xmrig | ee3113734cc6ee8cc6cc934e46810e370e2a3be0a9fd06a2b48a60791ef83723

Analysis

max time kernel
123s
max time network
124s
platform
windows10-2004_x64
resource
win10v2004-20240508-en
resource tags

arch:x64arch:x86image:win10v2004-20240508-enlocale:en-usos:windows10-2004-x64system
submitted
20/05/2024, 00:54

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
Size

2.8MB
MD5

758e620610b970ed37523bd36a64ed30
SHA1

984797c6d3e632a2a41d4e406821cebb35d516d7
SHA256

ee3113734cc6ee8cc6cc934e46810e370e2a3be0a9fd06a2b48a60791ef83723
SHA512

18e1c373b6cb352bd5db3167ee90eac3ccf5c21732bac786ab1defa4c23a6df56741063348aed7b92a4ce96110d06da4f4a013edf8b5d9f787848bde48d3ee71
SSDEEP

49152:N0wjnJMOWh50kC1/dVFdx6e0EALKWVTffZiPAcRq6jHjcz8Dz05aIwC+AUBsWsXC:N0GnJMOWPClFdx6e0EALKWVTffZiPAcb

Score

10^/10

xmrig miner upx

Malware Config

Signatures

xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 64 IoCs

miner

resource	yara_rule
behavioral2/memory/1556-0-0x00007FF68D030000-0x00007FF68D425000-memory.dmp	xmrig
behavioral2/files/0x0008000000022f51-5.dat	xmrig
behavioral2/memory/1892-8-0x00007FF6CEB90000-0x00007FF6CEF85000-memory.dmp	xmrig
behavioral2/files/0x000700000002341d-10.dat	xmrig
behavioral2/files/0x0008000000023419-11.dat	xmrig
behavioral2/memory/2348-20-0x00007FF6A2010000-0x00007FF6A2405000-memory.dmp	xmrig
behavioral2/files/0x000700000002341e-26.dat	xmrig
behavioral2/memory/4804-31-0x00007FF6D3030000-0x00007FF6D3425000-memory.dmp	xmrig
behavioral2/files/0x000700000002341f-35.dat	xmrig
behavioral2/files/0x000800000002341a-45.dat	xmrig
behavioral2/files/0x0007000000023422-50.dat	xmrig
behavioral2/files/0x0007000000023424-58.dat	xmrig
behavioral2/files/0x000700000002342a-90.dat	xmrig
behavioral2/files/0x000700000002342c-100.dat	xmrig
behavioral2/files/0x000700000002342e-110.dat	xmrig
behavioral2/files/0x0007000000023434-140.dat	xmrig
behavioral2/files/0x000700000002343a-168.dat	xmrig
behavioral2/files/0x0007000000023439-165.dat	xmrig
behavioral2/files/0x0007000000023438-160.dat	xmrig
behavioral2/files/0x0007000000023437-155.dat	xmrig
behavioral2/files/0x0007000000023436-150.dat	xmrig
behavioral2/files/0x0007000000023435-145.dat	xmrig
behavioral2/files/0x0007000000023433-135.dat	xmrig
behavioral2/files/0x0007000000023432-130.dat	xmrig
behavioral2/files/0x0007000000023431-125.dat	xmrig
behavioral2/files/0x0007000000023430-120.dat	xmrig
behavioral2/files/0x000700000002342f-115.dat	xmrig
behavioral2/files/0x000700000002342d-105.dat	xmrig
behavioral2/files/0x000700000002342b-95.dat	xmrig
behavioral2/files/0x0007000000023429-85.dat	xmrig
behavioral2/files/0x0007000000023428-80.dat	xmrig
behavioral2/files/0x0007000000023427-75.dat	xmrig
behavioral2/files/0x0007000000023426-70.dat	xmrig
behavioral2/files/0x0007000000023425-65.dat	xmrig
behavioral2/files/0x0007000000023423-55.dat	xmrig
behavioral2/files/0x0007000000023421-40.dat	xmrig
behavioral2/memory/3520-34-0x00007FF65F750000-0x00007FF65FB45000-memory.dmp	xmrig
behavioral2/memory/5016-32-0x00007FF6410B0000-0x00007FF6414A5000-memory.dmp	xmrig
behavioral2/files/0x0007000000023420-30.dat	xmrig
behavioral2/memory/2752-28-0x00007FF675030000-0x00007FF675425000-memory.dmp	xmrig
behavioral2/memory/2316-786-0x00007FF6B41D0000-0x00007FF6B45C5000-memory.dmp	xmrig
behavioral2/memory/5024-790-0x00007FF61B260000-0x00007FF61B655000-memory.dmp	xmrig
behavioral2/memory/4108-792-0x00007FF6878B0000-0x00007FF687CA5000-memory.dmp	xmrig
behavioral2/memory/1616-798-0x00007FF73FB00000-0x00007FF73FEF5000-memory.dmp	xmrig
behavioral2/memory/4012-802-0x00007FF7A5400000-0x00007FF7A57F5000-memory.dmp	xmrig
behavioral2/memory/676-808-0x00007FF7B4500000-0x00007FF7B48F5000-memory.dmp	xmrig
behavioral2/memory/2148-810-0x00007FF67EF10000-0x00007FF67F305000-memory.dmp	xmrig
behavioral2/memory/3200-820-0x00007FF684330000-0x00007FF684725000-memory.dmp	xmrig
behavioral2/memory/4996-834-0x00007FF6DB1B0000-0x00007FF6DB5A5000-memory.dmp	xmrig
behavioral2/memory/4908-830-0x00007FF712560000-0x00007FF712955000-memory.dmp	xmrig
behavioral2/memory/1368-827-0x00007FF7A4550000-0x00007FF7A4945000-memory.dmp	xmrig
behavioral2/memory/3156-817-0x00007FF6BAF40000-0x00007FF6BB335000-memory.dmp	xmrig
behavioral2/memory/2096-839-0x00007FF7439B0000-0x00007FF743DA5000-memory.dmp	xmrig
behavioral2/memory/4516-843-0x00007FF6805E0000-0x00007FF6809D5000-memory.dmp	xmrig
behavioral2/memory/2400-847-0x00007FF6B1670000-0x00007FF6B1A65000-memory.dmp	xmrig
behavioral2/memory/2668-855-0x00007FF6112A0000-0x00007FF611695000-memory.dmp	xmrig
behavioral2/memory/952-857-0x00007FF655860000-0x00007FF655C55000-memory.dmp	xmrig
behavioral2/memory/2284-850-0x00007FF67BC30000-0x00007FF67C025000-memory.dmp	xmrig
behavioral2/memory/1556-1715-0x00007FF68D030000-0x00007FF68D425000-memory.dmp	xmrig
behavioral2/memory/5016-1919-0x00007FF6410B0000-0x00007FF6414A5000-memory.dmp	xmrig
behavioral2/memory/3520-1920-0x00007FF65F750000-0x00007FF65FB45000-memory.dmp	xmrig
behavioral2/memory/1556-1921-0x00007FF68D030000-0x00007FF68D425000-memory.dmp	xmrig
behavioral2/memory/1892-1922-0x00007FF6CEB90000-0x00007FF6CEF85000-memory.dmp	xmrig
behavioral2/memory/2348-1923-0x00007FF6A2010000-0x00007FF6A2405000-memory.dmp	xmrig

Executes dropped EXE 64 IoCs

pid	Process
1892	WawIemj.exe
2348	kOPjKMw.exe
2752	AlFPVOr.exe
4804	aEINXJE.exe
5016	Hqilkwb.exe
3520	Iboglqv.exe
2316	mMXTUJW.exe
5024	hhWBfGo.exe
4108	RJxIoAt.exe
1616	FecxhBD.exe
4012	bUWResU.exe
676	WaefrOi.exe
2148	EpvSZin.exe
3156	qoOjhph.exe
3200	wLyleOD.exe
1368	nJUKimV.exe
4908	MEhcdLb.exe
4996	mbcbuOk.exe
2096	ZxbDCSA.exe
4516	wdxkgaC.exe
2400	TKIgzVO.exe
2284	OXHzZxO.exe
2668	rbazSNr.exe
952	IimmITJ.exe
528	Hoyquzc.exe
964	iFMljqG.exe
3448	BweYljZ.exe
2060	tsMZRiG.exe
2056	NExNeCh.exe
3696	ikTJxVJ.exe
2064	zLtcmvb.exe
1196	feKfTWq.exe
3564	QfTHJwo.exe
4428	ewudQZj.exe
3632	fdRYQCH.exe
1620	keCZCJg.exe
4396	jEDarVQ.exe
3532	ebGLirw.exe
2524	DWlpjEQ.exe
2232	lEXPXbZ.exe
1968	WunJrIo.exe
4840	gtFPXdz.exe
1540	sQyTOqV.exe
4752	OEAvkBj.exe
1092	YxxqWgu.exe
5084	FLUoQiy.exe
3932	qLWMYYN.exe
4340	WdXrCyg.exe
4344	VYIAcGh.exe
3768	hdXJnUT.exe
1276	KuzhpMF.exe
3984	CIUnRaA.exe
2456	GPeRQPF.exe
4592	XZRHref.exe
3688	RAjWpZA.exe
4088	NazlgNS.exe
532	VWUHTZP.exe
4252	vDRRayG.exe
3020	tCmASRD.exe
3876	VcadAoE.exe
872	SYMdTNY.exe
3880	KPsTwLg.exe
2380	dlZflBU.exe
3552	tVOfbrm.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/1556-0-0x00007FF68D030000-0x00007FF68D425000-memory.dmp	upx
behavioral2/files/0x0008000000022f51-5.dat	upx
behavioral2/memory/1892-8-0x00007FF6CEB90000-0x00007FF6CEF85000-memory.dmp	upx
behavioral2/files/0x000700000002341d-10.dat	upx
behavioral2/files/0x0008000000023419-11.dat	upx
behavioral2/memory/2348-20-0x00007FF6A2010000-0x00007FF6A2405000-memory.dmp	upx
behavioral2/files/0x000700000002341e-26.dat	upx
behavioral2/memory/4804-31-0x00007FF6D3030000-0x00007FF6D3425000-memory.dmp	upx
behavioral2/files/0x000700000002341f-35.dat	upx
behavioral2/files/0x000800000002341a-45.dat	upx
behavioral2/files/0x0007000000023422-50.dat	upx
behavioral2/files/0x0007000000023424-58.dat	upx
behavioral2/files/0x000700000002342a-90.dat	upx
behavioral2/files/0x000700000002342c-100.dat	upx
behavioral2/files/0x000700000002342e-110.dat	upx
behavioral2/files/0x0007000000023434-140.dat	upx
behavioral2/files/0x000700000002343a-168.dat	upx
behavioral2/files/0x0007000000023439-165.dat	upx
behavioral2/files/0x0007000000023438-160.dat	upx
behavioral2/files/0x0007000000023437-155.dat	upx
behavioral2/files/0x0007000000023436-150.dat	upx
behavioral2/files/0x0007000000023435-145.dat	upx
behavioral2/files/0x0007000000023433-135.dat	upx
behavioral2/files/0x0007000000023432-130.dat	upx
behavioral2/files/0x0007000000023431-125.dat	upx
behavioral2/files/0x0007000000023430-120.dat	upx
behavioral2/files/0x000700000002342f-115.dat	upx
behavioral2/files/0x000700000002342d-105.dat	upx
behavioral2/files/0x000700000002342b-95.dat	upx
behavioral2/files/0x0007000000023429-85.dat	upx
behavioral2/files/0x0007000000023428-80.dat	upx
behavioral2/files/0x0007000000023427-75.dat	upx
behavioral2/files/0x0007000000023426-70.dat	upx
behavioral2/files/0x0007000000023425-65.dat	upx
behavioral2/files/0x0007000000023423-55.dat	upx
behavioral2/files/0x0007000000023421-40.dat	upx
behavioral2/memory/3520-34-0x00007FF65F750000-0x00007FF65FB45000-memory.dmp	upx
behavioral2/memory/5016-32-0x00007FF6410B0000-0x00007FF6414A5000-memory.dmp	upx
behavioral2/files/0x0007000000023420-30.dat	upx
behavioral2/memory/2752-28-0x00007FF675030000-0x00007FF675425000-memory.dmp	upx
behavioral2/memory/2316-786-0x00007FF6B41D0000-0x00007FF6B45C5000-memory.dmp	upx
behavioral2/memory/5024-790-0x00007FF61B260000-0x00007FF61B655000-memory.dmp	upx
behavioral2/memory/4108-792-0x00007FF6878B0000-0x00007FF687CA5000-memory.dmp	upx
behavioral2/memory/1616-798-0x00007FF73FB00000-0x00007FF73FEF5000-memory.dmp	upx
behavioral2/memory/4012-802-0x00007FF7A5400000-0x00007FF7A57F5000-memory.dmp	upx
behavioral2/memory/676-808-0x00007FF7B4500000-0x00007FF7B48F5000-memory.dmp	upx
behavioral2/memory/2148-810-0x00007FF67EF10000-0x00007FF67F305000-memory.dmp	upx
behavioral2/memory/3200-820-0x00007FF684330000-0x00007FF684725000-memory.dmp	upx
behavioral2/memory/4996-834-0x00007FF6DB1B0000-0x00007FF6DB5A5000-memory.dmp	upx
behavioral2/memory/4908-830-0x00007FF712560000-0x00007FF712955000-memory.dmp	upx
behavioral2/memory/1368-827-0x00007FF7A4550000-0x00007FF7A4945000-memory.dmp	upx
behavioral2/memory/3156-817-0x00007FF6BAF40000-0x00007FF6BB335000-memory.dmp	upx
behavioral2/memory/2096-839-0x00007FF7439B0000-0x00007FF743DA5000-memory.dmp	upx
behavioral2/memory/4516-843-0x00007FF6805E0000-0x00007FF6809D5000-memory.dmp	upx
behavioral2/memory/2400-847-0x00007FF6B1670000-0x00007FF6B1A65000-memory.dmp	upx
behavioral2/memory/2668-855-0x00007FF6112A0000-0x00007FF611695000-memory.dmp	upx
behavioral2/memory/952-857-0x00007FF655860000-0x00007FF655C55000-memory.dmp	upx
behavioral2/memory/2284-850-0x00007FF67BC30000-0x00007FF67C025000-memory.dmp	upx
behavioral2/memory/1556-1715-0x00007FF68D030000-0x00007FF68D425000-memory.dmp	upx
behavioral2/memory/5016-1919-0x00007FF6410B0000-0x00007FF6414A5000-memory.dmp	upx
behavioral2/memory/3520-1920-0x00007FF65F750000-0x00007FF65FB45000-memory.dmp	upx
behavioral2/memory/1556-1921-0x00007FF68D030000-0x00007FF68D425000-memory.dmp	upx
behavioral2/memory/1892-1922-0x00007FF6CEB90000-0x00007FF6CEF85000-memory.dmp	upx
behavioral2/memory/2348-1923-0x00007FF6A2010000-0x00007FF6A2405000-memory.dmp	upx

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\System32\yOTCnWb.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\qBBlLEI.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\AgLASXF.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\jDzMzVq.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\PPdqgSR.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\bPfCNbV.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\TiKdedp.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\hYYqVtY.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\tCmASRD.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\BuVgrfo.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\zfGUSWy.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\SoCoFTW.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\ykejkIH.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\atyEpMf.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\HoHopNZ.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\wdxkgaC.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\vDRRayG.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\RdBjjYA.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\ndArkEo.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\xJAdWMN.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\bUrdLOP.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\mmvcNJQ.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\HoFQaHJ.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\WdoIxkq.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\GNAmrEg.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\gkpMggE.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\bUWResU.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\jRzZzLn.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\uttcITr.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\SYMdTNY.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\aaZFwQq.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\fdAninE.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\kOPjKMw.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\QfTHJwo.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\LiiXhXS.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\zXQFLje.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\JPIhbuW.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\qXvDhyn.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\pzdLJJF.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\GIOdKRN.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\rZjAAmF.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\qQwJmyQ.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\txNDROt.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\IqNgMAo.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\wFYQxPj.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\DcFiBxU.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\gwzXqZE.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\hqMMatr.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\rdgDfPC.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\vazfxJK.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\tuVuBlG.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\FjsspJu.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\cIYuaLm.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\aEHbhjY.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\etazuKU.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\BdpojYr.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\SNnixMm.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\TKIgzVO.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\OiCOaHU.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\RcPmlSJ.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\NyplhyM.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\AswIHsD.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\dPwKRxn.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
File created	C:\Windows\System32\SwaLiIV.exe	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe

Checks SCSI registry key(s) 3 TTPs 6 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\HardwareID	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_QEMU&PROD_QEMU_DVD-ROM\4&215468A5&0&010000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_DADY&PROD_HARDDISK\4&215468A5&0&000000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\ConfigFlags	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe

Enumerates system info in registry 2 TTPs 2 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe

Modifies data under HKEY_USERS 18 IoCs

description	ioc	Process
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2a\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe

Suspicious use of AdjustPrivilegeToken 6 IoCs

description	pid	Process
Token: SeCreateGlobalPrivilege	12944	dwm.exe
Token: SeChangeNotifyPrivilege	12944	dwm.exe
Token: 33	12944	dwm.exe
Token: SeIncBasePriorityPrivilege	12944	dwm.exe
Token: SeShutdownPrivilege	12944	dwm.exe
Token: SeCreatePagefilePrivilege	12944	dwm.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 1556 wrote to memory of 1892	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	84
PID 1556 wrote to memory of 1892	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	84
PID 1556 wrote to memory of 2348	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	85
PID 1556 wrote to memory of 2348	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	85
PID 1556 wrote to memory of 2752	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	86
PID 1556 wrote to memory of 2752	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	86
PID 1556 wrote to memory of 4804	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	87
PID 1556 wrote to memory of 4804	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	87
PID 1556 wrote to memory of 5016	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	88
PID 1556 wrote to memory of 5016	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	88
PID 1556 wrote to memory of 3520	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	90
PID 1556 wrote to memory of 3520	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	90
PID 1556 wrote to memory of 2316	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	91
PID 1556 wrote to memory of 2316	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	91
PID 1556 wrote to memory of 5024	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	92
PID 1556 wrote to memory of 5024	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	92
PID 1556 wrote to memory of 4108	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	93
PID 1556 wrote to memory of 4108	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	93
PID 1556 wrote to memory of 1616	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	94
PID 1556 wrote to memory of 1616	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	94
PID 1556 wrote to memory of 4012	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	95
PID 1556 wrote to memory of 4012	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	95
PID 1556 wrote to memory of 676	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	96
PID 1556 wrote to memory of 676	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	96
PID 1556 wrote to memory of 2148	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	97
PID 1556 wrote to memory of 2148	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	97
PID 1556 wrote to memory of 3156	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	98
PID 1556 wrote to memory of 3156	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	98
PID 1556 wrote to memory of 3200	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	99
PID 1556 wrote to memory of 3200	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	99
PID 1556 wrote to memory of 1368	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	100
PID 1556 wrote to memory of 1368	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	100
PID 1556 wrote to memory of 4908	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	101
PID 1556 wrote to memory of 4908	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	101
PID 1556 wrote to memory of 4996	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	102
PID 1556 wrote to memory of 4996	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	102
PID 1556 wrote to memory of 2096	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	103
PID 1556 wrote to memory of 2096	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	103
PID 1556 wrote to memory of 4516	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	104
PID 1556 wrote to memory of 4516	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	104
PID 1556 wrote to memory of 2400	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	105
PID 1556 wrote to memory of 2400	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	105
PID 1556 wrote to memory of 2284	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	106
PID 1556 wrote to memory of 2284	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	106
PID 1556 wrote to memory of 2668	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	107
PID 1556 wrote to memory of 2668	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	107
PID 1556 wrote to memory of 952	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	108
PID 1556 wrote to memory of 952	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	108
PID 1556 wrote to memory of 528	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	109
PID 1556 wrote to memory of 528	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	109
PID 1556 wrote to memory of 964	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	110
PID 1556 wrote to memory of 964	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	110
PID 1556 wrote to memory of 3448	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	111
PID 1556 wrote to memory of 3448	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	111
PID 1556 wrote to memory of 2060	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	112
PID 1556 wrote to memory of 2060	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	112
PID 1556 wrote to memory of 2056	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	113
PID 1556 wrote to memory of 2056	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	113
PID 1556 wrote to memory of 3696	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	114
PID 1556 wrote to memory of 3696	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	114
PID 1556 wrote to memory of 2064	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	115
PID 1556 wrote to memory of 2064	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	115
PID 1556 wrote to memory of 1196	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	116
PID 1556 wrote to memory of 1196	1556	758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe	116

C:\Users\Admin\AppData\Local\Temp\758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe
"C:\Users\Admin\AppData\Local\Temp\758e620610b970ed37523bd36a64ed30_NeikiAnalytics.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:1556
- C:\Windows\System32\WawIemj.exe
  C:\Windows\System32\WawIemj.exe
  2⤵
  - Executes dropped EXE
  PID:1892
- C:\Windows\System32\kOPjKMw.exe
  C:\Windows\System32\kOPjKMw.exe
  2⤵
  - Executes dropped EXE
  PID:2348
- C:\Windows\System32\AlFPVOr.exe
  C:\Windows\System32\AlFPVOr.exe
  2⤵
  - Executes dropped EXE
  PID:2752
- C:\Windows\System32\aEINXJE.exe
  C:\Windows\System32\aEINXJE.exe
  2⤵
  - Executes dropped EXE
  PID:4804
- C:\Windows\System32\Hqilkwb.exe
  C:\Windows\System32\Hqilkwb.exe
  2⤵
  - Executes dropped EXE
  PID:5016
- C:\Windows\System32\Iboglqv.exe
  C:\Windows\System32\Iboglqv.exe
  2⤵
  - Executes dropped EXE
  PID:3520
- C:\Windows\System32\mMXTUJW.exe
  C:\Windows\System32\mMXTUJW.exe
  2⤵
  - Executes dropped EXE
  PID:2316
- C:\Windows\System32\hhWBfGo.exe
  C:\Windows\System32\hhWBfGo.exe
  2⤵
  - Executes dropped EXE
  PID:5024
- C:\Windows\System32\RJxIoAt.exe
  C:\Windows\System32\RJxIoAt.exe
  2⤵
  - Executes dropped EXE
  PID:4108
- C:\Windows\System32\FecxhBD.exe
  C:\Windows\System32\FecxhBD.exe
  2⤵
  - Executes dropped EXE
  PID:1616
- C:\Windows\System32\bUWResU.exe
  C:\Windows\System32\bUWResU.exe
  2⤵
  - Executes dropped EXE
  PID:4012
- C:\Windows\System32\WaefrOi.exe
  C:\Windows\System32\WaefrOi.exe
  2⤵
  - Executes dropped EXE
  PID:676
- C:\Windows\System32\EpvSZin.exe
  C:\Windows\System32\EpvSZin.exe
  2⤵
  - Executes dropped EXE
  PID:2148
- C:\Windows\System32\qoOjhph.exe
  C:\Windows\System32\qoOjhph.exe
  2⤵
  - Executes dropped EXE
  PID:3156
- C:\Windows\System32\wLyleOD.exe
  C:\Windows\System32\wLyleOD.exe
  2⤵
  - Executes dropped EXE
  PID:3200
- C:\Windows\System32\nJUKimV.exe
  C:\Windows\System32\nJUKimV.exe
  2⤵
  - Executes dropped EXE
  PID:1368
- C:\Windows\System32\MEhcdLb.exe
  C:\Windows\System32\MEhcdLb.exe
  2⤵
  - Executes dropped EXE
  PID:4908
- C:\Windows\System32\mbcbuOk.exe
  C:\Windows\System32\mbcbuOk.exe
  2⤵
  - Executes dropped EXE
  PID:4996
- C:\Windows\System32\ZxbDCSA.exe
  C:\Windows\System32\ZxbDCSA.exe
  2⤵
  - Executes dropped EXE
  PID:2096
- C:\Windows\System32\wdxkgaC.exe
  C:\Windows\System32\wdxkgaC.exe
  2⤵
  - Executes dropped EXE
  PID:4516
- C:\Windows\System32\TKIgzVO.exe
  C:\Windows\System32\TKIgzVO.exe
  2⤵
  - Executes dropped EXE
  PID:2400
- C:\Windows\System32\OXHzZxO.exe
  C:\Windows\System32\OXHzZxO.exe
  2⤵
  - Executes dropped EXE
  PID:2284
- C:\Windows\System32\rbazSNr.exe
  C:\Windows\System32\rbazSNr.exe
  2⤵
  - Executes dropped EXE
  PID:2668
- C:\Windows\System32\IimmITJ.exe
  C:\Windows\System32\IimmITJ.exe
  2⤵
  - Executes dropped EXE
  PID:952
- C:\Windows\System32\Hoyquzc.exe
  C:\Windows\System32\Hoyquzc.exe
  2⤵
  - Executes dropped EXE
  PID:528
- C:\Windows\System32\iFMljqG.exe
  C:\Windows\System32\iFMljqG.exe
  2⤵
  - Executes dropped EXE
  PID:964
- C:\Windows\System32\BweYljZ.exe
  C:\Windows\System32\BweYljZ.exe
  2⤵
  - Executes dropped EXE
  PID:3448
- C:\Windows\System32\tsMZRiG.exe
  C:\Windows\System32\tsMZRiG.exe
  2⤵
  - Executes dropped EXE
  PID:2060
- C:\Windows\System32\NExNeCh.exe
  C:\Windows\System32\NExNeCh.exe
  2⤵
  - Executes dropped EXE
  PID:2056
- C:\Windows\System32\ikTJxVJ.exe
  C:\Windows\System32\ikTJxVJ.exe
  2⤵
  - Executes dropped EXE
  PID:3696
- C:\Windows\System32\zLtcmvb.exe
  C:\Windows\System32\zLtcmvb.exe
  2⤵
  - Executes dropped EXE
  PID:2064
- C:\Windows\System32\feKfTWq.exe
  C:\Windows\System32\feKfTWq.exe
  2⤵
  - Executes dropped EXE
  PID:1196
- C:\Windows\System32\QfTHJwo.exe
  C:\Windows\System32\QfTHJwo.exe
  2⤵
  - Executes dropped EXE
  PID:3564
- C:\Windows\System32\ewudQZj.exe
  C:\Windows\System32\ewudQZj.exe
  2⤵
  - Executes dropped EXE
  PID:4428
- C:\Windows\System32\fdRYQCH.exe
  C:\Windows\System32\fdRYQCH.exe
  2⤵
  - Executes dropped EXE
  PID:3632
- C:\Windows\System32\keCZCJg.exe
  C:\Windows\System32\keCZCJg.exe
  2⤵
  - Executes dropped EXE
  PID:1620
- C:\Windows\System32\jEDarVQ.exe
  C:\Windows\System32\jEDarVQ.exe
  2⤵
  - Executes dropped EXE
  PID:4396
- C:\Windows\System32\ebGLirw.exe
  C:\Windows\System32\ebGLirw.exe
  2⤵
  - Executes dropped EXE
  PID:3532
- C:\Windows\System32\DWlpjEQ.exe
  C:\Windows\System32\DWlpjEQ.exe
  2⤵
  - Executes dropped EXE
  PID:2524
- C:\Windows\System32\lEXPXbZ.exe
  C:\Windows\System32\lEXPXbZ.exe
  2⤵
  - Executes dropped EXE
  PID:2232
- C:\Windows\System32\WunJrIo.exe
  C:\Windows\System32\WunJrIo.exe
  2⤵
  - Executes dropped EXE
  PID:1968
- C:\Windows\System32\gtFPXdz.exe
  C:\Windows\System32\gtFPXdz.exe
  2⤵
  - Executes dropped EXE
  PID:4840
- C:\Windows\System32\sQyTOqV.exe
  C:\Windows\System32\sQyTOqV.exe
  2⤵
  - Executes dropped EXE
  PID:1540
- C:\Windows\System32\OEAvkBj.exe
  C:\Windows\System32\OEAvkBj.exe
  2⤵
  - Executes dropped EXE
  PID:4752
- C:\Windows\System32\YxxqWgu.exe
  C:\Windows\System32\YxxqWgu.exe
  2⤵
  - Executes dropped EXE
  PID:1092
- C:\Windows\System32\FLUoQiy.exe
  C:\Windows\System32\FLUoQiy.exe
  2⤵
  - Executes dropped EXE
  PID:5084
- C:\Windows\System32\qLWMYYN.exe
  C:\Windows\System32\qLWMYYN.exe
  2⤵
  - Executes dropped EXE
  PID:3932
- C:\Windows\System32\WdXrCyg.exe
  C:\Windows\System32\WdXrCyg.exe
  2⤵
  - Executes dropped EXE
  PID:4340
- C:\Windows\System32\VYIAcGh.exe
  C:\Windows\System32\VYIAcGh.exe
  2⤵
  - Executes dropped EXE
  PID:4344
- C:\Windows\System32\hdXJnUT.exe
  C:\Windows\System32\hdXJnUT.exe
  2⤵
  - Executes dropped EXE
  PID:3768
- C:\Windows\System32\KuzhpMF.exe
  C:\Windows\System32\KuzhpMF.exe
  2⤵
  - Executes dropped EXE
  PID:1276
- C:\Windows\System32\CIUnRaA.exe
  C:\Windows\System32\CIUnRaA.exe
  2⤵
  - Executes dropped EXE
  PID:3984
- C:\Windows\System32\GPeRQPF.exe
  C:\Windows\System32\GPeRQPF.exe
  2⤵
  - Executes dropped EXE
  PID:2456
- C:\Windows\System32\XZRHref.exe
  C:\Windows\System32\XZRHref.exe
  2⤵
  - Executes dropped EXE
  PID:4592
- C:\Windows\System32\RAjWpZA.exe
  C:\Windows\System32\RAjWpZA.exe
  2⤵
  - Executes dropped EXE
  PID:3688
- C:\Windows\System32\NazlgNS.exe
  C:\Windows\System32\NazlgNS.exe
  2⤵
  - Executes dropped EXE
  PID:4088
- C:\Windows\System32\VWUHTZP.exe
  C:\Windows\System32\VWUHTZP.exe
  2⤵
  - Executes dropped EXE
  PID:532
- C:\Windows\System32\vDRRayG.exe
  C:\Windows\System32\vDRRayG.exe
  2⤵
  - Executes dropped EXE
  PID:4252
- C:\Windows\System32\tCmASRD.exe
  C:\Windows\System32\tCmASRD.exe
  2⤵
  - Executes dropped EXE
  PID:3020
- C:\Windows\System32\VcadAoE.exe
  C:\Windows\System32\VcadAoE.exe
  2⤵
  - Executes dropped EXE
  PID:3876
- C:\Windows\System32\SYMdTNY.exe
  C:\Windows\System32\SYMdTNY.exe
  2⤵
  - Executes dropped EXE
  PID:872
- C:\Windows\System32\KPsTwLg.exe
  C:\Windows\System32\KPsTwLg.exe
  2⤵
  - Executes dropped EXE
  PID:3880
- C:\Windows\System32\dlZflBU.exe
  C:\Windows\System32\dlZflBU.exe
  2⤵
  - Executes dropped EXE
  PID:2380
- C:\Windows\System32\tVOfbrm.exe
  C:\Windows\System32\tVOfbrm.exe
  2⤵
  - Executes dropped EXE
  PID:3552
- C:\Windows\System32\hunULYW.exe
  C:\Windows\System32\hunULYW.exe
  2⤵
  PID:2040
- C:\Windows\System32\LDpXWpv.exe
  C:\Windows\System32\LDpXWpv.exe
  2⤵
  PID:2008
- C:\Windows\System32\pqdCDdk.exe
  C:\Windows\System32\pqdCDdk.exe
  2⤵
  PID:3284
- C:\Windows\System32\NcFdnZy.exe
  C:\Windows\System32\NcFdnZy.exe
  2⤵
  PID:4288
- C:\Windows\System32\aBLgZNq.exe
  C:\Windows\System32\aBLgZNq.exe
  2⤵
  PID:4496
- C:\Windows\System32\OlRhSFz.exe
  C:\Windows\System32\OlRhSFz.exe
  2⤵
  PID:744
- C:\Windows\System32\mZTxcTG.exe
  C:\Windows\System32\mZTxcTG.exe
  2⤵
  PID:3512
- C:\Windows\System32\ubeqhBI.exe
  C:\Windows\System32\ubeqhBI.exe
  2⤵
  PID:1820
- C:\Windows\System32\MGjmgRg.exe
  C:\Windows\System32\MGjmgRg.exe
  2⤵
  PID:4704
- C:\Windows\System32\jODaDGC.exe
  C:\Windows\System32\jODaDGC.exe
  2⤵
  PID:1684
- C:\Windows\System32\IkzUObn.exe
  C:\Windows\System32\IkzUObn.exe
  2⤵
  PID:4508
- C:\Windows\System32\cPAJjwV.exe
  C:\Windows\System32\cPAJjwV.exe
  2⤵
  PID:4620
- C:\Windows\System32\PJZYUBv.exe
  C:\Windows\System32\PJZYUBv.exe
  2⤵
  PID:2532
- C:\Windows\System32\MCJdwCw.exe
  C:\Windows\System32\MCJdwCw.exe
  2⤵
  PID:2460
- C:\Windows\System32\SnQjUBd.exe
  C:\Windows\System32\SnQjUBd.exe
  2⤵
  PID:5140
- C:\Windows\System32\OPLdKDJ.exe
  C:\Windows\System32\OPLdKDJ.exe
  2⤵
  PID:5168
- C:\Windows\System32\HoFQaHJ.exe
  C:\Windows\System32\HoFQaHJ.exe
  2⤵
  PID:5196
- C:\Windows\System32\myYmEoB.exe
  C:\Windows\System32\myYmEoB.exe
  2⤵
  PID:5224
- C:\Windows\System32\tjSTHoJ.exe
  C:\Windows\System32\tjSTHoJ.exe
  2⤵
  PID:5252
- C:\Windows\System32\eHtrvtM.exe
  C:\Windows\System32\eHtrvtM.exe
  2⤵
  PID:5280
- C:\Windows\System32\KanBpRv.exe
  C:\Windows\System32\KanBpRv.exe
  2⤵
  PID:5308
- C:\Windows\System32\wYOIPff.exe
  C:\Windows\System32\wYOIPff.exe
  2⤵
  PID:5336
- C:\Windows\System32\cZeRxTa.exe
  C:\Windows\System32\cZeRxTa.exe
  2⤵
  PID:5364
- C:\Windows\System32\yasWErc.exe
  C:\Windows\System32\yasWErc.exe
  2⤵
  PID:5392
- C:\Windows\System32\ESKhXga.exe
  C:\Windows\System32\ESKhXga.exe
  2⤵
  PID:5420
- C:\Windows\System32\PkliEZn.exe
  C:\Windows\System32\PkliEZn.exe
  2⤵
  PID:5448
- C:\Windows\System32\FnFTEHb.exe
  C:\Windows\System32\FnFTEHb.exe
  2⤵
  PID:5476
- C:\Windows\System32\BuVgrfo.exe
  C:\Windows\System32\BuVgrfo.exe
  2⤵
  PID:5504
- C:\Windows\System32\gLNVGif.exe
  C:\Windows\System32\gLNVGif.exe
  2⤵
  PID:5532
- C:\Windows\System32\xLcLWlv.exe
  C:\Windows\System32\xLcLWlv.exe
  2⤵
  PID:5560
- C:\Windows\System32\aaZFwQq.exe
  C:\Windows\System32\aaZFwQq.exe
  2⤵
  PID:5588
- C:\Windows\System32\eRmPyrP.exe
  C:\Windows\System32\eRmPyrP.exe
  2⤵
  PID:5616
- C:\Windows\System32\NAOdBNF.exe
  C:\Windows\System32\NAOdBNF.exe
  2⤵
  PID:5644
- C:\Windows\System32\RvOoRBM.exe
  C:\Windows\System32\RvOoRBM.exe
  2⤵
  PID:5672
- C:\Windows\System32\jsaiSIT.exe
  C:\Windows\System32\jsaiSIT.exe
  2⤵
  PID:5700
- C:\Windows\System32\SUMUVjx.exe
  C:\Windows\System32\SUMUVjx.exe
  2⤵
  PID:5728
- C:\Windows\System32\LHQKLjd.exe
  C:\Windows\System32\LHQKLjd.exe
  2⤵
  PID:5756
- C:\Windows\System32\GRcmuJi.exe
  C:\Windows\System32\GRcmuJi.exe
  2⤵
  PID:5784
- C:\Windows\System32\jZheZGE.exe
  C:\Windows\System32\jZheZGE.exe
  2⤵
  PID:5812
- C:\Windows\System32\MxMrWhj.exe
  C:\Windows\System32\MxMrWhj.exe
  2⤵
  PID:5840
- C:\Windows\System32\OWgTYVa.exe
  C:\Windows\System32\OWgTYVa.exe
  2⤵
  PID:5868
- C:\Windows\System32\fpyQwzu.exe
  C:\Windows\System32\fpyQwzu.exe
  2⤵
  PID:5896
- C:\Windows\System32\nTvmxOx.exe
  C:\Windows\System32\nTvmxOx.exe
  2⤵
  PID:5924
- C:\Windows\System32\sskAZzT.exe
  C:\Windows\System32\sskAZzT.exe
  2⤵
  PID:5952
- C:\Windows\System32\Gzdfyqp.exe
  C:\Windows\System32\Gzdfyqp.exe
  2⤵
  PID:5980
- C:\Windows\System32\DwOFVcQ.exe
  C:\Windows\System32\DwOFVcQ.exe
  2⤵
  PID:6008
- C:\Windows\System32\XsxbmhM.exe
  C:\Windows\System32\XsxbmhM.exe
  2⤵
  PID:6036
- C:\Windows\System32\SQZyzQo.exe
  C:\Windows\System32\SQZyzQo.exe
  2⤵
  PID:6064
- C:\Windows\System32\KwlSRMw.exe
  C:\Windows\System32\KwlSRMw.exe
  2⤵
  PID:6092
- C:\Windows\System32\Zapmmlq.exe
  C:\Windows\System32\Zapmmlq.exe
  2⤵
  PID:6120
- C:\Windows\System32\VaMDuRd.exe
  C:\Windows\System32\VaMDuRd.exe
  2⤵
  PID:740
- C:\Windows\System32\jWJHDEc.exe
  C:\Windows\System32\jWJHDEc.exe
  2⤵
  PID:1752
- C:\Windows\System32\OvlGvxv.exe
  C:\Windows\System32\OvlGvxv.exe
  2⤵
  PID:4100
- C:\Windows\System32\nLABVKb.exe
  C:\Windows\System32\nLABVKb.exe
  2⤵
  PID:4748
- C:\Windows\System32\rspgZWu.exe
  C:\Windows\System32\rspgZWu.exe
  2⤵
  PID:2936
- C:\Windows\System32\ykejkIH.exe
  C:\Windows\System32\ykejkIH.exe
  2⤵
  PID:5136
- C:\Windows\System32\uHvhOGF.exe
  C:\Windows\System32\uHvhOGF.exe
  2⤵
  PID:5184
- C:\Windows\System32\ZxBuFuF.exe
  C:\Windows\System32\ZxBuFuF.exe
  2⤵
  PID:5264
- C:\Windows\System32\BBdPXKK.exe
  C:\Windows\System32\BBdPXKK.exe
  2⤵
  PID:5332
- C:\Windows\System32\skRbLBK.exe
  C:\Windows\System32\skRbLBK.exe
  2⤵
  PID:5380
- C:\Windows\System32\IAFlHJR.exe
  C:\Windows\System32\IAFlHJR.exe
  2⤵
  PID:5460
- C:\Windows\System32\VtglqLB.exe
  C:\Windows\System32\VtglqLB.exe
  2⤵
  PID:5528
- C:\Windows\System32\OqBOzUd.exe
  C:\Windows\System32\OqBOzUd.exe
  2⤵
  PID:5576
- C:\Windows\System32\aFCoxpY.exe
  C:\Windows\System32\aFCoxpY.exe
  2⤵
  PID:5656
- C:\Windows\System32\AgLASXF.exe
  C:\Windows\System32\AgLASXF.exe
  2⤵
  PID:5724
- C:\Windows\System32\xYfBkYf.exe
  C:\Windows\System32\xYfBkYf.exe
  2⤵
  PID:5780
- C:\Windows\System32\JbgCVCT.exe
  C:\Windows\System32\JbgCVCT.exe
  2⤵
  PID:5852
- C:\Windows\System32\yGHBCFE.exe
  C:\Windows\System32\yGHBCFE.exe
  2⤵
  PID:5920
- C:\Windows\System32\sQlIzwH.exe
  C:\Windows\System32\sQlIzwH.exe
  2⤵
  PID:5968
- C:\Windows\System32\RwTFCFC.exe
  C:\Windows\System32\RwTFCFC.exe
  2⤵
  PID:6048
- C:\Windows\System32\mzuCkNu.exe
  C:\Windows\System32\mzuCkNu.exe
  2⤵
  PID:6116
- C:\Windows\System32\JlBgFGy.exe
  C:\Windows\System32\JlBgFGy.exe
  2⤵
  PID:2092
- C:\Windows\System32\BaTAeHT.exe
  C:\Windows\System32\BaTAeHT.exe
  2⤵
  PID:2620
- C:\Windows\System32\suwBeFy.exe
  C:\Windows\System32\suwBeFy.exe
  2⤵
  PID:5192
- C:\Windows\System32\ZPDxYDz.exe
  C:\Windows\System32\ZPDxYDz.exe
  2⤵
  PID:5304
- C:\Windows\System32\LuESeKg.exe
  C:\Windows\System32\LuESeKg.exe
  2⤵
  PID:5488
- C:\Windows\System32\QKeMUfR.exe
  C:\Windows\System32\QKeMUfR.exe
  2⤵
  PID:5632
- C:\Windows\System32\LSdWDPe.exe
  C:\Windows\System32\LSdWDPe.exe
  2⤵
  PID:5744
- C:\Windows\System32\WdoIxkq.exe
  C:\Windows\System32\WdoIxkq.exe
  2⤵
  PID:5948
- C:\Windows\System32\jiquOqC.exe
  C:\Windows\System32\jiquOqC.exe
  2⤵
  PID:6160
- C:\Windows\System32\mxjQyIN.exe
  C:\Windows\System32\mxjQyIN.exe
  2⤵
  PID:6188
- C:\Windows\System32\tdgZKbH.exe
  C:\Windows\System32\tdgZKbH.exe
  2⤵
  PID:6216
- C:\Windows\System32\QwlrMfJ.exe
  C:\Windows\System32\QwlrMfJ.exe
  2⤵
  PID:6252
- C:\Windows\System32\NnDEQBu.exe
  C:\Windows\System32\NnDEQBu.exe
  2⤵
  PID:6272
- C:\Windows\System32\QqtOzMG.exe
  C:\Windows\System32\QqtOzMG.exe
  2⤵
  PID:6308
- C:\Windows\System32\DzVIscl.exe
  C:\Windows\System32\DzVIscl.exe
  2⤵
  PID:6328
- C:\Windows\System32\SwaLiIV.exe
  C:\Windows\System32\SwaLiIV.exe
  2⤵
  PID:6364
- C:\Windows\System32\dGRqItg.exe
  C:\Windows\System32\dGRqItg.exe
  2⤵
  PID:6392
- C:\Windows\System32\WOkrDQD.exe
  C:\Windows\System32\WOkrDQD.exe
  2⤵
  PID:6412
- C:\Windows\System32\lTuLNSb.exe
  C:\Windows\System32\lTuLNSb.exe
  2⤵
  PID:6440
- C:\Windows\System32\fRgawlv.exe
  C:\Windows\System32\fRgawlv.exe
  2⤵
  PID:6468
- C:\Windows\System32\ZKnZMwa.exe
  C:\Windows\System32\ZKnZMwa.exe
  2⤵
  PID:6504
- C:\Windows\System32\edhrHAn.exe
  C:\Windows\System32\edhrHAn.exe
  2⤵
  PID:6524
- C:\Windows\System32\EcDJapU.exe
  C:\Windows\System32\EcDJapU.exe
  2⤵
  PID:6552
- C:\Windows\System32\GIOdKRN.exe
  C:\Windows\System32\GIOdKRN.exe
  2⤵
  PID:6588
- C:\Windows\System32\MENhHNh.exe
  C:\Windows\System32\MENhHNh.exe
  2⤵
  PID:6608
- C:\Windows\System32\fDEWTFC.exe
  C:\Windows\System32\fDEWTFC.exe
  2⤵
  PID:6636
- C:\Windows\System32\ammrfPn.exe
  C:\Windows\System32\ammrfPn.exe
  2⤵
  PID:6664
- C:\Windows\System32\iDqsREc.exe
  C:\Windows\System32\iDqsREc.exe
  2⤵
  PID:6692
- C:\Windows\System32\BXPNTAY.exe
  C:\Windows\System32\BXPNTAY.exe
  2⤵
  PID:6728
- C:\Windows\System32\HKhHTHb.exe
  C:\Windows\System32\HKhHTHb.exe
  2⤵
  PID:6748
- C:\Windows\System32\TGHsWaT.exe
  C:\Windows\System32\TGHsWaT.exe
  2⤵
  PID:6784
- C:\Windows\System32\UHqTqgz.exe
  C:\Windows\System32\UHqTqgz.exe
  2⤵
  PID:6804
- C:\Windows\System32\rZVESlI.exe
  C:\Windows\System32\rZVESlI.exe
  2⤵
  PID:6832
- C:\Windows\System32\rZjAAmF.exe
  C:\Windows\System32\rZjAAmF.exe
  2⤵
  PID:6860
- C:\Windows\System32\KVIPVwj.exe
  C:\Windows\System32\KVIPVwj.exe
  2⤵
  PID:6896
- C:\Windows\System32\xXavVTq.exe
  C:\Windows\System32\xXavVTq.exe
  2⤵
  PID:6916
- C:\Windows\System32\nOnVmSO.exe
  C:\Windows\System32\nOnVmSO.exe
  2⤵
  PID:6944
- C:\Windows\System32\zJUmyHO.exe
  C:\Windows\System32\zJUmyHO.exe
  2⤵
  PID:6972
- C:\Windows\System32\eYuOJVm.exe
  C:\Windows\System32\eYuOJVm.exe
  2⤵
  PID:7000
- C:\Windows\System32\VvexduP.exe
  C:\Windows\System32\VvexduP.exe
  2⤵
  PID:7040
- C:\Windows\System32\VOsryYO.exe
  C:\Windows\System32\VOsryYO.exe
  2⤵
  PID:7056
- C:\Windows\System32\wzvbsHK.exe
  C:\Windows\System32\wzvbsHK.exe
  2⤵
  PID:7084
- C:\Windows\System32\THzMpgE.exe
  C:\Windows\System32\THzMpgE.exe
  2⤵
  PID:7112
- C:\Windows\System32\PldCgML.exe
  C:\Windows\System32\PldCgML.exe
  2⤵
  PID:7140
- C:\Windows\System32\YDsCXCw.exe
  C:\Windows\System32\YDsCXCw.exe
  2⤵
  PID:6024
- C:\Windows\System32\hjfgbEv.exe
  C:\Windows\System32\hjfgbEv.exe
  2⤵
  PID:6136
- C:\Windows\System32\UYVvZBi.exe
  C:\Windows\System32\UYVvZBi.exe
  2⤵
  PID:5240
- C:\Windows\System32\VjZKzcR.exe
  C:\Windows\System32\VjZKzcR.exe
  2⤵
  PID:5556
- C:\Windows\System32\tuVuBlG.exe
  C:\Windows\System32\tuVuBlG.exe
  2⤵
  PID:5880
- C:\Windows\System32\QjMXTOm.exe
  C:\Windows\System32\QjMXTOm.exe
  2⤵
  PID:6176
- C:\Windows\System32\JwawQAB.exe
  C:\Windows\System32\JwawQAB.exe
  2⤵
  PID:6264
- C:\Windows\System32\FjsspJu.exe
  C:\Windows\System32\FjsspJu.exe
  2⤵
  PID:6304
- C:\Windows\System32\NDKExWk.exe
  C:\Windows\System32\NDKExWk.exe
  2⤵
  PID:6360
- C:\Windows\System32\aJbZJSQ.exe
  C:\Windows\System32\aJbZJSQ.exe
  2⤵
  PID:6436
- C:\Windows\System32\tkqDIja.exe
  C:\Windows\System32\tkqDIja.exe
  2⤵
  PID:6484
- C:\Windows\System32\kQDIAzG.exe
  C:\Windows\System32\kQDIAzG.exe
  2⤵
  PID:6564
- C:\Windows\System32\UMFyokv.exe
  C:\Windows\System32\UMFyokv.exe
  2⤵
  PID:6648
- C:\Windows\System32\MMpnANY.exe
  C:\Windows\System32\MMpnANY.exe
  2⤵
  PID:6688
- C:\Windows\System32\qtNveaQ.exe
  C:\Windows\System32\qtNveaQ.exe
  2⤵
  PID:6740
- C:\Windows\System32\vMqEwWX.exe
  C:\Windows\System32\vMqEwWX.exe
  2⤵
  PID:6800
- C:\Windows\System32\jDzMzVq.exe
  C:\Windows\System32\jDzMzVq.exe
  2⤵
  PID:6848
- C:\Windows\System32\ADiFyVG.exe
  C:\Windows\System32\ADiFyVG.exe
  2⤵
  PID:6928
- C:\Windows\System32\QCvxFop.exe
  C:\Windows\System32\QCvxFop.exe
  2⤵
  PID:6996
- C:\Windows\System32\owKeWAd.exe
  C:\Windows\System32\owKeWAd.exe
  2⤵
  PID:7048
- C:\Windows\System32\nzMjhud.exe
  C:\Windows\System32\nzMjhud.exe
  2⤵
  PID:7100
- C:\Windows\System32\GwsgbIV.exe
  C:\Windows\System32\GwsgbIV.exe
  2⤵
  PID:6104
- C:\Windows\System32\AuqIRzz.exe
  C:\Windows\System32\AuqIRzz.exe
  2⤵
  PID:5408
- C:\Windows\System32\UXqSFeV.exe
  C:\Windows\System32\UXqSFeV.exe
  2⤵
  PID:6148
- C:\Windows\System32\yEhWUVj.exe
  C:\Windows\System32\yEhWUVj.exe
  2⤵
  PID:6320
- C:\Windows\System32\cOcxMjw.exe
  C:\Windows\System32\cOcxMjw.exe
  2⤵
  PID:6492
- C:\Windows\System32\GNAmrEg.exe
  C:\Windows\System32\GNAmrEg.exe
  2⤵
  PID:6604
- C:\Windows\System32\CtKfALT.exe
  C:\Windows\System32\CtKfALT.exe
  2⤵
  PID:6744
- C:\Windows\System32\AkkHTnQ.exe
  C:\Windows\System32\AkkHTnQ.exe
  2⤵
  PID:6820
- C:\Windows\System32\bpKXxJC.exe
  C:\Windows\System32\bpKXxJC.exe
  2⤵
  PID:7016
- C:\Windows\System32\awIKhVb.exe
  C:\Windows\System32\awIKhVb.exe
  2⤵
  PID:7128
- C:\Windows\System32\VlLcKlZ.exe
  C:\Windows\System32\VlLcKlZ.exe
  2⤵
  PID:5772
- C:\Windows\System32\kUbRQFU.exe
  C:\Windows\System32\kUbRQFU.exe
  2⤵
  PID:6388
- C:\Windows\System32\cePxBBy.exe
  C:\Windows\System32\cePxBBy.exe
  2⤵
  PID:7180
- C:\Windows\System32\CgLrvNm.exe
  C:\Windows\System32\CgLrvNm.exe
  2⤵
  PID:7208
- C:\Windows\System32\gVpURNf.exe
  C:\Windows\System32\gVpURNf.exe
  2⤵
  PID:7236
- C:\Windows\System32\wnynxxx.exe
  C:\Windows\System32\wnynxxx.exe
  2⤵
  PID:7264
- C:\Windows\System32\YksIOgc.exe
  C:\Windows\System32\YksIOgc.exe
  2⤵
  PID:7292
- C:\Windows\System32\fWumOoQ.exe
  C:\Windows\System32\fWumOoQ.exe
  2⤵
  PID:7320
- C:\Windows\System32\roaDcmc.exe
  C:\Windows\System32\roaDcmc.exe
  2⤵
  PID:7348
- C:\Windows\System32\pMuGDCk.exe
  C:\Windows\System32\pMuGDCk.exe
  2⤵
  PID:7376
- C:\Windows\System32\rDAOYVJ.exe
  C:\Windows\System32\rDAOYVJ.exe
  2⤵
  PID:7404
- C:\Windows\System32\IzcKciw.exe
  C:\Windows\System32\IzcKciw.exe
  2⤵
  PID:7432
- C:\Windows\System32\GABhtnA.exe
  C:\Windows\System32\GABhtnA.exe
  2⤵
  PID:7460
- C:\Windows\System32\koEoQph.exe
  C:\Windows\System32\koEoQph.exe
  2⤵
  PID:7488
- C:\Windows\System32\ZQCWkuH.exe
  C:\Windows\System32\ZQCWkuH.exe
  2⤵
  PID:7516
- C:\Windows\System32\qZxwJjD.exe
  C:\Windows\System32\qZxwJjD.exe
  2⤵
  PID:7544
- C:\Windows\System32\MzzIsHA.exe
  C:\Windows\System32\MzzIsHA.exe
  2⤵
  PID:7572
- C:\Windows\System32\oFwFTSU.exe
  C:\Windows\System32\oFwFTSU.exe
  2⤵
  PID:7600
- C:\Windows\System32\otiVjGq.exe
  C:\Windows\System32\otiVjGq.exe
  2⤵
  PID:7628
- C:\Windows\System32\kdkVMnQ.exe
  C:\Windows\System32\kdkVMnQ.exe
  2⤵
  PID:7656
- C:\Windows\System32\BfJTZPy.exe
  C:\Windows\System32\BfJTZPy.exe
  2⤵
  PID:7684
- C:\Windows\System32\QRWxmca.exe
  C:\Windows\System32\QRWxmca.exe
  2⤵
  PID:7712
- C:\Windows\System32\oOrgmIb.exe
  C:\Windows\System32\oOrgmIb.exe
  2⤵
  PID:7740
- C:\Windows\System32\vJhviey.exe
  C:\Windows\System32\vJhviey.exe
  2⤵
  PID:7768
- C:\Windows\System32\JmaxNfh.exe
  C:\Windows\System32\JmaxNfh.exe
  2⤵
  PID:7796
- C:\Windows\System32\LXvkVoQ.exe
  C:\Windows\System32\LXvkVoQ.exe
  2⤵
  PID:7824
- C:\Windows\System32\qQwJmyQ.exe
  C:\Windows\System32\qQwJmyQ.exe
  2⤵
  PID:7852
- C:\Windows\System32\pxXCjKk.exe
  C:\Windows\System32\pxXCjKk.exe
  2⤵
  PID:7880
- C:\Windows\System32\AYUuony.exe
  C:\Windows\System32\AYUuony.exe
  2⤵
  PID:7952
- C:\Windows\System32\zdxmZCF.exe
  C:\Windows\System32\zdxmZCF.exe
  2⤵
  PID:8012
- C:\Windows\System32\TQPbmSg.exe
  C:\Windows\System32\TQPbmSg.exe
  2⤵
  PID:8032
- C:\Windows\System32\EIYzQEr.exe
  C:\Windows\System32\EIYzQEr.exe
  2⤵
  PID:8072
- C:\Windows\System32\koZerhz.exe
  C:\Windows\System32\koZerhz.exe
  2⤵
  PID:8092
- C:\Windows\System32\hWMoCsH.exe
  C:\Windows\System32\hWMoCsH.exe
  2⤵
  PID:8124
- C:\Windows\System32\vrNDMiQ.exe
  C:\Windows\System32\vrNDMiQ.exe
  2⤵
  PID:8148
- C:\Windows\System32\GCDkzBJ.exe
  C:\Windows\System32\GCDkzBJ.exe
  2⤵
  PID:6584
- C:\Windows\System32\TfKuMpH.exe
  C:\Windows\System32\TfKuMpH.exe
  2⤵
  PID:6780
- C:\Windows\System32\jALOKAu.exe
  C:\Windows\System32\jALOKAu.exe
  2⤵
  PID:1240
- C:\Windows\System32\KoDITLb.exe
  C:\Windows\System32\KoDITLb.exe
  2⤵
  PID:7192
- C:\Windows\System32\gQOQIIf.exe
  C:\Windows\System32\gQOQIIf.exe
  2⤵
  PID:4976
- C:\Windows\System32\jWSJLrc.exe
  C:\Windows\System32\jWSJLrc.exe
  2⤵
  PID:7252
- C:\Windows\System32\SkAUCDq.exe
  C:\Windows\System32\SkAUCDq.exe
  2⤵
  PID:7344
- C:\Windows\System32\ytkDatV.exe
  C:\Windows\System32\ytkDatV.exe
  2⤵
  PID:7400
- C:\Windows\System32\WuKkjAf.exe
  C:\Windows\System32\WuKkjAf.exe
  2⤵
  PID:7420
- C:\Windows\System32\jRzZzLn.exe
  C:\Windows\System32\jRzZzLn.exe
  2⤵
  PID:7528
- C:\Windows\System32\dYHWTpI.exe
  C:\Windows\System32\dYHWTpI.exe
  2⤵
  PID:7584
- C:\Windows\System32\pjIVJUi.exe
  C:\Windows\System32\pjIVJUi.exe
  2⤵
  PID:7624
- C:\Windows\System32\OWCDJdA.exe
  C:\Windows\System32\OWCDJdA.exe
  2⤵
  PID:7700
- C:\Windows\System32\oyAaMrB.exe
  C:\Windows\System32\oyAaMrB.exe
  2⤵
  PID:7728
- C:\Windows\System32\gdlpHBD.exe
  C:\Windows\System32\gdlpHBD.exe
  2⤵
  PID:1916
- C:\Windows\System32\frbcFRT.exe
  C:\Windows\System32\frbcFRT.exe
  2⤵
  PID:1544
- C:\Windows\System32\IWZEysg.exe
  C:\Windows\System32\IWZEysg.exe
  2⤵
  PID:7892
- C:\Windows\System32\NPwNPys.exe
  C:\Windows\System32\NPwNPys.exe
  2⤵
  PID:7936
- C:\Windows\System32\LiiXhXS.exe
  C:\Windows\System32\LiiXhXS.exe
  2⤵
  PID:4484
- C:\Windows\System32\Hnzknpf.exe
  C:\Windows\System32\Hnzknpf.exe
  2⤵
  PID:8020
- C:\Windows\System32\LuvYJCT.exe
  C:\Windows\System32\LuvYJCT.exe
  2⤵
  PID:8056
- C:\Windows\System32\xiSVYnp.exe
  C:\Windows\System32\xiSVYnp.exe
  2⤵
  PID:8132
- C:\Windows\System32\GboJUXB.exe
  C:\Windows\System32\GboJUXB.exe
  2⤵
  PID:8188
- C:\Windows\System32\beMGhdN.exe
  C:\Windows\System32\beMGhdN.exe
  2⤵
  PID:7220
- C:\Windows\System32\VxEmjaF.exe
  C:\Windows\System32\VxEmjaF.exe
  2⤵
  PID:4780
- C:\Windows\System32\DgVqheo.exe
  C:\Windows\System32\DgVqheo.exe
  2⤵
  PID:7416
- C:\Windows\System32\PPdqgSR.exe
  C:\Windows\System32\PPdqgSR.exe
  2⤵
  PID:7588
- C:\Windows\System32\kDnQGmm.exe
  C:\Windows\System32\kDnQGmm.exe
  2⤵
  PID:7736
- C:\Windows\System32\asHoxVd.exe
  C:\Windows\System32\asHoxVd.exe
  2⤵
  PID:7820
- C:\Windows\System32\wvtXRhY.exe
  C:\Windows\System32\wvtXRhY.exe
  2⤵
  PID:7868
- C:\Windows\System32\IJoEyRB.exe
  C:\Windows\System32\IJoEyRB.exe
  2⤵
  PID:8160
- C:\Windows\System32\OGcshoA.exe
  C:\Windows\System32\OGcshoA.exe
  2⤵
  PID:7476
- C:\Windows\System32\uwOSlra.exe
  C:\Windows\System32\uwOSlra.exe
  2⤵
  PID:1904
- C:\Windows\System32\zMdogLl.exe
  C:\Windows\System32\zMdogLl.exe
  2⤵
  PID:3860
- C:\Windows\System32\ZXqWDvx.exe
  C:\Windows\System32\ZXqWDvx.exe
  2⤵
  PID:8104
- C:\Windows\System32\OJxVvRN.exe
  C:\Windows\System32\OJxVvRN.exe
  2⤵
  PID:6296
- C:\Windows\System32\TBKKwlP.exe
  C:\Windows\System32\TBKKwlP.exe
  2⤵
  PID:7472
- C:\Windows\System32\zHFpkEH.exe
  C:\Windows\System32\zHFpkEH.exe
  2⤵
  PID:7780
- C:\Windows\System32\OUraBLV.exe
  C:\Windows\System32\OUraBLV.exe
  2⤵
  PID:3244
- C:\Windows\System32\OiCOaHU.exe
  C:\Windows\System32\OiCOaHU.exe
  2⤵
  PID:4964
- C:\Windows\System32\RcPmlSJ.exe
  C:\Windows\System32\RcPmlSJ.exe
  2⤵
  PID:7072
- C:\Windows\System32\PyZIsMv.exe
  C:\Windows\System32\PyZIsMv.exe
  2⤵
  PID:7964
- C:\Windows\System32\iYGcBUj.exe
  C:\Windows\System32\iYGcBUj.exe
  2⤵
  PID:4864
- C:\Windows\System32\kgXWMLH.exe
  C:\Windows\System32\kgXWMLH.exe
  2⤵
  PID:4060
- C:\Windows\System32\xFkDcCh.exe
  C:\Windows\System32\xFkDcCh.exe
  2⤵
  PID:8208
- C:\Windows\System32\oqeBcXs.exe
  C:\Windows\System32\oqeBcXs.exe
  2⤵
  PID:8224
- C:\Windows\System32\QcnZaRL.exe
  C:\Windows\System32\QcnZaRL.exe
  2⤵
  PID:8264
- C:\Windows\System32\pIDkpCj.exe
  C:\Windows\System32\pIDkpCj.exe
  2⤵
  PID:8284
- C:\Windows\System32\OCqlsFB.exe
  C:\Windows\System32\OCqlsFB.exe
  2⤵
  PID:8320
- C:\Windows\System32\IRSVnBx.exe
  C:\Windows\System32\IRSVnBx.exe
  2⤵
  PID:8348
- C:\Windows\System32\ohKATYK.exe
  C:\Windows\System32\ohKATYK.exe
  2⤵
  PID:8376
- C:\Windows\System32\yhUHjNB.exe
  C:\Windows\System32\yhUHjNB.exe
  2⤵
  PID:8408
- C:\Windows\System32\bBawpSW.exe
  C:\Windows\System32\bBawpSW.exe
  2⤵
  PID:8432
- C:\Windows\System32\MORZilp.exe
  C:\Windows\System32\MORZilp.exe
  2⤵
  PID:8460
- C:\Windows\System32\XikTHuj.exe
  C:\Windows\System32\XikTHuj.exe
  2⤵
  PID:8484
- C:\Windows\System32\QaalrLb.exe
  C:\Windows\System32\QaalrLb.exe
  2⤵
  PID:8520
- C:\Windows\System32\JNmZrjp.exe
  C:\Windows\System32\JNmZrjp.exe
  2⤵
  PID:8544
- C:\Windows\System32\XIAjJJo.exe
  C:\Windows\System32\XIAjJJo.exe
  2⤵
  PID:8564
- C:\Windows\System32\HLnttSK.exe
  C:\Windows\System32\HLnttSK.exe
  2⤵
  PID:8604
- C:\Windows\System32\mSZejku.exe
  C:\Windows\System32\mSZejku.exe
  2⤵
  PID:8636
- C:\Windows\System32\Dmpkcnr.exe
  C:\Windows\System32\Dmpkcnr.exe
  2⤵
  PID:8668
- C:\Windows\System32\zgRDiUk.exe
  C:\Windows\System32\zgRDiUk.exe
  2⤵
  PID:8696
- C:\Windows\System32\HjPNICe.exe
  C:\Windows\System32\HjPNICe.exe
  2⤵
  PID:8724
- C:\Windows\System32\zfGUSWy.exe
  C:\Windows\System32\zfGUSWy.exe
  2⤵
  PID:8764
- C:\Windows\System32\IjboNIn.exe
  C:\Windows\System32\IjboNIn.exe
  2⤵
  PID:8780
- C:\Windows\System32\TmxGsXA.exe
  C:\Windows\System32\TmxGsXA.exe
  2⤵
  PID:8808
- C:\Windows\System32\HHlrkFE.exe
  C:\Windows\System32\HHlrkFE.exe
  2⤵
  PID:8836
- C:\Windows\System32\dPXsWvP.exe
  C:\Windows\System32\dPXsWvP.exe
  2⤵
  PID:8868
- C:\Windows\System32\FjSkQOr.exe
  C:\Windows\System32\FjSkQOr.exe
  2⤵
  PID:8896
- C:\Windows\System32\nRgTyyQ.exe
  C:\Windows\System32\nRgTyyQ.exe
  2⤵
  PID:8924
- C:\Windows\System32\jfcXZZz.exe
  C:\Windows\System32\jfcXZZz.exe
  2⤵
  PID:8940
- C:\Windows\System32\MKIhdzT.exe
  C:\Windows\System32\MKIhdzT.exe
  2⤵
  PID:8976
- C:\Windows\System32\LLDTGEj.exe
  C:\Windows\System32\LLDTGEj.exe
  2⤵
  PID:9008
- C:\Windows\System32\SEgJsqf.exe
  C:\Windows\System32\SEgJsqf.exe
  2⤵
  PID:9040
- C:\Windows\System32\VPKqntW.exe
  C:\Windows\System32\VPKqntW.exe
  2⤵
  PID:9076
- C:\Windows\System32\efdWAPM.exe
  C:\Windows\System32\efdWAPM.exe
  2⤵
  PID:9124
- C:\Windows\System32\MIDMwSx.exe
  C:\Windows\System32\MIDMwSx.exe
  2⤵
  PID:9140
- C:\Windows\System32\MAGtwDF.exe
  C:\Windows\System32\MAGtwDF.exe
  2⤵
  PID:9172
- C:\Windows\System32\rWxixJk.exe
  C:\Windows\System32\rWxixJk.exe
  2⤵
  PID:9208
- C:\Windows\System32\FafooiV.exe
  C:\Windows\System32\FafooiV.exe
  2⤵
  PID:8244
- C:\Windows\System32\cIYuaLm.exe
  C:\Windows\System32\cIYuaLm.exe
  2⤵
  PID:8308
- C:\Windows\System32\EAzoexm.exe
  C:\Windows\System32\EAzoexm.exe
  2⤵
  PID:8340
- C:\Windows\System32\OIMAvjg.exe
  C:\Windows\System32\OIMAvjg.exe
  2⤵
  PID:8372
- C:\Windows\System32\ZZbXdTA.exe
  C:\Windows\System32\ZZbXdTA.exe
  2⤵
  PID:8496
- C:\Windows\System32\MOzmywv.exe
  C:\Windows\System32\MOzmywv.exe
  2⤵
  PID:8624
- C:\Windows\System32\aGglnuy.exe
  C:\Windows\System32\aGglnuy.exe
  2⤵
  PID:8708
- C:\Windows\System32\HtMDLib.exe
  C:\Windows\System32\HtMDLib.exe
  2⤵
  PID:8772
- C:\Windows\System32\knFpyVz.exe
  C:\Windows\System32\knFpyVz.exe
  2⤵
  PID:8832
- C:\Windows\System32\SoCoFTW.exe
  C:\Windows\System32\SoCoFTW.exe
  2⤵
  PID:8888
- C:\Windows\System32\EwiYCSM.exe
  C:\Windows\System32\EwiYCSM.exe
  2⤵
  PID:8968
- C:\Windows\System32\gWeervH.exe
  C:\Windows\System32\gWeervH.exe
  2⤵
  PID:9004
- C:\Windows\System32\ZnyNOWi.exe
  C:\Windows\System32\ZnyNOWi.exe
  2⤵
  PID:9068
- C:\Windows\System32\dzebuXU.exe
  C:\Windows\System32\dzebuXU.exe
  2⤵
  PID:9100
- C:\Windows\System32\aEHbhjY.exe
  C:\Windows\System32\aEHbhjY.exe
  2⤵
  PID:4104
- C:\Windows\System32\kffDTey.exe
  C:\Windows\System32\kffDTey.exe
  2⤵
  PID:8256
- C:\Windows\System32\IXCFsFT.exe
  C:\Windows\System32\IXCFsFT.exe
  2⤵
  PID:8304
- C:\Windows\System32\jOSQCJf.exe
  C:\Windows\System32\jOSQCJf.exe
  2⤵
  PID:9120
- C:\Windows\System32\rePDRNi.exe
  C:\Windows\System32\rePDRNi.exe
  2⤵
  PID:8648
- C:\Windows\System32\pjeSKDB.exe
  C:\Windows\System32\pjeSKDB.exe
  2⤵
  PID:8792
- C:\Windows\System32\ObcIHye.exe
  C:\Windows\System32\ObcIHye.exe
  2⤵
  PID:8992
- C:\Windows\System32\iEZbPQD.exe
  C:\Windows\System32\iEZbPQD.exe
  2⤵
  PID:9060
- C:\Windows\System32\QNmgetA.exe
  C:\Windows\System32\QNmgetA.exe
  2⤵
  PID:8088
- C:\Windows\System32\kqyZmsy.exe
  C:\Windows\System32\kqyZmsy.exe
  2⤵
  PID:8400
- C:\Windows\System32\UxZItEF.exe
  C:\Windows\System32\UxZItEF.exe
  2⤵
  PID:8760
- C:\Windows\System32\bPfCNbV.exe
  C:\Windows\System32\bPfCNbV.exe
  2⤵
  PID:2432
- C:\Windows\System32\YaAeBhp.exe
  C:\Windows\System32\YaAeBhp.exe
  2⤵
  PID:8656
- C:\Windows\System32\DDhFUxG.exe
  C:\Windows\System32\DDhFUxG.exe
  2⤵
  PID:9192
- C:\Windows\System32\IRIprAS.exe
  C:\Windows\System32\IRIprAS.exe
  2⤵
  PID:8296
- C:\Windows\System32\ewrWgSt.exe
  C:\Windows\System32\ewrWgSt.exe
  2⤵
  PID:9236
- C:\Windows\System32\HGuPdGH.exe
  C:\Windows\System32\HGuPdGH.exe
  2⤵
  PID:9264
- C:\Windows\System32\ZaDDQvV.exe
  C:\Windows\System32\ZaDDQvV.exe
  2⤵
  PID:9280
- C:\Windows\System32\AUbwTFa.exe
  C:\Windows\System32\AUbwTFa.exe
  2⤵
  PID:9316
- C:\Windows\System32\RlqVYTd.exe
  C:\Windows\System32\RlqVYTd.exe
  2⤵
  PID:9348
- C:\Windows\System32\eBMLPQb.exe
  C:\Windows\System32\eBMLPQb.exe
  2⤵
  PID:9376
- C:\Windows\System32\yCiAtHf.exe
  C:\Windows\System32\yCiAtHf.exe
  2⤵
  PID:9392
- C:\Windows\System32\BKwyvLa.exe
  C:\Windows\System32\BKwyvLa.exe
  2⤵
  PID:9432
- C:\Windows\System32\xaWGMNc.exe
  C:\Windows\System32\xaWGMNc.exe
  2⤵
  PID:9460
- C:\Windows\System32\mKUZDyf.exe
  C:\Windows\System32\mKUZDyf.exe
  2⤵
  PID:9476
- C:\Windows\System32\AiUtbFs.exe
  C:\Windows\System32\AiUtbFs.exe
  2⤵
  PID:9516
- C:\Windows\System32\txNDROt.exe
  C:\Windows\System32\txNDROt.exe
  2⤵
  PID:9544
- C:\Windows\System32\mOjHnlK.exe
  C:\Windows\System32\mOjHnlK.exe
  2⤵
  PID:9564
- C:\Windows\System32\mameEWq.exe
  C:\Windows\System32\mameEWq.exe
  2⤵
  PID:9596
- C:\Windows\System32\KKoNxsh.exe
  C:\Windows\System32\KKoNxsh.exe
  2⤵
  PID:9628
- C:\Windows\System32\eMwNCPE.exe
  C:\Windows\System32\eMwNCPE.exe
  2⤵
  PID:9656
- C:\Windows\System32\FgOFlFF.exe
  C:\Windows\System32\FgOFlFF.exe
  2⤵
  PID:9688
- C:\Windows\System32\cEsFqFP.exe
  C:\Windows\System32\cEsFqFP.exe
  2⤵
  PID:9716
- C:\Windows\System32\yLmyNUc.exe
  C:\Windows\System32\yLmyNUc.exe
  2⤵
  PID:9744
- C:\Windows\System32\RoHpcAn.exe
  C:\Windows\System32\RoHpcAn.exe
  2⤵
  PID:9772
- C:\Windows\System32\HFQAlAF.exe
  C:\Windows\System32\HFQAlAF.exe
  2⤵
  PID:9792
- C:\Windows\System32\TiKdedp.exe
  C:\Windows\System32\TiKdedp.exe
  2⤵
  PID:9828
- C:\Windows\System32\ulXRLpM.exe
  C:\Windows\System32\ulXRLpM.exe
  2⤵
  PID:9856
- C:\Windows\System32\RdBjjYA.exe
  C:\Windows\System32\RdBjjYA.exe
  2⤵
  PID:9884
- C:\Windows\System32\NyplhyM.exe
  C:\Windows\System32\NyplhyM.exe
  2⤵
  PID:9912
- C:\Windows\System32\iUefGwF.exe
  C:\Windows\System32\iUefGwF.exe
  2⤵
  PID:9940
- C:\Windows\System32\FFGOnWL.exe
  C:\Windows\System32\FFGOnWL.exe
  2⤵
  PID:9968
- C:\Windows\System32\WPMFYeH.exe
  C:\Windows\System32\WPMFYeH.exe
  2⤵
  PID:9996
- C:\Windows\System32\pRuKDFH.exe
  C:\Windows\System32\pRuKDFH.exe
  2⤵
  PID:10024
- C:\Windows\System32\GWTpdqL.exe
  C:\Windows\System32\GWTpdqL.exe
  2⤵
  PID:10040
- C:\Windows\System32\Unkwvrf.exe
  C:\Windows\System32\Unkwvrf.exe
  2⤵
  PID:10080
- C:\Windows\System32\kSYGWyF.exe
  C:\Windows\System32\kSYGWyF.exe
  2⤵
  PID:10108
- C:\Windows\System32\AqYxYaD.exe
  C:\Windows\System32\AqYxYaD.exe
  2⤵
  PID:10136
- C:\Windows\System32\uNziJIm.exe
  C:\Windows\System32\uNziJIm.exe
  2⤵
  PID:10152
- C:\Windows\System32\etazuKU.exe
  C:\Windows\System32\etazuKU.exe
  2⤵
  PID:10172
- C:\Windows\System32\JSHAZew.exe
  C:\Windows\System32\JSHAZew.exe
  2⤵
  PID:10204
- C:\Windows\System32\NMdTZDE.exe
  C:\Windows\System32\NMdTZDE.exe
  2⤵
  PID:9232
- C:\Windows\System32\jjsNkow.exe
  C:\Windows\System32\jjsNkow.exe
  2⤵
  PID:9272
- C:\Windows\System32\IjSDVVV.exe
  C:\Windows\System32\IjSDVVV.exe
  2⤵
  PID:9372
- C:\Windows\System32\kJyoCxp.exe
  C:\Windows\System32\kJyoCxp.exe
  2⤵
  PID:9428
- C:\Windows\System32\zXQFLje.exe
  C:\Windows\System32\zXQFLje.exe
  2⤵
  PID:9508
- C:\Windows\System32\gOPSTIl.exe
  C:\Windows\System32\gOPSTIl.exe
  2⤵
  PID:9540
- C:\Windows\System32\gReUxod.exe
  C:\Windows\System32\gReUxod.exe
  2⤵
  PID:9648
- C:\Windows\System32\EoZKADA.exe
  C:\Windows\System32\EoZKADA.exe
  2⤵
  PID:9684
- C:\Windows\System32\nURWRVz.exe
  C:\Windows\System32\nURWRVz.exe
  2⤵
  PID:9760
- C:\Windows\System32\iDgpNlQ.exe
  C:\Windows\System32\iDgpNlQ.exe
  2⤵
  PID:9816
- C:\Windows\System32\lFLDteq.exe
  C:\Windows\System32\lFLDteq.exe
  2⤵
  PID:9896
- C:\Windows\System32\nZalIkZ.exe
  C:\Windows\System32\nZalIkZ.exe
  2⤵
  PID:9952
- C:\Windows\System32\mvEHbPN.exe
  C:\Windows\System32\mvEHbPN.exe
  2⤵
  PID:9988
- C:\Windows\System32\PCsrZYq.exe
  C:\Windows\System32\PCsrZYq.exe
  2⤵
  PID:8752
- C:\Windows\System32\JPIhbuW.exe
  C:\Windows\System32\JPIhbuW.exe
  2⤵
  PID:10104
- C:\Windows\System32\IbCTJQw.exe
  C:\Windows\System32\IbCTJQw.exe
  2⤵
  PID:10144
- C:\Windows\System32\wFYQxPj.exe
  C:\Windows\System32\wFYQxPj.exe
  2⤵
  PID:9220
- C:\Windows\System32\XiiqwjD.exe
  C:\Windows\System32\XiiqwjD.exe
  2⤵
  PID:9360
- C:\Windows\System32\DcFiBxU.exe
  C:\Windows\System32\DcFiBxU.exe
  2⤵
  PID:9496
- C:\Windows\System32\GsJDWyG.exe
  C:\Windows\System32\GsJDWyG.exe
  2⤵
  PID:9680
- C:\Windows\System32\XsVBjWJ.exe
  C:\Windows\System32\XsVBjWJ.exe
  2⤵
  PID:9848
- C:\Windows\System32\tAAUHgq.exe
  C:\Windows\System32\tAAUHgq.exe
  2⤵
  PID:9964
- C:\Windows\System32\qXvDhyn.exe
  C:\Windows\System32\qXvDhyn.exe
  2⤵
  PID:4312
- C:\Windows\System32\BUfWUSY.exe
  C:\Windows\System32\BUfWUSY.exe
  2⤵
  PID:9256
- C:\Windows\System32\VswIPHg.exe
  C:\Windows\System32\VswIPHg.exe
  2⤵
  PID:9620
- C:\Windows\System32\eoIiEXT.exe
  C:\Windows\System32\eoIiEXT.exe
  2⤵
  PID:9936
- C:\Windows\System32\bbybyMj.exe
  C:\Windows\System32\bbybyMj.exe
  2⤵
  PID:9536
- C:\Windows\System32\ERcuIlB.exe
  C:\Windows\System32\ERcuIlB.exe
  2⤵
  PID:2248
- C:\Windows\System32\qshKcNT.exe
  C:\Windows\System32\qshKcNT.exe
  2⤵
  PID:10132
- C:\Windows\System32\VmRSSLz.exe
  C:\Windows\System32\VmRSSLz.exe
  2⤵
  PID:10100
- C:\Windows\System32\CmVFgdg.exe
  C:\Windows\System32\CmVFgdg.exe
  2⤵
  PID:10244
- C:\Windows\System32\xDLZxFX.exe
  C:\Windows\System32\xDLZxFX.exe
  2⤵
  PID:10276
- C:\Windows\System32\JuQTqJt.exe
  C:\Windows\System32\JuQTqJt.exe
  2⤵
  PID:10312
- C:\Windows\System32\WnAUvzJ.exe
  C:\Windows\System32\WnAUvzJ.exe
  2⤵
  PID:10332
- C:\Windows\System32\nbhRvoO.exe
  C:\Windows\System32\nbhRvoO.exe
  2⤵
  PID:10356
- C:\Windows\System32\kpRrRRz.exe
  C:\Windows\System32\kpRrRRz.exe
  2⤵
  PID:10400
- C:\Windows\System32\yOTCnWb.exe
  C:\Windows\System32\yOTCnWb.exe
  2⤵
  PID:10424
- C:\Windows\System32\yyqDRIy.exe
  C:\Windows\System32\yyqDRIy.exe
  2⤵
  PID:10452
- C:\Windows\System32\KRdRGsG.exe
  C:\Windows\System32\KRdRGsG.exe
  2⤵
  PID:10468
- C:\Windows\System32\EgGqcnc.exe
  C:\Windows\System32\EgGqcnc.exe
  2⤵
  PID:10496
- C:\Windows\System32\fatAlbC.exe
  C:\Windows\System32\fatAlbC.exe
  2⤵
  PID:10536
- C:\Windows\System32\qBBlLEI.exe
  C:\Windows\System32\qBBlLEI.exe
  2⤵
  PID:10564
- C:\Windows\System32\sFdjGly.exe
  C:\Windows\System32\sFdjGly.exe
  2⤵
  PID:10592
- C:\Windows\System32\CDtuAzZ.exe
  C:\Windows\System32\CDtuAzZ.exe
  2⤵
  PID:10620
- C:\Windows\System32\JVysfQp.exe
  C:\Windows\System32\JVysfQp.exe
  2⤵
  PID:10648
- C:\Windows\System32\wHTBGcQ.exe
  C:\Windows\System32\wHTBGcQ.exe
  2⤵
  PID:10680
- C:\Windows\System32\hsIBErb.exe
  C:\Windows\System32\hsIBErb.exe
  2⤵
  PID:10704
- C:\Windows\System32\bdcYDAF.exe
  C:\Windows\System32\bdcYDAF.exe
  2⤵
  PID:10736
- C:\Windows\System32\ParKTIf.exe
  C:\Windows\System32\ParKTIf.exe
  2⤵
  PID:10772
- C:\Windows\System32\rdgDfPC.exe
  C:\Windows\System32\rdgDfPC.exe
  2⤵
  PID:10800
- C:\Windows\System32\fccZqGt.exe
  C:\Windows\System32\fccZqGt.exe
  2⤵
  PID:10824
- C:\Windows\System32\xxYNvdE.exe
  C:\Windows\System32\xxYNvdE.exe
  2⤵
  PID:10860
- C:\Windows\System32\Meocboa.exe
  C:\Windows\System32\Meocboa.exe
  2⤵
  PID:10888
- C:\Windows\System32\wnXUCgo.exe
  C:\Windows\System32\wnXUCgo.exe
  2⤵
  PID:10916
- C:\Windows\System32\gkpMggE.exe
  C:\Windows\System32\gkpMggE.exe
  2⤵
  PID:10944
- C:\Windows\System32\GDMCvgE.exe
  C:\Windows\System32\GDMCvgE.exe
  2⤵
  PID:10972
- C:\Windows\System32\XpasCuC.exe
  C:\Windows\System32\XpasCuC.exe
  2⤵
  PID:11000
- C:\Windows\System32\GBoPcdX.exe
  C:\Windows\System32\GBoPcdX.exe
  2⤵
  PID:11028
- C:\Windows\System32\pjNXxPg.exe
  C:\Windows\System32\pjNXxPg.exe
  2⤵
  PID:11056
- C:\Windows\System32\jPsyalO.exe
  C:\Windows\System32\jPsyalO.exe
  2⤵
  PID:11084
- C:\Windows\System32\nPIYNov.exe
  C:\Windows\System32\nPIYNov.exe
  2⤵
  PID:11120
- C:\Windows\System32\njUjXUp.exe
  C:\Windows\System32\njUjXUp.exe
  2⤵
  PID:11148
- C:\Windows\System32\JRZKKiE.exe
  C:\Windows\System32\JRZKKiE.exe
  2⤵
  PID:11176
- C:\Windows\System32\opSGRDq.exe
  C:\Windows\System32\opSGRDq.exe
  2⤵
  PID:11204
- C:\Windows\System32\TTrbyTu.exe
  C:\Windows\System32\TTrbyTu.exe
  2⤵
  PID:11232
- C:\Windows\System32\XBHawPi.exe
  C:\Windows\System32\XBHawPi.exe
  2⤵
  PID:11260
- C:\Windows\System32\oKjrThm.exe
  C:\Windows\System32\oKjrThm.exe
  2⤵
  PID:10304
- C:\Windows\System32\oAyhdry.exe
  C:\Windows\System32\oAyhdry.exe
  2⤵
  PID:10380
- C:\Windows\System32\GbrpZlC.exe
  C:\Windows\System32\GbrpZlC.exe
  2⤵
  PID:10448
- C:\Windows\System32\yuBkTXd.exe
  C:\Windows\System32\yuBkTXd.exe
  2⤵
  PID:10516
- C:\Windows\System32\ODaRxbm.exe
  C:\Windows\System32\ODaRxbm.exe
  2⤵
  PID:10576
- C:\Windows\System32\vZlXfTB.exe
  C:\Windows\System32\vZlXfTB.exe
  2⤵
  PID:10656
- C:\Windows\System32\sDuqpqr.exe
  C:\Windows\System32\sDuqpqr.exe
  2⤵
  PID:10700
- C:\Windows\System32\wMkGGdn.exe
  C:\Windows\System32\wMkGGdn.exe
  2⤵
  PID:10784
- C:\Windows\System32\DkURZkT.exe
  C:\Windows\System32\DkURZkT.exe
  2⤵
  PID:10852
- C:\Windows\System32\ixoABpI.exe
  C:\Windows\System32\ixoABpI.exe
  2⤵
  PID:10912
- C:\Windows\System32\mnacxKI.exe
  C:\Windows\System32\mnacxKI.exe
  2⤵
  PID:10984
- C:\Windows\System32\nABhBuV.exe
  C:\Windows\System32\nABhBuV.exe
  2⤵
  PID:11052
- C:\Windows\System32\DyGKOrS.exe
  C:\Windows\System32\DyGKOrS.exe
  2⤵
  PID:11132
- C:\Windows\System32\aUDfWRf.exe
  C:\Windows\System32\aUDfWRf.exe
  2⤵
  PID:11196
- C:\Windows\System32\mPEEntO.exe
  C:\Windows\System32\mPEEntO.exe
  2⤵
  PID:11256
- C:\Windows\System32\gwzXqZE.exe
  C:\Windows\System32\gwzXqZE.exe
  2⤵
  PID:10436
- C:\Windows\System32\wJdYIWE.exe
  C:\Windows\System32\wJdYIWE.exe
  2⤵
  PID:10632
- C:\Windows\System32\ijHNjnB.exe
  C:\Windows\System32\ijHNjnB.exe
  2⤵
  PID:10764
- C:\Windows\System32\LbPkjhE.exe
  C:\Windows\System32\LbPkjhE.exe
  2⤵
  PID:10940
- C:\Windows\System32\QsFKmJl.exe
  C:\Windows\System32\QsFKmJl.exe
  2⤵
  PID:1924
- C:\Windows\System32\BdpojYr.exe
  C:\Windows\System32\BdpojYr.exe
  2⤵
  PID:11188
- C:\Windows\System32\UmtOojM.exe
  C:\Windows\System32\UmtOojM.exe
  2⤵
  PID:10492
- C:\Windows\System32\nUIygYH.exe
  C:\Windows\System32\nUIygYH.exe
  2⤵
  PID:10900
- C:\Windows\System32\BkFbrpI.exe
  C:\Windows\System32\BkFbrpI.exe
  2⤵
  PID:11164
- C:\Windows\System32\efYHSly.exe
  C:\Windows\System32\efYHSly.exe
  2⤵
  PID:10884
- C:\Windows\System32\RLxrkOU.exe
  C:\Windows\System32\RLxrkOU.exe
  2⤵
  PID:11112
- C:\Windows\System32\BIbUxqC.exe
  C:\Windows\System32\BIbUxqC.exe
  2⤵
  PID:11284
- C:\Windows\System32\pysaEVh.exe
  C:\Windows\System32\pysaEVh.exe
  2⤵
  PID:11312
- C:\Windows\System32\QMdqPsC.exe
  C:\Windows\System32\QMdqPsC.exe
  2⤵
  PID:11352
- C:\Windows\System32\GTerJMR.exe
  C:\Windows\System32\GTerJMR.exe
  2⤵
  PID:11380
- C:\Windows\System32\NaPBmHA.exe
  C:\Windows\System32\NaPBmHA.exe
  2⤵
  PID:11412
- C:\Windows\System32\SQVlEOb.exe
  C:\Windows\System32\SQVlEOb.exe
  2⤵
  PID:11444
- C:\Windows\System32\SDkHWjK.exe
  C:\Windows\System32\SDkHWjK.exe
  2⤵
  PID:11476
- C:\Windows\System32\vuMsaPr.exe
  C:\Windows\System32\vuMsaPr.exe
  2⤵
  PID:11504
- C:\Windows\System32\KbiCsZc.exe
  C:\Windows\System32\KbiCsZc.exe
  2⤵
  PID:11532
- C:\Windows\System32\dqsxoIM.exe
  C:\Windows\System32\dqsxoIM.exe
  2⤵
  PID:11560
- C:\Windows\System32\QOTxHKX.exe
  C:\Windows\System32\QOTxHKX.exe
  2⤵
  PID:11588
- C:\Windows\System32\ybQRPWU.exe
  C:\Windows\System32\ybQRPWU.exe
  2⤵
  PID:11616
- C:\Windows\System32\ZoEMxkS.exe
  C:\Windows\System32\ZoEMxkS.exe
  2⤵
  PID:11644
- C:\Windows\System32\TLKHsCJ.exe
  C:\Windows\System32\TLKHsCJ.exe
  2⤵
  PID:11676
- C:\Windows\System32\YkFNsvs.exe
  C:\Windows\System32\YkFNsvs.exe
  2⤵
  PID:11704
- C:\Windows\System32\HwUfsay.exe
  C:\Windows\System32\HwUfsay.exe
  2⤵
  PID:11736
- C:\Windows\System32\xjKYxFm.exe
  C:\Windows\System32\xjKYxFm.exe
  2⤵
  PID:11764
- C:\Windows\System32\LHatPqK.exe
  C:\Windows\System32\LHatPqK.exe
  2⤵
  PID:11792
- C:\Windows\System32\xkvwJpk.exe
  C:\Windows\System32\xkvwJpk.exe
  2⤵
  PID:11820
- C:\Windows\System32\fdAninE.exe
  C:\Windows\System32\fdAninE.exe
  2⤵
  PID:11848
- C:\Windows\System32\ndArkEo.exe
  C:\Windows\System32\ndArkEo.exe
  2⤵
  PID:11876
- C:\Windows\System32\hqMMatr.exe
  C:\Windows\System32\hqMMatr.exe
  2⤵
  PID:11904
- C:\Windows\System32\cDZlyVA.exe
  C:\Windows\System32\cDZlyVA.exe
  2⤵
  PID:11932
- C:\Windows\System32\qmJuJGb.exe
  C:\Windows\System32\qmJuJGb.exe
  2⤵
  PID:11960
- C:\Windows\System32\tRvkSUf.exe
  C:\Windows\System32\tRvkSUf.exe
  2⤵
  PID:11992
- C:\Windows\System32\lucqTyF.exe
  C:\Windows\System32\lucqTyF.exe
  2⤵
  PID:12020
- C:\Windows\System32\jCaQXSA.exe
  C:\Windows\System32\jCaQXSA.exe
  2⤵
  PID:12048
- C:\Windows\System32\AswIHsD.exe
  C:\Windows\System32\AswIHsD.exe
  2⤵
  PID:12092
- C:\Windows\System32\GvEBUKZ.exe
  C:\Windows\System32\GvEBUKZ.exe
  2⤵
  PID:12108
- C:\Windows\System32\PqmBdJa.exe
  C:\Windows\System32\PqmBdJa.exe
  2⤵
  PID:12136
- C:\Windows\System32\JXOzOdA.exe
  C:\Windows\System32\JXOzOdA.exe
  2⤵
  PID:12164
- C:\Windows\System32\atyEpMf.exe
  C:\Windows\System32\atyEpMf.exe
  2⤵
  PID:12192
- C:\Windows\System32\xJAdWMN.exe
  C:\Windows\System32\xJAdWMN.exe
  2⤵
  PID:12220
- C:\Windows\System32\PhtaVeu.exe
  C:\Windows\System32\PhtaVeu.exe
  2⤵
  PID:12248
- C:\Windows\System32\tphgwvo.exe
  C:\Windows\System32\tphgwvo.exe
  2⤵
  PID:12276
- C:\Windows\System32\SFyJfzh.exe
  C:\Windows\System32\SFyJfzh.exe
  2⤵
  PID:11304
- C:\Windows\System32\hXTyWnv.exe
  C:\Windows\System32\hXTyWnv.exe
  2⤵
  PID:11376
- C:\Windows\System32\bUrdLOP.exe
  C:\Windows\System32\bUrdLOP.exe
  2⤵
  PID:11460
- C:\Windows\System32\rAUjmne.exe
  C:\Windows\System32\rAUjmne.exe
  2⤵
  PID:11496
- C:\Windows\System32\AAXyjhf.exe
  C:\Windows\System32\AAXyjhf.exe
  2⤵
  PID:11556
- C:\Windows\System32\LsruHlM.exe
  C:\Windows\System32\LsruHlM.exe
  2⤵
  PID:11628
- C:\Windows\System32\avXDUAH.exe
  C:\Windows\System32\avXDUAH.exe
  2⤵
  PID:11688
- C:\Windows\System32\QXHAwqD.exe
  C:\Windows\System32\QXHAwqD.exe
  2⤵
  PID:11756
- C:\Windows\System32\wuwBPBt.exe
  C:\Windows\System32\wuwBPBt.exe
  2⤵
  PID:11812
- C:\Windows\System32\KEAeCgv.exe
  C:\Windows\System32\KEAeCgv.exe
  2⤵
  PID:11896
- C:\Windows\System32\Yfqlftq.exe
  C:\Windows\System32\Yfqlftq.exe
  2⤵
  PID:11988
- C:\Windows\System32\hDQAJLa.exe
  C:\Windows\System32\hDQAJLa.exe
  2⤵
  PID:12040
- C:\Windows\System32\ZfTPVyX.exe
  C:\Windows\System32\ZfTPVyX.exe
  2⤵
  PID:12104
- C:\Windows\System32\ZHALnys.exe
  C:\Windows\System32\ZHALnys.exe
  2⤵
  PID:11396
- C:\Windows\System32\BiSobbO.exe
  C:\Windows\System32\BiSobbO.exe
  2⤵
  PID:11280
- C:\Windows\System32\heOqKPe.exe
  C:\Windows\System32\heOqKPe.exe
  2⤵
  PID:3904
- C:\Windows\System32\IdjPsBX.exe
  C:\Windows\System32\IdjPsBX.exe
  2⤵
  PID:11668
- C:\Windows\System32\RLSrTjh.exe
  C:\Windows\System32\RLSrTjh.exe
  2⤵
  PID:11872
- C:\Windows\System32\hsiYzvQ.exe
  C:\Windows\System32\hsiYzvQ.exe
  2⤵
  PID:11724
- C:\Windows\System32\vazfxJK.exe
  C:\Windows\System32\vazfxJK.exe
  2⤵
  PID:12068
- C:\Windows\System32\bwXCHIB.exe
  C:\Windows\System32\bwXCHIB.exe
  2⤵
  PID:11372
- C:\Windows\System32\iXSofuK.exe
  C:\Windows\System32\iXSofuK.exe
  2⤵
  PID:11732
- C:\Windows\System32\abuEBsH.exe
  C:\Windows\System32\abuEBsH.exe
  2⤵
  PID:12016
- C:\Windows\System32\JiRIMSr.exe
  C:\Windows\System32\JiRIMSr.exe
  2⤵
  PID:11608
- C:\Windows\System32\qKSehmK.exe
  C:\Windows\System32\qKSehmK.exe
  2⤵
  PID:11524
- C:\Windows\System32\HxVWwFq.exe
  C:\Windows\System32\HxVWwFq.exe
  2⤵
  PID:988
- C:\Windows\System32\UDIifLl.exe
  C:\Windows\System32\UDIifLl.exe
  2⤵
  PID:12208
- C:\Windows\System32\fXFbmkW.exe
  C:\Windows\System32\fXFbmkW.exe
  2⤵
  PID:12308
- C:\Windows\System32\DrgjCbn.exe
  C:\Windows\System32\DrgjCbn.exe
  2⤵
  PID:12348
- C:\Windows\System32\WQhbzNK.exe
  C:\Windows\System32\WQhbzNK.exe
  2⤵
  PID:12376
- C:\Windows\System32\ceeDmWU.exe
  C:\Windows\System32\ceeDmWU.exe
  2⤵
  PID:12404
- C:\Windows\System32\qYqeNDn.exe
  C:\Windows\System32\qYqeNDn.exe
  2⤵
  PID:12436
- C:\Windows\System32\pzdLJJF.exe
  C:\Windows\System32\pzdLJJF.exe
  2⤵
  PID:12460
- C:\Windows\System32\dPwKRxn.exe
  C:\Windows\System32\dPwKRxn.exe
  2⤵
  PID:12500
- C:\Windows\System32\HSYcZhs.exe
  C:\Windows\System32\HSYcZhs.exe
  2⤵
  PID:12528
- C:\Windows\System32\dcPjBgc.exe
  C:\Windows\System32\dcPjBgc.exe
  2⤵
  PID:12556
- C:\Windows\System32\ctQPOVI.exe
  C:\Windows\System32\ctQPOVI.exe
  2⤵
  PID:12580
- C:\Windows\System32\EjygwSq.exe
  C:\Windows\System32\EjygwSq.exe
  2⤵
  PID:12612
- C:\Windows\System32\arSRDPz.exe
  C:\Windows\System32\arSRDPz.exe
  2⤵
  PID:12640
- C:\Windows\System32\HJvlwRA.exe
  C:\Windows\System32\HJvlwRA.exe
  2⤵
  PID:12660
- C:\Windows\System32\uiVyaMP.exe
  C:\Windows\System32\uiVyaMP.exe
  2⤵
  PID:12680
- C:\Windows\System32\UQaoYOG.exe
  C:\Windows\System32\UQaoYOG.exe
  2⤵
  PID:12724
- C:\Windows\System32\RvUULfi.exe
  C:\Windows\System32\RvUULfi.exe
  2⤵
  PID:12744
- C:\Windows\System32\LXBRWQn.exe
  C:\Windows\System32\LXBRWQn.exe
  2⤵
  PID:12784
- C:\Windows\System32\xrofbdm.exe
  C:\Windows\System32\xrofbdm.exe
  2⤵
  PID:12812
- C:\Windows\System32\LxtBjRx.exe
  C:\Windows\System32\LxtBjRx.exe
  2⤵
  PID:12840
- C:\Windows\System32\hrEvtVa.exe
  C:\Windows\System32\hrEvtVa.exe
  2⤵
  PID:12868
- C:\Windows\System32\SNnixMm.exe
  C:\Windows\System32\SNnixMm.exe
  2⤵
  PID:12908
- C:\Windows\System32\BWUkuTh.exe
  C:\Windows\System32\BWUkuTh.exe
  2⤵
  PID:12932
- C:\Windows\System32\QSuAMIt.exe
  C:\Windows\System32\QSuAMIt.exe
  2⤵
  PID:12960
- C:\Windows\System32\uttcITr.exe
  C:\Windows\System32\uttcITr.exe
  2⤵
  PID:12988
- C:\Windows\System32\PmSPTfN.exe
  C:\Windows\System32\PmSPTfN.exe
  2⤵
  PID:13016
- C:\Windows\System32\XCgnDbW.exe
  C:\Windows\System32\XCgnDbW.exe
  2⤵
  PID:13044
- C:\Windows\System32\ZFtxhrh.exe
  C:\Windows\System32\ZFtxhrh.exe
  2⤵
  PID:13080
- C:\Windows\System32\kuFRQSf.exe
  C:\Windows\System32\kuFRQSf.exe
  2⤵
  PID:13108
- C:\Windows\System32\bRdghsH.exe
  C:\Windows\System32\bRdghsH.exe
  2⤵
  PID:13160
- C:\Windows\System32\RqTEQuE.exe
  C:\Windows\System32\RqTEQuE.exe
  2⤵
  PID:13188
- C:\Windows\System32\ysgBBbE.exe
  C:\Windows\System32\ysgBBbE.exe
  2⤵
  PID:13208
- C:\Windows\System32\pyamphF.exe
  C:\Windows\System32\pyamphF.exe
  2⤵
  PID:13232
- C:\Windows\System32\HoHopNZ.exe
  C:\Windows\System32\HoHopNZ.exe
  2⤵
  PID:13264
- C:\Windows\System32\SCWSPkz.exe
  C:\Windows\System32\SCWSPkz.exe
  2⤵
  PID:13288
- C:\Windows\System32\eHfCYOZ.exe
  C:\Windows\System32\eHfCYOZ.exe
  2⤵
  PID:13304
- C:\Windows\System32\ZPlWUus.exe
  C:\Windows\System32\ZPlWUus.exe
  2⤵
  PID:12388
- C:\Windows\System32\mKjGxbP.exe
  C:\Windows\System32\mKjGxbP.exe
  2⤵
  PID:12456
- C:\Windows\System32\elwtRBJ.exe
  C:\Windows\System32\elwtRBJ.exe
  2⤵
  PID:12488
- C:\Windows\System32\IqNgMAo.exe
  C:\Windows\System32\IqNgMAo.exe
  2⤵
  PID:12596
- C:\Windows\System32\QGdcNtU.exe
  C:\Windows\System32\QGdcNtU.exe
  2⤵
  PID:12652
- C:\Windows\System32\sbpdqPP.exe
  C:\Windows\System32\sbpdqPP.exe
  2⤵
  PID:12716
- C:\Windows\System32\AuuJUbX.exe
  C:\Windows\System32\AuuJUbX.exe
  2⤵
  PID:12780
- C:\Windows\System32\mtGcnzT.exe
  C:\Windows\System32\mtGcnzT.exe
  2⤵
  PID:12832
- C:\Windows\System32\dHEriMT.exe
  C:\Windows\System32\dHEriMT.exe
  2⤵
  PID:12876
- C:\Windows\System32\DJyHKtM.exe
  C:\Windows\System32\DJyHKtM.exe
  2⤵
  PID:12148

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:12944

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\AlFPVOr.exe

Filesize
2.8MB

MD5
f91cab9b3718c1892a4a0c0c5cd4b69e

SHA1
3f6bf87bc74b261d2ef17716bd88bc67346e07aa

SHA256
624d2bb2c9e2a8322d5c0af853ca2ed3b056704fce7594b2d288b5f72cf830a4

SHA512
bd1ffa226bf22b369cb5b983c9913d460e4fb810e4d17cf1154766cc3d260916e4128a90a64c8cf8b51b5c178dccbcf8a5b2b6783adb8d52061659e2daadb1f0

Download Submit
C:\Windows\System32\BweYljZ.exe

Filesize
2.8MB

MD5
2b0f28158cf04831ab6a7e4993aa3966

SHA1
96ab9f9488173840f7eb9b8acfcf70fe75e24d16

SHA256
3968bdb826aa1a61ca43fcb1a78a18e3446f9a6413d0395f4eaefe71253b88fc

SHA512
31bb76496fa4fac9aa61a539500d6a2d2c7a9a6255a816b0d812d60b880b426935cd0201555120eeb8f2dd3803c2733838a7a389933b8a5ff27bfbc95926d7ba

Download Submit
C:\Windows\System32\EpvSZin.exe

Filesize
2.8MB

MD5
c86e0b22b1a271d09dff051beaf91902

SHA1
c3dcbd81e635dbd25b975d749edc16912835cb89

SHA256
455d5ff6d5db3cf4c5c86ed0160e9cbd851ef643e096c78eef5f7b34082d5ae8

SHA512
e4faae0b7ac13f9627a3211bf16e1929efe530061a2c71f74bd0e601bd30b204ba705947342babc7df450319ff7db59e1476aa32c720bc3a1b0edab22b3c7354

Download Submit
C:\Windows\System32\FecxhBD.exe

Filesize
2.8MB

MD5
0c2830ea33cad3e31721a6055c173c9f

SHA1
8ddae8011221b6692e3b13b833e0ce47ec79798e

SHA256
98b9f0d26e5f48aef40dadb481c0679137ebd8be82f432e343c8d054573c64e9

SHA512
93d7e113ceab72e55a5683cfee06ed841be4b2ebcef680a44d8d5788cf70830a96cfb9c7037d17118f5fe57ad6d2e3ae5be626b00a504d238088a560e7b210cf

Download Submit
C:\Windows\System32\Hoyquzc.exe

Filesize
2.8MB

MD5
2470b14649d7d1b9e68a02836be47af5

SHA1
65d197a14e832ab58052377b2056078c56f64d1f

SHA256
d1c1bf2d0f65fab74007e175a5e0e6efe4879623f4d88490f41fcfabf214ec01

SHA512
38100f2d3c3f1485bdb9293f03651b668911f4d06f57962df5714f280abd7bbc0e7391d38051f5851ab4f03cf366949af7ce7edbd26f075e8e6a6462bd523419

Download Submit
C:\Windows\System32\Hqilkwb.exe

Filesize
2.8MB

MD5
27efe386795f06e257a6c9066f093a95

SHA1
fbd24bcb096bb49df94e527c3fe38f5dd789a7a2

SHA256
cf946649e4faa00bbcf6993d8ea2b2797f9672228dd597492d8406a9f6ce6387

SHA512
638575d9a3d614c1f7596c8f217a148be5acc39b0557c270a3fd2b9ce935956fb2257992f62ff5b4f049c0536b0a22c79237a22c7b3067425a3ddf289522fedb

Download Submit
C:\Windows\System32\Iboglqv.exe

Filesize
2.8MB

MD5
6b01185628d87e98680fa130f4f43f8f

SHA1
45eb11fa663999443d98e46f18895ef8ce27146c

SHA256
88afbee7e5e15909b6abdbfd14bb65174c1236d39a349f11aca72b4bc18c33ab

SHA512
e44fb94f9d220ffadf9133938fafa301777e13d21ffc7c233caa8db698f69165e7d8f8c84e851b238138aa132a26087f6fe0ee402bd575925e740bfc49201520

Download Submit
C:\Windows\System32\IimmITJ.exe

Filesize
2.8MB

MD5
056a47546c05e79b1997e96ba8b2331b

SHA1
fe7e7a88aaa40aa7a6f76565f36ed9748ada3913

SHA256
cf764784a5fe47d290c8d8d6a1566fb4491b850c48a9c683e189cde306540b65

SHA512
11e838acb19b93952743fd19ca810e07fda19f198dcb2b246c34264f3173196027cd64824f76639680257ee8f2e53dcb4639ae341d6b93331deb6c40c6e12ebe

Download Submit
C:\Windows\System32\MEhcdLb.exe

Filesize
2.8MB

MD5
227546e0c32437c0da8197b39d7b0db4

SHA1
3eb512c4de17dcc390bb2d51e7a64a1724c0b049

SHA256
abc1fb90d2cb77f642a8c31d7a31720daf9406657924dfe82512948628e2c692

SHA512
fba126cbd7dc2297e76fb070e92306402f1bc2a07195e28b33dfa63615c31717240cb77190300458ae3cfd4f55be2bc957148f10051e1b41d2473ec748e5ee9e

Download Submit
C:\Windows\System32\NExNeCh.exe

Filesize
2.8MB

MD5
12705d66910d709500f12558bf212029

SHA1
8fa3295ef4fb5b641d60d1d9482dd838a934aba7

SHA256
c20d9760f138e5b4a304517ceb928a285a946073277e0d79f00fa78c3c74fd4c

SHA512
b8dc0dc2a3ab00697256a4fdf90a5863fcf60e7bf310dc3416f42b91ec7ab1ac28c03949afa6ca384a1f85a7e5cffeeba852105e280a8e9b666650e36416f9a9

Download Submit
C:\Windows\System32\OXHzZxO.exe

Filesize
2.8MB

MD5
f5809ae53a2478109d82aea4f736e4f7

SHA1
cc3aff44a493bd7ad4c24c7e08e4a5ac51d8c710

SHA256
45482c8a08f8fcada5983507fe3a9731fdeac8a6819041bee0087b268d858b99

SHA512
c68cf997a953b939f1c243e10d92ecd82e7d89f9e277d1ce04c9f43ca174a77ca84c021c549ea8f51e0380bc535dd7b41c9bd587ef854fae6d08ba98b44c9b7b

Download Submit
C:\Windows\System32\QfTHJwo.exe

Filesize
2.8MB

MD5
36427f2d90c427ec674141affee55c08

SHA1
ed0b03b80a7331678ca47da018c31852fcdcf352

SHA256
64e183e0946a9512c942a4c001aaf35852601dc5a2c787465136a9a45e0192fd

SHA512
31cb8e9c7750170d71d61875f4376c89e99c8362141e90c8d902a2130cd96d6048ed5e45aa4b0e360d1715952eec0e067036ad5c51f92eea0564ff146fb11b6c

Download Submit
C:\Windows\System32\RJxIoAt.exe

Filesize
2.8MB

MD5
9729781e53595c28ed74b5090b5bc425

SHA1
027e62df1f1dd07a34b35f11b3b419e69c027ae6

SHA256
64c3266a6772aa0d5cb39dc5c56fdd7b1d7929548ef71c23e6a24e2ca9cb1fce

SHA512
5b42d5e174271f3a2a4a65ffc24d1bbf82e7fbe1b885abe538c3aa5e09655e3fba3b7051527942503bc81dcac63a0c143549b6b0e54077b658662af7626e410c

Download Submit
C:\Windows\System32\TKIgzVO.exe

Filesize
2.8MB

MD5
21bf1990e3af0a602ab73c0541a40ab0

SHA1
ab6e4ea5a31169981052ccf9886dbba5eb8df165

SHA256
1292b28c0cf43aec6e21d69f011f25fea0ca9f06b23205583575584e2754c754

SHA512
c68af81538f3601f4cec871a3132260983f6c5fa161dc9d1bb7f44697c32f06c23706d108c6d170f63520ef6dee36fa4ee68328a583b8bff9bf6f5edd139d934

Download Submit
C:\Windows\System32\WaefrOi.exe

Filesize
2.8MB

MD5
4619b0eba35cb7fc5f6d9fdb45622e4c

SHA1
25f3ddb0b44f497bda58c87b80fca5c986550023

SHA256
647ca900b2e0b2177f87022db62f4342d6a5c4fef8293b2efdfbbb71fc78554e

SHA512
571a89f8a788b62298b5a21a4cb81c8b2374becd151fe5eb0e25463111f481d0a6e6dadf829de69fde20ee8d10bd9b83aa9f74ad88ad8339b3dd4c69793dcb31

Download Submit
C:\Windows\System32\WawIemj.exe

Filesize
2.8MB

MD5
16fc372873c8399a6f4540dd739a1334

SHA1
bafa6da2bc0fbd3049bd6952d3968324a03ff7fd

SHA256
cc8dd0a08922c870f9dc58e81f5e1f6e204542ac4b5fce0ad1396a9c8a3f454b

SHA512
8ffca1b6ec3921c60cf23c8de64610f83501c195c1a35c20d3e023ec02df257ca1666b89aa96e5937313f9e2bba1d428172f873856da26cd8dac20996d0ed6d3

Download Submit
C:\Windows\System32\ZxbDCSA.exe

Filesize
2.8MB

MD5
274e10569a663e41647bf08d1dfc7fb2

SHA1
9748d37aba338455705d9c72c0c7cb3545512bf0

SHA256
a836fc57eb52d61c8223dae6a741dabd6739a77d2b7a40376167d7878ac8ea3d

SHA512
2de539aa58343c6eb1fa14ee2892e1573d92f67ddca334d70c6f48a9f84857c808cb548a8db3c46e2691091e12637af32141b0392d8838ae0f1a8dce122c56a2

Download Submit
C:\Windows\System32\aEINXJE.exe

Filesize
2.8MB

MD5
97516a4d598dafc25294d0ecc7ae65b4

SHA1
24b5517925117a9b3636a9cf5ca9ec531c678a65

SHA256
f94de875fbb6eab00d63dd29e2f583315d94ac5f67c8654dcb44f489ba9f887f

SHA512
605fd1056897e755e10a2c7d35952e9317c4a64c31ad4d406bd354c7095be9d6dc7408afc6ef989d89e92ec609a1d67d65b251c8a13a21bab3aae978643d0c2f

Download Submit
C:\Windows\System32\bUWResU.exe

Filesize
2.8MB

MD5
3a7c0ecbe9b6ea9c6e5d64499d5831a5

SHA1
65a73e6d18da7ca7413b893ff0f33d53224095e4

SHA256
d8bfb5581cf299ebe4dfa104e2250b9e1db6100badc7781609599c9eb9979b81

SHA512
525fd32fef0d519bef62e7fae3fa3470cb320f9be8b0ab7e102f55eb5fcfb2eb1ec255b81bf2ae1be7d275e06157c6d785be83f0ff0c25a16749ec4676ee0a83

Download Submit
C:\Windows\System32\feKfTWq.exe

Filesize
2.8MB

MD5
e3d643dda09bf1a0fd774d559daee24d

SHA1
bd897ae848c0f6e877fe61082554c6d5b404aebd

SHA256
7e96d0b0d91e1ddaf821892d862c20137b1b3f449d321f5840c3837b469cce84

SHA512
de00ba5b7ba9462f6932644aa1e2a73ec44656c2befd95d23c15f3d4d37519ea47a302942525dff2d37e92250d5455c95d5ccf68705ffbb89fc866811ceb7121

Download Submit
C:\Windows\System32\hhWBfGo.exe

Filesize
2.8MB

MD5
56f809ba14263dec7a4f341f4c00505e

SHA1
8dcd30986626333c7fe6ae975a8bece922c3169a

SHA256
4a199ef5bfaef8112bfcceb87d5ceb1bd731273e72ca62764be0f2ee7b698b3d

SHA512
cc53032eb9c9e4a4695f9e6fbefb3bebed4b2ac74334d49432db3da4efc009a4fdd27b8ff12a58a545a6b776dfc5797fd49bfd887142aaf869c270ddbdb26202

Download Submit
C:\Windows\System32\iFMljqG.exe

Filesize
2.8MB

MD5
7e94380b40c678de7e3050d41e198bd6

SHA1
f4ec6f680fbaa847839de7da2f55bc6df6c5b3a9

SHA256
1dd5ca977b11ba174b85774d12529c23ec7f3f9f8abc4a1940bedc3d1ba37d62

SHA512
f77763fccf28fae946a46f7993152d40735019d769ca1b0fe16dcd558e6a4497399553b3b0bd38469963eebea961abd54b4014ea5bc32205210161e66bb0f18f

Download Submit
C:\Windows\System32\ikTJxVJ.exe

Filesize
2.8MB

MD5
df6b79a84d7b6313fa09118a816253b5

SHA1
1b0b95e0d0ce223dc308408ba193ccb838fda15d

SHA256
13feeb0c4ad53563de49faae328e4e5093a97f3523295427c4b75edba65a78ad

SHA512
49f51d69285c06e298755488ddfa5b0b5fd4862401c629414761f9f40a593d5c12f428e141507b4e508d1d7e3e5fa03fc30333e9df375529f0e27cff265db087

Download Submit
C:\Windows\System32\kOPjKMw.exe

Filesize
2.8MB

MD5
a99abea422f0de5499edc379cf3a7434

SHA1
099150ec94d420ef6fdb84b28abca6d5918c84d9

SHA256
0aff8f4d5f1ac07c1c12c48f632149f41f73be01a5e169662033ea7337ac2e82

SHA512
e5c6faf64bc5148c327b007210ccba05dfa863357c2e1dc36a2fa384a6e1a75e48d6c10816557d192e1e5c74ba4652e7c4de86982f573e3806303869f818da50

Download Submit
C:\Windows\System32\mMXTUJW.exe

Filesize
2.8MB

MD5
043d7dbc7dd785da1f678fcf91c670da

SHA1
b7ff1507ee6383add3bd1de761f8fc09d0880aed

SHA256
757e7a69dc0be2588ccf5e67be60b42fcd5b3037a59aa4cc80c66216a368be56

SHA512
867427aa2f1d75f2e5ca54820fcb8cd3fbe5582d8e95ce267bf82b1dd1d12a35d4e21f804dbc2838a0a3b2d23f6173ee7758338163d87c4eee735e83b4642522

Download Submit
C:\Windows\System32\mbcbuOk.exe

Filesize
2.8MB

MD5
ada1f786dc7558ff61c17b64e01942dd

SHA1
0ab1c62a1f98ab22e7d39c407bf14a8c04059503

SHA256
a0dfa989ba7e356f2eb366210fbca6c84c71af5286fb0e79f5d99a6fbd487545

SHA512
d6d723d41f1b92a7cc869776b00f966c6146590be25df04e49d63caae078eddb677c7f8c324bafd8c3b62581585d16dbdfd8634052a94c7b60ecbc4c2cea61fd

Download Submit
C:\Windows\System32\nJUKimV.exe

Filesize
2.8MB

MD5
71e21104fa4121e32c5eaafbc0df45a7

SHA1
6f855470edc23ef1ac5b5bd256b6a0192c4c72df

SHA256
b5d216de8f0c800a42023ba6544f0e5bc2bd9526e89d2a69cde5e8ff1ffb2c4f

SHA512
8c36e70b1f59b6cd147d43ebf3e13f87854606680c95ec1425d6c90421c200bdc1ba7d7f5da8a8b4a288787b5ced9ea02ff26f2927bcc19f12b7259bd2a9b062

Download Submit
C:\Windows\System32\qoOjhph.exe

Filesize
2.8MB

MD5
150839ca6a7bc652a6ab290efe7210a2

SHA1
51cc67690645f17581f7457117340be5462789a8

SHA256
80c11ca09d2d94ef986be7db218abaff750cf7728086231bdbf0b259288c1f69

SHA512
c5769e176d0562b4d7dc4be483f6ff568d665ae85a4ac5aad68697f303570e9e68db0568f4cfb4c7731a4743b88d6d92540b2259e8d7021049e94741cf734e04

Download Submit
C:\Windows\System32\rbazSNr.exe

Filesize
2.8MB

MD5
0a51e46adddf80ae6a96efe7ae77f1c8

SHA1
4e75c0199929cb7e8c4d92c891f1446b3a113cb8

SHA256
c7d0a9b06bbdd32657ef3f89c62d2492856bc993d34e91cb47593cabd90d9cf8

SHA512
776760411779d3a2dd7f5bedf8e529e509d60b1d664bd8f3204c0efe332e048bc66dd16c88fa32ec3ecb08d5cfc64a0144a5ce671cf9f547ebe847aa3fff6b2e

Download Submit
C:\Windows\System32\tsMZRiG.exe

Filesize
2.8MB

MD5
b4f6c3b444f9db019aa90cffb88c8d61

SHA1
0aaf601cf26ab87b6e3a54822a111601894735f5

SHA256
05a3c67bf6245a59107e4026be83fe0522aa64ee358b6a64b8271fcb2a7eda34

SHA512
87c56ae76e75689bda953a7e87db26dde888d4b5d5a3c650675afefadde768707ede62df5af70e83b74837b3bcb5b9ca359357671f687e86dc5b3a2648798080

Download Submit
C:\Windows\System32\wLyleOD.exe

Filesize
2.8MB

MD5
2c89dd2f874e88469b60b678639120eb

SHA1
d2c6b061535fa295a7c6dfe5577ed25a433e7e11

SHA256
6069f87d12d3c06d6f7f3aeb3ce8b219ad7f288ffe0abae7d36c827aa6be161b

SHA512
425c19f83e97a5b86e2f380ecc9b3e7f10d3b63cdcbdeca5f82a8ff30f0d2b268452aa51e9161b4078ef6d93cd081f2354db2944dd6f6516292da4bc303dbc97

Download Submit
C:\Windows\System32\wdxkgaC.exe

Filesize
2.8MB

MD5
94e8b56d982c3a077b9e00ae5d3ee2db

SHA1
73b0500c3fcf870bafdd86ac8e057cb6b2399bd4

SHA256
b7646e9c28e8ac9c53d562403215219445690cf2d3adeab66a6e2d1eb00e3278

SHA512
ea7ac94a306324d072c29244ad0bb707290adc293d8c293c2d8d7c744f7c70e066457a842ff3d3d16981a15c24d76db390da71233a57777419154dd601c40792

Download Submit
C:\Windows\System32\zLtcmvb.exe

Filesize
2.8MB

MD5
9f472962a493ef94eb4a0d2a0b598494

SHA1
6944189e4d5a1fed36ff0e4d0f18f6314cd146fb

SHA256
b2d1fedb9dbcb8b631e9bb42b2ea13c551139bcff0496905c5220240e629d373

SHA512
05983e3f0eb1caba2b93493b04d8c36b1938d8a8d12099cfbe0469f97e9ea192fb9e8ca1be9564bce3ceceea9f551b7b3153151f9a9c6e02d6dce9431f15a25a

Download Submit
memory/676-1932-0x00007FF7B4500000-0x00007FF7B48F5000-memory.dmp

Filesize
4.0MB

Download
memory/676-808-0x00007FF7B4500000-0x00007FF7B48F5000-memory.dmp

Filesize
4.0MB

Download
memory/952-1942-0x00007FF655860000-0x00007FF655C55000-memory.dmp

Filesize
4.0MB

Download
memory/952-857-0x00007FF655860000-0x00007FF655C55000-memory.dmp

Filesize
4.0MB

Download
memory/1368-1935-0x00007FF7A4550000-0x00007FF7A4945000-memory.dmp

Filesize
4.0MB

Download
memory/1368-827-0x00007FF7A4550000-0x00007FF7A4945000-memory.dmp

Filesize
4.0MB

Download
memory/1556-0-0x00007FF68D030000-0x00007FF68D425000-memory.dmp

Filesize
4.0MB

Download
memory/1556-1-0x000001FA38270000-0x000001FA38280000-memory.dmp

Filesize
64KB

Download
memory/1556-1921-0x00007FF68D030000-0x00007FF68D425000-memory.dmp

Filesize
4.0MB

Download
memory/1556-1715-0x00007FF68D030000-0x00007FF68D425000-memory.dmp

Filesize
4.0MB

Download
memory/1616-1934-0x00007FF73FB00000-0x00007FF73FEF5000-memory.dmp

Filesize
4.0MB

Download
memory/1616-798-0x00007FF73FB00000-0x00007FF73FEF5000-memory.dmp

Filesize
4.0MB

Download
memory/1892-1922-0x00007FF6CEB90000-0x00007FF6CEF85000-memory.dmp

Filesize
4.0MB

Download
memory/1892-8-0x00007FF6CEB90000-0x00007FF6CEF85000-memory.dmp

Filesize
4.0MB

Download
memory/2096-839-0x00007FF7439B0000-0x00007FF743DA5000-memory.dmp

Filesize
4.0MB

Download
memory/2096-1939-0x00007FF7439B0000-0x00007FF743DA5000-memory.dmp

Filesize
4.0MB

Download
memory/2148-1931-0x00007FF67EF10000-0x00007FF67F305000-memory.dmp

Filesize
4.0MB

Download
memory/2148-810-0x00007FF67EF10000-0x00007FF67F305000-memory.dmp

Filesize
4.0MB

Download
memory/2284-850-0x00007FF67BC30000-0x00007FF67C025000-memory.dmp

Filesize
4.0MB

Download
memory/2284-1943-0x00007FF67BC30000-0x00007FF67C025000-memory.dmp

Filesize
4.0MB

Download
memory/2316-1929-0x00007FF6B41D0000-0x00007FF6B45C5000-memory.dmp

Filesize
4.0MB

Download
memory/2316-786-0x00007FF6B41D0000-0x00007FF6B45C5000-memory.dmp

Filesize
4.0MB

Download
memory/2348-20-0x00007FF6A2010000-0x00007FF6A2405000-memory.dmp

Filesize
4.0MB

Download
memory/2348-1923-0x00007FF6A2010000-0x00007FF6A2405000-memory.dmp

Filesize
4.0MB

Download
memory/2400-847-0x00007FF6B1670000-0x00007FF6B1A65000-memory.dmp

Filesize
4.0MB

Download
memory/2400-1938-0x00007FF6B1670000-0x00007FF6B1A65000-memory.dmp

Filesize
4.0MB

Download
memory/2668-855-0x00007FF6112A0000-0x00007FF611695000-memory.dmp

Filesize
4.0MB

Download
memory/2668-1944-0x00007FF6112A0000-0x00007FF611695000-memory.dmp

Filesize
4.0MB

Download
memory/2752-28-0x00007FF675030000-0x00007FF675425000-memory.dmp

Filesize
4.0MB

Download
memory/2752-1924-0x00007FF675030000-0x00007FF675425000-memory.dmp

Filesize
4.0MB

Download
memory/3156-817-0x00007FF6BAF40000-0x00007FF6BB335000-memory.dmp

Filesize
4.0MB

Download
memory/3156-1937-0x00007FF6BAF40000-0x00007FF6BB335000-memory.dmp

Filesize
4.0MB

Download
memory/3200-820-0x00007FF684330000-0x00007FF684725000-memory.dmp

Filesize
4.0MB

Download
memory/3200-1930-0x00007FF684330000-0x00007FF684725000-memory.dmp

Filesize
4.0MB

Download
memory/3520-34-0x00007FF65F750000-0x00007FF65FB45000-memory.dmp

Filesize
4.0MB

Download
memory/3520-1920-0x00007FF65F750000-0x00007FF65FB45000-memory.dmp

Filesize
4.0MB

Download
memory/3520-1945-0x00007FF65F750000-0x00007FF65FB45000-memory.dmp

Filesize
4.0MB

Download
memory/4012-802-0x00007FF7A5400000-0x00007FF7A57F5000-memory.dmp

Filesize
4.0MB

Download
memory/4012-1933-0x00007FF7A5400000-0x00007FF7A57F5000-memory.dmp

Filesize
4.0MB

Download
memory/4108-1927-0x00007FF6878B0000-0x00007FF687CA5000-memory.dmp

Filesize
4.0MB

Download
memory/4108-792-0x00007FF6878B0000-0x00007FF687CA5000-memory.dmp

Filesize
4.0MB

Download
memory/4516-1940-0x00007FF6805E0000-0x00007FF6809D5000-memory.dmp

Filesize
4.0MB

Download
memory/4516-843-0x00007FF6805E0000-0x00007FF6809D5000-memory.dmp

Filesize
4.0MB

Download
memory/4804-1925-0x00007FF6D3030000-0x00007FF6D3425000-memory.dmp

Filesize
4.0MB

Download
memory/4804-31-0x00007FF6D3030000-0x00007FF6D3425000-memory.dmp

Filesize
4.0MB

Download
memory/4908-1936-0x00007FF712560000-0x00007FF712955000-memory.dmp

Filesize
4.0MB

Download
memory/4908-830-0x00007FF712560000-0x00007FF712955000-memory.dmp

Filesize
4.0MB

Download
memory/4996-1941-0x00007FF6DB1B0000-0x00007FF6DB5A5000-memory.dmp

Filesize
4.0MB

Download
memory/4996-834-0x00007FF6DB1B0000-0x00007FF6DB5A5000-memory.dmp

Filesize
4.0MB

Download
memory/5016-1926-0x00007FF6410B0000-0x00007FF6414A5000-memory.dmp

Filesize
4.0MB

Download
memory/5016-32-0x00007FF6410B0000-0x00007FF6414A5000-memory.dmp

Filesize
4.0MB

Download
memory/5016-1919-0x00007FF6410B0000-0x00007FF6414A5000-memory.dmp

Filesize
4.0MB

Download
memory/5024-1928-0x00007FF61B260000-0x00007FF61B655000-memory.dmp

Filesize
4.0MB

Download
memory/5024-790-0x00007FF61B260000-0x00007FF61B655000-memory.dmp

Filesize
4.0MB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads