xmrig | 0b2fb1a1d11c0f53f56514b37a94fe8335440e19de2467d67880168af0c9503a

Analysis

max time kernel
122s
max time network
124s
platform
windows10-2004_x64
resource
win10v2004-20240508-en
resource tags

arch:x64arch:x86image:win10v2004-20240508-enlocale:en-usos:windows10-2004-x64system
submitted
17/05/2024, 09:53

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
Size

1.3MB
MD5

e8225b33b0c7e23f1a2b9dccbffe4f40
SHA1

3b77dfcf13e387c7640a67382045cd34aac28abf
SHA256

0b2fb1a1d11c0f53f56514b37a94fe8335440e19de2467d67880168af0c9503a
SHA512

8a25d2d53818f1ab639c4de8fca81f5403e3096bb1f231275e94aa0d694ee5ca675551e1a80cc77b7556d5cfc2da6e72d36a419d5183ce669546a3b7be2a286f
SSDEEP

24576:JanwhSe11QSONCpGJCjETPlia+zzDwd+t56p6aGu4DORZwTkhj0LQ0Rvugo:knw9oUUEEDlnd+XRqJZwTKuWR

Score

10^/10

xmrig miner upx

Malware Config

Signatures

xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 47 IoCs

miner

resource	yara_rule
behavioral2/memory/2320-23-0x00007FF68E3A0000-0x00007FF68E791000-memory.dmp	xmrig
behavioral2/memory/3084-365-0x00007FF7AD1B0000-0x00007FF7AD5A1000-memory.dmp	xmrig
behavioral2/memory/2860-366-0x00007FF72AF70000-0x00007FF72B361000-memory.dmp	xmrig
behavioral2/memory/3724-391-0x00007FF6FB5B0000-0x00007FF6FB9A1000-memory.dmp	xmrig
behavioral2/memory/1972-406-0x00007FF7C7160000-0x00007FF7C7551000-memory.dmp	xmrig
behavioral2/memory/3308-375-0x00007FF6E9130000-0x00007FF6E9521000-memory.dmp	xmrig
behavioral2/memory/1948-368-0x00007FF7BA230000-0x00007FF7BA621000-memory.dmp	xmrig
behavioral2/memory/4592-367-0x00007FF6A2200000-0x00007FF6A25F1000-memory.dmp	xmrig
behavioral2/memory/4472-428-0x00007FF7F5460000-0x00007FF7F5851000-memory.dmp	xmrig
behavioral2/memory/3712-442-0x00007FF75E1E0000-0x00007FF75E5D1000-memory.dmp	xmrig
behavioral2/memory/1952-453-0x00007FF653720000-0x00007FF653B11000-memory.dmp	xmrig
behavioral2/memory/4172-463-0x00007FF655820000-0x00007FF655C11000-memory.dmp	xmrig
behavioral2/memory/2872-451-0x00007FF634E80000-0x00007FF635271000-memory.dmp	xmrig
behavioral2/memory/5012-423-0x00007FF685550000-0x00007FF685941000-memory.dmp	xmrig
behavioral2/memory/3928-467-0x00007FF633DF0000-0x00007FF6341E1000-memory.dmp	xmrig
behavioral2/memory/4868-469-0x00007FF617B70000-0x00007FF617F61000-memory.dmp	xmrig
behavioral2/memory/64-473-0x00007FF634050000-0x00007FF634441000-memory.dmp	xmrig
behavioral2/memory/1728-479-0x00007FF676C40000-0x00007FF677031000-memory.dmp	xmrig
behavioral2/memory/3780-486-0x00007FF728D60000-0x00007FF729151000-memory.dmp	xmrig
behavioral2/memory/3052-489-0x00007FF7AFDC0000-0x00007FF7B01B1000-memory.dmp	xmrig
behavioral2/memory/1272-483-0x00007FF60BD50000-0x00007FF60C141000-memory.dmp	xmrig
behavioral2/memory/3388-482-0x00007FF6CA6C0000-0x00007FF6CAAB1000-memory.dmp	xmrig
behavioral2/memory/2592-472-0x00007FF7CCF30000-0x00007FF7CD321000-memory.dmp	xmrig
behavioral2/memory/1228-1986-0x00007FF7EB720000-0x00007FF7EBB11000-memory.dmp	xmrig
behavioral2/memory/3780-1990-0x00007FF728D60000-0x00007FF729151000-memory.dmp	xmrig
behavioral2/memory/3052-1994-0x00007FF7AFDC0000-0x00007FF7B01B1000-memory.dmp	xmrig
behavioral2/memory/3084-1992-0x00007FF7AD1B0000-0x00007FF7AD5A1000-memory.dmp	xmrig
behavioral2/memory/2860-1998-0x00007FF72AF70000-0x00007FF72B361000-memory.dmp	xmrig
behavioral2/memory/1972-2006-0x00007FF7C7160000-0x00007FF7C7551000-memory.dmp	xmrig
behavioral2/memory/2872-2014-0x00007FF634E80000-0x00007FF635271000-memory.dmp	xmrig
behavioral2/memory/4172-2020-0x00007FF655820000-0x00007FF655C11000-memory.dmp	xmrig
behavioral2/memory/3928-2018-0x00007FF633DF0000-0x00007FF6341E1000-memory.dmp	xmrig
behavioral2/memory/1952-2016-0x00007FF653720000-0x00007FF653B11000-memory.dmp	xmrig
behavioral2/memory/3712-2012-0x00007FF75E1E0000-0x00007FF75E5D1000-memory.dmp	xmrig
behavioral2/memory/4472-2010-0x00007FF7F5460000-0x00007FF7F5851000-memory.dmp	xmrig
behavioral2/memory/5012-2008-0x00007FF685550000-0x00007FF685941000-memory.dmp	xmrig
behavioral2/memory/3724-2004-0x00007FF6FB5B0000-0x00007FF6FB9A1000-memory.dmp	xmrig
behavioral2/memory/3308-2002-0x00007FF6E9130000-0x00007FF6E9521000-memory.dmp	xmrig
behavioral2/memory/1948-2000-0x00007FF7BA230000-0x00007FF7BA621000-memory.dmp	xmrig
behavioral2/memory/4592-1996-0x00007FF6A2200000-0x00007FF6A25F1000-memory.dmp	xmrig
behavioral2/memory/2320-1988-0x00007FF68E3A0000-0x00007FF68E791000-memory.dmp	xmrig
behavioral2/memory/3388-2029-0x00007FF6CA6C0000-0x00007FF6CAAB1000-memory.dmp	xmrig
behavioral2/memory/1272-2026-0x00007FF60BD50000-0x00007FF60C141000-memory.dmp	xmrig
behavioral2/memory/4868-2022-0x00007FF617B70000-0x00007FF617F61000-memory.dmp	xmrig
behavioral2/memory/64-2037-0x00007FF634050000-0x00007FF634441000-memory.dmp	xmrig
behavioral2/memory/2592-2035-0x00007FF7CCF30000-0x00007FF7CD321000-memory.dmp	xmrig
behavioral2/memory/1728-2031-0x00007FF676C40000-0x00007FF677031000-memory.dmp	xmrig

Executes dropped EXE 64 IoCs

pid	Process
1228	VWVzsQS.exe
2320	cKYlUjo.exe
3780	hcNwxCx.exe
3084	XrAOTZN.exe
3052	AxwcFJX.exe
2860	DtQCbzG.exe
4592	mejWozl.exe
1948	qXEfWCs.exe
3308	pUoiSwd.exe
3724	SvxdEJt.exe
1972	nDJcpOw.exe
5012	hXJoWvc.exe
4472	cABrbFP.exe
3712	RjNVYQI.exe
2872	EAYkpcQ.exe
1952	ujNIOyB.exe
4172	sJBMfvl.exe
3928	zcsswen.exe
4868	eEaxggO.exe
2592	xipUUNo.exe
64	eFBNXhs.exe
1728	MkxkVFo.exe
3388	XtuRbQV.exe
1272	vMolNVj.exe
3760	oDrVqAi.exe
3660	lHIZyFb.exe
3128	wdYjvPa.exe
1048	UIKXqcc.exe
3616	pNMMtOM.exe
1884	PhwbsjU.exe
3004	GNdcVIx.exe
3696	mGXTVvA.exe
4020	WPEZCeq.exe
844	oLPyTRo.exe
4832	BrpYOxz.exe
3748	yuPNnsA.exe
5100	zwXfnDi.exe
3520	XQAJlto.exe
4032	ncSCUWm.exe
3796	AEMxiqR.exe
3960	Fsytcon.exe
4012	DaSrcSk.exe
4984	FKjKLaY.exe
2080	LySgidA.exe
2560	SgHchop.exe
2784	cCoaaZQ.exe
4808	mPUqfuF.exe
2356	BkDfooA.exe
4704	zjByvAM.exe
4644	ZgdtkJL.exe
3096	pIXOGyp.exe
2104	XiinCTL.exe
1620	GWOBGuG.exe
3324	mjyiEGB.exe
2252	HOvSlAh.exe
1780	avjKyGo.exe
8	QBFMBYG.exe
2956	jterFbM.exe
4396	iYktglI.exe
3768	PkHTzOK.exe
1476	pAugoCL.exe
1956	RAdWMiX.exe
3360	rpHSVRZ.exe
2332	ffcnPcL.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/2600-0-0x00007FF6681B0000-0x00007FF6685A1000-memory.dmp	upx
behavioral2/files/0x0008000000022f51-5.dat	upx
behavioral2/files/0x0007000000023413-10.dat	upx
behavioral2/files/0x0007000000023414-17.dat	upx
behavioral2/files/0x0007000000023415-22.dat	upx
behavioral2/files/0x0007000000023416-27.dat	upx
behavioral2/files/0x0007000000023419-43.dat	upx
behavioral2/files/0x000700000002341c-58.dat	upx
behavioral2/files/0x000700000002341e-68.dat	upx
behavioral2/files/0x0007000000023420-76.dat	upx
behavioral2/files/0x0007000000023427-111.dat	upx
behavioral2/files/0x0007000000023429-123.dat	upx
behavioral2/files/0x000700000002342b-133.dat	upx
behavioral2/files/0x000700000002342d-143.dat	upx
behavioral2/files/0x0007000000023430-158.dat	upx
behavioral2/files/0x0007000000023431-163.dat	upx
behavioral2/files/0x000700000002342f-153.dat	upx
behavioral2/files/0x000700000002342e-148.dat	upx
behavioral2/files/0x000700000002342c-138.dat	upx
behavioral2/files/0x000700000002342a-128.dat	upx
behavioral2/files/0x0007000000023428-118.dat	upx
behavioral2/files/0x0007000000023426-108.dat	upx
behavioral2/files/0x0007000000023425-103.dat	upx
behavioral2/files/0x0007000000023424-98.dat	upx
behavioral2/files/0x0007000000023423-93.dat	upx
behavioral2/files/0x0007000000023422-88.dat	upx
behavioral2/files/0x0007000000023421-83.dat	upx
behavioral2/files/0x000700000002341f-73.dat	upx
behavioral2/files/0x000700000002341d-63.dat	upx
behavioral2/files/0x000700000002341b-53.dat	upx
behavioral2/files/0x000700000002341a-48.dat	upx
behavioral2/files/0x0007000000023418-38.dat	upx
behavioral2/files/0x0007000000023417-33.dat	upx
behavioral2/memory/2320-23-0x00007FF68E3A0000-0x00007FF68E791000-memory.dmp	upx
behavioral2/memory/1228-12-0x00007FF7EB720000-0x00007FF7EBB11000-memory.dmp	upx
behavioral2/memory/3084-365-0x00007FF7AD1B0000-0x00007FF7AD5A1000-memory.dmp	upx
behavioral2/memory/2860-366-0x00007FF72AF70000-0x00007FF72B361000-memory.dmp	upx
behavioral2/memory/3724-391-0x00007FF6FB5B0000-0x00007FF6FB9A1000-memory.dmp	upx
behavioral2/memory/1972-406-0x00007FF7C7160000-0x00007FF7C7551000-memory.dmp	upx
behavioral2/memory/3308-375-0x00007FF6E9130000-0x00007FF6E9521000-memory.dmp	upx
behavioral2/memory/1948-368-0x00007FF7BA230000-0x00007FF7BA621000-memory.dmp	upx
behavioral2/memory/4592-367-0x00007FF6A2200000-0x00007FF6A25F1000-memory.dmp	upx
behavioral2/memory/4472-428-0x00007FF7F5460000-0x00007FF7F5851000-memory.dmp	upx
behavioral2/memory/3712-442-0x00007FF75E1E0000-0x00007FF75E5D1000-memory.dmp	upx
behavioral2/memory/1952-453-0x00007FF653720000-0x00007FF653B11000-memory.dmp	upx
behavioral2/memory/4172-463-0x00007FF655820000-0x00007FF655C11000-memory.dmp	upx
behavioral2/memory/2872-451-0x00007FF634E80000-0x00007FF635271000-memory.dmp	upx
behavioral2/memory/5012-423-0x00007FF685550000-0x00007FF685941000-memory.dmp	upx
behavioral2/memory/3928-467-0x00007FF633DF0000-0x00007FF6341E1000-memory.dmp	upx
behavioral2/memory/4868-469-0x00007FF617B70000-0x00007FF617F61000-memory.dmp	upx
behavioral2/memory/64-473-0x00007FF634050000-0x00007FF634441000-memory.dmp	upx
behavioral2/memory/1728-479-0x00007FF676C40000-0x00007FF677031000-memory.dmp	upx
behavioral2/memory/3780-486-0x00007FF728D60000-0x00007FF729151000-memory.dmp	upx
behavioral2/memory/3052-489-0x00007FF7AFDC0000-0x00007FF7B01B1000-memory.dmp	upx
behavioral2/memory/1272-483-0x00007FF60BD50000-0x00007FF60C141000-memory.dmp	upx
behavioral2/memory/3388-482-0x00007FF6CA6C0000-0x00007FF6CAAB1000-memory.dmp	upx
behavioral2/memory/2592-472-0x00007FF7CCF30000-0x00007FF7CD321000-memory.dmp	upx
behavioral2/memory/1228-1986-0x00007FF7EB720000-0x00007FF7EBB11000-memory.dmp	upx
behavioral2/memory/3780-1990-0x00007FF728D60000-0x00007FF729151000-memory.dmp	upx
behavioral2/memory/3052-1994-0x00007FF7AFDC0000-0x00007FF7B01B1000-memory.dmp	upx
behavioral2/memory/3084-1992-0x00007FF7AD1B0000-0x00007FF7AD5A1000-memory.dmp	upx
behavioral2/memory/2860-1998-0x00007FF72AF70000-0x00007FF72B361000-memory.dmp	upx
behavioral2/memory/1972-2006-0x00007FF7C7160000-0x00007FF7C7551000-memory.dmp	upx
behavioral2/memory/2872-2014-0x00007FF634E80000-0x00007FF635271000-memory.dmp	upx

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\System32\eEaxggO.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\UoianPX.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\YoxrMBl.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\JKOoRGT.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\gLLmsLv.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\yWgcHZh.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\pzjYdne.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\oYnEDHZ.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\idddlHS.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\kRTHkhS.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\MuSmDfo.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\qJMIHMB.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\FmxIefn.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\KiyQVIJ.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\IDzgAVj.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\PzzHorB.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\ryozUGa.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\JoayBmc.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\wKtjkNT.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\hWekUgg.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\EWjBZAS.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\pBzBuzr.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\TqYoPCD.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\MWpnYBj.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\xrSNJaR.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\jterFbM.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\ZTwnCEQ.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\KYHuqmh.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\aKRpOeZ.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\JgWSFer.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\HOvSlAh.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\ainJAdy.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\ptgFWCq.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\OSKhrrj.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\pUoiSwd.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\pqcyfPU.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\MVVLEEU.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\Yjuelpz.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\KkuxTmM.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\atCkRlJ.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\taDuihX.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\fffoejL.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\zRxSgdl.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\zfOCSMm.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\fIXQeBP.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\iZVtNfw.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\EOVwsTP.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\FVwTSZM.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\nFlDrcC.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\yvQWkbp.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\qXEfWCs.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\AEMxiqR.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\SgHchop.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\YwBbtoB.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\ieZxNUP.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\dRNnOvR.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\lkcsgHH.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\JaErdLw.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\XrAOTZN.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\zjByvAM.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\VOFNWXz.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\ygEdmdq.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\NgSmOPl.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
File created	C:\Windows\System32\FokFmvi.exe	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe

Checks SCSI registry key(s) 3 TTPs 6 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_DADY&PROD_HARDDISK\4&215468A5&0&000000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\ConfigFlags	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\HardwareID	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_QEMU&PROD_QEMU_DVD-ROM\4&215468A5&0&010000	dwm.exe

Enumerates system info in registry 2 TTPs 2 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe

Modifies data under HKEY_USERS 18 IoCs

description	ioc	Process
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2a\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe

Suspicious use of AdjustPrivilegeToken 6 IoCs

description	pid	Process
Token: SeCreateGlobalPrivilege	4220	dwm.exe
Token: SeChangeNotifyPrivilege	4220	dwm.exe
Token: 33	4220	dwm.exe
Token: SeIncBasePriorityPrivilege	4220	dwm.exe
Token: SeShutdownPrivilege	4220	dwm.exe
Token: SeCreatePagefilePrivilege	4220	dwm.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 2600 wrote to memory of 1228	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	84
PID 2600 wrote to memory of 1228	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	84
PID 2600 wrote to memory of 2320	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	85
PID 2600 wrote to memory of 2320	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	85
PID 2600 wrote to memory of 3780	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	86
PID 2600 wrote to memory of 3780	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	86
PID 2600 wrote to memory of 3084	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	87
PID 2600 wrote to memory of 3084	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	87
PID 2600 wrote to memory of 3052	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	88
PID 2600 wrote to memory of 3052	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	88
PID 2600 wrote to memory of 2860	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	89
PID 2600 wrote to memory of 2860	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	89
PID 2600 wrote to memory of 4592	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	90
PID 2600 wrote to memory of 4592	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	90
PID 2600 wrote to memory of 1948	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	91
PID 2600 wrote to memory of 1948	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	91
PID 2600 wrote to memory of 3308	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	92
PID 2600 wrote to memory of 3308	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	92
PID 2600 wrote to memory of 3724	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	93
PID 2600 wrote to memory of 3724	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	93
PID 2600 wrote to memory of 1972	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	94
PID 2600 wrote to memory of 1972	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	94
PID 2600 wrote to memory of 5012	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	95
PID 2600 wrote to memory of 5012	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	95
PID 2600 wrote to memory of 4472	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	96
PID 2600 wrote to memory of 4472	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	96
PID 2600 wrote to memory of 3712	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	97
PID 2600 wrote to memory of 3712	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	97
PID 2600 wrote to memory of 2872	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	98
PID 2600 wrote to memory of 2872	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	98
PID 2600 wrote to memory of 1952	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	99
PID 2600 wrote to memory of 1952	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	99
PID 2600 wrote to memory of 4172	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	100
PID 2600 wrote to memory of 4172	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	100
PID 2600 wrote to memory of 3928	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	101
PID 2600 wrote to memory of 3928	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	101
PID 2600 wrote to memory of 4868	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	102
PID 2600 wrote to memory of 4868	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	102
PID 2600 wrote to memory of 2592	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	103
PID 2600 wrote to memory of 2592	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	103
PID 2600 wrote to memory of 64	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	104
PID 2600 wrote to memory of 64	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	104
PID 2600 wrote to memory of 1728	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	105
PID 2600 wrote to memory of 1728	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	105
PID 2600 wrote to memory of 3388	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	106
PID 2600 wrote to memory of 3388	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	106
PID 2600 wrote to memory of 1272	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	107
PID 2600 wrote to memory of 1272	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	107
PID 2600 wrote to memory of 3760	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	108
PID 2600 wrote to memory of 3760	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	108
PID 2600 wrote to memory of 3660	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	109
PID 2600 wrote to memory of 3660	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	109
PID 2600 wrote to memory of 3128	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	110
PID 2600 wrote to memory of 3128	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	110
PID 2600 wrote to memory of 1048	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	111
PID 2600 wrote to memory of 1048	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	111
PID 2600 wrote to memory of 3616	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	112
PID 2600 wrote to memory of 3616	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	112
PID 2600 wrote to memory of 1884	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	113
PID 2600 wrote to memory of 1884	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	113
PID 2600 wrote to memory of 3004	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	114
PID 2600 wrote to memory of 3004	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	114
PID 2600 wrote to memory of 3696	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	115
PID 2600 wrote to memory of 3696	2600	e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe	115

C:\Users\Admin\AppData\Local\Temp\e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe
"C:\Users\Admin\AppData\Local\Temp\e8225b33b0c7e23f1a2b9dccbffe4f40_NeikiAnalytics.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:2600
- C:\Windows\System32\VWVzsQS.exe
  C:\Windows\System32\VWVzsQS.exe
  2⤵
  - Executes dropped EXE
  PID:1228
- C:\Windows\System32\cKYlUjo.exe
  C:\Windows\System32\cKYlUjo.exe
  2⤵
  - Executes dropped EXE
  PID:2320
- C:\Windows\System32\hcNwxCx.exe
  C:\Windows\System32\hcNwxCx.exe
  2⤵
  - Executes dropped EXE
  PID:3780
- C:\Windows\System32\XrAOTZN.exe
  C:\Windows\System32\XrAOTZN.exe
  2⤵
  - Executes dropped EXE
  PID:3084
- C:\Windows\System32\AxwcFJX.exe
  C:\Windows\System32\AxwcFJX.exe
  2⤵
  - Executes dropped EXE
  PID:3052
- C:\Windows\System32\DtQCbzG.exe
  C:\Windows\System32\DtQCbzG.exe
  2⤵
  - Executes dropped EXE
  PID:2860
- C:\Windows\System32\mejWozl.exe
  C:\Windows\System32\mejWozl.exe
  2⤵
  - Executes dropped EXE
  PID:4592
- C:\Windows\System32\qXEfWCs.exe
  C:\Windows\System32\qXEfWCs.exe
  2⤵
  - Executes dropped EXE
  PID:1948
- C:\Windows\System32\pUoiSwd.exe
  C:\Windows\System32\pUoiSwd.exe
  2⤵
  - Executes dropped EXE
  PID:3308
- C:\Windows\System32\SvxdEJt.exe
  C:\Windows\System32\SvxdEJt.exe
  2⤵
  - Executes dropped EXE
  PID:3724
- C:\Windows\System32\nDJcpOw.exe
  C:\Windows\System32\nDJcpOw.exe
  2⤵
  - Executes dropped EXE
  PID:1972
- C:\Windows\System32\hXJoWvc.exe
  C:\Windows\System32\hXJoWvc.exe
  2⤵
  - Executes dropped EXE
  PID:5012
- C:\Windows\System32\cABrbFP.exe
  C:\Windows\System32\cABrbFP.exe
  2⤵
  - Executes dropped EXE
  PID:4472
- C:\Windows\System32\RjNVYQI.exe
  C:\Windows\System32\RjNVYQI.exe
  2⤵
  - Executes dropped EXE
  PID:3712
- C:\Windows\System32\EAYkpcQ.exe
  C:\Windows\System32\EAYkpcQ.exe
  2⤵
  - Executes dropped EXE
  PID:2872
- C:\Windows\System32\ujNIOyB.exe
  C:\Windows\System32\ujNIOyB.exe
  2⤵
  - Executes dropped EXE
  PID:1952
- C:\Windows\System32\sJBMfvl.exe
  C:\Windows\System32\sJBMfvl.exe
  2⤵
  - Executes dropped EXE
  PID:4172
- C:\Windows\System32\zcsswen.exe
  C:\Windows\System32\zcsswen.exe
  2⤵
  - Executes dropped EXE
  PID:3928
- C:\Windows\System32\eEaxggO.exe
  C:\Windows\System32\eEaxggO.exe
  2⤵
  - Executes dropped EXE
  PID:4868
- C:\Windows\System32\xipUUNo.exe
  C:\Windows\System32\xipUUNo.exe
  2⤵
  - Executes dropped EXE
  PID:2592
- C:\Windows\System32\eFBNXhs.exe
  C:\Windows\System32\eFBNXhs.exe
  2⤵
  - Executes dropped EXE
  PID:64
- C:\Windows\System32\MkxkVFo.exe
  C:\Windows\System32\MkxkVFo.exe
  2⤵
  - Executes dropped EXE
  PID:1728
- C:\Windows\System32\XtuRbQV.exe
  C:\Windows\System32\XtuRbQV.exe
  2⤵
  - Executes dropped EXE
  PID:3388
- C:\Windows\System32\vMolNVj.exe
  C:\Windows\System32\vMolNVj.exe
  2⤵
  - Executes dropped EXE
  PID:1272
- C:\Windows\System32\oDrVqAi.exe
  C:\Windows\System32\oDrVqAi.exe
  2⤵
  - Executes dropped EXE
  PID:3760
- C:\Windows\System32\lHIZyFb.exe
  C:\Windows\System32\lHIZyFb.exe
  2⤵
  - Executes dropped EXE
  PID:3660
- C:\Windows\System32\wdYjvPa.exe
  C:\Windows\System32\wdYjvPa.exe
  2⤵
  - Executes dropped EXE
  PID:3128
- C:\Windows\System32\UIKXqcc.exe
  C:\Windows\System32\UIKXqcc.exe
  2⤵
  - Executes dropped EXE
  PID:1048
- C:\Windows\System32\pNMMtOM.exe
  C:\Windows\System32\pNMMtOM.exe
  2⤵
  - Executes dropped EXE
  PID:3616
- C:\Windows\System32\PhwbsjU.exe
  C:\Windows\System32\PhwbsjU.exe
  2⤵
  - Executes dropped EXE
  PID:1884
- C:\Windows\System32\GNdcVIx.exe
  C:\Windows\System32\GNdcVIx.exe
  2⤵
  - Executes dropped EXE
  PID:3004
- C:\Windows\System32\mGXTVvA.exe
  C:\Windows\System32\mGXTVvA.exe
  2⤵
  - Executes dropped EXE
  PID:3696
- C:\Windows\System32\WPEZCeq.exe
  C:\Windows\System32\WPEZCeq.exe
  2⤵
  - Executes dropped EXE
  PID:4020
- C:\Windows\System32\oLPyTRo.exe
  C:\Windows\System32\oLPyTRo.exe
  2⤵
  - Executes dropped EXE
  PID:844
- C:\Windows\System32\BrpYOxz.exe
  C:\Windows\System32\BrpYOxz.exe
  2⤵
  - Executes dropped EXE
  PID:4832
- C:\Windows\System32\yuPNnsA.exe
  C:\Windows\System32\yuPNnsA.exe
  2⤵
  - Executes dropped EXE
  PID:3748
- C:\Windows\System32\zwXfnDi.exe
  C:\Windows\System32\zwXfnDi.exe
  2⤵
  - Executes dropped EXE
  PID:5100
- C:\Windows\System32\XQAJlto.exe
  C:\Windows\System32\XQAJlto.exe
  2⤵
  - Executes dropped EXE
  PID:3520
- C:\Windows\System32\ncSCUWm.exe
  C:\Windows\System32\ncSCUWm.exe
  2⤵
  - Executes dropped EXE
  PID:4032
- C:\Windows\System32\AEMxiqR.exe
  C:\Windows\System32\AEMxiqR.exe
  2⤵
  - Executes dropped EXE
  PID:3796
- C:\Windows\System32\Fsytcon.exe
  C:\Windows\System32\Fsytcon.exe
  2⤵
  - Executes dropped EXE
  PID:3960
- C:\Windows\System32\DaSrcSk.exe
  C:\Windows\System32\DaSrcSk.exe
  2⤵
  - Executes dropped EXE
  PID:4012
- C:\Windows\System32\FKjKLaY.exe
  C:\Windows\System32\FKjKLaY.exe
  2⤵
  - Executes dropped EXE
  PID:4984
- C:\Windows\System32\LySgidA.exe
  C:\Windows\System32\LySgidA.exe
  2⤵
  - Executes dropped EXE
  PID:2080
- C:\Windows\System32\SgHchop.exe
  C:\Windows\System32\SgHchop.exe
  2⤵
  - Executes dropped EXE
  PID:2560
- C:\Windows\System32\cCoaaZQ.exe
  C:\Windows\System32\cCoaaZQ.exe
  2⤵
  - Executes dropped EXE
  PID:2784
- C:\Windows\System32\mPUqfuF.exe
  C:\Windows\System32\mPUqfuF.exe
  2⤵
  - Executes dropped EXE
  PID:4808
- C:\Windows\System32\BkDfooA.exe
  C:\Windows\System32\BkDfooA.exe
  2⤵
  - Executes dropped EXE
  PID:2356
- C:\Windows\System32\zjByvAM.exe
  C:\Windows\System32\zjByvAM.exe
  2⤵
  - Executes dropped EXE
  PID:4704
- C:\Windows\System32\ZgdtkJL.exe
  C:\Windows\System32\ZgdtkJL.exe
  2⤵
  - Executes dropped EXE
  PID:4644
- C:\Windows\System32\pIXOGyp.exe
  C:\Windows\System32\pIXOGyp.exe
  2⤵
  - Executes dropped EXE
  PID:3096
- C:\Windows\System32\XiinCTL.exe
  C:\Windows\System32\XiinCTL.exe
  2⤵
  - Executes dropped EXE
  PID:2104
- C:\Windows\System32\GWOBGuG.exe
  C:\Windows\System32\GWOBGuG.exe
  2⤵
  - Executes dropped EXE
  PID:1620
- C:\Windows\System32\mjyiEGB.exe
  C:\Windows\System32\mjyiEGB.exe
  2⤵
  - Executes dropped EXE
  PID:3324
- C:\Windows\System32\HOvSlAh.exe
  C:\Windows\System32\HOvSlAh.exe
  2⤵
  - Executes dropped EXE
  PID:2252
- C:\Windows\System32\avjKyGo.exe
  C:\Windows\System32\avjKyGo.exe
  2⤵
  - Executes dropped EXE
  PID:1780
- C:\Windows\System32\QBFMBYG.exe
  C:\Windows\System32\QBFMBYG.exe
  2⤵
  - Executes dropped EXE
  PID:8
- C:\Windows\System32\jterFbM.exe
  C:\Windows\System32\jterFbM.exe
  2⤵
  - Executes dropped EXE
  PID:2956
- C:\Windows\System32\iYktglI.exe
  C:\Windows\System32\iYktglI.exe
  2⤵
  - Executes dropped EXE
  PID:4396
- C:\Windows\System32\PkHTzOK.exe
  C:\Windows\System32\PkHTzOK.exe
  2⤵
  - Executes dropped EXE
  PID:3768
- C:\Windows\System32\pAugoCL.exe
  C:\Windows\System32\pAugoCL.exe
  2⤵
  - Executes dropped EXE
  PID:1476
- C:\Windows\System32\RAdWMiX.exe
  C:\Windows\System32\RAdWMiX.exe
  2⤵
  - Executes dropped EXE
  PID:1956
- C:\Windows\System32\rpHSVRZ.exe
  C:\Windows\System32\rpHSVRZ.exe
  2⤵
  - Executes dropped EXE
  PID:3360
- C:\Windows\System32\ffcnPcL.exe
  C:\Windows\System32\ffcnPcL.exe
  2⤵
  - Executes dropped EXE
  PID:2332
- C:\Windows\System32\sLObUHp.exe
  C:\Windows\System32\sLObUHp.exe
  2⤵
  PID:1596
- C:\Windows\System32\VacvxSM.exe
  C:\Windows\System32\VacvxSM.exe
  2⤵
  PID:4352
- C:\Windows\System32\ieZxNUP.exe
  C:\Windows\System32\ieZxNUP.exe
  2⤵
  PID:4276
- C:\Windows\System32\dnqrHlC.exe
  C:\Windows\System32\dnqrHlC.exe
  2⤵
  PID:4152
- C:\Windows\System32\pqcyfPU.exe
  C:\Windows\System32\pqcyfPU.exe
  2⤵
  PID:4948
- C:\Windows\System32\BOjoPGp.exe
  C:\Windows\System32\BOjoPGp.exe
  2⤵
  PID:4080
- C:\Windows\System32\tPncXeQ.exe
  C:\Windows\System32\tPncXeQ.exe
  2⤵
  PID:4600
- C:\Windows\System32\rNNAPEp.exe
  C:\Windows\System32\rNNAPEp.exe
  2⤵
  PID:1480
- C:\Windows\System32\zEthsAS.exe
  C:\Windows\System32\zEthsAS.exe
  2⤵
  PID:1812
- C:\Windows\System32\qsvnHnE.exe
  C:\Windows\System32\qsvnHnE.exe
  2⤵
  PID:3624
- C:\Windows\System32\uAevGEI.exe
  C:\Windows\System32\uAevGEI.exe
  2⤵
  PID:2792
- C:\Windows\System32\qHGefZZ.exe
  C:\Windows\System32\qHGefZZ.exe
  2⤵
  PID:1068
- C:\Windows\System32\ZrFNxGw.exe
  C:\Windows\System32\ZrFNxGw.exe
  2⤵
  PID:4188
- C:\Windows\System32\hgTgBzj.exe
  C:\Windows\System32\hgTgBzj.exe
  2⤵
  PID:1660
- C:\Windows\System32\kWyzEaq.exe
  C:\Windows\System32\kWyzEaq.exe
  2⤵
  PID:2208
- C:\Windows\System32\vidPmrO.exe
  C:\Windows\System32\vidPmrO.exe
  2⤵
  PID:2488
- C:\Windows\System32\uybxVKE.exe
  C:\Windows\System32\uybxVKE.exe
  2⤵
  PID:968
- C:\Windows\System32\mlDANpR.exe
  C:\Windows\System32\mlDANpR.exe
  2⤵
  PID:3680
- C:\Windows\System32\XhQSpRY.exe
  C:\Windows\System32\XhQSpRY.exe
  2⤵
  PID:1680
- C:\Windows\System32\EnBgjPy.exe
  C:\Windows\System32\EnBgjPy.exe
  2⤵
  PID:1504
- C:\Windows\System32\ryozUGa.exe
  C:\Windows\System32\ryozUGa.exe
  2⤵
  PID:396
- C:\Windows\System32\ZsdGSAj.exe
  C:\Windows\System32\ZsdGSAj.exe
  2⤵
  PID:2424
- C:\Windows\System32\ufQFsEc.exe
  C:\Windows\System32\ufQFsEc.exe
  2⤵
  PID:3352
- C:\Windows\System32\peFbKUF.exe
  C:\Windows\System32\peFbKUF.exe
  2⤵
  PID:1840
- C:\Windows\System32\mcmiThH.exe
  C:\Windows\System32\mcmiThH.exe
  2⤵
  PID:1060
- C:\Windows\System32\ItiRmst.exe
  C:\Windows\System32\ItiRmst.exe
  2⤵
  PID:1328
- C:\Windows\System32\VbSEtvp.exe
  C:\Windows\System32\VbSEtvp.exe
  2⤵
  PID:2768
- C:\Windows\System32\oINPZjb.exe
  C:\Windows\System32\oINPZjb.exe
  2⤵
  PID:884
- C:\Windows\System32\koAjrgw.exe
  C:\Windows\System32\koAjrgw.exe
  2⤵
  PID:4956
- C:\Windows\System32\zgRRPfE.exe
  C:\Windows\System32\zgRRPfE.exe
  2⤵
  PID:2500
- C:\Windows\System32\hTUMhqX.exe
  C:\Windows\System32\hTUMhqX.exe
  2⤵
  PID:3536
- C:\Windows\System32\HDCHwka.exe
  C:\Windows\System32\HDCHwka.exe
  2⤵
  PID:3608
- C:\Windows\System32\VOFNWXz.exe
  C:\Windows\System32\VOFNWXz.exe
  2⤵
  PID:2504
- C:\Windows\System32\LFQFaGW.exe
  C:\Windows\System32\LFQFaGW.exe
  2⤵
  PID:756
- C:\Windows\System32\TwzOnPP.exe
  C:\Windows\System32\TwzOnPP.exe
  2⤵
  PID:668
- C:\Windows\System32\riNGjmC.exe
  C:\Windows\System32\riNGjmC.exe
  2⤵
  PID:3328
- C:\Windows\System32\ainJAdy.exe
  C:\Windows\System32\ainJAdy.exe
  2⤵
  PID:5176
- C:\Windows\System32\YmOiRaE.exe
  C:\Windows\System32\YmOiRaE.exe
  2⤵
  PID:5192
- C:\Windows\System32\cNgeZBw.exe
  C:\Windows\System32\cNgeZBw.exe
  2⤵
  PID:5216
- C:\Windows\System32\ZgbilUD.exe
  C:\Windows\System32\ZgbilUD.exe
  2⤵
  PID:5232
- C:\Windows\System32\cjxqdoX.exe
  C:\Windows\System32\cjxqdoX.exe
  2⤵
  PID:5248
- C:\Windows\System32\qbTjKEn.exe
  C:\Windows\System32\qbTjKEn.exe
  2⤵
  PID:5264
- C:\Windows\System32\PwHrYCg.exe
  C:\Windows\System32\PwHrYCg.exe
  2⤵
  PID:5284
- C:\Windows\System32\dRNnOvR.exe
  C:\Windows\System32\dRNnOvR.exe
  2⤵
  PID:5300
- C:\Windows\System32\otJvgsV.exe
  C:\Windows\System32\otJvgsV.exe
  2⤵
  PID:5320
- C:\Windows\System32\pTwoZgq.exe
  C:\Windows\System32\pTwoZgq.exe
  2⤵
  PID:5340
- C:\Windows\System32\SqaxOml.exe
  C:\Windows\System32\SqaxOml.exe
  2⤵
  PID:5360
- C:\Windows\System32\hjLhACN.exe
  C:\Windows\System32\hjLhACN.exe
  2⤵
  PID:5380
- C:\Windows\System32\ddHzRxA.exe
  C:\Windows\System32\ddHzRxA.exe
  2⤵
  PID:5396
- C:\Windows\System32\dCKZabH.exe
  C:\Windows\System32\dCKZabH.exe
  2⤵
  PID:5420
- C:\Windows\System32\SzaYmWB.exe
  C:\Windows\System32\SzaYmWB.exe
  2⤵
  PID:5436
- C:\Windows\System32\RQfDSfa.exe
  C:\Windows\System32\RQfDSfa.exe
  2⤵
  PID:5456
- C:\Windows\System32\ZTwnCEQ.exe
  C:\Windows\System32\ZTwnCEQ.exe
  2⤵
  PID:5476
- C:\Windows\System32\HgOAKvR.exe
  C:\Windows\System32\HgOAKvR.exe
  2⤵
  PID:5500
- C:\Windows\System32\QYzgYFs.exe
  C:\Windows\System32\QYzgYFs.exe
  2⤵
  PID:5516
- C:\Windows\System32\hQxxAVY.exe
  C:\Windows\System32\hQxxAVY.exe
  2⤵
  PID:5540
- C:\Windows\System32\kRTHkhS.exe
  C:\Windows\System32\kRTHkhS.exe
  2⤵
  PID:5556
- C:\Windows\System32\gXTWwDW.exe
  C:\Windows\System32\gXTWwDW.exe
  2⤵
  PID:5576
- C:\Windows\System32\yPRBWij.exe
  C:\Windows\System32\yPRBWij.exe
  2⤵
  PID:5596
- C:\Windows\System32\tokAJZL.exe
  C:\Windows\System32\tokAJZL.exe
  2⤵
  PID:5640
- C:\Windows\System32\YdapjPd.exe
  C:\Windows\System32\YdapjPd.exe
  2⤵
  PID:5732
- C:\Windows\System32\qujmuOi.exe
  C:\Windows\System32\qujmuOi.exe
  2⤵
  PID:5828
- C:\Windows\System32\JoayBmc.exe
  C:\Windows\System32\JoayBmc.exe
  2⤵
  PID:5956
- C:\Windows\System32\fByCOiZ.exe
  C:\Windows\System32\fByCOiZ.exe
  2⤵
  PID:5972
- C:\Windows\System32\DjvTpWn.exe
  C:\Windows\System32\DjvTpWn.exe
  2⤵
  PID:6000
- C:\Windows\System32\UnuLKvp.exe
  C:\Windows\System32\UnuLKvp.exe
  2⤵
  PID:6036
- C:\Windows\System32\QavEQNZ.exe
  C:\Windows\System32\QavEQNZ.exe
  2⤵
  PID:6076
- C:\Windows\System32\zBXQfNh.exe
  C:\Windows\System32\zBXQfNh.exe
  2⤵
  PID:6104
- C:\Windows\System32\KsjuPLR.exe
  C:\Windows\System32\KsjuPLR.exe
  2⤵
  PID:6124
- C:\Windows\System32\OYyxTeS.exe
  C:\Windows\System32\OYyxTeS.exe
  2⤵
  PID:3012
- C:\Windows\System32\fMwuuax.exe
  C:\Windows\System32\fMwuuax.exe
  2⤵
  PID:392
- C:\Windows\System32\CAxrDtx.exe
  C:\Windows\System32\CAxrDtx.exe
  2⤵
  PID:4772
- C:\Windows\System32\cKaYbIt.exe
  C:\Windows\System32\cKaYbIt.exe
  2⤵
  PID:2908
- C:\Windows\System32\DhqGlbc.exe
  C:\Windows\System32\DhqGlbc.exe
  2⤵
  PID:5224
- C:\Windows\System32\neOPTWY.exe
  C:\Windows\System32\neOPTWY.exe
  2⤵
  PID:5228
- C:\Windows\System32\CtnwJoZ.exe
  C:\Windows\System32\CtnwJoZ.exe
  2⤵
  PID:5296
- C:\Windows\System32\jWrBuim.exe
  C:\Windows\System32\jWrBuim.exe
  2⤵
  PID:5388
- C:\Windows\System32\ExpMXiF.exe
  C:\Windows\System32\ExpMXiF.exe
  2⤵
  PID:5404
- C:\Windows\System32\gfxWDwv.exe
  C:\Windows\System32\gfxWDwv.exe
  2⤵
  PID:5472
- C:\Windows\System32\ptgFWCq.exe
  C:\Windows\System32\ptgFWCq.exe
  2⤵
  PID:5528
- C:\Windows\System32\zhBiHdh.exe
  C:\Windows\System32\zhBiHdh.exe
  2⤵
  PID:5616
- C:\Windows\System32\iZVtNfw.exe
  C:\Windows\System32\iZVtNfw.exe
  2⤵
  PID:5636
- C:\Windows\System32\cqgEWxa.exe
  C:\Windows\System32\cqgEWxa.exe
  2⤵
  PID:5820
- C:\Windows\System32\mqeAXFK.exe
  C:\Windows\System32\mqeAXFK.exe
  2⤵
  PID:5900
- C:\Windows\System32\kjokUCQ.exe
  C:\Windows\System32\kjokUCQ.exe
  2⤵
  PID:5800
- C:\Windows\System32\EOVwsTP.exe
  C:\Windows\System32\EOVwsTP.exe
  2⤵
  PID:5940
- C:\Windows\System32\YoLAete.exe
  C:\Windows\System32\YoLAete.exe
  2⤵
  PID:5992
- C:\Windows\System32\FVwTSZM.exe
  C:\Windows\System32\FVwTSZM.exe
  2⤵
  PID:5160
- C:\Windows\System32\HzabYff.exe
  C:\Windows\System32\HzabYff.exe
  2⤵
  PID:4880
- C:\Windows\System32\koKyIuL.exe
  C:\Windows\System32\koKyIuL.exe
  2⤵
  PID:6032
- C:\Windows\System32\cyePmiY.exe
  C:\Windows\System32\cyePmiY.exe
  2⤵
  PID:5156
- C:\Windows\System32\QnVPKfL.exe
  C:\Windows\System32\QnVPKfL.exe
  2⤵
  PID:5204
- C:\Windows\System32\zYFNoEU.exe
  C:\Windows\System32\zYFNoEU.exe
  2⤵
  PID:5448
- C:\Windows\System32\aVBGrcO.exe
  C:\Windows\System32\aVBGrcO.exe
  2⤵
  PID:5332
- C:\Windows\System32\fLYEKVr.exe
  C:\Windows\System32\fLYEKVr.exe
  2⤵
  PID:5724
- C:\Windows\System32\pBzBuzr.exe
  C:\Windows\System32\pBzBuzr.exe
  2⤵
  PID:5936
- C:\Windows\System32\urupstS.exe
  C:\Windows\System32\urupstS.exe
  2⤵
  PID:5968
- C:\Windows\System32\mMWuwDR.exe
  C:\Windows\System32\mMWuwDR.exe
  2⤵
  PID:6100
- C:\Windows\System32\qWqycPH.exe
  C:\Windows\System32\qWqycPH.exe
  2⤵
  PID:5796
- C:\Windows\System32\cyyTQIO.exe
  C:\Windows\System32\cyyTQIO.exe
  2⤵
  PID:5572
- C:\Windows\System32\uhMDduD.exe
  C:\Windows\System32\uhMDduD.exe
  2⤵
  PID:5748
- C:\Windows\System32\hqBjGsK.exe
  C:\Windows\System32\hqBjGsK.exe
  2⤵
  PID:5336
- C:\Windows\System32\gwuhjFE.exe
  C:\Windows\System32\gwuhjFE.exe
  2⤵
  PID:5164
- C:\Windows\System32\ctwWOoe.exe
  C:\Windows\System32\ctwWOoe.exe
  2⤵
  PID:5592
- C:\Windows\System32\nFlDrcC.exe
  C:\Windows\System32\nFlDrcC.exe
  2⤵
  PID:6140
- C:\Windows\System32\eQRKvCO.exe
  C:\Windows\System32\eQRKvCO.exe
  2⤵
  PID:6164
- C:\Windows\System32\qqiqzlw.exe
  C:\Windows\System32\qqiqzlw.exe
  2⤵
  PID:6180
- C:\Windows\System32\frwrjaf.exe
  C:\Windows\System32\frwrjaf.exe
  2⤵
  PID:6232
- C:\Windows\System32\PXsELDl.exe
  C:\Windows\System32\PXsELDl.exe
  2⤵
  PID:6292
- C:\Windows\System32\mvYUyAj.exe
  C:\Windows\System32\mvYUyAj.exe
  2⤵
  PID:6312
- C:\Windows\System32\dEtsvzS.exe
  C:\Windows\System32\dEtsvzS.exe
  2⤵
  PID:6332
- C:\Windows\System32\iCJifrG.exe
  C:\Windows\System32\iCJifrG.exe
  2⤵
  PID:6352
- C:\Windows\System32\heNnHDy.exe
  C:\Windows\System32\heNnHDy.exe
  2⤵
  PID:6376
- C:\Windows\System32\CxwfEUE.exe
  C:\Windows\System32\CxwfEUE.exe
  2⤵
  PID:6424
- C:\Windows\System32\IrPDctV.exe
  C:\Windows\System32\IrPDctV.exe
  2⤵
  PID:6444
- C:\Windows\System32\rZzzWET.exe
  C:\Windows\System32\rZzzWET.exe
  2⤵
  PID:6468
- C:\Windows\System32\NMsiFNJ.exe
  C:\Windows\System32\NMsiFNJ.exe
  2⤵
  PID:6504
- C:\Windows\System32\KAqCshu.exe
  C:\Windows\System32\KAqCshu.exe
  2⤵
  PID:6548
- C:\Windows\System32\fYYtYeU.exe
  C:\Windows\System32\fYYtYeU.exe
  2⤵
  PID:6568
- C:\Windows\System32\VhVeyeN.exe
  C:\Windows\System32\VhVeyeN.exe
  2⤵
  PID:6588
- C:\Windows\System32\yvQWkbp.exe
  C:\Windows\System32\yvQWkbp.exe
  2⤵
  PID:6608
- C:\Windows\System32\KauiOuV.exe
  C:\Windows\System32\KauiOuV.exe
  2⤵
  PID:6628
- C:\Windows\System32\rSgqSru.exe
  C:\Windows\System32\rSgqSru.exe
  2⤵
  PID:6644
- C:\Windows\System32\yiKSINO.exe
  C:\Windows\System32\yiKSINO.exe
  2⤵
  PID:6672
- C:\Windows\System32\ljVLVbv.exe
  C:\Windows\System32\ljVLVbv.exe
  2⤵
  PID:6712
- C:\Windows\System32\aKZtpLb.exe
  C:\Windows\System32\aKZtpLb.exe
  2⤵
  PID:6728
- C:\Windows\System32\npGVzfV.exe
  C:\Windows\System32\npGVzfV.exe
  2⤵
  PID:6772
- C:\Windows\System32\gQqzHGi.exe
  C:\Windows\System32\gQqzHGi.exe
  2⤵
  PID:6788
- C:\Windows\System32\wJknzff.exe
  C:\Windows\System32\wJknzff.exe
  2⤵
  PID:6812
- C:\Windows\System32\NYOYRGK.exe
  C:\Windows\System32\NYOYRGK.exe
  2⤵
  PID:6828
- C:\Windows\System32\AOkxLsb.exe
  C:\Windows\System32\AOkxLsb.exe
  2⤵
  PID:6852
- C:\Windows\System32\PJtxtqN.exe
  C:\Windows\System32\PJtxtqN.exe
  2⤵
  PID:6868
- C:\Windows\System32\JnTILBR.exe
  C:\Windows\System32\JnTILBR.exe
  2⤵
  PID:6888
- C:\Windows\System32\KeFxVuh.exe
  C:\Windows\System32\KeFxVuh.exe
  2⤵
  PID:6928
- C:\Windows\System32\tSATDCt.exe
  C:\Windows\System32\tSATDCt.exe
  2⤵
  PID:6948
- C:\Windows\System32\xLzLyVO.exe
  C:\Windows\System32\xLzLyVO.exe
  2⤵
  PID:7012
- C:\Windows\System32\JfELIFG.exe
  C:\Windows\System32\JfELIFG.exe
  2⤵
  PID:7092
- C:\Windows\System32\SrkjaWD.exe
  C:\Windows\System32\SrkjaWD.exe
  2⤵
  PID:7120
- C:\Windows\System32\UALpiit.exe
  C:\Windows\System32\UALpiit.exe
  2⤵
  PID:7144
- C:\Windows\System32\VOMJQDf.exe
  C:\Windows\System32\VOMJQDf.exe
  2⤵
  PID:7160
- C:\Windows\System32\jyvveUs.exe
  C:\Windows\System32\jyvveUs.exe
  2⤵
  PID:6156
- C:\Windows\System32\KYHuqmh.exe
  C:\Windows\System32\KYHuqmh.exe
  2⤵
  PID:6212
- C:\Windows\System32\uyPUdbO.exe
  C:\Windows\System32\uyPUdbO.exe
  2⤵
  PID:6264
- C:\Windows\System32\AwREUof.exe
  C:\Windows\System32\AwREUof.exe
  2⤵
  PID:6308
- C:\Windows\System32\jzryuKE.exe
  C:\Windows\System32\jzryuKE.exe
  2⤵
  PID:6432
- C:\Windows\System32\gXAUQTT.exe
  C:\Windows\System32\gXAUQTT.exe
  2⤵
  PID:6476
- C:\Windows\System32\HEKljrU.exe
  C:\Windows\System32\HEKljrU.exe
  2⤵
  PID:6564
- C:\Windows\System32\rcvrzwM.exe
  C:\Windows\System32\rcvrzwM.exe
  2⤵
  PID:6624
- C:\Windows\System32\rdzJSgp.exe
  C:\Windows\System32\rdzJSgp.exe
  2⤵
  PID:6652
- C:\Windows\System32\PnJdDkS.exe
  C:\Windows\System32\PnJdDkS.exe
  2⤵
  PID:6740
- C:\Windows\System32\JjJXVjK.exe
  C:\Windows\System32\JjJXVjK.exe
  2⤵
  PID:6780
- C:\Windows\System32\GcJhtOm.exe
  C:\Windows\System32\GcJhtOm.exe
  2⤵
  PID:6884
- C:\Windows\System32\PJhYvtB.exe
  C:\Windows\System32\PJhYvtB.exe
  2⤵
  PID:6940
- C:\Windows\System32\MDoxmKq.exe
  C:\Windows\System32\MDoxmKq.exe
  2⤵
  PID:7024
- C:\Windows\System32\oGgLWgL.exe
  C:\Windows\System32\oGgLWgL.exe
  2⤵
  PID:7108
- C:\Windows\System32\aYwSwQt.exe
  C:\Windows\System32\aYwSwQt.exe
  2⤵
  PID:6220
- C:\Windows\System32\IgtTcnE.exe
  C:\Windows\System32\IgtTcnE.exe
  2⤵
  PID:6260
- C:\Windows\System32\stZmdxq.exe
  C:\Windows\System32\stZmdxq.exe
  2⤵
  PID:6492
- C:\Windows\System32\UqojlEG.exe
  C:\Windows\System32\UqojlEG.exe
  2⤵
  PID:6556
- C:\Windows\System32\lwnEvdt.exe
  C:\Windows\System32\lwnEvdt.exe
  2⤵
  PID:6796
- C:\Windows\System32\fffoejL.exe
  C:\Windows\System32\fffoejL.exe
  2⤵
  PID:6836
- C:\Windows\System32\DXoUVKX.exe
  C:\Windows\System32\DXoUVKX.exe
  2⤵
  PID:6968
- C:\Windows\System32\iIwQMev.exe
  C:\Windows\System32\iIwQMev.exe
  2⤵
  PID:5212
- C:\Windows\System32\EMkreHH.exe
  C:\Windows\System32\EMkreHH.exe
  2⤵
  PID:6500
- C:\Windows\System32\bYjggyw.exe
  C:\Windows\System32\bYjggyw.exe
  2⤵
  PID:7152
- C:\Windows\System32\MFYXBrj.exe
  C:\Windows\System32\MFYXBrj.exe
  2⤵
  PID:6640
- C:\Windows\System32\qGlwGWv.exe
  C:\Windows\System32\qGlwGWv.exe
  2⤵
  PID:6364
- C:\Windows\System32\MuSmDfo.exe
  C:\Windows\System32\MuSmDfo.exe
  2⤵
  PID:7180
- C:\Windows\System32\dtYkKKi.exe
  C:\Windows\System32\dtYkKKi.exe
  2⤵
  PID:7204
- C:\Windows\System32\XLixQie.exe
  C:\Windows\System32\XLixQie.exe
  2⤵
  PID:7240
- C:\Windows\System32\WAeGmuF.exe
  C:\Windows\System32\WAeGmuF.exe
  2⤵
  PID:7280
- C:\Windows\System32\bbMmheM.exe
  C:\Windows\System32\bbMmheM.exe
  2⤵
  PID:7300
- C:\Windows\System32\zRxSgdl.exe
  C:\Windows\System32\zRxSgdl.exe
  2⤵
  PID:7324
- C:\Windows\System32\BBcBMse.exe
  C:\Windows\System32\BBcBMse.exe
  2⤵
  PID:7360
- C:\Windows\System32\rJQelde.exe
  C:\Windows\System32\rJQelde.exe
  2⤵
  PID:7388
- C:\Windows\System32\IuVXJPH.exe
  C:\Windows\System32\IuVXJPH.exe
  2⤵
  PID:7404
- C:\Windows\System32\BNPjnaT.exe
  C:\Windows\System32\BNPjnaT.exe
  2⤵
  PID:7424
- C:\Windows\System32\MVVLEEU.exe
  C:\Windows\System32\MVVLEEU.exe
  2⤵
  PID:7440
- C:\Windows\System32\ErCUeWJ.exe
  C:\Windows\System32\ErCUeWJ.exe
  2⤵
  PID:7460
- C:\Windows\System32\oFwyXRi.exe
  C:\Windows\System32\oFwyXRi.exe
  2⤵
  PID:7496
- C:\Windows\System32\Tqivfob.exe
  C:\Windows\System32\Tqivfob.exe
  2⤵
  PID:7516
- C:\Windows\System32\ELKLkHG.exe
  C:\Windows\System32\ELKLkHG.exe
  2⤵
  PID:7532
- C:\Windows\System32\CqwGaEv.exe
  C:\Windows\System32\CqwGaEv.exe
  2⤵
  PID:7592
- C:\Windows\System32\yWgcHZh.exe
  C:\Windows\System32\yWgcHZh.exe
  2⤵
  PID:7648
- C:\Windows\System32\IkJNdRC.exe
  C:\Windows\System32\IkJNdRC.exe
  2⤵
  PID:7676
- C:\Windows\System32\uRTUEAj.exe
  C:\Windows\System32\uRTUEAj.exe
  2⤵
  PID:7696
- C:\Windows\System32\FxNhGqK.exe
  C:\Windows\System32\FxNhGqK.exe
  2⤵
  PID:7712
- C:\Windows\System32\ymPrsyE.exe
  C:\Windows\System32\ymPrsyE.exe
  2⤵
  PID:7728
- C:\Windows\System32\KKyqzVd.exe
  C:\Windows\System32\KKyqzVd.exe
  2⤵
  PID:7756
- C:\Windows\System32\uRkzdVr.exe
  C:\Windows\System32\uRkzdVr.exe
  2⤵
  PID:7776
- C:\Windows\System32\QaNZeUN.exe
  C:\Windows\System32\QaNZeUN.exe
  2⤵
  PID:7796
- C:\Windows\System32\eXlpoek.exe
  C:\Windows\System32\eXlpoek.exe
  2⤵
  PID:7848
- C:\Windows\System32\MeVyWnp.exe
  C:\Windows\System32\MeVyWnp.exe
  2⤵
  PID:7888
- C:\Windows\System32\yaEzrty.exe
  C:\Windows\System32\yaEzrty.exe
  2⤵
  PID:7920
- C:\Windows\System32\YmfjwWB.exe
  C:\Windows\System32\YmfjwWB.exe
  2⤵
  PID:7944
- C:\Windows\System32\WNnJbUE.exe
  C:\Windows\System32\WNnJbUE.exe
  2⤵
  PID:7964
- C:\Windows\System32\MWtbrCK.exe
  C:\Windows\System32\MWtbrCK.exe
  2⤵
  PID:7980
- C:\Windows\System32\lWcVoLf.exe
  C:\Windows\System32\lWcVoLf.exe
  2⤵
  PID:8004
- C:\Windows\System32\hwpopnu.exe
  C:\Windows\System32\hwpopnu.exe
  2⤵
  PID:8032
- C:\Windows\System32\CbTghPq.exe
  C:\Windows\System32\CbTghPq.exe
  2⤵
  PID:8052
- C:\Windows\System32\svJZRXS.exe
  C:\Windows\System32\svJZRXS.exe
  2⤵
  PID:8068
- C:\Windows\System32\lSjhmnH.exe
  C:\Windows\System32\lSjhmnH.exe
  2⤵
  PID:8092
- C:\Windows\System32\HbTkdtR.exe
  C:\Windows\System32\HbTkdtR.exe
  2⤵
  PID:8132
- C:\Windows\System32\HVqGdHz.exe
  C:\Windows\System32\HVqGdHz.exe
  2⤵
  PID:8184
- C:\Windows\System32\Yjuelpz.exe
  C:\Windows\System32\Yjuelpz.exe
  2⤵
  PID:6452
- C:\Windows\System32\jamtSnf.exe
  C:\Windows\System32\jamtSnf.exe
  2⤵
  PID:7268
- C:\Windows\System32\UoianPX.exe
  C:\Windows\System32\UoianPX.exe
  2⤵
  PID:7316
- C:\Windows\System32\FMIMiBw.exe
  C:\Windows\System32\FMIMiBw.exe
  2⤵
  PID:7416
- C:\Windows\System32\ioJavTu.exe
  C:\Windows\System32\ioJavTu.exe
  2⤵
  PID:7556
- C:\Windows\System32\KQqEaSV.exe
  C:\Windows\System32\KQqEaSV.exe
  2⤵
  PID:7616
- C:\Windows\System32\zfOCSMm.exe
  C:\Windows\System32\zfOCSMm.exe
  2⤵
  PID:7668
- C:\Windows\System32\kFrDhIR.exe
  C:\Windows\System32\kFrDhIR.exe
  2⤵
  PID:7736
- C:\Windows\System32\XYsRApr.exe
  C:\Windows\System32\XYsRApr.exe
  2⤵
  PID:7836
- C:\Windows\System32\hzFbDYT.exe
  C:\Windows\System32\hzFbDYT.exe
  2⤵
  PID:7860
- C:\Windows\System32\JVsmlVQ.exe
  C:\Windows\System32\JVsmlVQ.exe
  2⤵
  PID:7936
- C:\Windows\System32\roRkrYJ.exe
  C:\Windows\System32\roRkrYJ.exe
  2⤵
  PID:7996
- C:\Windows\System32\qJMIHMB.exe
  C:\Windows\System32\qJMIHMB.exe
  2⤵
  PID:8048
- C:\Windows\System32\yqkCnxw.exe
  C:\Windows\System32\yqkCnxw.exe
  2⤵
  PID:8076
- C:\Windows\System32\puFtWMW.exe
  C:\Windows\System32\puFtWMW.exe
  2⤵
  PID:8152
- C:\Windows\System32\okDZSlK.exe
  C:\Windows\System32\okDZSlK.exe
  2⤵
  PID:7216
- C:\Windows\System32\uFvMXEJ.exe
  C:\Windows\System32\uFvMXEJ.exe
  2⤵
  PID:7340
- C:\Windows\System32\ZvFXHbF.exe
  C:\Windows\System32\ZvFXHbF.exe
  2⤵
  PID:7504
- C:\Windows\System32\lMbSwkH.exe
  C:\Windows\System32\lMbSwkH.exe
  2⤵
  PID:7672
- C:\Windows\System32\OjQtDdP.exe
  C:\Windows\System32\OjQtDdP.exe
  2⤵
  PID:7832
- C:\Windows\System32\TZQPmve.exe
  C:\Windows\System32\TZQPmve.exe
  2⤵
  PID:8060
- C:\Windows\System32\pzjYdne.exe
  C:\Windows\System32\pzjYdne.exe
  2⤵
  PID:7768
- C:\Windows\System32\HrMTjHH.exe
  C:\Windows\System32\HrMTjHH.exe
  2⤵
  PID:7660
- C:\Windows\System32\rAmXxbL.exe
  C:\Windows\System32\rAmXxbL.exe
  2⤵
  PID:7932
- C:\Windows\System32\VThmLhF.exe
  C:\Windows\System32\VThmLhF.exe
  2⤵
  PID:6512
- C:\Windows\System32\fuAfcGp.exe
  C:\Windows\System32\fuAfcGp.exe
  2⤵
  PID:7312
- C:\Windows\System32\sPbPnbz.exe
  C:\Windows\System32\sPbPnbz.exe
  2⤵
  PID:8208
- C:\Windows\System32\VBfRHdf.exe
  C:\Windows\System32\VBfRHdf.exe
  2⤵
  PID:8240
- C:\Windows\System32\qQLkCEB.exe
  C:\Windows\System32\qQLkCEB.exe
  2⤵
  PID:8276
- C:\Windows\System32\JZtKDkN.exe
  C:\Windows\System32\JZtKDkN.exe
  2⤵
  PID:8292
- C:\Windows\System32\zTpxBql.exe
  C:\Windows\System32\zTpxBql.exe
  2⤵
  PID:8332
- C:\Windows\System32\zZfFwyH.exe
  C:\Windows\System32\zZfFwyH.exe
  2⤵
  PID:8364
- C:\Windows\System32\EgpaJdF.exe
  C:\Windows\System32\EgpaJdF.exe
  2⤵
  PID:8388
- C:\Windows\System32\AuJFmZv.exe
  C:\Windows\System32\AuJFmZv.exe
  2⤵
  PID:8424
- C:\Windows\System32\oYnEDHZ.exe
  C:\Windows\System32\oYnEDHZ.exe
  2⤵
  PID:8444
- C:\Windows\System32\zbrDOxk.exe
  C:\Windows\System32\zbrDOxk.exe
  2⤵
  PID:8468
- C:\Windows\System32\YoxrMBl.exe
  C:\Windows\System32\YoxrMBl.exe
  2⤵
  PID:8492
- C:\Windows\System32\jRbUsmx.exe
  C:\Windows\System32\jRbUsmx.exe
  2⤵
  PID:8516
- C:\Windows\System32\YIPPvGJ.exe
  C:\Windows\System32\YIPPvGJ.exe
  2⤵
  PID:8536
- C:\Windows\System32\bjdRWvQ.exe
  C:\Windows\System32\bjdRWvQ.exe
  2⤵
  PID:8580
- C:\Windows\System32\ZByZpqp.exe
  C:\Windows\System32\ZByZpqp.exe
  2⤵
  PID:8612
- C:\Windows\System32\uEespjM.exe
  C:\Windows\System32\uEespjM.exe
  2⤵
  PID:8636
- C:\Windows\System32\EIdDRyx.exe
  C:\Windows\System32\EIdDRyx.exe
  2⤵
  PID:8664
- C:\Windows\System32\lJkgKrC.exe
  C:\Windows\System32\lJkgKrC.exe
  2⤵
  PID:8716
- C:\Windows\System32\dEXrcZt.exe
  C:\Windows\System32\dEXrcZt.exe
  2⤵
  PID:8792
- C:\Windows\System32\qGSAEcW.exe
  C:\Windows\System32\qGSAEcW.exe
  2⤵
  PID:8808
- C:\Windows\System32\JGEyxcl.exe
  C:\Windows\System32\JGEyxcl.exe
  2⤵
  PID:8824
- C:\Windows\System32\FmxIefn.exe
  C:\Windows\System32\FmxIefn.exe
  2⤵
  PID:8844
- C:\Windows\System32\sptYPaz.exe
  C:\Windows\System32\sptYPaz.exe
  2⤵
  PID:8864
- C:\Windows\System32\MXilajk.exe
  C:\Windows\System32\MXilajk.exe
  2⤵
  PID:8880
- C:\Windows\System32\fMxHCfX.exe
  C:\Windows\System32\fMxHCfX.exe
  2⤵
  PID:8896
- C:\Windows\System32\taRZojD.exe
  C:\Windows\System32\taRZojD.exe
  2⤵
  PID:8912
- C:\Windows\System32\YKOsuFF.exe
  C:\Windows\System32\YKOsuFF.exe
  2⤵
  PID:8928
- C:\Windows\System32\EMkIlVz.exe
  C:\Windows\System32\EMkIlVz.exe
  2⤵
  PID:8944
- C:\Windows\System32\uPkvRLn.exe
  C:\Windows\System32\uPkvRLn.exe
  2⤵
  PID:8960
- C:\Windows\System32\trBlDGB.exe
  C:\Windows\System32\trBlDGB.exe
  2⤵
  PID:8976
- C:\Windows\System32\JKOoRGT.exe
  C:\Windows\System32\JKOoRGT.exe
  2⤵
  PID:8992
- C:\Windows\System32\rpzNAwK.exe
  C:\Windows\System32\rpzNAwK.exe
  2⤵
  PID:9024
- C:\Windows\System32\hfBloZu.exe
  C:\Windows\System32\hfBloZu.exe
  2⤵
  PID:9060
- C:\Windows\System32\bvZIGIT.exe
  C:\Windows\System32\bvZIGIT.exe
  2⤵
  PID:9076
- C:\Windows\System32\HBTrUhL.exe
  C:\Windows\System32\HBTrUhL.exe
  2⤵
  PID:9128
- C:\Windows\System32\idddlHS.exe
  C:\Windows\System32\idddlHS.exe
  2⤵
  PID:8264
- C:\Windows\System32\aKRpOeZ.exe
  C:\Windows\System32\aKRpOeZ.exe
  2⤵
  PID:8484
- C:\Windows\System32\ATIvfnd.exe
  C:\Windows\System32\ATIvfnd.exe
  2⤵
  PID:8556
- C:\Windows\System32\NoGmoAp.exe
  C:\Windows\System32\NoGmoAp.exe
  2⤵
  PID:8596
- C:\Windows\System32\suwrwgH.exe
  C:\Windows\System32\suwrwgH.exe
  2⤵
  PID:8672
- C:\Windows\System32\wJdkKgm.exe
  C:\Windows\System32\wJdkKgm.exe
  2⤵
  PID:8712
- C:\Windows\System32\KRtDWtd.exe
  C:\Windows\System32\KRtDWtd.exe
  2⤵
  PID:8684
- C:\Windows\System32\pUUiMIV.exe
  C:\Windows\System32\pUUiMIV.exe
  2⤵
  PID:8788
- C:\Windows\System32\uTuezQk.exe
  C:\Windows\System32\uTuezQk.exe
  2⤵
  PID:8724
- C:\Windows\System32\gSlSMDg.exe
  C:\Windows\System32\gSlSMDg.exe
  2⤵
  PID:8736
- C:\Windows\System32\DNcVUwf.exe
  C:\Windows\System32\DNcVUwf.exe
  2⤵
  PID:8740
- C:\Windows\System32\AXzuxlx.exe
  C:\Windows\System32\AXzuxlx.exe
  2⤵
  PID:8956
- C:\Windows\System32\iFpvxKq.exe
  C:\Windows\System32\iFpvxKq.exe
  2⤵
  PID:8772
- C:\Windows\System32\FGDwiEV.exe
  C:\Windows\System32\FGDwiEV.exe
  2⤵
  PID:9136
- C:\Windows\System32\mtOsMWg.exe
  C:\Windows\System32\mtOsMWg.exe
  2⤵
  PID:9012
- C:\Windows\System32\lkcsgHH.exe
  C:\Windows\System32\lkcsgHH.exe
  2⤵
  PID:9172
- C:\Windows\System32\dHuxHGf.exe
  C:\Windows\System32\dHuxHGf.exe
  2⤵
  PID:8200
- C:\Windows\System32\SaDkUXe.exe
  C:\Windows\System32\SaDkUXe.exe
  2⤵
  PID:8328
- C:\Windows\System32\hPHvCCo.exe
  C:\Windows\System32\hPHvCCo.exe
  2⤵
  PID:8564
- C:\Windows\System32\JOjuBNx.exe
  C:\Windows\System32\JOjuBNx.exe
  2⤵
  PID:8704
- C:\Windows\System32\JMifHlB.exe
  C:\Windows\System32\JMifHlB.exe
  2⤵
  PID:8648
- C:\Windows\System32\UALNNVh.exe
  C:\Windows\System32\UALNNVh.exe
  2⤵
  PID:9108
- C:\Windows\System32\QPsUjcS.exe
  C:\Windows\System32\QPsUjcS.exe
  2⤵
  PID:9120
- C:\Windows\System32\eClGPOn.exe
  C:\Windows\System32\eClGPOn.exe
  2⤵
  PID:9156
- C:\Windows\System32\MUkBozh.exe
  C:\Windows\System32\MUkBozh.exe
  2⤵
  PID:9188
- C:\Windows\System32\BHqYdrA.exe
  C:\Windows\System32\BHqYdrA.exe
  2⤵
  PID:8380
- C:\Windows\System32\JrPzBEO.exe
  C:\Windows\System32\JrPzBEO.exe
  2⤵
  PID:8728
- C:\Windows\System32\hfABFeO.exe
  C:\Windows\System32\hfABFeO.exe
  2⤵
  PID:9208
- C:\Windows\System32\hWvDVZm.exe
  C:\Windows\System32\hWvDVZm.exe
  2⤵
  PID:8432
- C:\Windows\System32\uaqVgRq.exe
  C:\Windows\System32\uaqVgRq.exe
  2⤵
  PID:4576
- C:\Windows\System32\kTPJudq.exe
  C:\Windows\System32\kTPJudq.exe
  2⤵
  PID:2176
- C:\Windows\System32\vifgoSV.exe
  C:\Windows\System32\vifgoSV.exe
  2⤵
  PID:9236
- C:\Windows\System32\oBhNeKx.exe
  C:\Windows\System32\oBhNeKx.exe
  2⤵
  PID:9260
- C:\Windows\System32\tDWESlW.exe
  C:\Windows\System32\tDWESlW.exe
  2⤵
  PID:9300
- C:\Windows\System32\KGfXArk.exe
  C:\Windows\System32\KGfXArk.exe
  2⤵
  PID:9332
- C:\Windows\System32\LozPxHm.exe
  C:\Windows\System32\LozPxHm.exe
  2⤵
  PID:9352
- C:\Windows\System32\iGdFeHG.exe
  C:\Windows\System32\iGdFeHG.exe
  2⤵
  PID:9376
- C:\Windows\System32\gmiqjSJ.exe
  C:\Windows\System32\gmiqjSJ.exe
  2⤵
  PID:9396
- C:\Windows\System32\vwfwSVZ.exe
  C:\Windows\System32\vwfwSVZ.exe
  2⤵
  PID:9424
- C:\Windows\System32\Occjbly.exe
  C:\Windows\System32\Occjbly.exe
  2⤵
  PID:9484
- C:\Windows\System32\XqkPTLe.exe
  C:\Windows\System32\XqkPTLe.exe
  2⤵
  PID:9508
- C:\Windows\System32\qqnDPxe.exe
  C:\Windows\System32\qqnDPxe.exe
  2⤵
  PID:9528
- C:\Windows\System32\igaAZyr.exe
  C:\Windows\System32\igaAZyr.exe
  2⤵
  PID:9548
- C:\Windows\System32\dVMRpbv.exe
  C:\Windows\System32\dVMRpbv.exe
  2⤵
  PID:9608
- C:\Windows\System32\KkuxTmM.exe
  C:\Windows\System32\KkuxTmM.exe
  2⤵
  PID:9624
- C:\Windows\System32\ZIlLRVs.exe
  C:\Windows\System32\ZIlLRVs.exe
  2⤵
  PID:9652
- C:\Windows\System32\IQvBZcj.exe
  C:\Windows\System32\IQvBZcj.exe
  2⤵
  PID:9676
- C:\Windows\System32\ZmscHMe.exe
  C:\Windows\System32\ZmscHMe.exe
  2⤵
  PID:9696
- C:\Windows\System32\EqsRXTx.exe
  C:\Windows\System32\EqsRXTx.exe
  2⤵
  PID:9744
- C:\Windows\System32\hbOkPYh.exe
  C:\Windows\System32\hbOkPYh.exe
  2⤵
  PID:9760
- C:\Windows\System32\EwbUUZd.exe
  C:\Windows\System32\EwbUUZd.exe
  2⤵
  PID:9788
- C:\Windows\System32\UVKPTNC.exe
  C:\Windows\System32\UVKPTNC.exe
  2⤵
  PID:9808
- C:\Windows\System32\qvlbANU.exe
  C:\Windows\System32\qvlbANU.exe
  2⤵
  PID:9832
- C:\Windows\System32\vKdmfSO.exe
  C:\Windows\System32\vKdmfSO.exe
  2⤵
  PID:9872
- C:\Windows\System32\xeAuzAt.exe
  C:\Windows\System32\xeAuzAt.exe
  2⤵
  PID:9892
- C:\Windows\System32\TZgbkTr.exe
  C:\Windows\System32\TZgbkTr.exe
  2⤵
  PID:9916
- C:\Windows\System32\cvHOJZM.exe
  C:\Windows\System32\cvHOJZM.exe
  2⤵
  PID:9944
- C:\Windows\System32\hhaZQjF.exe
  C:\Windows\System32\hhaZQjF.exe
  2⤵
  PID:9996
- C:\Windows\System32\ubLpEpE.exe
  C:\Windows\System32\ubLpEpE.exe
  2⤵
  PID:10020
- C:\Windows\System32\DnZySZg.exe
  C:\Windows\System32\DnZySZg.exe
  2⤵
  PID:10056
- C:\Windows\System32\cKaFFCg.exe
  C:\Windows\System32\cKaFFCg.exe
  2⤵
  PID:10084
- C:\Windows\System32\fKWxgPo.exe
  C:\Windows\System32\fKWxgPo.exe
  2⤵
  PID:10100
- C:\Windows\System32\mxJtfjk.exe
  C:\Windows\System32\mxJtfjk.exe
  2⤵
  PID:10128
- C:\Windows\System32\tCgpoEb.exe
  C:\Windows\System32\tCgpoEb.exe
  2⤵
  PID:10144
- C:\Windows\System32\cNdTfli.exe
  C:\Windows\System32\cNdTfli.exe
  2⤵
  PID:10180
- C:\Windows\System32\njxLrWO.exe
  C:\Windows\System32\njxLrWO.exe
  2⤵
  PID:10212
- C:\Windows\System32\oARvFQJ.exe
  C:\Windows\System32\oARvFQJ.exe
  2⤵
  PID:10236
- C:\Windows\System32\wOtVVWH.exe
  C:\Windows\System32\wOtVVWH.exe
  2⤵
  PID:1796
- C:\Windows\System32\zprAamJ.exe
  C:\Windows\System32\zprAamJ.exe
  2⤵
  PID:9348
- C:\Windows\System32\soMVLJY.exe
  C:\Windows\System32\soMVLJY.exe
  2⤵
  PID:9416
- C:\Windows\System32\VbgPOvb.exe
  C:\Windows\System32\VbgPOvb.exe
  2⤵
  PID:9480
- C:\Windows\System32\OSKhrrj.exe
  C:\Windows\System32\OSKhrrj.exe
  2⤵
  PID:9556
- C:\Windows\System32\iSoWoYX.exe
  C:\Windows\System32\iSoWoYX.exe
  2⤵
  PID:9616
- C:\Windows\System32\uiZPqNO.exe
  C:\Windows\System32\uiZPqNO.exe
  2⤵
  PID:9668
- C:\Windows\System32\FfVwFNQ.exe
  C:\Windows\System32\FfVwFNQ.exe
  2⤵
  PID:9728
- C:\Windows\System32\fHsZtfk.exe
  C:\Windows\System32\fHsZtfk.exe
  2⤵
  PID:9888
- C:\Windows\System32\qqGMDMj.exe
  C:\Windows\System32\qqGMDMj.exe
  2⤵
  PID:9868
- C:\Windows\System32\HltKcXP.exe
  C:\Windows\System32\HltKcXP.exe
  2⤵
  PID:9932
- C:\Windows\System32\uaaXtqP.exe
  C:\Windows\System32\uaaXtqP.exe
  2⤵
  PID:10028
- C:\Windows\System32\qGIHasr.exe
  C:\Windows\System32\qGIHasr.exe
  2⤵
  PID:10076
- C:\Windows\System32\GMfpGPe.exe
  C:\Windows\System32\GMfpGPe.exe
  2⤵
  PID:10116
- C:\Windows\System32\ygEdmdq.exe
  C:\Windows\System32\ygEdmdq.exe
  2⤵
  PID:10164
- C:\Windows\System32\BsDmjVZ.exe
  C:\Windows\System32\BsDmjVZ.exe
  2⤵
  PID:9228
- C:\Windows\System32\NgSmOPl.exe
  C:\Windows\System32\NgSmOPl.exe
  2⤵
  PID:9276
- C:\Windows\System32\AQfmAgY.exe
  C:\Windows\System32\AQfmAgY.exe
  2⤵
  PID:9408
- C:\Windows\System32\LLzrCWO.exe
  C:\Windows\System32\LLzrCWO.exe
  2⤵
  PID:9456
- C:\Windows\System32\fsJEhWU.exe
  C:\Windows\System32\fsJEhWU.exe
  2⤵
  PID:9724
- C:\Windows\System32\pyfoJXW.exe
  C:\Windows\System32\pyfoJXW.exe
  2⤵
  PID:10080
- C:\Windows\System32\EBIgOSA.exe
  C:\Windows\System32\EBIgOSA.exe
  2⤵
  PID:10188
- C:\Windows\System32\pPaqKio.exe
  C:\Windows\System32\pPaqKio.exe
  2⤵
  PID:10224
- C:\Windows\System32\idWGHdK.exe
  C:\Windows\System32\idWGHdK.exe
  2⤵
  PID:9900
- C:\Windows\System32\JgWSFer.exe
  C:\Windows\System32\JgWSFer.exe
  2⤵
  PID:3740
- C:\Windows\System32\CtuOeaA.exe
  C:\Windows\System32\CtuOeaA.exe
  2⤵
  PID:10200
- C:\Windows\System32\iEpbPwv.exe
  C:\Windows\System32\iEpbPwv.exe
  2⤵
  PID:9384
- C:\Windows\System32\fnAvoMJ.exe
  C:\Windows\System32\fnAvoMJ.exe
  2⤵
  PID:3252
- C:\Windows\System32\iOPbeCo.exe
  C:\Windows\System32\iOPbeCo.exe
  2⤵
  PID:10256
- C:\Windows\System32\ZpYSQmB.exe
  C:\Windows\System32\ZpYSQmB.exe
  2⤵
  PID:10284
- C:\Windows\System32\soFmiKO.exe
  C:\Windows\System32\soFmiKO.exe
  2⤵
  PID:10308
- C:\Windows\System32\XeLBaww.exe
  C:\Windows\System32\XeLBaww.exe
  2⤵
  PID:10328
- C:\Windows\System32\moSOoBy.exe
  C:\Windows\System32\moSOoBy.exe
  2⤵
  PID:10344
- C:\Windows\System32\nkSBAhL.exe
  C:\Windows\System32\nkSBAhL.exe
  2⤵
  PID:10388
- C:\Windows\System32\wKtjkNT.exe
  C:\Windows\System32\wKtjkNT.exe
  2⤵
  PID:10424
- C:\Windows\System32\QKRPaJe.exe
  C:\Windows\System32\QKRPaJe.exe
  2⤵
  PID:10444
- C:\Windows\System32\vcmmSyx.exe
  C:\Windows\System32\vcmmSyx.exe
  2⤵
  PID:10464
- C:\Windows\System32\AgfrJav.exe
  C:\Windows\System32\AgfrJav.exe
  2⤵
  PID:10504
- C:\Windows\System32\FokFmvi.exe
  C:\Windows\System32\FokFmvi.exe
  2⤵
  PID:10536
- C:\Windows\System32\cTfCSxt.exe
  C:\Windows\System32\cTfCSxt.exe
  2⤵
  PID:10564
- C:\Windows\System32\yJoKVjC.exe
  C:\Windows\System32\yJoKVjC.exe
  2⤵
  PID:10592
- C:\Windows\System32\emvxWfO.exe
  C:\Windows\System32\emvxWfO.exe
  2⤵
  PID:10620
- C:\Windows\System32\hGaHtpp.exe
  C:\Windows\System32\hGaHtpp.exe
  2⤵
  PID:10660
- C:\Windows\System32\dDwgDwg.exe
  C:\Windows\System32\dDwgDwg.exe
  2⤵
  PID:10676
- C:\Windows\System32\obOOghq.exe
  C:\Windows\System32\obOOghq.exe
  2⤵
  PID:10704
- C:\Windows\System32\fIXQeBP.exe
  C:\Windows\System32\fIXQeBP.exe
  2⤵
  PID:10728
- C:\Windows\System32\jJlzsDc.exe
  C:\Windows\System32\jJlzsDc.exe
  2⤵
  PID:10760
- C:\Windows\System32\iggAYMR.exe
  C:\Windows\System32\iggAYMR.exe
  2⤵
  PID:10780
- C:\Windows\System32\NJSfabA.exe
  C:\Windows\System32\NJSfabA.exe
  2⤵
  PID:10820
- C:\Windows\System32\jWzcHdh.exe
  C:\Windows\System32\jWzcHdh.exe
  2⤵
  PID:10848
- C:\Windows\System32\lWWMOxE.exe
  C:\Windows\System32\lWWMOxE.exe
  2⤵
  PID:10872
- C:\Windows\System32\LTNhdjf.exe
  C:\Windows\System32\LTNhdjf.exe
  2⤵
  PID:10904
- C:\Windows\System32\wShlGao.exe
  C:\Windows\System32\wShlGao.exe
  2⤵
  PID:10932
- C:\Windows\System32\gvbORLR.exe
  C:\Windows\System32\gvbORLR.exe
  2⤵
  PID:10960
- C:\Windows\System32\pIokbBQ.exe
  C:\Windows\System32\pIokbBQ.exe
  2⤵
  PID:10988
- C:\Windows\System32\repAeYu.exe
  C:\Windows\System32\repAeYu.exe
  2⤵
  PID:11016
- C:\Windows\System32\aQFGjWG.exe
  C:\Windows\System32\aQFGjWG.exe
  2⤵
  PID:11040
- C:\Windows\System32\hWekUgg.exe
  C:\Windows\System32\hWekUgg.exe
  2⤵
  PID:11068
- C:\Windows\System32\JLDhpCk.exe
  C:\Windows\System32\JLDhpCk.exe
  2⤵
  PID:11096
- C:\Windows\System32\eijfrGV.exe
  C:\Windows\System32\eijfrGV.exe
  2⤵
  PID:11116
- C:\Windows\System32\OyKyZzp.exe
  C:\Windows\System32\OyKyZzp.exe
  2⤵
  PID:11136
- C:\Windows\System32\XSLWZrm.exe
  C:\Windows\System32\XSLWZrm.exe
  2⤵
  PID:11164
- C:\Windows\System32\Rrfgvhn.exe
  C:\Windows\System32\Rrfgvhn.exe
  2⤵
  PID:11180
- C:\Windows\System32\DXDDZqn.exe
  C:\Windows\System32\DXDDZqn.exe
  2⤵
  PID:11204
- C:\Windows\System32\MtKJyHW.exe
  C:\Windows\System32\MtKJyHW.exe
  2⤵
  PID:11220
- C:\Windows\System32\KXmiukh.exe
  C:\Windows\System32\KXmiukh.exe
  2⤵
  PID:11236
- C:\Windows\System32\vtHewur.exe
  C:\Windows\System32\vtHewur.exe
  2⤵
  PID:3644
- C:\Windows\System32\tpBsxAM.exe
  C:\Windows\System32\tpBsxAM.exe
  2⤵
  PID:10404
- C:\Windows\System32\TqYoPCD.exe
  C:\Windows\System32\TqYoPCD.exe
  2⤵
  PID:10436
- C:\Windows\System32\QmQnfXb.exe
  C:\Windows\System32\QmQnfXb.exe
  2⤵
  PID:10452
- C:\Windows\System32\FDEpuWV.exe
  C:\Windows\System32\FDEpuWV.exe
  2⤵
  PID:10560
- C:\Windows\System32\PUmGWvP.exe
  C:\Windows\System32\PUmGWvP.exe
  2⤵
  PID:10040
- C:\Windows\System32\SbYRxbW.exe
  C:\Windows\System32\SbYRxbW.exe
  2⤵
  PID:10720
- C:\Windows\System32\dGeAfvi.exe
  C:\Windows\System32\dGeAfvi.exe
  2⤵
  PID:10816
- C:\Windows\System32\dDoIYDD.exe
  C:\Windows\System32\dDoIYDD.exe
  2⤵
  PID:10868
- C:\Windows\System32\EwYDUVW.exe
  C:\Windows\System32\EwYDUVW.exe
  2⤵
  PID:10900
- C:\Windows\System32\XCfDxAS.exe
  C:\Windows\System32\XCfDxAS.exe
  2⤵
  PID:11008
- C:\Windows\System32\vdRzUGp.exe
  C:\Windows\System32\vdRzUGp.exe
  2⤵
  PID:11048
- C:\Windows\System32\eyyvntB.exe
  C:\Windows\System32\eyyvntB.exe
  2⤵
  PID:11104
- C:\Windows\System32\RkzDSDY.exe
  C:\Windows\System32\RkzDSDY.exe
  2⤵
  PID:11144
- C:\Windows\System32\HHCzWBK.exe
  C:\Windows\System32\HHCzWBK.exe
  2⤵
  PID:11172
- C:\Windows\System32\jqPpSjo.exe
  C:\Windows\System32\jqPpSjo.exe
  2⤵
  PID:11232
- C:\Windows\System32\owwpRoV.exe
  C:\Windows\System32\owwpRoV.exe
  2⤵
  PID:10400
- C:\Windows\System32\HVBWzSa.exe
  C:\Windows\System32\HVBWzSa.exe
  2⤵
  PID:10696
- C:\Windows\System32\KUYiMoo.exe
  C:\Windows\System32\KUYiMoo.exe
  2⤵
  PID:10768
- C:\Windows\System32\FzhtLwL.exe
  C:\Windows\System32\FzhtLwL.exe
  2⤵
  PID:10888
- C:\Windows\System32\hkQGvXV.exe
  C:\Windows\System32\hkQGvXV.exe
  2⤵
  PID:11188
- C:\Windows\System32\SiIFdKg.exe
  C:\Windows\System32\SiIFdKg.exe
  2⤵
  PID:3756
- C:\Windows\System32\jyyVewI.exe
  C:\Windows\System32\jyyVewI.exe
  2⤵
  PID:10296
- C:\Windows\System32\CyKttOF.exe
  C:\Windows\System32\CyKttOF.exe
  2⤵
  PID:10772
- C:\Windows\System32\FwcRfva.exe
  C:\Windows\System32\FwcRfva.exe
  2⤵
  PID:11128
- C:\Windows\System32\DnDWaFI.exe
  C:\Windows\System32\DnDWaFI.exe
  2⤵
  PID:10608
- C:\Windows\System32\RBDWVtN.exe
  C:\Windows\System32\RBDWVtN.exe
  2⤵
  PID:10928
- C:\Windows\System32\KiyQVIJ.exe
  C:\Windows\System32\KiyQVIJ.exe
  2⤵
  PID:11280
- C:\Windows\System32\xRexeaj.exe
  C:\Windows\System32\xRexeaj.exe
  2⤵
  PID:11308
- C:\Windows\System32\ktjfsCR.exe
  C:\Windows\System32\ktjfsCR.exe
  2⤵
  PID:11328
- C:\Windows\System32\ytMzeJT.exe
  C:\Windows\System32\ytMzeJT.exe
  2⤵
  PID:11360
- C:\Windows\System32\bNTIqDO.exe
  C:\Windows\System32\bNTIqDO.exe
  2⤵
  PID:11396
- C:\Windows\System32\iJgzChQ.exe
  C:\Windows\System32\iJgzChQ.exe
  2⤵
  PID:11428
- C:\Windows\System32\qwJTsvE.exe
  C:\Windows\System32\qwJTsvE.exe
  2⤵
  PID:11460
- C:\Windows\System32\jylEanq.exe
  C:\Windows\System32\jylEanq.exe
  2⤵
  PID:11484
- C:\Windows\System32\LKMeuJV.exe
  C:\Windows\System32\LKMeuJV.exe
  2⤵
  PID:11500
- C:\Windows\System32\Bvokwab.exe
  C:\Windows\System32\Bvokwab.exe
  2⤵
  PID:11524
- C:\Windows\System32\VFgQspp.exe
  C:\Windows\System32\VFgQspp.exe
  2⤵
  PID:11548
- C:\Windows\System32\QFvqYJY.exe
  C:\Windows\System32\QFvqYJY.exe
  2⤵
  PID:11584
- C:\Windows\System32\lzncqYH.exe
  C:\Windows\System32\lzncqYH.exe
  2⤵
  PID:11608
- C:\Windows\System32\wPvuzxx.exe
  C:\Windows\System32\wPvuzxx.exe
  2⤵
  PID:11628
- C:\Windows\System32\PTHFMix.exe
  C:\Windows\System32\PTHFMix.exe
  2⤵
  PID:11656
- C:\Windows\System32\Xuoiuub.exe
  C:\Windows\System32\Xuoiuub.exe
  2⤵
  PID:11676
- C:\Windows\System32\ayhpURe.exe
  C:\Windows\System32\ayhpURe.exe
  2⤵
  PID:11712
- C:\Windows\System32\inTxJgs.exe
  C:\Windows\System32\inTxJgs.exe
  2⤵
  PID:11772
- C:\Windows\System32\CniIFvO.exe
  C:\Windows\System32\CniIFvO.exe
  2⤵
  PID:11804
- C:\Windows\System32\HyTJcAn.exe
  C:\Windows\System32\HyTJcAn.exe
  2⤵
  PID:11820
- C:\Windows\System32\jEmhEQp.exe
  C:\Windows\System32\jEmhEQp.exe
  2⤵
  PID:11852
- C:\Windows\System32\CNyqJFM.exe
  C:\Windows\System32\CNyqJFM.exe
  2⤵
  PID:11888
- C:\Windows\System32\yVwiCBO.exe
  C:\Windows\System32\yVwiCBO.exe
  2⤵
  PID:11912
- C:\Windows\System32\hJTOiBe.exe
  C:\Windows\System32\hJTOiBe.exe
  2⤵
  PID:11932
- C:\Windows\System32\uXqQAAD.exe
  C:\Windows\System32\uXqQAAD.exe
  2⤵
  PID:11984
- C:\Windows\System32\aLnNZli.exe
  C:\Windows\System32\aLnNZli.exe
  2⤵
  PID:12000
- C:\Windows\System32\zkHTBsF.exe
  C:\Windows\System32\zkHTBsF.exe
  2⤵
  PID:12044
- C:\Windows\System32\fCMoeFP.exe
  C:\Windows\System32\fCMoeFP.exe
  2⤵
  PID:12060
- C:\Windows\System32\dlCKfch.exe
  C:\Windows\System32\dlCKfch.exe
  2⤵
  PID:12084
- C:\Windows\System32\ePcUcii.exe
  C:\Windows\System32\ePcUcii.exe
  2⤵
  PID:12108
- C:\Windows\System32\vxcTqmH.exe
  C:\Windows\System32\vxcTqmH.exe
  2⤵
  PID:12124
- C:\Windows\System32\mYMDjUZ.exe
  C:\Windows\System32\mYMDjUZ.exe
  2⤵
  PID:12156
- C:\Windows\System32\HXDTFeG.exe
  C:\Windows\System32\HXDTFeG.exe
  2⤵
  PID:12212
- C:\Windows\System32\oJfZuqo.exe
  C:\Windows\System32\oJfZuqo.exe
  2⤵
  PID:12232
- C:\Windows\System32\aBpiGEk.exe
  C:\Windows\System32\aBpiGEk.exe
  2⤵
  PID:12260
- C:\Windows\System32\lYRGiGB.exe
  C:\Windows\System32\lYRGiGB.exe
  2⤵
  PID:12284
- C:\Windows\System32\kzBbrnT.exe
  C:\Windows\System32\kzBbrnT.exe
  2⤵
  PID:10528
- C:\Windows\System32\BqzTHph.exe
  C:\Windows\System32\BqzTHph.exe
  2⤵
  PID:11324
- C:\Windows\System32\aTFPHjd.exe
  C:\Windows\System32\aTFPHjd.exe
  2⤵
  PID:11476
- C:\Windows\System32\XOHucpN.exe
  C:\Windows\System32\XOHucpN.exe
  2⤵
  PID:11580
- C:\Windows\System32\XWyyyAm.exe
  C:\Windows\System32\XWyyyAm.exe
  2⤵
  PID:11596
- C:\Windows\System32\ecEOeZH.exe
  C:\Windows\System32\ecEOeZH.exe
  2⤵
  PID:11576
- C:\Windows\System32\gXggEFY.exe
  C:\Windows\System32\gXggEFY.exe
  2⤵
  PID:11648
- C:\Windows\System32\ukFHTrU.exe
  C:\Windows\System32\ukFHTrU.exe
  2⤵
  PID:11748
- C:\Windows\System32\IMrbryM.exe
  C:\Windows\System32\IMrbryM.exe
  2⤵
  PID:11812
- C:\Windows\System32\BnnxQMa.exe
  C:\Windows\System32\BnnxQMa.exe
  2⤵
  PID:11900
- C:\Windows\System32\ueQEHiy.exe
  C:\Windows\System32\ueQEHiy.exe
  2⤵
  PID:11972
- C:\Windows\System32\HxnpGiG.exe
  C:\Windows\System32\HxnpGiG.exe
  2⤵
  PID:12052
- C:\Windows\System32\hEGqhPw.exe
  C:\Windows\System32\hEGqhPw.exe
  2⤵
  PID:12076
- C:\Windows\System32\zInIWsp.exe
  C:\Windows\System32\zInIWsp.exe
  2⤵
  PID:12116
- C:\Windows\System32\XKbZlvN.exe
  C:\Windows\System32\XKbZlvN.exe
  2⤵
  PID:12140
- C:\Windows\System32\lChyicL.exe
  C:\Windows\System32\lChyicL.exe
  2⤵
  PID:12224
- C:\Windows\System32\svAkxsL.exe
  C:\Windows\System32\svAkxsL.exe
  2⤵
  PID:11376
- C:\Windows\System32\RwwGdiW.exe
  C:\Windows\System32\RwwGdiW.exe
  2⤵
  PID:11492
- C:\Windows\System32\UzLiYBp.exe
  C:\Windows\System32\UzLiYBp.exe
  2⤵
  PID:11760
- C:\Windows\System32\vpyTghz.exe
  C:\Windows\System32\vpyTghz.exe
  2⤵
  PID:10364
- C:\Windows\System32\fShzgQf.exe
  C:\Windows\System32\fShzgQf.exe
  2⤵
  PID:11832
- C:\Windows\System32\jlUYCfx.exe
  C:\Windows\System32\jlUYCfx.exe
  2⤵
  PID:12096
- C:\Windows\System32\atCkRlJ.exe
  C:\Windows\System32\atCkRlJ.exe
  2⤵
  PID:12176
- C:\Windows\System32\iswKRBS.exe
  C:\Windows\System32\iswKRBS.exe
  2⤵
  PID:11880
- C:\Windows\System32\FeVIBcQ.exe
  C:\Windows\System32\FeVIBcQ.exe
  2⤵
  PID:11992
- C:\Windows\System32\gLLmsLv.exe
  C:\Windows\System32\gLLmsLv.exe
  2⤵
  PID:12228
- C:\Windows\System32\BchzKlM.exe
  C:\Windows\System32\BchzKlM.exe
  2⤵
  PID:1020
- C:\Windows\System32\GDGQiyo.exe
  C:\Windows\System32\GDGQiyo.exe
  2⤵
  PID:12300
- C:\Windows\System32\pHJMppV.exe
  C:\Windows\System32\pHJMppV.exe
  2⤵
  PID:12320
- C:\Windows\System32\qHOBpEg.exe
  C:\Windows\System32\qHOBpEg.exe
  2⤵
  PID:12368
- C:\Windows\System32\EuPsEdo.exe
  C:\Windows\System32\EuPsEdo.exe
  2⤵
  PID:12388
- C:\Windows\System32\sygewLH.exe
  C:\Windows\System32\sygewLH.exe
  2⤵
  PID:12412
- C:\Windows\System32\bQIStHM.exe
  C:\Windows\System32\bQIStHM.exe
  2⤵
  PID:12432
- C:\Windows\System32\IvLEKOO.exe
  C:\Windows\System32\IvLEKOO.exe
  2⤵
  PID:12448
- C:\Windows\System32\qPQdaUJ.exe
  C:\Windows\System32\qPQdaUJ.exe
  2⤵
  PID:12484
- C:\Windows\System32\eSkToNN.exe
  C:\Windows\System32\eSkToNN.exe
  2⤵
  PID:12516
- C:\Windows\System32\yIENqBe.exe
  C:\Windows\System32\yIENqBe.exe
  2⤵
  PID:12552
- C:\Windows\System32\JvuhRRT.exe
  C:\Windows\System32\JvuhRRT.exe
  2⤵
  PID:12584
- C:\Windows\System32\CmFRbuv.exe
  C:\Windows\System32\CmFRbuv.exe
  2⤵
  PID:12612
- C:\Windows\System32\rvXbetT.exe
  C:\Windows\System32\rvXbetT.exe
  2⤵
  PID:12628
- C:\Windows\System32\DjkgPGV.exe
  C:\Windows\System32\DjkgPGV.exe
  2⤵
  PID:12660
- C:\Windows\System32\ajgBHqS.exe
  C:\Windows\System32\ajgBHqS.exe
  2⤵
  PID:12704
- C:\Windows\System32\OkYoxjX.exe
  C:\Windows\System32\OkYoxjX.exe
  2⤵
  PID:12732
- C:\Windows\System32\shuzJfT.exe
  C:\Windows\System32\shuzJfT.exe
  2⤵
  PID:12756
- C:\Windows\System32\vwhDlca.exe
  C:\Windows\System32\vwhDlca.exe
  2⤵
  PID:12776
- C:\Windows\System32\aiXEcQg.exe
  C:\Windows\System32\aiXEcQg.exe
  2⤵
  PID:12800
- C:\Windows\System32\KlonXvq.exe
  C:\Windows\System32\KlonXvq.exe
  2⤵
  PID:12820
- C:\Windows\System32\CcvVhHx.exe
  C:\Windows\System32\CcvVhHx.exe
  2⤵
  PID:12868
- C:\Windows\System32\qkdyiFD.exe
  C:\Windows\System32\qkdyiFD.exe
  2⤵
  PID:12888
- C:\Windows\System32\SGGHiOa.exe
  C:\Windows\System32\SGGHiOa.exe
  2⤵
  PID:12912
- C:\Windows\System32\xXdJfNk.exe
  C:\Windows\System32\xXdJfNk.exe
  2⤵
  PID:12944
- C:\Windows\System32\ajdYzhv.exe
  C:\Windows\System32\ajdYzhv.exe
  2⤵
  PID:12984
- C:\Windows\System32\VIvzmjo.exe
  C:\Windows\System32\VIvzmjo.exe
  2⤵
  PID:13012
- C:\Windows\System32\QnEHOdZ.exe
  C:\Windows\System32\QnEHOdZ.exe
  2⤵
  PID:13028
- C:\Windows\System32\CcdxVRT.exe
  C:\Windows\System32\CcdxVRT.exe
  2⤵
  PID:13064
- C:\Windows\System32\YwBbtoB.exe
  C:\Windows\System32\YwBbtoB.exe
  2⤵
  PID:13088
- C:\Windows\System32\rKNxsUl.exe
  C:\Windows\System32\rKNxsUl.exe
  2⤵
  PID:13120
- C:\Windows\System32\SiBLLae.exe
  C:\Windows\System32\SiBLLae.exe
  2⤵
  PID:13136
- C:\Windows\System32\pgipIes.exe
  C:\Windows\System32\pgipIes.exe
  2⤵
  PID:13168
- C:\Windows\System32\ZtSfKUz.exe
  C:\Windows\System32\ZtSfKUz.exe
  2⤵
  PID:13208
- C:\Windows\System32\AQmWZdO.exe
  C:\Windows\System32\AQmWZdO.exe
  2⤵
  PID:13236
- C:\Windows\System32\QXOhxmR.exe
  C:\Windows\System32\QXOhxmR.exe
  2⤵
  PID:13256
- C:\Windows\System32\MpDFpve.exe
  C:\Windows\System32\MpDFpve.exe
  2⤵
  PID:13296
- C:\Windows\System32\PkKRgwH.exe
  C:\Windows\System32\PkKRgwH.exe
  2⤵
  PID:11884
- C:\Windows\System32\JaErdLw.exe
  C:\Windows\System32\JaErdLw.exe
  2⤵
  PID:12316
- C:\Windows\System32\CVODDIA.exe
  C:\Windows\System32\CVODDIA.exe
  2⤵
  PID:12400
- C:\Windows\System32\IDzgAVj.exe
  C:\Windows\System32\IDzgAVj.exe
  2⤵
  PID:12504

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:4220

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\AxwcFJX.exe

Filesize
1.3MB

MD5
cafbe6fc1876604390f46ff6b1c55526

SHA1
499e5598417abe2aeeabfa54cbdcafea3d142bb1

SHA256
3a379cf30d1752cb0b174fb1ccedf189660cb27a78f68d0ca7447ba1fd7971df

SHA512
395b2526975b1cc06ad3f1cd754838586bd23c2bdada1996d4b909a0a4202cab9d5349dfb4d5ff5875cec55e42ea1583877e5b107c3b5552810ade3d7213ec7f

Download Submit
C:\Windows\System32\DtQCbzG.exe

Filesize
1.3MB

MD5
5aac7dcbf9e426c8621e28af4a7bd348

SHA1
e62f71c4c93326f060235c66675494cabd71bc96

SHA256
ade28921d6f794c46aa9abbd4b525810b8e99b57f73765f3f05f521a76617ac6

SHA512
80e434e369909507329000f18b64f8c5432d02861d289c93619db2eed542fc5b4761bd6f8e2d0b459a7bbe58c64b776ebbd365c40b7264833700bb0ed0f9ed96

Download Submit
C:\Windows\System32\EAYkpcQ.exe

Filesize
1.3MB

MD5
03ccba2c5e68a410898f979fd516cf2f

SHA1
bb685a4a59bbeaa6be7c659d49347cd9073c9a87

SHA256
94418009785d2f2cafd48f608c5a4b4482e6ff30c7d99cc0c2de49fba6ca5e8c

SHA512
ed53790cdcdf39fcbc2df2ca2674429a500f03ffb7b8030e9b1dc31b4178ecee5b8579cd53fbed47f67099fb4876a50968c3f973acf4be84a1692fea04eba8d5

Download Submit
C:\Windows\System32\GNdcVIx.exe

Filesize
1.3MB

MD5
10564016f6f5b3a46bd371d9625b4224

SHA1
c1bd5f54b5e0fc2dd1f8d82d143e03e56732d133

SHA256
8548d760a68e59095271de1e6aa9cd8dd951221b4d377028abc72b64ecbaa0ee

SHA512
e630e53a9944e544493a302e112b4ddbbef5af896f22b359befbedc5793aee0a6540e5ff44c34d49a1ed5d53329066f66e7bfc1bbcae3fd7c7d22559de70d2a1

Download Submit
C:\Windows\System32\MkxkVFo.exe

Filesize
1.3MB

MD5
f9b4f5510b3c83a7164de8cdbbf1f866

SHA1
932bf8fb8aae3da857738fa51275bce7cc769dbd

SHA256
455eb833476d889eff78f931533fa97b0aa51841028e0f11b35f0179b0619039

SHA512
64e80ab452c1b2c5c94ebfa181a6683b0f27d823afb65d262c81560c0b6f89d504b4318ae423ed1987463d46af132685d2bb858619c40c5e488cff6a09e907ce

Download Submit
C:\Windows\System32\PhwbsjU.exe

Filesize
1.3MB

MD5
fb2214f7b854672db719fc9406702dec

SHA1
a39cabcee607c0dd32a9aca261476334ea2dedd7

SHA256
6b49e098f71c5645cf9ad307a74c182906e0d66eef8eaec17a54d6fe02af717e

SHA512
7118cba42e4ae03da5dc8e7675d7c448b51b45e16dd8fbfa27a6951e893a87802a7bbc5691beb89b33816d429781206fb28d0b4a977a58e543c7fa0a1ef0c5b7

Download Submit
C:\Windows\System32\RjNVYQI.exe

Filesize
1.3MB

MD5
0387f1f75843542656ac3458f1f1aa4d

SHA1
43649e9f6b14087b93995f29c3b37f62bd5c90c5

SHA256
373a4fa85481a80bd098f465487674e460571edcefa69339e8fe9b00d43e0866

SHA512
6104253d601d502ed16411468c9701bae48fa17806793f90088afac730ccfd7c4cd94ade5c40ddf9f7f8a7bb959e3c21db764199b7eb7bfd25806f9460503454

Download Submit
C:\Windows\System32\SvxdEJt.exe

Filesize
1.3MB

MD5
65fa7d83af62a3574f998d50c5873375

SHA1
f95fe73b03b642e77d3c1ff50173af911ebcf07d

SHA256
1a80e49970e9c4e5c703349d94cec0494f56fa8c23985d5b2d874473d4cb6c17

SHA512
0d2928e0697f68e370be8e8ca0a12e735d2d0413c24ebde8c0870fa18d9935e209c1b1a3af46e79a253da1af82b5681dfdb88b76b66bdc6ddaca4e9fbeafa18c

Download Submit
C:\Windows\System32\UIKXqcc.exe

Filesize
1.3MB

MD5
a8fd76ee04876411db442125728479f1

SHA1
8211719bfd3b18a4a495413a0797774b4d0a1c04

SHA256
cb4482b85310c1cb9df50cbbdf35f9ef1eaf113a252f9a75b0e87b340336fc15

SHA512
0b3a9bbdd127520fb50b97acc5f7951d746316a35495429d31b14608b1c68c1181e93ab65172aadf6be31f2985338eb40da9ea65511697cd3cf7907395f43f2d

Download Submit
C:\Windows\System32\VWVzsQS.exe

Filesize
1.3MB

MD5
81c1118cb75462cb6f8064027d9caa87

SHA1
50b8d80805bd7d4f35eaa513dc9dc6da8f8c1dae

SHA256
8574b1bdf0c4a3c50a0f28d1437891be1ec36c8569508a639cc8ff78cc304b4c

SHA512
fc0b83bad17ae18224bdbd49f1c9e1c8a49c52e3fc83916257fa02862fd063db492860181fb818dd350b89b5df10765232ffb0f7ab5187c5b8adbab8b67e1bb4

Download Submit
C:\Windows\System32\XrAOTZN.exe

Filesize
1.3MB

MD5
e5c696284a01f1566d040ebffc4f439a

SHA1
42ba31f4c0a87ecc08c71e22cbc4917e731111a7

SHA256
86dfd3bf9ef13b7efc4071d21d9ab9cd42bc6347e1d149781fa586ed2e1dd1ad

SHA512
375587481b133007eb589e761475b0d63f71ed97a366145be775eb155234a07616e41d0d78b6b4fb06716290b6244afae253945e5dc47fe79ef69de2578bfa54

Download Submit
C:\Windows\System32\XtuRbQV.exe

Filesize
1.3MB

MD5
8b0c3086a07c7016f76987d3158cf1ae

SHA1
288e448754fd726d2408d6649d8bf6007611448c

SHA256
d27c35490b3d8a5f0b0e74842e3e6a1112638fcb8e79afb0387171b4212fa33e

SHA512
94888ad1558c23fe22d540357cbc7076c3184a7e7f56c9b1dab30a264409d84772b3ae9e3e5161bf4824d45c6e676566e17d448078c1824d710dbf2939a666ac

Download Submit
C:\Windows\System32\cABrbFP.exe

Filesize
1.3MB

MD5
e212c6493995587290bb22324299ef56

SHA1
20561d2f9dde72f63caef740d15a3257ab3219ca

SHA256
7c6a636beb09366e0de53a1c9c24b7163dc0bc5ad5a9dc7e2cb1a731d4cb67bb

SHA512
91a0761b4489bef10985a01fca0c24cd2723a019e8a43890d2a6d6479330d05476c9952a4aa7d4db6467dccbfd80552743f40ad7a5b87dd34f442bb6e9916fe0

Download Submit
C:\Windows\System32\cKYlUjo.exe

Filesize
1.3MB

MD5
20b41eef5601035e34a2d868615fbcd9

SHA1
c16db407f1d2216c614ef46547686dd901cf55c0

SHA256
87db265cf4f478c924149b15e00f90f78e175250e37711f22d03ea56119047ad

SHA512
c97d1e91267bf9632c3671a50389d49c95a7e24ef73f1aaa3bbb4c298e2931db32d1f2327280ff95fa6cd59ec7e900e499136b06ec833c0c2c0417bc3496ab62

Download Submit
C:\Windows\System32\eEaxggO.exe

Filesize
1.3MB

MD5
5f88d040c27818128c5b0750f89f8e32

SHA1
616c35e73961eada9c78b5326eef9ef33b0c3288

SHA256
bc33dd09fc3690925320eeda93692f3528eb2a7ab321069b7a5edab09bc79528

SHA512
cb9a22fc80cdd3f4605e81d696e6f7500b3224baeadb1f691ce2701c52f497a9c8e5da2e3ed8d84ebe5f4a6a93c3c5bd06ee91fb63cb00fd6816f181283f09aa

Download Submit
C:\Windows\System32\eFBNXhs.exe

Filesize
1.3MB

MD5
8612b6706f98a640bd322b7f0c7776a5

SHA1
42e0a7eaaf1f78b623e778e94f9bb73a92c400f1

SHA256
899f9fbfa38f17788de19bf6fb640d08b17734cda30cedf88fdea1964e6f16ed

SHA512
004be0dc38a8c319d3990da0f8454120d4f8c296c78940f74b9a29433a7f6f502b1f2258fc2c0b967eb4bddbfd4314d6d62362cd6bc1c8c56eb4663cfa8e18e6

Download Submit
C:\Windows\System32\hXJoWvc.exe

Filesize
1.3MB

MD5
2d809574babd28a8817aaab14618115d

SHA1
a7cfd1ce3f6c8378dd5eddf5c3fc71f888f7e187

SHA256
5c6cb42d06cd46ff168c19887fb6dfa3695bc543530002f349318155cf5748eb

SHA512
bd4a5bd8b7a277af054901179a3d304b520d8550adea56ff5e268f64c659993d2df9f5f4737f29746dc2bd0077202370a96e38180000eb31a57e7764d8178f74

Download Submit
C:\Windows\System32\hcNwxCx.exe

Filesize
1.3MB

MD5
737078dc3e81b0d1146eca345296ce89

SHA1
4e117a4cb8c145fda2b2408226e64eace7804a5f

SHA256
26549455107adc09f7ee37bffec1312f39f85c46f06818314b65b00c466d5023

SHA512
61118bcbc646edfa1f8ce951276a5c80b9ba63adf2fd22e4322310dec81bdf14c6f854ea7b8924351cf9439277765b072628c2fb92a8a363410e46a0b4415c65

Download Submit
C:\Windows\System32\lHIZyFb.exe

Filesize
1.3MB

MD5
83e84bd6e84c7b44227f485d5a62985d

SHA1
e36c52206c0b2797901c6c54ed5dfee6d47f85e1

SHA256
9678e3ae7db2bd5beaf31c7b3ccc2bc7ea7ee0cc4025d03574a3e1d1581a7b3a

SHA512
b2532cbadc0288abd3920ab5a337e103fb56e7835022570845a7b999861d7d066a43fea0a203ef9ead1a01330fcf03d27c3c061e01f3d46976ee74493beb264d

Download Submit
C:\Windows\System32\mGXTVvA.exe

Filesize
1.3MB

MD5
be012b6cfa2f2850007512a6a22a1702

SHA1
8c202b831f75991e97f9a68e2104922918bcd7c4

SHA256
57887a39a9167f9c969ab2bb9a5f0bd9b0385ce9383f994ae223d26266907bd5

SHA512
4e642f2b7801da63e9668ad7dd7b104a40a81027ee2ebf1d87857fe7ffa6f76488219919323c89c995b409bd90f716384c2d695d3a811c35c56054b655859096

Download Submit
C:\Windows\System32\mejWozl.exe

Filesize
1.3MB

MD5
38a77e38316b175e062c8c7ed7e953b4

SHA1
f1133822ccfe122ef4c92bc6d8e4a93b067f401e

SHA256
e323fba817728eeeabc316d92ae42a2555bdc87962de555f4507370f4185f626

SHA512
39030be86172476ea3a346b7b4cd39ea9160f4baf738e5b2951da11c682fbeb328559bff9c83b580cd8ebb3800f8dd624d9f2a9575c3f50f41824ab0e3bac421

Download Submit
C:\Windows\System32\nDJcpOw.exe

Filesize
1.3MB

MD5
63f048a0129fc17089022924dcf48327

SHA1
fe9b78def6af69101affedc2063d2b1e575edbae

SHA256
1998acf2c5bb5021eac29d4af5dd90ac79d5b6d716eaa18d939cf8a5052af7e0

SHA512
7e62f57ba29afbb680b1f04fdd66c4ee83e51f7220248344fd923509ee37e3d89e73e75bcab0528aec781de2a78402b9d5a76a1c51e9611b4f112d6ea261868a

Download Submit
C:\Windows\System32\oDrVqAi.exe

Filesize
1.3MB

MD5
68734580c9e220d46b51feb1b426d504

SHA1
09b0e685a129b7d3051edfc45d97e98453da15ab

SHA256
540c49d1686088674217f45cc2c19e9ea2ab51cd7c3881c1115ab5938107fc35

SHA512
e23c110df3ba7346e9bed2cac792483abea1e44f717f8d07b6b782e6c773f0a2da38c9b3215d592f054c2720bf99e8d1646069847521f64b763e29747c0614f2

Download Submit
C:\Windows\System32\pNMMtOM.exe

Filesize
1.3MB

MD5
4c2aebb8b314996a4455950ea229942c

SHA1
78ed25e8593551f263708e661de15366c96582b0

SHA256
1331e183c78d92f6d3db1e0813f7d5c3245456c27b26d5c7f990e7b2781cc552

SHA512
70350d9e25935bfb3772fd4aa9a27a70625665c9938593aea36582de1f672be22758eab6d2fd17e9642a62ec8b50828d2c3fdb9a9e0123c3e48d093b5b055e1b

Download Submit
C:\Windows\System32\pUoiSwd.exe

Filesize
1.3MB

MD5
8cc49e77a5a624655c09be9d8d2ab0db

SHA1
94f73353627306746731f47544eef2ebe8302a80

SHA256
17fa5cf8b297c7f2daa05fac54266b60b2705758db4c54687ccd9358ea577c87

SHA512
dc77972f35318e35fcbb82a86f8ee4fc3edfc3b1ef50d1c42ad67b743baa895c8d039a2a1b0951751172629596c6e0e7f1d4bb345acb4e86f076c810ae05fb19

Download Submit
C:\Windows\System32\qXEfWCs.exe

Filesize
1.3MB

MD5
19f4816cea5cc18484dc65b58465088b

SHA1
168292ec661a7ab2c5d06cec507a4c6f3b2d828b

SHA256
110e69ba1c46ab03ab3b33892457ce71321ff2d1e3b8f50520044ef4c650d106

SHA512
736c00e3357325af393f4b5d4f7d88f4186dd030b54f3528b6470584496266cba68924ab28489f9b62c6a132e4eabbe0712db4bea2eb1675c58e2cde26640438

Download Submit
C:\Windows\System32\sJBMfvl.exe

Filesize
1.3MB

MD5
4417bd9929219dac9ff17e715097951f

SHA1
db4c69152988af5f5fbb3fd72fc6fbaf076b0b47

SHA256
67b80c72ca0d40265180d6e3da77b6a348bcb71cc0efd7145bff3437a7dda9fb

SHA512
b4f306e899d25052906134396e5369ea942a2a571a46feef8e545a5dcdb9062c3ad32cb4a8e27d3cdd9a7f306972a0eef7919530214de4a29928187093b4c44b

Download Submit
C:\Windows\System32\ujNIOyB.exe

Filesize
1.3MB

MD5
c27d66f9d99f1cf1f9913ca684ac83c2

SHA1
e6b78d3287c3dd2049ee07655ae00e877d03f5c7

SHA256
44c41f390d5df5c3306188dd05f1f2c0714691f3dbd1b9533407293bf4b3ba76

SHA512
228c3ea60f8ea123ba83a418439b57fd7ca92957facb871b06a2906ca8e1d5f263602235409a0cbc870ad287abf20ab9c19c971fd29f308cc8e2df6e9bf674b9

Download Submit
C:\Windows\System32\vMolNVj.exe

Filesize
1.3MB

MD5
61e721e4326a6098edf9c9feb1080254

SHA1
786e91cffdf6098692adb539f967ae76a81a738a

SHA256
0d14bb97d201c0d52cdf544498f6cc5764107a8717e104dab3445466c97c8932

SHA512
beaedd67e1674ea88097cd659bb5a2d52bb20a2143d47422d465a1501e4538539f7ce749aaf969b7d2bfbce9477bd1e09a7e0ceab3102e7e42bb1ff8264766d5

Download Submit
C:\Windows\System32\wdYjvPa.exe

Filesize
1.3MB

MD5
66f0a30d227e86642389323a77701583

SHA1
c81242dca12ad463a6a32ed3a7dd08fec49665d9

SHA256
f3f72348691e6c97861a088b2dc668d2caaa6f5d263dcb2106022f34b2ca22a7

SHA512
8684db1e5731fa624cdbff6866540f54c973dae61811ac8be0ed5b9f498fd2283663fea3f992994b8c92eaeec39f01b514bf22930e46dee5ea3078237f5cd42c

Download Submit
C:\Windows\System32\xipUUNo.exe

Filesize
1.3MB

MD5
8f99ac007742c6e4aac85a2b07d2f3e1

SHA1
8e3fb9f09da1a70b2d590d1b52a5be0b3edcb4f0

SHA256
2643d260c024f6a68bf8b8f4846eac727dfbf6f58cf7e7b4175648a9b1353e44

SHA512
290b70820e6aafe2c34798c5908925dda279653053f82f26158872ba020fdc10bf4a7f46077d646c73f7ece12734e6419a33bf7c04fe4483e08b2df5ea9bea08

Download Submit
C:\Windows\System32\zcsswen.exe

Filesize
1.3MB

MD5
6a747e3a3d86f9faaed9bd35e0ab0147

SHA1
cb20a3c6cfa5fe3657dbabfb476804c9687e6a12

SHA256
1ff9a285e85ead3298083460777b867c20dcec0fb33384da4cf80ffdfba4d865

SHA512
896fa00edf599032ffdb180c1a3da7c6a4441d6d061e094c7794b853363d20e0b54348536675d87fd59eaaccf4e8d0f03f2d342097faf23f3ff934ec12ba54aa

Download Submit
memory/64-2037-0x00007FF634050000-0x00007FF634441000-memory.dmp

Filesize
3.9MB

Download
memory/64-473-0x00007FF634050000-0x00007FF634441000-memory.dmp

Filesize
3.9MB

Download
memory/1228-12-0x00007FF7EB720000-0x00007FF7EBB11000-memory.dmp

Filesize
3.9MB

Download
memory/1228-1986-0x00007FF7EB720000-0x00007FF7EBB11000-memory.dmp

Filesize
3.9MB

Download
memory/1272-2026-0x00007FF60BD50000-0x00007FF60C141000-memory.dmp

Filesize
3.9MB

Download
memory/1272-483-0x00007FF60BD50000-0x00007FF60C141000-memory.dmp

Filesize
3.9MB

Download
memory/1728-2031-0x00007FF676C40000-0x00007FF677031000-memory.dmp

Filesize
3.9MB

Download
memory/1728-479-0x00007FF676C40000-0x00007FF677031000-memory.dmp

Filesize
3.9MB

Download
memory/1948-2000-0x00007FF7BA230000-0x00007FF7BA621000-memory.dmp

Filesize
3.9MB

Download
memory/1948-368-0x00007FF7BA230000-0x00007FF7BA621000-memory.dmp

Filesize
3.9MB

Download
memory/1952-2016-0x00007FF653720000-0x00007FF653B11000-memory.dmp

Filesize
3.9MB

Download
memory/1952-453-0x00007FF653720000-0x00007FF653B11000-memory.dmp

Filesize
3.9MB

Download
memory/1972-406-0x00007FF7C7160000-0x00007FF7C7551000-memory.dmp

Filesize
3.9MB

Download
memory/1972-2006-0x00007FF7C7160000-0x00007FF7C7551000-memory.dmp

Filesize
3.9MB

Download
memory/2320-23-0x00007FF68E3A0000-0x00007FF68E791000-memory.dmp

Filesize
3.9MB

Download
memory/2320-1988-0x00007FF68E3A0000-0x00007FF68E791000-memory.dmp

Filesize
3.9MB

Download
memory/2592-472-0x00007FF7CCF30000-0x00007FF7CD321000-memory.dmp

Filesize
3.9MB

Download
memory/2592-2035-0x00007FF7CCF30000-0x00007FF7CD321000-memory.dmp

Filesize
3.9MB

Download
memory/2600-1-0x000001FA384F0000-0x000001FA38500000-memory.dmp

Filesize
64KB

Download
memory/2600-0-0x00007FF6681B0000-0x00007FF6685A1000-memory.dmp

Filesize
3.9MB

Download
memory/2860-366-0x00007FF72AF70000-0x00007FF72B361000-memory.dmp

Filesize
3.9MB

Download
memory/2860-1998-0x00007FF72AF70000-0x00007FF72B361000-memory.dmp

Filesize
3.9MB

Download
memory/2872-451-0x00007FF634E80000-0x00007FF635271000-memory.dmp

Filesize
3.9MB

Download
memory/2872-2014-0x00007FF634E80000-0x00007FF635271000-memory.dmp

Filesize
3.9MB

Download
memory/3052-489-0x00007FF7AFDC0000-0x00007FF7B01B1000-memory.dmp

Filesize
3.9MB

Download
memory/3052-1994-0x00007FF7AFDC0000-0x00007FF7B01B1000-memory.dmp

Filesize
3.9MB

Download
memory/3084-365-0x00007FF7AD1B0000-0x00007FF7AD5A1000-memory.dmp

Filesize
3.9MB

Download
memory/3084-1992-0x00007FF7AD1B0000-0x00007FF7AD5A1000-memory.dmp

Filesize
3.9MB

Download
memory/3308-2002-0x00007FF6E9130000-0x00007FF6E9521000-memory.dmp

Filesize
3.9MB

Download
memory/3308-375-0x00007FF6E9130000-0x00007FF6E9521000-memory.dmp

Filesize
3.9MB

Download
memory/3388-482-0x00007FF6CA6C0000-0x00007FF6CAAB1000-memory.dmp

Filesize
3.9MB

Download
memory/3388-2029-0x00007FF6CA6C0000-0x00007FF6CAAB1000-memory.dmp

Filesize
3.9MB

Download
memory/3712-2012-0x00007FF75E1E0000-0x00007FF75E5D1000-memory.dmp

Filesize
3.9MB

Download
memory/3712-442-0x00007FF75E1E0000-0x00007FF75E5D1000-memory.dmp

Filesize
3.9MB

Download
memory/3724-391-0x00007FF6FB5B0000-0x00007FF6FB9A1000-memory.dmp

Filesize
3.9MB

Download
memory/3724-2004-0x00007FF6FB5B0000-0x00007FF6FB9A1000-memory.dmp

Filesize
3.9MB

Download
memory/3780-486-0x00007FF728D60000-0x00007FF729151000-memory.dmp

Filesize
3.9MB

Download
memory/3780-1990-0x00007FF728D60000-0x00007FF729151000-memory.dmp

Filesize
3.9MB

Download
memory/3928-2018-0x00007FF633DF0000-0x00007FF6341E1000-memory.dmp

Filesize
3.9MB

Download
memory/3928-467-0x00007FF633DF0000-0x00007FF6341E1000-memory.dmp

Filesize
3.9MB

Download
memory/4172-463-0x00007FF655820000-0x00007FF655C11000-memory.dmp

Filesize
3.9MB

Download
memory/4172-2020-0x00007FF655820000-0x00007FF655C11000-memory.dmp

Filesize
3.9MB

Download
memory/4472-2010-0x00007FF7F5460000-0x00007FF7F5851000-memory.dmp

Filesize
3.9MB

Download
memory/4472-428-0x00007FF7F5460000-0x00007FF7F5851000-memory.dmp

Filesize
3.9MB

Download
memory/4592-1996-0x00007FF6A2200000-0x00007FF6A25F1000-memory.dmp

Filesize
3.9MB

Download
memory/4592-367-0x00007FF6A2200000-0x00007FF6A25F1000-memory.dmp

Filesize
3.9MB

Download
memory/4868-469-0x00007FF617B70000-0x00007FF617F61000-memory.dmp

Filesize
3.9MB

Download
memory/4868-2022-0x00007FF617B70000-0x00007FF617F61000-memory.dmp

Filesize
3.9MB

Download
memory/5012-2008-0x00007FF685550000-0x00007FF685941000-memory.dmp

Filesize
3.9MB

Download
memory/5012-423-0x00007FF685550000-0x00007FF685941000-memory.dmp

Filesize
3.9MB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads