xmrig | fbd1d39de24c51530518173b38dd13708d6b59304b147fd9a763a27b875a9f57

Analysis

max time kernel
129s
max time network
130s
platform
windows10-2004_x64
resource
win10v2004-20240508-en
resource tags

arch:x64arch:x86image:win10v2004-20240508-enlocale:en-usos:windows10-2004-x64system
submitted
17/05/2024, 12:07

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
Size

2.0MB
MD5

ebba97e15e998d81f5a8298b020459a0
SHA1

3fd7ce0c324dd6decf92dd4015fe6a69d5b89020
SHA256

fbd1d39de24c51530518173b38dd13708d6b59304b147fd9a763a27b875a9f57
SHA512

e86ef83d85fa8eeb7fa3e81b1ccbe9a0bb6931ad37fc923dac6e861d07377a00e164c7a21c2a5798b63a525d8af5a3f53bedce768dd45e356107ffca0b7d1189
SSDEEP

49152:S0wjnJMOWh50kC1/dVFdx6e0EALKWVTffZiPAcRq6jHjnz8DhJUjlfh:S0GnJMOWPClFdx6e0EALKWVTffZiPAch

Score

10^/10

xmrig miner

Malware Config

Signatures

xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 32 IoCs

miner

resource	yara_rule
behavioral2/files/0x00080000000233e9-4.dat	xmrig
behavioral2/files/0x00070000000233ed-9.dat	xmrig
behavioral2/files/0x00070000000233ee-6.dat	xmrig
behavioral2/files/0x00070000000233f0-24.dat	xmrig
behavioral2/files/0x00070000000233f1-29.dat	xmrig
behavioral2/files/0x00070000000233f6-54.dat	xmrig
behavioral2/files/0x00070000000233f8-62.dat	xmrig
behavioral2/files/0x00070000000233fb-77.dat	xmrig
behavioral2/files/0x00070000000233ff-99.dat	xmrig
behavioral2/files/0x0007000000023403-118.dat	xmrig
behavioral2/files/0x000700000002340b-159.dat	xmrig
behavioral2/files/0x000700000002340a-154.dat	xmrig
behavioral2/files/0x0007000000023409-149.dat	xmrig
behavioral2/files/0x0007000000023408-144.dat	xmrig
behavioral2/files/0x0007000000023407-140.dat	xmrig
behavioral2/files/0x0007000000023406-134.dat	xmrig
behavioral2/files/0x0007000000023405-129.dat	xmrig
behavioral2/files/0x0007000000023404-124.dat	xmrig
behavioral2/files/0x0007000000023402-114.dat	xmrig
behavioral2/files/0x0007000000023401-109.dat	xmrig
behavioral2/files/0x0007000000023400-104.dat	xmrig
behavioral2/files/0x00070000000233fe-94.dat	xmrig
behavioral2/files/0x00070000000233fd-89.dat	xmrig
behavioral2/files/0x00070000000233fc-84.dat	xmrig
behavioral2/files/0x00070000000233fa-74.dat	xmrig
behavioral2/files/0x00070000000233f9-69.dat	xmrig
behavioral2/files/0x00070000000233f7-59.dat	xmrig
behavioral2/files/0x00070000000233f5-49.dat	xmrig
behavioral2/files/0x00070000000233f4-44.dat	xmrig
behavioral2/files/0x00070000000233f3-39.dat	xmrig
behavioral2/files/0x00070000000233f2-34.dat	xmrig
behavioral2/files/0x00070000000233ef-19.dat	xmrig

Executes dropped EXE 64 IoCs

pid	Process
2064	CYwrpzD.exe
2944	SfrJRVF.exe
4572	dQNhyqL.exe
628	CghiEvW.exe
440	ccbgMeI.exe
2456	WDXYxIl.exe
1244	SYJFUOe.exe
8	TDHAaeu.exe
4128	oXvxEJr.exe
2584	FkrVzev.exe
2136	ewQmAVp.exe
1008	EBnedSV.exe
3536	ZnigAoY.exe
4616	cZjEsNl.exe
4388	iGJhEjM.exe
4056	BZHeFYp.exe
2112	tBnGKDo.exe
736	XeDQmBs.exe
2244	FbiKrOn.exe
2044	dQYjXHu.exe
4928	oHydMfz.exe
5092	xuUusuM.exe
1836	jyTaowW.exe
4512	PebeZyu.exe
4692	vqCjTdc.exe
4608	fOwNlvY.exe
4000	SlNNJTZ.exe
4516	iBqFDxp.exe
3388	YuZZyvn.exe
2392	VAqpPMN.exe
1000	BOIfRUp.exe
2524	YHWyAjv.exe
1524	ZIBKbGI.exe
3768	PvveXGn.exe
884	LYdWOGj.exe
4680	jPBlJOU.exe
3304	NQgezqr.exe
1280	DCINIpk.exe
4840	vJwCCjY.exe
4088	wwDvdXX.exe
640	vNYpOIZ.exe
3984	ebTOASF.exe
3736	wKexewH.exe
4564	YRnUlMJ.exe
3540	TyceLAf.exe
436	rDXTCHY.exe
4544	cfelZah.exe
3508	mayMLVA.exe
1104	uoDWPHj.exe
4044	OGNVHyH.exe
972	bkVZfzS.exe
4076	RArlAwI.exe
4444	SURdymn.exe
3512	DBEclYw.exe
4372	euRcZYy.exe
2360	KEypAvd.exe
2184	Bkpqito.exe
1108	hyJbQoD.exe
3940	QRAZVHv.exe
1832	dmMlZZa.exe
4768	kuhiYkU.exe
3368	eliZwFn.exe
3720	ZTwxITY.exe
1760	bCYJlOR.exe

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\System32\NXQIcHt.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\dHoeaZW.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\pooKRao.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\DfzHdyI.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\DDOeVrr.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\sFleciL.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\UhLdPua.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\kZHozXc.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\ehgctHh.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\ycQfOFg.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\jQsEuaY.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\uKvddbq.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\QJlmOem.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\caAVEkO.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\aFeQFsD.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\zitpKqw.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\CSkUqPi.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\KopntQB.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\TZaZzrQ.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\IXuJcPD.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\KwnmWCZ.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\koBLaWo.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\umoWGUp.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\pBNZeXN.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\CxcgZsj.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\VGTdcnf.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\OctjWKj.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\jxISQzK.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\JqUxKZl.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\ahygvTE.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\FDdBRNM.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\RzFHeWv.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\dhcexpt.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\BRWEjyY.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\AWwFXOZ.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\LUzNhat.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\JhxMfjl.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\MMzKrnW.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\DUwnmWB.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\RkkDgFt.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\gJKQRlO.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\lUVJgNR.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\ibaWCbM.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\ZIBKbGI.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\CacoFRV.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\nVGTXJa.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\kTFZxkb.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\lyaQEWi.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\ODAmTaK.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\icsvAiy.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\ijHxdSo.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\zBxpjeD.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\oGWWpFm.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\sHFnoMI.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\QlMlzXB.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\vNYpOIZ.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\ighOYYM.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\OCcKVei.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\RQLOFJv.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\fNTzUdo.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\IQpboKe.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\pZeImBV.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\qbumOUg.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
File created	C:\Windows\System32\qRRuRPA.exe	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe

Checks SCSI registry key(s) 3 TTPs 6 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_DADY&PROD_HARDDISK\4&215468A5&0&000000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\ConfigFlags	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\HardwareID	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_QEMU&PROD_QEMU_DVD-ROM\4&215468A5&0&010000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe

Enumerates system info in registry 2 TTPs 2 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe

Modifies data under HKEY_USERS 18 IoCs

description	ioc	Process
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2a\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe

Suspicious use of AdjustPrivilegeToken 6 IoCs

description	pid	Process
Token: SeCreateGlobalPrivilege	4392	dwm.exe
Token: SeChangeNotifyPrivilege	4392	dwm.exe
Token: 33	4392	dwm.exe
Token: SeIncBasePriorityPrivilege	4392	dwm.exe
Token: SeShutdownPrivilege	4392	dwm.exe
Token: SeCreatePagefilePrivilege	4392	dwm.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 3452 wrote to memory of 2064	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	83
PID 3452 wrote to memory of 2064	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	83
PID 3452 wrote to memory of 2944	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	84
PID 3452 wrote to memory of 2944	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	84
PID 3452 wrote to memory of 4572	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	85
PID 3452 wrote to memory of 4572	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	85
PID 3452 wrote to memory of 628	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	86
PID 3452 wrote to memory of 628	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	86
PID 3452 wrote to memory of 440	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	87
PID 3452 wrote to memory of 440	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	87
PID 3452 wrote to memory of 2456	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	88
PID 3452 wrote to memory of 2456	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	88
PID 3452 wrote to memory of 1244	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	89
PID 3452 wrote to memory of 1244	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	89
PID 3452 wrote to memory of 8	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	90
PID 3452 wrote to memory of 8	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	90
PID 3452 wrote to memory of 4128	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	91
PID 3452 wrote to memory of 4128	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	91
PID 3452 wrote to memory of 2584	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	92
PID 3452 wrote to memory of 2584	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	92
PID 3452 wrote to memory of 2136	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	93
PID 3452 wrote to memory of 2136	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	93
PID 3452 wrote to memory of 1008	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	94
PID 3452 wrote to memory of 1008	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	94
PID 3452 wrote to memory of 3536	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	95
PID 3452 wrote to memory of 3536	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	95
PID 3452 wrote to memory of 4616	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	96
PID 3452 wrote to memory of 4616	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	96
PID 3452 wrote to memory of 4388	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	97
PID 3452 wrote to memory of 4388	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	97
PID 3452 wrote to memory of 4056	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	98
PID 3452 wrote to memory of 4056	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	98
PID 3452 wrote to memory of 2112	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	99
PID 3452 wrote to memory of 2112	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	99
PID 3452 wrote to memory of 736	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	100
PID 3452 wrote to memory of 736	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	100
PID 3452 wrote to memory of 2244	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	101
PID 3452 wrote to memory of 2244	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	101
PID 3452 wrote to memory of 2044	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	102
PID 3452 wrote to memory of 2044	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	102
PID 3452 wrote to memory of 4928	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	103
PID 3452 wrote to memory of 4928	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	103
PID 3452 wrote to memory of 5092	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	104
PID 3452 wrote to memory of 5092	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	104
PID 3452 wrote to memory of 1836	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	105
PID 3452 wrote to memory of 1836	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	105
PID 3452 wrote to memory of 4512	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	106
PID 3452 wrote to memory of 4512	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	106
PID 3452 wrote to memory of 4692	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	107
PID 3452 wrote to memory of 4692	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	107
PID 3452 wrote to memory of 4608	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	108
PID 3452 wrote to memory of 4608	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	108
PID 3452 wrote to memory of 4000	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	109
PID 3452 wrote to memory of 4000	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	109
PID 3452 wrote to memory of 4516	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	110
PID 3452 wrote to memory of 4516	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	110
PID 3452 wrote to memory of 3388	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	111
PID 3452 wrote to memory of 3388	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	111
PID 3452 wrote to memory of 2392	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	112
PID 3452 wrote to memory of 2392	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	112
PID 3452 wrote to memory of 1000	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	113
PID 3452 wrote to memory of 1000	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	113
PID 3452 wrote to memory of 2524	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	114
PID 3452 wrote to memory of 2524	3452	ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe	114

C:\Users\Admin\AppData\Local\Temp\ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe
"C:\Users\Admin\AppData\Local\Temp\ebba97e15e998d81f5a8298b020459a0_NeikiAnalytics.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:3452
- C:\Windows\System32\CYwrpzD.exe
  C:\Windows\System32\CYwrpzD.exe
  2⤵
  - Executes dropped EXE
  PID:2064
- C:\Windows\System32\SfrJRVF.exe
  C:\Windows\System32\SfrJRVF.exe
  2⤵
  - Executes dropped EXE
  PID:2944
- C:\Windows\System32\dQNhyqL.exe
  C:\Windows\System32\dQNhyqL.exe
  2⤵
  - Executes dropped EXE
  PID:4572
- C:\Windows\System32\CghiEvW.exe
  C:\Windows\System32\CghiEvW.exe
  2⤵
  - Executes dropped EXE
  PID:628
- C:\Windows\System32\ccbgMeI.exe
  C:\Windows\System32\ccbgMeI.exe
  2⤵
  - Executes dropped EXE
  PID:440
- C:\Windows\System32\WDXYxIl.exe
  C:\Windows\System32\WDXYxIl.exe
  2⤵
  - Executes dropped EXE
  PID:2456
- C:\Windows\System32\SYJFUOe.exe
  C:\Windows\System32\SYJFUOe.exe
  2⤵
  - Executes dropped EXE
  PID:1244
- C:\Windows\System32\TDHAaeu.exe
  C:\Windows\System32\TDHAaeu.exe
  2⤵
  - Executes dropped EXE
  PID:8
- C:\Windows\System32\oXvxEJr.exe
  C:\Windows\System32\oXvxEJr.exe
  2⤵
  - Executes dropped EXE
  PID:4128
- C:\Windows\System32\FkrVzev.exe
  C:\Windows\System32\FkrVzev.exe
  2⤵
  - Executes dropped EXE
  PID:2584
- C:\Windows\System32\ewQmAVp.exe
  C:\Windows\System32\ewQmAVp.exe
  2⤵
  - Executes dropped EXE
  PID:2136
- C:\Windows\System32\EBnedSV.exe
  C:\Windows\System32\EBnedSV.exe
  2⤵
  - Executes dropped EXE
  PID:1008
- C:\Windows\System32\ZnigAoY.exe
  C:\Windows\System32\ZnigAoY.exe
  2⤵
  - Executes dropped EXE
  PID:3536
- C:\Windows\System32\cZjEsNl.exe
  C:\Windows\System32\cZjEsNl.exe
  2⤵
  - Executes dropped EXE
  PID:4616
- C:\Windows\System32\iGJhEjM.exe
  C:\Windows\System32\iGJhEjM.exe
  2⤵
  - Executes dropped EXE
  PID:4388
- C:\Windows\System32\BZHeFYp.exe
  C:\Windows\System32\BZHeFYp.exe
  2⤵
  - Executes dropped EXE
  PID:4056
- C:\Windows\System32\tBnGKDo.exe
  C:\Windows\System32\tBnGKDo.exe
  2⤵
  - Executes dropped EXE
  PID:2112
- C:\Windows\System32\XeDQmBs.exe
  C:\Windows\System32\XeDQmBs.exe
  2⤵
  - Executes dropped EXE
  PID:736
- C:\Windows\System32\FbiKrOn.exe
  C:\Windows\System32\FbiKrOn.exe
  2⤵
  - Executes dropped EXE
  PID:2244
- C:\Windows\System32\dQYjXHu.exe
  C:\Windows\System32\dQYjXHu.exe
  2⤵
  - Executes dropped EXE
  PID:2044
- C:\Windows\System32\oHydMfz.exe
  C:\Windows\System32\oHydMfz.exe
  2⤵
  - Executes dropped EXE
  PID:4928
- C:\Windows\System32\xuUusuM.exe
  C:\Windows\System32\xuUusuM.exe
  2⤵
  - Executes dropped EXE
  PID:5092
- C:\Windows\System32\jyTaowW.exe
  C:\Windows\System32\jyTaowW.exe
  2⤵
  - Executes dropped EXE
  PID:1836
- C:\Windows\System32\PebeZyu.exe
  C:\Windows\System32\PebeZyu.exe
  2⤵
  - Executes dropped EXE
  PID:4512
- C:\Windows\System32\vqCjTdc.exe
  C:\Windows\System32\vqCjTdc.exe
  2⤵
  - Executes dropped EXE
  PID:4692
- C:\Windows\System32\fOwNlvY.exe
  C:\Windows\System32\fOwNlvY.exe
  2⤵
  - Executes dropped EXE
  PID:4608
- C:\Windows\System32\SlNNJTZ.exe
  C:\Windows\System32\SlNNJTZ.exe
  2⤵
  - Executes dropped EXE
  PID:4000
- C:\Windows\System32\iBqFDxp.exe
  C:\Windows\System32\iBqFDxp.exe
  2⤵
  - Executes dropped EXE
  PID:4516
- C:\Windows\System32\YuZZyvn.exe
  C:\Windows\System32\YuZZyvn.exe
  2⤵
  - Executes dropped EXE
  PID:3388
- C:\Windows\System32\VAqpPMN.exe
  C:\Windows\System32\VAqpPMN.exe
  2⤵
  - Executes dropped EXE
  PID:2392
- C:\Windows\System32\BOIfRUp.exe
  C:\Windows\System32\BOIfRUp.exe
  2⤵
  - Executes dropped EXE
  PID:1000
- C:\Windows\System32\YHWyAjv.exe
  C:\Windows\System32\YHWyAjv.exe
  2⤵
  - Executes dropped EXE
  PID:2524
- C:\Windows\System32\ZIBKbGI.exe
  C:\Windows\System32\ZIBKbGI.exe
  2⤵
  - Executes dropped EXE
  PID:1524
- C:\Windows\System32\PvveXGn.exe
  C:\Windows\System32\PvveXGn.exe
  2⤵
  - Executes dropped EXE
  PID:3768
- C:\Windows\System32\LYdWOGj.exe
  C:\Windows\System32\LYdWOGj.exe
  2⤵
  - Executes dropped EXE
  PID:884
- C:\Windows\System32\jPBlJOU.exe
  C:\Windows\System32\jPBlJOU.exe
  2⤵
  - Executes dropped EXE
  PID:4680
- C:\Windows\System32\NQgezqr.exe
  C:\Windows\System32\NQgezqr.exe
  2⤵
  - Executes dropped EXE
  PID:3304
- C:\Windows\System32\DCINIpk.exe
  C:\Windows\System32\DCINIpk.exe
  2⤵
  - Executes dropped EXE
  PID:1280
- C:\Windows\System32\vJwCCjY.exe
  C:\Windows\System32\vJwCCjY.exe
  2⤵
  - Executes dropped EXE
  PID:4840
- C:\Windows\System32\wwDvdXX.exe
  C:\Windows\System32\wwDvdXX.exe
  2⤵
  - Executes dropped EXE
  PID:4088
- C:\Windows\System32\vNYpOIZ.exe
  C:\Windows\System32\vNYpOIZ.exe
  2⤵
  - Executes dropped EXE
  PID:640
- C:\Windows\System32\ebTOASF.exe
  C:\Windows\System32\ebTOASF.exe
  2⤵
  - Executes dropped EXE
  PID:3984
- C:\Windows\System32\wKexewH.exe
  C:\Windows\System32\wKexewH.exe
  2⤵
  - Executes dropped EXE
  PID:3736
- C:\Windows\System32\YRnUlMJ.exe
  C:\Windows\System32\YRnUlMJ.exe
  2⤵
  - Executes dropped EXE
  PID:4564
- C:\Windows\System32\TyceLAf.exe
  C:\Windows\System32\TyceLAf.exe
  2⤵
  - Executes dropped EXE
  PID:3540
- C:\Windows\System32\rDXTCHY.exe
  C:\Windows\System32\rDXTCHY.exe
  2⤵
  - Executes dropped EXE
  PID:436
- C:\Windows\System32\cfelZah.exe
  C:\Windows\System32\cfelZah.exe
  2⤵
  - Executes dropped EXE
  PID:4544
- C:\Windows\System32\mayMLVA.exe
  C:\Windows\System32\mayMLVA.exe
  2⤵
  - Executes dropped EXE
  PID:3508
- C:\Windows\System32\uoDWPHj.exe
  C:\Windows\System32\uoDWPHj.exe
  2⤵
  - Executes dropped EXE
  PID:1104
- C:\Windows\System32\OGNVHyH.exe
  C:\Windows\System32\OGNVHyH.exe
  2⤵
  - Executes dropped EXE
  PID:4044
- C:\Windows\System32\bkVZfzS.exe
  C:\Windows\System32\bkVZfzS.exe
  2⤵
  - Executes dropped EXE
  PID:972
- C:\Windows\System32\RArlAwI.exe
  C:\Windows\System32\RArlAwI.exe
  2⤵
  - Executes dropped EXE
  PID:4076
- C:\Windows\System32\SURdymn.exe
  C:\Windows\System32\SURdymn.exe
  2⤵
  - Executes dropped EXE
  PID:4444
- C:\Windows\System32\DBEclYw.exe
  C:\Windows\System32\DBEclYw.exe
  2⤵
  - Executes dropped EXE
  PID:3512
- C:\Windows\System32\euRcZYy.exe
  C:\Windows\System32\euRcZYy.exe
  2⤵
  - Executes dropped EXE
  PID:4372
- C:\Windows\System32\KEypAvd.exe
  C:\Windows\System32\KEypAvd.exe
  2⤵
  - Executes dropped EXE
  PID:2360
- C:\Windows\System32\Bkpqito.exe
  C:\Windows\System32\Bkpqito.exe
  2⤵
  - Executes dropped EXE
  PID:2184
- C:\Windows\System32\hyJbQoD.exe
  C:\Windows\System32\hyJbQoD.exe
  2⤵
  - Executes dropped EXE
  PID:1108
- C:\Windows\System32\QRAZVHv.exe
  C:\Windows\System32\QRAZVHv.exe
  2⤵
  - Executes dropped EXE
  PID:3940
- C:\Windows\System32\dmMlZZa.exe
  C:\Windows\System32\dmMlZZa.exe
  2⤵
  - Executes dropped EXE
  PID:1832
- C:\Windows\System32\kuhiYkU.exe
  C:\Windows\System32\kuhiYkU.exe
  2⤵
  - Executes dropped EXE
  PID:4768
- C:\Windows\System32\eliZwFn.exe
  C:\Windows\System32\eliZwFn.exe
  2⤵
  - Executes dropped EXE
  PID:3368
- C:\Windows\System32\ZTwxITY.exe
  C:\Windows\System32\ZTwxITY.exe
  2⤵
  - Executes dropped EXE
  PID:3720
- C:\Windows\System32\bCYJlOR.exe
  C:\Windows\System32\bCYJlOR.exe
  2⤵
  - Executes dropped EXE
  PID:1760
- C:\Windows\System32\IxKNrEz.exe
  C:\Windows\System32\IxKNrEz.exe
  2⤵
  PID:1584
- C:\Windows\System32\NwIvNsV.exe
  C:\Windows\System32\NwIvNsV.exe
  2⤵
  PID:2516
- C:\Windows\System32\AlnlDDM.exe
  C:\Windows\System32\AlnlDDM.exe
  2⤵
  PID:4620
- C:\Windows\System32\MLgEoDV.exe
  C:\Windows\System32\MLgEoDV.exe
  2⤵
  PID:3504
- C:\Windows\System32\qMfRFMe.exe
  C:\Windows\System32\qMfRFMe.exe
  2⤵
  PID:1964
- C:\Windows\System32\jjYiINo.exe
  C:\Windows\System32\jjYiINo.exe
  2⤵
  PID:3756
- C:\Windows\System32\uXFyxaT.exe
  C:\Windows\System32\uXFyxaT.exe
  2⤵
  PID:3576
- C:\Windows\System32\EBNcXAz.exe
  C:\Windows\System32\EBNcXAz.exe
  2⤵
  PID:2996
- C:\Windows\System32\esKbraG.exe
  C:\Windows\System32\esKbraG.exe
  2⤵
  PID:4648
- C:\Windows\System32\lRLiuBJ.exe
  C:\Windows\System32\lRLiuBJ.exe
  2⤵
  PID:3120
- C:\Windows\System32\CyNJrIN.exe
  C:\Windows\System32\CyNJrIN.exe
  2⤵
  PID:3248
- C:\Windows\System32\yZNlSYH.exe
  C:\Windows\System32\yZNlSYH.exe
  2⤵
  PID:3560
- C:\Windows\System32\DnUAbDQ.exe
  C:\Windows\System32\DnUAbDQ.exe
  2⤵
  PID:4780
- C:\Windows\System32\ILEYAsm.exe
  C:\Windows\System32\ILEYAsm.exe
  2⤵
  PID:4052
- C:\Windows\System32\wDkrhJq.exe
  C:\Windows\System32\wDkrhJq.exe
  2⤵
  PID:4324
- C:\Windows\System32\lDijime.exe
  C:\Windows\System32\lDijime.exe
  2⤵
  PID:760
- C:\Windows\System32\QQutbrr.exe
  C:\Windows\System32\QQutbrr.exe
  2⤵
  PID:768
- C:\Windows\System32\RFMFnfl.exe
  C:\Windows\System32\RFMFnfl.exe
  2⤵
  PID:4216
- C:\Windows\System32\xVdvPgY.exe
  C:\Windows\System32\xVdvPgY.exe
  2⤵
  PID:3108
- C:\Windows\System32\isBxhEP.exe
  C:\Windows\System32\isBxhEP.exe
  2⤵
  PID:2840
- C:\Windows\System32\QhgjiQG.exe
  C:\Windows\System32\QhgjiQG.exe
  2⤵
  PID:5144
- C:\Windows\System32\asiZqxl.exe
  C:\Windows\System32\asiZqxl.exe
  2⤵
  PID:5172
- C:\Windows\System32\FkhCdYS.exe
  C:\Windows\System32\FkhCdYS.exe
  2⤵
  PID:5200
- C:\Windows\System32\zrocfzN.exe
  C:\Windows\System32\zrocfzN.exe
  2⤵
  PID:5228
- C:\Windows\System32\ambkCOo.exe
  C:\Windows\System32\ambkCOo.exe
  2⤵
  PID:5256
- C:\Windows\System32\PzAxiXd.exe
  C:\Windows\System32\PzAxiXd.exe
  2⤵
  PID:5284
- C:\Windows\System32\SIefzHo.exe
  C:\Windows\System32\SIefzHo.exe
  2⤵
  PID:5312
- C:\Windows\System32\VhObFbr.exe
  C:\Windows\System32\VhObFbr.exe
  2⤵
  PID:5340
- C:\Windows\System32\ByqjapQ.exe
  C:\Windows\System32\ByqjapQ.exe
  2⤵
  PID:5368
- C:\Windows\System32\KiwkLvH.exe
  C:\Windows\System32\KiwkLvH.exe
  2⤵
  PID:5396
- C:\Windows\System32\cJfwwNK.exe
  C:\Windows\System32\cJfwwNK.exe
  2⤵
  PID:5424
- C:\Windows\System32\CSkUqPi.exe
  C:\Windows\System32\CSkUqPi.exe
  2⤵
  PID:5452
- C:\Windows\System32\mvvBtYo.exe
  C:\Windows\System32\mvvBtYo.exe
  2⤵
  PID:5480
- C:\Windows\System32\aIAjzZY.exe
  C:\Windows\System32\aIAjzZY.exe
  2⤵
  PID:5508
- C:\Windows\System32\uILEIEu.exe
  C:\Windows\System32\uILEIEu.exe
  2⤵
  PID:5536
- C:\Windows\System32\BkyVBiw.exe
  C:\Windows\System32\BkyVBiw.exe
  2⤵
  PID:5564
- C:\Windows\System32\VOnknbx.exe
  C:\Windows\System32\VOnknbx.exe
  2⤵
  PID:5592
- C:\Windows\System32\PsNUrej.exe
  C:\Windows\System32\PsNUrej.exe
  2⤵
  PID:5620
- C:\Windows\System32\wRyLtdH.exe
  C:\Windows\System32\wRyLtdH.exe
  2⤵
  PID:5648
- C:\Windows\System32\VyqQbdq.exe
  C:\Windows\System32\VyqQbdq.exe
  2⤵
  PID:5676
- C:\Windows\System32\qOJibML.exe
  C:\Windows\System32\qOJibML.exe
  2⤵
  PID:5704
- C:\Windows\System32\cKObtYH.exe
  C:\Windows\System32\cKObtYH.exe
  2⤵
  PID:5732
- C:\Windows\System32\CHCJvSf.exe
  C:\Windows\System32\CHCJvSf.exe
  2⤵
  PID:5760
- C:\Windows\System32\TyWGEQy.exe
  C:\Windows\System32\TyWGEQy.exe
  2⤵
  PID:5788
- C:\Windows\System32\NfbzToE.exe
  C:\Windows\System32\NfbzToE.exe
  2⤵
  PID:5816
- C:\Windows\System32\AKZKsQU.exe
  C:\Windows\System32\AKZKsQU.exe
  2⤵
  PID:5844
- C:\Windows\System32\NagBZUr.exe
  C:\Windows\System32\NagBZUr.exe
  2⤵
  PID:5872
- C:\Windows\System32\AWwFXOZ.exe
  C:\Windows\System32\AWwFXOZ.exe
  2⤵
  PID:5900
- C:\Windows\System32\nqDjEHz.exe
  C:\Windows\System32\nqDjEHz.exe
  2⤵
  PID:5928
- C:\Windows\System32\gJKQRlO.exe
  C:\Windows\System32\gJKQRlO.exe
  2⤵
  PID:5956
- C:\Windows\System32\vtBLtyF.exe
  C:\Windows\System32\vtBLtyF.exe
  2⤵
  PID:5984
- C:\Windows\System32\MDQsRBJ.exe
  C:\Windows\System32\MDQsRBJ.exe
  2⤵
  PID:6012
- C:\Windows\System32\dIHrDRy.exe
  C:\Windows\System32\dIHrDRy.exe
  2⤵
  PID:6040
- C:\Windows\System32\DiuNrTr.exe
  C:\Windows\System32\DiuNrTr.exe
  2⤵
  PID:6068
- C:\Windows\System32\AJVTUuK.exe
  C:\Windows\System32\AJVTUuK.exe
  2⤵
  PID:6096
- C:\Windows\System32\SYAIoGR.exe
  C:\Windows\System32\SYAIoGR.exe
  2⤵
  PID:6124
- C:\Windows\System32\eBElnJO.exe
  C:\Windows\System32\eBElnJO.exe
  2⤵
  PID:4048
- C:\Windows\System32\LtZnQbr.exe
  C:\Windows\System32\LtZnQbr.exe
  2⤵
  PID:3284
- C:\Windows\System32\ipIgdWx.exe
  C:\Windows\System32\ipIgdWx.exe
  2⤵
  PID:2836
- C:\Windows\System32\qahiIAn.exe
  C:\Windows\System32\qahiIAn.exe
  2⤵
  PID:2448
- C:\Windows\System32\FqIeiPD.exe
  C:\Windows\System32\FqIeiPD.exe
  2⤵
  PID:2636
- C:\Windows\System32\ksNzqrD.exe
  C:\Windows\System32\ksNzqrD.exe
  2⤵
  PID:2364
- C:\Windows\System32\GBTfvka.exe
  C:\Windows\System32\GBTfvka.exe
  2⤵
  PID:2088
- C:\Windows\System32\nkoPiyf.exe
  C:\Windows\System32\nkoPiyf.exe
  2⤵
  PID:5188
- C:\Windows\System32\sfAmANI.exe
  C:\Windows\System32\sfAmANI.exe
  2⤵
  PID:5236
- C:\Windows\System32\YlGbSgk.exe
  C:\Windows\System32\YlGbSgk.exe
  2⤵
  PID:5304
- C:\Windows\System32\zpitRSl.exe
  C:\Windows\System32\zpitRSl.exe
  2⤵
  PID:5384
- C:\Windows\System32\JDtVNLt.exe
  C:\Windows\System32\JDtVNLt.exe
  2⤵
  PID:5432
- C:\Windows\System32\dglzVrE.exe
  C:\Windows\System32\dglzVrE.exe
  2⤵
  PID:5500
- C:\Windows\System32\ighOYYM.exe
  C:\Windows\System32\ighOYYM.exe
  2⤵
  PID:5580
- C:\Windows\System32\wfFOOOU.exe
  C:\Windows\System32\wfFOOOU.exe
  2⤵
  PID:5664
- C:\Windows\System32\qioUGDk.exe
  C:\Windows\System32\qioUGDk.exe
  2⤵
  PID:5684
- C:\Windows\System32\yyIjywG.exe
  C:\Windows\System32\yyIjywG.exe
  2⤵
  PID:5752
- C:\Windows\System32\aaczCOi.exe
  C:\Windows\System32\aaczCOi.exe
  2⤵
  PID:5832
- C:\Windows\System32\qwjFoZM.exe
  C:\Windows\System32\qwjFoZM.exe
  2⤵
  PID:5880
- C:\Windows\System32\CPKvzBa.exe
  C:\Windows\System32\CPKvzBa.exe
  2⤵
  PID:5948
- C:\Windows\System32\dEUAMHq.exe
  C:\Windows\System32\dEUAMHq.exe
  2⤵
  PID:6028
- C:\Windows\System32\ZrvGTXA.exe
  C:\Windows\System32\ZrvGTXA.exe
  2⤵
  PID:6076
- C:\Windows\System32\IJdlRft.exe
  C:\Windows\System32\IJdlRft.exe
  2⤵
  PID:2648
- C:\Windows\System32\Bkqxdiz.exe
  C:\Windows\System32\Bkqxdiz.exe
  2⤵
  PID:1416
- C:\Windows\System32\JUdgIfY.exe
  C:\Windows\System32\JUdgIfY.exe
  2⤵
  PID:2776
- C:\Windows\System32\Hxpyqvi.exe
  C:\Windows\System32\Hxpyqvi.exe
  2⤵
  PID:5124
- C:\Windows\System32\KWafRIx.exe
  C:\Windows\System32\KWafRIx.exe
  2⤵
  PID:5300
- C:\Windows\System32\hZZeSNw.exe
  C:\Windows\System32\hZZeSNw.exe
  2⤵
  PID:5472
- C:\Windows\System32\QOEKmGI.exe
  C:\Windows\System32\QOEKmGI.exe
  2⤵
  PID:5584
- C:\Windows\System32\eHgPIIt.exe
  C:\Windows\System32\eHgPIIt.exe
  2⤵
  PID:5748
- C:\Windows\System32\IQiBSXo.exe
  C:\Windows\System32\IQiBSXo.exe
  2⤵
  PID:5920
- C:\Windows\System32\MbOCcKv.exe
  C:\Windows\System32\MbOCcKv.exe
  2⤵
  PID:6048
- C:\Windows\System32\YwnnJsh.exe
  C:\Windows\System32\YwnnJsh.exe
  2⤵
  PID:6172
- C:\Windows\System32\UvihBsB.exe
  C:\Windows\System32\UvihBsB.exe
  2⤵
  PID:6200
- C:\Windows\System32\umoWGUp.exe
  C:\Windows\System32\umoWGUp.exe
  2⤵
  PID:6228
- C:\Windows\System32\bmBziEi.exe
  C:\Windows\System32\bmBziEi.exe
  2⤵
  PID:6256
- C:\Windows\System32\WFtNoVd.exe
  C:\Windows\System32\WFtNoVd.exe
  2⤵
  PID:6284
- C:\Windows\System32\pBNZeXN.exe
  C:\Windows\System32\pBNZeXN.exe
  2⤵
  PID:6312
- C:\Windows\System32\gGCLUmw.exe
  C:\Windows\System32\gGCLUmw.exe
  2⤵
  PID:6340
- C:\Windows\System32\ImWCSVf.exe
  C:\Windows\System32\ImWCSVf.exe
  2⤵
  PID:6368
- C:\Windows\System32\dwxgupO.exe
  C:\Windows\System32\dwxgupO.exe
  2⤵
  PID:6396
- C:\Windows\System32\dgboeyo.exe
  C:\Windows\System32\dgboeyo.exe
  2⤵
  PID:6424
- C:\Windows\System32\atPLbDU.exe
  C:\Windows\System32\atPLbDU.exe
  2⤵
  PID:6452
- C:\Windows\System32\gkEDSBB.exe
  C:\Windows\System32\gkEDSBB.exe
  2⤵
  PID:6480
- C:\Windows\System32\dHoeaZW.exe
  C:\Windows\System32\dHoeaZW.exe
  2⤵
  PID:6508
- C:\Windows\System32\tchNilX.exe
  C:\Windows\System32\tchNilX.exe
  2⤵
  PID:6536
- C:\Windows\System32\HCXSETT.exe
  C:\Windows\System32\HCXSETT.exe
  2⤵
  PID:6564
- C:\Windows\System32\iPWfcac.exe
  C:\Windows\System32\iPWfcac.exe
  2⤵
  PID:6592
- C:\Windows\System32\jxISQzK.exe
  C:\Windows\System32\jxISQzK.exe
  2⤵
  PID:6620
- C:\Windows\System32\yUiJsfY.exe
  C:\Windows\System32\yUiJsfY.exe
  2⤵
  PID:6648
- C:\Windows\System32\oHSpbxx.exe
  C:\Windows\System32\oHSpbxx.exe
  2⤵
  PID:6676
- C:\Windows\System32\YBtgszT.exe
  C:\Windows\System32\YBtgszT.exe
  2⤵
  PID:6704
- C:\Windows\System32\zrfCNhp.exe
  C:\Windows\System32\zrfCNhp.exe
  2⤵
  PID:6732
- C:\Windows\System32\PLiQBRU.exe
  C:\Windows\System32\PLiQBRU.exe
  2⤵
  PID:6760
- C:\Windows\System32\ILpQRde.exe
  C:\Windows\System32\ILpQRde.exe
  2⤵
  PID:6788
- C:\Windows\System32\uRyXBke.exe
  C:\Windows\System32\uRyXBke.exe
  2⤵
  PID:6816
- C:\Windows\System32\DqFrgXY.exe
  C:\Windows\System32\DqFrgXY.exe
  2⤵
  PID:6844
- C:\Windows\System32\ycQfOFg.exe
  C:\Windows\System32\ycQfOFg.exe
  2⤵
  PID:6872
- C:\Windows\System32\MrqOIXf.exe
  C:\Windows\System32\MrqOIXf.exe
  2⤵
  PID:6900
- C:\Windows\System32\WmACTNn.exe
  C:\Windows\System32\WmACTNn.exe
  2⤵
  PID:6928
- C:\Windows\System32\DflGXaY.exe
  C:\Windows\System32\DflGXaY.exe
  2⤵
  PID:6956
- C:\Windows\System32\CsDIdpy.exe
  C:\Windows\System32\CsDIdpy.exe
  2⤵
  PID:6984
- C:\Windows\System32\RFEdrnq.exe
  C:\Windows\System32\RFEdrnq.exe
  2⤵
  PID:7012
- C:\Windows\System32\LUzNhat.exe
  C:\Windows\System32\LUzNhat.exe
  2⤵
  PID:7040
- C:\Windows\System32\xndMsYF.exe
  C:\Windows\System32\xndMsYF.exe
  2⤵
  PID:7068
- C:\Windows\System32\NTxwBrr.exe
  C:\Windows\System32\NTxwBrr.exe
  2⤵
  PID:7096
- C:\Windows\System32\hppfcNv.exe
  C:\Windows\System32\hppfcNv.exe
  2⤵
  PID:7124
- C:\Windows\System32\QxaWfnN.exe
  C:\Windows\System32\QxaWfnN.exe
  2⤵
  PID:7152
- C:\Windows\System32\SdzLNMx.exe
  C:\Windows\System32\SdzLNMx.exe
  2⤵
  PID:6112
- C:\Windows\System32\tMcDrjE.exe
  C:\Windows\System32\tMcDrjE.exe
  2⤵
  PID:3964
- C:\Windows\System32\CANnKJR.exe
  C:\Windows\System32\CANnKJR.exe
  2⤵
  PID:5276
- C:\Windows\System32\zsBudis.exe
  C:\Windows\System32\zsBudis.exe
  2⤵
  PID:5692
- C:\Windows\System32\yDhSaae.exe
  C:\Windows\System32\yDhSaae.exe
  2⤵
  PID:4332
- C:\Windows\System32\XtlbmKe.exe
  C:\Windows\System32\XtlbmKe.exe
  2⤵
  PID:6180
- C:\Windows\System32\zeHOiyI.exe
  C:\Windows\System32\zeHOiyI.exe
  2⤵
  PID:6248
- C:\Windows\System32\vmqJpiL.exe
  C:\Windows\System32\vmqJpiL.exe
  2⤵
  PID:6328
- C:\Windows\System32\PfspDBU.exe
  C:\Windows\System32\PfspDBU.exe
  2⤵
  PID:6376
- C:\Windows\System32\TihZfEx.exe
  C:\Windows\System32\TihZfEx.exe
  2⤵
  PID:6444
- C:\Windows\System32\YRklHxn.exe
  C:\Windows\System32\YRklHxn.exe
  2⤵
  PID:6524
- C:\Windows\System32\zPkhndk.exe
  C:\Windows\System32\zPkhndk.exe
  2⤵
  PID:6580
- C:\Windows\System32\NqxjlZM.exe
  C:\Windows\System32\NqxjlZM.exe
  2⤵
  PID:1092
- C:\Windows\System32\CWTdsQj.exe
  C:\Windows\System32\CWTdsQj.exe
  2⤵
  PID:6692
- C:\Windows\System32\neDyufm.exe
  C:\Windows\System32\neDyufm.exe
  2⤵
  PID:6748
- C:\Windows\System32\obKUVWm.exe
  C:\Windows\System32\obKUVWm.exe
  2⤵
  PID:6832
- C:\Windows\System32\jQsEuaY.exe
  C:\Windows\System32\jQsEuaY.exe
  2⤵
  PID:6864
- C:\Windows\System32\BRWEjyY.exe
  C:\Windows\System32\BRWEjyY.exe
  2⤵
  PID:6920
- C:\Windows\System32\iRqtFAd.exe
  C:\Windows\System32\iRqtFAd.exe
  2⤵
  PID:820
- C:\Windows\System32\KwPnnXW.exe
  C:\Windows\System32\KwPnnXW.exe
  2⤵
  PID:7020
- C:\Windows\System32\LvHxBLd.exe
  C:\Windows\System32\LvHxBLd.exe
  2⤵
  PID:7076
- C:\Windows\System32\hMbksYl.exe
  C:\Windows\System32\hMbksYl.exe
  2⤵
  PID:7144
- C:\Windows\System32\ijHxdSo.exe
  C:\Windows\System32\ijHxdSo.exe
  2⤵
  PID:3900
- C:\Windows\System32\mHVVElX.exe
  C:\Windows\System32\mHVVElX.exe
  2⤵
  PID:3816
- C:\Windows\System32\tzdhpup.exe
  C:\Windows\System32\tzdhpup.exe
  2⤵
  PID:6164
- C:\Windows\System32\DUwnmWB.exe
  C:\Windows\System32\DUwnmWB.exe
  2⤵
  PID:6264
- C:\Windows\System32\uZPOPfD.exe
  C:\Windows\System32\uZPOPfD.exe
  2⤵
  PID:6360
- C:\Windows\System32\QHyRXfQ.exe
  C:\Windows\System32\QHyRXfQ.exe
  2⤵
  PID:3652
- C:\Windows\System32\kDSVssL.exe
  C:\Windows\System32\kDSVssL.exe
  2⤵
  PID:6836
- C:\Windows\System32\MPxqCro.exe
  C:\Windows\System32\MPxqCro.exe
  2⤵
  PID:3156
- C:\Windows\System32\ODAmTaK.exe
  C:\Windows\System32\ODAmTaK.exe
  2⤵
  PID:7004
- C:\Windows\System32\COfrsFj.exe
  C:\Windows\System32\COfrsFj.exe
  2⤵
  PID:4528
- C:\Windows\System32\fwpzQfs.exe
  C:\Windows\System32\fwpzQfs.exe
  2⤵
  PID:664
- C:\Windows\System32\zGqhall.exe
  C:\Windows\System32\zGqhall.exe
  2⤵
  PID:7140
- C:\Windows\System32\XEvoTyA.exe
  C:\Windows\System32\XEvoTyA.exe
  2⤵
  PID:4104
- C:\Windows\System32\bgJxwNI.exe
  C:\Windows\System32\bgJxwNI.exe
  2⤵
  PID:6216
- C:\Windows\System32\TDBUwdZ.exe
  C:\Windows\System32\TDBUwdZ.exe
  2⤵
  PID:3244
- C:\Windows\System32\AcTevdk.exe
  C:\Windows\System32\AcTevdk.exe
  2⤵
  PID:4784
- C:\Windows\System32\tIMzlQV.exe
  C:\Windows\System32\tIMzlQV.exe
  2⤵
  PID:6668
- C:\Windows\System32\GZoYvJD.exe
  C:\Windows\System32\GZoYvJD.exe
  2⤵
  PID:6916
- C:\Windows\System32\mopEHJe.exe
  C:\Windows\System32\mopEHJe.exe
  2⤵
  PID:6936
- C:\Windows\System32\JqUxKZl.exe
  C:\Windows\System32\JqUxKZl.exe
  2⤵
  PID:6992
- C:\Windows\System32\YVvjHko.exe
  C:\Windows\System32\YVvjHko.exe
  2⤵
  PID:2476
- C:\Windows\System32\AAPamEh.exe
  C:\Windows\System32\AAPamEh.exe
  2⤵
  PID:6244
- C:\Windows\System32\HdfpFCO.exe
  C:\Windows\System32\HdfpFCO.exe
  2⤵
  PID:4408
- C:\Windows\System32\penPeVk.exe
  C:\Windows\System32\penPeVk.exe
  2⤵
  PID:7112
- C:\Windows\System32\OCcKVei.exe
  C:\Windows\System32\OCcKVei.exe
  2⤵
  PID:4696
- C:\Windows\System32\rurkXam.exe
  C:\Windows\System32\rurkXam.exe
  2⤵
  PID:6892
- C:\Windows\System32\FnEcVQE.exe
  C:\Windows\System32\FnEcVQE.exe
  2⤵
  PID:7188
- C:\Windows\System32\UhLdPua.exe
  C:\Windows\System32\UhLdPua.exe
  2⤵
  PID:7216
- C:\Windows\System32\eapptrD.exe
  C:\Windows\System32\eapptrD.exe
  2⤵
  PID:7232
- C:\Windows\System32\cHqNeUp.exe
  C:\Windows\System32\cHqNeUp.exe
  2⤵
  PID:7260
- C:\Windows\System32\FrKetbe.exe
  C:\Windows\System32\FrKetbe.exe
  2⤵
  PID:7300
- C:\Windows\System32\AzHUcTp.exe
  C:\Windows\System32\AzHUcTp.exe
  2⤵
  PID:7328
- C:\Windows\System32\UXdOxWI.exe
  C:\Windows\System32\UXdOxWI.exe
  2⤵
  PID:7360
- C:\Windows\System32\SsbLtZj.exe
  C:\Windows\System32\SsbLtZj.exe
  2⤵
  PID:7376
- C:\Windows\System32\lCxmkMZ.exe
  C:\Windows\System32\lCxmkMZ.exe
  2⤵
  PID:7404
- C:\Windows\System32\uIjCUrn.exe
  C:\Windows\System32\uIjCUrn.exe
  2⤵
  PID:7420
- C:\Windows\System32\YrihykX.exe
  C:\Windows\System32\YrihykX.exe
  2⤵
  PID:7464
- C:\Windows\System32\fYLOlXE.exe
  C:\Windows\System32\fYLOlXE.exe
  2⤵
  PID:7500
- C:\Windows\System32\CTlJtWO.exe
  C:\Windows\System32\CTlJtWO.exe
  2⤵
  PID:7520
- C:\Windows\System32\gNiFFsm.exe
  C:\Windows\System32\gNiFFsm.exe
  2⤵
  PID:7552
- C:\Windows\System32\zgfjgLH.exe
  C:\Windows\System32\zgfjgLH.exe
  2⤵
  PID:7572
- C:\Windows\System32\htJRPaY.exe
  C:\Windows\System32\htJRPaY.exe
  2⤵
  PID:7608
- C:\Windows\System32\TvAYWOC.exe
  C:\Windows\System32\TvAYWOC.exe
  2⤵
  PID:7640
- C:\Windows\System32\PuinZUq.exe
  C:\Windows\System32\PuinZUq.exe
  2⤵
  PID:7668
- C:\Windows\System32\wGyiixh.exe
  C:\Windows\System32\wGyiixh.exe
  2⤵
  PID:7696
- C:\Windows\System32\zJTduZA.exe
  C:\Windows\System32\zJTduZA.exe
  2⤵
  PID:7712
- C:\Windows\System32\HIFwMKW.exe
  C:\Windows\System32\HIFwMKW.exe
  2⤵
  PID:7740
- C:\Windows\System32\GpaPEqL.exe
  C:\Windows\System32\GpaPEqL.exe
  2⤵
  PID:7780
- C:\Windows\System32\CxcgZsj.exe
  C:\Windows\System32\CxcgZsj.exe
  2⤵
  PID:7796
- C:\Windows\System32\IOirGxh.exe
  C:\Windows\System32\IOirGxh.exe
  2⤵
  PID:7824
- C:\Windows\System32\qWXEOTo.exe
  C:\Windows\System32\qWXEOTo.exe
  2⤵
  PID:7872
- C:\Windows\System32\uWDqeXn.exe
  C:\Windows\System32\uWDqeXn.exe
  2⤵
  PID:7892
- C:\Windows\System32\CJdCAMf.exe
  C:\Windows\System32\CJdCAMf.exe
  2⤵
  PID:7920
- C:\Windows\System32\hYRWXcO.exe
  C:\Windows\System32\hYRWXcO.exe
  2⤵
  PID:7948
- C:\Windows\System32\tftsxRL.exe
  C:\Windows\System32\tftsxRL.exe
  2⤵
  PID:7976
- C:\Windows\System32\meTTtof.exe
  C:\Windows\System32\meTTtof.exe
  2⤵
  PID:7996
- C:\Windows\System32\HPTvHzz.exe
  C:\Windows\System32\HPTvHzz.exe
  2⤵
  PID:8020
- C:\Windows\System32\MZCfGfk.exe
  C:\Windows\System32\MZCfGfk.exe
  2⤵
  PID:8060
- C:\Windows\System32\xrqWjux.exe
  C:\Windows\System32\xrqWjux.exe
  2⤵
  PID:8088
- C:\Windows\System32\DEQUqYY.exe
  C:\Windows\System32\DEQUqYY.exe
  2⤵
  PID:8104
- C:\Windows\System32\mSaYedS.exe
  C:\Windows\System32\mSaYedS.exe
  2⤵
  PID:8136
- C:\Windows\System32\uhlFqiB.exe
  C:\Windows\System32\uhlFqiB.exe
  2⤵
  PID:8168
- C:\Windows\System32\gWjZiug.exe
  C:\Windows\System32\gWjZiug.exe
  2⤵
  PID:6300
- C:\Windows\System32\fSDbDLM.exe
  C:\Windows\System32\fSDbDLM.exe
  2⤵
  PID:7212
- C:\Windows\System32\LUuLwdP.exe
  C:\Windows\System32\LUuLwdP.exe
  2⤵
  PID:7284
- C:\Windows\System32\xQrfCxf.exe
  C:\Windows\System32\xQrfCxf.exe
  2⤵
  PID:7372
- C:\Windows\System32\tATNdDa.exe
  C:\Windows\System32\tATNdDa.exe
  2⤵
  PID:7400
- C:\Windows\System32\fLUaRcm.exe
  C:\Windows\System32\fLUaRcm.exe
  2⤵
  PID:7476
- C:\Windows\System32\aUGWwND.exe
  C:\Windows\System32\aUGWwND.exe
  2⤵
  PID:7544
- C:\Windows\System32\xHjJAJd.exe
  C:\Windows\System32\xHjJAJd.exe
  2⤵
  PID:7632
- C:\Windows\System32\WMEhMBO.exe
  C:\Windows\System32\WMEhMBO.exe
  2⤵
  PID:7680
- C:\Windows\System32\lvxIlzP.exe
  C:\Windows\System32\lvxIlzP.exe
  2⤵
  PID:7732
- C:\Windows\System32\flRqOLG.exe
  C:\Windows\System32\flRqOLG.exe
  2⤵
  PID:7820
- C:\Windows\System32\AawpZCU.exe
  C:\Windows\System32\AawpZCU.exe
  2⤵
  PID:7904
- C:\Windows\System32\gTqLbCj.exe
  C:\Windows\System32\gTqLbCj.exe
  2⤵
  PID:7960
- C:\Windows\System32\fxuUFjB.exe
  C:\Windows\System32\fxuUFjB.exe
  2⤵
  PID:8016
- C:\Windows\System32\UgsZWGw.exe
  C:\Windows\System32\UgsZWGw.exe
  2⤵
  PID:8100
- C:\Windows\System32\RDqJAef.exe
  C:\Windows\System32\RDqJAef.exe
  2⤵
  PID:8156
- C:\Windows\System32\yPNYTxl.exe
  C:\Windows\System32\yPNYTxl.exe
  2⤵
  PID:7256
- C:\Windows\System32\HnjZatC.exe
  C:\Windows\System32\HnjZatC.exe
  2⤵
  PID:7436
- C:\Windows\System32\RISDJXe.exe
  C:\Windows\System32\RISDJXe.exe
  2⤵
  PID:7484
- C:\Windows\System32\VsTHkTW.exe
  C:\Windows\System32\VsTHkTW.exe
  2⤵
  PID:7620
- C:\Windows\System32\vpvHuzB.exe
  C:\Windows\System32\vpvHuzB.exe
  2⤵
  PID:7760
- C:\Windows\System32\HJmIZED.exe
  C:\Windows\System32\HJmIZED.exe
  2⤵
  PID:7936
- C:\Windows\System32\LFKMutG.exe
  C:\Windows\System32\LFKMutG.exe
  2⤵
  PID:7288
- C:\Windows\System32\VQVBHgC.exe
  C:\Windows\System32\VQVBHgC.exe
  2⤵
  PID:7316
- C:\Windows\System32\UQhqXcf.exe
  C:\Windows\System32\UQhqXcf.exe
  2⤵
  PID:7596
- C:\Windows\System32\bYqFpvP.exe
  C:\Windows\System32\bYqFpvP.exe
  2⤵
  PID:7888
- C:\Windows\System32\thXYJlf.exe
  C:\Windows\System32\thXYJlf.exe
  2⤵
  PID:8180
- C:\Windows\System32\sowSzhi.exe
  C:\Windows\System32\sowSzhi.exe
  2⤵
  PID:8012
- C:\Windows\System32\HeqcKpq.exe
  C:\Windows\System32\HeqcKpq.exe
  2⤵
  PID:8224
- C:\Windows\System32\DBGENGJ.exe
  C:\Windows\System32\DBGENGJ.exe
  2⤵
  PID:8248
- C:\Windows\System32\ZGJpaoB.exe
  C:\Windows\System32\ZGJpaoB.exe
  2⤵
  PID:8288
- C:\Windows\System32\fhjYICv.exe
  C:\Windows\System32\fhjYICv.exe
  2⤵
  PID:8312
- C:\Windows\System32\ddjvHKq.exe
  C:\Windows\System32\ddjvHKq.exe
  2⤵
  PID:8344
- C:\Windows\System32\uKvddbq.exe
  C:\Windows\System32\uKvddbq.exe
  2⤵
  PID:8372
- C:\Windows\System32\pooKRao.exe
  C:\Windows\System32\pooKRao.exe
  2⤵
  PID:8392
- C:\Windows\System32\MDtubZj.exe
  C:\Windows\System32\MDtubZj.exe
  2⤵
  PID:8408
- C:\Windows\System32\UpdqPRB.exe
  C:\Windows\System32\UpdqPRB.exe
  2⤵
  PID:8444
- C:\Windows\System32\pxGGqpJ.exe
  C:\Windows\System32\pxGGqpJ.exe
  2⤵
  PID:8476
- C:\Windows\System32\NvfgmJC.exe
  C:\Windows\System32\NvfgmJC.exe
  2⤵
  PID:8504
- C:\Windows\System32\UYwUoKa.exe
  C:\Windows\System32\UYwUoKa.exe
  2⤵
  PID:8540
- C:\Windows\System32\sdRBDhf.exe
  C:\Windows\System32\sdRBDhf.exe
  2⤵
  PID:8564
- C:\Windows\System32\HbxbfjY.exe
  C:\Windows\System32\HbxbfjY.exe
  2⤵
  PID:8596
- C:\Windows\System32\ZESoWmG.exe
  C:\Windows\System32\ZESoWmG.exe
  2⤵
  PID:8616
- C:\Windows\System32\DCgOfxk.exe
  C:\Windows\System32\DCgOfxk.exe
  2⤵
  PID:8648
- C:\Windows\System32\VGxtiaG.exe
  C:\Windows\System32\VGxtiaG.exe
  2⤵
  PID:8680
- C:\Windows\System32\oZEhnEm.exe
  C:\Windows\System32\oZEhnEm.exe
  2⤵
  PID:8696
- C:\Windows\System32\roqANBe.exe
  C:\Windows\System32\roqANBe.exe
  2⤵
  PID:8728
- C:\Windows\System32\oBGRhhv.exe
  C:\Windows\System32\oBGRhhv.exe
  2⤵
  PID:8756
- C:\Windows\System32\BXdhnqi.exe
  C:\Windows\System32\BXdhnqi.exe
  2⤵
  PID:8784
- C:\Windows\System32\uwTMEfr.exe
  C:\Windows\System32\uwTMEfr.exe
  2⤵
  PID:8808
- C:\Windows\System32\mYbfesV.exe
  C:\Windows\System32\mYbfesV.exe
  2⤵
  PID:8848
- C:\Windows\System32\KjgsTsV.exe
  C:\Windows\System32\KjgsTsV.exe
  2⤵
  PID:8876
- C:\Windows\System32\shwLAYj.exe
  C:\Windows\System32\shwLAYj.exe
  2⤵
  PID:8896
- C:\Windows\System32\bMFOWqe.exe
  C:\Windows\System32\bMFOWqe.exe
  2⤵
  PID:8932
- C:\Windows\System32\fKCiNSf.exe
  C:\Windows\System32\fKCiNSf.exe
  2⤵
  PID:8948
- C:\Windows\System32\KcEohkA.exe
  C:\Windows\System32\KcEohkA.exe
  2⤵
  PID:8988
- C:\Windows\System32\AyxxEZz.exe
  C:\Windows\System32\AyxxEZz.exe
  2⤵
  PID:9020
- C:\Windows\System32\PlAWTiR.exe
  C:\Windows\System32\PlAWTiR.exe
  2⤵
  PID:9036
- C:\Windows\System32\YEtNKcP.exe
  C:\Windows\System32\YEtNKcP.exe
  2⤵
  PID:9052
- C:\Windows\System32\eQAtErO.exe
  C:\Windows\System32\eQAtErO.exe
  2⤵
  PID:9080
- C:\Windows\System32\oaBvCTB.exe
  C:\Windows\System32\oaBvCTB.exe
  2⤵
  PID:9104
- C:\Windows\System32\QJlmOem.exe
  C:\Windows\System32\QJlmOem.exe
  2⤵
  PID:9128
- C:\Windows\System32\xiVxeCk.exe
  C:\Windows\System32\xiVxeCk.exe
  2⤵
  PID:9148
- C:\Windows\System32\CFIBcWn.exe
  C:\Windows\System32\CFIBcWn.exe
  2⤵
  PID:9168
- C:\Windows\System32\rcPXbFw.exe
  C:\Windows\System32\rcPXbFw.exe
  2⤵
  PID:9184
- C:\Windows\System32\WRwClLu.exe
  C:\Windows\System32\WRwClLu.exe
  2⤵
  PID:8296
- C:\Windows\System32\XYKlgiI.exe
  C:\Windows\System32\XYKlgiI.exe
  2⤵
  PID:8328
- C:\Windows\System32\CStvMpH.exe
  C:\Windows\System32\CStvMpH.exe
  2⤵
  PID:8440
- C:\Windows\System32\GtviTeq.exe
  C:\Windows\System32\GtviTeq.exe
  2⤵
  PID:8464
- C:\Windows\System32\sDOkjyI.exe
  C:\Windows\System32\sDOkjyI.exe
  2⤵
  PID:8552
- C:\Windows\System32\EdxQKso.exe
  C:\Windows\System32\EdxQKso.exe
  2⤵
  PID:8604
- C:\Windows\System32\amAlLth.exe
  C:\Windows\System32\amAlLth.exe
  2⤵
  PID:8688
- C:\Windows\System32\WCVoLNm.exe
  C:\Windows\System32\WCVoLNm.exe
  2⤵
  PID:8708
- C:\Windows\System32\FrSyKlE.exe
  C:\Windows\System32\FrSyKlE.exe
  2⤵
  PID:8820
- C:\Windows\System32\fNTzUdo.exe
  C:\Windows\System32\fNTzUdo.exe
  2⤵
  PID:8860
- C:\Windows\System32\zBxpjeD.exe
  C:\Windows\System32\zBxpjeD.exe
  2⤵
  PID:8964
- C:\Windows\System32\epMXXLF.exe
  C:\Windows\System32\epMXXLF.exe
  2⤵
  PID:9044
- C:\Windows\System32\QBEdVFf.exe
  C:\Windows\System32\QBEdVFf.exe
  2⤵
  PID:9124
- C:\Windows\System32\LWMgKuJ.exe
  C:\Windows\System32\LWMgKuJ.exe
  2⤵
  PID:9140
- C:\Windows\System32\AQsamNa.exe
  C:\Windows\System32\AQsamNa.exe
  2⤵
  PID:7528
- C:\Windows\System32\odcCZJi.exe
  C:\Windows\System32\odcCZJi.exe
  2⤵
  PID:8384
- C:\Windows\System32\zKBdTno.exe
  C:\Windows\System32\zKBdTno.exe
  2⤵
  PID:8584
- C:\Windows\System32\RPuIrzt.exe
  C:\Windows\System32\RPuIrzt.exe
  2⤵
  PID:8676
- C:\Windows\System32\bgmyhSK.exe
  C:\Windows\System32\bgmyhSK.exe
  2⤵
  PID:8920
- C:\Windows\System32\vpHLbyo.exe
  C:\Windows\System32\vpHLbyo.exe
  2⤵
  PID:9096
- C:\Windows\System32\vJkRleH.exe
  C:\Windows\System32\vJkRleH.exe
  2⤵
  PID:9192
- C:\Windows\System32\xDhnlRi.exe
  C:\Windows\System32\xDhnlRi.exe
  2⤵
  PID:8532
- C:\Windows\System32\LwUeNBN.exe
  C:\Windows\System32\LwUeNBN.exe
  2⤵
  PID:1932
- C:\Windows\System32\ocWFQme.exe
  C:\Windows\System32\ocWFQme.exe
  2⤵
  PID:8484
- C:\Windows\System32\KpNNnQh.exe
  C:\Windows\System32\KpNNnQh.exe
  2⤵
  PID:9136
- C:\Windows\System32\PgryXBH.exe
  C:\Windows\System32\PgryXBH.exe
  2⤵
  PID:8744
- C:\Windows\System32\zYQkPDH.exe
  C:\Windows\System32\zYQkPDH.exe
  2⤵
  PID:9240
- C:\Windows\System32\ahygvTE.exe
  C:\Windows\System32\ahygvTE.exe
  2⤵
  PID:9268
- C:\Windows\System32\pXlWvmJ.exe
  C:\Windows\System32\pXlWvmJ.exe
  2⤵
  PID:9308
- C:\Windows\System32\ysTcacE.exe
  C:\Windows\System32\ysTcacE.exe
  2⤵
  PID:9328
- C:\Windows\System32\JTVkxhR.exe
  C:\Windows\System32\JTVkxhR.exe
  2⤵
  PID:9368
- C:\Windows\System32\XWKHQle.exe
  C:\Windows\System32\XWKHQle.exe
  2⤵
  PID:9400
- C:\Windows\System32\NYFuIYt.exe
  C:\Windows\System32\NYFuIYt.exe
  2⤵
  PID:9420
- C:\Windows\System32\ysATGLs.exe
  C:\Windows\System32\ysATGLs.exe
  2⤵
  PID:9440
- C:\Windows\System32\dwKwpAM.exe
  C:\Windows\System32\dwKwpAM.exe
  2⤵
  PID:9480
- C:\Windows\System32\DfzHdyI.exe
  C:\Windows\System32\DfzHdyI.exe
  2⤵
  PID:9520
- C:\Windows\System32\GgclFfU.exe
  C:\Windows\System32\GgclFfU.exe
  2⤵
  PID:9536
- C:\Windows\System32\UQIulRy.exe
  C:\Windows\System32\UQIulRy.exe
  2⤵
  PID:9564
- C:\Windows\System32\xnHWUng.exe
  C:\Windows\System32\xnHWUng.exe
  2⤵
  PID:9592
- C:\Windows\System32\icsvAiy.exe
  C:\Windows\System32\icsvAiy.exe
  2⤵
  PID:9632
- C:\Windows\System32\VwZpwIR.exe
  C:\Windows\System32\VwZpwIR.exe
  2⤵
  PID:9648
- C:\Windows\System32\sGaNnLR.exe
  C:\Windows\System32\sGaNnLR.exe
  2⤵
  PID:9688
- C:\Windows\System32\symiiPO.exe
  C:\Windows\System32\symiiPO.exe
  2⤵
  PID:9704
- C:\Windows\System32\KMUsDQm.exe
  C:\Windows\System32\KMUsDQm.exe
  2⤵
  PID:9728
- C:\Windows\System32\XmcNRIu.exe
  C:\Windows\System32\XmcNRIu.exe
  2⤵
  PID:9764
- C:\Windows\System32\OpysVNo.exe
  C:\Windows\System32\OpysVNo.exe
  2⤵
  PID:9792
- C:\Windows\System32\gpGWqzZ.exe
  C:\Windows\System32\gpGWqzZ.exe
  2⤵
  PID:9824
- C:\Windows\System32\qcjoxiA.exe
  C:\Windows\System32\qcjoxiA.exe
  2⤵
  PID:9860
- C:\Windows\System32\xTieTqK.exe
  C:\Windows\System32\xTieTqK.exe
  2⤵
  PID:9876
- C:\Windows\System32\eDDKtBu.exe
  C:\Windows\System32\eDDKtBu.exe
  2⤵
  PID:9904
- C:\Windows\System32\viiIEqe.exe
  C:\Windows\System32\viiIEqe.exe
  2⤵
  PID:9932
- C:\Windows\System32\LvffBiB.exe
  C:\Windows\System32\LvffBiB.exe
  2⤵
  PID:9972
- C:\Windows\System32\WUGpmEm.exe
  C:\Windows\System32\WUGpmEm.exe
  2⤵
  PID:10000
- C:\Windows\System32\NheAzUV.exe
  C:\Windows\System32\NheAzUV.exe
  2⤵
  PID:10016
- C:\Windows\System32\ccUeMut.exe
  C:\Windows\System32\ccUeMut.exe
  2⤵
  PID:10032
- C:\Windows\System32\MvHEItA.exe
  C:\Windows\System32\MvHEItA.exe
  2⤵
  PID:10088
- C:\Windows\System32\kIOlkNL.exe
  C:\Windows\System32\kIOlkNL.exe
  2⤵
  PID:10128
- C:\Windows\System32\gJHrLXq.exe
  C:\Windows\System32\gJHrLXq.exe
  2⤵
  PID:10156
- C:\Windows\System32\mEmGSbC.exe
  C:\Windows\System32\mEmGSbC.exe
  2⤵
  PID:10188
- C:\Windows\System32\aJhSHao.exe
  C:\Windows\System32\aJhSHao.exe
  2⤵
  PID:10208
- C:\Windows\System32\azpDmEE.exe
  C:\Windows\System32\azpDmEE.exe
  2⤵
  PID:2828
- C:\Windows\System32\BuLJTWH.exe
  C:\Windows\System32\BuLJTWH.exe
  2⤵
  PID:9264
- C:\Windows\System32\DpVdUwl.exe
  C:\Windows\System32\DpVdUwl.exe
  2⤵
  PID:9336
- C:\Windows\System32\kHXNAso.exe
  C:\Windows\System32\kHXNAso.exe
  2⤵
  PID:9408
- C:\Windows\System32\oLaCxGf.exe
  C:\Windows\System32\oLaCxGf.exe
  2⤵
  PID:9488
- C:\Windows\System32\YsLZbtR.exe
  C:\Windows\System32\YsLZbtR.exe
  2⤵
  PID:9548
- C:\Windows\System32\dZmPmQe.exe
  C:\Windows\System32\dZmPmQe.exe
  2⤵
  PID:9604
- C:\Windows\System32\LlrbciQ.exe
  C:\Windows\System32\LlrbciQ.exe
  2⤵
  PID:9640
- C:\Windows\System32\EFAwaXg.exe
  C:\Windows\System32\EFAwaXg.exe
  2⤵
  PID:9752
- C:\Windows\System32\gjjdTOy.exe
  C:\Windows\System32\gjjdTOy.exe
  2⤵
  PID:9780
- C:\Windows\System32\iRbRpXX.exe
  C:\Windows\System32\iRbRpXX.exe
  2⤵
  PID:9868
- C:\Windows\System32\EKpWjBD.exe
  C:\Windows\System32\EKpWjBD.exe
  2⤵
  PID:9956
- C:\Windows\System32\CacoFRV.exe
  C:\Windows\System32\CacoFRV.exe
  2⤵
  PID:10012
- C:\Windows\System32\IqFFAUy.exe
  C:\Windows\System32\IqFFAUy.exe
  2⤵
  PID:10072
- C:\Windows\System32\lBccpSn.exe
  C:\Windows\System32\lBccpSn.exe
  2⤵
  PID:10152
- C:\Windows\System32\DeIfiWW.exe
  C:\Windows\System32\DeIfiWW.exe
  2⤵
  PID:10224
- C:\Windows\System32\gTKNRfu.exe
  C:\Windows\System32\gTKNRfu.exe
  2⤵
  PID:9348
- C:\Windows\System32\EtfViFk.exe
  C:\Windows\System32\EtfViFk.exe
  2⤵
  PID:9504
- C:\Windows\System32\WKGvqOs.exe
  C:\Windows\System32\WKGvqOs.exe
  2⤵
  PID:9576
- C:\Windows\System32\PJijTJI.exe
  C:\Windows\System32\PJijTJI.exe
  2⤵
  PID:9680
- C:\Windows\System32\eVRRPjR.exe
  C:\Windows\System32\eVRRPjR.exe
  2⤵
  PID:9992
- C:\Windows\System32\xSmFnpk.exe
  C:\Windows\System32\xSmFnpk.exe
  2⤵
  PID:10204
- C:\Windows\System32\TCzmOAP.exe
  C:\Windows\System32\TCzmOAP.exe
  2⤵
  PID:9508
- C:\Windows\System32\IlwsqzF.exe
  C:\Windows\System32\IlwsqzF.exe
  2⤵
  PID:9628
- C:\Windows\System32\BwMBdEk.exe
  C:\Windows\System32\BwMBdEk.exe
  2⤵
  PID:9852
- C:\Windows\System32\dbPNFFK.exe
  C:\Windows\System32\dbPNFFK.exe
  2⤵
  PID:9744
- C:\Windows\System32\VAEDqUM.exe
  C:\Windows\System32\VAEDqUM.exe
  2⤵
  PID:9712
- C:\Windows\System32\RlqQqkB.exe
  C:\Windows\System32\RlqQqkB.exe
  2⤵
  PID:10256
- C:\Windows\System32\hqigPqj.exe
  C:\Windows\System32\hqigPqj.exe
  2⤵
  PID:10272
- C:\Windows\System32\yfJRfzt.exe
  C:\Windows\System32\yfJRfzt.exe
  2⤵
  PID:10312
- C:\Windows\System32\ghfYWBZ.exe
  C:\Windows\System32\ghfYWBZ.exe
  2⤵
  PID:10344
- C:\Windows\System32\MwmFdrt.exe
  C:\Windows\System32\MwmFdrt.exe
  2⤵
  PID:10368
- C:\Windows\System32\oGWWpFm.exe
  C:\Windows\System32\oGWWpFm.exe
  2⤵
  PID:10384
- C:\Windows\System32\SsBBvQw.exe
  C:\Windows\System32\SsBBvQw.exe
  2⤵
  PID:10436
- C:\Windows\System32\IBYgsya.exe
  C:\Windows\System32\IBYgsya.exe
  2⤵
  PID:10456
- C:\Windows\System32\jIZBxjv.exe
  C:\Windows\System32\jIZBxjv.exe
  2⤵
  PID:10496
- C:\Windows\System32\sZLBQnE.exe
  C:\Windows\System32\sZLBQnE.exe
  2⤵
  PID:10512
- C:\Windows\System32\LTmxmDy.exe
  C:\Windows\System32\LTmxmDy.exe
  2⤵
  PID:10532
- C:\Windows\System32\LCTQDvr.exe
  C:\Windows\System32\LCTQDvr.exe
  2⤵
  PID:10556
- C:\Windows\System32\ylypxOW.exe
  C:\Windows\System32\ylypxOW.exe
  2⤵
  PID:10584
- C:\Windows\System32\oVFCscA.exe
  C:\Windows\System32\oVFCscA.exe
  2⤵
  PID:10624
- C:\Windows\System32\RQLOFJv.exe
  C:\Windows\System32\RQLOFJv.exe
  2⤵
  PID:10640
- C:\Windows\System32\qBmZKFw.exe
  C:\Windows\System32\qBmZKFw.exe
  2⤵
  PID:10668
- C:\Windows\System32\xxewyAm.exe
  C:\Windows\System32\xxewyAm.exe
  2⤵
  PID:10696
- C:\Windows\System32\wJZsuvZ.exe
  C:\Windows\System32\wJZsuvZ.exe
  2⤵
  PID:10724
- C:\Windows\System32\XlgnyhG.exe
  C:\Windows\System32\XlgnyhG.exe
  2⤵
  PID:10764
- C:\Windows\System32\zWPtuQA.exe
  C:\Windows\System32\zWPtuQA.exe
  2⤵
  PID:10792
- C:\Windows\System32\UdoGjcg.exe
  C:\Windows\System32\UdoGjcg.exe
  2⤵
  PID:10820
- C:\Windows\System32\kZHozXc.exe
  C:\Windows\System32\kZHozXc.exe
  2⤵
  PID:10836
- C:\Windows\System32\KPQDtQH.exe
  C:\Windows\System32\KPQDtQH.exe
  2⤵
  PID:10864
- C:\Windows\System32\lIcfmqH.exe
  C:\Windows\System32\lIcfmqH.exe
  2⤵
  PID:10892
- C:\Windows\System32\IXIGLxP.exe
  C:\Windows\System32\IXIGLxP.exe
  2⤵
  PID:10916
- C:\Windows\System32\hOCcLWJ.exe
  C:\Windows\System32\hOCcLWJ.exe
  2⤵
  PID:10944
- C:\Windows\System32\uyzamoT.exe
  C:\Windows\System32\uyzamoT.exe
  2⤵
  PID:10964
- C:\Windows\System32\GXsyxUE.exe
  C:\Windows\System32\GXsyxUE.exe
  2⤵
  PID:11012
- C:\Windows\System32\acikvyy.exe
  C:\Windows\System32\acikvyy.exe
  2⤵
  PID:11040
- C:\Windows\System32\sRSaFKo.exe
  C:\Windows\System32\sRSaFKo.exe
  2⤵
  PID:11068
- C:\Windows\System32\CdGJQep.exe
  C:\Windows\System32\CdGJQep.exe
  2⤵
  PID:11100
- C:\Windows\System32\igYSuWF.exe
  C:\Windows\System32\igYSuWF.exe
  2⤵
  PID:11128
- C:\Windows\System32\zpJdXFu.exe
  C:\Windows\System32\zpJdXFu.exe
  2⤵
  PID:11156
- C:\Windows\System32\NjlinGw.exe
  C:\Windows\System32\NjlinGw.exe
  2⤵
  PID:11184
- C:\Windows\System32\JdLSbgw.exe
  C:\Windows\System32\JdLSbgw.exe
  2⤵
  PID:11216
- C:\Windows\System32\VGTdcnf.exe
  C:\Windows\System32\VGTdcnf.exe
  2⤵
  PID:11232
- C:\Windows\System32\VQylzHi.exe
  C:\Windows\System32\VQylzHi.exe
  2⤵
  PID:10252
- C:\Windows\System32\zXYDWdA.exe
  C:\Windows\System32\zXYDWdA.exe
  2⤵
  PID:10284
- C:\Windows\System32\AZpPcCw.exe
  C:\Windows\System32\AZpPcCw.exe
  2⤵
  PID:10360
- C:\Windows\System32\AgLRGwd.exe
  C:\Windows\System32\AgLRGwd.exe
  2⤵
  PID:10448
- C:\Windows\System32\ksBIWSb.exe
  C:\Windows\System32\ksBIWSb.exe
  2⤵
  PID:10528
- C:\Windows\System32\jkxGvpz.exe
  C:\Windows\System32\jkxGvpz.exe
  2⤵
  PID:10540
- C:\Windows\System32\RzBZYtF.exe
  C:\Windows\System32\RzBZYtF.exe
  2⤵
  PID:10636
- C:\Windows\System32\HuBMEzR.exe
  C:\Windows\System32\HuBMEzR.exe
  2⤵
  PID:10720
- C:\Windows\System32\okNVLty.exe
  C:\Windows\System32\okNVLty.exe
  2⤵
  PID:10788
- C:\Windows\System32\KopntQB.exe
  C:\Windows\System32\KopntQB.exe
  2⤵
  PID:10808
- C:\Windows\System32\aHsdBge.exe
  C:\Windows\System32\aHsdBge.exe
  2⤵
  PID:10956
- C:\Windows\System32\jEjrwel.exe
  C:\Windows\System32\jEjrwel.exe
  2⤵
  PID:10904
- C:\Windows\System32\cElqSIu.exe
  C:\Windows\System32\cElqSIu.exe
  2⤵
  PID:10976
- C:\Windows\System32\XtYQLul.exe
  C:\Windows\System32\XtYQLul.exe
  2⤵
  PID:11024
- C:\Windows\System32\NyGzVBA.exe
  C:\Windows\System32\NyGzVBA.exe
  2⤵
  PID:11148
- C:\Windows\System32\pyjefqU.exe
  C:\Windows\System32\pyjefqU.exe
  2⤵
  PID:11196
- C:\Windows\System32\tEEJfmW.exe
  C:\Windows\System32\tEEJfmW.exe
  2⤵
  PID:10288
- C:\Windows\System32\qLDXRgC.exe
  C:\Windows\System32\qLDXRgC.exe
  2⤵
  PID:10544
- C:\Windows\System32\baxJaYU.exe
  C:\Windows\System32\baxJaYU.exe
  2⤵
  PID:10760
- C:\Windows\System32\lfWgdgl.exe
  C:\Windows\System32\lfWgdgl.exe
  2⤵
  PID:10932
- C:\Windows\System32\ZGLauwn.exe
  C:\Windows\System32\ZGLauwn.exe
  2⤵
  PID:11112
- C:\Windows\System32\CABdsAd.exe
  C:\Windows\System32\CABdsAd.exe
  2⤵
  PID:10328
- C:\Windows\System32\VYDHqNi.exe
  C:\Windows\System32\VYDHqNi.exe
  2⤵
  PID:10740
- C:\Windows\System32\pCAODii.exe
  C:\Windows\System32\pCAODii.exe
  2⤵
  PID:10848
- C:\Windows\System32\JFxVLae.exe
  C:\Windows\System32\JFxVLae.exe
  2⤵
  PID:10492
- C:\Windows\System32\egIbESW.exe
  C:\Windows\System32\egIbESW.exe
  2⤵
  PID:11288
- C:\Windows\System32\SUvRABg.exe
  C:\Windows\System32\SUvRABg.exe
  2⤵
  PID:11316
- C:\Windows\System32\jAFYRFa.exe
  C:\Windows\System32\jAFYRFa.exe
  2⤵
  PID:11348
- C:\Windows\System32\FIRtEVS.exe
  C:\Windows\System32\FIRtEVS.exe
  2⤵
  PID:11376
- C:\Windows\System32\grDtVxs.exe
  C:\Windows\System32\grDtVxs.exe
  2⤵
  PID:11404
- C:\Windows\System32\FxPYCyj.exe
  C:\Windows\System32\FxPYCyj.exe
  2⤵
  PID:11440
- C:\Windows\System32\McpCPWV.exe
  C:\Windows\System32\McpCPWV.exe
  2⤵
  PID:11456
- C:\Windows\System32\nCYyNNZ.exe
  C:\Windows\System32\nCYyNNZ.exe
  2⤵
  PID:11496
- C:\Windows\System32\WHLajoV.exe
  C:\Windows\System32\WHLajoV.exe
  2⤵
  PID:11536
- C:\Windows\System32\gdKBEcx.exe
  C:\Windows\System32\gdKBEcx.exe
  2⤵
  PID:11556
- C:\Windows\System32\rekRBxi.exe
  C:\Windows\System32\rekRBxi.exe
  2⤵
  PID:11596
- C:\Windows\System32\VDTizFG.exe
  C:\Windows\System32\VDTizFG.exe
  2⤵
  PID:11632
- C:\Windows\System32\uPjTbIW.exe
  C:\Windows\System32\uPjTbIW.exe
  2⤵
  PID:11660
- C:\Windows\System32\sHFnoMI.exe
  C:\Windows\System32\sHFnoMI.exe
  2⤵
  PID:11676
- C:\Windows\System32\MWSzZOD.exe
  C:\Windows\System32\MWSzZOD.exe
  2⤵
  PID:11720
- C:\Windows\System32\xiePHDo.exe
  C:\Windows\System32\xiePHDo.exe
  2⤵
  PID:11740
- C:\Windows\System32\ObWPuFN.exe
  C:\Windows\System32\ObWPuFN.exe
  2⤵
  PID:11776
- C:\Windows\System32\cUxlEdB.exe
  C:\Windows\System32\cUxlEdB.exe
  2⤵
  PID:11796
- C:\Windows\System32\LYnBrJX.exe
  C:\Windows\System32\LYnBrJX.exe
  2⤵
  PID:11832
- C:\Windows\System32\ioqQElX.exe
  C:\Windows\System32\ioqQElX.exe
  2⤵
  PID:11860
- C:\Windows\System32\LtHITft.exe
  C:\Windows\System32\LtHITft.exe
  2⤵
  PID:11888
- C:\Windows\System32\eKvKXFH.exe
  C:\Windows\System32\eKvKXFH.exe
  2⤵
  PID:11916
- C:\Windows\System32\cVDCyCM.exe
  C:\Windows\System32\cVDCyCM.exe
  2⤵
  PID:11936
- C:\Windows\System32\mGRehIC.exe
  C:\Windows\System32\mGRehIC.exe
  2⤵
  PID:11964
- C:\Windows\System32\XFmulCK.exe
  C:\Windows\System32\XFmulCK.exe
  2⤵
  PID:11988
- C:\Windows\System32\suqFxen.exe
  C:\Windows\System32\suqFxen.exe
  2⤵
  PID:12028
- C:\Windows\System32\mfCtDPP.exe
  C:\Windows\System32\mfCtDPP.exe
  2⤵
  PID:12056
- C:\Windows\System32\pqtLCgv.exe
  C:\Windows\System32\pqtLCgv.exe
  2⤵
  PID:12084
- C:\Windows\System32\xkODCMe.exe
  C:\Windows\System32\xkODCMe.exe
  2⤵
  PID:12116
- C:\Windows\System32\OoqKJkG.exe
  C:\Windows\System32\OoqKJkG.exe
  2⤵
  PID:12144
- C:\Windows\System32\TSoyTxr.exe
  C:\Windows\System32\TSoyTxr.exe
  2⤵
  PID:12176
- C:\Windows\System32\JSGBPzO.exe
  C:\Windows\System32\JSGBPzO.exe
  2⤵
  PID:12204
- C:\Windows\System32\MoZuFES.exe
  C:\Windows\System32\MoZuFES.exe
  2⤵
  PID:12236
- C:\Windows\System32\lnAJykF.exe
  C:\Windows\System32\lnAJykF.exe
  2⤵
  PID:12260
- C:\Windows\System32\UTKCuwd.exe
  C:\Windows\System32\UTKCuwd.exe
  2⤵
  PID:12280
- C:\Windows\System32\kVCZTsN.exe
  C:\Windows\System32\kVCZTsN.exe
  2⤵
  PID:11276
- C:\Windows\System32\mqFCgkN.exe
  C:\Windows\System32\mqFCgkN.exe
  2⤵
  PID:11332
- C:\Windows\System32\iBoysmG.exe
  C:\Windows\System32\iBoysmG.exe
  2⤵
  PID:11412
- C:\Windows\System32\RmDfuGI.exe
  C:\Windows\System32\RmDfuGI.exe
  2⤵
  PID:11508
- C:\Windows\System32\UykVMto.exe
  C:\Windows\System32\UykVMto.exe
  2⤵
  PID:11580
- C:\Windows\System32\VpHuzKF.exe
  C:\Windows\System32\VpHuzKF.exe
  2⤵
  PID:11652
- C:\Windows\System32\lhNtFCu.exe
  C:\Windows\System32\lhNtFCu.exe
  2⤵
  PID:11728
- C:\Windows\System32\ZrlKehM.exe
  C:\Windows\System32\ZrlKehM.exe
  2⤵
  PID:11788
- C:\Windows\System32\RaiLkMy.exe
  C:\Windows\System32\RaiLkMy.exe
  2⤵
  PID:11904
- C:\Windows\System32\WdFgLfn.exe
  C:\Windows\System32\WdFgLfn.exe
  2⤵
  PID:11952
- C:\Windows\System32\fqdlufR.exe
  C:\Windows\System32\fqdlufR.exe
  2⤵
  PID:12004
- C:\Windows\System32\GVkZTxl.exe
  C:\Windows\System32\GVkZTxl.exe
  2⤵
  PID:12072
- C:\Windows\System32\ForwMID.exe
  C:\Windows\System32\ForwMID.exe
  2⤵
  PID:12132
- C:\Windows\System32\myhhclW.exe
  C:\Windows\System32\myhhclW.exe
  2⤵
  PID:12252
- C:\Windows\System32\jYgfLxi.exe
  C:\Windows\System32\jYgfLxi.exe
  2⤵
  PID:11176
- C:\Windows\System32\FydRSza.exe
  C:\Windows\System32\FydRSza.exe
  2⤵
  PID:11384
- C:\Windows\System32\DIHZyDZ.exe
  C:\Windows\System32\DIHZyDZ.exe
  2⤵
  PID:11608
- C:\Windows\System32\cnMUCdA.exe
  C:\Windows\System32\cnMUCdA.exe
  2⤵
  PID:11876
- C:\Windows\System32\uSHSVIc.exe
  C:\Windows\System32\uSHSVIc.exe
  2⤵
  PID:12104
- C:\Windows\System32\fWYLZpK.exe
  C:\Windows\System32\fWYLZpK.exe
  2⤵
  PID:12196
- C:\Windows\System32\XdGjhsF.exe
  C:\Windows\System32\XdGjhsF.exe
  2⤵
  PID:11760
- C:\Windows\System32\OEDgWhH.exe
  C:\Windows\System32\OEDgWhH.exe
  2⤵
  PID:12168
- C:\Windows\System32\gMWASbh.exe
  C:\Windows\System32\gMWASbh.exe
  2⤵
  PID:12316
- C:\Windows\System32\ownXZUx.exe
  C:\Windows\System32\ownXZUx.exe
  2⤵
  PID:12336
- C:\Windows\System32\tRrswqI.exe
  C:\Windows\System32\tRrswqI.exe
  2⤵
  PID:12376
- C:\Windows\System32\maqLYvk.exe
  C:\Windows\System32\maqLYvk.exe
  2⤵
  PID:12396
- C:\Windows\System32\leWaySv.exe
  C:\Windows\System32\leWaySv.exe
  2⤵
  PID:12440
- C:\Windows\System32\NXQIcHt.exe
  C:\Windows\System32\NXQIcHt.exe
  2⤵
  PID:12456
- C:\Windows\System32\iosKTqa.exe
  C:\Windows\System32\iosKTqa.exe
  2⤵
  PID:12488
- C:\Windows\System32\lRTxgIt.exe
  C:\Windows\System32\lRTxgIt.exe
  2⤵
  PID:12508
- C:\Windows\System32\KXDcsML.exe
  C:\Windows\System32\KXDcsML.exe
  2⤵
  PID:12568
- C:\Windows\System32\tbAaCzC.exe
  C:\Windows\System32\tbAaCzC.exe
  2⤵
  PID:12596
- C:\Windows\System32\rNzkdWE.exe
  C:\Windows\System32\rNzkdWE.exe
  2⤵
  PID:12632
- C:\Windows\System32\DDOeVrr.exe
  C:\Windows\System32\DDOeVrr.exe
  2⤵
  PID:12660
- C:\Windows\System32\kqGAmHE.exe
  C:\Windows\System32\kqGAmHE.exe
  2⤵
  PID:12700
- C:\Windows\System32\lxLXPPB.exe
  C:\Windows\System32\lxLXPPB.exe
  2⤵
  PID:12732
- C:\Windows\System32\qEnsgAo.exe
  C:\Windows\System32\qEnsgAo.exe
  2⤵
  PID:12748
- C:\Windows\System32\tGfPBPI.exe
  C:\Windows\System32\tGfPBPI.exe
  2⤵
  PID:12788
- C:\Windows\System32\IIOTZwP.exe
  C:\Windows\System32\IIOTZwP.exe
  2⤵
  PID:12816
- C:\Windows\System32\mremohp.exe
  C:\Windows\System32\mremohp.exe
  2⤵
  PID:12872
- C:\Windows\System32\ecEWwKK.exe
  C:\Windows\System32\ecEWwKK.exe
  2⤵
  PID:12900
- C:\Windows\System32\xMvXdKP.exe
  C:\Windows\System32\xMvXdKP.exe
  2⤵
  PID:12932
- C:\Windows\System32\hZZacCw.exe
  C:\Windows\System32\hZZacCw.exe
  2⤵
  PID:12964
- C:\Windows\System32\agddYko.exe
  C:\Windows\System32\agddYko.exe
  2⤵
  PID:12984
- C:\Windows\System32\MQISGZl.exe
  C:\Windows\System32\MQISGZl.exe
  2⤵
  PID:13024
- C:\Windows\System32\FDdBRNM.exe
  C:\Windows\System32\FDdBRNM.exe
  2⤵
  PID:13044
- C:\Windows\System32\dGDvYgo.exe
  C:\Windows\System32\dGDvYgo.exe
  2⤵
  PID:13068
- C:\Windows\System32\USpJdfO.exe
  C:\Windows\System32\USpJdfO.exe
  2⤵
  PID:13100
- C:\Windows\System32\KwnmWCZ.exe
  C:\Windows\System32\KwnmWCZ.exe
  2⤵
  PID:13124
- C:\Windows\System32\aFeQFsD.exe
  C:\Windows\System32\aFeQFsD.exe
  2⤵
  PID:13144
- C:\Windows\System32\lUqJimr.exe
  C:\Windows\System32\lUqJimr.exe
  2⤵
  PID:13172
- C:\Windows\System32\TZaZzrQ.exe
  C:\Windows\System32\TZaZzrQ.exe
  2⤵
  PID:13236
- C:\Windows\System32\UTbmhHP.exe
  C:\Windows\System32\UTbmhHP.exe
  2⤵
  PID:13252
- C:\Windows\System32\srAXLgK.exe
  C:\Windows\System32\srAXLgK.exe
  2⤵
  PID:13272
- C:\Windows\System32\kgORBpZ.exe
  C:\Windows\System32\kgORBpZ.exe
  2⤵
  PID:13300
- C:\Windows\System32\jeagTib.exe
  C:\Windows\System32\jeagTib.exe
  2⤵
  PID:12112
- C:\Windows\System32\MQtOZzc.exe
  C:\Windows\System32\MQtOZzc.exe
  2⤵
  PID:12364
- C:\Windows\System32\pasvKwD.exe
  C:\Windows\System32\pasvKwD.exe
  2⤵
  PID:12416
- C:\Windows\System32\ieFbTKA.exe
  C:\Windows\System32\ieFbTKA.exe
  2⤵
  PID:12476
- C:\Windows\System32\qKDSsiP.exe
  C:\Windows\System32\qKDSsiP.exe
  2⤵
  PID:12584
- C:\Windows\System32\ULEzaKy.exe
  C:\Windows\System32\ULEzaKy.exe
  2⤵
  PID:12712
- C:\Windows\System32\tAkgxJC.exe
  C:\Windows\System32\tAkgxJC.exe
  2⤵
  PID:12768
- C:\Windows\System32\mHxTAZe.exe
  C:\Windows\System32\mHxTAZe.exe
  2⤵
  PID:12836
- C:\Windows\System32\Guhmdfz.exe
  C:\Windows\System32\Guhmdfz.exe
  2⤵
  PID:12948
- C:\Windows\System32\nvGELjO.exe
  C:\Windows\System32\nvGELjO.exe
  2⤵
  PID:13016
- C:\Windows\System32\LYmQHEw.exe
  C:\Windows\System32\LYmQHEw.exe
  2⤵
  PID:13036
- C:\Windows\System32\LVOCQWj.exe
  C:\Windows\System32\LVOCQWj.exe
  2⤵
  PID:13116
- C:\Windows\System32\EIibMBb.exe
  C:\Windows\System32\EIibMBb.exe
  2⤵
  PID:13188
- C:\Windows\System32\aEYBEBM.exe
  C:\Windows\System32\aEYBEBM.exe
  2⤵
  PID:4236
- C:\Windows\System32\CYALLev.exe
  C:\Windows\System32\CYALLev.exe
  2⤵
  PID:13292
- C:\Windows\System32\wWNIOFY.exe
  C:\Windows\System32\wWNIOFY.exe
  2⤵
  PID:12324
- C:\Windows\System32\WVtUMgz.exe
  C:\Windows\System32\WVtUMgz.exe
  2⤵
  PID:12504
- C:\Windows\System32\gKjzFZO.exe
  C:\Windows\System32\gKjzFZO.exe
  2⤵
  PID:12800
- C:\Windows\System32\FSaFFGF.exe
  C:\Windows\System32\FSaFFGF.exe
  2⤵
  PID:13056
- C:\Windows\System32\cZhmfeL.exe
  C:\Windows\System32\cZhmfeL.exe
  2⤵
  PID:13224
- C:\Windows\System32\sGLIpHm.exe
  C:\Windows\System32\sGLIpHm.exe
  2⤵
  PID:12332
- C:\Windows\System32\iyTvfuc.exe
  C:\Windows\System32\iyTvfuc.exe
  2⤵
  PID:12272
- C:\Windows\System32\VgkFTxl.exe
  C:\Windows\System32\VgkFTxl.exe
  2⤵
  PID:12384
- C:\Windows\System32\VvHwUuw.exe
  C:\Windows\System32\VvHwUuw.exe
  2⤵
  PID:13260
- C:\Windows\System32\inXbFhv.exe
  C:\Windows\System32\inXbFhv.exe
  2⤵
  PID:13320
- C:\Windows\System32\XcNyqKS.exe
  C:\Windows\System32\XcNyqKS.exe
  2⤵
  PID:13344
- C:\Windows\System32\RFOEINS.exe
  C:\Windows\System32\RFOEINS.exe
  2⤵
  PID:13372
- C:\Windows\System32\zNBuTwD.exe
  C:\Windows\System32\zNBuTwD.exe
  2⤵
  PID:13412
- C:\Windows\System32\PntCnLa.exe
  C:\Windows\System32\PntCnLa.exe
  2⤵
  PID:13440
- C:\Windows\System32\FpoRGHD.exe
  C:\Windows\System32\FpoRGHD.exe
  2⤵
  PID:13468
- C:\Windows\System32\NLbgqpW.exe
  C:\Windows\System32\NLbgqpW.exe
  2⤵
  PID:13496
- C:\Windows\System32\cgrmaZX.exe
  C:\Windows\System32\cgrmaZX.exe
  2⤵
  PID:13516
- C:\Windows\System32\LsWiQRR.exe
  C:\Windows\System32\LsWiQRR.exe
  2⤵
  PID:13552
- C:\Windows\System32\vVyZLxV.exe
  C:\Windows\System32\vVyZLxV.exe
  2⤵
  PID:13580
- C:\Windows\System32\iDZRhnu.exe
  C:\Windows\System32\iDZRhnu.exe
  2⤵
  PID:13596
- C:\Windows\System32\lwmddlr.exe
  C:\Windows\System32\lwmddlr.exe
  2⤵
  PID:13624
- C:\Windows\System32\PGfoCku.exe
  C:\Windows\System32\PGfoCku.exe
  2⤵
  PID:13664
- C:\Windows\System32\bDANcAN.exe
  C:\Windows\System32\bDANcAN.exe
  2⤵
  PID:13692
- C:\Windows\System32\NsFUJFR.exe
  C:\Windows\System32\NsFUJFR.exe
  2⤵
  PID:13720
- C:\Windows\System32\IXuJcPD.exe
  C:\Windows\System32\IXuJcPD.exe
  2⤵
  PID:13736
- C:\Windows\System32\cFDpZbe.exe
  C:\Windows\System32\cFDpZbe.exe
  2⤵
  PID:13752
- C:\Windows\System32\TnJiPiH.exe
  C:\Windows\System32\TnJiPiH.exe
  2⤵
  PID:13792
- C:\Windows\System32\SjyELxm.exe
  C:\Windows\System32\SjyELxm.exe
  2⤵
  PID:13820
- C:\Windows\System32\DgHltel.exe
  C:\Windows\System32\DgHltel.exe
  2⤵
  PID:13848
- C:\Windows\System32\Fjbjzsv.exe
  C:\Windows\System32\Fjbjzsv.exe
  2⤵
  PID:13892
- C:\Windows\System32\ZdnbUFK.exe
  C:\Windows\System32\ZdnbUFK.exe
  2⤵
  PID:13908
- C:\Windows\System32\ryOoElZ.exe
  C:\Windows\System32\ryOoElZ.exe
  2⤵
  PID:13948
- C:\Windows\System32\egFsWPW.exe
  C:\Windows\System32\egFsWPW.exe
  2⤵
  PID:13964
- C:\Windows\System32\lTQkFvH.exe
  C:\Windows\System32\lTQkFvH.exe
  2⤵
  PID:14000
- C:\Windows\System32\kTQYGor.exe
  C:\Windows\System32\kTQYGor.exe
  2⤵
  PID:14028
- C:\Windows\System32\IQpboKe.exe
  C:\Windows\System32\IQpboKe.exe
  2⤵
  PID:14060
- C:\Windows\System32\ywauOfM.exe
  C:\Windows\System32\ywauOfM.exe
  2⤵
  PID:14088
- C:\Windows\System32\nTqdySO.exe
  C:\Windows\System32\nTqdySO.exe
  2⤵
  PID:14108
- C:\Windows\System32\vEmeFSc.exe
  C:\Windows\System32\vEmeFSc.exe
  2⤵
  PID:14140
- C:\Windows\System32\aZwPFRn.exe
  C:\Windows\System32\aZwPFRn.exe
  2⤵
  PID:14164
- C:\Windows\System32\JOIfMvE.exe
  C:\Windows\System32\JOIfMvE.exe
  2⤵
  PID:14200
- C:\Windows\System32\dXTuWuk.exe
  C:\Windows\System32\dXTuWuk.exe
  2⤵
  PID:14220
- C:\Windows\System32\zaSLsGw.exe
  C:\Windows\System32\zaSLsGw.exe
  2⤵
  PID:14244
- C:\Windows\System32\yRnpuox.exe
  C:\Windows\System32\yRnpuox.exe
  2⤵
  PID:14284
- C:\Windows\System32\oRDJfCm.exe
  C:\Windows\System32\oRDJfCm.exe
  2⤵
  PID:14312
- C:\Windows\System32\ETFIXXW.exe
  C:\Windows\System32\ETFIXXW.exe
  2⤵
  PID:14332
- C:\Windows\System32\ycGLLLm.exe
  C:\Windows\System32\ycGLLLm.exe
  2⤵
  PID:4072
- C:\Windows\System32\YDcaWPr.exe
  C:\Windows\System32\YDcaWPr.exe
  2⤵
  PID:13396
- C:\Windows\System32\vWOTtHH.exe
  C:\Windows\System32\vWOTtHH.exe
  2⤵
  PID:13456
- C:\Windows\System32\EAHnRqy.exe
  C:\Windows\System32\EAHnRqy.exe
  2⤵
  PID:13548
- C:\Windows\System32\BLsQzNO.exe
  C:\Windows\System32\BLsQzNO.exe
  2⤵
  PID:13616
- C:\Windows\System32\NPfzNNC.exe
  C:\Windows\System32\NPfzNNC.exe
  2⤵
  PID:13676
- C:\Windows\System32\HjNVnmy.exe
  C:\Windows\System32\HjNVnmy.exe
  2⤵
  PID:13732
- C:\Windows\System32\DDaUSTE.exe
  C:\Windows\System32\DDaUSTE.exe
  2⤵
  PID:13804
- C:\Windows\System32\YjKKyrg.exe
  C:\Windows\System32\YjKKyrg.exe
  2⤵
  PID:13868
- C:\Windows\System32\tudRGWf.exe
  C:\Windows\System32\tudRGWf.exe
  2⤵
  PID:13904
- C:\Windows\System32\xQqICtd.exe
  C:\Windows\System32\xQqICtd.exe
  2⤵
  PID:14008
- C:\Windows\System32\lkRLJrU.exe
  C:\Windows\System32\lkRLJrU.exe
  2⤵
  PID:14076
- C:\Windows\System32\QqxCDlD.exe
  C:\Windows\System32\QqxCDlD.exe
  2⤵
  PID:14124
- C:\Windows\System32\UtBqROS.exe
  C:\Windows\System32\UtBqROS.exe
  2⤵
  PID:14192
- C:\Windows\System32\QQBHNUq.exe
  C:\Windows\System32\QQBHNUq.exe
  2⤵
  PID:14208
- C:\Windows\System32\FzYajjI.exe
  C:\Windows\System32\FzYajjI.exe
  2⤵
  PID:14328
- C:\Windows\System32\eRImtrk.exe
  C:\Windows\System32\eRImtrk.exe
  2⤵
  PID:13340
- C:\Windows\System32\BVFCLfa.exe
  C:\Windows\System32\BVFCLfa.exe
  2⤵
  PID:13524
- C:\Windows\System32\NyjzzEI.exe
  C:\Windows\System32\NyjzzEI.exe
  2⤵
  PID:13648
- C:\Windows\System32\fLaaEVc.exe
  C:\Windows\System32\fLaaEVc.exe
  2⤵
  PID:13844
- C:\Windows\System32\ycanHaz.exe
  C:\Windows\System32\ycanHaz.exe
  2⤵
  PID:13932
- C:\Windows\System32\giYYpar.exe
  C:\Windows\System32\giYYpar.exe
  2⤵
  PID:14096
- C:\Windows\System32\RnHMrPw.exe
  C:\Windows\System32\RnHMrPw.exe
  2⤵
  PID:14240
- C:\Windows\System32\UgIlAhV.exe
  C:\Windows\System32\UgIlAhV.exe
  2⤵
  PID:13480
- C:\Windows\System32\flUDIhT.exe
  C:\Windows\System32\flUDIhT.exe
  2⤵
  PID:13716
- C:\Windows\System32\pZeImBV.exe
  C:\Windows\System32\pZeImBV.exe
  2⤵
  PID:14184
- C:\Windows\System32\OctjWKj.exe
  C:\Windows\System32\OctjWKj.exe
  2⤵
  PID:13812
- C:\Windows\System32\nVGTXJa.exe
  C:\Windows\System32\nVGTXJa.exe
  2⤵
  PID:13708
- C:\Windows\System32\qbumOUg.exe
  C:\Windows\System32\qbumOUg.exe
  2⤵
  PID:14364
- C:\Windows\System32\jmhycrT.exe
  C:\Windows\System32\jmhycrT.exe
  2⤵
  PID:14392
- C:\Windows\System32\YQhysuS.exe
  C:\Windows\System32\YQhysuS.exe
  2⤵
  PID:14420
- C:\Windows\System32\GVBsamS.exe
  C:\Windows\System32\GVBsamS.exe
  2⤵
  PID:14436
- C:\Windows\System32\PCkgywI.exe
  C:\Windows\System32\PCkgywI.exe
  2⤵
  PID:14476
- C:\Windows\System32\lztfHVV.exe
  C:\Windows\System32\lztfHVV.exe
  2⤵
  PID:14492
- C:\Windows\System32\GOSOafG.exe
  C:\Windows\System32\GOSOafG.exe
  2⤵
  PID:14532
- C:\Windows\System32\itNhdAj.exe
  C:\Windows\System32\itNhdAj.exe
  2⤵
  PID:14560
- C:\Windows\System32\zTxYSXE.exe
  C:\Windows\System32\zTxYSXE.exe
  2⤵
  PID:14580
- C:\Windows\System32\OxwLdVY.exe
  C:\Windows\System32\OxwLdVY.exe
  2⤵
  PID:14604
- C:\Windows\System32\udHdRJS.exe
  C:\Windows\System32\udHdRJS.exe
  2⤵
  PID:14632
- C:\Windows\System32\TaVkgoA.exe
  C:\Windows\System32\TaVkgoA.exe
  2⤵
  PID:14668
- C:\Windows\System32\JVeoEIr.exe
  C:\Windows\System32\JVeoEIr.exe
  2⤵
  PID:14688
- C:\Windows\System32\IxCzpqO.exe
  C:\Windows\System32\IxCzpqO.exe
  2⤵
  PID:14716
- C:\Windows\System32\kJMqEtE.exe
  C:\Windows\System32\kJMqEtE.exe
  2⤵
  PID:14756
- C:\Windows\System32\CQcwfIF.exe
  C:\Windows\System32\CQcwfIF.exe
  2⤵
  PID:14784
- C:\Windows\System32\RzFHeWv.exe
  C:\Windows\System32\RzFHeWv.exe
  2⤵
  PID:14812
- C:\Windows\System32\JPLivqA.exe
  C:\Windows\System32\JPLivqA.exe
  2⤵
  PID:14828
- C:\Windows\System32\qRRuRPA.exe
  C:\Windows\System32\qRRuRPA.exe
  2⤵
  PID:14856
- C:\Windows\System32\PXnJrIu.exe
  C:\Windows\System32\PXnJrIu.exe
  2⤵
  PID:14880
- C:\Windows\System32\UuEaLjz.exe
  C:\Windows\System32\UuEaLjz.exe
  2⤵
  PID:14932
- C:\Windows\System32\jYMfCHj.exe
  C:\Windows\System32\jYMfCHj.exe
  2⤵
  PID:14972
- C:\Windows\System32\mGrAIZH.exe
  C:\Windows\System32\mGrAIZH.exe
  2⤵
  PID:15020
- C:\Windows\System32\QnMXBeU.exe
  C:\Windows\System32\QnMXBeU.exe
  2⤵
  PID:15072
- C:\Windows\System32\Vszhwok.exe
  C:\Windows\System32\Vszhwok.exe
  2⤵
  PID:15088
- C:\Windows\System32\rYcgdTi.exe
  C:\Windows\System32\rYcgdTi.exe
  2⤵
  PID:15116
- C:\Windows\System32\MigeKkv.exe
  C:\Windows\System32\MigeKkv.exe
  2⤵
  PID:15140
- C:\Windows\System32\esLkhQd.exe
  C:\Windows\System32\esLkhQd.exe
  2⤵
  PID:15160
- C:\Windows\System32\KhRyVMj.exe
  C:\Windows\System32\KhRyVMj.exe
  2⤵
  PID:15188
- C:\Windows\System32\hASjABA.exe
  C:\Windows\System32\hASjABA.exe
  2⤵
  PID:15228
- C:\Windows\System32\rMISwFB.exe
  C:\Windows\System32\rMISwFB.exe
  2⤵
  PID:15244
- C:\Windows\System32\TIHEtfR.exe
  C:\Windows\System32\TIHEtfR.exe
  2⤵
  PID:15272
- C:\Windows\System32\XRQKOaB.exe
  C:\Windows\System32\XRQKOaB.exe
  2⤵
  PID:15304
- C:\Windows\System32\dhcexpt.exe
  C:\Windows\System32\dhcexpt.exe
  2⤵
  PID:15340
- C:\Windows\System32\zitpKqw.exe
  C:\Windows\System32\zitpKqw.exe
  2⤵
  PID:12744
- C:\Windows\System32\UeGpHvp.exe
  C:\Windows\System32\UeGpHvp.exe
  2⤵
  PID:14412
- C:\Windows\System32\gAOQDhN.exe
  C:\Windows\System32\gAOQDhN.exe
  2⤵
  PID:14448
- C:\Windows\System32\RkkDgFt.exe
  C:\Windows\System32\RkkDgFt.exe
  2⤵
  PID:14508
- C:\Windows\System32\kTFZxkb.exe
  C:\Windows\System32\kTFZxkb.exe
  2⤵
  PID:14600
- C:\Windows\System32\hWoXRoc.exe
  C:\Windows\System32\hWoXRoc.exe
  2⤵
  PID:1960
- C:\Windows\System32\NMuoSiR.exe
  C:\Windows\System32\NMuoSiR.exe
  2⤵
  PID:14712
- C:\Windows\System32\lwogiYp.exe
  C:\Windows\System32\lwogiYp.exe
  2⤵
  PID:14780
- C:\Windows\System32\bsKLULn.exe
  C:\Windows\System32\bsKLULn.exe
  2⤵
  PID:14820
- C:\Windows\System32\HXLALQi.exe
  C:\Windows\System32\HXLALQi.exe
  2⤵
  PID:14864
- C:\Windows\System32\bYOZlNi.exe
  C:\Windows\System32\bYOZlNi.exe
  2⤵
  PID:14952
- C:\Windows\System32\HquVezY.exe
  C:\Windows\System32\HquVezY.exe
  2⤵
  PID:15096
- C:\Windows\System32\WnBfoKI.exe
  C:\Windows\System32\WnBfoKI.exe
  2⤵
  PID:15148
- C:\Windows\System32\TTTRnSF.exe
  C:\Windows\System32\TTTRnSF.exe
  2⤵
  PID:13772
- C:\Windows\System32\HvnCDPq.exe
  C:\Windows\System32\HvnCDPq.exe
  2⤵
  PID:15224
- C:\Windows\System32\ybspIRE.exe
  C:\Windows\System32\ybspIRE.exe
  2⤵
  PID:15316
- C:\Windows\System32\lOehlnh.exe
  C:\Windows\System32\lOehlnh.exe
  2⤵
  PID:15348
- C:\Windows\System32\gclIJlp.exe
  C:\Windows\System32\gclIJlp.exe
  2⤵
  PID:14464
- C:\Windows\System32\JmOMJaz.exe
  C:\Windows\System32\JmOMJaz.exe
  2⤵
  PID:14648
- C:\Windows\System32\aMshwaC.exe
  C:\Windows\System32\aMshwaC.exe
  2⤵
  PID:14768
- C:\Windows\System32\wHxgMjB.exe
  C:\Windows\System32\wHxgMjB.exe
  2⤵
  PID:15008
- C:\Windows\System32\QlMlzXB.exe
  C:\Windows\System32\QlMlzXB.exe
  2⤵
  PID:15152
- C:\Windows\System32\KTJtxTq.exe
  C:\Windows\System32\KTJtxTq.exe
  2⤵
  PID:15296
- C:\Windows\System32\reIzANX.exe
  C:\Windows\System32\reIzANX.exe
  2⤵
  PID:14596
- C:\Windows\System32\nRZmEOp.exe
  C:\Windows\System32\nRZmEOp.exe
  2⤵
  PID:14740
- C:\Windows\System32\CosGSGt.exe
  C:\Windows\System32\CosGSGt.exe
  2⤵
  PID:14848
- C:\Windows\System32\xzCrXiJ.exe
  C:\Windows\System32\xzCrXiJ.exe
  2⤵
  PID:14700
- C:\Windows\System32\vLLtOgH.exe
  C:\Windows\System32\vLLtOgH.exe
  2⤵
  PID:15028
- C:\Windows\System32\QODhNTD.exe
  C:\Windows\System32\QODhNTD.exe
  2⤵
  PID:15212
- C:\Windows\System32\tOvGfTs.exe
  C:\Windows\System32\tOvGfTs.exe
  2⤵
  PID:15392
- C:\Windows\System32\irtViCz.exe
  C:\Windows\System32\irtViCz.exe
  2⤵
  PID:15420
- C:\Windows\System32\IARDxnL.exe
  C:\Windows\System32\IARDxnL.exe
  2⤵
  PID:15456
- C:\Windows\System32\BTlqiuo.exe
  C:\Windows\System32\BTlqiuo.exe
  2⤵
  PID:15476
- C:\Windows\System32\KVEIsAw.exe
  C:\Windows\System32\KVEIsAw.exe
  2⤵
  PID:15504
- C:\Windows\System32\JhxMfjl.exe
  C:\Windows\System32\JhxMfjl.exe
  2⤵
  PID:15532
- C:\Windows\System32\TJDDTRy.exe
  C:\Windows\System32\TJDDTRy.exe
  2⤵
  PID:15560
- C:\Windows\System32\FFFBOMy.exe
  C:\Windows\System32\FFFBOMy.exe
  2⤵
  PID:15596
- C:\Windows\System32\lUVJgNR.exe
  C:\Windows\System32\lUVJgNR.exe
  2⤵
  PID:15624
- C:\Windows\System32\VPmSlAM.exe
  C:\Windows\System32\VPmSlAM.exe
  2⤵
  PID:15652
- C:\Windows\System32\uOdaTxg.exe
  C:\Windows\System32\uOdaTxg.exe
  2⤵
  PID:15668
- C:\Windows\System32\OehGUTg.exe
  C:\Windows\System32\OehGUTg.exe
  2⤵
  PID:15696
- C:\Windows\System32\uEyuVFb.exe
  C:\Windows\System32\uEyuVFb.exe
  2⤵
  PID:15728
- C:\Windows\System32\SnoTyNI.exe
  C:\Windows\System32\SnoTyNI.exe
  2⤵
  PID:15752
- C:\Windows\System32\BUKUxep.exe
  C:\Windows\System32\BUKUxep.exe
  2⤵
  PID:15780
- C:\Windows\System32\bptMATi.exe
  C:\Windows\System32\bptMATi.exe
  2⤵
  PID:15808
- C:\Windows\System32\xpegOrk.exe
  C:\Windows\System32\xpegOrk.exe
  2⤵
  PID:15836
- C:\Windows\System32\GZRmEWQ.exe
  C:\Windows\System32\GZRmEWQ.exe
  2⤵
  PID:15876
- C:\Windows\System32\VCxZCoR.exe
  C:\Windows\System32\VCxZCoR.exe
  2⤵
  PID:15904
- C:\Windows\System32\tlosMBC.exe
  C:\Windows\System32\tlosMBC.exe
  2⤵
  PID:15924
- C:\Windows\System32\zlWCMEB.exe
  C:\Windows\System32\zlWCMEB.exe
  2⤵
  PID:15960
- C:\Windows\System32\HbWKkLP.exe
  C:\Windows\System32\HbWKkLP.exe
  2⤵
  PID:15988
- C:\Windows\System32\lvFMNhN.exe
  C:\Windows\System32\lvFMNhN.exe
  2⤵
  PID:16004
- C:\Windows\System32\ISxydMg.exe
  C:\Windows\System32\ISxydMg.exe
  2⤵
  PID:16032
- C:\Windows\System32\vSUmaPQ.exe
  C:\Windows\System32\vSUmaPQ.exe
  2⤵
  PID:16060
- C:\Windows\System32\MiZsaxk.exe
  C:\Windows\System32\MiZsaxk.exe
  2⤵
  PID:16088
- C:\Windows\System32\eMElFmI.exe
  C:\Windows\System32\eMElFmI.exe
  2⤵
  PID:16128
- C:\Windows\System32\WALyAIh.exe
  C:\Windows\System32\WALyAIh.exe
  2⤵
  PID:16156
- C:\Windows\System32\bmXyQZR.exe
  C:\Windows\System32\bmXyQZR.exe
  2⤵
  PID:16180
- C:\Windows\System32\KBuCnTN.exe
  C:\Windows\System32\KBuCnTN.exe
  2⤵
  PID:16204
- C:\Windows\System32\bpzmXYW.exe
  C:\Windows\System32\bpzmXYW.exe
  2⤵
  PID:16232
- C:\Windows\System32\KnHPQXQ.exe
  C:\Windows\System32\KnHPQXQ.exe
  2⤵
  PID:16268
- C:\Windows\System32\stJeeCt.exe
  C:\Windows\System32\stJeeCt.exe
  2⤵
  PID:16304
- C:\Windows\System32\lyaQEWi.exe
  C:\Windows\System32\lyaQEWi.exe
  2⤵
  PID:16324
- C:\Windows\System32\MIaByrh.exe
  C:\Windows\System32\MIaByrh.exe
  2⤵
  PID:16340
- C:\Windows\System32\uPsKjdd.exe
  C:\Windows\System32\uPsKjdd.exe
  2⤵
  PID:16360
- C:\Windows\System32\dXfVgvx.exe
  C:\Windows\System32\dXfVgvx.exe
  2⤵
  PID:15376
- C:\Windows\System32\SHgflFn.exe
  C:\Windows\System32\SHgflFn.exe
  2⤵
  PID:15444
- C:\Windows\System32\pzAvTqc.exe
  C:\Windows\System32\pzAvTqc.exe
  2⤵
  PID:15568
- C:\Windows\System32\qFcZqtw.exe
  C:\Windows\System32\qFcZqtw.exe
  2⤵
  PID:15604
- C:\Windows\System32\fTTMvLV.exe
  C:\Windows\System32\fTTMvLV.exe
  2⤵
  PID:15640
- C:\Windows\System32\WHLYdMx.exe
  C:\Windows\System32\WHLYdMx.exe
  2⤵
  PID:15736
- C:\Windows\System32\Bthetsb.exe
  C:\Windows\System32\Bthetsb.exe
  2⤵
  PID:15800
- C:\Windows\System32\sFleciL.exe
  C:\Windows\System32\sFleciL.exe
  2⤵
  PID:15896
- C:\Windows\System32\gPkQNES.exe
  C:\Windows\System32\gPkQNES.exe
  2⤵
  PID:15940
- C:\Windows\System32\XcjFuZa.exe
  C:\Windows\System32\XcjFuZa.exe
  2⤵
  PID:16000
- C:\Windows\System32\rflzOHv.exe
  C:\Windows\System32\rflzOHv.exe
  2⤵
  PID:16048
- C:\Windows\System32\pwkNOCJ.exe
  C:\Windows\System32\pwkNOCJ.exe
  2⤵
  PID:16104
- C:\Windows\System32\aIxPIVZ.exe
  C:\Windows\System32\aIxPIVZ.exe
  2⤵
  PID:16196
- C:\Windows\System32\chotAoJ.exe
  C:\Windows\System32\chotAoJ.exe
  2⤵
  PID:16264
- C:\Windows\System32\LgdQlGU.exe
  C:\Windows\System32\LgdQlGU.exe
  2⤵
  PID:16312
- C:\Windows\System32\jZzvzwz.exe
  C:\Windows\System32\jZzvzwz.exe
  2⤵
  PID:16376
- C:\Windows\System32\xuWkMrn.exe
  C:\Windows\System32\xuWkMrn.exe
  2⤵
  PID:15484
- C:\Windows\System32\EWlGbDt.exe
  C:\Windows\System32\EWlGbDt.exe
  2⤵
  PID:1672
- C:\Windows\System32\VEnyRCk.exe
  C:\Windows\System32\VEnyRCk.exe
  2⤵
  PID:15592
- C:\Windows\System32\alukeVX.exe
  C:\Windows\System32\alukeVX.exe
  2⤵
  PID:15688
- C:\Windows\System32\BrgVfTd.exe
  C:\Windows\System32\BrgVfTd.exe
  2⤵
  PID:15912
- C:\Windows\System32\MMzKrnW.exe
  C:\Windows\System32\MMzKrnW.exe
  2⤵
  PID:16152
- C:\Windows\System32\WmoiABj.exe
  C:\Windows\System32\WmoiABj.exe
  2⤵
  PID:16224
- C:\Windows\System32\AqBZLac.exe
  C:\Windows\System32\AqBZLac.exe
  2⤵
  PID:16348
- C:\Windows\System32\ehgctHh.exe
  C:\Windows\System32\ehgctHh.exe
  2⤵
  PID:15616
- C:\Windows\System32\axBkBIj.exe
  C:\Windows\System32\axBkBIj.exe
  2⤵
  PID:15932
- C:\Windows\System32\YiIdFvR.exe
  C:\Windows\System32\YiIdFvR.exe
  2⤵
  PID:16076
- C:\Windows\System32\BCvqfiI.exe
  C:\Windows\System32\BCvqfiI.exe
  2⤵
  PID:9388
- C:\Windows\System32\CCFTJmi.exe
  C:\Windows\System32\CCFTJmi.exe
  2⤵
  PID:15512
- C:\Windows\System32\pZxnvvn.exe
  C:\Windows\System32\pZxnvvn.exe
  2⤵
  PID:16396
- C:\Windows\System32\ecSaukH.exe
  C:\Windows\System32\ecSaukH.exe
  2⤵
  PID:16432
- C:\Windows\System32\CtXAOHU.exe
  C:\Windows\System32\CtXAOHU.exe
  2⤵
  PID:16464
- C:\Windows\System32\JzSbnNi.exe
  C:\Windows\System32\JzSbnNi.exe
  2⤵
  PID:16488
- C:\Windows\System32\fpHUSPx.exe
  C:\Windows\System32\fpHUSPx.exe
  2⤵
  PID:16520
- C:\Windows\System32\QlPLwUj.exe
  C:\Windows\System32\QlPLwUj.exe
  2⤵
  PID:16540
- C:\Windows\System32\HuCuPRM.exe
  C:\Windows\System32\HuCuPRM.exe
  2⤵
  PID:16576
- C:\Windows\System32\lEHelTp.exe
  C:\Windows\System32\lEHelTp.exe
  2⤵
  PID:16600
- C:\Windows\System32\OwTGodp.exe
  C:\Windows\System32\OwTGodp.exe
  2⤵
  PID:16624
- C:\Windows\System32\eqnyzCs.exe
  C:\Windows\System32\eqnyzCs.exe
  2⤵
  PID:16660
- C:\Windows\System32\reIHVrS.exe
  C:\Windows\System32\reIHVrS.exe
  2⤵
  PID:16688
- C:\Windows\System32\iUaqLAn.exe
  C:\Windows\System32\iUaqLAn.exe
  2⤵
  PID:16704
- C:\Windows\System32\IZXDKzE.exe
  C:\Windows\System32\IZXDKzE.exe
  2⤵
  PID:16736
- C:\Windows\System32\koBLaWo.exe
  C:\Windows\System32\koBLaWo.exe
  2⤵
  PID:16760
- C:\Windows\System32\znumERF.exe
  C:\Windows\System32\znumERF.exe
  2⤵
  PID:16792
- C:\Windows\System32\PLNhgEB.exe
  C:\Windows\System32\PLNhgEB.exe
  2⤵
  PID:16832
- C:\Windows\System32\AAwhymG.exe
  C:\Windows\System32\AAwhymG.exe
  2⤵
  PID:16856
- C:\Windows\System32\gMAdfQN.exe
  C:\Windows\System32\gMAdfQN.exe
  2⤵
  PID:16872
- C:\Windows\System32\xpMmhYE.exe
  C:\Windows\System32\xpMmhYE.exe
  2⤵
  PID:16900
- C:\Windows\System32\poMaJXC.exe
  C:\Windows\System32\poMaJXC.exe
  2⤵
  PID:16928
- C:\Windows\System32\LoFDzxL.exe
  C:\Windows\System32\LoFDzxL.exe
  2⤵
  PID:16968
- C:\Windows\System32\pgiMUGZ.exe
  C:\Windows\System32\pgiMUGZ.exe
  2⤵
  PID:16984
- C:\Windows\System32\hIRPrmf.exe
  C:\Windows\System32\hIRPrmf.exe
  2⤵
  PID:17028
- C:\Windows\System32\DaimOqo.exe
  C:\Windows\System32\DaimOqo.exe
  2⤵
  PID:17072
- C:\Windows\System32\RlnuwtA.exe
  C:\Windows\System32\RlnuwtA.exe
  2⤵
  PID:17104
- C:\Windows\System32\qcNzajB.exe
  C:\Windows\System32\qcNzajB.exe
  2⤵
  PID:17128
- C:\Windows\System32\rlEQtpa.exe
  C:\Windows\System32\rlEQtpa.exe
  2⤵
  PID:17164
- C:\Windows\System32\mjWqntO.exe
  C:\Windows\System32\mjWqntO.exe
  2⤵
  PID:17204
- C:\Windows\System32\aYwocga.exe
  C:\Windows\System32\aYwocga.exe
  2⤵
  PID:17228
- C:\Windows\System32\LnHvTDF.exe
  C:\Windows\System32\LnHvTDF.exe
  2⤵
  PID:17248
- C:\Windows\System32\UohzkZD.exe
  C:\Windows\System32\UohzkZD.exe
  2⤵
  PID:17296
- C:\Windows\System32\iWvxdaE.exe
  C:\Windows\System32\iWvxdaE.exe
  2⤵
  PID:17324
- C:\Windows\System32\tBexKBh.exe
  C:\Windows\System32\tBexKBh.exe
  2⤵
  PID:17352
- C:\Windows\System32\EaSDxDE.exe
  C:\Windows\System32\EaSDxDE.exe
  2⤵
  PID:17380
- C:\Windows\System32\aTBcXpZ.exe
  C:\Windows\System32\aTBcXpZ.exe
  2⤵
  PID:15980
- C:\Windows\System32\BGiTJSP.exe
  C:\Windows\System32\BGiTJSP.exe
  2⤵
  PID:16476
- C:\Windows\System32\JXGhOuN.exe
  C:\Windows\System32\JXGhOuN.exe
  2⤵
  PID:16512
- C:\Windows\System32\ibaWCbM.exe
  C:\Windows\System32\ibaWCbM.exe
  2⤵
  PID:16560
- C:\Windows\System32\XZZoaOu.exe
  C:\Windows\System32\XZZoaOu.exe
  2⤵
  PID:16684
- C:\Windows\System32\QBgtHoR.exe
  C:\Windows\System32\QBgtHoR.exe
  2⤵
  PID:16728
- C:\Windows\System32\BTfFUFv.exe
  C:\Windows\System32\BTfFUFv.exe
  2⤵
  PID:16804
- C:\Windows\System32\RRDIqyd.exe
  C:\Windows\System32\RRDIqyd.exe
  2⤵
  PID:16844
- C:\Windows\System32\cJBNCOe.exe
  C:\Windows\System32\cJBNCOe.exe
  2⤵
  PID:16896
- C:\Windows\System32\MCohjbW.exe
  C:\Windows\System32\MCohjbW.exe
  2⤵
  PID:16944
- C:\Windows\System32\CjByZrW.exe
  C:\Windows\System32\CjByZrW.exe
  2⤵
  PID:17000
- C:\Windows\System32\RiEIzLY.exe
  C:\Windows\System32\RiEIzLY.exe
  2⤵
  PID:15500
- C:\Windows\System32\nGmWQdj.exe
  C:\Windows\System32\nGmWQdj.exe
  2⤵
  PID:17172
- C:\Windows\System32\JmlKSbI.exe
  C:\Windows\System32\JmlKSbI.exe
  2⤵
  PID:17276
- C:\Windows\System32\AVMyUiS.exe
  C:\Windows\System32\AVMyUiS.exe
  2⤵
  PID:17312
- C:\Windows\System32\xQzIxNI.exe
  C:\Windows\System32\xQzIxNI.exe
  2⤵
  PID:17400
- C:\Windows\System32\sPOmbCs.exe
  C:\Windows\System32\sPOmbCs.exe
  2⤵
  PID:16484
- C:\Windows\System32\AGFjaUT.exe
  C:\Windows\System32\AGFjaUT.exe
  2⤵
  PID:16696
- C:\Windows\System32\XLRlHZm.exe
  C:\Windows\System32\XLRlHZm.exe
  2⤵
  PID:16812
- C:\Windows\System32\SeBxhJC.exe
  C:\Windows\System32\SeBxhJC.exe
  2⤵
  PID:16976
- C:\Windows\System32\NJSuviz.exe
  C:\Windows\System32\NJSuviz.exe
  2⤵
  PID:17116

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:4392

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\BOIfRUp.exe

Filesize
2.0MB

MD5
a170add7b1292f5742ecb0e49d25cd1f

SHA1
3b8a7e60259f19595801008151b12639e32183cd

SHA256
3a360012302a48837aff021ab272dd03be05abacdda8587ba0ef1f66d83667fa

SHA512
b271a13c35ed4f341d41ea6bf27a04fe5a0b1bf4d2417d45070d4db5bc078f40aa71d683a1c3b10146b9e768f4333ad1ee79019c0bb3562a1922f087bc4f9e1f

Download Submit
C:\Windows\System32\BZHeFYp.exe

Filesize
2.0MB

MD5
77700423ff5c3ddcf488db9ae85c4dd8

SHA1
f9dedd389142651268f52df2055907a66039a189

SHA256
5d9eb7f8bb9765b4279a5211dce8ca4927e6f766836664bc8f19825a3344b131

SHA512
9314d72ccab2dc458bdab21ffaa2e1cd2fd20d08ceb49c5d89d2eb8fe9bd6a19aac9c9b1b24a79097a5ece3a292b6c7bc46152b75e631ec5d196c0e320dae075

Download Submit
C:\Windows\System32\CYwrpzD.exe

Filesize
2.0MB

MD5
62a9db391d943d162575ea4ed3fafa88

SHA1
06274347a2e4a78dc7f65b528529cf3419ba7b72

SHA256
42a723a00294eaa245d2450c0346ba4421109c67fb100ea72e0e3f551da5f6fe

SHA512
d837ddd9ba7b24e1dbe1bcd608c1920efc0c55da41d26fc8661048dbfe07abd8ebd0ab9d9cdf848875ad701273f0b150ee4cb0bd7cc5fea1b9c7d9c4a3eea7e5

Download Submit
C:\Windows\System32\CghiEvW.exe

Filesize
2.0MB

MD5
8c15a19e89bea0aa7bb4d2289f055383

SHA1
76b44d41c820f6da122401d67192f30740587e24

SHA256
70b9cb8c1d210ab9e9b34be8b9681d31f91f9dc3d5b7f76dd942dfd6e963b8bf

SHA512
8e6be48d08d0e7e68156194e54797a77734d2d932d2f4e9859270374c50ffdc60fadbfaec1ff3e1620a8a8f02afa6ffe5a23d810b388b0dcc51b2f65b79c9960

Download Submit
C:\Windows\System32\EBnedSV.exe

Filesize
2.0MB

MD5
1147ede868dcfe172de4fb84c7e66644

SHA1
2b72663ea54bc423aa3fba2dd81e869b99f4e9a1

SHA256
012c83aa8cad1212868e2fd97355485dda2f9dc870ee130e6982efc6a1fda86a

SHA512
096cb09844f1cc9cef91190be3a408e7d05063c193943c21ee23f4cccc65e548a2569ca12a62add5e8f1abd68879af6c044765600f023c37a8de7d598b5c93a1

Download Submit
C:\Windows\System32\FbiKrOn.exe

Filesize
2.0MB

MD5
fdebae884901b60e7265a428c41f394b

SHA1
9e1d303f189cd312565de4b1a32ecec5a1fd2c17

SHA256
854491980274f198eac1980dfca451bfcd0860027cad3551b4938d9bfac7f354

SHA512
c8b00827975734a63a0af8042497e702c69ae1fc37e3bc2065def338b1c184628950c47a523d2dd688a528e1990546e710f271237301ce5c6215bf0c8c4579db

Download Submit
C:\Windows\System32\FkrVzev.exe

Filesize
2.0MB

MD5
d04c6f4883f60c042134e15cccdbf67b

SHA1
dcefce82f4ae386603a8c894d69a21c91ecdb79a

SHA256
46ec90c38647eaf8645d61610c57e786f470a2f7c5de5653e29e7eea33152383

SHA512
8a04787029ed98ad07ab07de6a8067435c1944cddd765e61ccd43ff570cca4d62034d9acc61d3375f5b96d63ac4e2819a0f8c93c80c7141b044fae61242d4cb3

Download Submit
C:\Windows\System32\PebeZyu.exe

Filesize
2.0MB

MD5
5d30b764a2a371be280437a88dc406ea

SHA1
f15c414edaf9caee33c752120116904460eac4bf

SHA256
7e54dc3082d529e3dc4361e92b9b659edeedcb39273ce3d1e2c657d4e9eaa41e

SHA512
981e9a74a98317011f7e2e55a5dde5e5e054ab41b3cdd5ea7b6803466e86a03c6332ae5b1d5e5bf82dfae6936a1ab600f008adf23d55186ecd440df5f0c2f62a

Download Submit
C:\Windows\System32\SYJFUOe.exe

Filesize
2.0MB

MD5
1e712317ad963ef007f018bd5dd5a8d7

SHA1
ede0c2588d8f28455bda2e2137cd30cb1270c8db

SHA256
6b2a16a0422e78fe21f2412cbc99e01cc53b08671703472714e7da56df3987eb

SHA512
16aa2fe7a1a883f125c7f5d84ab759f1dd82b61de69e0909c590a9986c644f6256d7815dc434a8bba4172a77a439e843f6efa16a8e107f91e458d775aaa74c08

Download Submit
C:\Windows\System32\SfrJRVF.exe

Filesize
2.0MB

MD5
87c3c3a815fecb5a2da20b3c6a7cda34

SHA1
e5116bb5b4e46effb3a45a6d610aa4c0ab5b17c2

SHA256
fdddcac2bb8c36d2c823ddef55dce52af9bfa6ecc5c75f83f81d2191e3b0e793

SHA512
6265637c709f9bcf3daba14cd7293e07180b3bd0dab3ec69abdd0d443b5ff8e35c203aea2dced6715cf6b4a23ac5e1b0b240c03a277d4c2bdfa55c7122c3f636

Download Submit
C:\Windows\System32\SlNNJTZ.exe

Filesize
2.0MB

MD5
5f75183da091e6a55c84a671520dce1c

SHA1
afed1f30b205e2864f114b698a9591668745fa9b

SHA256
4cd7d0346038f39d67e67429b010654a0867e449fc41baa85d70fc50db696b2f

SHA512
2db004fbdd58c55c456b6121d3390e347b15cfec55b79ba0d4a0743afef2bd6650b7fdcbef491b7b347316995c3cd5d48317fce7f72d3277296ae9ecf6bb01c1

Download Submit
C:\Windows\System32\TDHAaeu.exe

Filesize
2.0MB

MD5
c8d33248dcf36cb24d9e7b6cd4a72941

SHA1
b4cf52742cf2980bc6a58190682a63144a0ea5b8

SHA256
49172aeec61d9c3f32e796766a441985fa070ccced07d4b3e38eb7fa3ffba36e

SHA512
ea7d47203ce26451595a4f1dc10db1dbb1dcd963823c292b4eb49e276d701f651fa18f665e9b259012e2b2c6232c31bc4fa13097d125d08292623d2b7f7d39c3

Download Submit
C:\Windows\System32\VAqpPMN.exe

Filesize
2.0MB

MD5
e28358c5a4a5f5f67e735a085c01c0e0

SHA1
f65f7860ec6961c25fd072c51a151b9215dc81a8

SHA256
0f36288b4be642d2834b6386b59c457c8d19ce1d65a70e505800f07a337a6c77

SHA512
8f42982b2e1430b89f0abf92460e521cbfe81e681f39ebf82720598567d78c6358137222d379709725f5043f9831698c7a6457b407744b274a01b5176eebfe4b

Download Submit
C:\Windows\System32\WDXYxIl.exe

Filesize
2.0MB

MD5
b16bf36fe25faaedd001850fbfa899a5

SHA1
3844a09f7ff42abdfb6f7bed23e78ee344d0d927

SHA256
1a718eae17c9455c578cf2f6d8765385178d4c3d4148660eb686ab06debda996

SHA512
ba05f8f03fbf20020106416af6e7da8cf3472e76c4b1a1aa997ebf8c3ba58e617406932d2511a022a54c79b9dc2ca9e273a47f752f27a1880c350dd90734831a

Download Submit
C:\Windows\System32\XeDQmBs.exe

Filesize
2.0MB

MD5
7567da6fe51b56c763234a69a0fadc6c

SHA1
a61863cdca63f7240b80892cc9d3c92af918231a

SHA256
675e192b68aed92f75879c867e670d827fed750ea8f74797bc3246b2ecbbc854

SHA512
2850fbaa5a3a883bf08fd3868691e95f7b6d058dce8d6760b510ff76344587776ccda93232e58c41c92c4a26564678fb7c82ec543af6c1402c1357d00aa66ea0

Download Submit
C:\Windows\System32\YHWyAjv.exe

Filesize
2.0MB

MD5
4807bc28472d32dfb29df23a58152104

SHA1
6291176975e4652e584c4a3a6de30fe9f151873e

SHA256
7cf0dcd2d9ae03ce5372802f397ab8348e9493608d44e9c9acb4f30e50d9958f

SHA512
ecd691de912aee7a0e6cf435f1f57b94fb5e4bff876911a5d4602610d6c676dd20f37a31a6cb0c027c278fc17dbbab6507fdc12fdc3d11fc1362a914b384bb60

Download Submit
C:\Windows\System32\YuZZyvn.exe

Filesize
2.0MB

MD5
53abebb00f70de2d4ebf4e1a8a2f747c

SHA1
b8596e01c48a09754935776f607f97ab4ae66eb5

SHA256
c3b84eb5a2e8315e74b07f355029816d0595c67000775dc3f2418d8c148495dd

SHA512
7d2a837d61cf66909e00b854d5744b39de39093ff8efb6b8e6dea132cd09599f64b102b412b4ac437519de6645e382d3b620b84b1178f736503ff3a3f7180740

Download Submit
C:\Windows\System32\ZnigAoY.exe

Filesize
2.0MB

MD5
deda96e3433a4ebefa6b1a7f97b510e7

SHA1
0ee6e5f05bd58d0c1f53289ef13215d37cc14714

SHA256
da8b287604c618072e821a0af6fc0d77ea3a19608343a0a6a332b21d9f2d2e1d

SHA512
2f676ed6fa7f4351bb0b177d0e4b911ab1982945c4f9a7427a63bcdf948f839b247335e6b4f1e433d8fe8af8c2dfc44484207e718bb288d0968151ffbc82255c

Download Submit
C:\Windows\System32\cZjEsNl.exe

Filesize
2.0MB

MD5
c864bf0baf5f6953343c5e56b9ec446d

SHA1
c40c8f92d27414570d24041c12056abc833ff083

SHA256
14a3a2be62813f22979751c1bf51996b44b32b4cc1284a0a76907366395dc9d0

SHA512
5cbb5984c259df5f778508ad6eefa0529a0bad357b8322dd33c47043b3a87e97f8f9ccef439ba844ce91a1464f307069876daff0883265156e1976a971804f92

Download Submit
C:\Windows\System32\ccbgMeI.exe

Filesize
2.0MB

MD5
b0811a6408864424aa527fc5e9af9e9e

SHA1
ac10c52b1a8f6112440fbcdd07801fad0d85be88

SHA256
9f58a67ba2fe3b323e8a8dfa6ae9a2481b90c0d0f33b6be8e2874ea5781ec4d2

SHA512
b16776328d65c2cb2d73b0d67d1bff8316d09aba8155967762c0a37063bda08e0b1c5fb4e6f3fa01ab3f297c0b36c218d6ac60b7fa58399dec140e8e0c6526b9

Download Submit
C:\Windows\System32\dQNhyqL.exe

Filesize
2.0MB

MD5
f13254ff1f4aa99f02caa9f11b5a48fc

SHA1
93dc69710a2507a925e5fe7d1ef670c1b0efe90d

SHA256
d6c8c945d1c8dd2ef9504420e815793921ee728130028d1d23a6509aa253a3b9

SHA512
641a157245bd6f900dd5b4fbdcb8631241d96f37d1fd3b0216d7263a769dd999d64a5cac7cbc785341abe2e9d259b8eba15a89159c4d276761562ca7eb1b21e5

Download Submit
C:\Windows\System32\dQYjXHu.exe

Filesize
2.0MB

MD5
cac5ae52c9a309d65e69d93a673920a9

SHA1
c6890ab5454aca60507bef044843b2de6de17d96

SHA256
2fcf66f894d48788c8974c98b4b2cbad7707c5c93f9273a4051183472d4fe848

SHA512
4f9c980ad9ba124f9f384d0d2d1054d31b58f9e5f52a12234b9057ed94902b527bd1c07507526adb344d4db67df677ac60a78f4bebc1e37412582547fa441a18

Download Submit
C:\Windows\System32\ewQmAVp.exe

Filesize
2.0MB

MD5
20f17a5bd0860a7a2d0112018ddebe4b

SHA1
4cca4c31db5edad7212494cd2f67332452176a84

SHA256
1cbfb66b41ae94e368e000ea81490220e7e4ac551fc4faa4e47b247cd46106e7

SHA512
ab9fba76412fd9481dd782e450a45107acefd4e277e8ad131a8c7935b2b80e7a3e0d9ef9fd6876494a3fdf5401cef539a2599f5c8f298c292ee10617994e7fcf

Download Submit
C:\Windows\System32\fOwNlvY.exe

Filesize
2.0MB

MD5
3088a1eb9cdf513410c3e280afa9d573

SHA1
36a71c8179bd4a99143021b0bb917078e0e555cf

SHA256
79fc6836f7d0c34c282a0783ff43ed569ccf359450206a66e270957ac86e0487

SHA512
f05acbc5db98509ac40fd39c3e75411dab98cfd0ee528f5167319413ae90e8247b82c9f2e63b839e69d9175f149b4c276a7011362a883adfa6fdddc45e55645c

Download Submit
C:\Windows\System32\iBqFDxp.exe

Filesize
2.0MB

MD5
b38675ec7a8ba4d067db1a5a529772b5

SHA1
4ea2c54d1d5270bb4c9309e66f7eae8b0d3b593c

SHA256
9cb770346ff77adc4f177aab6db55651fdc12c1c1a6a71c5230a501f70488448

SHA512
ffc3dbff8e58847417dae247f005459e9c549e9d7459db4905a5954cdae2a8a948a433aee5fc149d124d1bfce351164c6766ef53eba82656bec41e3659f0ff2f

Download Submit
C:\Windows\System32\iGJhEjM.exe

Filesize
2.0MB

MD5
62920ce331ecb51e00b8365eb3d07a98

SHA1
9addc757fdf21e53fb6bff4d5bd99775f06fc962

SHA256
00393b7c83472e621a43081bc60cc0e9992b2b8f1010111d1e174d276d7bfeba

SHA512
87f469fedb90d5e4fa568fd4523acf8c6985a168c4fcbce2ea2ad62da3a0f8f0b8ad29dc114f3e2c782d2114a08adf258e694dc66365d2a185d4a045a73d6683

Download Submit
C:\Windows\System32\jyTaowW.exe

Filesize
2.0MB

MD5
c19386ae447b3bf65eec0f3319a57d9f

SHA1
f08c65fa2d3aebbddf03c359c38b214a66cb2489

SHA256
9c4ae989e43bf7adcc7b1e0ea5e18350d3f20fe71868cd869a2dbf4c746769ba

SHA512
f4a9133203409c812bf1296c842dd529083b87e2207be31b87690271ad4d7431c3366709bd17dd36ff51fb9d47bee4dcc4c31e4f09bf1d3de37d67977dff0e35

Download Submit
C:\Windows\System32\oHydMfz.exe

Filesize
2.0MB

MD5
bda9fd1a15554a28c75127eb2d08485d

SHA1
01d7e87c88942476899369d3d4304759ad701eef

SHA256
1924cb2447601e70c40c6aed48dd2f3293665749914221ad8d835326b2ce9ee9

SHA512
930b0b021330881bdd0b5bc3091e62b2ec2aa820ffad09e579809cec49f177c9e498bbcddd8047ec7af50e0b212ddd720131c83dea17ebeb8df0e4fcbaf165c9

Download Submit
C:\Windows\System32\oXvxEJr.exe

Filesize
2.0MB

MD5
2e7aa514b66b1dacc1ca9166fe771d2c

SHA1
64c9b0b265b6d87db5f5882dc276ae459ff8b661

SHA256
5a0290fc782ca9f43821b3a9b783ded69c3f893a68c327e31eb78f2aae8f4e0d

SHA512
e90ef33cbd9646826996aa572614f6d41c8b79fc02139c725ac8c8547945fa0000948ca6af9ca238142c584f1728d6dea542246e9b3ff8aec8583de58f3fd19d

Download Submit
C:\Windows\System32\tBnGKDo.exe

Filesize
2.0MB

MD5
0bfe2ba872828487d8043510ed42b4ae

SHA1
1cacaf3886c99cb8360fee894d778c1c97ef85c0

SHA256
5c6804c41d009d035b4c10cb8f32fc9b43d02bba838a07447e9cde9f08d839fe

SHA512
1a164ae21bfb8da5be2372f894499365fbb1e2c9ba97aad3aa56cf164724ba74908b6112b2667880d51380e3de451c1dbb13deb3151fa35e75936995d2f7f5a9

Download Submit
C:\Windows\System32\vqCjTdc.exe

Filesize
2.0MB

MD5
f1403c5d67f6305f0b48616b9740ccf6

SHA1
e91123729512624ddd789f3910dcd1284ff4bbbd

SHA256
30bfecf782561eb7f117bc7058f429be8783b565611d2db60c94f7e196f510b4

SHA512
c76dc49a7aaf4cb9713feab63471b93c3f88c485aa7bd3bc9c3572aa25d3c51e98acef5b8faacfb4b319b7ac386cc657c251fd4d338f4295ab68e7b20d20f0c2

Download Submit
C:\Windows\System32\xuUusuM.exe

Filesize
2.0MB

MD5
1e811f43c1bcddf5ab5b390ba5f5f6b5

SHA1
286321cfc5d59bf56058f36958b3d5ae1826e213

SHA256
09a5d6ed3e2ac8991b71710d093b331bf2f1d0d76a89631296a3920e32e805fd

SHA512
dd37d6adde949c22bb17eec1f0e5925b550a79d1c3c3de8f56b4ea24dded79badfd46dee4266a016e9de80b5ce672e9af76bb285e3d14c97c8f43873ed7e52ca

Download Submit
memory/3452-0-0x0000000000500000-0x0000000000510000-memory.dmp

Filesize
64KB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads