xmrig | 92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81

Analysis

max time kernel
149s
max time network
154s
platform
windows10-2004_x64
resource
win10v2004-20240508-en
resource tags

arch:x64arch:x86image:win10v2004-20240508-enlocale:en-usos:windows10-2004-x64system
submitted
20/05/2024, 02:36

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
Size

1.7MB
MD5

b0f2180d342dbe18856865fb21a00440
SHA1

39cad2b8ff410eabf6dda908b4f56bd6a8969f73
SHA256

92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81
SHA512

29eb78ce8731dd61c203390382f126d71872669ae9eff5e907e4412144085a2611aa52fe741dc7bf96fc0a8ee6bc80f6c566524496673fcbfa9c87bd586e3cb7
SSDEEP

24576:JanwhSe11QSONCpGJCjETPl+Me7bPMS8Ykgcdt9vvQNsUriFgvoHEsXRIQ144MzB:knw9oUUEEDl+xTMS8Tg3aIM4sYqAt

Score

10^/10

xmrig miner upx

Malware Config

Signatures

xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 51 IoCs

miner

resource	yara_rule
behavioral2/memory/2012-40-0x00007FF729020000-0x00007FF729411000-memory.dmp	xmrig
behavioral2/memory/4560-387-0x00007FF739A00000-0x00007FF739DF1000-memory.dmp	xmrig
behavioral2/memory/2488-388-0x00007FF7A0350000-0x00007FF7A0741000-memory.dmp	xmrig
behavioral2/memory/2600-389-0x00007FF62A9F0000-0x00007FF62ADE1000-memory.dmp	xmrig
behavioral2/memory/1608-390-0x00007FF62F630000-0x00007FF62FA21000-memory.dmp	xmrig
behavioral2/memory/4896-427-0x00007FF7E6F40000-0x00007FF7E7331000-memory.dmp	xmrig
behavioral2/memory/1888-439-0x00007FF771AC0000-0x00007FF771EB1000-memory.dmp	xmrig
behavioral2/memory/3864-479-0x00007FF613D30000-0x00007FF614121000-memory.dmp	xmrig
behavioral2/memory/4980-477-0x00007FF7FD1E0000-0x00007FF7FD5D1000-memory.dmp	xmrig
behavioral2/memory/704-495-0x00007FF71D430000-0x00007FF71D821000-memory.dmp	xmrig
behavioral2/memory/4744-503-0x00007FF6588F0000-0x00007FF658CE1000-memory.dmp	xmrig
behavioral2/memory/512-507-0x00007FF793C50000-0x00007FF794041000-memory.dmp	xmrig
behavioral2/memory/5060-513-0x00007FF748110000-0x00007FF748501000-memory.dmp	xmrig
behavioral2/memory/3620-512-0x00007FF6E7880000-0x00007FF6E7C71000-memory.dmp	xmrig
behavioral2/memory/2476-509-0x00007FF7B28E0000-0x00007FF7B2CD1000-memory.dmp	xmrig
behavioral2/memory/1844-488-0x00007FF689950000-0x00007FF689D41000-memory.dmp	xmrig
behavioral2/memory/1260-451-0x00007FF6AF2A0000-0x00007FF6AF691000-memory.dmp	xmrig
behavioral2/memory/4712-402-0x00007FF682D30000-0x00007FF683121000-memory.dmp	xmrig
behavioral2/memory/1604-399-0x00007FF761840000-0x00007FF761C31000-memory.dmp	xmrig
behavioral2/memory/3156-391-0x00007FF6E7060000-0x00007FF6E7451000-memory.dmp	xmrig
behavioral2/memory/4200-54-0x00007FF64A9E0000-0x00007FF64ADD1000-memory.dmp	xmrig
behavioral2/memory/1068-44-0x00007FF6693B0000-0x00007FF6697A1000-memory.dmp	xmrig
behavioral2/memory/1704-24-0x00007FF7FBFD0000-0x00007FF7FC3C1000-memory.dmp	xmrig
behavioral2/memory/1736-1980-0x00007FF684670000-0x00007FF684A61000-memory.dmp	xmrig
behavioral2/memory/4188-1981-0x00007FF658050000-0x00007FF658441000-memory.dmp	xmrig
behavioral2/memory/1704-1982-0x00007FF7FBFD0000-0x00007FF7FC3C1000-memory.dmp	xmrig
behavioral2/memory/2012-1983-0x00007FF729020000-0x00007FF729411000-memory.dmp	xmrig
behavioral2/memory/4188-2000-0x00007FF658050000-0x00007FF658441000-memory.dmp	xmrig
behavioral2/memory/1704-2002-0x00007FF7FBFD0000-0x00007FF7FC3C1000-memory.dmp	xmrig
behavioral2/memory/1068-2006-0x00007FF6693B0000-0x00007FF6697A1000-memory.dmp	xmrig
behavioral2/memory/2012-2005-0x00007FF729020000-0x00007FF729411000-memory.dmp	xmrig
behavioral2/memory/2476-2008-0x00007FF7B28E0000-0x00007FF7B2CD1000-memory.dmp	xmrig
behavioral2/memory/512-2014-0x00007FF793C50000-0x00007FF794041000-memory.dmp	xmrig
behavioral2/memory/3620-2016-0x00007FF6E7880000-0x00007FF6E7C71000-memory.dmp	xmrig
behavioral2/memory/4200-2010-0x00007FF64A9E0000-0x00007FF64ADD1000-memory.dmp	xmrig
behavioral2/memory/4560-2012-0x00007FF739A00000-0x00007FF739DF1000-memory.dmp	xmrig
behavioral2/memory/2600-2020-0x00007FF62A9F0000-0x00007FF62ADE1000-memory.dmp	xmrig
behavioral2/memory/4744-2045-0x00007FF6588F0000-0x00007FF658CE1000-memory.dmp	xmrig
behavioral2/memory/5060-2018-0x00007FF748110000-0x00007FF748501000-memory.dmp	xmrig
behavioral2/memory/3156-2036-0x00007FF6E7060000-0x00007FF6E7451000-memory.dmp	xmrig
behavioral2/memory/4712-2034-0x00007FF682D30000-0x00007FF683121000-memory.dmp	xmrig
behavioral2/memory/1608-2032-0x00007FF62F630000-0x00007FF62FA21000-memory.dmp	xmrig
behavioral2/memory/704-2030-0x00007FF71D430000-0x00007FF71D821000-memory.dmp	xmrig
behavioral2/memory/3864-2028-0x00007FF613D30000-0x00007FF614121000-memory.dmp	xmrig
behavioral2/memory/1844-2026-0x00007FF689950000-0x00007FF689D41000-memory.dmp	xmrig
behavioral2/memory/4896-2025-0x00007FF7E6F40000-0x00007FF7E7331000-memory.dmp	xmrig
behavioral2/memory/2488-2024-0x00007FF7A0350000-0x00007FF7A0741000-memory.dmp	xmrig
behavioral2/memory/1260-2042-0x00007FF6AF2A0000-0x00007FF6AF691000-memory.dmp	xmrig
behavioral2/memory/1604-2056-0x00007FF761840000-0x00007FF761C31000-memory.dmp	xmrig
behavioral2/memory/1888-2040-0x00007FF771AC0000-0x00007FF771EB1000-memory.dmp	xmrig
behavioral2/memory/4980-2038-0x00007FF7FD1E0000-0x00007FF7FD5D1000-memory.dmp	xmrig

Executes dropped EXE 64 IoCs

pid	Process
4188	CTlYZLK.exe
1704	bMSibMX.exe
2012	lujTjmn.exe
1068	HVfeAyJ.exe
4200	BAfbDLc.exe
512	dFTXVuQ.exe
2476	YewtDvT.exe
4560	IDWfUsR.exe
3620	kFsQqSE.exe
5060	XlCwBEB.exe
2488	VVUvrbj.exe
2600	YZLpqRw.exe
1608	GJSLKQO.exe
3156	sTgsYjP.exe
1604	ShSuYfb.exe
4712	hPLccQj.exe
4896	Crckfly.exe
1888	tRaLxpf.exe
1260	LcylBRO.exe
4980	qDiPiHx.exe
3864	pApOHNk.exe
1844	gJvtuDf.exe
704	cARyYAK.exe
4744	mjQfzWM.exe
3932	KRtOCoP.exe
3088	nWJhFkF.exe
2136	uupseGK.exe
2268	pMHfTRK.exe
4816	RbXwTFA.exe
1960	JZLFpXC.exe
4600	IXFrRoO.exe
2992	SPeJHBg.exe
4456	xsBKMnF.exe
3524	TSyRgNf.exe
4724	eZUBCuz.exe
4716	rgWjSvv.exe
4400	boHGhSd.exe
3336	iVdKFvh.exe
1632	RiArOcc.exe
4612	ADuUGtq.exe
3216	uhfphLI.exe
3600	ycrcMXy.exe
2256	tJHEvMP.exe
1716	KjNrbiQ.exe
1972	EuyWYhP.exe
808	UbAXCUA.exe
4464	ZWnJMXS.exe
1596	hliKMLK.exe
3540	xIrLfdX.exe
380	vaYZVLg.exe
4352	ncGHAxb.exe
2720	PuDazse.exe
2564	ghHBHGO.exe
1268	qBXtUcW.exe
5032	eGUkxrl.exe
4968	kelEzDm.exe
1900	XxpAsSr.exe
2624	ClCNJXa.exe
1572	eWQtqrW.exe
1468	WJHiMGZ.exe
2360	uIoanxS.exe
2044	iLeHSxu.exe
1080	CqsjLXK.exe
3876	gdCgFdz.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/1736-0-0x00007FF684670000-0x00007FF684A61000-memory.dmp	upx
behavioral2/files/0x000900000002340d-5.dat	upx
behavioral2/files/0x0007000000023415-7.dat	upx
behavioral2/files/0x0007000000023414-16.dat	upx
behavioral2/files/0x0007000000023417-21.dat	upx
behavioral2/files/0x0007000000023418-28.dat	upx
behavioral2/files/0x0007000000023419-33.dat	upx
behavioral2/memory/2012-40-0x00007FF729020000-0x00007FF729411000-memory.dmp	upx
behavioral2/files/0x000700000002341b-50.dat	upx
behavioral2/files/0x000700000002341f-71.dat	upx
behavioral2/files/0x0007000000023423-94.dat	upx
behavioral2/files/0x0007000000023427-114.dat	upx
behavioral2/files/0x0007000000023429-124.dat	upx
behavioral2/files/0x000700000002342f-151.dat	upx
behavioral2/files/0x0007000000023431-161.dat	upx
behavioral2/memory/4560-387-0x00007FF739A00000-0x00007FF739DF1000-memory.dmp	upx
behavioral2/memory/2488-388-0x00007FF7A0350000-0x00007FF7A0741000-memory.dmp	upx
behavioral2/memory/2600-389-0x00007FF62A9F0000-0x00007FF62ADE1000-memory.dmp	upx
behavioral2/memory/1608-390-0x00007FF62F630000-0x00007FF62FA21000-memory.dmp	upx
behavioral2/memory/4896-427-0x00007FF7E6F40000-0x00007FF7E7331000-memory.dmp	upx
behavioral2/memory/1888-439-0x00007FF771AC0000-0x00007FF771EB1000-memory.dmp	upx
behavioral2/memory/3864-479-0x00007FF613D30000-0x00007FF614121000-memory.dmp	upx
behavioral2/memory/4980-477-0x00007FF7FD1E0000-0x00007FF7FD5D1000-memory.dmp	upx
behavioral2/memory/704-495-0x00007FF71D430000-0x00007FF71D821000-memory.dmp	upx
behavioral2/memory/4744-503-0x00007FF6588F0000-0x00007FF658CE1000-memory.dmp	upx
behavioral2/memory/512-507-0x00007FF793C50000-0x00007FF794041000-memory.dmp	upx
behavioral2/memory/5060-513-0x00007FF748110000-0x00007FF748501000-memory.dmp	upx
behavioral2/memory/3620-512-0x00007FF6E7880000-0x00007FF6E7C71000-memory.dmp	upx
behavioral2/memory/2476-509-0x00007FF7B28E0000-0x00007FF7B2CD1000-memory.dmp	upx
behavioral2/memory/1844-488-0x00007FF689950000-0x00007FF689D41000-memory.dmp	upx
behavioral2/memory/1260-451-0x00007FF6AF2A0000-0x00007FF6AF691000-memory.dmp	upx
behavioral2/memory/4712-402-0x00007FF682D30000-0x00007FF683121000-memory.dmp	upx
behavioral2/memory/1604-399-0x00007FF761840000-0x00007FF761C31000-memory.dmp	upx
behavioral2/memory/3156-391-0x00007FF6E7060000-0x00007FF6E7451000-memory.dmp	upx
behavioral2/files/0x0007000000023432-166.dat	upx
behavioral2/files/0x0007000000023430-159.dat	upx
behavioral2/files/0x000700000002342e-146.dat	upx
behavioral2/files/0x000700000002342d-141.dat	upx
behavioral2/files/0x000700000002342c-136.dat	upx
behavioral2/files/0x000700000002342b-131.dat	upx
behavioral2/files/0x000700000002342a-126.dat	upx
behavioral2/files/0x0007000000023428-116.dat	upx
behavioral2/files/0x0007000000023426-107.dat	upx
behavioral2/files/0x0007000000023425-101.dat	upx
behavioral2/files/0x0007000000023424-99.dat	upx
behavioral2/files/0x0007000000023422-89.dat	upx
behavioral2/files/0x0007000000023421-84.dat	upx
behavioral2/files/0x0007000000023420-76.dat	upx
behavioral2/files/0x000700000002341e-69.dat	upx
behavioral2/files/0x000700000002341d-64.dat	upx
behavioral2/files/0x000700000002341c-59.dat	upx
behavioral2/memory/4200-54-0x00007FF64A9E0000-0x00007FF64ADD1000-memory.dmp	upx
behavioral2/files/0x000700000002341a-48.dat	upx
behavioral2/memory/1068-44-0x00007FF6693B0000-0x00007FF6697A1000-memory.dmp	upx
behavioral2/files/0x0007000000023416-27.dat	upx
behavioral2/memory/1704-24-0x00007FF7FBFD0000-0x00007FF7FC3C1000-memory.dmp	upx
behavioral2/memory/4188-13-0x00007FF658050000-0x00007FF658441000-memory.dmp	upx
behavioral2/memory/1736-1980-0x00007FF684670000-0x00007FF684A61000-memory.dmp	upx
behavioral2/memory/4188-1981-0x00007FF658050000-0x00007FF658441000-memory.dmp	upx
behavioral2/memory/1704-1982-0x00007FF7FBFD0000-0x00007FF7FC3C1000-memory.dmp	upx
behavioral2/memory/2012-1983-0x00007FF729020000-0x00007FF729411000-memory.dmp	upx
behavioral2/memory/4188-2000-0x00007FF658050000-0x00007FF658441000-memory.dmp	upx
behavioral2/memory/1704-2002-0x00007FF7FBFD0000-0x00007FF7FC3C1000-memory.dmp	upx
behavioral2/memory/1068-2006-0x00007FF6693B0000-0x00007FF6697A1000-memory.dmp	upx

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\System32\XgLvdhM.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\bDLQuCG.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\GQvjkmm.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\dvfLYJc.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\TzUojHA.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\cstdxvT.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\IPhJfHk.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\RyKPTUr.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\YfVNopN.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\JinrGhx.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\nrcKqKI.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\eWQtqrW.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\JpnyJlD.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\IRYpHnS.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\OtRgpFk.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\pMHfTRK.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\ycrcMXy.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\EXpIXgA.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\ghjPUfn.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\ZqoONsW.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\LkQOgQR.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\HVfeAyJ.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\JjIRIuN.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\PNxOaIS.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\qMTtSeB.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\wrkAKpT.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\cRHzrQN.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\ClCNJXa.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\ffEasHf.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\ClFZobz.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\RbXwTFA.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\lXKcocQ.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\BsxrcPA.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\PKnMUwD.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\KGQLsTz.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\qDiPiHx.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\DsUteow.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\qPOSQeZ.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\rnAAVDe.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\uucCoum.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\UZjUSBd.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\djfGGBq.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\xQDuHSd.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\EuyWYhP.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\hbyvGJG.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\zkHjOUu.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\dyQrQxh.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\OAdCfgz.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\yDCaOxo.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\GxWEAPi.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\Xhdagzz.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\CTlYZLK.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\lAJAIyM.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\kVIPAAA.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\tzfURsA.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\tzxdyvz.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\ZQdRpod.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\JScRTqf.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\acFsDCE.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\sRqYMmS.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\Msbkxox.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\PXFOjWI.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\upuiflu.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
File created	C:\Windows\System32\xrUnBMd.exe	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe

Checks SCSI registry key(s) 3 TTPs 6 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_DADY&PROD_HARDDISK\4&215468A5&0&000000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\ConfigFlags	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\HardwareID	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_QEMU&PROD_QEMU_DVD-ROM\4&215468A5&0&010000	dwm.exe

Enumerates system info in registry 2 TTPs 2 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe

Modifies data under HKEY_USERS 18 IoCs

description	ioc	Process
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2a\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe

Suspicious use of AdjustPrivilegeToken 6 IoCs

description	pid	Process
Token: SeCreateGlobalPrivilege	12944	dwm.exe
Token: SeChangeNotifyPrivilege	12944	dwm.exe
Token: 33	12944	dwm.exe
Token: SeIncBasePriorityPrivilege	12944	dwm.exe
Token: SeShutdownPrivilege	12944	dwm.exe
Token: SeCreatePagefilePrivilege	12944	dwm.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 1736 wrote to memory of 4188	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	84
PID 1736 wrote to memory of 4188	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	84
PID 1736 wrote to memory of 1704	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	85
PID 1736 wrote to memory of 1704	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	85
PID 1736 wrote to memory of 2012	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	86
PID 1736 wrote to memory of 2012	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	86
PID 1736 wrote to memory of 1068	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	87
PID 1736 wrote to memory of 1068	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	87
PID 1736 wrote to memory of 4200	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	88
PID 1736 wrote to memory of 4200	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	88
PID 1736 wrote to memory of 512	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	89
PID 1736 wrote to memory of 512	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	89
PID 1736 wrote to memory of 2476	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	90
PID 1736 wrote to memory of 2476	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	90
PID 1736 wrote to memory of 4560	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	91
PID 1736 wrote to memory of 4560	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	91
PID 1736 wrote to memory of 3620	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	92
PID 1736 wrote to memory of 3620	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	92
PID 1736 wrote to memory of 5060	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	93
PID 1736 wrote to memory of 5060	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	93
PID 1736 wrote to memory of 2488	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	94
PID 1736 wrote to memory of 2488	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	94
PID 1736 wrote to memory of 2600	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	95
PID 1736 wrote to memory of 2600	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	95
PID 1736 wrote to memory of 1608	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	96
PID 1736 wrote to memory of 1608	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	96
PID 1736 wrote to memory of 3156	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	97
PID 1736 wrote to memory of 3156	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	97
PID 1736 wrote to memory of 1604	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	98
PID 1736 wrote to memory of 1604	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	98
PID 1736 wrote to memory of 4712	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	99
PID 1736 wrote to memory of 4712	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	99
PID 1736 wrote to memory of 4896	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	100
PID 1736 wrote to memory of 4896	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	100
PID 1736 wrote to memory of 1888	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	101
PID 1736 wrote to memory of 1888	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	101
PID 1736 wrote to memory of 1260	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	102
PID 1736 wrote to memory of 1260	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	102
PID 1736 wrote to memory of 4980	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	103
PID 1736 wrote to memory of 4980	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	103
PID 1736 wrote to memory of 3864	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	104
PID 1736 wrote to memory of 3864	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	104
PID 1736 wrote to memory of 1844	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	105
PID 1736 wrote to memory of 1844	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	105
PID 1736 wrote to memory of 704	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	106
PID 1736 wrote to memory of 704	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	106
PID 1736 wrote to memory of 4744	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	107
PID 1736 wrote to memory of 4744	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	107
PID 1736 wrote to memory of 3932	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	108
PID 1736 wrote to memory of 3932	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	108
PID 1736 wrote to memory of 3088	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	109
PID 1736 wrote to memory of 3088	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	109
PID 1736 wrote to memory of 2136	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	110
PID 1736 wrote to memory of 2136	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	110
PID 1736 wrote to memory of 2268	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	111
PID 1736 wrote to memory of 2268	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	111
PID 1736 wrote to memory of 4816	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	112
PID 1736 wrote to memory of 4816	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	112
PID 1736 wrote to memory of 1960	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	113
PID 1736 wrote to memory of 1960	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	113
PID 1736 wrote to memory of 4600	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	114
PID 1736 wrote to memory of 4600	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	114
PID 1736 wrote to memory of 2992	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	115
PID 1736 wrote to memory of 2992	1736	92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe	115

C:\Users\Admin\AppData\Local\Temp\92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe
"C:\Users\Admin\AppData\Local\Temp\92118f9cbc8eb90683408189d36bbea4be1a05086997cad5742a8182ec0a6f81.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:1736
- C:\Windows\System32\CTlYZLK.exe
  C:\Windows\System32\CTlYZLK.exe
  2⤵
  - Executes dropped EXE
  PID:4188
- C:\Windows\System32\bMSibMX.exe
  C:\Windows\System32\bMSibMX.exe
  2⤵
  - Executes dropped EXE
  PID:1704
- C:\Windows\System32\lujTjmn.exe
  C:\Windows\System32\lujTjmn.exe
  2⤵
  - Executes dropped EXE
  PID:2012
- C:\Windows\System32\HVfeAyJ.exe
  C:\Windows\System32\HVfeAyJ.exe
  2⤵
  - Executes dropped EXE
  PID:1068
- C:\Windows\System32\BAfbDLc.exe
  C:\Windows\System32\BAfbDLc.exe
  2⤵
  - Executes dropped EXE
  PID:4200
- C:\Windows\System32\dFTXVuQ.exe
  C:\Windows\System32\dFTXVuQ.exe
  2⤵
  - Executes dropped EXE
  PID:512
- C:\Windows\System32\YewtDvT.exe
  C:\Windows\System32\YewtDvT.exe
  2⤵
  - Executes dropped EXE
  PID:2476
- C:\Windows\System32\IDWfUsR.exe
  C:\Windows\System32\IDWfUsR.exe
  2⤵
  - Executes dropped EXE
  PID:4560
- C:\Windows\System32\kFsQqSE.exe
  C:\Windows\System32\kFsQqSE.exe
  2⤵
  - Executes dropped EXE
  PID:3620
- C:\Windows\System32\XlCwBEB.exe
  C:\Windows\System32\XlCwBEB.exe
  2⤵
  - Executes dropped EXE
  PID:5060
- C:\Windows\System32\VVUvrbj.exe
  C:\Windows\System32\VVUvrbj.exe
  2⤵
  - Executes dropped EXE
  PID:2488
- C:\Windows\System32\YZLpqRw.exe
  C:\Windows\System32\YZLpqRw.exe
  2⤵
  - Executes dropped EXE
  PID:2600
- C:\Windows\System32\GJSLKQO.exe
  C:\Windows\System32\GJSLKQO.exe
  2⤵
  - Executes dropped EXE
  PID:1608
- C:\Windows\System32\sTgsYjP.exe
  C:\Windows\System32\sTgsYjP.exe
  2⤵
  - Executes dropped EXE
  PID:3156
- C:\Windows\System32\ShSuYfb.exe
  C:\Windows\System32\ShSuYfb.exe
  2⤵
  - Executes dropped EXE
  PID:1604
- C:\Windows\System32\hPLccQj.exe
  C:\Windows\System32\hPLccQj.exe
  2⤵
  - Executes dropped EXE
  PID:4712
- C:\Windows\System32\Crckfly.exe
  C:\Windows\System32\Crckfly.exe
  2⤵
  - Executes dropped EXE
  PID:4896
- C:\Windows\System32\tRaLxpf.exe
  C:\Windows\System32\tRaLxpf.exe
  2⤵
  - Executes dropped EXE
  PID:1888
- C:\Windows\System32\LcylBRO.exe
  C:\Windows\System32\LcylBRO.exe
  2⤵
  - Executes dropped EXE
  PID:1260
- C:\Windows\System32\qDiPiHx.exe
  C:\Windows\System32\qDiPiHx.exe
  2⤵
  - Executes dropped EXE
  PID:4980
- C:\Windows\System32\pApOHNk.exe
  C:\Windows\System32\pApOHNk.exe
  2⤵
  - Executes dropped EXE
  PID:3864
- C:\Windows\System32\gJvtuDf.exe
  C:\Windows\System32\gJvtuDf.exe
  2⤵
  - Executes dropped EXE
  PID:1844
- C:\Windows\System32\cARyYAK.exe
  C:\Windows\System32\cARyYAK.exe
  2⤵
  - Executes dropped EXE
  PID:704
- C:\Windows\System32\mjQfzWM.exe
  C:\Windows\System32\mjQfzWM.exe
  2⤵
  - Executes dropped EXE
  PID:4744
- C:\Windows\System32\KRtOCoP.exe
  C:\Windows\System32\KRtOCoP.exe
  2⤵
  - Executes dropped EXE
  PID:3932
- C:\Windows\System32\nWJhFkF.exe
  C:\Windows\System32\nWJhFkF.exe
  2⤵
  - Executes dropped EXE
  PID:3088
- C:\Windows\System32\uupseGK.exe
  C:\Windows\System32\uupseGK.exe
  2⤵
  - Executes dropped EXE
  PID:2136
- C:\Windows\System32\pMHfTRK.exe
  C:\Windows\System32\pMHfTRK.exe
  2⤵
  - Executes dropped EXE
  PID:2268
- C:\Windows\System32\RbXwTFA.exe
  C:\Windows\System32\RbXwTFA.exe
  2⤵
  - Executes dropped EXE
  PID:4816
- C:\Windows\System32\JZLFpXC.exe
  C:\Windows\System32\JZLFpXC.exe
  2⤵
  - Executes dropped EXE
  PID:1960
- C:\Windows\System32\IXFrRoO.exe
  C:\Windows\System32\IXFrRoO.exe
  2⤵
  - Executes dropped EXE
  PID:4600
- C:\Windows\System32\SPeJHBg.exe
  C:\Windows\System32\SPeJHBg.exe
  2⤵
  - Executes dropped EXE
  PID:2992
- C:\Windows\System32\xsBKMnF.exe
  C:\Windows\System32\xsBKMnF.exe
  2⤵
  - Executes dropped EXE
  PID:4456
- C:\Windows\System32\TSyRgNf.exe
  C:\Windows\System32\TSyRgNf.exe
  2⤵
  - Executes dropped EXE
  PID:3524
- C:\Windows\System32\eZUBCuz.exe
  C:\Windows\System32\eZUBCuz.exe
  2⤵
  - Executes dropped EXE
  PID:4724
- C:\Windows\System32\rgWjSvv.exe
  C:\Windows\System32\rgWjSvv.exe
  2⤵
  - Executes dropped EXE
  PID:4716
- C:\Windows\System32\boHGhSd.exe
  C:\Windows\System32\boHGhSd.exe
  2⤵
  - Executes dropped EXE
  PID:4400
- C:\Windows\System32\iVdKFvh.exe
  C:\Windows\System32\iVdKFvh.exe
  2⤵
  - Executes dropped EXE
  PID:3336
- C:\Windows\System32\RiArOcc.exe
  C:\Windows\System32\RiArOcc.exe
  2⤵
  - Executes dropped EXE
  PID:1632
- C:\Windows\System32\ADuUGtq.exe
  C:\Windows\System32\ADuUGtq.exe
  2⤵
  - Executes dropped EXE
  PID:4612
- C:\Windows\System32\uhfphLI.exe
  C:\Windows\System32\uhfphLI.exe
  2⤵
  - Executes dropped EXE
  PID:3216
- C:\Windows\System32\ycrcMXy.exe
  C:\Windows\System32\ycrcMXy.exe
  2⤵
  - Executes dropped EXE
  PID:3600
- C:\Windows\System32\tJHEvMP.exe
  C:\Windows\System32\tJHEvMP.exe
  2⤵
  - Executes dropped EXE
  PID:2256
- C:\Windows\System32\KjNrbiQ.exe
  C:\Windows\System32\KjNrbiQ.exe
  2⤵
  - Executes dropped EXE
  PID:1716
- C:\Windows\System32\EuyWYhP.exe
  C:\Windows\System32\EuyWYhP.exe
  2⤵
  - Executes dropped EXE
  PID:1972
- C:\Windows\System32\UbAXCUA.exe
  C:\Windows\System32\UbAXCUA.exe
  2⤵
  - Executes dropped EXE
  PID:808
- C:\Windows\System32\ZWnJMXS.exe
  C:\Windows\System32\ZWnJMXS.exe
  2⤵
  - Executes dropped EXE
  PID:4464
- C:\Windows\System32\hliKMLK.exe
  C:\Windows\System32\hliKMLK.exe
  2⤵
  - Executes dropped EXE
  PID:1596
- C:\Windows\System32\xIrLfdX.exe
  C:\Windows\System32\xIrLfdX.exe
  2⤵
  - Executes dropped EXE
  PID:3540
- C:\Windows\System32\vaYZVLg.exe
  C:\Windows\System32\vaYZVLg.exe
  2⤵
  - Executes dropped EXE
  PID:380
- C:\Windows\System32\ncGHAxb.exe
  C:\Windows\System32\ncGHAxb.exe
  2⤵
  - Executes dropped EXE
  PID:4352
- C:\Windows\System32\PuDazse.exe
  C:\Windows\System32\PuDazse.exe
  2⤵
  - Executes dropped EXE
  PID:2720
- C:\Windows\System32\ghHBHGO.exe
  C:\Windows\System32\ghHBHGO.exe
  2⤵
  - Executes dropped EXE
  PID:2564
- C:\Windows\System32\qBXtUcW.exe
  C:\Windows\System32\qBXtUcW.exe
  2⤵
  - Executes dropped EXE
  PID:1268
- C:\Windows\System32\eGUkxrl.exe
  C:\Windows\System32\eGUkxrl.exe
  2⤵
  - Executes dropped EXE
  PID:5032
- C:\Windows\System32\kelEzDm.exe
  C:\Windows\System32\kelEzDm.exe
  2⤵
  - Executes dropped EXE
  PID:4968
- C:\Windows\System32\XxpAsSr.exe
  C:\Windows\System32\XxpAsSr.exe
  2⤵
  - Executes dropped EXE
  PID:1900
- C:\Windows\System32\ClCNJXa.exe
  C:\Windows\System32\ClCNJXa.exe
  2⤵
  - Executes dropped EXE
  PID:2624
- C:\Windows\System32\eWQtqrW.exe
  C:\Windows\System32\eWQtqrW.exe
  2⤵
  - Executes dropped EXE
  PID:1572
- C:\Windows\System32\WJHiMGZ.exe
  C:\Windows\System32\WJHiMGZ.exe
  2⤵
  - Executes dropped EXE
  PID:1468
- C:\Windows\System32\uIoanxS.exe
  C:\Windows\System32\uIoanxS.exe
  2⤵
  - Executes dropped EXE
  PID:2360
- C:\Windows\System32\iLeHSxu.exe
  C:\Windows\System32\iLeHSxu.exe
  2⤵
  - Executes dropped EXE
  PID:2044
- C:\Windows\System32\CqsjLXK.exe
  C:\Windows\System32\CqsjLXK.exe
  2⤵
  - Executes dropped EXE
  PID:1080
- C:\Windows\System32\gdCgFdz.exe
  C:\Windows\System32\gdCgFdz.exe
  2⤵
  - Executes dropped EXE
  PID:3876
- C:\Windows\System32\JhQHPMp.exe
  C:\Windows\System32\JhQHPMp.exe
  2⤵
  PID:2404
- C:\Windows\System32\isuqHLH.exe
  C:\Windows\System32\isuqHLH.exe
  2⤵
  PID:832
- C:\Windows\System32\YcpGnql.exe
  C:\Windows\System32\YcpGnql.exe
  2⤵
  PID:3968
- C:\Windows\System32\kKODozh.exe
  C:\Windows\System32\kKODozh.exe
  2⤵
  PID:3204
- C:\Windows\System32\kfSrkNx.exe
  C:\Windows\System32\kfSrkNx.exe
  2⤵
  PID:3548
- C:\Windows\System32\pBAXttS.exe
  C:\Windows\System32\pBAXttS.exe
  2⤵
  PID:3192
- C:\Windows\System32\LgNPTMf.exe
  C:\Windows\System32\LgNPTMf.exe
  2⤵
  PID:3656
- C:\Windows\System32\XpMKMJj.exe
  C:\Windows\System32\XpMKMJj.exe
  2⤵
  PID:4544
- C:\Windows\System32\WWqKRyR.exe
  C:\Windows\System32\WWqKRyR.exe
  2⤵
  PID:4548
- C:\Windows\System32\mElhPnS.exe
  C:\Windows\System32\mElhPnS.exe
  2⤵
  PID:116
- C:\Windows\System32\YQUYcoZ.exe
  C:\Windows\System32\YQUYcoZ.exe
  2⤵
  PID:2372
- C:\Windows\System32\UbweirS.exe
  C:\Windows\System32\UbweirS.exe
  2⤵
  PID:4528
- C:\Windows\System32\brTscuT.exe
  C:\Windows\System32\brTscuT.exe
  2⤵
  PID:4728
- C:\Windows\System32\qszhSZa.exe
  C:\Windows\System32\qszhSZa.exe
  2⤵
  PID:4772
- C:\Windows\System32\HAzkqpb.exe
  C:\Windows\System32\HAzkqpb.exe
  2⤵
  PID:4628
- C:\Windows\System32\rEVkDzA.exe
  C:\Windows\System32\rEVkDzA.exe
  2⤵
  PID:2968
- C:\Windows\System32\LqFfqaa.exe
  C:\Windows\System32\LqFfqaa.exe
  2⤵
  PID:4944
- C:\Windows\System32\GtAXiiT.exe
  C:\Windows\System32\GtAXiiT.exe
  2⤵
  PID:4568
- C:\Windows\System32\hhQKukZ.exe
  C:\Windows\System32\hhQKukZ.exe
  2⤵
  PID:1552
- C:\Windows\System32\rKpGZbh.exe
  C:\Windows\System32\rKpGZbh.exe
  2⤵
  PID:4976
- C:\Windows\System32\EXpIXgA.exe
  C:\Windows\System32\EXpIXgA.exe
  2⤵
  PID:4152
- C:\Windows\System32\XWepLHT.exe
  C:\Windows\System32\XWepLHT.exe
  2⤵
  PID:1784
- C:\Windows\System32\jflteqs.exe
  C:\Windows\System32\jflteqs.exe
  2⤵
  PID:4104
- C:\Windows\System32\vCTzqUG.exe
  C:\Windows\System32\vCTzqUG.exe
  2⤵
  PID:2844
- C:\Windows\System32\HjSFqii.exe
  C:\Windows\System32\HjSFqii.exe
  2⤵
  PID:1752
- C:\Windows\System32\grrbzew.exe
  C:\Windows\System32\grrbzew.exe
  2⤵
  PID:1144
- C:\Windows\System32\XfEKrNR.exe
  C:\Windows\System32\XfEKrNR.exe
  2⤵
  PID:1908
- C:\Windows\System32\pfFFZZy.exe
  C:\Windows\System32\pfFFZZy.exe
  2⤵
  PID:4836
- C:\Windows\System32\UOYdsNx.exe
  C:\Windows\System32\UOYdsNx.exe
  2⤵
  PID:5132
- C:\Windows\System32\zMVPuqg.exe
  C:\Windows\System32\zMVPuqg.exe
  2⤵
  PID:5160
- C:\Windows\System32\ClFZobz.exe
  C:\Windows\System32\ClFZobz.exe
  2⤵
  PID:5196
- C:\Windows\System32\MfZgpNr.exe
  C:\Windows\System32\MfZgpNr.exe
  2⤵
  PID:5224
- C:\Windows\System32\LxrHawN.exe
  C:\Windows\System32\LxrHawN.exe
  2⤵
  PID:5244
- C:\Windows\System32\eVbKVqt.exe
  C:\Windows\System32\eVbKVqt.exe
  2⤵
  PID:5272
- C:\Windows\System32\FDPvqyq.exe
  C:\Windows\System32\FDPvqyq.exe
  2⤵
  PID:5296
- C:\Windows\System32\DsUteow.exe
  C:\Windows\System32\DsUteow.exe
  2⤵
  PID:5328
- C:\Windows\System32\LlJSdbu.exe
  C:\Windows\System32\LlJSdbu.exe
  2⤵
  PID:5356
- C:\Windows\System32\mcFbEyT.exe
  C:\Windows\System32\mcFbEyT.exe
  2⤵
  PID:5384
- C:\Windows\System32\CkKEbOa.exe
  C:\Windows\System32\CkKEbOa.exe
  2⤵
  PID:5420
- C:\Windows\System32\ENQOXHt.exe
  C:\Windows\System32\ENQOXHt.exe
  2⤵
  PID:5440
- C:\Windows\System32\sXPHpJY.exe
  C:\Windows\System32\sXPHpJY.exe
  2⤵
  PID:5468
- C:\Windows\System32\YJIlxRn.exe
  C:\Windows\System32\YJIlxRn.exe
  2⤵
  PID:5496
- C:\Windows\System32\KRFqbvV.exe
  C:\Windows\System32\KRFqbvV.exe
  2⤵
  PID:5576
- C:\Windows\System32\XuIXVyE.exe
  C:\Windows\System32\XuIXVyE.exe
  2⤵
  PID:5596
- C:\Windows\System32\WVzhWYm.exe
  C:\Windows\System32\WVzhWYm.exe
  2⤵
  PID:5612
- C:\Windows\System32\biowDXC.exe
  C:\Windows\System32\biowDXC.exe
  2⤵
  PID:5636
- C:\Windows\System32\YTDsmsX.exe
  C:\Windows\System32\YTDsmsX.exe
  2⤵
  PID:5660
- C:\Windows\System32\hbyvGJG.exe
  C:\Windows\System32\hbyvGJG.exe
  2⤵
  PID:5680
- C:\Windows\System32\tdjXLSc.exe
  C:\Windows\System32\tdjXLSc.exe
  2⤵
  PID:5704
- C:\Windows\System32\rGPXuNW.exe
  C:\Windows\System32\rGPXuNW.exe
  2⤵
  PID:5724
- C:\Windows\System32\NkNGelv.exe
  C:\Windows\System32\NkNGelv.exe
  2⤵
  PID:5740
- C:\Windows\System32\ERruKEO.exe
  C:\Windows\System32\ERruKEO.exe
  2⤵
  PID:5760
- C:\Windows\System32\xVtYyoh.exe
  C:\Windows\System32\xVtYyoh.exe
  2⤵
  PID:5784
- C:\Windows\System32\AUBOkzy.exe
  C:\Windows\System32\AUBOkzy.exe
  2⤵
  PID:5804
- C:\Windows\System32\WlJVUvN.exe
  C:\Windows\System32\WlJVUvN.exe
  2⤵
  PID:5824
- C:\Windows\System32\BdJecZl.exe
  C:\Windows\System32\BdJecZl.exe
  2⤵
  PID:5840
- C:\Windows\System32\NkouzNJ.exe
  C:\Windows\System32\NkouzNJ.exe
  2⤵
  PID:5872
- C:\Windows\System32\KcuPPYj.exe
  C:\Windows\System32\KcuPPYj.exe
  2⤵
  PID:5888
- C:\Windows\System32\tVBUPBR.exe
  C:\Windows\System32\tVBUPBR.exe
  2⤵
  PID:5912
- C:\Windows\System32\edpnkUM.exe
  C:\Windows\System32\edpnkUM.exe
  2⤵
  PID:5932
- C:\Windows\System32\svzhlqB.exe
  C:\Windows\System32\svzhlqB.exe
  2⤵
  PID:5948
- C:\Windows\System32\RDCIBuC.exe
  C:\Windows\System32\RDCIBuC.exe
  2⤵
  PID:5968
- C:\Windows\System32\oYYeBKU.exe
  C:\Windows\System32\oYYeBKU.exe
  2⤵
  PID:5988
- C:\Windows\System32\zkHjOUu.exe
  C:\Windows\System32\zkHjOUu.exe
  2⤵
  PID:6016
- C:\Windows\System32\GQhiNEN.exe
  C:\Windows\System32\GQhiNEN.exe
  2⤵
  PID:6036
- C:\Windows\System32\yPUCGdO.exe
  C:\Windows\System32\yPUCGdO.exe
  2⤵
  PID:6056
- C:\Windows\System32\LGdKonR.exe
  C:\Windows\System32\LGdKonR.exe
  2⤵
  PID:6128
- C:\Windows\System32\AJUvEQq.exe
  C:\Windows\System32\AJUvEQq.exe
  2⤵
  PID:3092
- C:\Windows\System32\ClrTgVd.exe
  C:\Windows\System32\ClrTgVd.exe
  2⤵
  PID:2020
- C:\Windows\System32\AKPqITx.exe
  C:\Windows\System32\AKPqITx.exe
  2⤵
  PID:3856
- C:\Windows\System32\oDErWsU.exe
  C:\Windows\System32\oDErWsU.exe
  2⤵
  PID:5264
- C:\Windows\System32\HSzDHbY.exe
  C:\Windows\System32\HSzDHbY.exe
  2⤵
  PID:1096
- C:\Windows\System32\uAizrBo.exe
  C:\Windows\System32\uAizrBo.exe
  2⤵
  PID:3080
- C:\Windows\System32\unlyLMz.exe
  C:\Windows\System32\unlyLMz.exe
  2⤵
  PID:2584
- C:\Windows\System32\juSmfaL.exe
  C:\Windows\System32\juSmfaL.exe
  2⤵
  PID:4904
- C:\Windows\System32\ajxKmwN.exe
  C:\Windows\System32\ajxKmwN.exe
  2⤵
  PID:4992
- C:\Windows\System32\IuUKvTc.exe
  C:\Windows\System32\IuUKvTc.exe
  2⤵
  PID:2100
- C:\Windows\System32\jfVSxJL.exe
  C:\Windows\System32\jfVSxJL.exe
  2⤵
  PID:1476
- C:\Windows\System32\JogRAOx.exe
  C:\Windows\System32\JogRAOx.exe
  2⤵
  PID:5984
- C:\Windows\System32\gEsVdJk.exe
  C:\Windows\System32\gEsVdJk.exe
  2⤵
  PID:5956
- C:\Windows\System32\PKJdRTg.exe
  C:\Windows\System32\PKJdRTg.exe
  2⤵
  PID:5800
- C:\Windows\System32\yNXnsJR.exe
  C:\Windows\System32\yNXnsJR.exe
  2⤵
  PID:5852
- C:\Windows\System32\bdzwWpX.exe
  C:\Windows\System32\bdzwWpX.exe
  2⤵
  PID:5944
- C:\Windows\System32\zIcLMut.exe
  C:\Windows\System32\zIcLMut.exe
  2⤵
  PID:4356
- C:\Windows\System32\qZSYpZL.exe
  C:\Windows\System32\qZSYpZL.exe
  2⤵
  PID:6116
- C:\Windows\System32\ojJPTGg.exe
  C:\Windows\System32\ojJPTGg.exe
  2⤵
  PID:404
- C:\Windows\System32\jIoCrUP.exe
  C:\Windows\System32\jIoCrUP.exe
  2⤵
  PID:3960
- C:\Windows\System32\AEfEAjL.exe
  C:\Windows\System32\AEfEAjL.exe
  2⤵
  PID:5340
- C:\Windows\System32\PvuKafD.exe
  C:\Windows\System32\PvuKafD.exe
  2⤵
  PID:5284
- C:\Windows\System32\yjttcVh.exe
  C:\Windows\System32\yjttcVh.exe
  2⤵
  PID:3544
- C:\Windows\System32\UbQGuyY.exe
  C:\Windows\System32\UbQGuyY.exe
  2⤵
  PID:5832
- C:\Windows\System32\SMZdXAE.exe
  C:\Windows\System32\SMZdXAE.exe
  2⤵
  PID:5560
- C:\Windows\System32\yiDvnyx.exe
  C:\Windows\System32\yiDvnyx.exe
  2⤵
  PID:5860
- C:\Windows\System32\TIDYjpn.exe
  C:\Windows\System32\TIDYjpn.exe
  2⤵
  PID:1428
- C:\Windows\System32\zWUtPpC.exe
  C:\Windows\System32\zWUtPpC.exe
  2⤵
  PID:4792
- C:\Windows\System32\yLAYZrG.exe
  C:\Windows\System32\yLAYZrG.exe
  2⤵
  PID:5896
- C:\Windows\System32\jDUTooi.exe
  C:\Windows\System32\jDUTooi.exe
  2⤵
  PID:5920
- C:\Windows\System32\ZQdRpod.exe
  C:\Windows\System32\ZQdRpod.exe
  2⤵
  PID:5856
- C:\Windows\System32\khnFpgY.exe
  C:\Windows\System32\khnFpgY.exe
  2⤵
  PID:5452
- C:\Windows\System32\KeiKWsx.exe
  C:\Windows\System32\KeiKWsx.exe
  2⤵
  PID:6140
- C:\Windows\System32\YdcXAKt.exe
  C:\Windows\System32\YdcXAKt.exe
  2⤵
  PID:3708
- C:\Windows\System32\kwkvAsL.exe
  C:\Windows\System32\kwkvAsL.exe
  2⤵
  PID:3924
- C:\Windows\System32\Msbkxox.exe
  C:\Windows\System32\Msbkxox.exe
  2⤵
  PID:5572
- C:\Windows\System32\JScRTqf.exe
  C:\Windows\System32\JScRTqf.exe
  2⤵
  PID:5668
- C:\Windows\System32\FCxLumd.exe
  C:\Windows\System32\FCxLumd.exe
  2⤵
  PID:2716
- C:\Windows\System32\JpnyJlD.exe
  C:\Windows\System32\JpnyJlD.exe
  2⤵
  PID:5772
- C:\Windows\System32\PeGMAIO.exe
  C:\Windows\System32\PeGMAIO.exe
  2⤵
  PID:2900
- C:\Windows\System32\OmOeTdK.exe
  C:\Windows\System32\OmOeTdK.exe
  2⤵
  PID:6176
- C:\Windows\System32\zTGhHJs.exe
  C:\Windows\System32\zTGhHJs.exe
  2⤵
  PID:6216
- C:\Windows\System32\JqcrENt.exe
  C:\Windows\System32\JqcrENt.exe
  2⤵
  PID:6240
- C:\Windows\System32\dyQrQxh.exe
  C:\Windows\System32\dyQrQxh.exe
  2⤵
  PID:6272
- C:\Windows\System32\lNTgjdS.exe
  C:\Windows\System32\lNTgjdS.exe
  2⤵
  PID:6288
- C:\Windows\System32\IwbKqTS.exe
  C:\Windows\System32\IwbKqTS.exe
  2⤵
  PID:6308
- C:\Windows\System32\ceiNeoC.exe
  C:\Windows\System32\ceiNeoC.exe
  2⤵
  PID:6336
- C:\Windows\System32\TlAKqfr.exe
  C:\Windows\System32\TlAKqfr.exe
  2⤵
  PID:6356
- C:\Windows\System32\vJBdFDX.exe
  C:\Windows\System32\vJBdFDX.exe
  2⤵
  PID:6376
- C:\Windows\System32\xuJwLrU.exe
  C:\Windows\System32\xuJwLrU.exe
  2⤵
  PID:6396
- C:\Windows\System32\AUDNlLj.exe
  C:\Windows\System32\AUDNlLj.exe
  2⤵
  PID:6416
- C:\Windows\System32\HWqOkeD.exe
  C:\Windows\System32\HWqOkeD.exe
  2⤵
  PID:6432
- C:\Windows\System32\LbqtfOn.exe
  C:\Windows\System32\LbqtfOn.exe
  2⤵
  PID:6452
- C:\Windows\System32\aRSDdUt.exe
  C:\Windows\System32\aRSDdUt.exe
  2⤵
  PID:6492
- C:\Windows\System32\dqTpGaI.exe
  C:\Windows\System32\dqTpGaI.exe
  2⤵
  PID:6512
- C:\Windows\System32\sXDHREu.exe
  C:\Windows\System32\sXDHREu.exe
  2⤵
  PID:6532
- C:\Windows\System32\dvfLYJc.exe
  C:\Windows\System32\dvfLYJc.exe
  2⤵
  PID:6616
- C:\Windows\System32\amOFdQq.exe
  C:\Windows\System32\amOFdQq.exe
  2⤵
  PID:6664
- C:\Windows\System32\qQtJATY.exe
  C:\Windows\System32\qQtJATY.exe
  2⤵
  PID:6688
- C:\Windows\System32\YTnIEfv.exe
  C:\Windows\System32\YTnIEfv.exe
  2⤵
  PID:6708
- C:\Windows\System32\LKMfJUg.exe
  C:\Windows\System32\LKMfJUg.exe
  2⤵
  PID:6772
- C:\Windows\System32\JueOHnO.exe
  C:\Windows\System32\JueOHnO.exe
  2⤵
  PID:6800
- C:\Windows\System32\RibXHsI.exe
  C:\Windows\System32\RibXHsI.exe
  2⤵
  PID:6828
- C:\Windows\System32\qPOSQeZ.exe
  C:\Windows\System32\qPOSQeZ.exe
  2⤵
  PID:6848
- C:\Windows\System32\JmRlYMd.exe
  C:\Windows\System32\JmRlYMd.exe
  2⤵
  PID:6868
- C:\Windows\System32\NodgVnQ.exe
  C:\Windows\System32\NodgVnQ.exe
  2⤵
  PID:6904
- C:\Windows\System32\NterYWG.exe
  C:\Windows\System32\NterYWG.exe
  2⤵
  PID:6944
- C:\Windows\System32\IvnOCXK.exe
  C:\Windows\System32\IvnOCXK.exe
  2⤵
  PID:6980
- C:\Windows\System32\UHzQPPI.exe
  C:\Windows\System32\UHzQPPI.exe
  2⤵
  PID:7024
- C:\Windows\System32\ENaehsn.exe
  C:\Windows\System32\ENaehsn.exe
  2⤵
  PID:7052
- C:\Windows\System32\aRiLuPS.exe
  C:\Windows\System32\aRiLuPS.exe
  2⤵
  PID:7084
- C:\Windows\System32\acFsDCE.exe
  C:\Windows\System32\acFsDCE.exe
  2⤵
  PID:7112
- C:\Windows\System32\WwEIOxm.exe
  C:\Windows\System32\WwEIOxm.exe
  2⤵
  PID:7140
- C:\Windows\System32\uoPIFcn.exe
  C:\Windows\System32\uoPIFcn.exe
  2⤵
  PID:7156
- C:\Windows\System32\SIJkEml.exe
  C:\Windows\System32\SIJkEml.exe
  2⤵
  PID:4384
- C:\Windows\System32\tJbtuTX.exe
  C:\Windows\System32\tJbtuTX.exe
  2⤵
  PID:5564
- C:\Windows\System32\aMouAXv.exe
  C:\Windows\System32\aMouAXv.exe
  2⤵
  PID:6196
- C:\Windows\System32\oLlxcAX.exe
  C:\Windows\System32\oLlxcAX.exe
  2⤵
  PID:6252
- C:\Windows\System32\bxQBUCz.exe
  C:\Windows\System32\bxQBUCz.exe
  2⤵
  PID:6464
- C:\Windows\System32\piXOfDE.exe
  C:\Windows\System32\piXOfDE.exe
  2⤵
  PID:6280
- C:\Windows\System32\ejuTgCT.exe
  C:\Windows\System32\ejuTgCT.exe
  2⤵
  PID:6404
- C:\Windows\System32\JrkkJfJ.exe
  C:\Windows\System32\JrkkJfJ.exe
  2⤵
  PID:6524
- C:\Windows\System32\EbSUQdt.exe
  C:\Windows\System32\EbSUQdt.exe
  2⤵
  PID:6632
- C:\Windows\System32\OyHBNWs.exe
  C:\Windows\System32\OyHBNWs.exe
  2⤵
  PID:6608
- C:\Windows\System32\tWdpVJP.exe
  C:\Windows\System32\tWdpVJP.exe
  2⤵
  PID:6624
- C:\Windows\System32\FxmWnAR.exe
  C:\Windows\System32\FxmWnAR.exe
  2⤵
  PID:6836
- C:\Windows\System32\knRAjyF.exe
  C:\Windows\System32\knRAjyF.exe
  2⤵
  PID:6860
- C:\Windows\System32\ZTtBzMd.exe
  C:\Windows\System32\ZTtBzMd.exe
  2⤵
  PID:6920
- C:\Windows\System32\CHosqfO.exe
  C:\Windows\System32\CHosqfO.exe
  2⤵
  PID:6988
- C:\Windows\System32\JovRoRo.exe
  C:\Windows\System32\JovRoRo.exe
  2⤵
  PID:7036
- C:\Windows\System32\GzEjMro.exe
  C:\Windows\System32\GzEjMro.exe
  2⤵
  PID:7136
- C:\Windows\System32\moXNiyx.exe
  C:\Windows\System32\moXNiyx.exe
  2⤵
  PID:2676
- C:\Windows\System32\kvUtfmk.exe
  C:\Windows\System32\kvUtfmk.exe
  2⤵
  PID:6256
- C:\Windows\System32\tzxdyvz.exe
  C:\Windows\System32\tzxdyvz.exe
  2⤵
  PID:6304
- C:\Windows\System32\dHtQnsB.exe
  C:\Windows\System32\dHtQnsB.exe
  2⤵
  PID:6600
- C:\Windows\System32\fqsLiMR.exe
  C:\Windows\System32\fqsLiMR.exe
  2⤵
  PID:6780
- C:\Windows\System32\LuyKbEA.exe
  C:\Windows\System32\LuyKbEA.exe
  2⤵
  PID:6956
- C:\Windows\System32\RxtgMfs.exe
  C:\Windows\System32\RxtgMfs.exe
  2⤵
  PID:5776
- C:\Windows\System32\QdeZQnB.exe
  C:\Windows\System32\QdeZQnB.exe
  2⤵
  PID:6224
- C:\Windows\System32\khPyyNO.exe
  C:\Windows\System32\khPyyNO.exe
  2⤵
  PID:6168
- C:\Windows\System32\VfUscKp.exe
  C:\Windows\System32\VfUscKp.exe
  2⤵
  PID:6880
- C:\Windows\System32\hzadmnn.exe
  C:\Windows\System32\hzadmnn.exe
  2⤵
  PID:5748
- C:\Windows\System32\fFnkuOG.exe
  C:\Windows\System32\fFnkuOG.exe
  2⤵
  PID:7180
- C:\Windows\System32\ghjPUfn.exe
  C:\Windows\System32\ghjPUfn.exe
  2⤵
  PID:7204
- C:\Windows\System32\XkvMtoR.exe
  C:\Windows\System32\XkvMtoR.exe
  2⤵
  PID:7228
- C:\Windows\System32\hkJCNIZ.exe
  C:\Windows\System32\hkJCNIZ.exe
  2⤵
  PID:7244
- C:\Windows\System32\RLKJhUm.exe
  C:\Windows\System32\RLKJhUm.exe
  2⤵
  PID:7272
- C:\Windows\System32\AijveOM.exe
  C:\Windows\System32\AijveOM.exe
  2⤵
  PID:7300
- C:\Windows\System32\NvKZNzE.exe
  C:\Windows\System32\NvKZNzE.exe
  2⤵
  PID:7340
- C:\Windows\System32\sQmwxTB.exe
  C:\Windows\System32\sQmwxTB.exe
  2⤵
  PID:7360
- C:\Windows\System32\oGrNXSx.exe
  C:\Windows\System32\oGrNXSx.exe
  2⤵
  PID:7392
- C:\Windows\System32\VhhXcGa.exe
  C:\Windows\System32\VhhXcGa.exe
  2⤵
  PID:7412
- C:\Windows\System32\YfGqtSJ.exe
  C:\Windows\System32\YfGqtSJ.exe
  2⤵
  PID:7436
- C:\Windows\System32\uqBcmwl.exe
  C:\Windows\System32\uqBcmwl.exe
  2⤵
  PID:7456
- C:\Windows\System32\jCokyeO.exe
  C:\Windows\System32\jCokyeO.exe
  2⤵
  PID:7484
- C:\Windows\System32\blSIUGS.exe
  C:\Windows\System32\blSIUGS.exe
  2⤵
  PID:7508
- C:\Windows\System32\oVkMEEV.exe
  C:\Windows\System32\oVkMEEV.exe
  2⤵
  PID:7528
- C:\Windows\System32\wLLCozR.exe
  C:\Windows\System32\wLLCozR.exe
  2⤵
  PID:7556
- C:\Windows\System32\lAJAIyM.exe
  C:\Windows\System32\lAJAIyM.exe
  2⤵
  PID:7608
- C:\Windows\System32\XgLvdhM.exe
  C:\Windows\System32\XgLvdhM.exe
  2⤵
  PID:7644
- C:\Windows\System32\JjIRIuN.exe
  C:\Windows\System32\JjIRIuN.exe
  2⤵
  PID:7692
- C:\Windows\System32\pFXWDEP.exe
  C:\Windows\System32\pFXWDEP.exe
  2⤵
  PID:7716
- C:\Windows\System32\ajPnDvr.exe
  C:\Windows\System32\ajPnDvr.exe
  2⤵
  PID:7732
- C:\Windows\System32\mcVEnVo.exe
  C:\Windows\System32\mcVEnVo.exe
  2⤵
  PID:7760
- C:\Windows\System32\bDLQuCG.exe
  C:\Windows\System32\bDLQuCG.exe
  2⤵
  PID:7780
- C:\Windows\System32\ehxGRjd.exe
  C:\Windows\System32\ehxGRjd.exe
  2⤵
  PID:7816
- C:\Windows\System32\ZQbJZRB.exe
  C:\Windows\System32\ZQbJZRB.exe
  2⤵
  PID:7832
- C:\Windows\System32\dAfTCTc.exe
  C:\Windows\System32\dAfTCTc.exe
  2⤵
  PID:7856
- C:\Windows\System32\hZFmJAc.exe
  C:\Windows\System32\hZFmJAc.exe
  2⤵
  PID:7880
- C:\Windows\System32\QWgmFie.exe
  C:\Windows\System32\QWgmFie.exe
  2⤵
  PID:7904
- C:\Windows\System32\kVIPAAA.exe
  C:\Windows\System32\kVIPAAA.exe
  2⤵
  PID:7944
- C:\Windows\System32\dukwKCR.exe
  C:\Windows\System32\dukwKCR.exe
  2⤵
  PID:7964
- C:\Windows\System32\YMgpKAz.exe
  C:\Windows\System32\YMgpKAz.exe
  2⤵
  PID:7992
- C:\Windows\System32\YPNkgiI.exe
  C:\Windows\System32\YPNkgiI.exe
  2⤵
  PID:8008
- C:\Windows\System32\SSdmiLx.exe
  C:\Windows\System32\SSdmiLx.exe
  2⤵
  PID:8032
- C:\Windows\System32\NmsAqoT.exe
  C:\Windows\System32\NmsAqoT.exe
  2⤵
  PID:8052
- C:\Windows\System32\srjhfeL.exe
  C:\Windows\System32\srjhfeL.exe
  2⤵
  PID:8076
- C:\Windows\System32\UlfTcwZ.exe
  C:\Windows\System32\UlfTcwZ.exe
  2⤵
  PID:8116
- C:\Windows\System32\PXFOjWI.exe
  C:\Windows\System32\PXFOjWI.exe
  2⤵
  PID:8156
- C:\Windows\System32\XYCvAnL.exe
  C:\Windows\System32\XYCvAnL.exe
  2⤵
  PID:7068
- C:\Windows\System32\ofpMGEm.exe
  C:\Windows\System32\ofpMGEm.exe
  2⤵
  PID:7284
- C:\Windows\System32\QLPggwO.exe
  C:\Windows\System32\QLPggwO.exe
  2⤵
  PID:7320
- C:\Windows\System32\gQdaisQ.exe
  C:\Windows\System32\gQdaisQ.exe
  2⤵
  PID:7424
- C:\Windows\System32\HdEZWPJ.exe
  C:\Windows\System32\HdEZWPJ.exe
  2⤵
  PID:7404
- C:\Windows\System32\yoTyLNt.exe
  C:\Windows\System32\yoTyLNt.exe
  2⤵
  PID:7524
- C:\Windows\System32\IRYpHnS.exe
  C:\Windows\System32\IRYpHnS.exe
  2⤵
  PID:7620
- C:\Windows\System32\tzfURsA.exe
  C:\Windows\System32\tzfURsA.exe
  2⤵
  PID:7652
- C:\Windows\System32\jRArTnV.exe
  C:\Windows\System32\jRArTnV.exe
  2⤵
  PID:7704
- C:\Windows\System32\uQzzznp.exe
  C:\Windows\System32\uQzzznp.exe
  2⤵
  PID:7752
- C:\Windows\System32\gwcpcos.exe
  C:\Windows\System32\gwcpcos.exe
  2⤵
  PID:7792
- C:\Windows\System32\SnlTwpN.exe
  C:\Windows\System32\SnlTwpN.exe
  2⤵
  PID:7888
- C:\Windows\System32\iObqrIK.exe
  C:\Windows\System32\iObqrIK.exe
  2⤵
  PID:7912
- C:\Windows\System32\rLXukaa.exe
  C:\Windows\System32\rLXukaa.exe
  2⤵
  PID:7988
- C:\Windows\System32\LPIgHuz.exe
  C:\Windows\System32\LPIgHuz.exe
  2⤵
  PID:8064
- C:\Windows\System32\KCHpJmx.exe
  C:\Windows\System32\KCHpJmx.exe
  2⤵
  PID:8148
- C:\Windows\System32\vrsetnW.exe
  C:\Windows\System32\vrsetnW.exe
  2⤵
  PID:6548
- C:\Windows\System32\CCqiDfB.exe
  C:\Windows\System32\CCqiDfB.exe
  2⤵
  PID:7288
- C:\Windows\System32\tFodFaq.exe
  C:\Windows\System32\tFodFaq.exe
  2⤵
  PID:7408
- C:\Windows\System32\VBxYnOI.exe
  C:\Windows\System32\VBxYnOI.exe
  2⤵
  PID:6892
- C:\Windows\System32\TiDKxOR.exe
  C:\Windows\System32\TiDKxOR.exe
  2⤵
  PID:7700
- C:\Windows\System32\NDGQvYg.exe
  C:\Windows\System32\NDGQvYg.exe
  2⤵
  PID:7756
- C:\Windows\System32\upuiflu.exe
  C:\Windows\System32\upuiflu.exe
  2⤵
  PID:7956
- C:\Windows\System32\mxHrIYL.exe
  C:\Windows\System32\mxHrIYL.exe
  2⤵
  PID:7236
- C:\Windows\System32\nweXQKP.exe
  C:\Windows\System32\nweXQKP.exe
  2⤵
  PID:7384
- C:\Windows\System32\xzyMsNG.exe
  C:\Windows\System32\xzyMsNG.exe
  2⤵
  PID:7960
- C:\Windows\System32\SiufXXr.exe
  C:\Windows\System32\SiufXXr.exe
  2⤵
  PID:7708
- C:\Windows\System32\xBAruSk.exe
  C:\Windows\System32\xBAruSk.exe
  2⤵
  PID:7464
- C:\Windows\System32\xNlKeDK.exe
  C:\Windows\System32\xNlKeDK.exe
  2⤵
  PID:8204
- C:\Windows\System32\OooNvbQ.exe
  C:\Windows\System32\OooNvbQ.exe
  2⤵
  PID:8232
- C:\Windows\System32\viZPCEB.exe
  C:\Windows\System32\viZPCEB.exe
  2⤵
  PID:8264
- C:\Windows\System32\nrcKqKI.exe
  C:\Windows\System32\nrcKqKI.exe
  2⤵
  PID:8292
- C:\Windows\System32\WYBnsyU.exe
  C:\Windows\System32\WYBnsyU.exe
  2⤵
  PID:8308
- C:\Windows\System32\RguwuiO.exe
  C:\Windows\System32\RguwuiO.exe
  2⤵
  PID:8344
- C:\Windows\System32\rnAAVDe.exe
  C:\Windows\System32\rnAAVDe.exe
  2⤵
  PID:8404
- C:\Windows\System32\tNVVDps.exe
  C:\Windows\System32\tNVVDps.exe
  2⤵
  PID:8432
- C:\Windows\System32\HYOEdDM.exe
  C:\Windows\System32\HYOEdDM.exe
  2⤵
  PID:8448
- C:\Windows\System32\TfDqctc.exe
  C:\Windows\System32\TfDqctc.exe
  2⤵
  PID:8472
- C:\Windows\System32\jNLdLXG.exe
  C:\Windows\System32\jNLdLXG.exe
  2⤵
  PID:8492
- C:\Windows\System32\TitwTYl.exe
  C:\Windows\System32\TitwTYl.exe
  2⤵
  PID:8528
- C:\Windows\System32\VeZajEW.exe
  C:\Windows\System32\VeZajEW.exe
  2⤵
  PID:8548
- C:\Windows\System32\VWrcoYN.exe
  C:\Windows\System32\VWrcoYN.exe
  2⤵
  PID:8568
- C:\Windows\System32\FHPYzhD.exe
  C:\Windows\System32\FHPYzhD.exe
  2⤵
  PID:8596
- C:\Windows\System32\BlxAkzX.exe
  C:\Windows\System32\BlxAkzX.exe
  2⤵
  PID:8664
- C:\Windows\System32\CyoEwEI.exe
  C:\Windows\System32\CyoEwEI.exe
  2⤵
  PID:8680
- C:\Windows\System32\wAwCpzD.exe
  C:\Windows\System32\wAwCpzD.exe
  2⤵
  PID:8700
- C:\Windows\System32\EnQncmz.exe
  C:\Windows\System32\EnQncmz.exe
  2⤵
  PID:8760
- C:\Windows\System32\HcAJaLT.exe
  C:\Windows\System32\HcAJaLT.exe
  2⤵
  PID:8776
- C:\Windows\System32\mWOjHip.exe
  C:\Windows\System32\mWOjHip.exe
  2⤵
  PID:8792
- C:\Windows\System32\zEbxpGu.exe
  C:\Windows\System32\zEbxpGu.exe
  2⤵
  PID:8820
- C:\Windows\System32\qxQEQmg.exe
  C:\Windows\System32\qxQEQmg.exe
  2⤵
  PID:8840
- C:\Windows\System32\FusHinN.exe
  C:\Windows\System32\FusHinN.exe
  2⤵
  PID:8856
- C:\Windows\System32\cgqJyhx.exe
  C:\Windows\System32\cgqJyhx.exe
  2⤵
  PID:8880
- C:\Windows\System32\vtxSecR.exe
  C:\Windows\System32\vtxSecR.exe
  2⤵
  PID:8908
- C:\Windows\System32\TzUojHA.exe
  C:\Windows\System32\TzUojHA.exe
  2⤵
  PID:8928
- C:\Windows\System32\tohtkhC.exe
  C:\Windows\System32\tohtkhC.exe
  2⤵
  PID:8984
- C:\Windows\System32\FhJcWJt.exe
  C:\Windows\System32\FhJcWJt.exe
  2⤵
  PID:9012
- C:\Windows\System32\MwbXvTN.exe
  C:\Windows\System32\MwbXvTN.exe
  2⤵
  PID:9028
- C:\Windows\System32\OqbJnlK.exe
  C:\Windows\System32\OqbJnlK.exe
  2⤵
  PID:9052
- C:\Windows\System32\isYhNZH.exe
  C:\Windows\System32\isYhNZH.exe
  2⤵
  PID:9108
- C:\Windows\System32\ITVzkTW.exe
  C:\Windows\System32\ITVzkTW.exe
  2⤵
  PID:9124
- C:\Windows\System32\xsdhXKp.exe
  C:\Windows\System32\xsdhXKp.exe
  2⤵
  PID:9160
- C:\Windows\System32\RqQiuVf.exe
  C:\Windows\System32\RqQiuVf.exe
  2⤵
  PID:9212
- C:\Windows\System32\CLdabuQ.exe
  C:\Windows\System32\CLdabuQ.exe
  2⤵
  PID:8372
- C:\Windows\System32\wVUMyXH.exe
  C:\Windows\System32\wVUMyXH.exe
  2⤵
  PID:8400
- C:\Windows\System32\PmAPWGH.exe
  C:\Windows\System32\PmAPWGH.exe
  2⤵
  PID:8428
- C:\Windows\System32\OAdCfgz.exe
  C:\Windows\System32\OAdCfgz.exe
  2⤵
  PID:8444
- C:\Windows\System32\wbnFzYk.exe
  C:\Windows\System32\wbnFzYk.exe
  2⤵
  PID:8516
- C:\Windows\System32\Nhrhspc.exe
  C:\Windows\System32\Nhrhspc.exe
  2⤵
  PID:8544
- C:\Windows\System32\QHbLfTZ.exe
  C:\Windows\System32\QHbLfTZ.exe
  2⤵
  PID:8580
- C:\Windows\System32\nGseDom.exe
  C:\Windows\System32\nGseDom.exe
  2⤵
  PID:8644
- C:\Windows\System32\xCGyqTI.exe
  C:\Windows\System32\xCGyqTI.exe
  2⤵
  PID:8672
- C:\Windows\System32\iXVkpDg.exe
  C:\Windows\System32\iXVkpDg.exe
  2⤵
  PID:8708
- C:\Windows\System32\oNXRPUc.exe
  C:\Windows\System32\oNXRPUc.exe
  2⤵
  PID:8756
- C:\Windows\System32\SlGeQEJ.exe
  C:\Windows\System32\SlGeQEJ.exe
  2⤵
  PID:8788
- C:\Windows\System32\oGTjzRc.exe
  C:\Windows\System32\oGTjzRc.exe
  2⤵
  PID:8804
- C:\Windows\System32\nyyelVF.exe
  C:\Windows\System32\nyyelVF.exe
  2⤵
  PID:8868
- C:\Windows\System32\PNxOaIS.exe
  C:\Windows\System32\PNxOaIS.exe
  2⤵
  PID:4972
- C:\Windows\System32\CFLMVgk.exe
  C:\Windows\System32\CFLMVgk.exe
  2⤵
  PID:9136
- C:\Windows\System32\RoiWKfL.exe
  C:\Windows\System32\RoiWKfL.exe
  2⤵
  PID:9092
- C:\Windows\System32\udtbgMo.exe
  C:\Windows\System32\udtbgMo.exe
  2⤵
  PID:7548
- C:\Windows\System32\kJQXFRJ.exe
  C:\Windows\System32\kJQXFRJ.exe
  2⤵
  PID:872
- C:\Windows\System32\MxilvFj.exe
  C:\Windows\System32\MxilvFj.exe
  2⤵
  PID:8696
- C:\Windows\System32\FvLVddl.exe
  C:\Windows\System32\FvLVddl.exe
  2⤵
  PID:9196
- C:\Windows\System32\yDCaOxo.exe
  C:\Windows\System32\yDCaOxo.exe
  2⤵
  PID:8812
- C:\Windows\System32\mGVJoUR.exe
  C:\Windows\System32\mGVJoUR.exe
  2⤵
  PID:8904
- C:\Windows\System32\LYpUodj.exe
  C:\Windows\System32\LYpUodj.exe
  2⤵
  PID:9080
- C:\Windows\System32\uucCoum.exe
  C:\Windows\System32\uucCoum.exe
  2⤵
  PID:8324
- C:\Windows\System32\XNZXKLu.exe
  C:\Windows\System32\XNZXKLu.exe
  2⤵
  PID:8276
- C:\Windows\System32\pTpEqBS.exe
  C:\Windows\System32\pTpEqBS.exe
  2⤵
  PID:8480
- C:\Windows\System32\FSWmkXv.exe
  C:\Windows\System32\FSWmkXv.exe
  2⤵
  PID:8340
- C:\Windows\System32\XEGevGO.exe
  C:\Windows\System32\XEGevGO.exe
  2⤵
  PID:9192
- C:\Windows\System32\aAdnytN.exe
  C:\Windows\System32\aAdnytN.exe
  2⤵
  PID:8456
- C:\Windows\System32\UZjUSBd.exe
  C:\Windows\System32\UZjUSBd.exe
  2⤵
  PID:9240
- C:\Windows\System32\IfnhBig.exe
  C:\Windows\System32\IfnhBig.exe
  2⤵
  PID:9272
- C:\Windows\System32\vUEtYDO.exe
  C:\Windows\System32\vUEtYDO.exe
  2⤵
  PID:9300
- C:\Windows\System32\qMTtSeB.exe
  C:\Windows\System32\qMTtSeB.exe
  2⤵
  PID:9324
- C:\Windows\System32\JRfqxPr.exe
  C:\Windows\System32\JRfqxPr.exe
  2⤵
  PID:9356
- C:\Windows\System32\AeBjsHH.exe
  C:\Windows\System32\AeBjsHH.exe
  2⤵
  PID:9384
- C:\Windows\System32\SgclAJZ.exe
  C:\Windows\System32\SgclAJZ.exe
  2⤵
  PID:9412
- C:\Windows\System32\ijZSYhd.exe
  C:\Windows\System32\ijZSYhd.exe
  2⤵
  PID:9432
- C:\Windows\System32\ZMyJAvY.exe
  C:\Windows\System32\ZMyJAvY.exe
  2⤵
  PID:9448
- C:\Windows\System32\MYeLvDK.exe
  C:\Windows\System32\MYeLvDK.exe
  2⤵
  PID:9468
- C:\Windows\System32\mTQkEHS.exe
  C:\Windows\System32\mTQkEHS.exe
  2⤵
  PID:9492
- C:\Windows\System32\JInCDrH.exe
  C:\Windows\System32\JInCDrH.exe
  2⤵
  PID:9520
- C:\Windows\System32\bXXtNtd.exe
  C:\Windows\System32\bXXtNtd.exe
  2⤵
  PID:9556
- C:\Windows\System32\odypBDS.exe
  C:\Windows\System32\odypBDS.exe
  2⤵
  PID:9600
- C:\Windows\System32\pGNtHSu.exe
  C:\Windows\System32\pGNtHSu.exe
  2⤵
  PID:9624
- C:\Windows\System32\RKlNhcL.exe
  C:\Windows\System32\RKlNhcL.exe
  2⤵
  PID:9676
- C:\Windows\System32\hzEOxvT.exe
  C:\Windows\System32\hzEOxvT.exe
  2⤵
  PID:9696
- C:\Windows\System32\HhrOORq.exe
  C:\Windows\System32\HhrOORq.exe
  2⤵
  PID:9716
- C:\Windows\System32\LOldlaU.exe
  C:\Windows\System32\LOldlaU.exe
  2⤵
  PID:9748
- C:\Windows\System32\keaBSvX.exe
  C:\Windows\System32\keaBSvX.exe
  2⤵
  PID:9768
- C:\Windows\System32\slsTbrm.exe
  C:\Windows\System32\slsTbrm.exe
  2⤵
  PID:9824
- C:\Windows\System32\ffCAPwB.exe
  C:\Windows\System32\ffCAPwB.exe
  2⤵
  PID:9844
- C:\Windows\System32\RoSSevB.exe
  C:\Windows\System32\RoSSevB.exe
  2⤵
  PID:9860
- C:\Windows\System32\sxTvURu.exe
  C:\Windows\System32\sxTvURu.exe
  2⤵
  PID:9880
- C:\Windows\System32\DGTUerW.exe
  C:\Windows\System32\DGTUerW.exe
  2⤵
  PID:9912
- C:\Windows\System32\OwRjPaY.exe
  C:\Windows\System32\OwRjPaY.exe
  2⤵
  PID:9932
- C:\Windows\System32\AzNKUSa.exe
  C:\Windows\System32\AzNKUSa.exe
  2⤵
  PID:9984
- C:\Windows\System32\mndrSbD.exe
  C:\Windows\System32\mndrSbD.exe
  2⤵
  PID:10012
- C:\Windows\System32\lUmumAv.exe
  C:\Windows\System32\lUmumAv.exe
  2⤵
  PID:10028
- C:\Windows\System32\rLwIeqF.exe
  C:\Windows\System32\rLwIeqF.exe
  2⤵
  PID:10088
- C:\Windows\System32\OtRgpFk.exe
  C:\Windows\System32\OtRgpFk.exe
  2⤵
  PID:10108
- C:\Windows\System32\PYnAzwI.exe
  C:\Windows\System32\PYnAzwI.exe
  2⤵
  PID:10124
- C:\Windows\System32\LOOUsyh.exe
  C:\Windows\System32\LOOUsyh.exe
  2⤵
  PID:10152
- C:\Windows\System32\HnCOGDk.exe
  C:\Windows\System32\HnCOGDk.exe
  2⤵
  PID:10172
- C:\Windows\System32\rdnpWNW.exe
  C:\Windows\System32\rdnpWNW.exe
  2⤵
  PID:10208
- C:\Windows\System32\PExrwqB.exe
  C:\Windows\System32\PExrwqB.exe
  2⤵
  PID:10224
- C:\Windows\System32\RhrmIVw.exe
  C:\Windows\System32\RhrmIVw.exe
  2⤵
  PID:8508
- C:\Windows\System32\qqxyjMV.exe
  C:\Windows\System32\qqxyjMV.exe
  2⤵
  PID:9344
- C:\Windows\System32\xqTnqBn.exe
  C:\Windows\System32\xqTnqBn.exe
  2⤵
  PID:9368
- C:\Windows\System32\owGpwQn.exe
  C:\Windows\System32\owGpwQn.exe
  2⤵
  PID:9500
- C:\Windows\System32\dbeHDJO.exe
  C:\Windows\System32\dbeHDJO.exe
  2⤵
  PID:9536
- C:\Windows\System32\qzBoaLZ.exe
  C:\Windows\System32\qzBoaLZ.exe
  2⤵
  PID:9612
- C:\Windows\System32\vutPrRq.exe
  C:\Windows\System32\vutPrRq.exe
  2⤵
  PID:9648
- C:\Windows\System32\DOAYjwP.exe
  C:\Windows\System32\DOAYjwP.exe
  2⤵
  PID:9692
- C:\Windows\System32\lyUgmeR.exe
  C:\Windows\System32\lyUgmeR.exe
  2⤵
  PID:9708
- C:\Windows\System32\CDrChQS.exe
  C:\Windows\System32\CDrChQS.exe
  2⤵
  PID:9764
- C:\Windows\System32\GxWEAPi.exe
  C:\Windows\System32\GxWEAPi.exe
  2⤵
  PID:9804
- C:\Windows\System32\gUmEohY.exe
  C:\Windows\System32\gUmEohY.exe
  2⤵
  PID:9872
- C:\Windows\System32\FEedFWQ.exe
  C:\Windows\System32\FEedFWQ.exe
  2⤵
  PID:9928
- C:\Windows\System32\lXKcocQ.exe
  C:\Windows\System32\lXKcocQ.exe
  2⤵
  PID:10024
- C:\Windows\System32\OjwFkor.exe
  C:\Windows\System32\OjwFkor.exe
  2⤵
  PID:10064
- C:\Windows\System32\vstmshf.exe
  C:\Windows\System32\vstmshf.exe
  2⤵
  PID:10148
- C:\Windows\System32\yYgCiZR.exe
  C:\Windows\System32\yYgCiZR.exe
  2⤵
  PID:8732
- C:\Windows\System32\UqwDOYE.exe
  C:\Windows\System32\UqwDOYE.exe
  2⤵
  PID:9340
- C:\Windows\System32\tZGONau.exe
  C:\Windows\System32\tZGONau.exe
  2⤵
  PID:9464
- C:\Windows\System32\tLLexNj.exe
  C:\Windows\System32\tLLexNj.exe
  2⤵
  PID:3560
- C:\Windows\System32\NOHdZvU.exe
  C:\Windows\System32\NOHdZvU.exe
  2⤵
  PID:9732
- C:\Windows\System32\ojRMvOr.exe
  C:\Windows\System32\ojRMvOr.exe
  2⤵
  PID:10036
- C:\Windows\System32\sUENMTb.exe
  C:\Windows\System32\sUENMTb.exe
  2⤵
  PID:9956
- C:\Windows\System32\CPatwvy.exe
  C:\Windows\System32\CPatwvy.exe
  2⤵
  PID:10196
- C:\Windows\System32\iLZlyut.exe
  C:\Windows\System32\iLZlyut.exe
  2⤵
  PID:10180
- C:\Windows\System32\jotBVfR.exe
  C:\Windows\System32\jotBVfR.exe
  2⤵
  PID:9540
- C:\Windows\System32\OuteLoS.exe
  C:\Windows\System32\OuteLoS.exe
  2⤵
  PID:10220
- C:\Windows\System32\bWBzpVu.exe
  C:\Windows\System32\bWBzpVu.exe
  2⤵
  PID:9440
- C:\Windows\System32\ngaVsPw.exe
  C:\Windows\System32\ngaVsPw.exe
  2⤵
  PID:10244
- C:\Windows\System32\ybVPWRK.exe
  C:\Windows\System32\ybVPWRK.exe
  2⤵
  PID:10264
- C:\Windows\System32\aqUkdMG.exe
  C:\Windows\System32\aqUkdMG.exe
  2⤵
  PID:10280
- C:\Windows\System32\bpfetpL.exe
  C:\Windows\System32\bpfetpL.exe
  2⤵
  PID:10332
- C:\Windows\System32\eOZSadT.exe
  C:\Windows\System32\eOZSadT.exe
  2⤵
  PID:10376
- C:\Windows\System32\voBFYuW.exe
  C:\Windows\System32\voBFYuW.exe
  2⤵
  PID:10404
- C:\Windows\System32\PuYnoci.exe
  C:\Windows\System32\PuYnoci.exe
  2⤵
  PID:10420
- C:\Windows\System32\QOZthRe.exe
  C:\Windows\System32\QOZthRe.exe
  2⤵
  PID:10460
- C:\Windows\System32\MHRGsRC.exe
  C:\Windows\System32\MHRGsRC.exe
  2⤵
  PID:10476
- C:\Windows\System32\KXehQpV.exe
  C:\Windows\System32\KXehQpV.exe
  2⤵
  PID:10516
- C:\Windows\System32\vmXmphw.exe
  C:\Windows\System32\vmXmphw.exe
  2⤵
  PID:10544
- C:\Windows\System32\YQgBMFV.exe
  C:\Windows\System32\YQgBMFV.exe
  2⤵
  PID:10564
- C:\Windows\System32\YQFqtwg.exe
  C:\Windows\System32\YQFqtwg.exe
  2⤵
  PID:10612
- C:\Windows\System32\RIBMsoi.exe
  C:\Windows\System32\RIBMsoi.exe
  2⤵
  PID:10640
- C:\Windows\System32\SriaTDz.exe
  C:\Windows\System32\SriaTDz.exe
  2⤵
  PID:10660
- C:\Windows\System32\gvsLMyZ.exe
  C:\Windows\System32\gvsLMyZ.exe
  2⤵
  PID:10688
- C:\Windows\System32\gLmkuuj.exe
  C:\Windows\System32\gLmkuuj.exe
  2⤵
  PID:10716
- C:\Windows\System32\uWTAXGY.exe
  C:\Windows\System32\uWTAXGY.exe
  2⤵
  PID:10760
- C:\Windows\System32\FOBAptK.exe
  C:\Windows\System32\FOBAptK.exe
  2⤵
  PID:10780
- C:\Windows\System32\cstdxvT.exe
  C:\Windows\System32\cstdxvT.exe
  2⤵
  PID:10800
- C:\Windows\System32\kZLiGWB.exe
  C:\Windows\System32\kZLiGWB.exe
  2⤵
  PID:10824
- C:\Windows\System32\Hvbgdrz.exe
  C:\Windows\System32\Hvbgdrz.exe
  2⤵
  PID:10852
- C:\Windows\System32\xFWNfNH.exe
  C:\Windows\System32\xFWNfNH.exe
  2⤵
  PID:10892
- C:\Windows\System32\rIwJVqe.exe
  C:\Windows\System32\rIwJVqe.exe
  2⤵
  PID:10920
- C:\Windows\System32\pSotfmF.exe
  C:\Windows\System32\pSotfmF.exe
  2⤵
  PID:10944
- C:\Windows\System32\VBsWZKY.exe
  C:\Windows\System32\VBsWZKY.exe
  2⤵
  PID:10960
- C:\Windows\System32\WBcyoTX.exe
  C:\Windows\System32\WBcyoTX.exe
  2⤵
  PID:10988
- C:\Windows\System32\CekUOZt.exe
  C:\Windows\System32\CekUOZt.exe
  2⤵
  PID:11020
- C:\Windows\System32\lMHqHSD.exe
  C:\Windows\System32\lMHqHSD.exe
  2⤵
  PID:11036
- C:\Windows\System32\ZqoONsW.exe
  C:\Windows\System32\ZqoONsW.exe
  2⤵
  PID:11080
- C:\Windows\System32\udztgSE.exe
  C:\Windows\System32\udztgSE.exe
  2⤵
  PID:11116
- C:\Windows\System32\iwWlgGi.exe
  C:\Windows\System32\iwWlgGi.exe
  2⤵
  PID:11156
- C:\Windows\System32\sRqYMmS.exe
  C:\Windows\System32\sRqYMmS.exe
  2⤵
  PID:11184
- C:\Windows\System32\BsxrcPA.exe
  C:\Windows\System32\BsxrcPA.exe
  2⤵
  PID:11200
- C:\Windows\System32\rEAehkA.exe
  C:\Windows\System32\rEAehkA.exe
  2⤵
  PID:11228
- C:\Windows\System32\XMNpPeU.exe
  C:\Windows\System32\XMNpPeU.exe
  2⤵
  PID:11248
- C:\Windows\System32\ffEasHf.exe
  C:\Windows\System32\ffEasHf.exe
  2⤵
  PID:10260
- C:\Windows\System32\IPhJfHk.exe
  C:\Windows\System32\IPhJfHk.exe
  2⤵
  PID:10252
- C:\Windows\System32\OAjvLwa.exe
  C:\Windows\System32\OAjvLwa.exe
  2⤵
  PID:10276
- C:\Windows\System32\ymjmulV.exe
  C:\Windows\System32\ymjmulV.exe
  2⤵
  PID:10384
- C:\Windows\System32\rEwKbPA.exe
  C:\Windows\System32\rEwKbPA.exe
  2⤵
  PID:10444
- C:\Windows\System32\mswPqcQ.exe
  C:\Windows\System32\mswPqcQ.exe
  2⤵
  PID:10572
- C:\Windows\System32\PATukas.exe
  C:\Windows\System32\PATukas.exe
  2⤵
  PID:10592
- C:\Windows\System32\XaXulbA.exe
  C:\Windows\System32\XaXulbA.exe
  2⤵
  PID:10680
- C:\Windows\System32\HumAquh.exe
  C:\Windows\System32\HumAquh.exe
  2⤵
  PID:10732
- C:\Windows\System32\kYPwijp.exe
  C:\Windows\System32\kYPwijp.exe
  2⤵
  PID:10808
- C:\Windows\System32\IkONnjb.exe
  C:\Windows\System32\IkONnjb.exe
  2⤵
  PID:10832
- C:\Windows\System32\djfGGBq.exe
  C:\Windows\System32\djfGGBq.exe
  2⤵
  PID:10932
- C:\Windows\System32\RyKPTUr.exe
  C:\Windows\System32\RyKPTUr.exe
  2⤵
  PID:11004
- C:\Windows\System32\AsKhaeA.exe
  C:\Windows\System32\AsKhaeA.exe
  2⤵
  PID:11032
- C:\Windows\System32\ZkeXNNQ.exe
  C:\Windows\System32\ZkeXNNQ.exe
  2⤵
  PID:11072
- C:\Windows\System32\HYcArlr.exe
  C:\Windows\System32\HYcArlr.exe
  2⤵
  PID:11136
- C:\Windows\System32\dShpQXL.exe
  C:\Windows\System32\dShpQXL.exe
  2⤵
  PID:11164
- C:\Windows\System32\fcsTpCG.exe
  C:\Windows\System32\fcsTpCG.exe
  2⤵
  PID:10452
- C:\Windows\System32\laiTLgv.exe
  C:\Windows\System32\laiTLgv.exe
  2⤵
  PID:10500
- C:\Windows\System32\lqBvLQp.exe
  C:\Windows\System32\lqBvLQp.exe
  2⤵
  PID:4908
- C:\Windows\System32\etgzeKH.exe
  C:\Windows\System32\etgzeKH.exe
  2⤵
  PID:10652
- C:\Windows\System32\RWSvUxD.exe
  C:\Windows\System32\RWSvUxD.exe
  2⤵
  PID:10812
- C:\Windows\System32\ZJTOcfM.exe
  C:\Windows\System32\ZJTOcfM.exe
  2⤵
  PID:10876
- C:\Windows\System32\bzzBjnH.exe
  C:\Windows\System32\bzzBjnH.exe
  2⤵
  PID:10968
- C:\Windows\System32\TffjctH.exe
  C:\Windows\System32\TffjctH.exe
  2⤵
  PID:11208
- C:\Windows\System32\eQiayGM.exe
  C:\Windows\System32\eQiayGM.exe
  2⤵
  PID:10712
- C:\Windows\System32\MBhDhUm.exe
  C:\Windows\System32\MBhDhUm.exe
  2⤵
  PID:10912
- C:\Windows\System32\RlLNJiT.exe
  C:\Windows\System32\RlLNJiT.exe
  2⤵
  PID:11112
- C:\Windows\System32\lRglXAX.exe
  C:\Windows\System32\lRglXAX.exe
  2⤵
  PID:1196
- C:\Windows\System32\UYdWJCY.exe
  C:\Windows\System32\UYdWJCY.exe
  2⤵
  PID:10432
- C:\Windows\System32\eungnhX.exe
  C:\Windows\System32\eungnhX.exe
  2⤵
  PID:11280
- C:\Windows\System32\bsLNjIr.exe
  C:\Windows\System32\bsLNjIr.exe
  2⤵
  PID:11308
- C:\Windows\System32\eqMKNxj.exe
  C:\Windows\System32\eqMKNxj.exe
  2⤵
  PID:11328
- C:\Windows\System32\YfVNopN.exe
  C:\Windows\System32\YfVNopN.exe
  2⤵
  PID:11356
- C:\Windows\System32\scNRmYm.exe
  C:\Windows\System32\scNRmYm.exe
  2⤵
  PID:11372
- C:\Windows\System32\HlekfLl.exe
  C:\Windows\System32\HlekfLl.exe
  2⤵
  PID:11416
- C:\Windows\System32\uHHuwLl.exe
  C:\Windows\System32\uHHuwLl.exe
  2⤵
  PID:11456
- C:\Windows\System32\PKnMUwD.exe
  C:\Windows\System32\PKnMUwD.exe
  2⤵
  PID:11504
- C:\Windows\System32\GfIvWCj.exe
  C:\Windows\System32\GfIvWCj.exe
  2⤵
  PID:11528
- C:\Windows\System32\UBVmcLA.exe
  C:\Windows\System32\UBVmcLA.exe
  2⤵
  PID:11556
- C:\Windows\System32\SgjMKUZ.exe
  C:\Windows\System32\SgjMKUZ.exe
  2⤵
  PID:11608
- C:\Windows\System32\wBaCQFj.exe
  C:\Windows\System32\wBaCQFj.exe
  2⤵
  PID:11636
- C:\Windows\System32\ObVbdug.exe
  C:\Windows\System32\ObVbdug.exe
  2⤵
  PID:11660
- C:\Windows\System32\EbousSr.exe
  C:\Windows\System32\EbousSr.exe
  2⤵
  PID:11676
- C:\Windows\System32\NlMBSKc.exe
  C:\Windows\System32\NlMBSKc.exe
  2⤵
  PID:11712
- C:\Windows\System32\xrUnBMd.exe
  C:\Windows\System32\xrUnBMd.exe
  2⤵
  PID:11736
- C:\Windows\System32\lYTRJUd.exe
  C:\Windows\System32\lYTRJUd.exe
  2⤵
  PID:11764
- C:\Windows\System32\HLIEJnw.exe
  C:\Windows\System32\HLIEJnw.exe
  2⤵
  PID:11788
- C:\Windows\System32\gpyFMDD.exe
  C:\Windows\System32\gpyFMDD.exe
  2⤵
  PID:11804
- C:\Windows\System32\AVHRwgm.exe
  C:\Windows\System32\AVHRwgm.exe
  2⤵
  PID:11868
- C:\Windows\System32\lyatOUd.exe
  C:\Windows\System32\lyatOUd.exe
  2⤵
  PID:11896
- C:\Windows\System32\bYCRDdy.exe
  C:\Windows\System32\bYCRDdy.exe
  2⤵
  PID:11932
- C:\Windows\System32\drFUoJV.exe
  C:\Windows\System32\drFUoJV.exe
  2⤵
  PID:11952
- C:\Windows\System32\ppvWFQv.exe
  C:\Windows\System32\ppvWFQv.exe
  2⤵
  PID:11980
- C:\Windows\System32\xQTRhUl.exe
  C:\Windows\System32\xQTRhUl.exe
  2⤵
  PID:12004
- C:\Windows\System32\oTmgmPB.exe
  C:\Windows\System32\oTmgmPB.exe
  2⤵
  PID:12024
- C:\Windows\System32\qbpmeib.exe
  C:\Windows\System32\qbpmeib.exe
  2⤵
  PID:12040
- C:\Windows\System32\Gejecln.exe
  C:\Windows\System32\Gejecln.exe
  2⤵
  PID:12060
- C:\Windows\System32\HtGlpwA.exe
  C:\Windows\System32\HtGlpwA.exe
  2⤵
  PID:12084
- C:\Windows\System32\GQvjkmm.exe
  C:\Windows\System32\GQvjkmm.exe
  2⤵
  PID:12112
- C:\Windows\System32\uHOgZBL.exe
  C:\Windows\System32\uHOgZBL.exe
  2⤵
  PID:12132
- C:\Windows\System32\MMiJRNj.exe
  C:\Windows\System32\MMiJRNj.exe
  2⤵
  PID:12192
- C:\Windows\System32\AVRipTo.exe
  C:\Windows\System32\AVRipTo.exe
  2⤵
  PID:12212
- C:\Windows\System32\uaYaFFo.exe
  C:\Windows\System32\uaYaFFo.exe
  2⤵
  PID:12248
- C:\Windows\System32\GNlueey.exe
  C:\Windows\System32\GNlueey.exe
  2⤵
  PID:12264
- C:\Windows\System32\QEECDGN.exe
  C:\Windows\System32\QEECDGN.exe
  2⤵
  PID:10820
- C:\Windows\System32\sCFTNZX.exe
  C:\Windows\System32\sCFTNZX.exe
  2⤵
  PID:11304
- C:\Windows\System32\xtcLmYq.exe
  C:\Windows\System32\xtcLmYq.exe
  2⤵
  PID:11380
- C:\Windows\System32\gkijXVH.exe
  C:\Windows\System32\gkijXVH.exe
  2⤵
  PID:11448
- C:\Windows\System32\RwkWxCJ.exe
  C:\Windows\System32\RwkWxCJ.exe
  2⤵
  PID:11496
- C:\Windows\System32\RQpYGsr.exe
  C:\Windows\System32\RQpYGsr.exe
  2⤵
  PID:11596
- C:\Windows\System32\UIJrjPK.exe
  C:\Windows\System32\UIJrjPK.exe
  2⤵
  PID:11700
- C:\Windows\System32\xbFAxfR.exe
  C:\Windows\System32\xbFAxfR.exe
  2⤵
  PID:11744
- C:\Windows\System32\xdeNwSM.exe
  C:\Windows\System32\xdeNwSM.exe
  2⤵
  PID:11812
- C:\Windows\System32\jOrEJAv.exe
  C:\Windows\System32\jOrEJAv.exe
  2⤵
  PID:11888
- C:\Windows\System32\LpuNyMv.exe
  C:\Windows\System32\LpuNyMv.exe
  2⤵
  PID:11972
- C:\Windows\System32\kgxfShD.exe
  C:\Windows\System32\kgxfShD.exe
  2⤵
  PID:12032
- C:\Windows\System32\TZwrSZb.exe
  C:\Windows\System32\TZwrSZb.exe
  2⤵
  PID:12096
- C:\Windows\System32\aCSkvSi.exe
  C:\Windows\System32\aCSkvSi.exe
  2⤵
  PID:12124
- C:\Windows\System32\kuCcXls.exe
  C:\Windows\System32\kuCcXls.exe
  2⤵
  PID:12152
- C:\Windows\System32\PYvElad.exe
  C:\Windows\System32\PYvElad.exe
  2⤵
  PID:12232
- C:\Windows\System32\IkYasTC.exe
  C:\Windows\System32\IkYasTC.exe
  2⤵
  PID:11016
- C:\Windows\System32\ZjDmYNi.exe
  C:\Windows\System32\ZjDmYNi.exe
  2⤵
  PID:11320
- C:\Windows\System32\lZQZOnt.exe
  C:\Windows\System32\lZQZOnt.exe
  2⤵
  PID:11384
- C:\Windows\System32\tQsQzwb.exe
  C:\Windows\System32\tQsQzwb.exe
  2⤵
  PID:11564
- C:\Windows\System32\TIYgLax.exe
  C:\Windows\System32\TIYgLax.exe
  2⤵
  PID:11728
- C:\Windows\System32\PvQCNAn.exe
  C:\Windows\System32\PvQCNAn.exe
  2⤵
  PID:11796
- C:\Windows\System32\etClZmp.exe
  C:\Windows\System32\etClZmp.exe
  2⤵
  PID:11948
- C:\Windows\System32\gWduEyU.exe
  C:\Windows\System32\gWduEyU.exe
  2⤵
  PID:12180
- C:\Windows\System32\QVrOrhg.exe
  C:\Windows\System32\QVrOrhg.exe
  2⤵
  PID:10952
- C:\Windows\System32\HXrQJqB.exe
  C:\Windows\System32\HXrQJqB.exe
  2⤵
  PID:11672
- C:\Windows\System32\uueXYBf.exe
  C:\Windows\System32\uueXYBf.exe
  2⤵
  PID:11940
- C:\Windows\System32\wrkAKpT.exe
  C:\Windows\System32\wrkAKpT.exe
  2⤵
  PID:12076
- C:\Windows\System32\rQKmbdQ.exe
  C:\Windows\System32\rQKmbdQ.exe
  2⤵
  PID:12320
- C:\Windows\System32\poZHgiZ.exe
  C:\Windows\System32\poZHgiZ.exe
  2⤵
  PID:12344
- C:\Windows\System32\pFuDSvT.exe
  C:\Windows\System32\pFuDSvT.exe
  2⤵
  PID:12368
- C:\Windows\System32\jpQHzDJ.exe
  C:\Windows\System32\jpQHzDJ.exe
  2⤵
  PID:12400
- C:\Windows\System32\nfDowMC.exe
  C:\Windows\System32\nfDowMC.exe
  2⤵
  PID:12420
- C:\Windows\System32\JinrGhx.exe
  C:\Windows\System32\JinrGhx.exe
  2⤵
  PID:12448
- C:\Windows\System32\yTgQVWs.exe
  C:\Windows\System32\yTgQVWs.exe
  2⤵
  PID:12492
- C:\Windows\System32\eichcAM.exe
  C:\Windows\System32\eichcAM.exe
  2⤵
  PID:12508
- C:\Windows\System32\AQWEaNI.exe
  C:\Windows\System32\AQWEaNI.exe
  2⤵
  PID:12560
- C:\Windows\System32\Xhdagzz.exe
  C:\Windows\System32\Xhdagzz.exe
  2⤵
  PID:12580
- C:\Windows\System32\LkQOgQR.exe
  C:\Windows\System32\LkQOgQR.exe
  2⤵
  PID:12616
- C:\Windows\System32\MAfTGiK.exe
  C:\Windows\System32\MAfTGiK.exe
  2⤵
  PID:12652
- C:\Windows\System32\xQDuHSd.exe
  C:\Windows\System32\xQDuHSd.exe
  2⤵
  PID:12676
- C:\Windows\System32\zjxmeRz.exe
  C:\Windows\System32\zjxmeRz.exe
  2⤵
  PID:12692
- C:\Windows\System32\vfRdsXM.exe
  C:\Windows\System32\vfRdsXM.exe
  2⤵
  PID:12720
- C:\Windows\System32\kkElPpv.exe
  C:\Windows\System32\kkElPpv.exe
  2⤵
  PID:12748
- C:\Windows\System32\EIOTKcZ.exe
  C:\Windows\System32\EIOTKcZ.exe
  2⤵
  PID:12764
- C:\Windows\System32\bvBJEHl.exe
  C:\Windows\System32\bvBJEHl.exe
  2⤵
  PID:12784
- C:\Windows\System32\HouWIKh.exe
  C:\Windows\System32\HouWIKh.exe
  2⤵
  PID:12804
- C:\Windows\System32\NpHdYtM.exe
  C:\Windows\System32\NpHdYtM.exe
  2⤵
  PID:12844
- C:\Windows\System32\wAryTaK.exe
  C:\Windows\System32\wAryTaK.exe
  2⤵
  PID:12888
- C:\Windows\System32\BjoKoZu.exe
  C:\Windows\System32\BjoKoZu.exe
  2⤵
  PID:12912
- C:\Windows\System32\LLKJwqQ.exe
  C:\Windows\System32\LLKJwqQ.exe
  2⤵
  PID:12932
- C:\Windows\System32\nFdCZHW.exe
  C:\Windows\System32\nFdCZHW.exe
  2⤵
  PID:12952
- C:\Windows\System32\YhofbEp.exe
  C:\Windows\System32\YhofbEp.exe
  2⤵
  PID:12980
- C:\Windows\System32\bZkiNgR.exe
  C:\Windows\System32\bZkiNgR.exe
  2⤵
  PID:13008
- C:\Windows\System32\cRHzrQN.exe
  C:\Windows\System32\cRHzrQN.exe
  2⤵
  PID:13048
- C:\Windows\System32\biczLIy.exe
  C:\Windows\System32\biczLIy.exe
  2⤵
  PID:13084
- C:\Windows\System32\hoiZXtR.exe
  C:\Windows\System32\hoiZXtR.exe
  2⤵
  PID:13116
- C:\Windows\System32\fJKDUJK.exe
  C:\Windows\System32\fJKDUJK.exe
  2⤵
  PID:13156
- C:\Windows\System32\NcoNdAx.exe
  C:\Windows\System32\NcoNdAx.exe
  2⤵
  PID:13192
- C:\Windows\System32\LaQiuQW.exe
  C:\Windows\System32\LaQiuQW.exe
  2⤵
  PID:13212
- C:\Windows\System32\izTzzFF.exe
  C:\Windows\System32\izTzzFF.exe
  2⤵
  PID:13232
- C:\Windows\System32\YsYJtxI.exe
  C:\Windows\System32\YsYJtxI.exe
  2⤵
  PID:13268
- C:\Windows\System32\XJvtcnZ.exe
  C:\Windows\System32\XJvtcnZ.exe
  2⤵
  PID:13288
- C:\Windows\System32\MzcPOqU.exe
  C:\Windows\System32\MzcPOqU.exe
  2⤵
  PID:12160
- C:\Windows\System32\KwGmrQe.exe
  C:\Windows\System32\KwGmrQe.exe
  2⤵
  PID:12092
- C:\Windows\System32\JgUcjfU.exe
  C:\Windows\System32\JgUcjfU.exe
  2⤵
  PID:12364

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:12944

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\BAfbDLc.exe

Filesize
1.7MB

MD5
941945b78d07f6db72c191fcc753527f

SHA1
6baf095cca3dad9f129dc32a861255b440389692

SHA256
2425976ad762aa368e74da29a1631599f0c5052dabf5132f3fe03ae4e6c65a41

SHA512
ee891e9c597e1bc570ae24fa9ff6e0473778b75971bedd87ef1e167b7b4acac03d880e687ca0c55bbf4d6b8a59080523ecd65d6f89ecf7a824ad6006c495b576

Download Submit
C:\Windows\System32\CTlYZLK.exe

Filesize
1.7MB

MD5
bbeb9ec2be609ba0783187d0431a2fbd

SHA1
b7d62ce2a108edbd9e0beb708ad870bf8e5e6685

SHA256
e127917687ffa47e7b97039280c9f650b0027315ad392614f11ad298c114f4aa

SHA512
f3269c09c9cb22ef74959b2d413e6f559cd4f59886e53b591f5033d640e49e3fe23219accbbccb32ab66156e6f3da9ac0fbcc77e9094302c8d21044eba93d3a1

Download Submit
C:\Windows\System32\Crckfly.exe

Filesize
1.7MB

MD5
39104d0658bc4426f0e34e2061181ff0

SHA1
be59ea5e5ca61845107d882249ba334a6d023eba

SHA256
286808d76bcbfa66320e31c9ef28024d9ddfe52aa4ab516c6e54b8b945c43353

SHA512
2522c45c42489ca024bd15d705406f45d764c35e488966f6ee112fb20dbb80f97f0ecc07ee2449a1d3d16a245d3a12fa2042023ab61918bfd41024a414411e8c

Download Submit
C:\Windows\System32\GJSLKQO.exe

Filesize
1.7MB

MD5
37eca5f8ee0e38c2607dabff1707b71f

SHA1
2d0c2a194f40e51fff6fed748ddaca3f9425d889

SHA256
c74a7b8e4b34627e5da495653798e23de311922bc1a9b22f63b76f59d0a347b8

SHA512
781b79b20941820bfeb98d0b09337f19b8257dc21724bba0a6e04d144a6512893e2b71a33817a9061cf745a695efe188ca8a159fcfa7ea726e46ec1b965069fb

Download Submit
C:\Windows\System32\HVfeAyJ.exe

Filesize
1.7MB

MD5
477a419806cef77d63eb9a7b4ad99499

SHA1
8125b12bae6d83041f9ea36c3d3ef4053dd0e55b

SHA256
9c75990a1bf01f0c0d91c1ee92f02ce0187a27dd3464e64b18814bd0bf0ecec9

SHA512
42d748ee1b8acd455450ce236615feb87af2f8bdac64e2247c43f31a212a23eac9ebee94ecffcc51169bf3410be74288ff413815019ee08eb1b38eeee10c3b33

Download Submit
C:\Windows\System32\IDWfUsR.exe

Filesize
1.7MB

MD5
fd015efb9b24033123a49188716d49b6

SHA1
3fafa24aa84afb1818b0739871ad272be47d6019

SHA256
e8d6de521fe3e335ebb92c39b2072603fadeaec186b97e31eeadfc03622c3768

SHA512
9b0dddecd1954563631bd1f24797d26b4b0dc3edb6661a4518f5209fce38b7bf4fb6ed4538d0149d3944d695d7231597d29199c046a11839dbe133924fe7dfdf

Download Submit
C:\Windows\System32\IXFrRoO.exe

Filesize
1.7MB

MD5
f8dc1d12d9b03d364bb7cc2602c7d56d

SHA1
a4ae2bb091b2ccd2da3a11a5479eae2775bc5ad1

SHA256
215221a0984942cbada1e2573f97c0b982cc780ea2aebb4533854a1977cef3e8

SHA512
953be6eca3da0d5c2801a193f755090e1ea98d276d2a0086efb07929833ce44ffd26cc79b955db35fcf8801e92cf7c2d273a7e597f55535e2c21e8cb333d505a

Download Submit
C:\Windows\System32\JZLFpXC.exe

Filesize
1.7MB

MD5
35f7cd336022444e4bfd1317714eeb69

SHA1
2ea16d7a219cd58eaef7cf0e6ae5e305d9a62ea6

SHA256
815c2535d446a56b42cbfe31183f8bf59495d908505aefca3b5449e397df12d7

SHA512
50f027abb254f32ef7e08a3387b0f84b269cb643b0564f9191856649baa415221e97677f0e2600d0a45dbadc11be8dc07d740f0e1451244d03c499d2b5807d3d

Download Submit
C:\Windows\System32\KRtOCoP.exe

Filesize
1.7MB

MD5
c2f991068b9e2a32155211e5f4f4cb9d

SHA1
51ca9419794497930b8537f301dca9c424937bb2

SHA256
6e5e9fae4e8b428f10148c4bd3493e5799abfb9e20e5a4589e8737dedae839bf

SHA512
5864362defc91fe50319584798b79a605ba9a83ac32c74915be37632180374cd8bd1358635963770e1b735accfc2362a92f0b7477f55ccbde63afe3c2d3ec84a

Download Submit
C:\Windows\System32\LcylBRO.exe

Filesize
1.7MB

MD5
086cb1ad0e69092f8a34560309e3796b

SHA1
091a9727d584e6b47f3b48ab2d8a07dcd6941ce8

SHA256
9054a9720bc26769fc81091c42b43c1a0e6834eb95d497b6dfcc1ead0cc38743

SHA512
7e11e7e943c1eafbf82b941d0aa2168800e9ca76270fa0c8cbec507b0047ff42b5cc7c873318ae6c66767976f1245acae89cbd062da53f130bdbc8016382a101

Download Submit
C:\Windows\System32\RbXwTFA.exe

Filesize
1.7MB

MD5
8129153240f5846e8719a989949466b4

SHA1
4a8c65a1e33b346254a672fd7ccd3770c71ba398

SHA256
da00acdd29cda6b17d568d129d60b5c5ce305881aef47946ae1d9bb9cd5a8c9f

SHA512
21e87139b1c8a386ebe4498b8750e1240feb1af06ddd4b40f8cc2d95e42892a0c083841e1e453ac0d6ecb051548f8e9b9622ef9792a62354e94f41a910762236

Download Submit
C:\Windows\System32\SPeJHBg.exe

Filesize
1.7MB

MD5
8e8998074cdeebc95c67159d42cdf7fe

SHA1
6ecd0d72aaaab5adb00e867664f5f26c6baba092

SHA256
8d02a2ed28af6f9eb9a961be6ac364cb2663a4c5e735cd525a8842f92a7d3fde

SHA512
d5f4337737a9f835f7460e8688ae2ce9c12999562b1b114e4e36083b6dea14a81c39fd60e89dbeef99cf412cddeda7b5e66afc67b5b948b8e26415c7742a608f

Download Submit
C:\Windows\System32\ShSuYfb.exe

Filesize
1.7MB

MD5
cd43653dbf1f3ad7dea009921a9cee27

SHA1
e64c3eb03188ac00868c8c2e3bd0c8c09dda9116

SHA256
8443f991d6315f4717e520b3e0736f8cc6275806259dd61a05ecd413de30d815

SHA512
3b0b8b76dea7c17c234922a5c0114a26944d5f4690fdadb27eae9afb66548c1f88aee6d720e620132b024cdd1507c3a445f9f8f3a03002037c54c714e707040d

Download Submit
C:\Windows\System32\VVUvrbj.exe

Filesize
1.7MB

MD5
608589dd7abceef08bc7514df2219fef

SHA1
5a288ea2b4a01da7e23f918d32aa8a76bc51f70d

SHA256
0fcc8d4067edfcd0e6dc3d96fed7f0d961b73130cde2c71e9a3aa1dcfe680bfe

SHA512
2712ffaec418f367fd78b3361a584ff542f5ea864f2b46a3060cd25f4ca750018bcee986794fdb457986f8fd6919f7325b59695a0b882ab4c067da929667cb93

Download Submit
C:\Windows\System32\XlCwBEB.exe

Filesize
1.7MB

MD5
efca9c78c55555398cde5fd17dd1ef87

SHA1
111339259097634111f2c1c435390be37f4248ca

SHA256
fc8bc2a1fd236f4695678ab2ec92b41bdabbe4d4fb6fe61316b622d34b06798c

SHA512
64a74f3846b55ceab21da40b31a84629708389f2a9fc9a5779079911df8c6b1ba2969f2a2505bf6ee10c61ad6701be265e4a978fcea33d2c0363cd44f1559224

Download Submit
C:\Windows\System32\YZLpqRw.exe

Filesize
1.7MB

MD5
ff7e9ed36551622f8b0cd7592f561136

SHA1
f40d002a08dd083c3d6222ac576cfff35282849f

SHA256
f91b965de1543706fb8199039f1124f4ec4425ab4023d6c96d3cc0616c6eec07

SHA512
e926e70b27c8a677ce9bde24d279e694f6828137ffba9120bccc88d4878cc1148bb02935d102da43f0fe2b4503544b4782bb67c26e7adc90d449e4d25198b3c0

Download Submit
C:\Windows\System32\YewtDvT.exe

Filesize
1.7MB

MD5
d0a73a32618a26bc11b3aae73571697b

SHA1
5be96486af843d7da901f84b273b2c90fc7d8e35

SHA256
7b7e01424c1c11cd2f1be1031e27411855abab825b057fc4c24b63e9b8860e65

SHA512
5dcae658d34ef64715f22c9d15541379e8a12313c5a7951f6dd1c4c28b7d39f8fa25051132093005218648c949422fee66a16a1cf48889bcfa8953c92a6ca0dc

Download Submit
C:\Windows\System32\bMSibMX.exe

Filesize
1.7MB

MD5
fc88929280d6afc57c2688c253e67a59

SHA1
7d9d144d114bcb7b278579224753294ef21cd680

SHA256
ac8d7c94b1fe1162d3bc200b010a7ed6ad6056aeff8abde83e72df0e1bfa3aea

SHA512
de36e4abe991dbc53039ac3891b229183a5876b362641cdb7f743b9aca677dd1bb5745fe739fc2cc24f573383e3f06142e89c7ded5926632ea23b1f263997840

Download Submit
C:\Windows\System32\cARyYAK.exe

Filesize
1.7MB

MD5
8f3ce00d777abfa6766f6c4bde237e4b

SHA1
3444cf0d1e73bb2dc7e4bed9604e17f1971c3831

SHA256
61a1497405a2e72cd95a073d26691e69b17532597392e4b908d667227a1b2b2b

SHA512
391ea2d1e35c24760c028ef40e591f242416656e3c278f5ccad2d458f31ddf98885d098567a938e557b84dac822af340e5641c203ca8a4cf8c82ee6126098efa

Download Submit
C:\Windows\System32\dFTXVuQ.exe

Filesize
1.7MB

MD5
822f724656e74348a9b39a38e862fc92

SHA1
77cbf9748c9814d207e1e63e8a94625145b14428

SHA256
4f93b35e2e1312fda221ca773d1fd4ba975a685d1395aa5d1b908aceb4e8472a

SHA512
927a08fd853100626788017bdaa97736f786ef0889fa2d2821783ec33cc102bb37abcb180d7a5b3a7bf5ff55030fecef0a69b6f03a4efd733a7502d303eac5ea

Download Submit
C:\Windows\System32\gJvtuDf.exe

Filesize
1.7MB

MD5
72433f51ab5964694caf50c73d27c8a4

SHA1
8e38bee9888700cc197606d279f715b5bc94be8e

SHA256
73ea7911c92cc253b67f0927acbed24e6c777be4b5bfad9f834539189521af4e

SHA512
8a63dfb2dd48425cbd3fe96cfd8b5e45c7fff9b6cc9fb5cdd1c3202849869c9bde3ceafbc6d85fa3aff3263e4ae4b69727343f8cd1aec7f02ee8ac3a81aa6c6b

Download Submit
C:\Windows\System32\hPLccQj.exe

Filesize
1.7MB

MD5
3b6f26668d1a8071394baae7d1e2ce1b

SHA1
94841579d21a2cbde2f7fe64cf1dca29dbef88fe

SHA256
bfb164644f67a7bbf92a6d04580d49ce95dc4682c12e1c7566f410b5e2a9d04c

SHA512
4b071b388bc886c0e6965d90686d2f780a932ab587b0c323b6a3d556297cbd899bc43a58316593021853b41486be5c213a2e30979d00bf0dfbf2616f617fb854

Download Submit
C:\Windows\System32\kFsQqSE.exe

Filesize
1.7MB

MD5
5c963aa267154ce78041c2fbcdb8b615

SHA1
435f0fbb6513e8f30aa64f24cc5e273d2fd851db

SHA256
03fb302c9be5ca52b1b9465ef49ca3d584c2dbdc1f35e59e8a1e4c55b7650493

SHA512
6d2bb458e270541307ade426df3cfeeb614bb8b16385af8f6eb74dfbcbb8f63ac25b1f389e80e2564d652abc862fd9e4487c2f9e7d12ad6feefe8e1b322fbadb

Download Submit
C:\Windows\System32\lujTjmn.exe

Filesize
1.7MB

MD5
5097fea3263f24617cb80a9d147322da

SHA1
22c526f16042aabdfdabf5a78a797c56a457e863

SHA256
f43b9cc0d736b8f64310125587db416dbffdb2598af49ff5dd782828f1707f32

SHA512
b9901c96ad5c9b5cb4c162a6b7be5ed377180f676ee18cac26236d21ec22fac5bfab791a70705696ee58dce12c48f67a920215b8868f65a75f2263e18734c6c0

Download Submit
C:\Windows\System32\mjQfzWM.exe

Filesize
1.7MB

MD5
18800a8a07324adbddc970b6d1a924ac

SHA1
daf4dfe4a3633465a689f8b6b47289c3b18be29d

SHA256
f2f4effd61d2ee4983069804bbbab0b9868337b1a0184c370c1b1fcaf1f96798

SHA512
20be01c57baf817bacfa41857c1a2c90c1f1532c0a8e63ae8a92615a64f699e4c7907e3c5ea1dfbf3ab6640bf48b5af0ffa8885a212d84291748243fbf1d4466

Download Submit
C:\Windows\System32\nWJhFkF.exe

Filesize
1.7MB

MD5
69457152ab7757c5f7e00a5adb7faae2

SHA1
eb708544853faaf98f94eddc7fddba550812c821

SHA256
7aa7e00ea1ac2a19d72c7d4b4ff4fe4752d487eea9b64aa41e08cf1f7292151e

SHA512
b8de4390473f6e6f7fb3070329f9d91a1f34b0cb3d80a13e5604c453931e47159524210728fae92551440fda569b0454cd7cc4ac870ef7f2243a190d871e6505

Download Submit
C:\Windows\System32\pApOHNk.exe

Filesize
1.7MB

MD5
91a68d57ec519c7e2fc2873dd95b3b06

SHA1
2e93f8fb7c02e975e19b5806cb103312c17d3c3a

SHA256
c784077b837be1d478ca9169462d4faa9697116615764d93f2f41f4134c6da62

SHA512
bdc333ff3db41952c31e91e3620acf1bd0f101bfa639f93e6766a2edb6348d217b318bab890ea298cdd832328e59c6713996e371c6ea8fe4d9babc5e2c94293d

Download Submit
C:\Windows\System32\pMHfTRK.exe

Filesize
1.7MB

MD5
5e4c1b1cc2ba6e37b701c1baba9df568

SHA1
c24a45194260b3dabe5dbcf3f7a9100e87ca3e1e

SHA256
a599b429d0bbb8b7328fec674407d9d2a6130960fcf632c6e8cfe7f6de44eebf

SHA512
04bbd314450ece307a1bd2d477499ddb670e896dba9c4b554673baca4474c0b0ec94f0241333af2c011643d4e4c7afd23b5812d3a768ec8a4297cf7143229d49

Download Submit
C:\Windows\System32\qDiPiHx.exe

Filesize
1.7MB

MD5
0faad2556c51a4e258b27f429ab2416c

SHA1
663090c7f509d0c72f1133137d42fd90512d136a

SHA256
2f05fcaa4f0786a0c271211944c9787326845df7a84ba01471b3bc13c0c00213

SHA512
ee16741e944d9fa6e7e6f654a38dd88efeef14b8da22afe4d59807ccbf98d94e9bf3408676ce941c1f036f0b7e98bc69e477a2daee376a2b105384bfb6115e45

Download Submit
C:\Windows\System32\sTgsYjP.exe

Filesize
1.7MB

MD5
4f87f56712c56cc8c85f417e5b44d042

SHA1
50d3d52854c228422441ac7c6ab5be50652feba9

SHA256
9ebfda0ed2ed5067b239a5ceacfe7c8db3a97be539a6964d2dac451b5b39e5b4

SHA512
4392e789137824a9d282e80b150267a065c8deaf00c3c2775eb414d5632fdaa0ddcdab0922db337379e110d707c1ba1776c1b5cb99eda6d165261b18887b1692

Download Submit
C:\Windows\System32\tRaLxpf.exe

Filesize
1.7MB

MD5
0726ac6fb860cd3153eca79cc1513a03

SHA1
eb388378c31f8ce5aac09d69d33c23d4c7f578e8

SHA256
692ae1f0d7903434d6d8d2f3aa03378b5df82582fb9c22a037116f0bca1f005f

SHA512
ae6f45785120d2bfe9ec37518ffcf02d18cab0ddf45aaa3ceb15e2bba331af3cf2fe54852216193954d35f244b060476f7cd8e78dfa2ba35b4ebd6986ae35416

Download Submit
C:\Windows\System32\uupseGK.exe

Filesize
1.7MB

MD5
e0645aa0f82e5f5eb4ed32e15a3580aa

SHA1
dd8d1a41f18795924e3bc5698b96dc09f9b7b6d4

SHA256
183ad683d42651b1cf9177710bc1fecfbcedd00191cc0a0f9a4b67d65cfd4e46

SHA512
6f0c3ab40b6328bc7c8bf04b28cb96a56c091bac0ada41fb662845da5b787b6ad5703ccdfad9958a8326478a7b7867c58be5dfe3b078db5d23724d52d191539e

Download Submit
memory/512-507-0x00007FF793C50000-0x00007FF794041000-memory.dmp

Filesize
3.9MB

Download
memory/512-2014-0x00007FF793C50000-0x00007FF794041000-memory.dmp

Filesize
3.9MB

Download
memory/704-2030-0x00007FF71D430000-0x00007FF71D821000-memory.dmp

Filesize
3.9MB

Download
memory/704-495-0x00007FF71D430000-0x00007FF71D821000-memory.dmp

Filesize
3.9MB

Download
memory/1068-44-0x00007FF6693B0000-0x00007FF6697A1000-memory.dmp

Filesize
3.9MB

Download
memory/1068-2006-0x00007FF6693B0000-0x00007FF6697A1000-memory.dmp

Filesize
3.9MB

Download
memory/1260-451-0x00007FF6AF2A0000-0x00007FF6AF691000-memory.dmp

Filesize
3.9MB

Download
memory/1260-2042-0x00007FF6AF2A0000-0x00007FF6AF691000-memory.dmp

Filesize
3.9MB

Download
memory/1604-399-0x00007FF761840000-0x00007FF761C31000-memory.dmp

Filesize
3.9MB

Download
memory/1604-2056-0x00007FF761840000-0x00007FF761C31000-memory.dmp

Filesize
3.9MB

Download
memory/1608-390-0x00007FF62F630000-0x00007FF62FA21000-memory.dmp

Filesize
3.9MB

Download
memory/1608-2032-0x00007FF62F630000-0x00007FF62FA21000-memory.dmp

Filesize
3.9MB

Download
memory/1704-2002-0x00007FF7FBFD0000-0x00007FF7FC3C1000-memory.dmp

Filesize
3.9MB

Download
memory/1704-1982-0x00007FF7FBFD0000-0x00007FF7FC3C1000-memory.dmp

Filesize
3.9MB

Download
memory/1704-24-0x00007FF7FBFD0000-0x00007FF7FC3C1000-memory.dmp

Filesize
3.9MB

Download
memory/1736-1-0x0000011A1BBE0000-0x0000011A1BBF0000-memory.dmp

Filesize
64KB

Download
memory/1736-0-0x00007FF684670000-0x00007FF684A61000-memory.dmp

Filesize
3.9MB

Download
memory/1736-1980-0x00007FF684670000-0x00007FF684A61000-memory.dmp

Filesize
3.9MB

Download
memory/1844-488-0x00007FF689950000-0x00007FF689D41000-memory.dmp

Filesize
3.9MB

Download
memory/1844-2026-0x00007FF689950000-0x00007FF689D41000-memory.dmp

Filesize
3.9MB

Download
memory/1888-439-0x00007FF771AC0000-0x00007FF771EB1000-memory.dmp

Filesize
3.9MB

Download
memory/1888-2040-0x00007FF771AC0000-0x00007FF771EB1000-memory.dmp

Filesize
3.9MB

Download
memory/2012-2005-0x00007FF729020000-0x00007FF729411000-memory.dmp

Filesize
3.9MB

Download
memory/2012-1983-0x00007FF729020000-0x00007FF729411000-memory.dmp

Filesize
3.9MB

Download
memory/2012-40-0x00007FF729020000-0x00007FF729411000-memory.dmp

Filesize
3.9MB

Download
memory/2476-509-0x00007FF7B28E0000-0x00007FF7B2CD1000-memory.dmp

Filesize
3.9MB

Download
memory/2476-2008-0x00007FF7B28E0000-0x00007FF7B2CD1000-memory.dmp

Filesize
3.9MB

Download
memory/2488-2024-0x00007FF7A0350000-0x00007FF7A0741000-memory.dmp

Filesize
3.9MB

Download
memory/2488-388-0x00007FF7A0350000-0x00007FF7A0741000-memory.dmp

Filesize
3.9MB

Download
memory/2600-2020-0x00007FF62A9F0000-0x00007FF62ADE1000-memory.dmp

Filesize
3.9MB

Download
memory/2600-389-0x00007FF62A9F0000-0x00007FF62ADE1000-memory.dmp

Filesize
3.9MB

Download
memory/3156-2036-0x00007FF6E7060000-0x00007FF6E7451000-memory.dmp

Filesize
3.9MB

Download
memory/3156-391-0x00007FF6E7060000-0x00007FF6E7451000-memory.dmp

Filesize
3.9MB

Download
memory/3620-512-0x00007FF6E7880000-0x00007FF6E7C71000-memory.dmp

Filesize
3.9MB

Download
memory/3620-2016-0x00007FF6E7880000-0x00007FF6E7C71000-memory.dmp

Filesize
3.9MB

Download
memory/3864-2028-0x00007FF613D30000-0x00007FF614121000-memory.dmp

Filesize
3.9MB

Download
memory/3864-479-0x00007FF613D30000-0x00007FF614121000-memory.dmp

Filesize
3.9MB

Download
memory/4188-2000-0x00007FF658050000-0x00007FF658441000-memory.dmp

Filesize
3.9MB

Download
memory/4188-13-0x00007FF658050000-0x00007FF658441000-memory.dmp

Filesize
3.9MB

Download
memory/4188-1981-0x00007FF658050000-0x00007FF658441000-memory.dmp

Filesize
3.9MB

Download
memory/4200-2010-0x00007FF64A9E0000-0x00007FF64ADD1000-memory.dmp

Filesize
3.9MB

Download
memory/4200-54-0x00007FF64A9E0000-0x00007FF64ADD1000-memory.dmp

Filesize
3.9MB

Download
memory/4560-2012-0x00007FF739A00000-0x00007FF739DF1000-memory.dmp

Filesize
3.9MB

Download
memory/4560-387-0x00007FF739A00000-0x00007FF739DF1000-memory.dmp

Filesize
3.9MB

Download
memory/4712-402-0x00007FF682D30000-0x00007FF683121000-memory.dmp

Filesize
3.9MB

Download
memory/4712-2034-0x00007FF682D30000-0x00007FF683121000-memory.dmp

Filesize
3.9MB

Download
memory/4744-503-0x00007FF6588F0000-0x00007FF658CE1000-memory.dmp

Filesize
3.9MB

Download
memory/4744-2045-0x00007FF6588F0000-0x00007FF658CE1000-memory.dmp

Filesize
3.9MB

Download
memory/4896-2025-0x00007FF7E6F40000-0x00007FF7E7331000-memory.dmp

Filesize
3.9MB

Download
memory/4896-427-0x00007FF7E6F40000-0x00007FF7E7331000-memory.dmp

Filesize
3.9MB

Download
memory/4980-477-0x00007FF7FD1E0000-0x00007FF7FD5D1000-memory.dmp

Filesize
3.9MB

Download
memory/4980-2038-0x00007FF7FD1E0000-0x00007FF7FD5D1000-memory.dmp

Filesize
3.9MB

Download
memory/5060-513-0x00007FF748110000-0x00007FF748501000-memory.dmp

Filesize
3.9MB

Download
memory/5060-2018-0x00007FF748110000-0x00007FF748501000-memory.dmp

Filesize
3.9MB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads