xmrig | 9297c28b8d0e8f7f95c4078a5bc955f9b6363e17a50c5cd1b87259aa403edefb

Analysis

max time kernel
144s
max time network
152s
platform
windows10-2004_x64
resource
win10v2004-20240508-en
resource tags

arch:x64arch:x86image:win10v2004-20240508-enlocale:en-usos:windows10-2004-x64system
submitted
17/05/2024, 10:59

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
Size

1.2MB
MD5

e9c08cb6ed09663735f86c7450d855a0
SHA1

092f9df47ee9ccb63f222e628cd51264212e5ff4
SHA256

9297c28b8d0e8f7f95c4078a5bc955f9b6363e17a50c5cd1b87259aa403edefb
SHA512

3d02621e553bb081b05a5350a3f7415d9098e11f69ee36ea7f9c913ee115474f293e2c6a7e63e294d2ef7783a51c8a434caf0b20ad1fe28ae0bff0999060bb64
SSDEEP

24576:JanwhSe11QSONCpGJCjETPlWXWZdO23/oF7u3hm0ErgGuK15F:knw9oUUEEDl3aEUiRigo5

Score

10^/10

xmrig miner upx

Malware Config

Signatures

xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 50 IoCs

miner

resource	yara_rule
behavioral2/memory/2932-23-0x00007FF6F95C0000-0x00007FF6F99B1000-memory.dmp	xmrig
behavioral2/memory/2080-334-0x00007FF6617D0000-0x00007FF661BC1000-memory.dmp	xmrig
behavioral2/memory/388-351-0x00007FF63FFD0000-0x00007FF6403C1000-memory.dmp	xmrig
behavioral2/memory/2876-360-0x00007FF6674B0000-0x00007FF6678A1000-memory.dmp	xmrig
behavioral2/memory/4552-361-0x00007FF7D95E0000-0x00007FF7D99D1000-memory.dmp	xmrig
behavioral2/memory/4932-363-0x00007FF74BCA0000-0x00007FF74C091000-memory.dmp	xmrig
behavioral2/memory/3012-364-0x00007FF6D8D30000-0x00007FF6D9121000-memory.dmp	xmrig
behavioral2/memory/3360-362-0x00007FF62DE20000-0x00007FF62E211000-memory.dmp	xmrig
behavioral2/memory/3964-338-0x00007FF783750000-0x00007FF783B41000-memory.dmp	xmrig
behavioral2/memory/4964-331-0x00007FF6265D0000-0x00007FF6269C1000-memory.dmp	xmrig
behavioral2/memory/3400-14-0x00007FF76C5C0000-0x00007FF76C9B1000-memory.dmp	xmrig
behavioral2/memory/1256-365-0x00007FF74C280000-0x00007FF74C671000-memory.dmp	xmrig
behavioral2/memory/3996-366-0x00007FF6EEC80000-0x00007FF6EF071000-memory.dmp	xmrig
behavioral2/memory/4824-367-0x00007FF777C40000-0x00007FF778031000-memory.dmp	xmrig
behavioral2/memory/464-381-0x00007FF657E00000-0x00007FF6581F1000-memory.dmp	xmrig
behavioral2/memory/900-379-0x00007FF75BDF0000-0x00007FF75C1E1000-memory.dmp	xmrig
behavioral2/memory/3900-389-0x00007FF6BEDC0000-0x00007FF6BF1B1000-memory.dmp	xmrig
behavioral2/memory/2520-394-0x00007FF6AB160000-0x00007FF6AB551000-memory.dmp	xmrig
behavioral2/memory/2224-392-0x00007FF732F70000-0x00007FF733361000-memory.dmp	xmrig
behavioral2/memory/4608-399-0x00007FF645AD0000-0x00007FF645EC1000-memory.dmp	xmrig
behavioral2/memory/2072-415-0x00007FF6AA3F0000-0x00007FF6AA7E1000-memory.dmp	xmrig
behavioral2/memory/1408-405-0x00007FF772E70000-0x00007FF773261000-memory.dmp	xmrig
behavioral2/memory/1840-1932-0x00007FF7EF410000-0x00007FF7EF801000-memory.dmp	xmrig
behavioral2/memory/3400-1967-0x00007FF76C5C0000-0x00007FF76C9B1000-memory.dmp	xmrig
behavioral2/memory/4496-1969-0x00007FF762A30000-0x00007FF762E21000-memory.dmp	xmrig
behavioral2/memory/3292-1968-0x00007FF77A870000-0x00007FF77AC61000-memory.dmp	xmrig
behavioral2/memory/3400-1971-0x00007FF76C5C0000-0x00007FF76C9B1000-memory.dmp	xmrig
behavioral2/memory/2932-1973-0x00007FF6F95C0000-0x00007FF6F99B1000-memory.dmp	xmrig
behavioral2/memory/2520-1975-0x00007FF6AB160000-0x00007FF6AB551000-memory.dmp	xmrig
behavioral2/memory/4608-1977-0x00007FF645AD0000-0x00007FF645EC1000-memory.dmp	xmrig
behavioral2/memory/3292-1979-0x00007FF77A870000-0x00007FF77AC61000-memory.dmp	xmrig
behavioral2/memory/2072-1987-0x00007FF6AA3F0000-0x00007FF6AA7E1000-memory.dmp	xmrig
behavioral2/memory/1408-1983-0x00007FF772E70000-0x00007FF773261000-memory.dmp	xmrig
behavioral2/memory/4496-1981-0x00007FF762A30000-0x00007FF762E21000-memory.dmp	xmrig
behavioral2/memory/4964-1985-0x00007FF6265D0000-0x00007FF6269C1000-memory.dmp	xmrig
behavioral2/memory/3964-1993-0x00007FF783750000-0x00007FF783B41000-memory.dmp	xmrig
behavioral2/memory/3900-1991-0x00007FF6BEDC0000-0x00007FF6BF1B1000-memory.dmp	xmrig
behavioral2/memory/388-1997-0x00007FF63FFD0000-0x00007FF6403C1000-memory.dmp	xmrig
behavioral2/memory/2224-2015-0x00007FF732F70000-0x00007FF733361000-memory.dmp	xmrig
behavioral2/memory/4932-2013-0x00007FF74BCA0000-0x00007FF74C091000-memory.dmp	xmrig
behavioral2/memory/2876-2011-0x00007FF6674B0000-0x00007FF6678A1000-memory.dmp	xmrig
behavioral2/memory/4552-2017-0x00007FF7D95E0000-0x00007FF7D99D1000-memory.dmp	xmrig
behavioral2/memory/3360-2009-0x00007FF62DE20000-0x00007FF62E211000-memory.dmp	xmrig
behavioral2/memory/3012-2007-0x00007FF6D8D30000-0x00007FF6D9121000-memory.dmp	xmrig
behavioral2/memory/1256-2005-0x00007FF74C280000-0x00007FF74C671000-memory.dmp	xmrig
behavioral2/memory/4824-2003-0x00007FF777C40000-0x00007FF778031000-memory.dmp	xmrig
behavioral2/memory/3996-2001-0x00007FF6EEC80000-0x00007FF6EF071000-memory.dmp	xmrig
behavioral2/memory/464-1999-0x00007FF657E00000-0x00007FF6581F1000-memory.dmp	xmrig
behavioral2/memory/900-1996-0x00007FF75BDF0000-0x00007FF75C1E1000-memory.dmp	xmrig
behavioral2/memory/2080-1989-0x00007FF6617D0000-0x00007FF661BC1000-memory.dmp	xmrig

Executes dropped EXE 64 IoCs

pid	Process
3400	YMknYDs.exe
2520	xfFaWyL.exe
2932	UmRhPJP.exe
4608	VApJfMe.exe
3292	XVwhwVG.exe
1408	vFexYUC.exe
4496	BVdCpUN.exe
2072	rkjOZdg.exe
4964	DvbSkWD.exe
2080	iHIeWMG.exe
3964	SbJXBSa.exe
388	OcoGFPW.exe
2876	cIVWlKo.exe
4552	epzGnFR.exe
3360	MEIJDZl.exe
4932	CieYsXF.exe
3012	CkoiptU.exe
1256	aACkJia.exe
3996	VvtUmhh.exe
4824	CbBhEkm.exe
900	exinzpq.exe
464	qYoznTp.exe
3900	QQwpDro.exe
2224	aEkimHN.exe
4884	lRTKphh.exe
4524	HEXKGlT.exe
1860	oAOPlgg.exe
2204	ShEzvUK.exe
4992	deFgyrL.exe
1220	Ujmxlnj.exe
5068	VhKXBcT.exe
4392	MqgdtDM.exe
2692	ydbypIH.exe
1596	zFAdYGM.exe
4344	sFRzprS.exe
4324	vFCPERC.exe
1976	HmfuOsm.exe
3632	VRARpRE.exe
3220	xKAWIGF.exe
2492	vpsgpMv.exe
2248	hTQmfQR.exe
4856	tHOukNj.exe
3940	JzGTVqK.exe
2740	DYwzdCq.exe
4364	rCnyonS.exe
2892	YBzsFpL.exe
2688	yHPJpeq.exe
2796	YFNRvAx.exe
1436	DdQCOCD.exe
4868	kOErxbG.exe
1088	qYOSugd.exe
4180	cUEmCrr.exe
3708	yDpKeSA.exe
4872	CPXHgIj.exe
2976	iPcZLoA.exe
3052	rRNQfbr.exe
2268	kpLcmfG.exe
2824	ZIkBknS.exe
3268	CBVPNMJ.exe
5156	gJwhSbl.exe
5180	fAXHCcg.exe
5208	EpoHAlS.exe
5240	tXLkrCk.exe
5264	QLSXROk.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/1840-0-0x00007FF7EF410000-0x00007FF7EF801000-memory.dmp	upx
behavioral2/files/0x00070000000235f8-11.dat	upx
behavioral2/memory/2932-23-0x00007FF6F95C0000-0x00007FF6F99B1000-memory.dmp	upx
behavioral2/files/0x00070000000235fa-29.dat	upx
behavioral2/files/0x00070000000235fb-35.dat	upx
behavioral2/files/0x0007000000023603-72.dat	upx
behavioral2/files/0x0007000000023606-81.dat	upx
behavioral2/files/0x0007000000023611-139.dat	upx
behavioral2/files/0x0007000000023612-147.dat	upx
behavioral2/files/0x0007000000023615-162.dat	upx
behavioral2/memory/4496-322-0x00007FF762A30000-0x00007FF762E21000-memory.dmp	upx
behavioral2/memory/2080-334-0x00007FF6617D0000-0x00007FF661BC1000-memory.dmp	upx
behavioral2/memory/388-351-0x00007FF63FFD0000-0x00007FF6403C1000-memory.dmp	upx
behavioral2/memory/2876-360-0x00007FF6674B0000-0x00007FF6678A1000-memory.dmp	upx
behavioral2/memory/4552-361-0x00007FF7D95E0000-0x00007FF7D99D1000-memory.dmp	upx
behavioral2/memory/4932-363-0x00007FF74BCA0000-0x00007FF74C091000-memory.dmp	upx
behavioral2/memory/3012-364-0x00007FF6D8D30000-0x00007FF6D9121000-memory.dmp	upx
behavioral2/memory/3360-362-0x00007FF62DE20000-0x00007FF62E211000-memory.dmp	upx
behavioral2/memory/3964-338-0x00007FF783750000-0x00007FF783B41000-memory.dmp	upx
behavioral2/memory/4964-331-0x00007FF6265D0000-0x00007FF6269C1000-memory.dmp	upx
behavioral2/files/0x0007000000023617-165.dat	upx
behavioral2/files/0x0007000000023616-160.dat	upx
behavioral2/files/0x0007000000023614-157.dat	upx
behavioral2/files/0x0007000000023613-152.dat	upx
behavioral2/files/0x0007000000023610-137.dat	upx
behavioral2/files/0x000700000002360f-132.dat	upx
behavioral2/files/0x000700000002360e-127.dat	upx
behavioral2/files/0x000700000002360d-122.dat	upx
behavioral2/files/0x000700000002360c-115.dat	upx
behavioral2/files/0x000700000002360b-112.dat	upx
behavioral2/files/0x000700000002360a-107.dat	upx
behavioral2/files/0x0007000000023609-102.dat	upx
behavioral2/files/0x0007000000023608-97.dat	upx
behavioral2/files/0x0007000000023607-92.dat	upx
behavioral2/files/0x0007000000023605-79.dat	upx
behavioral2/files/0x0007000000023604-77.dat	upx
behavioral2/files/0x0007000000023602-67.dat	upx
behavioral2/files/0x0007000000023601-62.dat	upx
behavioral2/files/0x0007000000023600-57.dat	upx
behavioral2/files/0x00070000000235ff-52.dat	upx
behavioral2/files/0x00070000000235fe-44.dat	upx
behavioral2/files/0x00070000000235fd-41.dat	upx
behavioral2/files/0x00070000000235fc-37.dat	upx
behavioral2/memory/3292-33-0x00007FF77A870000-0x00007FF77AC61000-memory.dmp	upx
behavioral2/files/0x00070000000235f9-15.dat	upx
behavioral2/memory/3400-14-0x00007FF76C5C0000-0x00007FF76C9B1000-memory.dmp	upx
behavioral2/files/0x00080000000235f4-6.dat	upx
behavioral2/memory/1256-365-0x00007FF74C280000-0x00007FF74C671000-memory.dmp	upx
behavioral2/memory/3996-366-0x00007FF6EEC80000-0x00007FF6EF071000-memory.dmp	upx
behavioral2/memory/4824-367-0x00007FF777C40000-0x00007FF778031000-memory.dmp	upx
behavioral2/memory/464-381-0x00007FF657E00000-0x00007FF6581F1000-memory.dmp	upx
behavioral2/memory/900-379-0x00007FF75BDF0000-0x00007FF75C1E1000-memory.dmp	upx
behavioral2/memory/3900-389-0x00007FF6BEDC0000-0x00007FF6BF1B1000-memory.dmp	upx
behavioral2/memory/2520-394-0x00007FF6AB160000-0x00007FF6AB551000-memory.dmp	upx
behavioral2/memory/2224-392-0x00007FF732F70000-0x00007FF733361000-memory.dmp	upx
behavioral2/memory/4608-399-0x00007FF645AD0000-0x00007FF645EC1000-memory.dmp	upx
behavioral2/memory/2072-415-0x00007FF6AA3F0000-0x00007FF6AA7E1000-memory.dmp	upx
behavioral2/memory/1408-405-0x00007FF772E70000-0x00007FF773261000-memory.dmp	upx
behavioral2/memory/1840-1932-0x00007FF7EF410000-0x00007FF7EF801000-memory.dmp	upx
behavioral2/memory/3400-1967-0x00007FF76C5C0000-0x00007FF76C9B1000-memory.dmp	upx
behavioral2/memory/4496-1969-0x00007FF762A30000-0x00007FF762E21000-memory.dmp	upx
behavioral2/memory/3292-1968-0x00007FF77A870000-0x00007FF77AC61000-memory.dmp	upx
behavioral2/memory/3400-1971-0x00007FF76C5C0000-0x00007FF76C9B1000-memory.dmp	upx
behavioral2/memory/2932-1973-0x00007FF6F95C0000-0x00007FF6F99B1000-memory.dmp	upx

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\System32\vFCPERC.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\kOErxbG.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\xNcqcPG.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\sTyVSJW.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\WSdxkXU.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\BxQLcMt.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\iQMtThR.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\HEXKGlT.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\tHOukNj.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\YFNRvAx.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\LUaIoHk.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\aCLFqoQ.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\GhNtCep.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\tFlzPQO.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\sIdsRCp.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\qDKbUjm.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\MMHWebW.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\YtZmnmE.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\mnwHtln.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\EYLCLvD.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\rEinOaH.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\NFGAxeW.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\DGyctoj.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\jlQVrhu.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\APEhBOh.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\wqgvBRH.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\wdszgTG.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\orTyCML.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\BVjsnYu.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\nLBLdBB.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\IoEdgoo.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\zSnXmVW.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\DdQCOCD.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\txVcgmT.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\PIWOewW.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\GSGtaBU.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\deFgyrL.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\xKAWIGF.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\dGzVHop.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\qpXfPYW.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\AMVfAjn.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\FgAYJPX.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\LNfgdxK.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\tXLkrCk.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\QZadVZi.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\nIesCkz.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\OXjjwPI.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\NHlqWXI.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\SQDOLBU.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\zmCGPgY.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\TsUMmhW.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\gmkRAki.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\MINPTEj.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\pUqAieO.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\nLZPCiB.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\ptSOsXG.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\rkwTLBb.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\gDuPdhd.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\qrqqbex.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\BfQnjRZ.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\ShEzvUK.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\krDpZnx.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\qAhEdBU.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
File created	C:\Windows\System32\EUkhEyB.exe	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe

Checks SCSI registry key(s) 3 TTPs 6 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\HardwareID	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_QEMU&PROD_QEMU_DVD-ROM\4&215468A5&0&010000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_DADY&PROD_HARDDISK\4&215468A5&0&000000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\ConfigFlags	dwm.exe

Enumerates system info in registry 2 TTPs 2 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe

Modifies data under HKEY_USERS 18 IoCs

description	ioc	Process
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2a\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe

Suspicious use of AdjustPrivilegeToken 6 IoCs

description	pid	Process
Token: SeCreateGlobalPrivilege	12576	dwm.exe
Token: SeChangeNotifyPrivilege	12576	dwm.exe
Token: 33	12576	dwm.exe
Token: SeIncBasePriorityPrivilege	12576	dwm.exe
Token: SeShutdownPrivilege	12576	dwm.exe
Token: SeCreatePagefilePrivilege	12576	dwm.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 1840 wrote to memory of 3400	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	91
PID 1840 wrote to memory of 3400	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	91
PID 1840 wrote to memory of 2520	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	93
PID 1840 wrote to memory of 2520	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	93
PID 1840 wrote to memory of 2932	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	95
PID 1840 wrote to memory of 2932	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	95
PID 1840 wrote to memory of 4608	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	96
PID 1840 wrote to memory of 4608	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	96
PID 1840 wrote to memory of 3292	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	97
PID 1840 wrote to memory of 3292	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	97
PID 1840 wrote to memory of 1408	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	98
PID 1840 wrote to memory of 1408	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	98
PID 1840 wrote to memory of 4496	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	99
PID 1840 wrote to memory of 4496	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	99
PID 1840 wrote to memory of 2072	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	100
PID 1840 wrote to memory of 2072	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	100
PID 1840 wrote to memory of 4964	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	101
PID 1840 wrote to memory of 4964	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	101
PID 1840 wrote to memory of 2080	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	102
PID 1840 wrote to memory of 2080	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	102
PID 1840 wrote to memory of 3964	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	103
PID 1840 wrote to memory of 3964	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	103
PID 1840 wrote to memory of 388	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	104
PID 1840 wrote to memory of 388	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	104
PID 1840 wrote to memory of 2876	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	105
PID 1840 wrote to memory of 2876	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	105
PID 1840 wrote to memory of 4552	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	106
PID 1840 wrote to memory of 4552	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	106
PID 1840 wrote to memory of 3360	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	107
PID 1840 wrote to memory of 3360	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	107
PID 1840 wrote to memory of 4932	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	108
PID 1840 wrote to memory of 4932	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	108
PID 1840 wrote to memory of 3012	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	109
PID 1840 wrote to memory of 3012	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	109
PID 1840 wrote to memory of 1256	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	110
PID 1840 wrote to memory of 1256	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	110
PID 1840 wrote to memory of 3996	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	111
PID 1840 wrote to memory of 3996	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	111
PID 1840 wrote to memory of 4824	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	112
PID 1840 wrote to memory of 4824	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	112
PID 1840 wrote to memory of 900	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	113
PID 1840 wrote to memory of 900	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	113
PID 1840 wrote to memory of 464	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	114
PID 1840 wrote to memory of 464	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	114
PID 1840 wrote to memory of 3900	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	115
PID 1840 wrote to memory of 3900	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	115
PID 1840 wrote to memory of 2224	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	116
PID 1840 wrote to memory of 2224	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	116
PID 1840 wrote to memory of 4884	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	117
PID 1840 wrote to memory of 4884	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	117
PID 1840 wrote to memory of 4524	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	118
PID 1840 wrote to memory of 4524	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	118
PID 1840 wrote to memory of 1860	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	119
PID 1840 wrote to memory of 1860	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	119
PID 1840 wrote to memory of 2204	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	120
PID 1840 wrote to memory of 2204	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	120
PID 1840 wrote to memory of 4992	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	121
PID 1840 wrote to memory of 4992	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	121
PID 1840 wrote to memory of 1220	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	122
PID 1840 wrote to memory of 1220	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	122
PID 1840 wrote to memory of 5068	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	123
PID 1840 wrote to memory of 5068	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	123
PID 1840 wrote to memory of 4392	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	124
PID 1840 wrote to memory of 4392	1840	e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe	124

C:\Users\Admin\AppData\Local\Temp\e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe
"C:\Users\Admin\AppData\Local\Temp\e9c08cb6ed09663735f86c7450d855a0_NeikiAnalytics.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:1840
- C:\Windows\System32\YMknYDs.exe
  C:\Windows\System32\YMknYDs.exe
  2⤵
  - Executes dropped EXE
  PID:3400
- C:\Windows\System32\xfFaWyL.exe
  C:\Windows\System32\xfFaWyL.exe
  2⤵
  - Executes dropped EXE
  PID:2520
- C:\Windows\System32\UmRhPJP.exe
  C:\Windows\System32\UmRhPJP.exe
  2⤵
  - Executes dropped EXE
  PID:2932
- C:\Windows\System32\VApJfMe.exe
  C:\Windows\System32\VApJfMe.exe
  2⤵
  - Executes dropped EXE
  PID:4608
- C:\Windows\System32\XVwhwVG.exe
  C:\Windows\System32\XVwhwVG.exe
  2⤵
  - Executes dropped EXE
  PID:3292
- C:\Windows\System32\vFexYUC.exe
  C:\Windows\System32\vFexYUC.exe
  2⤵
  - Executes dropped EXE
  PID:1408
- C:\Windows\System32\BVdCpUN.exe
  C:\Windows\System32\BVdCpUN.exe
  2⤵
  - Executes dropped EXE
  PID:4496
- C:\Windows\System32\rkjOZdg.exe
  C:\Windows\System32\rkjOZdg.exe
  2⤵
  - Executes dropped EXE
  PID:2072
- C:\Windows\System32\DvbSkWD.exe
  C:\Windows\System32\DvbSkWD.exe
  2⤵
  - Executes dropped EXE
  PID:4964
- C:\Windows\System32\iHIeWMG.exe
  C:\Windows\System32\iHIeWMG.exe
  2⤵
  - Executes dropped EXE
  PID:2080
- C:\Windows\System32\SbJXBSa.exe
  C:\Windows\System32\SbJXBSa.exe
  2⤵
  - Executes dropped EXE
  PID:3964
- C:\Windows\System32\OcoGFPW.exe
  C:\Windows\System32\OcoGFPW.exe
  2⤵
  - Executes dropped EXE
  PID:388
- C:\Windows\System32\cIVWlKo.exe
  C:\Windows\System32\cIVWlKo.exe
  2⤵
  - Executes dropped EXE
  PID:2876
- C:\Windows\System32\epzGnFR.exe
  C:\Windows\System32\epzGnFR.exe
  2⤵
  - Executes dropped EXE
  PID:4552
- C:\Windows\System32\MEIJDZl.exe
  C:\Windows\System32\MEIJDZl.exe
  2⤵
  - Executes dropped EXE
  PID:3360
- C:\Windows\System32\CieYsXF.exe
  C:\Windows\System32\CieYsXF.exe
  2⤵
  - Executes dropped EXE
  PID:4932
- C:\Windows\System32\CkoiptU.exe
  C:\Windows\System32\CkoiptU.exe
  2⤵
  - Executes dropped EXE
  PID:3012
- C:\Windows\System32\aACkJia.exe
  C:\Windows\System32\aACkJia.exe
  2⤵
  - Executes dropped EXE
  PID:1256
- C:\Windows\System32\VvtUmhh.exe
  C:\Windows\System32\VvtUmhh.exe
  2⤵
  - Executes dropped EXE
  PID:3996
- C:\Windows\System32\CbBhEkm.exe
  C:\Windows\System32\CbBhEkm.exe
  2⤵
  - Executes dropped EXE
  PID:4824
- C:\Windows\System32\exinzpq.exe
  C:\Windows\System32\exinzpq.exe
  2⤵
  - Executes dropped EXE
  PID:900
- C:\Windows\System32\qYoznTp.exe
  C:\Windows\System32\qYoznTp.exe
  2⤵
  - Executes dropped EXE
  PID:464
- C:\Windows\System32\QQwpDro.exe
  C:\Windows\System32\QQwpDro.exe
  2⤵
  - Executes dropped EXE
  PID:3900
- C:\Windows\System32\aEkimHN.exe
  C:\Windows\System32\aEkimHN.exe
  2⤵
  - Executes dropped EXE
  PID:2224
- C:\Windows\System32\lRTKphh.exe
  C:\Windows\System32\lRTKphh.exe
  2⤵
  - Executes dropped EXE
  PID:4884
- C:\Windows\System32\HEXKGlT.exe
  C:\Windows\System32\HEXKGlT.exe
  2⤵
  - Executes dropped EXE
  PID:4524
- C:\Windows\System32\oAOPlgg.exe
  C:\Windows\System32\oAOPlgg.exe
  2⤵
  - Executes dropped EXE
  PID:1860
- C:\Windows\System32\ShEzvUK.exe
  C:\Windows\System32\ShEzvUK.exe
  2⤵
  - Executes dropped EXE
  PID:2204
- C:\Windows\System32\deFgyrL.exe
  C:\Windows\System32\deFgyrL.exe
  2⤵
  - Executes dropped EXE
  PID:4992
- C:\Windows\System32\Ujmxlnj.exe
  C:\Windows\System32\Ujmxlnj.exe
  2⤵
  - Executes dropped EXE
  PID:1220
- C:\Windows\System32\VhKXBcT.exe
  C:\Windows\System32\VhKXBcT.exe
  2⤵
  - Executes dropped EXE
  PID:5068
- C:\Windows\System32\MqgdtDM.exe
  C:\Windows\System32\MqgdtDM.exe
  2⤵
  - Executes dropped EXE
  PID:4392
- C:\Windows\System32\ydbypIH.exe
  C:\Windows\System32\ydbypIH.exe
  2⤵
  - Executes dropped EXE
  PID:2692
- C:\Windows\System32\zFAdYGM.exe
  C:\Windows\System32\zFAdYGM.exe
  2⤵
  - Executes dropped EXE
  PID:1596
- C:\Windows\System32\sFRzprS.exe
  C:\Windows\System32\sFRzprS.exe
  2⤵
  - Executes dropped EXE
  PID:4344
- C:\Windows\System32\vFCPERC.exe
  C:\Windows\System32\vFCPERC.exe
  2⤵
  - Executes dropped EXE
  PID:4324
- C:\Windows\System32\HmfuOsm.exe
  C:\Windows\System32\HmfuOsm.exe
  2⤵
  - Executes dropped EXE
  PID:1976
- C:\Windows\System32\VRARpRE.exe
  C:\Windows\System32\VRARpRE.exe
  2⤵
  - Executes dropped EXE
  PID:3632
- C:\Windows\System32\xKAWIGF.exe
  C:\Windows\System32\xKAWIGF.exe
  2⤵
  - Executes dropped EXE
  PID:3220
- C:\Windows\System32\vpsgpMv.exe
  C:\Windows\System32\vpsgpMv.exe
  2⤵
  - Executes dropped EXE
  PID:2492
- C:\Windows\System32\hTQmfQR.exe
  C:\Windows\System32\hTQmfQR.exe
  2⤵
  - Executes dropped EXE
  PID:2248
- C:\Windows\System32\tHOukNj.exe
  C:\Windows\System32\tHOukNj.exe
  2⤵
  - Executes dropped EXE
  PID:4856
- C:\Windows\System32\JzGTVqK.exe
  C:\Windows\System32\JzGTVqK.exe
  2⤵
  - Executes dropped EXE
  PID:3940
- C:\Windows\System32\DYwzdCq.exe
  C:\Windows\System32\DYwzdCq.exe
  2⤵
  - Executes dropped EXE
  PID:2740
- C:\Windows\System32\rCnyonS.exe
  C:\Windows\System32\rCnyonS.exe
  2⤵
  - Executes dropped EXE
  PID:4364
- C:\Windows\System32\YBzsFpL.exe
  C:\Windows\System32\YBzsFpL.exe
  2⤵
  - Executes dropped EXE
  PID:2892
- C:\Windows\System32\yHPJpeq.exe
  C:\Windows\System32\yHPJpeq.exe
  2⤵
  - Executes dropped EXE
  PID:2688
- C:\Windows\System32\YFNRvAx.exe
  C:\Windows\System32\YFNRvAx.exe
  2⤵
  - Executes dropped EXE
  PID:2796
- C:\Windows\System32\DdQCOCD.exe
  C:\Windows\System32\DdQCOCD.exe
  2⤵
  - Executes dropped EXE
  PID:1436
- C:\Windows\System32\kOErxbG.exe
  C:\Windows\System32\kOErxbG.exe
  2⤵
  - Executes dropped EXE
  PID:4868
- C:\Windows\System32\qYOSugd.exe
  C:\Windows\System32\qYOSugd.exe
  2⤵
  - Executes dropped EXE
  PID:1088
- C:\Windows\System32\cUEmCrr.exe
  C:\Windows\System32\cUEmCrr.exe
  2⤵
  - Executes dropped EXE
  PID:4180
- C:\Windows\System32\yDpKeSA.exe
  C:\Windows\System32\yDpKeSA.exe
  2⤵
  - Executes dropped EXE
  PID:3708
- C:\Windows\System32\CPXHgIj.exe
  C:\Windows\System32\CPXHgIj.exe
  2⤵
  - Executes dropped EXE
  PID:4872
- C:\Windows\System32\iPcZLoA.exe
  C:\Windows\System32\iPcZLoA.exe
  2⤵
  - Executes dropped EXE
  PID:2976
- C:\Windows\System32\rRNQfbr.exe
  C:\Windows\System32\rRNQfbr.exe
  2⤵
  - Executes dropped EXE
  PID:3052
- C:\Windows\System32\kpLcmfG.exe
  C:\Windows\System32\kpLcmfG.exe
  2⤵
  - Executes dropped EXE
  PID:2268
- C:\Windows\System32\ZIkBknS.exe
  C:\Windows\System32\ZIkBknS.exe
  2⤵
  - Executes dropped EXE
  PID:2824
- C:\Windows\System32\CBVPNMJ.exe
  C:\Windows\System32\CBVPNMJ.exe
  2⤵
  - Executes dropped EXE
  PID:3268
- C:\Windows\System32\gJwhSbl.exe
  C:\Windows\System32\gJwhSbl.exe
  2⤵
  - Executes dropped EXE
  PID:5156
- C:\Windows\System32\fAXHCcg.exe
  C:\Windows\System32\fAXHCcg.exe
  2⤵
  - Executes dropped EXE
  PID:5180
- C:\Windows\System32\EpoHAlS.exe
  C:\Windows\System32\EpoHAlS.exe
  2⤵
  - Executes dropped EXE
  PID:5208
- C:\Windows\System32\tXLkrCk.exe
  C:\Windows\System32\tXLkrCk.exe
  2⤵
  - Executes dropped EXE
  PID:5240
- C:\Windows\System32\QLSXROk.exe
  C:\Windows\System32\QLSXROk.exe
  2⤵
  - Executes dropped EXE
  PID:5264
- C:\Windows\System32\GaEBkBu.exe
  C:\Windows\System32\GaEBkBu.exe
  2⤵
  PID:5292
- C:\Windows\System32\OlUYPwl.exe
  C:\Windows\System32\OlUYPwl.exe
  2⤵
  PID:5324
- C:\Windows\System32\RtKSWKV.exe
  C:\Windows\System32\RtKSWKV.exe
  2⤵
  PID:5348
- C:\Windows\System32\saOchTP.exe
  C:\Windows\System32\saOchTP.exe
  2⤵
  PID:5376
- C:\Windows\System32\EynXywQ.exe
  C:\Windows\System32\EynXywQ.exe
  2⤵
  PID:5404
- C:\Windows\System32\lZpgnLs.exe
  C:\Windows\System32\lZpgnLs.exe
  2⤵
  PID:5432
- C:\Windows\System32\WjpNfZQ.exe
  C:\Windows\System32\WjpNfZQ.exe
  2⤵
  PID:5480
- C:\Windows\System32\DsYkOuw.exe
  C:\Windows\System32\DsYkOuw.exe
  2⤵
  PID:5500
- C:\Windows\System32\mYdCnkS.exe
  C:\Windows\System32\mYdCnkS.exe
  2⤵
  PID:5516
- C:\Windows\System32\aIjibeJ.exe
  C:\Windows\System32\aIjibeJ.exe
  2⤵
  PID:5544
- C:\Windows\System32\JsCfMGJ.exe
  C:\Windows\System32\JsCfMGJ.exe
  2⤵
  PID:5580
- C:\Windows\System32\anqWhYz.exe
  C:\Windows\System32\anqWhYz.exe
  2⤵
  PID:5600
- C:\Windows\System32\SQDOLBU.exe
  C:\Windows\System32\SQDOLBU.exe
  2⤵
  PID:5628
- C:\Windows\System32\RzrngTX.exe
  C:\Windows\System32\RzrngTX.exe
  2⤵
  PID:5656
- C:\Windows\System32\MMHWebW.exe
  C:\Windows\System32\MMHWebW.exe
  2⤵
  PID:5680
- C:\Windows\System32\HOqHWgC.exe
  C:\Windows\System32\HOqHWgC.exe
  2⤵
  PID:5708
- C:\Windows\System32\oDgwLxx.exe
  C:\Windows\System32\oDgwLxx.exe
  2⤵
  PID:5740
- C:\Windows\System32\FLCPrLt.exe
  C:\Windows\System32\FLCPrLt.exe
  2⤵
  PID:5764
- C:\Windows\System32\SfSLAfv.exe
  C:\Windows\System32\SfSLAfv.exe
  2⤵
  PID:5808
- C:\Windows\System32\aADfWcT.exe
  C:\Windows\System32\aADfWcT.exe
  2⤵
  PID:5824
- C:\Windows\System32\QXiedpf.exe
  C:\Windows\System32\QXiedpf.exe
  2⤵
  PID:5860
- C:\Windows\System32\PRYqgkJ.exe
  C:\Windows\System32\PRYqgkJ.exe
  2⤵
  PID:5900
- C:\Windows\System32\oYsWsXK.exe
  C:\Windows\System32\oYsWsXK.exe
  2⤵
  PID:5916
- C:\Windows\System32\YbLRUXR.exe
  C:\Windows\System32\YbLRUXR.exe
  2⤵
  PID:5932
- C:\Windows\System32\NAlYLpA.exe
  C:\Windows\System32\NAlYLpA.exe
  2⤵
  PID:5952
- C:\Windows\System32\CcVzpKj.exe
  C:\Windows\System32\CcVzpKj.exe
  2⤵
  PID:5972
- C:\Windows\System32\mwuMRzM.exe
  C:\Windows\System32\mwuMRzM.exe
  2⤵
  PID:6004
- C:\Windows\System32\ybXsfHT.exe
  C:\Windows\System32\ybXsfHT.exe
  2⤵
  PID:6044
- C:\Windows\System32\xQZFwAE.exe
  C:\Windows\System32\xQZFwAE.exe
  2⤵
  PID:6064
- C:\Windows\System32\rXrwaTZ.exe
  C:\Windows\System32\rXrwaTZ.exe
  2⤵
  PID:6084
- C:\Windows\System32\QZadVZi.exe
  C:\Windows\System32\QZadVZi.exe
  2⤵
  PID:6104
- C:\Windows\System32\FDxEYhe.exe
  C:\Windows\System32\FDxEYhe.exe
  2⤵
  PID:6128
- C:\Windows\System32\gfJnHEc.exe
  C:\Windows\System32\gfJnHEc.exe
  2⤵
  PID:4396
- C:\Windows\System32\ydZTpOu.exe
  C:\Windows\System32\ydZTpOu.exe
  2⤵
  PID:3952
- C:\Windows\System32\bXwQPsc.exe
  C:\Windows\System32\bXwQPsc.exe
  2⤵
  PID:2304
- C:\Windows\System32\DcUBEeR.exe
  C:\Windows\System32\DcUBEeR.exe
  2⤵
  PID:5200
- C:\Windows\System32\UizOGLt.exe
  C:\Windows\System32\UizOGLt.exe
  2⤵
  PID:5524
- C:\Windows\System32\gqlmeux.exe
  C:\Windows\System32\gqlmeux.exe
  2⤵
  PID:5596
- C:\Windows\System32\ovknuTT.exe
  C:\Windows\System32\ovknuTT.exe
  2⤵
  PID:5664
- C:\Windows\System32\hPHbRci.exe
  C:\Windows\System32\hPHbRci.exe
  2⤵
  PID:5716
- C:\Windows\System32\nLZPCiB.exe
  C:\Windows\System32\nLZPCiB.exe
  2⤵
  PID:5788
- C:\Windows\System32\VQaHSkv.exe
  C:\Windows\System32\VQaHSkv.exe
  2⤵
  PID:868
- C:\Windows\System32\VIndheq.exe
  C:\Windows\System32\VIndheq.exe
  2⤵
  PID:3004
- C:\Windows\System32\OqGEumM.exe
  C:\Windows\System32\OqGEumM.exe
  2⤵
  PID:1040
- C:\Windows\System32\CwICtJS.exe
  C:\Windows\System32\CwICtJS.exe
  2⤵
  PID:5892
- C:\Windows\System32\pbHauvx.exe
  C:\Windows\System32\pbHauvx.exe
  2⤵
  PID:4628
- C:\Windows\System32\TfcJWfe.exe
  C:\Windows\System32\TfcJWfe.exe
  2⤵
  PID:5928
- C:\Windows\System32\YtZmnmE.exe
  C:\Windows\System32\YtZmnmE.exe
  2⤵
  PID:3980
- C:\Windows\System32\lUKwWji.exe
  C:\Windows\System32\lUKwWji.exe
  2⤵
  PID:6092
- C:\Windows\System32\WvYuCSx.exe
  C:\Windows\System32\WvYuCSx.exe
  2⤵
  PID:4228
- C:\Windows\System32\RSFybFC.exe
  C:\Windows\System32\RSFybFC.exe
  2⤵
  PID:732
- C:\Windows\System32\FDwrSAa.exe
  C:\Windows\System32\FDwrSAa.exe
  2⤵
  PID:3024
- C:\Windows\System32\cMaKRnX.exe
  C:\Windows\System32\cMaKRnX.exe
  2⤵
  PID:3104
- C:\Windows\System32\xNcqcPG.exe
  C:\Windows\System32\xNcqcPG.exe
  2⤵
  PID:3116
- C:\Windows\System32\GWwcUYi.exe
  C:\Windows\System32\GWwcUYi.exe
  2⤵
  PID:1260
- C:\Windows\System32\HtLjUJH.exe
  C:\Windows\System32\HtLjUJH.exe
  2⤵
  PID:3060
- C:\Windows\System32\XbxvsIp.exe
  C:\Windows\System32\XbxvsIp.exe
  2⤵
  PID:3132
- C:\Windows\System32\EUjBMhw.exe
  C:\Windows\System32\EUjBMhw.exe
  2⤵
  PID:3068
- C:\Windows\System32\kNdLeoX.exe
  C:\Windows\System32\kNdLeoX.exe
  2⤵
  PID:5360
- C:\Windows\System32\HqWUlmW.exe
  C:\Windows\System32\HqWUlmW.exe
  2⤵
  PID:5344
- C:\Windows\System32\lwaZfkZ.exe
  C:\Windows\System32\lwaZfkZ.exe
  2⤵
  PID:5284
- C:\Windows\System32\GFRvguo.exe
  C:\Windows\System32\GFRvguo.exe
  2⤵
  PID:5556
- C:\Windows\System32\VcbxdAe.exe
  C:\Windows\System32\VcbxdAe.exe
  2⤵
  PID:2276
- C:\Windows\System32\iYksFFa.exe
  C:\Windows\System32\iYksFFa.exe
  2⤵
  PID:2196
- C:\Windows\System32\etYZMvu.exe
  C:\Windows\System32\etYZMvu.exe
  2⤵
  PID:5752
- C:\Windows\System32\YOPraDn.exe
  C:\Windows\System32\YOPraDn.exe
  2⤵
  PID:3376
- C:\Windows\System32\ypYPjaL.exe
  C:\Windows\System32\ypYPjaL.exe
  2⤵
  PID:3792
- C:\Windows\System32\QWhOTmJ.exe
  C:\Windows\System32\QWhOTmJ.exe
  2⤵
  PID:6116
- C:\Windows\System32\dGzVHop.exe
  C:\Windows\System32\dGzVHop.exe
  2⤵
  PID:4560
- C:\Windows\System32\RPshniX.exe
  C:\Windows\System32\RPshniX.exe
  2⤵
  PID:5984
- C:\Windows\System32\wqgvBRH.exe
  C:\Windows\System32\wqgvBRH.exe
  2⤵
  PID:1524
- C:\Windows\System32\HdmHqZK.exe
  C:\Windows\System32\HdmHqZK.exe
  2⤵
  PID:5856
- C:\Windows\System32\sTyVSJW.exe
  C:\Windows\System32\sTyVSJW.exe
  2⤵
  PID:3692
- C:\Windows\System32\KZgaOdm.exe
  C:\Windows\System32\KZgaOdm.exe
  2⤵
  PID:5276
- C:\Windows\System32\wdszgTG.exe
  C:\Windows\System32\wdszgTG.exe
  2⤵
  PID:1972
- C:\Windows\System32\TwbEWEV.exe
  C:\Windows\System32\TwbEWEV.exe
  2⤵
  PID:5176
- C:\Windows\System32\kVueiGT.exe
  C:\Windows\System32\kVueiGT.exe
  2⤵
  PID:1364
- C:\Windows\System32\RPHiSIO.exe
  C:\Windows\System32\RPHiSIO.exe
  2⤵
  PID:2096
- C:\Windows\System32\CExVhhZ.exe
  C:\Windows\System32\CExVhhZ.exe
  2⤵
  PID:5332
- C:\Windows\System32\sSSqsCz.exe
  C:\Windows\System32\sSSqsCz.exe
  2⤵
  PID:5616
- C:\Windows\System32\nUwhNVX.exe
  C:\Windows\System32\nUwhNVX.exe
  2⤵
  PID:5396
- C:\Windows\System32\NnwnOML.exe
  C:\Windows\System32\NnwnOML.exe
  2⤵
  PID:6168
- C:\Windows\System32\DPAMfXv.exe
  C:\Windows\System32\DPAMfXv.exe
  2⤵
  PID:6204
- C:\Windows\System32\Yslkgnh.exe
  C:\Windows\System32\Yslkgnh.exe
  2⤵
  PID:6240
- C:\Windows\System32\JgccGzk.exe
  C:\Windows\System32\JgccGzk.exe
  2⤵
  PID:6260
- C:\Windows\System32\nIesCkz.exe
  C:\Windows\System32\nIesCkz.exe
  2⤵
  PID:6280
- C:\Windows\System32\jaQSBql.exe
  C:\Windows\System32\jaQSBql.exe
  2⤵
  PID:6300
- C:\Windows\System32\jNkxoIl.exe
  C:\Windows\System32\jNkxoIl.exe
  2⤵
  PID:6316
- C:\Windows\System32\ntHlxun.exe
  C:\Windows\System32\ntHlxun.exe
  2⤵
  PID:6340
- C:\Windows\System32\NANputz.exe
  C:\Windows\System32\NANputz.exe
  2⤵
  PID:6356
- C:\Windows\System32\EYLCLvD.exe
  C:\Windows\System32\EYLCLvD.exe
  2⤵
  PID:6380
- C:\Windows\System32\ciJsyfQ.exe
  C:\Windows\System32\ciJsyfQ.exe
  2⤵
  PID:6396
- C:\Windows\System32\djvWgbA.exe
  C:\Windows\System32\djvWgbA.exe
  2⤵
  PID:6444
- C:\Windows\System32\MKUVWwT.exe
  C:\Windows\System32\MKUVWwT.exe
  2⤵
  PID:6496
- C:\Windows\System32\trYdydb.exe
  C:\Windows\System32\trYdydb.exe
  2⤵
  PID:6532
- C:\Windows\System32\zcvQMFi.exe
  C:\Windows\System32\zcvQMFi.exe
  2⤵
  PID:6560
- C:\Windows\System32\JXiumDK.exe
  C:\Windows\System32\JXiumDK.exe
  2⤵
  PID:6608
- C:\Windows\System32\qcPmbZf.exe
  C:\Windows\System32\qcPmbZf.exe
  2⤵
  PID:6700
- C:\Windows\System32\CgFyLOy.exe
  C:\Windows\System32\CgFyLOy.exe
  2⤵
  PID:6720
- C:\Windows\System32\ptSOsXG.exe
  C:\Windows\System32\ptSOsXG.exe
  2⤵
  PID:6744
- C:\Windows\System32\BqbbDMX.exe
  C:\Windows\System32\BqbbDMX.exe
  2⤵
  PID:6764
- C:\Windows\System32\RAtvkbv.exe
  C:\Windows\System32\RAtvkbv.exe
  2⤵
  PID:6804
- C:\Windows\System32\mdyOMrD.exe
  C:\Windows\System32\mdyOMrD.exe
  2⤵
  PID:6832
- C:\Windows\System32\ApIhYKZ.exe
  C:\Windows\System32\ApIhYKZ.exe
  2⤵
  PID:6864
- C:\Windows\System32\IMOEFTy.exe
  C:\Windows\System32\IMOEFTy.exe
  2⤵
  PID:6888
- C:\Windows\System32\tZvmvIy.exe
  C:\Windows\System32\tZvmvIy.exe
  2⤵
  PID:6912
- C:\Windows\System32\gVKbakx.exe
  C:\Windows\System32\gVKbakx.exe
  2⤵
  PID:6928
- C:\Windows\System32\iSSQuur.exe
  C:\Windows\System32\iSSQuur.exe
  2⤵
  PID:6968
- C:\Windows\System32\zmCGPgY.exe
  C:\Windows\System32\zmCGPgY.exe
  2⤵
  PID:7000
- C:\Windows\System32\RhmfzkJ.exe
  C:\Windows\System32\RhmfzkJ.exe
  2⤵
  PID:7020
- C:\Windows\System32\eoQrXKT.exe
  C:\Windows\System32\eoQrXKT.exe
  2⤵
  PID:7044
- C:\Windows\System32\hBKIRRm.exe
  C:\Windows\System32\hBKIRRm.exe
  2⤵
  PID:7064
- C:\Windows\System32\ZBewbtj.exe
  C:\Windows\System32\ZBewbtj.exe
  2⤵
  PID:7080
- C:\Windows\System32\jwkWlOX.exe
  C:\Windows\System32\jwkWlOX.exe
  2⤵
  PID:7116
- C:\Windows\System32\MnmvFUO.exe
  C:\Windows\System32\MnmvFUO.exe
  2⤵
  PID:7144
- C:\Windows\System32\sLzOaRH.exe
  C:\Windows\System32\sLzOaRH.exe
  2⤵
  PID:5060
- C:\Windows\System32\dZEPnVJ.exe
  C:\Windows\System32\dZEPnVJ.exe
  2⤵
  PID:6176
- C:\Windows\System32\xZknLBq.exe
  C:\Windows\System32\xZknLBq.exe
  2⤵
  PID:6224
- C:\Windows\System32\krDpZnx.exe
  C:\Windows\System32\krDpZnx.exe
  2⤵
  PID:6336
- C:\Windows\System32\IxCPjFz.exe
  C:\Windows\System32\IxCPjFz.exe
  2⤵
  PID:6412
- C:\Windows\System32\EOPBKQW.exe
  C:\Windows\System32\EOPBKQW.exe
  2⤵
  PID:6364
- C:\Windows\System32\fQjJKtZ.exe
  C:\Windows\System32\fQjJKtZ.exe
  2⤵
  PID:6568
- C:\Windows\System32\DxzXlhM.exe
  C:\Windows\System32\DxzXlhM.exe
  2⤵
  PID:6620
- C:\Windows\System32\NwHdFRR.exe
  C:\Windows\System32\NwHdFRR.exe
  2⤵
  PID:6672
- C:\Windows\System32\EcnmuVo.exe
  C:\Windows\System32\EcnmuVo.exe
  2⤵
  PID:5696
- C:\Windows\System32\SSAZUCP.exe
  C:\Windows\System32\SSAZUCP.exe
  2⤵
  PID:6796
- C:\Windows\System32\ErbsYeF.exe
  C:\Windows\System32\ErbsYeF.exe
  2⤵
  PID:6872
- C:\Windows\System32\YgmSiRs.exe
  C:\Windows\System32\YgmSiRs.exe
  2⤵
  PID:6960
- C:\Windows\System32\geyEUcf.exe
  C:\Windows\System32\geyEUcf.exe
  2⤵
  PID:6988
- C:\Windows\System32\FfgmEoX.exe
  C:\Windows\System32\FfgmEoX.exe
  2⤵
  PID:7008
- C:\Windows\System32\DgrBynA.exe
  C:\Windows\System32\DgrBynA.exe
  2⤵
  PID:7128
- C:\Windows\System32\LcYGOhs.exe
  C:\Windows\System32\LcYGOhs.exe
  2⤵
  PID:6248
- C:\Windows\System32\ZisNaZE.exe
  C:\Windows\System32\ZisNaZE.exe
  2⤵
  PID:6392
- C:\Windows\System32\HWepKIg.exe
  C:\Windows\System32\HWepKIg.exe
  2⤵
  PID:6468
- C:\Windows\System32\FHCcrBk.exe
  C:\Windows\System32\FHCcrBk.exe
  2⤵
  PID:6556
- C:\Windows\System32\EBiqQik.exe
  C:\Windows\System32\EBiqQik.exe
  2⤵
  PID:6772
- C:\Windows\System32\LrubJOg.exe
  C:\Windows\System32\LrubJOg.exe
  2⤵
  PID:6904
- C:\Windows\System32\HqJToOr.exe
  C:\Windows\System32\HqJToOr.exe
  2⤵
  PID:7032
- C:\Windows\System32\ElEDbtz.exe
  C:\Windows\System32\ElEDbtz.exe
  2⤵
  PID:7096
- C:\Windows\System32\vzXByIF.exe
  C:\Windows\System32\vzXByIF.exe
  2⤵
  PID:6404
- C:\Windows\System32\qpXfPYW.exe
  C:\Windows\System32\qpXfPYW.exe
  2⤵
  PID:6648
- C:\Windows\System32\MJdwrFy.exe
  C:\Windows\System32\MJdwrFy.exe
  2⤵
  PID:6840
- C:\Windows\System32\OXjjwPI.exe
  C:\Windows\System32\OXjjwPI.exe
  2⤵
  PID:7140
- C:\Windows\System32\kJsmfqa.exe
  C:\Windows\System32\kJsmfqa.exe
  2⤵
  PID:6588
- C:\Windows\System32\EWSUnAm.exe
  C:\Windows\System32\EWSUnAm.exe
  2⤵
  PID:7196
- C:\Windows\System32\gFHUJQF.exe
  C:\Windows\System32\gFHUJQF.exe
  2⤵
  PID:7216
- C:\Windows\System32\QGrhRxr.exe
  C:\Windows\System32\QGrhRxr.exe
  2⤵
  PID:7316
- C:\Windows\System32\tNCvvKE.exe
  C:\Windows\System32\tNCvvKE.exe
  2⤵
  PID:7344
- C:\Windows\System32\XQOEQaf.exe
  C:\Windows\System32\XQOEQaf.exe
  2⤵
  PID:7368
- C:\Windows\System32\UFEYMJV.exe
  C:\Windows\System32\UFEYMJV.exe
  2⤵
  PID:7388
- C:\Windows\System32\IprYrxR.exe
  C:\Windows\System32\IprYrxR.exe
  2⤵
  PID:7404
- C:\Windows\System32\NHlqWXI.exe
  C:\Windows\System32\NHlqWXI.exe
  2⤵
  PID:7432
- C:\Windows\System32\HvQcnWQ.exe
  C:\Windows\System32\HvQcnWQ.exe
  2⤵
  PID:7448
- C:\Windows\System32\BcCYVde.exe
  C:\Windows\System32\BcCYVde.exe
  2⤵
  PID:7524
- C:\Windows\System32\rDuxvFl.exe
  C:\Windows\System32\rDuxvFl.exe
  2⤵
  PID:7544
- C:\Windows\System32\YXqXiKL.exe
  C:\Windows\System32\YXqXiKL.exe
  2⤵
  PID:7564
- C:\Windows\System32\VxSdOjz.exe
  C:\Windows\System32\VxSdOjz.exe
  2⤵
  PID:7584
- C:\Windows\System32\XefkXEn.exe
  C:\Windows\System32\XefkXEn.exe
  2⤵
  PID:7616
- C:\Windows\System32\JbtXDkV.exe
  C:\Windows\System32\JbtXDkV.exe
  2⤵
  PID:7640
- C:\Windows\System32\JgmQLGN.exe
  C:\Windows\System32\JgmQLGN.exe
  2⤵
  PID:7688
- C:\Windows\System32\wImMImt.exe
  C:\Windows\System32\wImMImt.exe
  2⤵
  PID:7704
- C:\Windows\System32\JrySAYT.exe
  C:\Windows\System32\JrySAYT.exe
  2⤵
  PID:7740
- C:\Windows\System32\NFGAxeW.exe
  C:\Windows\System32\NFGAxeW.exe
  2⤵
  PID:7756
- C:\Windows\System32\AjSmYIP.exe
  C:\Windows\System32\AjSmYIP.exe
  2⤵
  PID:7780
- C:\Windows\System32\WSdxkXU.exe
  C:\Windows\System32\WSdxkXU.exe
  2⤵
  PID:7800
- C:\Windows\System32\QYVuyTm.exe
  C:\Windows\System32\QYVuyTm.exe
  2⤵
  PID:7820
- C:\Windows\System32\pAHNyzZ.exe
  C:\Windows\System32\pAHNyzZ.exe
  2⤵
  PID:7844
- C:\Windows\System32\qzeZZBC.exe
  C:\Windows\System32\qzeZZBC.exe
  2⤵
  PID:7860
- C:\Windows\System32\qXqzUcE.exe
  C:\Windows\System32\qXqzUcE.exe
  2⤵
  PID:7908
- C:\Windows\System32\yVyRRSp.exe
  C:\Windows\System32\yVyRRSp.exe
  2⤵
  PID:7924
- C:\Windows\System32\XRWqWjz.exe
  C:\Windows\System32\XRWqWjz.exe
  2⤵
  PID:7952
- C:\Windows\System32\NfKKDiL.exe
  C:\Windows\System32\NfKKDiL.exe
  2⤵
  PID:8008
- C:\Windows\System32\HYZgMRC.exe
  C:\Windows\System32\HYZgMRC.exe
  2⤵
  PID:8028
- C:\Windows\System32\mmECtlO.exe
  C:\Windows\System32\mmECtlO.exe
  2⤵
  PID:8048
- C:\Windows\System32\fvLQQKR.exe
  C:\Windows\System32\fvLQQKR.exe
  2⤵
  PID:8072
- C:\Windows\System32\GEpeBCv.exe
  C:\Windows\System32\GEpeBCv.exe
  2⤵
  PID:8092
- C:\Windows\System32\kwGezGM.exe
  C:\Windows\System32\kwGezGM.exe
  2⤵
  PID:8132
- C:\Windows\System32\dJCvuwI.exe
  C:\Windows\System32\dJCvuwI.exe
  2⤵
  PID:8168
- C:\Windows\System32\TsUMmhW.exe
  C:\Windows\System32\TsUMmhW.exe
  2⤵
  PID:7188
- C:\Windows\System32\GhNtCep.exe
  C:\Windows\System32\GhNtCep.exe
  2⤵
  PID:7304
- C:\Windows\System32\bKHhyhG.exe
  C:\Windows\System32\bKHhyhG.exe
  2⤵
  PID:7340
- C:\Windows\System32\QewzjPQ.exe
  C:\Windows\System32\QewzjPQ.exe
  2⤵
  PID:7400
- C:\Windows\System32\glqkudO.exe
  C:\Windows\System32\glqkudO.exe
  2⤵
  PID:7428
- C:\Windows\System32\AluAJrt.exe
  C:\Windows\System32\AluAJrt.exe
  2⤵
  PID:7536
- C:\Windows\System32\Psnawfr.exe
  C:\Windows\System32\Psnawfr.exe
  2⤵
  PID:6436
- C:\Windows\System32\GEpWGCh.exe
  C:\Windows\System32\GEpWGCh.exe
  2⤵
  PID:7600
- C:\Windows\System32\NwrIOIU.exe
  C:\Windows\System32\NwrIOIU.exe
  2⤵
  PID:7632
- C:\Windows\System32\ocAhggo.exe
  C:\Windows\System32\ocAhggo.exe
  2⤵
  PID:7676
- C:\Windows\System32\qIMdvNr.exe
  C:\Windows\System32\qIMdvNr.exe
  2⤵
  PID:7776
- C:\Windows\System32\pxDmhpL.exe
  C:\Windows\System32\pxDmhpL.exe
  2⤵
  PID:7812
- C:\Windows\System32\pLKKrra.exe
  C:\Windows\System32\pLKKrra.exe
  2⤵
  PID:7936
- C:\Windows\System32\ioapucB.exe
  C:\Windows\System32\ioapucB.exe
  2⤵
  PID:7932
- C:\Windows\System32\wkAVptg.exe
  C:\Windows\System32\wkAVptg.exe
  2⤵
  PID:8104
- C:\Windows\System32\HvimvCL.exe
  C:\Windows\System32\HvimvCL.exe
  2⤵
  PID:8124
- C:\Windows\System32\UXvLbys.exe
  C:\Windows\System32\UXvLbys.exe
  2⤵
  PID:7212
- C:\Windows\System32\YzntkwU.exe
  C:\Windows\System32\YzntkwU.exe
  2⤵
  PID:7352
- C:\Windows\System32\upqsvED.exe
  C:\Windows\System32\upqsvED.exe
  2⤵
  PID:7624
- C:\Windows\System32\HbrDCCF.exe
  C:\Windows\System32\HbrDCCF.exe
  2⤵
  PID:7732
- C:\Windows\System32\TBrohJS.exe
  C:\Windows\System32\TBrohJS.exe
  2⤵
  PID:7868
- C:\Windows\System32\oEemzke.exe
  C:\Windows\System32\oEemzke.exe
  2⤵
  PID:7916
- C:\Windows\System32\JIpYVXu.exe
  C:\Windows\System32\JIpYVXu.exe
  2⤵
  PID:8064
- C:\Windows\System32\HecILkH.exe
  C:\Windows\System32\HecILkH.exe
  2⤵
  PID:7468
- C:\Windows\System32\DZcYkxC.exe
  C:\Windows\System32\DZcYkxC.exe
  2⤵
  PID:7580
- C:\Windows\System32\lvOhHUd.exe
  C:\Windows\System32\lvOhHUd.exe
  2⤵
  PID:7648
- C:\Windows\System32\UYtVTbn.exe
  C:\Windows\System32\UYtVTbn.exe
  2⤵
  PID:7500
- C:\Windows\System32\sQrtZiI.exe
  C:\Windows\System32\sQrtZiI.exe
  2⤵
  PID:8196
- C:\Windows\System32\gKYLrEx.exe
  C:\Windows\System32\gKYLrEx.exe
  2⤵
  PID:8232
- C:\Windows\System32\hkPzUYJ.exe
  C:\Windows\System32\hkPzUYJ.exe
  2⤵
  PID:8260
- C:\Windows\System32\oBXWafO.exe
  C:\Windows\System32\oBXWafO.exe
  2⤵
  PID:8276
- C:\Windows\System32\cAbZltV.exe
  C:\Windows\System32\cAbZltV.exe
  2⤵
  PID:8296
- C:\Windows\System32\RdjSpYK.exe
  C:\Windows\System32\RdjSpYK.exe
  2⤵
  PID:8320
- C:\Windows\System32\bbSxNkh.exe
  C:\Windows\System32\bbSxNkh.exe
  2⤵
  PID:8360
- C:\Windows\System32\RlFnJqi.exe
  C:\Windows\System32\RlFnJqi.exe
  2⤵
  PID:8388
- C:\Windows\System32\ITsQaBl.exe
  C:\Windows\System32\ITsQaBl.exe
  2⤵
  PID:8408
- C:\Windows\System32\gmkRAki.exe
  C:\Windows\System32\gmkRAki.exe
  2⤵
  PID:8428
- C:\Windows\System32\MIkXPEi.exe
  C:\Windows\System32\MIkXPEi.exe
  2⤵
  PID:8456
- C:\Windows\System32\tjMmCRW.exe
  C:\Windows\System32\tjMmCRW.exe
  2⤵
  PID:8492
- C:\Windows\System32\crckiTj.exe
  C:\Windows\System32\crckiTj.exe
  2⤵
  PID:8524
- C:\Windows\System32\xqKZORD.exe
  C:\Windows\System32\xqKZORD.exe
  2⤵
  PID:8556
- C:\Windows\System32\DGyctoj.exe
  C:\Windows\System32\DGyctoj.exe
  2⤵
  PID:8596
- C:\Windows\System32\ZOFnyph.exe
  C:\Windows\System32\ZOFnyph.exe
  2⤵
  PID:8612
- C:\Windows\System32\wARLTLP.exe
  C:\Windows\System32\wARLTLP.exe
  2⤵
  PID:8652
- C:\Windows\System32\LUaIoHk.exe
  C:\Windows\System32\LUaIoHk.exe
  2⤵
  PID:8668
- C:\Windows\System32\bIKBUBo.exe
  C:\Windows\System32\bIKBUBo.exe
  2⤵
  PID:8696
- C:\Windows\System32\pMBxrpJ.exe
  C:\Windows\System32\pMBxrpJ.exe
  2⤵
  PID:8724
- C:\Windows\System32\VFPuyiP.exe
  C:\Windows\System32\VFPuyiP.exe
  2⤵
  PID:8744
- C:\Windows\System32\IeFXlgC.exe
  C:\Windows\System32\IeFXlgC.exe
  2⤵
  PID:8768
- C:\Windows\System32\ubSUhAa.exe
  C:\Windows\System32\ubSUhAa.exe
  2⤵
  PID:8784
- C:\Windows\System32\jVcDKPd.exe
  C:\Windows\System32\jVcDKPd.exe
  2⤵
  PID:8836
- C:\Windows\System32\lCTQwna.exe
  C:\Windows\System32\lCTQwna.exe
  2⤵
  PID:8872
- C:\Windows\System32\bGshwSL.exe
  C:\Windows\System32\bGshwSL.exe
  2⤵
  PID:8896
- C:\Windows\System32\RVRBUej.exe
  C:\Windows\System32\RVRBUej.exe
  2⤵
  PID:8912
- C:\Windows\System32\jvVdLYf.exe
  C:\Windows\System32\jvVdLYf.exe
  2⤵
  PID:8936
- C:\Windows\System32\iNxwWli.exe
  C:\Windows\System32\iNxwWli.exe
  2⤵
  PID:8956
- C:\Windows\System32\jRHickk.exe
  C:\Windows\System32\jRHickk.exe
  2⤵
  PID:9004
- C:\Windows\System32\OSJrLyc.exe
  C:\Windows\System32\OSJrLyc.exe
  2⤵
  PID:9044
- C:\Windows\System32\fyJyqjn.exe
  C:\Windows\System32\fyJyqjn.exe
  2⤵
  PID:9072
- C:\Windows\System32\SgtEfRE.exe
  C:\Windows\System32\SgtEfRE.exe
  2⤵
  PID:9100
- C:\Windows\System32\qAhEdBU.exe
  C:\Windows\System32\qAhEdBU.exe
  2⤵
  PID:9124
- C:\Windows\System32\DuMlTcM.exe
  C:\Windows\System32\DuMlTcM.exe
  2⤵
  PID:9144
- C:\Windows\System32\txVcgmT.exe
  C:\Windows\System32\txVcgmT.exe
  2⤵
  PID:9160
- C:\Windows\System32\GpEZFQc.exe
  C:\Windows\System32\GpEZFQc.exe
  2⤵
  PID:9196
- C:\Windows\System32\KsSCJnk.exe
  C:\Windows\System32\KsSCJnk.exe
  2⤵
  PID:8244
- C:\Windows\System32\FQPinKs.exe
  C:\Windows\System32\FQPinKs.exe
  2⤵
  PID:8288
- C:\Windows\System32\WmLfkKG.exe
  C:\Windows\System32\WmLfkKG.exe
  2⤵
  PID:8348
- C:\Windows\System32\RKSmzlO.exe
  C:\Windows\System32\RKSmzlO.exe
  2⤵
  PID:8452
- C:\Windows\System32\nQfbocP.exe
  C:\Windows\System32\nQfbocP.exe
  2⤵
  PID:8464
- C:\Windows\System32\dZTJICy.exe
  C:\Windows\System32\dZTJICy.exe
  2⤵
  PID:8544
- C:\Windows\System32\cLDNHjB.exe
  C:\Windows\System32\cLDNHjB.exe
  2⤵
  PID:8584
- C:\Windows\System32\SLHcMVc.exe
  C:\Windows\System32\SLHcMVc.exe
  2⤵
  PID:8708
- C:\Windows\System32\orTyCML.exe
  C:\Windows\System32\orTyCML.exe
  2⤵
  PID:8740
- C:\Windows\System32\ZhDkEyA.exe
  C:\Windows\System32\ZhDkEyA.exe
  2⤵
  PID:8792
- C:\Windows\System32\QTygyel.exe
  C:\Windows\System32\QTygyel.exe
  2⤵
  PID:8844
- C:\Windows\System32\NWZOaRY.exe
  C:\Windows\System32\NWZOaRY.exe
  2⤵
  PID:8952
- C:\Windows\System32\nBcCSkr.exe
  C:\Windows\System32\nBcCSkr.exe
  2⤵
  PID:8932
- C:\Windows\System32\YkfsgXN.exe
  C:\Windows\System32\YkfsgXN.exe
  2⤵
  PID:9060
- C:\Windows\System32\GEVJeaf.exe
  C:\Windows\System32\GEVJeaf.exe
  2⤵
  PID:9120
- C:\Windows\System32\hcZipHO.exe
  C:\Windows\System32\hcZipHO.exe
  2⤵
  PID:9168
- C:\Windows\System32\iGAWDKb.exe
  C:\Windows\System32\iGAWDKb.exe
  2⤵
  PID:8664
- C:\Windows\System32\fQsvziN.exe
  C:\Windows\System32\fQsvziN.exe
  2⤵
  PID:8688
- C:\Windows\System32\wMFVPlF.exe
  C:\Windows\System32\wMFVPlF.exe
  2⤵
  PID:8776
- C:\Windows\System32\aCLFqoQ.exe
  C:\Windows\System32\aCLFqoQ.exe
  2⤵
  PID:9024
- C:\Windows\System32\whfqAsp.exe
  C:\Windows\System32\whfqAsp.exe
  2⤵
  PID:9112
- C:\Windows\System32\FYcfpAu.exe
  C:\Windows\System32\FYcfpAu.exe
  2⤵
  PID:9232
- C:\Windows\System32\FksncjG.exe
  C:\Windows\System32\FksncjG.exe
  2⤵
  PID:9248
- C:\Windows\System32\bakSRMe.exe
  C:\Windows\System32\bakSRMe.exe
  2⤵
  PID:9264
- C:\Windows\System32\zpaSSLt.exe
  C:\Windows\System32\zpaSSLt.exe
  2⤵
  PID:9280
- C:\Windows\System32\AMVfAjn.exe
  C:\Windows\System32\AMVfAjn.exe
  2⤵
  PID:9296
- C:\Windows\System32\TgjPxxE.exe
  C:\Windows\System32\TgjPxxE.exe
  2⤵
  PID:9312
- C:\Windows\System32\nljUyWm.exe
  C:\Windows\System32\nljUyWm.exe
  2⤵
  PID:9328
- C:\Windows\System32\QkXWqJu.exe
  C:\Windows\System32\QkXWqJu.exe
  2⤵
  PID:9344
- C:\Windows\System32\erzUPHr.exe
  C:\Windows\System32\erzUPHr.exe
  2⤵
  PID:9360
- C:\Windows\System32\mnwHtln.exe
  C:\Windows\System32\mnwHtln.exe
  2⤵
  PID:9376
- C:\Windows\System32\AaZKfrh.exe
  C:\Windows\System32\AaZKfrh.exe
  2⤵
  PID:9392
- C:\Windows\System32\KXRgLRU.exe
  C:\Windows\System32\KXRgLRU.exe
  2⤵
  PID:9480
- C:\Windows\System32\LTdFwCi.exe
  C:\Windows\System32\LTdFwCi.exe
  2⤵
  PID:9548
- C:\Windows\System32\EdCwUAU.exe
  C:\Windows\System32\EdCwUAU.exe
  2⤵
  PID:9568
- C:\Windows\System32\KjYtkAu.exe
  C:\Windows\System32\KjYtkAu.exe
  2⤵
  PID:9724
- C:\Windows\System32\NcNlluQ.exe
  C:\Windows\System32\NcNlluQ.exe
  2⤵
  PID:9760
- C:\Windows\System32\HGwwNGz.exe
  C:\Windows\System32\HGwwNGz.exe
  2⤵
  PID:9784
- C:\Windows\System32\BxQLcMt.exe
  C:\Windows\System32\BxQLcMt.exe
  2⤵
  PID:9812
- C:\Windows\System32\kaDYVjM.exe
  C:\Windows\System32\kaDYVjM.exe
  2⤵
  PID:9856
- C:\Windows\System32\MJqtOGg.exe
  C:\Windows\System32\MJqtOGg.exe
  2⤵
  PID:9872
- C:\Windows\System32\bytMxek.exe
  C:\Windows\System32\bytMxek.exe
  2⤵
  PID:9900
- C:\Windows\System32\SvnXEha.exe
  C:\Windows\System32\SvnXEha.exe
  2⤵
  PID:9916
- C:\Windows\System32\PrHEEWt.exe
  C:\Windows\System32\PrHEEWt.exe
  2⤵
  PID:9952
- C:\Windows\System32\bjtkeSw.exe
  C:\Windows\System32\bjtkeSw.exe
  2⤵
  PID:9972
- C:\Windows\System32\BXTOXGi.exe
  C:\Windows\System32\BXTOXGi.exe
  2⤵
  PID:9988
- C:\Windows\System32\FgAYJPX.exe
  C:\Windows\System32\FgAYJPX.exe
  2⤵
  PID:10012
- C:\Windows\System32\hzMLrpx.exe
  C:\Windows\System32\hzMLrpx.exe
  2⤵
  PID:10032
- C:\Windows\System32\MCMSUrF.exe
  C:\Windows\System32\MCMSUrF.exe
  2⤵
  PID:10060
- C:\Windows\System32\applFAS.exe
  C:\Windows\System32\applFAS.exe
  2⤵
  PID:10088
- C:\Windows\System32\soXiqwE.exe
  C:\Windows\System32\soXiqwE.exe
  2⤵
  PID:10104
- C:\Windows\System32\FpZxuyf.exe
  C:\Windows\System32\FpZxuyf.exe
  2⤵
  PID:10168
- C:\Windows\System32\jlQVrhu.exe
  C:\Windows\System32\jlQVrhu.exe
  2⤵
  PID:10184
- C:\Windows\System32\oaiqBBL.exe
  C:\Windows\System32\oaiqBBL.exe
  2⤵
  PID:10204
- C:\Windows\System32\WVDRDsH.exe
  C:\Windows\System32\WVDRDsH.exe
  2⤵
  PID:10228
- C:\Windows\System32\fpFMhqH.exe
  C:\Windows\System32\fpFMhqH.exe
  2⤵
  PID:7176
- C:\Windows\System32\TANWkPd.exe
  C:\Windows\System32\TANWkPd.exe
  2⤵
  PID:9440
- C:\Windows\System32\VubKkdO.exe
  C:\Windows\System32\VubKkdO.exe
  2⤵
  PID:9208
- C:\Windows\System32\gjnYTjg.exe
  C:\Windows\System32\gjnYTjg.exe
  2⤵
  PID:8268
- C:\Windows\System32\YICBUxf.exe
  C:\Windows\System32\YICBUxf.exe
  2⤵
  PID:8328
- C:\Windows\System32\PWqquko.exe
  C:\Windows\System32\PWqquko.exe
  2⤵
  PID:4828
- C:\Windows\System32\AxpRgIb.exe
  C:\Windows\System32\AxpRgIb.exe
  2⤵
  PID:8832
- C:\Windows\System32\HHwMlDC.exe
  C:\Windows\System32\HHwMlDC.exe
  2⤵
  PID:9244
- C:\Windows\System32\wJsPuuf.exe
  C:\Windows\System32\wJsPuuf.exe
  2⤵
  PID:9400
- C:\Windows\System32\CwKFqOC.exe
  C:\Windows\System32\CwKFqOC.exe
  2⤵
  PID:9464
- C:\Windows\System32\GFXKzuM.exe
  C:\Windows\System32\GFXKzuM.exe
  2⤵
  PID:9648
- C:\Windows\System32\cGYGYBq.exe
  C:\Windows\System32\cGYGYBq.exe
  2⤵
  PID:9596
- C:\Windows\System32\smvbXKd.exe
  C:\Windows\System32\smvbXKd.exe
  2⤵
  PID:9716
- C:\Windows\System32\DuvMxeK.exe
  C:\Windows\System32\DuvMxeK.exe
  2⤵
  PID:9804
- C:\Windows\System32\iAaPiDj.exe
  C:\Windows\System32\iAaPiDj.exe
  2⤵
  PID:9928
- C:\Windows\System32\jDCrxal.exe
  C:\Windows\System32\jDCrxal.exe
  2⤵
  PID:9924
- C:\Windows\System32\NVfGlFv.exe
  C:\Windows\System32\NVfGlFv.exe
  2⤵
  PID:10008
- C:\Windows\System32\aZcIbLt.exe
  C:\Windows\System32\aZcIbLt.exe
  2⤵
  PID:10052
- C:\Windows\System32\FAOVsoy.exe
  C:\Windows\System32\FAOVsoy.exe
  2⤵
  PID:10020
- C:\Windows\System32\fOuYwcW.exe
  C:\Windows\System32\fOuYwcW.exe
  2⤵
  PID:10156
- C:\Windows\System32\bsOoCwX.exe
  C:\Windows\System32\bsOoCwX.exe
  2⤵
  PID:10212
- C:\Windows\System32\ktJBGpy.exe
  C:\Windows\System32\ktJBGpy.exe
  2⤵
  PID:9180
- C:\Windows\System32\anJAkVF.exe
  C:\Windows\System32\anJAkVF.exe
  2⤵
  PID:9416
- C:\Windows\System32\uVNDSWj.exe
  C:\Windows\System32\uVNDSWj.exe
  2⤵
  PID:9404
- C:\Windows\System32\ebJwxkY.exe
  C:\Windows\System32\ebJwxkY.exe
  2⤵
  PID:9620
- C:\Windows\System32\LkamkYC.exe
  C:\Windows\System32\LkamkYC.exe
  2⤵
  PID:9740
- C:\Windows\System32\wWQXRYw.exe
  C:\Windows\System32\wWQXRYw.exe
  2⤵
  PID:9828
- C:\Windows\System32\tjuekQu.exe
  C:\Windows\System32\tjuekQu.exe
  2⤵
  PID:9964
- C:\Windows\System32\WOSMKJo.exe
  C:\Windows\System32\WOSMKJo.exe
  2⤵
  PID:10176
- C:\Windows\System32\PLeOOTY.exe
  C:\Windows\System32\PLeOOTY.exe
  2⤵
  PID:9428
- C:\Windows\System32\yXnghhR.exe
  C:\Windows\System32\yXnghhR.exe
  2⤵
  PID:9564
- C:\Windows\System32\OZuUojr.exe
  C:\Windows\System32\OZuUojr.exe
  2⤵
  PID:9460
- C:\Windows\System32\oVVsxWg.exe
  C:\Windows\System32\oVVsxWg.exe
  2⤵
  PID:10068
- C:\Windows\System32\LQcBfbL.exe
  C:\Windows\System32\LQcBfbL.exe
  2⤵
  PID:8224
- C:\Windows\System32\XwCocSu.exe
  C:\Windows\System32\XwCocSu.exe
  2⤵
  PID:9368
- C:\Windows\System32\xznqFwz.exe
  C:\Windows\System32\xznqFwz.exe
  2⤵
  PID:9420
- C:\Windows\System32\kEfCYOO.exe
  C:\Windows\System32\kEfCYOO.exe
  2⤵
  PID:10292
- C:\Windows\System32\rjWIluF.exe
  C:\Windows\System32\rjWIluF.exe
  2⤵
  PID:10320
- C:\Windows\System32\XNYytAA.exe
  C:\Windows\System32\XNYytAA.exe
  2⤵
  PID:10348
- C:\Windows\System32\aisafrR.exe
  C:\Windows\System32\aisafrR.exe
  2⤵
  PID:10372
- C:\Windows\System32\oQndjrA.exe
  C:\Windows\System32\oQndjrA.exe
  2⤵
  PID:10416
- C:\Windows\System32\EVbDXfd.exe
  C:\Windows\System32\EVbDXfd.exe
  2⤵
  PID:10432
- C:\Windows\System32\aRrIesx.exe
  C:\Windows\System32\aRrIesx.exe
  2⤵
  PID:10452
- C:\Windows\System32\WwsxZIp.exe
  C:\Windows\System32\WwsxZIp.exe
  2⤵
  PID:10476
- C:\Windows\System32\CMDamnM.exe
  C:\Windows\System32\CMDamnM.exe
  2⤵
  PID:10524
- C:\Windows\System32\MINPTEj.exe
  C:\Windows\System32\MINPTEj.exe
  2⤵
  PID:10544
- C:\Windows\System32\ympfOOj.exe
  C:\Windows\System32\ympfOOj.exe
  2⤵
  PID:10572
- C:\Windows\System32\PsKqbjd.exe
  C:\Windows\System32\PsKqbjd.exe
  2⤵
  PID:10600
- C:\Windows\System32\nwjYvMM.exe
  C:\Windows\System32\nwjYvMM.exe
  2⤵
  PID:10628
- C:\Windows\System32\nncZVxz.exe
  C:\Windows\System32\nncZVxz.exe
  2⤵
  PID:10644
- C:\Windows\System32\KjPaFUO.exe
  C:\Windows\System32\KjPaFUO.exe
  2⤵
  PID:10688
- C:\Windows\System32\iolrNeD.exe
  C:\Windows\System32\iolrNeD.exe
  2⤵
  PID:10712
- C:\Windows\System32\pYnLRNE.exe
  C:\Windows\System32\pYnLRNE.exe
  2⤵
  PID:10736
- C:\Windows\System32\twkiHNp.exe
  C:\Windows\System32\twkiHNp.exe
  2⤵
  PID:10756
- C:\Windows\System32\jGegMYX.exe
  C:\Windows\System32\jGegMYX.exe
  2⤵
  PID:10784
- C:\Windows\System32\eXpuABN.exe
  C:\Windows\System32\eXpuABN.exe
  2⤵
  PID:10848
- C:\Windows\System32\pJblqpb.exe
  C:\Windows\System32\pJblqpb.exe
  2⤵
  PID:10864
- C:\Windows\System32\bKlOEoP.exe
  C:\Windows\System32\bKlOEoP.exe
  2⤵
  PID:10880
- C:\Windows\System32\cozZeMH.exe
  C:\Windows\System32\cozZeMH.exe
  2⤵
  PID:10900
- C:\Windows\System32\CqhRgPr.exe
  C:\Windows\System32\CqhRgPr.exe
  2⤵
  PID:10932
- C:\Windows\System32\SWuEstB.exe
  C:\Windows\System32\SWuEstB.exe
  2⤵
  PID:10964
- C:\Windows\System32\NBfDNUL.exe
  C:\Windows\System32\NBfDNUL.exe
  2⤵
  PID:10996
- C:\Windows\System32\beHYUFi.exe
  C:\Windows\System32\beHYUFi.exe
  2⤵
  PID:11024
- C:\Windows\System32\zxognoR.exe
  C:\Windows\System32\zxognoR.exe
  2⤵
  PID:11040
- C:\Windows\System32\EsTxaFO.exe
  C:\Windows\System32\EsTxaFO.exe
  2⤵
  PID:11068
- C:\Windows\System32\SYwLqfo.exe
  C:\Windows\System32\SYwLqfo.exe
  2⤵
  PID:11088
- C:\Windows\System32\mggZtQG.exe
  C:\Windows\System32\mggZtQG.exe
  2⤵
  PID:11112
- C:\Windows\System32\UbtLehr.exe
  C:\Windows\System32\UbtLehr.exe
  2⤵
  PID:11152
- C:\Windows\System32\YBJUeZX.exe
  C:\Windows\System32\YBJUeZX.exe
  2⤵
  PID:11176
- C:\Windows\System32\vefHgim.exe
  C:\Windows\System32\vefHgim.exe
  2⤵
  PID:11224
- C:\Windows\System32\FzGlzCG.exe
  C:\Windows\System32\FzGlzCG.exe
  2⤵
  PID:11252
- C:\Windows\System32\oHxutPz.exe
  C:\Windows\System32\oHxutPz.exe
  2⤵
  PID:10248
- C:\Windows\System32\yplBeZW.exe
  C:\Windows\System32\yplBeZW.exe
  2⤵
  PID:10288
- C:\Windows\System32\FIPQhHO.exe
  C:\Windows\System32\FIPQhHO.exe
  2⤵
  PID:10332
- C:\Windows\System32\GYHQEVt.exe
  C:\Windows\System32\GYHQEVt.exe
  2⤵
  PID:10428
- C:\Windows\System32\WRWCyis.exe
  C:\Windows\System32\WRWCyis.exe
  2⤵
  PID:10448
- C:\Windows\System32\VdkPvDq.exe
  C:\Windows\System32\VdkPvDq.exe
  2⤵
  PID:10556
- C:\Windows\System32\RJrnbrG.exe
  C:\Windows\System32\RJrnbrG.exe
  2⤵
  PID:10616
- C:\Windows\System32\jSmqJqr.exe
  C:\Windows\System32\jSmqJqr.exe
  2⤵
  PID:10636
- C:\Windows\System32\lBooIgm.exe
  C:\Windows\System32\lBooIgm.exe
  2⤵
  PID:10768
- C:\Windows\System32\RDcxjLQ.exe
  C:\Windows\System32\RDcxjLQ.exe
  2⤵
  PID:10844
- C:\Windows\System32\NDzfXam.exe
  C:\Windows\System32\NDzfXam.exe
  2⤵
  PID:10876
- C:\Windows\System32\CEERsuA.exe
  C:\Windows\System32\CEERsuA.exe
  2⤵
  PID:10948
- C:\Windows\System32\BVjsnYu.exe
  C:\Windows\System32\BVjsnYu.exe
  2⤵
  PID:11020
- C:\Windows\System32\oYClvva.exe
  C:\Windows\System32\oYClvva.exe
  2⤵
  PID:11056
- C:\Windows\System32\nLBLdBB.exe
  C:\Windows\System32\nLBLdBB.exe
  2⤵
  PID:11120
- C:\Windows\System32\kyccqgf.exe
  C:\Windows\System32\kyccqgf.exe
  2⤵
  PID:11164
- C:\Windows\System32\NgwNbmQ.exe
  C:\Windows\System32\NgwNbmQ.exe
  2⤵
  PID:10256
- C:\Windows\System32\lnuBbkp.exe
  C:\Windows\System32\lnuBbkp.exe
  2⤵
  PID:10268
- C:\Windows\System32\Vdaagsv.exe
  C:\Windows\System32\Vdaagsv.exe
  2⤵
  PID:10464
- C:\Windows\System32\bKcyoBj.exe
  C:\Windows\System32\bKcyoBj.exe
  2⤵
  PID:10584
- C:\Windows\System32\OlDPLoi.exe
  C:\Windows\System32\OlDPLoi.exe
  2⤵
  PID:10744
- C:\Windows\System32\NjgPbWY.exe
  C:\Windows\System32\NjgPbWY.exe
  2⤵
  PID:10920
- C:\Windows\System32\UWhxpZe.exe
  C:\Windows\System32\UWhxpZe.exe
  2⤵
  PID:11036
- C:\Windows\System32\fxmGIYs.exe
  C:\Windows\System32\fxmGIYs.exe
  2⤵
  PID:10444
- C:\Windows\System32\iPCkPDB.exe
  C:\Windows\System32\iPCkPDB.exe
  2⤵
  PID:10532
- C:\Windows\System32\pBfHjKq.exe
  C:\Windows\System32\pBfHjKq.exe
  2⤵
  PID:10724
- C:\Windows\System32\erkYXQU.exe
  C:\Windows\System32\erkYXQU.exe
  2⤵
  PID:8736
- C:\Windows\System32\LNfgdxK.exe
  C:\Windows\System32\LNfgdxK.exe
  2⤵
  PID:11276
- C:\Windows\System32\MRIJXkS.exe
  C:\Windows\System32\MRIJXkS.exe
  2⤵
  PID:11296
- C:\Windows\System32\rEinOaH.exe
  C:\Windows\System32\rEinOaH.exe
  2⤵
  PID:11356
- C:\Windows\System32\zIQYxKd.exe
  C:\Windows\System32\zIQYxKd.exe
  2⤵
  PID:11376
- C:\Windows\System32\tiLRBiU.exe
  C:\Windows\System32\tiLRBiU.exe
  2⤵
  PID:11404
- C:\Windows\System32\kunciFV.exe
  C:\Windows\System32\kunciFV.exe
  2⤵
  PID:11432
- C:\Windows\System32\MBLcWRu.exe
  C:\Windows\System32\MBLcWRu.exe
  2⤵
  PID:11460
- C:\Windows\System32\xjrPJXd.exe
  C:\Windows\System32\xjrPJXd.exe
  2⤵
  PID:11480
- C:\Windows\System32\rlgJJhV.exe
  C:\Windows\System32\rlgJJhV.exe
  2⤵
  PID:11512
- C:\Windows\System32\gUTfsGF.exe
  C:\Windows\System32\gUTfsGF.exe
  2⤵
  PID:11528
- C:\Windows\System32\YXhFMeT.exe
  C:\Windows\System32\YXhFMeT.exe
  2⤵
  PID:11548
- C:\Windows\System32\OaFEtZP.exe
  C:\Windows\System32\OaFEtZP.exe
  2⤵
  PID:11564
- C:\Windows\System32\xXHOwvK.exe
  C:\Windows\System32\xXHOwvK.exe
  2⤵
  PID:11616
- C:\Windows\System32\opAUVur.exe
  C:\Windows\System32\opAUVur.exe
  2⤵
  PID:11636
- C:\Windows\System32\DmhqafT.exe
  C:\Windows\System32\DmhqafT.exe
  2⤵
  PID:11684
- C:\Windows\System32\mtjytKS.exe
  C:\Windows\System32\mtjytKS.exe
  2⤵
  PID:11728
- C:\Windows\System32\iblEJKd.exe
  C:\Windows\System32\iblEJKd.exe
  2⤵
  PID:11744
- C:\Windows\System32\rkwTLBb.exe
  C:\Windows\System32\rkwTLBb.exe
  2⤵
  PID:11764
- C:\Windows\System32\ZqbZmgs.exe
  C:\Windows\System32\ZqbZmgs.exe
  2⤵
  PID:11792
- C:\Windows\System32\VaGnkXn.exe
  C:\Windows\System32\VaGnkXn.exe
  2⤵
  PID:11808
- C:\Windows\System32\tFlzPQO.exe
  C:\Windows\System32\tFlzPQO.exe
  2⤵
  PID:11832
- C:\Windows\System32\GOCfXrZ.exe
  C:\Windows\System32\GOCfXrZ.exe
  2⤵
  PID:11848
- C:\Windows\System32\NynfDQM.exe
  C:\Windows\System32\NynfDQM.exe
  2⤵
  PID:11916
- C:\Windows\System32\XtDzfes.exe
  C:\Windows\System32\XtDzfes.exe
  2⤵
  PID:11944
- C:\Windows\System32\ghUvbHR.exe
  C:\Windows\System32\ghUvbHR.exe
  2⤵
  PID:11960
- C:\Windows\System32\zofhVoh.exe
  C:\Windows\System32\zofhVoh.exe
  2⤵
  PID:11980
- C:\Windows\System32\aBmiSox.exe
  C:\Windows\System32\aBmiSox.exe
  2⤵
  PID:12008
- C:\Windows\System32\xnALcyl.exe
  C:\Windows\System32\xnALcyl.exe
  2⤵
  PID:12024
- C:\Windows\System32\afJyBfU.exe
  C:\Windows\System32\afJyBfU.exe
  2⤵
  PID:12100
- C:\Windows\System32\mnUmerv.exe
  C:\Windows\System32\mnUmerv.exe
  2⤵
  PID:12128
- C:\Windows\System32\gDuPdhd.exe
  C:\Windows\System32\gDuPdhd.exe
  2⤵
  PID:12144
- C:\Windows\System32\aiIwqVX.exe
  C:\Windows\System32\aiIwqVX.exe
  2⤵
  PID:12164
- C:\Windows\System32\hgcVumC.exe
  C:\Windows\System32\hgcVumC.exe
  2⤵
  PID:12180
- C:\Windows\System32\lgtzHJd.exe
  C:\Windows\System32\lgtzHJd.exe
  2⤵
  PID:12240
- C:\Windows\System32\OosCcJd.exe
  C:\Windows\System32\OosCcJd.exe
  2⤵
  PID:12264
- C:\Windows\System32\gsHHloM.exe
  C:\Windows\System32\gsHHloM.exe
  2⤵
  PID:12280
- C:\Windows\System32\moRWbVr.exe
  C:\Windows\System32\moRWbVr.exe
  2⤵
  PID:11272
- C:\Windows\System32\nohnGSB.exe
  C:\Windows\System32\nohnGSB.exe
  2⤵
  PID:11320
- C:\Windows\System32\UcPtgVD.exe
  C:\Windows\System32\UcPtgVD.exe
  2⤵
  PID:11372
- C:\Windows\System32\pUqAieO.exe
  C:\Windows\System32\pUqAieO.exe
  2⤵
  PID:11488
- C:\Windows\System32\wAmZNcc.exe
  C:\Windows\System32\wAmZNcc.exe
  2⤵
  PID:11520
- C:\Windows\System32\FAOKWEC.exe
  C:\Windows\System32\FAOKWEC.exe
  2⤵
  PID:11572
- C:\Windows\System32\IoEdgoo.exe
  C:\Windows\System32\IoEdgoo.exe
  2⤵
  PID:11624
- C:\Windows\System32\KFmGNEP.exe
  C:\Windows\System32\KFmGNEP.exe
  2⤵
  PID:11700
- C:\Windows\System32\YEmpXuS.exe
  C:\Windows\System32\YEmpXuS.exe
  2⤵
  PID:11772
- C:\Windows\System32\IdpDPrQ.exe
  C:\Windows\System32\IdpDPrQ.exe
  2⤵
  PID:11820
- C:\Windows\System32\BdOJEfN.exe
  C:\Windows\System32\BdOJEfN.exe
  2⤵
  PID:11844
- C:\Windows\System32\AxyPwIn.exe
  C:\Windows\System32\AxyPwIn.exe
  2⤵
  PID:11992
- C:\Windows\System32\umVnYPo.exe
  C:\Windows\System32\umVnYPo.exe
  2⤵
  PID:12016
- C:\Windows\System32\APEhBOh.exe
  C:\Windows\System32\APEhBOh.exe
  2⤵
  PID:12136
- C:\Windows\System32\rZeQMFj.exe
  C:\Windows\System32\rZeQMFj.exe
  2⤵
  PID:12176
- C:\Windows\System32\ECZfddS.exe
  C:\Windows\System32\ECZfddS.exe
  2⤵
  PID:12224
- C:\Windows\System32\iQMtThR.exe
  C:\Windows\System32\iQMtThR.exe
  2⤵
  PID:12276
- C:\Windows\System32\ttqIsBa.exe
  C:\Windows\System32\ttqIsBa.exe
  2⤵
  PID:11312
- C:\Windows\System32\XyAUThS.exe
  C:\Windows\System32\XyAUThS.exe
  2⤵
  PID:11560
- C:\Windows\System32\abOrelE.exe
  C:\Windows\System32\abOrelE.exe
  2⤵
  PID:11716
- C:\Windows\System32\sgmYLeA.exe
  C:\Windows\System32\sgmYLeA.exe
  2⤵
  PID:11756
- C:\Windows\System32\IzqCpRq.exe
  C:\Windows\System32\IzqCpRq.exe
  2⤵
  PID:11952
- C:\Windows\System32\FXeQDav.exe
  C:\Windows\System32\FXeQDav.exe
  2⤵
  PID:12156
- C:\Windows\System32\LbePUTI.exe
  C:\Windows\System32\LbePUTI.exe
  2⤵
  PID:11064
- C:\Windows\System32\oDYoEpF.exe
  C:\Windows\System32\oDYoEpF.exe
  2⤵
  PID:11884
- C:\Windows\System32\VHuHjyo.exe
  C:\Windows\System32\VHuHjyo.exe
  2⤵
  PID:12248
- C:\Windows\System32\qrijPLS.exe
  C:\Windows\System32\qrijPLS.exe
  2⤵
  PID:11412
- C:\Windows\System32\OuRcIzx.exe
  C:\Windows\System32\OuRcIzx.exe
  2⤵
  PID:11416
- C:\Windows\System32\RnzCnjH.exe
  C:\Windows\System32\RnzCnjH.exe
  2⤵
  PID:12304
- C:\Windows\System32\HTulvWQ.exe
  C:\Windows\System32\HTulvWQ.exe
  2⤵
  PID:12320
- C:\Windows\System32\VGcuYFZ.exe
  C:\Windows\System32\VGcuYFZ.exe
  2⤵
  PID:12356
- C:\Windows\System32\CeiDEVG.exe
  C:\Windows\System32\CeiDEVG.exe
  2⤵
  PID:12400
- C:\Windows\System32\WcWErKD.exe
  C:\Windows\System32\WcWErKD.exe
  2⤵
  PID:12448
- C:\Windows\System32\sIdsRCp.exe
  C:\Windows\System32\sIdsRCp.exe
  2⤵
  PID:12464
- C:\Windows\System32\gSLrPhX.exe
  C:\Windows\System32\gSLrPhX.exe
  2⤵
  PID:12492
- C:\Windows\System32\fcQvtxp.exe
  C:\Windows\System32\fcQvtxp.exe
  2⤵
  PID:12512
- C:\Windows\System32\dSFmMii.exe
  C:\Windows\System32\dSFmMii.exe
  2⤵
  PID:12536
- C:\Windows\System32\HevStlA.exe
  C:\Windows\System32\HevStlA.exe
  2⤵
  PID:12552
- C:\Windows\System32\wUzrCwM.exe
  C:\Windows\System32\wUzrCwM.exe
  2⤵
  PID:12600
- C:\Windows\System32\OaPgTiR.exe
  C:\Windows\System32\OaPgTiR.exe
  2⤵
  PID:12616
- C:\Windows\System32\wnLJBiF.exe
  C:\Windows\System32\wnLJBiF.exe
  2⤵
  PID:12636
- C:\Windows\System32\yAMFQYV.exe
  C:\Windows\System32\yAMFQYV.exe
  2⤵
  PID:12664
- C:\Windows\System32\jInQEDd.exe
  C:\Windows\System32\jInQEDd.exe
  2⤵
  PID:12692
- C:\Windows\System32\tyEkgkE.exe
  C:\Windows\System32\tyEkgkE.exe
  2⤵
  PID:12724
- C:\Windows\System32\FolTxTN.exe
  C:\Windows\System32\FolTxTN.exe
  2⤵
  PID:12756
- C:\Windows\System32\EUkhEyB.exe
  C:\Windows\System32\EUkhEyB.exe
  2⤵
  PID:12776
- C:\Windows\System32\qrqqbex.exe
  C:\Windows\System32\qrqqbex.exe
  2⤵
  PID:12808
- C:\Windows\System32\zSnXmVW.exe
  C:\Windows\System32\zSnXmVW.exe
  2⤵
  PID:12856
- C:\Windows\System32\XnyLBJO.exe
  C:\Windows\System32\XnyLBJO.exe
  2⤵
  PID:12884
- C:\Windows\System32\PIWOewW.exe
  C:\Windows\System32\PIWOewW.exe
  2⤵
  PID:12900
- C:\Windows\System32\VXUNnMj.exe
  C:\Windows\System32\VXUNnMj.exe
  2⤵
  PID:12924
- C:\Windows\System32\TJSscSU.exe
  C:\Windows\System32\TJSscSU.exe
  2⤵
  PID:12952
- C:\Windows\System32\fXsUIuw.exe
  C:\Windows\System32\fXsUIuw.exe
  2⤵
  PID:12980
- C:\Windows\System32\RqqaEvC.exe
  C:\Windows\System32\RqqaEvC.exe
  2⤵
  PID:13004
- C:\Windows\System32\cZpCBCx.exe
  C:\Windows\System32\cZpCBCx.exe
  2⤵
  PID:13048
- C:\Windows\System32\jrOeLwT.exe
  C:\Windows\System32\jrOeLwT.exe
  2⤵
  PID:13080
- C:\Windows\System32\Znpsgud.exe
  C:\Windows\System32\Znpsgud.exe
  2⤵
  PID:13096
- C:\Windows\System32\zuomGuD.exe
  C:\Windows\System32\zuomGuD.exe
  2⤵
  PID:13124
- C:\Windows\System32\hiRpqXj.exe
  C:\Windows\System32\hiRpqXj.exe
  2⤵
  PID:13140
- C:\Windows\System32\Gteiwtt.exe
  C:\Windows\System32\Gteiwtt.exe
  2⤵
  PID:13160
- C:\Windows\System32\vKTpzYw.exe
  C:\Windows\System32\vKTpzYw.exe
  2⤵
  PID:13184
- C:\Windows\System32\agFEuKX.exe
  C:\Windows\System32\agFEuKX.exe
  2⤵
  PID:13204
- C:\Windows\System32\mxdCbwH.exe
  C:\Windows\System32\mxdCbwH.exe
  2⤵
  PID:13228
- C:\Windows\System32\EHRFnKg.exe
  C:\Windows\System32\EHRFnKg.exe
  2⤵
  PID:13280
- C:\Windows\System32\gBpkCSk.exe
  C:\Windows\System32\gBpkCSk.exe
  2⤵
  PID:13300
- C:\Windows\System32\tXJjwNU.exe
  C:\Windows\System32\tXJjwNU.exe
  2⤵
  PID:12328
- C:\Windows\System32\zPuIDwM.exe
  C:\Windows\System32\zPuIDwM.exe
  2⤵
  PID:12312
- C:\Windows\System32\pDlwhDZ.exe
  C:\Windows\System32\pDlwhDZ.exe
  2⤵
  PID:12380
- C:\Windows\System32\YyQAijr.exe
  C:\Windows\System32\YyQAijr.exe
  2⤵
  PID:12476
- C:\Windows\System32\LTubEQO.exe
  C:\Windows\System32\LTubEQO.exe
  2⤵
  PID:12560
- C:\Windows\System32\dWvqQgj.exe
  C:\Windows\System32\dWvqQgj.exe
  2⤵
  PID:12716
- C:\Windows\System32\BfQnjRZ.exe
  C:\Windows\System32\BfQnjRZ.exe
  2⤵
  PID:12748
- C:\Windows\System32\FusJHIM.exe
  C:\Windows\System32\FusJHIM.exe
  2⤵
  PID:12768
- C:\Windows\System32\KLRZOMz.exe
  C:\Windows\System32\KLRZOMz.exe
  2⤵
  PID:12840
- C:\Windows\System32\dzhVrIF.exe
  C:\Windows\System32\dzhVrIF.exe
  2⤵
  PID:12912
- C:\Windows\System32\XWnLInm.exe
  C:\Windows\System32\XWnLInm.exe
  2⤵
  PID:12996
- C:\Windows\System32\oKdQsEJ.exe
  C:\Windows\System32\oKdQsEJ.exe
  2⤵
  PID:13076
- C:\Windows\System32\nNjbklY.exe
  C:\Windows\System32\nNjbklY.exe
  2⤵
  PID:13136
- C:\Windows\System32\gcEvObc.exe
  C:\Windows\System32\gcEvObc.exe
  2⤵
  PID:13200
- C:\Windows\System32\waDOQBA.exe
  C:\Windows\System32\waDOQBA.exe
  2⤵
  PID:13216
- C:\Windows\System32\tWtvtHl.exe
  C:\Windows\System32\tWtvtHl.exe
  2⤵
  PID:12300
- C:\Windows\System32\YzkfVYO.exe
  C:\Windows\System32\YzkfVYO.exe
  2⤵
  PID:12340
- C:\Windows\System32\lAovxIN.exe
  C:\Windows\System32\lAovxIN.exe
  2⤵
  PID:12456

C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
"C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --type=utility --utility-sub-type=asset_store.mojom.AssetStoreService --lang=en-US --service-sandbox-type=asset_store_service --no-appcompat-clear --field-trial-handle=3756,i,9746875443948590908,1444894342962555245,262144 --variations-seed-version --mojo-platform-channel-handle=4084 /prefetch:8
1⤵
PID:5188

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:12576

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\BVdCpUN.exe

Filesize
1.2MB

MD5
9876e39c8c50261a28cb213877a1782f

SHA1
e5a7aa06cdc92aa10dc037e6b056479934f65619

SHA256
7b81786ecf58aeb58dbe2cd373e8d411f0860d378a95fefba2e1b5047b64d7d5

SHA512
47b8fdc70665cab7276eef2486f3a2a98302ce15ec2f8412976c6d3d7d30a6e94cd663256078cca24e427bb5ec71155672f6b8715485699bfa4bef41b3984150

Download Submit
C:\Windows\System32\CbBhEkm.exe

Filesize
1.2MB

MD5
c515da7f5977bb2ab94c9c2afa62007f

SHA1
5a5cfb6554f011f2c03168064d48a918ae991f91

SHA256
43cb8c2c061c298600604f38aed9a1b584e8895db2b0aacba88f76bab11870ab

SHA512
d1952d35db3798f7f04fb6bdf58153634b91090c885814736d1d3ed6fec496b10aa0e2de512b8e003258a46688090bf6580b5e57c35e2728b18663d5d9b125d2

Download Submit
C:\Windows\System32\CieYsXF.exe

Filesize
1.2MB

MD5
f53035a876d4e2b8abe7a733dac59b7a

SHA1
188546d26195895e1c6e726dffbd6d06e9b16895

SHA256
0fc55e127837f13be9acfc50e7842e83a6dfca079b3a6eec9229fe64dd737064

SHA512
608cf01ab000afa34429a88fc0b22a95e78834edea60c193129b46489d88154cd00dab8c734e2b772cd04e3f71411d925bc5f7c2308aa759e1103081d7dfd1f9

Download Submit
C:\Windows\System32\CkoiptU.exe

Filesize
1.2MB

MD5
f4337a10c8ba60e247cb915bc20d0259

SHA1
a28043b6937764ac263dfb2fc80684ba227c6dd1

SHA256
275af842590f8ead1e3b4b22ab1426016efa14a68ea51163f4c2e953f0f7ba93

SHA512
17e82517da0e07714012a278d3d4ef650c2a43d2a23f7352f5af942374c370c6ec14ce9b3ced0a9d192c9742d133b1f3e49031e779d4b02e7b78d97e70a5f41a

Download Submit
C:\Windows\System32\DvbSkWD.exe

Filesize
1.2MB

MD5
2ebe6657a6d0df2f2dfce01053952a42

SHA1
257e0a0a8faebdd3043541aa6f30be585830667a

SHA256
283813c3d4a0daea811bbc005063dda4addcde4613bc6ed717e28bee68c7d5c9

SHA512
e48119b8e4ccaa42c0f64dada9574792f2716d259633ab06f75d9d72642f812a2ccde5eb093e86a6ccd389c32d402806d5dc29073b9224f428195842f5fd52be

Download Submit
C:\Windows\System32\HEXKGlT.exe

Filesize
1.2MB

MD5
7f69f82bf8dc66ab716528e990896f0b

SHA1
1a77add174b3725220ae4f2db79cd5c01c351ae6

SHA256
76b3c87d9db82ddd1cfbd2e693e7124325c0ec6ae7d54d879bd6bffe36068995

SHA512
4c127712379612c57bfe34e39d7133ff3f973e4239f636e819db517397aecb85f6767ebd6b52c4821eba61094f5d38cfc47cdfe563682a0556c0dccf0a2bf5a6

Download Submit
C:\Windows\System32\MEIJDZl.exe

Filesize
1.2MB

MD5
f7429c9c50f525247679bb2aea23412c

SHA1
4bcda2da77631bffb15461474d9ce73de2855e54

SHA256
d37b213c92f4ed1e4a434bbe309d6dfd73c53cc5bab425407a413820276f7b40

SHA512
d125bd8054c6bd2dd936abac61e044a62496dae923aec3cb7ee526581e060ca7356d9ca29d2c7fb41a2e6ef06f55fd11a53a289d35a8d566b5b2650d6ddd9fc1

Download Submit
C:\Windows\System32\MqgdtDM.exe

Filesize
1.2MB

MD5
2ba03574eaa9a9ab5eae7b7acf913d7a

SHA1
0bba13bdc15634d2bcaac9b8e9956244250f3ae6

SHA256
7a9d0b469b405d5019b667a075650985123d94a023b038dbef3e6c269f0223e1

SHA512
3ec258625157c2ad353ff1db5b7dd0af12d4b1cbc2c5dbbaeb93028ad82043207afea9b5b183c59bfadec7602d7df69ce425ae8d25d98dbba56002d75f213228

Download Submit
C:\Windows\System32\OcoGFPW.exe

Filesize
1.2MB

MD5
b8c29438d3699862794ea521446ef816

SHA1
d6841cd951dbd4ef8d42d028c1fca36e8ad44a96

SHA256
ea43cf41acaca5d8b26680d4d005dcbcb3a35a23f092ed9cab6bdee7c91874f0

SHA512
ef8a995d58d07049533729141773d0201d025c68ff05fe14d6489b67d7f3b667e97f0f3f8509f21a438ca51f0040804c6ef9fd4f491a05e85adf89b82677316b

Download Submit
C:\Windows\System32\QQwpDro.exe

Filesize
1.2MB

MD5
84352c7328fd9ea14ced4cc70123db63

SHA1
7d6a8655598f3bf4f73b4621c5a0d130e86195c4

SHA256
ca7e293fa4e25d3a3a92ae6584a26dfb7ecfd7b61ab4db982f4918f0c1327f79

SHA512
427efc36e570d1f91c539dde2f6a43cf84845808f34c901918c8ed8c153b9cdeb454d94887c28cebfcb7f51bded20af4a30c57a7162548f6146c27736d591636

Download Submit
C:\Windows\System32\SbJXBSa.exe

Filesize
1.2MB

MD5
a56bc69242332a555268a5d23e21ced2

SHA1
9701abe31c7cf2d7efbcf803f61bd1f99d7bf0bb

SHA256
53bea96ed5a8c74510f058fb40b5edd15f5f1d9fff3714ec3262b52b5a72d4d1

SHA512
1e0fe755db4cf95610f6cbf20b657c9703b76e73b6cfe6810e71a900a4ec9c2ce1f5b8c0818fa80fc735fe5fad65c91eecd5f950a35ed9df1b7088b9b7ffe01e

Download Submit
C:\Windows\System32\ShEzvUK.exe

Filesize
1.2MB

MD5
381455063204dbed119e74519bad26d7

SHA1
47e3f82330d87f621400e999fed1e12cf7a76c2f

SHA256
187d3289de0ff463c7585dadce25c6323e05dcde31aafdda551674297e31488b

SHA512
37193b28d1b7d28a7331a0bd261b81e972a08faee1963a38ada0f71db4776a919bcb416eced2a1899f04be14c42e67951b6ea6d75096133866d3f6f284cce952

Download Submit
C:\Windows\System32\Ujmxlnj.exe

Filesize
1.2MB

MD5
a8cd2a62f9ac771ced767d26d73b6508

SHA1
b863661fb9cd1fa2eeaab0d8fec78337bf09f83a

SHA256
31dd6a8c9935c9142e68a893e0b6730a061495427c8a163debe1790330560b50

SHA512
47f426b81c373e582974d650cbc847f4b0a3b36700474a1ae7073a65f5a0ab58cf37b0d77dccbf6b0a2341d1756d8d72b04bf99a3d6f44486448082e5d75fa04

Download Submit
C:\Windows\System32\UmRhPJP.exe

Filesize
1.2MB

MD5
84f0e01416ccf4026ff30b285c4adb22

SHA1
bd7b55d9451475b153bc4fec98732577d86f2209

SHA256
9bf7bd7593916fb2b730d584a04a70d4c0f0cab9aaf0e71afb8cbc734ee1d8ba

SHA512
f1ba64655be67e974f4a76e2f25e0201267a3b05e556debb548dbf25a8a000867b19b9bdae64cd847a094f3132c3bdb4cab4cdefbafe309e31ccb2a6ec5d1483

Download Submit
C:\Windows\System32\VApJfMe.exe

Filesize
1.2MB

MD5
187c7f552ee16a34a64e2c29d56e552b

SHA1
0a93cb0d8a74ee8ec9e127de57d309faff455a50

SHA256
9dd785be57b79abbeadf83813e9d0d7990d21cd96fd25068a4ae26b54a2a0f8e

SHA512
5bea57005647f351bcfd7cdbc3236f38dbd1eac7623c199620bc996743afe34e26455e400b44c8d34d8ad3d8d8067821ccb9a06aa7ff20edc0dea54d538c0e31

Download Submit
C:\Windows\System32\VhKXBcT.exe

Filesize
1.2MB

MD5
87fda48adbb7284b0df4efdd2ca13a27

SHA1
4dc4b8504d44b88c579bfb5f3f94864b5877059b

SHA256
0f3fcd5632c7a26b1263c44ab4d44577a1ce8e4971c563bf8b5ad8af1694d9db

SHA512
539934a33b947c8f33033cea54ee1a53094d5b3792e8b4e7c8eeb012dbc02e1e77e13f675a27126314a4631c8d951bb94b8418de9b605b59f3ad8c3df8ce45d1

Download Submit
C:\Windows\System32\VvtUmhh.exe

Filesize
1.2MB

MD5
507f3f0695a433d15ba451c5bfa4a68d

SHA1
ef061556ca2bf4bd8a1ce86c78682d720d8911e2

SHA256
cffde81c261dab96dd452ce2356c109a8d2d6e7bb38ed6f52d33312896101869

SHA512
1cbd55e3806903bd88e08aa7687630ad3f8a2583018f8db39f942e7015339676828380c1ce1e3ed9068b0ffcd36eaa7aad140d004690ac4186e33cf6c8bf4cd9

Download Submit
C:\Windows\System32\XVwhwVG.exe

Filesize
1.2MB

MD5
47ac05c16e354122f8f06c8c83e843b0

SHA1
e70625d9902c8ad5251e0d400ce0a48ba419c77f

SHA256
fe950c602c1a6b6e5654f865db89d6c633f6ce94a5f14b601e81f9bb858a3fd8

SHA512
c2f1e591360ea3a457a7628a981ec42294960a9b35f9e719d3cc5fa6073ba764e80b6483fe3ab381f5e961a3fe7cdc97aa932573fba49a9b87712ab223803138

Download Submit
C:\Windows\System32\YMknYDs.exe

Filesize
1.2MB

MD5
0d806f5dae2f09e719a7241587f86810

SHA1
1a9b52d2814b2ef86a10099c0c4cab3990669916

SHA256
c2ed25eaabb6c4b40e283f3dcaa20a3a1832ba6507bd18c221923fb1f7670550

SHA512
9ac28b4ec0f67418395f4912e824b5491993e74b5637b59141c7bdbd26000dc9c57ede9b2f81da7d9cc661f65347160ef696e4123f5d88acee1255ad0124d12d

Download Submit
C:\Windows\System32\aACkJia.exe

Filesize
1.2MB

MD5
2e2a72be1d3f801289cff39d0e166233

SHA1
4eae0be468bda811bcdcca68c5517b7323e9f5eb

SHA256
1a370a2ddac799c09c390dd3cda7d3b94503ad2a5531df5b8242f67fec1e7370

SHA512
14bd0f311d8cac0f5efa8636ca05a9573c289db66f64bb7007f009cf72788d51382d732cee4aefc49f378448d53ab2b27f3c5186174fd5f7de5e0bdf19f49a41

Download Submit
C:\Windows\System32\aEkimHN.exe

Filesize
1.2MB

MD5
d4b5d057d0d896b0e9f14baabc60a4e3

SHA1
b90c7acc1350d7b8e19e88838b47a62d96ffda44

SHA256
b6c24eb93ae310f821fcded8d3808c69b65f68dd560bb28d3c76c51e8bd48f75

SHA512
05e563007cca4611732ff85531cdbd56c0823f412d3b989a7075fa61d205363a35c13a341148536c3d446a668658532d9f7b1884fb602d5231917cc3a48f539b

Download Submit
C:\Windows\System32\cIVWlKo.exe

Filesize
1.2MB

MD5
280ef05db48e8fb7d159bd7050af3fff

SHA1
b4470b78b7bba3605204c116c6297e3e86bd5516

SHA256
9d39880223c9b4c72424e70d08ef2d9c3bd53e3c839ae08c520c4a13085c47c9

SHA512
e8db50c250d167b9f931ca2d3e1c9262d8eb2816ace06e7e0f206e8e5a3659ae295eb08e4f33f56f97e2286b713b126fe9d5f6b9b5d047e1b8483c5e30909db8

Download Submit
C:\Windows\System32\deFgyrL.exe

Filesize
1.2MB

MD5
7e701f4604df39f405f80c124504767e

SHA1
205bddbee53149b51ca8e11562a3e023d689f23b

SHA256
2294c6604032ff059bf42409e2fd1413b8a27b6e3ecc88374b1d265eecb06150

SHA512
4f7a7a32d43f6f59c2e3cb6404fa893a5ce58c53cf6606d2f79c684b28a13d5e4a7ee27bde747eaab4efc6a1428ee981c8fe2a71aee0db31aeae6c12a1e11df5

Download Submit
C:\Windows\System32\epzGnFR.exe

Filesize
1.2MB

MD5
8bb255007a91830803b202f8ea8d7eef

SHA1
49b34dc0002a4156e9e4f348eb2aaee17aa1eb5e

SHA256
8fd722d1bbb8d7e901e9becbe22bd8dafcb53de9dbc9806d58a0f7cff894f2b0

SHA512
6d064237f3d1fe0f2a4fbb511170410929a52d39dcafb06a85b4f7ab4e42865745c5fc402fcad873a6616ac170c64e9b9796117f7e57fe9b87e76614bc12a6dc

Download Submit
C:\Windows\System32\exinzpq.exe

Filesize
1.2MB

MD5
c0bceae5f381e0559b2b2f6a506a03b2

SHA1
387033d022967407bafe4b57218a817647aa560b

SHA256
17c45c2c05613e938fadd25a7e4f16d7d1e34dcbb3c1ea8925b8600d6551a42c

SHA512
45c7dc792da92403da0de35678e2a49b5b0cab6994b2313aa9f40f86fcd0863dc5c2a9f3ad09cd0865a829b9df7c864e0c3660391eca055c1004df48c37ac4f3

Download Submit
C:\Windows\System32\iHIeWMG.exe

Filesize
1.2MB

MD5
1b86c8a899cf8455789d019a09a85238

SHA1
6ebbd5e9ac1cb84a8d4a6200d2fd5279c32d366f

SHA256
8d4cc88bbdc3af1351ffe3c22a5112fb80e5b240525e26816348c45feb933b78

SHA512
d774551cf6a93a075d89b7ddf108422b582dad116eecaffb6fbe0329893b9978552b1867aa7c95a7e97d932af2bdb1e4aa977eab7d4460fb801278314b4b33c1

Download Submit
C:\Windows\System32\lRTKphh.exe

Filesize
1.2MB

MD5
fba9668c7ba409a0e89180c09c4f8a2d

SHA1
54385a4d9fd8377d7b38e69e5663399cb697f906

SHA256
5144374a95ba9f62b93733d69855cce20981abc0abb166f83289bb7ccd224b56

SHA512
6f07fceee3e2688f68cef940e247d4ed137a58c39c898ca4e9b5f3bb6dc961da007596b2853da4016a93e88449913828695299490c26382471ed4b6ae1f677a4

Download Submit
C:\Windows\System32\oAOPlgg.exe

Filesize
1.2MB

MD5
ca5e74dbc3f42a809c5a41741fd20e84

SHA1
95bff95680dc9d3873d4847dd5d4efae43873b16

SHA256
89418a46c0080a196d1e7c59d0e300a0a02e17c5e36e9f272021949a665c17a8

SHA512
3dd02012dcd7a5dcb1d340f8d34630fcd4f1064af492abbdc5c95dffa7fb575b283b37966877817c38394e149efedb30ea41c2eecd74d35c97c330adbbf13e50

Download Submit
C:\Windows\System32\qYoznTp.exe

Filesize
1.2MB

MD5
ac0c157423cddf5f84d5dcf71cd5a167

SHA1
23f29a1016bc5f1dba5375a706015a136ab2e901

SHA256
4f9139374bf2478b1d57a89674db4f5a538f9270834bf16c10cdad53285a884a

SHA512
fbb547005f38ec2e91bd42f828c5c0ac37da9f9ea478dd8f58b604639ff718c546b40dd65f93e9ebfa78a95cb4030067802310c5717a0aadfee927a4b1f89182

Download Submit
C:\Windows\System32\rkjOZdg.exe

Filesize
1.2MB

MD5
ac5e6dce3d4d1bd121878ae9a9e799ab

SHA1
929aa8bf2c272f3aaecd6d7e3cb530686a1d9b16

SHA256
f3348b71cca2cc9164616a64b5af7f920cc0c57882f0c131dd0eeb1971acb3eb

SHA512
bf984a4216e09b10f60b8510b4f44372fb7bdb24e4d3b5f7546f9f42d940eef8410c2007a57dae2ba978a274e47eaa8bf5e76faf518d7421ceac7945fa82dc12

Download Submit
C:\Windows\System32\vFexYUC.exe

Filesize
1.2MB

MD5
101c59f696d442aaec05f4ab63f7f59e

SHA1
939ca5fb2fae091077d01e9da7494b67d27faae1

SHA256
f1485d2471467012d758deba4b67cad372db7c16c5b199f3481ef1c95908239a

SHA512
4025b58038041d83650936eaa3e6faa53331e220614b50416f5e3a2feaf826faf4ea3d269a95c9a3f87df69cd35dffcd51cbbd1b52bc3dd4598fa591c9dcade8

Download Submit
C:\Windows\System32\xfFaWyL.exe

Filesize
1.2MB

MD5
4753ac240b07038d1407c62ea29c9d4e

SHA1
6a59eeb9f1e886c24eeb4b5e484553de90c2517c

SHA256
65c1e8eca0dc9451a7add465539d8461c1f6ce34c27ce6d728b9ed5a2c33c1a5

SHA512
b0089142bc854d04ebc778e39a499981153e7c9f5fd0db50678f5d5649ce39021b0245e79b82c0ca90ee18fdcc73a3b97603d0ef7451247f6c94c001968e9815

Download Submit
C:\Windows\System32\ydbypIH.exe

Filesize
1.2MB

MD5
621ae75bad3363a58fabfcc4af4743c9

SHA1
b751de6959d39cc9eacb027f9ea342ccf1e3fed4

SHA256
d48539ec789bd931cdda87e7886a6bd8f76c199891234e90ddb98ad4e3e48b49

SHA512
1403e524ce7d0de7694314da05bec596d4f82fd007085a608828a7c787849a69a92594c718930fdf18350ee8acd5f595ca0d66607ab46d8998bd31fcc58ca614

Download Submit
memory/388-351-0x00007FF63FFD0000-0x00007FF6403C1000-memory.dmp

Filesize
3.9MB

Download
memory/388-1997-0x00007FF63FFD0000-0x00007FF6403C1000-memory.dmp

Filesize
3.9MB

Download
memory/464-1999-0x00007FF657E00000-0x00007FF6581F1000-memory.dmp

Filesize
3.9MB

Download
memory/464-381-0x00007FF657E00000-0x00007FF6581F1000-memory.dmp

Filesize
3.9MB

Download
memory/900-379-0x00007FF75BDF0000-0x00007FF75C1E1000-memory.dmp

Filesize
3.9MB

Download
memory/900-1996-0x00007FF75BDF0000-0x00007FF75C1E1000-memory.dmp

Filesize
3.9MB

Download
memory/1256-365-0x00007FF74C280000-0x00007FF74C671000-memory.dmp

Filesize
3.9MB

Download
memory/1256-2005-0x00007FF74C280000-0x00007FF74C671000-memory.dmp

Filesize
3.9MB

Download
memory/1408-405-0x00007FF772E70000-0x00007FF773261000-memory.dmp

Filesize
3.9MB

Download
memory/1408-1983-0x00007FF772E70000-0x00007FF773261000-memory.dmp

Filesize
3.9MB

Download
memory/1840-1-0x000002050FA60000-0x000002050FA70000-memory.dmp

Filesize
64KB

Download
memory/1840-1932-0x00007FF7EF410000-0x00007FF7EF801000-memory.dmp

Filesize
3.9MB

Download
memory/1840-0-0x00007FF7EF410000-0x00007FF7EF801000-memory.dmp

Filesize
3.9MB

Download
memory/2072-415-0x00007FF6AA3F0000-0x00007FF6AA7E1000-memory.dmp

Filesize
3.9MB

Download
memory/2072-1987-0x00007FF6AA3F0000-0x00007FF6AA7E1000-memory.dmp

Filesize
3.9MB

Download
memory/2080-334-0x00007FF6617D0000-0x00007FF661BC1000-memory.dmp

Filesize
3.9MB

Download
memory/2080-1989-0x00007FF6617D0000-0x00007FF661BC1000-memory.dmp

Filesize
3.9MB

Download
memory/2224-2015-0x00007FF732F70000-0x00007FF733361000-memory.dmp

Filesize
3.9MB

Download
memory/2224-392-0x00007FF732F70000-0x00007FF733361000-memory.dmp

Filesize
3.9MB

Download
memory/2520-1975-0x00007FF6AB160000-0x00007FF6AB551000-memory.dmp

Filesize
3.9MB

Download
memory/2520-394-0x00007FF6AB160000-0x00007FF6AB551000-memory.dmp

Filesize
3.9MB

Download
memory/2876-360-0x00007FF6674B0000-0x00007FF6678A1000-memory.dmp

Filesize
3.9MB

Download
memory/2876-2011-0x00007FF6674B0000-0x00007FF6678A1000-memory.dmp

Filesize
3.9MB

Download
memory/2932-23-0x00007FF6F95C0000-0x00007FF6F99B1000-memory.dmp

Filesize
3.9MB

Download
memory/2932-1973-0x00007FF6F95C0000-0x00007FF6F99B1000-memory.dmp

Filesize
3.9MB

Download
memory/3012-2007-0x00007FF6D8D30000-0x00007FF6D9121000-memory.dmp

Filesize
3.9MB

Download
memory/3012-364-0x00007FF6D8D30000-0x00007FF6D9121000-memory.dmp

Filesize
3.9MB

Download
memory/3292-1979-0x00007FF77A870000-0x00007FF77AC61000-memory.dmp

Filesize
3.9MB

Download
memory/3292-1968-0x00007FF77A870000-0x00007FF77AC61000-memory.dmp

Filesize
3.9MB

Download
memory/3292-33-0x00007FF77A870000-0x00007FF77AC61000-memory.dmp

Filesize
3.9MB

Download
memory/3360-362-0x00007FF62DE20000-0x00007FF62E211000-memory.dmp

Filesize
3.9MB

Download
memory/3360-2009-0x00007FF62DE20000-0x00007FF62E211000-memory.dmp

Filesize
3.9MB

Download
memory/3400-14-0x00007FF76C5C0000-0x00007FF76C9B1000-memory.dmp

Filesize
3.9MB

Download
memory/3400-1971-0x00007FF76C5C0000-0x00007FF76C9B1000-memory.dmp

Filesize
3.9MB

Download
memory/3400-1967-0x00007FF76C5C0000-0x00007FF76C9B1000-memory.dmp

Filesize
3.9MB

Download
memory/3900-1991-0x00007FF6BEDC0000-0x00007FF6BF1B1000-memory.dmp

Filesize
3.9MB

Download
memory/3900-389-0x00007FF6BEDC0000-0x00007FF6BF1B1000-memory.dmp

Filesize
3.9MB

Download
memory/3964-1993-0x00007FF783750000-0x00007FF783B41000-memory.dmp

Filesize
3.9MB

Download
memory/3964-338-0x00007FF783750000-0x00007FF783B41000-memory.dmp

Filesize
3.9MB

Download
memory/3996-366-0x00007FF6EEC80000-0x00007FF6EF071000-memory.dmp

Filesize
3.9MB

Download
memory/3996-2001-0x00007FF6EEC80000-0x00007FF6EF071000-memory.dmp

Filesize
3.9MB

Download
memory/4496-1981-0x00007FF762A30000-0x00007FF762E21000-memory.dmp

Filesize
3.9MB

Download
memory/4496-1969-0x00007FF762A30000-0x00007FF762E21000-memory.dmp

Filesize
3.9MB

Download
memory/4496-322-0x00007FF762A30000-0x00007FF762E21000-memory.dmp

Filesize
3.9MB

Download
memory/4552-2017-0x00007FF7D95E0000-0x00007FF7D99D1000-memory.dmp

Filesize
3.9MB

Download
memory/4552-361-0x00007FF7D95E0000-0x00007FF7D99D1000-memory.dmp

Filesize
3.9MB

Download
memory/4608-399-0x00007FF645AD0000-0x00007FF645EC1000-memory.dmp

Filesize
3.9MB

Download
memory/4608-1977-0x00007FF645AD0000-0x00007FF645EC1000-memory.dmp

Filesize
3.9MB

Download
memory/4824-2003-0x00007FF777C40000-0x00007FF778031000-memory.dmp

Filesize
3.9MB

Download
memory/4824-367-0x00007FF777C40000-0x00007FF778031000-memory.dmp

Filesize
3.9MB

Download
memory/4932-363-0x00007FF74BCA0000-0x00007FF74C091000-memory.dmp

Filesize
3.9MB

Download
memory/4932-2013-0x00007FF74BCA0000-0x00007FF74C091000-memory.dmp

Filesize
3.9MB

Download
memory/4964-1985-0x00007FF6265D0000-0x00007FF6269C1000-memory.dmp

Filesize
3.9MB

Download
memory/4964-331-0x00007FF6265D0000-0x00007FF6269C1000-memory.dmp

Filesize
3.9MB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads