24e630ec81432eebdcb1324ecf6c82104760

SHA512
7a10b2bf4a6b57a475ad9c04d9d562ed734cda5992a600c6b49e7edf3470c7b4acc52d2d16ae282eb8738a2172ab954a612a6c22898e159ea2bef33101b53b26

Download Submit
C:\Windows\System32\NPybSrw.exe

Filesize
3.0MB

MD5
2f5c81899341faed5f6345fca173073f

SHA1
73b23b28e3d37a1dc3263c269aa03b186be8bcbd

SHA256
ea3ffd672b4ca80af5ddad054deb668eb7d1f7deac47a528ced88c2f1978cdfc

SHA512
7aff31b9edfe2cffcbcabe6919a6ad580465c1ecf4d164f297e5ffe9bddbeeeed0bf93d9f0eb21e673339089130b443698ccf0600bd0e12560818fb148d912d9

Download Submit
C:\Windows\System32\NsEjREt.exe

Filesize
3.0MB

MD5
731983b8f6a0c06027b1ea40ef387da8

SHA1
ac2e1d76947aa80bb9f2cca01ef0cd2b1ef8496a

SHA256
e2a47985c47675179c2e9909ec6ff4a7c980f27b4770af6c41eadc89b66572e5

SHA512
b59bdce40e09f0144953c373dfec8e2ae91317bea937eb48f7f1059f0a62d0c9ccb73ba7c8f88937fdf801fe6195b6f3243ad82574d7d4ded53ef9d62ad8c215

Download Submit
C:\Windows\System32\OIHADAT.exe

Filesize
3.0MB

MD5
285b5d6af281e00ee56c5569ac70adcb

SHA1
e7195e07871ba2832da5ab33195d435f7aa1b046

SHA256
dc2f083985c6196b0a1fbf6b75fd269a142d7ea009adaaa734ee5f199ad1ec23

SHA512
943bee48f09b3c2b90479f85e595e069aa9cbfe54c4718450e6c616a4a7ac7aa5c9934d64b437f112ce6c4b23fee98b60a695cf5d5c8510c232bfbe8bf13d130

Download Submit
C:\Windows\System32\PDFEMKf.exe

Filesize
3.0MB

MD5
4e914f2de16da01753a35db4642b4818

SHA1
4c5a7cf0d81fcf0b5f66cd7f2bad0dffd1d12801

SHA256
3fc07e9f1aa70a77dda9edbe5463ddfbc92f79db6ec8c6ab8c4dbba98b0a8c0d

SHA512
ccff213581b78f49023cd86c10343d48cd0e0fdf4a1d2b1b71ef47a6c2841d0f4848270d91d94a6de619f1200527c708eaa7a059fa42c17774f8df11f2b88c63

Download Submit
C:\Windows\System32\QcIHUrE.exe

Filesize
3.0MB

MD5
12e8f9fed523b70c297b8622bedfcea4

SHA1
ebc175198662149c71160aa0228fcb818fe8779c

SHA256
a2948cdcafbfe2bdefdf0fed386ad31e40c7e33df74b44c01b870f0a4ff03e5d

SHA512
c60746335d74cea93a0f9861e9c9df8f39ddcea6086a61e6b16b2bed15e157c60fa1e03244c79d96647705313408d7d607dc03f3a788e279cad32c09a1c85a76

Download Submit
C:\Windows\System32\QseWIgn.exe

Filesize
3.0MB

MD5
2c6af3fc87a7414098dbccf7d0f82582

SHA1
dbd0df2fc80763cee51c17083c9b76748e283e81

SHA256
11c10b9363dd4c8c80550e675254192fb3398d95b507e518c11b63f6fa74a84c

SHA512
63d0a6b02a0ad9ca549e714ca2e043744722eeeee3fabf7a947fa14b19e4e3db3e0a56ed3b8e4846e19b8aea2d1fa5103ee54bdc361971419a57e754c34940bc

Download Submit
C:\Windows\System32\RILTfVI.exe

Filesize
3.0MB

MD5
31c3754364bdf6aeee3e37c18a7835ce

SHA1
46d59bf29abaeb00e0fbc2badffd55039d069051

SHA256
21ee70f8026573d0a4a7e6ae35ae17109b08b586fa9f96448b0904451b92b9b3

SHA512
fbb05ce92dd9ff642387dda7bf123d93807769e284850fea12a6e4ba54336ead0751c1a3a464170f8c29f85b827b4a783d5ef4c37cdf70d6c054abd2f0e9ed1a

Download Submit
C:\Windows\System32\SFnkdMl.exe

Filesize
3.0MB

MD5
cf592c51bda2b11ed50cc885ee49dff2

SHA1
4a3e867ada1582270f87ff8921062a06611f45df

SHA256
37c5e768019d12282d89b1058617872caf7c69c8f69b72089de64d74734cdfb0

SHA512
64fc7d86618ba6fcd55e6b0888a543ba537fab5d082c6ed74d0cd310dcd019ea58e0d4f5392e4d1cc9fddc9c856db714d867536e8877ed1ced093f4347b7aa9c

Download Submit
C:\Windows\System32\UkCyRMq.exe

Filesize
3.0MB

MD5
b952d19c09676112ab39320c096c18dd

SHA1
ff7cd22a448cd7734df7d7359f6164ad54f6bf69

SHA256
761236c4bdd6cdc7736c41d932a2e5623daefb2ab73cecefeddccf256940177c

SHA512
3a82a25f155a46b8148655fb071bdf85aa9934254ab51d5681fb875e148bfe0431b9c813d3106851e40813bd9e90dfb47c7c700f9ef44d6966a6be7084b08485

Download Submit
C:\Windows\System32\VOQikLo.exe

Filesize
3.0MB

MD5
445ca715533d7effba3b8565b5d39cb2

SHA1
d74df941dd5ceb749ed76aa00e4fd158058dbfc9

SHA256
6ab6ef104e47c2c5864b9c537a492ce81acd88251fce2576cc6d59d7e5063242

SHA512
a7ca6a0b0f660f28b935283e623d0c11f9dc9e06aeb19383dd2fc963f6380736ae27bcff40e1bb939454302cb9bcc96e5b73a2a695f4358e24dfdce749ab0c4d

Download Submit
C:\Windows\System32\WSlEvIy.exe

Filesize
3.0MB

MD5
eb42bed95d97c84dcf3cf449daab81b8

SHA1
45c323129a47c35c63951ee3e6e2a57f5113c6d0

SHA256
cfb209a30a684c988549782aedb88412a6e09f0f098e5ae8397fdc3e580c8aa4

SHA512
8374f8917ff3bbb81fc38a18182406e82155ecce0feeec88fe292f617730f2a101842e12cc2d101febce19344db0d301cceb68890f5ba93a6efed3e2ca7b1e38

Download Submit
C:\Windows\System32\ZKokEJI.exe

Filesize
3.0MB

MD5
d40b01a5e94b842994d025fc9165d70b

SHA1
5fcd8a25bd2a7f0a3de4cf68360e644e1744daee

SHA256
7fd30a4db7484dbefccf0bbf1b234872748fd08566fe6ec7b9de6422f7d66117

SHA512
f608a82d8eebfcd61cd234b7afb7fc08798f861a61f788a9cef32d1c186d0dae2d99e3c22724579f08b03f8066a64d3a4808dc5cd9b855b7c4a0abe6c5529fa8

Download Submit
C:\Windows\System32\cdaFvHy.exe

Filesize
3.0MB

MD5
658efdae1c464358f9a9f81690315f3d

SHA1
99cdb8990e697c28a083c2b786efca3be8400f14

SHA256
024a81fe1ae12f6e4f43fbb23ab268037adf769959f0a0ce0ced5238ee87921d

SHA512
6f26849d2c653e5330226029673c35c121b19dea1aa07f3892370bebf19479b4caecc99528dfb8a2f73d724e6bed8cba624e5f098d29d62c980412d2a0274c3b

Download Submit
C:\Windows\System32\dOljfpD.exe

Filesize
3.0MB

MD5
872b48d974ace2ac976fa7ba00272b99

SHA1
3ea698f0e877d6c81717a4da450837d59d0fc772

SHA256
8c36f92aca0657074bc52d92919a32f46901fb7bfd4571a8a844cdafa993707e

SHA512
444b278ee7f71f34c5f921ea8c1aa93b2045d215333a45a5533cd286137e8f68860cd2d36cadaea000ae51cbdb4552441877577a86f352e7b8f3a4636923dc4d

Download Submit
C:\Windows\System32\dmsQJIE.exe

Filesize
3.0MB

MD5
1806d56f152f7f77ec7b578f4f621d51

SHA1
2722b47f2c9374f5b36357c0888c03f523ee8d4a

SHA256
fe65d0ed9316dae120e171e6e35a5d8b3938e5cbf42f19f6ee96e3534f4238a6

SHA512
ccd19d02da46ad4adec5a52564ef624f42c353946c2ec4b424842278121d45a52c5362f0a15d2e3211f68ac06d6844b01d0a45b7052d57fe5ca0bb1f7e707186

Download Submit
C:\Windows\System32\ifCyEPz.exe

Filesize
3.0MB

MD5
459b86eaddd23e1a7b1adad611bbf6aa

SHA1
3122931449f2f45ed1971e3a12602f76cdb00070

SHA256
dcbff96ce67d34c5b2d5a06ba1429e50a3804a5cf573476ff11aaeb49e48d80b

SHA512
99aeefe7e53bffb28e28b0b9083a83a1d1ef0ee42f07060f48c0a2f7dc8c03ce377afa7f78c9a49a34f02b62d5bb73819bd93b9329262b6a3974f8d6aebe0aba

Download Submit
C:\Windows\System32\kDkRUxQ.exe

Filesize
3.0MB

MD5
0dd25b3b0a6a2f21683aa94409ae25bc

SHA1
4b7af9a18518705289e3545e1ca3def2e26fc30f

SHA256
f4dffa801f2db0f700ba2be0b041ba25c0649f2e883bf84fe44d4573ad23a3ad

SHA512
ce693bdbc22d080789dc6ba0e2501e4475d3a4767b07e600d4fa32f584895c2d61f59d7e2c65e220374793a6a1b1669667989abf1b2a9be8ac23e509a42cb944

Download Submit
C:\Windows\System32\nJGGEeM.exe

Filesize
3.0MB

MD5
9981239c5174ca92fc76fe89d6d28bdc

SHA1
b53501f74d1eda607874e29fa5c5513be4e1c925

SHA256
45601cb71fd94d6d861bbd84eff8a44ff08e5c1c41b369585907eed76249ce0a

SHA512
71ac60accb7986363f3aca6d90e52522ff334aefda2beec36fb484725d19ebdd642243063dec248298596d972a28001330b505ea1f1a3343c765147c0a6baa3c

Download Submit
C:\Windows\System32\nSaBnJB.exe

Filesize
3.0MB

MD5
b0e9ee012a77b553f9250378c03cdd3e

SHA1
b24ece420c9213fa6a6c2452a75937d9bc740d24

SHA256
54c179ffb0c3279940f7d2464cec0d33632419c4e720d0ab9cc99e4b65aced64

SHA512
deba201cac5221a39ce3f694bbb88990d4d57ebc0c010236fd3e90e063b058a7071fb1fc5d0fd279a849c7830dacf3cbdb3ca783cdf77430720de43178a40974

Download Submit
C:\Windows\System32\pgXSLII.exe

Filesize
3.0MB

MD5
1b83e3789c6bebac212d0b38dca9ded3

SHA1
6b62d699ee343649d1f3651bb27403d28569e714

SHA256
ddce8936c066170988fe32e8918f0768ebb14e38261e4a8171596db9ddcd28dc

SHA512
076071df2e01d91aa36b5c9ea78bdea3807f8e5f5ffc042461c69eeebff32398e837223d82842c5f551dc091485ea7ee2d45c94932365342bd9e0db3cfd50c1e

Download Submit
C:\Windows\System32\vwuKGfR.exe

Filesize
3.0MB

MD5
1264149a7aae4d7d2ec92d00d4c14af1

SHA1
997c79356282ab97e62751d1ec7a3f45bf6f7914

SHA256
03c18ffdeeea69781eb7cecf10eb25115832f7d68d2f989e11e7c58a6e857f7d

SHA512
31a1ef9880380203b3051693ae13503413741792248284ea633335369c8355829071436b88a6a8b94fb3b7c7ec4394daf1950170df5fc7fb3c084b7cc2450700

Download Submit
C:\Windows\System32\vwumLFp.exe

Filesize
3.0MB

MD5
659d3b5896bf96cbda235f85895aae95

SHA1
b46d3cd4db206cd17136f90ea91437c73a5400c4

SHA256
7151a2664c3fb9aa001eccb92adab978687ce403ec0b089ded1711a427f25759

SHA512
9351594de30f6b5f6ecfdc2a0e2a36cb907c4a30906c1893cd9b3dde2df49d721b30301ac8e05e57554e1d5d026288fce26c421be8a5b8009bf3c0e7e019b951

Download Submit
C:\Windows\System32\xeJuZid.exe

Filesize
3.0MB

MD5
e32bc59de03aefd8fa3a6f6431d15515

SHA1
dd745945816028e176959051c3e575b1fd310a9f

SHA256
735f3e8868500cc534060654cbd86d6edf979fd3b02338b1d8d612725803083c

SHA512
09cbb575b54bebc3f913b1e026161614e7ba4217918ec33dbef6aed0ee231b663eeddcc5d2399b4ef76c9ccd584ed576ce2650e5548911d6d02a90bfe240748b

Download Submit
C:\Windows\System32\zblMtBW.exe

Filesize
3.0MB

MD5
0c678a94c7c8a7b8c1551c8290ce5fc8

SHA1
5b5ec3e5b28ac689ade4db9de53a82e53cb660f6

SHA256
53859b9dea55f4e4e5ea3ea89ec0bdf7cf5374b2ef11deabeaf5924a0b724433

SHA512
ff2d2169f403f33a909e729ee01768706741234ddc971a8b799f47c2b9799b3125f455f9a0a08d023868020b0e44018e10f2cd638ed543dd79c90ded8ada5fc3

Download Submit
memory/8-1863-0x00007FF73C250000-0x00007FF73C645000-memory.dmp

Filesize
4.0MB

Download
memory/8-717-0x00007FF73C250000-0x00007FF73C645000-memory.dmp

Filesize
4.0MB

Download
memory/112-12-0x00007FF77E870000-0x00007FF77EC65000-memory.dmp

Filesize
4.0MB

Download
memory/112-1857-0x00007FF77E870000-0x00007FF77EC65000-memory.dmp

Filesize
4.0MB

Download
memory/452-1870-0x00007FF7ED130000-0x00007FF7ED525000-memory.dmp

Filesize
4.0MB

Download
memory/452-784-0x00007FF7ED130000-0x00007FF7ED525000-memory.dmp

Filesize
4.0MB

Download
memory/628-1858-0x00007FF66DDA0000-0x00007FF66E195000-memory.dmp

Filesize
4.0MB

Download
memory/628-42-0x00007FF66DDA0000-0x00007FF66E195000-memory.dmp

Filesize
4.0MB

Download
memory/1016-1876-0x00007FF665CD0000-0x00007FF6660C5000-memory.dmp

Filesize
4.0MB

Download
memory/1016-759-0x00007FF665CD0000-0x00007FF6660C5000-memory.dmp

Filesize
4.0MB

Download
memory/1104-1880-0x00007FF7D5910000-0x00007FF7D5D05000-memory.dmp

Filesize
4.0MB

Download
memory/1104-779-0x00007FF7D5910000-0x00007FF7D5D05000-memory.dmp

Filesize
4.0MB

Download
memory/1292-1872-0x00007FF657270000-0x00007FF657665000-memory.dmp

Filesize
4.0MB

Download
memory/1292-782-0x00007FF657270000-0x00007FF657665000-memory.dmp

Filesize
4.0MB

Download
memory/1408-1-0x00000219BB040000-0x00000219BB050000-memory.dmp

Filesize
64KB

Download
memory/1408-0-0x00007FF6051B0000-0x00007FF6055A5000-memory.dmp

Filesize
4.0MB

Download
memory/1476-1879-0x00007FF6B2770000-0x00007FF6B2B65000-memory.dmp

Filesize
4.0MB

Download
memory/1476-798-0x00007FF6B2770000-0x00007FF6B2B65000-memory.dmp

Filesize
4.0MB

Download
memory/1684-763-0x00007FF771160000-0x00007FF771555000-memory.dmp

Filesize
4.0MB

Download
memory/1684-1874-0x00007FF771160000-0x00007FF771555000-memory.dmp

Filesize
4.0MB

Download
memory/2056-742-0x00007FF67CB50000-0x00007FF67CF45000-memory.dmp

Filesize
4.0MB

Download
memory/2056-1868-0x00007FF67CB50000-0x00007FF67CF45000-memory.dmp

Filesize
4.0MB

Download
memory/2712-1871-0x00007FF7D9260000-0x00007FF7D9655000-memory.dmp

Filesize
4.0MB

Download
memory/2712-792-0x00007FF7D9260000-0x00007FF7D9655000-memory.dmp

Filesize
4.0MB

Download
memory/2824-1878-0x00007FF77DEA0000-0x00007FF77E295000-memory.dmp

Filesize
4.0MB

Download
memory/2824-749-0x00007FF77DEA0000-0x00007FF77E295000-memory.dmp

Filesize
4.0MB

Download
memory/2844-746-0x00007FF650170000-0x00007FF650565000-memory.dmp

Filesize
4.0MB

Download
memory/2844-1873-0x00007FF650170000-0x00007FF650565000-memory.dmp

Filesize
4.0MB

Download
memory/3184-726-0x00007FF75DF60000-0x00007FF75E355000-memory.dmp

Filesize
4.0MB

Download
memory/3184-1864-0x00007FF75DF60000-0x00007FF75E355000-memory.dmp

Filesize
4.0MB

Download
memory/3444-1861-0x00007FF799D00000-0x00007FF79A0F5000-memory.dmp

Filesize
4.0MB

Download
memory/3444-713-0x00007FF799D00000-0x00007FF79A0F5000-memory.dmp

Filesize
4.0MB

Download
memory/3660-1875-0x00007FF7FD930000-0x00007FF7FDD25000-memory.dmp

Filesize
4.0MB

Download
memory/3660-768-0x00007FF7FD930000-0x00007FF7FDD25000-memory.dmp

Filesize
4.0MB

Download
memory/3940-1866-0x00007FF798F00000-0x00007FF7992F5000-memory.dmp

Filesize
4.0MB

Download
memory/3940-729-0x00007FF798F00000-0x00007FF7992F5000-memory.dmp

Filesize
4.0MB

Download
memory/4136-1865-0x00007FF70F320000-0x00007FF70F715000-memory.dmp

Filesize
4.0MB

Download
memory/4136-723-0x00007FF70F320000-0x00007FF70F715000-memory.dmp

Filesize
4.0MB

Download
memory/4492-793-0x00007FF63BCC0000-0x00007FF63C0B5000-memory.dmp

Filesize
4.0MB

Download
memory/4492-1869-0x00007FF63BCC0000-0x00007FF63C0B5000-memory.dmp

Filesize
4.0MB

Download
memory/4556-714-0x00007FF6307D0000-0x00007FF630BC5000-memory.dmp

Filesize
4.0MB

Download
memory/4556-1862-0x00007FF6307D0000-0x00007FF630BC5000-memory.dmp

Filesize
4.0MB

Download
memory/4580-734-0x00007FF6F3BC0000-0x00007FF6F3FB5000-memory.dmp

Filesize
4.0MB

Download
memory/4580-1867-0x00007FF6F3BC0000-0x00007FF6F3FB5000-memory.dmp

Filesize
4.0MB

Download
memory/4628-1859-0x00007FF7E2240000-0x00007FF7E2635000-memory.dmp

Filesize
4.0MB

Download
memory/4628-802-0x00007FF7E2240000-0x00007FF7E2635000-memory.dmp

Filesize
4.0MB

Download
memory/4696-1860-0x00007FF6A66B0000-0x00007FF6A6AA5000-memory.dmp

Filesize
4.0MB

Download
memory/4696-712-0x00007FF6A66B0000-0x00007FF6A6AA5000-memory.dmp

Filesize
4.0MB

Download
memory/4900-752-0x00007FF7EB3C0000-0x00007FF7EB7B5000-memory.dmp

Filesize
4.0MB

Download
memory/4900-1877-0x00007FF7EB3C0000-0x00007FF7EB7B5000-memory.dmp

Filesize
4.0MB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads