xmrig | 6373e09f872ef687c614bbdb3ab2920598370df1e6853f85e821952597addb9e

Analysis

max time kernel
131s
max time network
103s
platform
windows10-2004_x64
resource
win10v2004-20240426-en
resource tags

arch:x64arch:x86image:win10v2004-20240426-enlocale:en-usos:windows10-2004-x64system
submitted
20/05/2024, 05:33

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
Size

1.9MB
MD5

b9fccfa5141f41fa1baaa6fe7bc6fc90
SHA1

6a2fa9d3390eed67fabfe722312e77ab78ece3e0
SHA256

6373e09f872ef687c614bbdb3ab2920598370df1e6853f85e821952597addb9e
SHA512

c857fd64a045fa9117f056d31fac298faf3d0197c1d67733f0e089fb9bbe45baeac76615d2f227e99938a3b48c8c21d0792a57b6edd0b8e843e833f9f823f50a
SSDEEP

49152:S0wjnJMOWh50kC1/dVFdx6e0EALKWVTffZiPAcRq6jHjnz8Dhk7jcVch0rO:S0GnJMOWPClFdx6e0EALKWVTffZiPAcL

Score

10^/10

xmrig miner

Malware Config

Signatures

xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 32 IoCs

miner

resource	yara_rule
behavioral2/files/0x00090000000233ce-4.dat	xmrig
behavioral2/files/0x0008000000023404-8.dat	xmrig
behavioral2/files/0x0007000000023405-9.dat	xmrig
behavioral2/files/0x0007000000023406-20.dat	xmrig
behavioral2/files/0x0007000000023407-23.dat	xmrig
behavioral2/files/0x0007000000023408-29.dat	xmrig
behavioral2/files/0x0007000000023409-35.dat	xmrig
behavioral2/files/0x000700000002340a-39.dat	xmrig
behavioral2/files/0x000700000002340b-43.dat	xmrig
behavioral2/files/0x000700000002340c-48.dat	xmrig
behavioral2/files/0x000700000002340d-51.dat	xmrig
behavioral2/files/0x0009000000023400-58.dat	xmrig
behavioral2/files/0x000700000002340e-61.dat	xmrig
behavioral2/files/0x000700000002340f-68.dat	xmrig
behavioral2/files/0x0007000000023411-80.dat	xmrig
behavioral2/files/0x0007000000023412-84.dat	xmrig
behavioral2/files/0x0007000000023413-86.dat	xmrig
behavioral2/files/0x0007000000023410-75.dat	xmrig
behavioral2/files/0x0007000000023414-95.dat	xmrig
behavioral2/files/0x0007000000023415-99.dat	xmrig
behavioral2/files/0x0007000000023416-105.dat	xmrig
behavioral2/files/0x0007000000023417-108.dat	xmrig
behavioral2/files/0x0007000000023418-116.dat	xmrig
behavioral2/files/0x000700000002341a-122.dat	xmrig
behavioral2/files/0x000700000002341b-127.dat	xmrig
behavioral2/files/0x000700000002341d-143.dat	xmrig
behavioral2/files/0x0007000000023420-152.dat	xmrig
behavioral2/files/0x0007000000023421-160.dat	xmrig
behavioral2/files/0x000700000002341f-150.dat	xmrig
behavioral2/files/0x000700000002341e-148.dat	xmrig
behavioral2/files/0x000700000002341c-138.dat	xmrig
behavioral2/files/0x0007000000023419-120.dat	xmrig

Executes dropped EXE 64 IoCs

pid	Process
604	uTyPsxE.exe
2276	JkFMqrK.exe
852	jgtoBUo.exe
2972	iKQrcBc.exe
5008	VgwRyOh.exe
1672	VkwlNUE.exe
3960	DQJbmos.exe
3804	wKRzlpS.exe
1192	fGDDrNR.exe
3732	tSCszrF.exe
4884	ShjtIwr.exe
4212	BmYztBb.exe
4172	ivKyEsB.exe
1112	YfrDGBo.exe
4660	SymIZEK.exe
2492	JAnexjX.exe
4220	MYwlFca.exe
2520	BDhBEkA.exe
2872	uFLhqCt.exe
4536	QxaiCHj.exe
3760	RoMzPsF.exe
2100	VuAIzPS.exe
3800	Rerqvjm.exe
2484	CGJkDWK.exe
3572	zKMudux.exe
764	iwLZAHn.exe
740	WIYOGaT.exe
2732	cCYvQgJ.exe
1668	FaLmhyv.exe
3284	zXYiIFe.exe
4436	xBzCsbN.exe
2384	IdJspgS.exe
4168	iTzgcVJ.exe
216	ohNuHqm.exe
4240	uYlAKhI.exe
3792	BtdidPm.exe
2112	QClxzdY.exe
228	gcYRIXX.exe
2208	tTGOzOT.exe
4580	VlEKpGG.exe
3052	fSHQTbV.exe
4568	oZpSNdC.exe
2728	WJxVbuT.exe
3568	mDgGLPs.exe
536	SxOmAHV.exe
4956	JugiitX.exe
2428	CyTBvBO.exe
1528	QwuLBqQ.exe
2976	nULGwSX.exe
3544	rqYGGmH.exe
3200	kfOiMjI.exe
4376	DmHqCfZ.exe
1052	nMCPSuY.exe
2124	rCXNDTw.exe
2304	FCltdPC.exe
4704	leurveJ.exe
3672	TJXfEUA.exe
1400	QfdZLRv.exe
3228	IRtJema.exe
2096	INsNdTp.exe
2360	TiSaFcq.exe
2248	ivmPlsO.exe
1888	xCHfVOr.exe
4560	DDYoWOw.exe

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\System32\JLGdMDb.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\KrDOMiH.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\LoLUsAk.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\TFzvSpk.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\VgBZaeD.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\JBouUpX.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\QtSosyG.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\ufDLlgU.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\vNQunls.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\baudAsK.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\TTMibuL.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\tCIUAPY.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\QDtHJTQ.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\iTZAjCQ.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\dupjFRv.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\pbwoPBx.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\OKQqgqc.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\oTkdopA.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\XqmQWYG.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\StcISwc.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\PAQqtAZ.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\WRgkNCD.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\YIZRCuL.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\JEhXROu.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\EMrCncL.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\CRacNEQ.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\qJMXART.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\OwuuvpX.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\VkwlNUE.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\IBTpKoG.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\oJBMHap.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\UDahzMN.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\VjQtXNy.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\YbQThhc.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\TVEIXCf.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\oDsmQgK.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\Ggbpeqs.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\XHjRiot.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\lnnVXAI.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\FcFAJTa.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\abfYtPI.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\GkTdnhQ.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\BtdidPm.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\lPMYOxB.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\jOpnCqX.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\ajsqXrq.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\WTLLKbo.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\ROrTFqa.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\pILHHKK.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\dEiUiaE.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\oXKltJB.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\fakAHcK.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\igBzWTs.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\dxuiOOQ.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\WIfvOer.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\sILBGwG.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\fkRQtAQ.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\GgKggWb.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\qblnQKA.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\SJCGfgj.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\wSWTTSa.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\Eefbjnv.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\cxmmduE.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
File created	C:\Windows\System32\RGPQgjc.exe	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe

Checks SCSI registry key(s) 3 TTPs 6 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_DADY&PROD_HARDDISK\4&215468A5&0&000000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\ConfigFlags	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\HardwareID	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_QEMU&PROD_QEMU_DVD-ROM\4&215468A5&0&010000	dwm.exe

Enumerates system info in registry 2 TTPs 2 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe

Modifies data under HKEY_USERS 18 IoCs

description	ioc	Process
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2a\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe

Suspicious use of AdjustPrivilegeToken 6 IoCs

description	pid	Process
Token: SeCreateGlobalPrivilege	18404	dwm.exe
Token: SeChangeNotifyPrivilege	18404	dwm.exe
Token: 33	18404	dwm.exe
Token: SeIncBasePriorityPrivilege	18404	dwm.exe
Token: SeShutdownPrivilege	18404	dwm.exe
Token: SeCreatePagefilePrivilege	18404	dwm.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 3452 wrote to memory of 604	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	84
PID 3452 wrote to memory of 604	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	84
PID 3452 wrote to memory of 2276	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	85
PID 3452 wrote to memory of 2276	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	85
PID 3452 wrote to memory of 852	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	86
PID 3452 wrote to memory of 852	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	86
PID 3452 wrote to memory of 2972	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	87
PID 3452 wrote to memory of 2972	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	87
PID 3452 wrote to memory of 5008	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	88
PID 3452 wrote to memory of 5008	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	88
PID 3452 wrote to memory of 1672	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	89
PID 3452 wrote to memory of 1672	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	89
PID 3452 wrote to memory of 3960	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	90
PID 3452 wrote to memory of 3960	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	90
PID 3452 wrote to memory of 3804	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	91
PID 3452 wrote to memory of 3804	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	91
PID 3452 wrote to memory of 1192	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	92
PID 3452 wrote to memory of 1192	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	92
PID 3452 wrote to memory of 3732	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	93
PID 3452 wrote to memory of 3732	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	93
PID 3452 wrote to memory of 4884	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	94
PID 3452 wrote to memory of 4884	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	94
PID 3452 wrote to memory of 4212	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	96
PID 3452 wrote to memory of 4212	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	96
PID 3452 wrote to memory of 4172	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	97
PID 3452 wrote to memory of 4172	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	97
PID 3452 wrote to memory of 1112	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	98
PID 3452 wrote to memory of 1112	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	98
PID 3452 wrote to memory of 4660	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	99
PID 3452 wrote to memory of 4660	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	99
PID 3452 wrote to memory of 2492	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	100
PID 3452 wrote to memory of 2492	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	100
PID 3452 wrote to memory of 4220	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	101
PID 3452 wrote to memory of 4220	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	101
PID 3452 wrote to memory of 2520	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	102
PID 3452 wrote to memory of 2520	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	102
PID 3452 wrote to memory of 2872	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	103
PID 3452 wrote to memory of 2872	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	103
PID 3452 wrote to memory of 4536	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	104
PID 3452 wrote to memory of 4536	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	104
PID 3452 wrote to memory of 3760	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	105
PID 3452 wrote to memory of 3760	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	105
PID 3452 wrote to memory of 2100	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	106
PID 3452 wrote to memory of 2100	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	106
PID 3452 wrote to memory of 3800	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	107
PID 3452 wrote to memory of 3800	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	107
PID 3452 wrote to memory of 2484	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	108
PID 3452 wrote to memory of 2484	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	108
PID 3452 wrote to memory of 3572	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	109
PID 3452 wrote to memory of 3572	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	109
PID 3452 wrote to memory of 764	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	110
PID 3452 wrote to memory of 764	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	110
PID 3452 wrote to memory of 740	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	111
PID 3452 wrote to memory of 740	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	111
PID 3452 wrote to memory of 2732	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	112
PID 3452 wrote to memory of 2732	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	112
PID 3452 wrote to memory of 1668	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	113
PID 3452 wrote to memory of 1668	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	113
PID 3452 wrote to memory of 3284	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	114
PID 3452 wrote to memory of 3284	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	114
PID 3452 wrote to memory of 4436	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	115
PID 3452 wrote to memory of 4436	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	115
PID 3452 wrote to memory of 2384	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	116
PID 3452 wrote to memory of 2384	3452	b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe	116

C:\Users\Admin\AppData\Local\Temp\b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe
"C:\Users\Admin\AppData\Local\Temp\b9fccfa5141f41fa1baaa6fe7bc6fc90_NeikiAnalytics.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:3452
- C:\Windows\System32\uTyPsxE.exe
  C:\Windows\System32\uTyPsxE.exe
  2⤵
  - Executes dropped EXE
  PID:604
- C:\Windows\System32\JkFMqrK.exe
  C:\Windows\System32\JkFMqrK.exe
  2⤵
  - Executes dropped EXE
  PID:2276
- C:\Windows\System32\jgtoBUo.exe
  C:\Windows\System32\jgtoBUo.exe
  2⤵
  - Executes dropped EXE
  PID:852
- C:\Windows\System32\iKQrcBc.exe
  C:\Windows\System32\iKQrcBc.exe
  2⤵
  - Executes dropped EXE
  PID:2972
- C:\Windows\System32\VgwRyOh.exe
  C:\Windows\System32\VgwRyOh.exe
  2⤵
  - Executes dropped EXE
  PID:5008
- C:\Windows\System32\VkwlNUE.exe
  C:\Windows\System32\VkwlNUE.exe
  2⤵
  - Executes dropped EXE
  PID:1672
- C:\Windows\System32\DQJbmos.exe
  C:\Windows\System32\DQJbmos.exe
  2⤵
  - Executes dropped EXE
  PID:3960
- C:\Windows\System32\wKRzlpS.exe
  C:\Windows\System32\wKRzlpS.exe
  2⤵
  - Executes dropped EXE
  PID:3804
- C:\Windows\System32\fGDDrNR.exe
  C:\Windows\System32\fGDDrNR.exe
  2⤵
  - Executes dropped EXE
  PID:1192
- C:\Windows\System32\tSCszrF.exe
  C:\Windows\System32\tSCszrF.exe
  2⤵
  - Executes dropped EXE
  PID:3732
- C:\Windows\System32\ShjtIwr.exe
  C:\Windows\System32\ShjtIwr.exe
  2⤵
  - Executes dropped EXE
  PID:4884
- C:\Windows\System32\BmYztBb.exe
  C:\Windows\System32\BmYztBb.exe
  2⤵
  - Executes dropped EXE
  PID:4212
- C:\Windows\System32\ivKyEsB.exe
  C:\Windows\System32\ivKyEsB.exe
  2⤵
  - Executes dropped EXE
  PID:4172
- C:\Windows\System32\YfrDGBo.exe
  C:\Windows\System32\YfrDGBo.exe
  2⤵
  - Executes dropped EXE
  PID:1112
- C:\Windows\System32\SymIZEK.exe
  C:\Windows\System32\SymIZEK.exe
  2⤵
  - Executes dropped EXE
  PID:4660
- C:\Windows\System32\JAnexjX.exe
  C:\Windows\System32\JAnexjX.exe
  2⤵
  - Executes dropped EXE
  PID:2492
- C:\Windows\System32\MYwlFca.exe
  C:\Windows\System32\MYwlFca.exe
  2⤵
  - Executes dropped EXE
  PID:4220
- C:\Windows\System32\BDhBEkA.exe
  C:\Windows\System32\BDhBEkA.exe
  2⤵
  - Executes dropped EXE
  PID:2520
- C:\Windows\System32\uFLhqCt.exe
  C:\Windows\System32\uFLhqCt.exe
  2⤵
  - Executes dropped EXE
  PID:2872
- C:\Windows\System32\QxaiCHj.exe
  C:\Windows\System32\QxaiCHj.exe
  2⤵
  - Executes dropped EXE
  PID:4536
- C:\Windows\System32\RoMzPsF.exe
  C:\Windows\System32\RoMzPsF.exe
  2⤵
  - Executes dropped EXE
  PID:3760
- C:\Windows\System32\VuAIzPS.exe
  C:\Windows\System32\VuAIzPS.exe
  2⤵
  - Executes dropped EXE
  PID:2100
- C:\Windows\System32\Rerqvjm.exe
  C:\Windows\System32\Rerqvjm.exe
  2⤵
  - Executes dropped EXE
  PID:3800
- C:\Windows\System32\CGJkDWK.exe
  C:\Windows\System32\CGJkDWK.exe
  2⤵
  - Executes dropped EXE
  PID:2484
- C:\Windows\System32\zKMudux.exe
  C:\Windows\System32\zKMudux.exe
  2⤵
  - Executes dropped EXE
  PID:3572
- C:\Windows\System32\iwLZAHn.exe
  C:\Windows\System32\iwLZAHn.exe
  2⤵
  - Executes dropped EXE
  PID:764
- C:\Windows\System32\WIYOGaT.exe
  C:\Windows\System32\WIYOGaT.exe
  2⤵
  - Executes dropped EXE
  PID:740
- C:\Windows\System32\cCYvQgJ.exe
  C:\Windows\System32\cCYvQgJ.exe
  2⤵
  - Executes dropped EXE
  PID:2732
- C:\Windows\System32\FaLmhyv.exe
  C:\Windows\System32\FaLmhyv.exe
  2⤵
  - Executes dropped EXE
  PID:1668
- C:\Windows\System32\zXYiIFe.exe
  C:\Windows\System32\zXYiIFe.exe
  2⤵
  - Executes dropped EXE
  PID:3284
- C:\Windows\System32\xBzCsbN.exe
  C:\Windows\System32\xBzCsbN.exe
  2⤵
  - Executes dropped EXE
  PID:4436
- C:\Windows\System32\IdJspgS.exe
  C:\Windows\System32\IdJspgS.exe
  2⤵
  - Executes dropped EXE
  PID:2384
- C:\Windows\System32\iTzgcVJ.exe
  C:\Windows\System32\iTzgcVJ.exe
  2⤵
  - Executes dropped EXE
  PID:4168
- C:\Windows\System32\ohNuHqm.exe
  C:\Windows\System32\ohNuHqm.exe
  2⤵
  - Executes dropped EXE
  PID:216
- C:\Windows\System32\uYlAKhI.exe
  C:\Windows\System32\uYlAKhI.exe
  2⤵
  - Executes dropped EXE
  PID:4240
- C:\Windows\System32\BtdidPm.exe
  C:\Windows\System32\BtdidPm.exe
  2⤵
  - Executes dropped EXE
  PID:3792
- C:\Windows\System32\QClxzdY.exe
  C:\Windows\System32\QClxzdY.exe
  2⤵
  - Executes dropped EXE
  PID:2112
- C:\Windows\System32\gcYRIXX.exe
  C:\Windows\System32\gcYRIXX.exe
  2⤵
  - Executes dropped EXE
  PID:228
- C:\Windows\System32\tTGOzOT.exe
  C:\Windows\System32\tTGOzOT.exe
  2⤵
  - Executes dropped EXE
  PID:2208
- C:\Windows\System32\VlEKpGG.exe
  C:\Windows\System32\VlEKpGG.exe
  2⤵
  - Executes dropped EXE
  PID:4580
- C:\Windows\System32\fSHQTbV.exe
  C:\Windows\System32\fSHQTbV.exe
  2⤵
  - Executes dropped EXE
  PID:3052
- C:\Windows\System32\oZpSNdC.exe
  C:\Windows\System32\oZpSNdC.exe
  2⤵
  - Executes dropped EXE
  PID:4568
- C:\Windows\System32\WJxVbuT.exe
  C:\Windows\System32\WJxVbuT.exe
  2⤵
  - Executes dropped EXE
  PID:2728
- C:\Windows\System32\mDgGLPs.exe
  C:\Windows\System32\mDgGLPs.exe
  2⤵
  - Executes dropped EXE
  PID:3568
- C:\Windows\System32\SxOmAHV.exe
  C:\Windows\System32\SxOmAHV.exe
  2⤵
  - Executes dropped EXE
  PID:536
- C:\Windows\System32\JugiitX.exe
  C:\Windows\System32\JugiitX.exe
  2⤵
  - Executes dropped EXE
  PID:4956
- C:\Windows\System32\CyTBvBO.exe
  C:\Windows\System32\CyTBvBO.exe
  2⤵
  - Executes dropped EXE
  PID:2428
- C:\Windows\System32\QwuLBqQ.exe
  C:\Windows\System32\QwuLBqQ.exe
  2⤵
  - Executes dropped EXE
  PID:1528
- C:\Windows\System32\nULGwSX.exe
  C:\Windows\System32\nULGwSX.exe
  2⤵
  - Executes dropped EXE
  PID:2976
- C:\Windows\System32\rqYGGmH.exe
  C:\Windows\System32\rqYGGmH.exe
  2⤵
  - Executes dropped EXE
  PID:3544
- C:\Windows\System32\kfOiMjI.exe
  C:\Windows\System32\kfOiMjI.exe
  2⤵
  - Executes dropped EXE
  PID:3200
- C:\Windows\System32\DmHqCfZ.exe
  C:\Windows\System32\DmHqCfZ.exe
  2⤵
  - Executes dropped EXE
  PID:4376
- C:\Windows\System32\nMCPSuY.exe
  C:\Windows\System32\nMCPSuY.exe
  2⤵
  - Executes dropped EXE
  PID:1052
- C:\Windows\System32\rCXNDTw.exe
  C:\Windows\System32\rCXNDTw.exe
  2⤵
  - Executes dropped EXE
  PID:2124
- C:\Windows\System32\FCltdPC.exe
  C:\Windows\System32\FCltdPC.exe
  2⤵
  - Executes dropped EXE
  PID:2304
- C:\Windows\System32\leurveJ.exe
  C:\Windows\System32\leurveJ.exe
  2⤵
  - Executes dropped EXE
  PID:4704
- C:\Windows\System32\TJXfEUA.exe
  C:\Windows\System32\TJXfEUA.exe
  2⤵
  - Executes dropped EXE
  PID:3672
- C:\Windows\System32\QfdZLRv.exe
  C:\Windows\System32\QfdZLRv.exe
  2⤵
  - Executes dropped EXE
  PID:1400
- C:\Windows\System32\IRtJema.exe
  C:\Windows\System32\IRtJema.exe
  2⤵
  - Executes dropped EXE
  PID:3228
- C:\Windows\System32\INsNdTp.exe
  C:\Windows\System32\INsNdTp.exe
  2⤵
  - Executes dropped EXE
  PID:2096
- C:\Windows\System32\TiSaFcq.exe
  C:\Windows\System32\TiSaFcq.exe
  2⤵
  - Executes dropped EXE
  PID:2360
- C:\Windows\System32\ivmPlsO.exe
  C:\Windows\System32\ivmPlsO.exe
  2⤵
  - Executes dropped EXE
  PID:2248
- C:\Windows\System32\xCHfVOr.exe
  C:\Windows\System32\xCHfVOr.exe
  2⤵
  - Executes dropped EXE
  PID:1888
- C:\Windows\System32\DDYoWOw.exe
  C:\Windows\System32\DDYoWOw.exe
  2⤵
  - Executes dropped EXE
  PID:4560
- C:\Windows\System32\qlSrCKZ.exe
  C:\Windows\System32\qlSrCKZ.exe
  2⤵
  PID:4004
- C:\Windows\System32\czcQXQx.exe
  C:\Windows\System32\czcQXQx.exe
  2⤵
  PID:1892
- C:\Windows\System32\uwmpRhL.exe
  C:\Windows\System32\uwmpRhL.exe
  2⤵
  PID:4444
- C:\Windows\System32\TbheApC.exe
  C:\Windows\System32\TbheApC.exe
  2⤵
  PID:3416
- C:\Windows\System32\KFHahHJ.exe
  C:\Windows\System32\KFHahHJ.exe
  2⤵
  PID:2772
- C:\Windows\System32\XGTbcfl.exe
  C:\Windows\System32\XGTbcfl.exe
  2⤵
  PID:1948
- C:\Windows\System32\aMYGEnT.exe
  C:\Windows\System32\aMYGEnT.exe
  2⤵
  PID:1636
- C:\Windows\System32\dyLcFAG.exe
  C:\Windows\System32\dyLcFAG.exe
  2⤵
  PID:4852
- C:\Windows\System32\IMSYCyh.exe
  C:\Windows\System32\IMSYCyh.exe
  2⤵
  PID:1484
- C:\Windows\System32\BivVtSz.exe
  C:\Windows\System32\BivVtSz.exe
  2⤵
  PID:4608
- C:\Windows\System32\uBMarym.exe
  C:\Windows\System32\uBMarym.exe
  2⤵
  PID:3736
- C:\Windows\System32\KJNLeEe.exe
  C:\Windows\System32\KJNLeEe.exe
  2⤵
  PID:1248
- C:\Windows\System32\YbQThhc.exe
  C:\Windows\System32\YbQThhc.exe
  2⤵
  PID:532
- C:\Windows\System32\XgYJAjC.exe
  C:\Windows\System32\XgYJAjC.exe
  2⤵
  PID:1612
- C:\Windows\System32\NHJSloO.exe
  C:\Windows\System32\NHJSloO.exe
  2⤵
  PID:3476
- C:\Windows\System32\GuvdbBd.exe
  C:\Windows\System32\GuvdbBd.exe
  2⤵
  PID:376
- C:\Windows\System32\NJfQOOz.exe
  C:\Windows\System32\NJfQOOz.exe
  2⤵
  PID:432
- C:\Windows\System32\rsvbcJX.exe
  C:\Windows\System32\rsvbcJX.exe
  2⤵
  PID:2244
- C:\Windows\System32\dBqhqKV.exe
  C:\Windows\System32\dBqhqKV.exe
  2⤵
  PID:1944
- C:\Windows\System32\wPcGeez.exe
  C:\Windows\System32\wPcGeez.exe
  2⤵
  PID:2052
- C:\Windows\System32\Tybdncz.exe
  C:\Windows\System32\Tybdncz.exe
  2⤵
  PID:2792
- C:\Windows\System32\IbKakru.exe
  C:\Windows\System32\IbKakru.exe
  2⤵
  PID:2936
- C:\Windows\System32\baudAsK.exe
  C:\Windows\System32\baudAsK.exe
  2⤵
  PID:968
- C:\Windows\System32\VjHLpFm.exe
  C:\Windows\System32\VjHLpFm.exe
  2⤵
  PID:2588
- C:\Windows\System32\XcmgfdB.exe
  C:\Windows\System32\XcmgfdB.exe
  2⤵
  PID:4472
- C:\Windows\System32\taxhLCa.exe
  C:\Windows\System32\taxhLCa.exe
  2⤵
  PID:5136
- C:\Windows\System32\xrVGlqa.exe
  C:\Windows\System32\xrVGlqa.exe
  2⤵
  PID:5164
- C:\Windows\System32\DcZnwXo.exe
  C:\Windows\System32\DcZnwXo.exe
  2⤵
  PID:5192
- C:\Windows\System32\FcFAJTa.exe
  C:\Windows\System32\FcFAJTa.exe
  2⤵
  PID:5208
- C:\Windows\System32\UjdBhWI.exe
  C:\Windows\System32\UjdBhWI.exe
  2⤵
  PID:5228
- C:\Windows\System32\ppRbWxs.exe
  C:\Windows\System32\ppRbWxs.exe
  2⤵
  PID:5272
- C:\Windows\System32\qoYbUxo.exe
  C:\Windows\System32\qoYbUxo.exe
  2⤵
  PID:5292
- C:\Windows\System32\qxHsJLD.exe
  C:\Windows\System32\qxHsJLD.exe
  2⤵
  PID:5328
- C:\Windows\System32\OuArDhL.exe
  C:\Windows\System32\OuArDhL.exe
  2⤵
  PID:5360
- C:\Windows\System32\nRvOJwJ.exe
  C:\Windows\System32\nRvOJwJ.exe
  2⤵
  PID:5388
- C:\Windows\System32\LijpTLh.exe
  C:\Windows\System32\LijpTLh.exe
  2⤵
  PID:5416
- C:\Windows\System32\pOfGLaI.exe
  C:\Windows\System32\pOfGLaI.exe
  2⤵
  PID:5444
- C:\Windows\System32\LWXrabh.exe
  C:\Windows\System32\LWXrabh.exe
  2⤵
  PID:5464
- C:\Windows\System32\XVfXxzN.exe
  C:\Windows\System32\XVfXxzN.exe
  2⤵
  PID:5488
- C:\Windows\System32\RGPQgjc.exe
  C:\Windows\System32\RGPQgjc.exe
  2⤵
  PID:5504
- C:\Windows\System32\vZPXCXQ.exe
  C:\Windows\System32\vZPXCXQ.exe
  2⤵
  PID:5520
- C:\Windows\System32\IlRGFPH.exe
  C:\Windows\System32\IlRGFPH.exe
  2⤵
  PID:5544
- C:\Windows\System32\axVucRe.exe
  C:\Windows\System32\axVucRe.exe
  2⤵
  PID:5560
- C:\Windows\System32\FQfVNdx.exe
  C:\Windows\System32\FQfVNdx.exe
  2⤵
  PID:5604
- C:\Windows\System32\uCZEAKG.exe
  C:\Windows\System32\uCZEAKG.exe
  2⤵
  PID:5640
- C:\Windows\System32\TUWgozh.exe
  C:\Windows\System32\TUWgozh.exe
  2⤵
  PID:5676
- C:\Windows\System32\KHvUhPH.exe
  C:\Windows\System32\KHvUhPH.exe
  2⤵
  PID:5712
- C:\Windows\System32\ltNxEEC.exe
  C:\Windows\System32\ltNxEEC.exe
  2⤵
  PID:5748
- C:\Windows\System32\JGGKnhI.exe
  C:\Windows\System32\JGGKnhI.exe
  2⤵
  PID:5784
- C:\Windows\System32\vZLedJo.exe
  C:\Windows\System32\vZLedJo.exe
  2⤵
  PID:5812
- C:\Windows\System32\hdWwkFH.exe
  C:\Windows\System32\hdWwkFH.exe
  2⤵
  PID:5836
- C:\Windows\System32\VfFbpgC.exe
  C:\Windows\System32\VfFbpgC.exe
  2⤵
  PID:5852
- C:\Windows\System32\xVrxDCb.exe
  C:\Windows\System32\xVrxDCb.exe
  2⤵
  PID:5876
- C:\Windows\System32\IfQfvxl.exe
  C:\Windows\System32\IfQfvxl.exe
  2⤵
  PID:5928
- C:\Windows\System32\KkqXuWJ.exe
  C:\Windows\System32\KkqXuWJ.exe
  2⤵
  PID:5952
- C:\Windows\System32\ncRrpfL.exe
  C:\Windows\System32\ncRrpfL.exe
  2⤵
  PID:5976
- C:\Windows\System32\WIfvOer.exe
  C:\Windows\System32\WIfvOer.exe
  2⤵
  PID:5992
- C:\Windows\System32\LNhQDJS.exe
  C:\Windows\System32\LNhQDJS.exe
  2⤵
  PID:6028
- C:\Windows\System32\gzFxKKW.exe
  C:\Windows\System32\gzFxKKW.exe
  2⤵
  PID:6052
- C:\Windows\System32\XqmQWYG.exe
  C:\Windows\System32\XqmQWYG.exe
  2⤵
  PID:6072
- C:\Windows\System32\hIBVALH.exe
  C:\Windows\System32\hIBVALH.exe
  2⤵
  PID:6120
- C:\Windows\System32\StcISwc.exe
  C:\Windows\System32\StcISwc.exe
  2⤵
  PID:6136
- C:\Windows\System32\evhNhRA.exe
  C:\Windows\System32\evhNhRA.exe
  2⤵
  PID:1884
- C:\Windows\System32\NIVvnvx.exe
  C:\Windows\System32\NIVvnvx.exe
  2⤵
  PID:5176
- C:\Windows\System32\MnGoGUk.exe
  C:\Windows\System32\MnGoGUk.exe
  2⤵
  PID:3944
- C:\Windows\System32\BtULOpY.exe
  C:\Windows\System32\BtULOpY.exe
  2⤵
  PID:2296
- C:\Windows\System32\xTVZrWh.exe
  C:\Windows\System32\xTVZrWh.exe
  2⤵
  PID:5288
- C:\Windows\System32\jbqrAPe.exe
  C:\Windows\System32\jbqrAPe.exe
  2⤵
  PID:5336
- C:\Windows\System32\kcRquIc.exe
  C:\Windows\System32\kcRquIc.exe
  2⤵
  PID:5400
- C:\Windows\System32\fgGuoIf.exe
  C:\Windows\System32\fgGuoIf.exe
  2⤵
  PID:5436
- C:\Windows\System32\TEbSDXV.exe
  C:\Windows\System32\TEbSDXV.exe
  2⤵
  PID:1904
- C:\Windows\System32\fYzXIvi.exe
  C:\Windows\System32\fYzXIvi.exe
  2⤵
  PID:5596
- C:\Windows\System32\YxsqhFa.exe
  C:\Windows\System32\YxsqhFa.exe
  2⤵
  PID:5576
- C:\Windows\System32\BtaZrJM.exe
  C:\Windows\System32\BtaZrJM.exe
  2⤵
  PID:5672
- C:\Windows\System32\bUbelhQ.exe
  C:\Windows\System32\bUbelhQ.exe
  2⤵
  PID:5744
- C:\Windows\System32\AcackyW.exe
  C:\Windows\System32\AcackyW.exe
  2⤵
  PID:5804
- C:\Windows\System32\eplyJGD.exe
  C:\Windows\System32\eplyJGD.exe
  2⤵
  PID:5848
- C:\Windows\System32\sILBGwG.exe
  C:\Windows\System32\sILBGwG.exe
  2⤵
  PID:5912
- C:\Windows\System32\KocttfM.exe
  C:\Windows\System32\KocttfM.exe
  2⤵
  PID:5968
- C:\Windows\System32\jyNnfDk.exe
  C:\Windows\System32\jyNnfDk.exe
  2⤵
  PID:6100
- C:\Windows\System32\wCWkXCd.exe
  C:\Windows\System32\wCWkXCd.exe
  2⤵
  PID:3256
- C:\Windows\System32\GQugeOu.exe
  C:\Windows\System32\GQugeOu.exe
  2⤵
  PID:5148
- C:\Windows\System32\oXKltJB.exe
  C:\Windows\System32\oXKltJB.exe
  2⤵
  PID:2324
- C:\Windows\System32\YQusvcV.exe
  C:\Windows\System32\YQusvcV.exe
  2⤵
  PID:5408
- C:\Windows\System32\uZieyYq.exe
  C:\Windows\System32\uZieyYq.exe
  2⤵
  PID:5472
- C:\Windows\System32\OAnMJRU.exe
  C:\Windows\System32\OAnMJRU.exe
  2⤵
  PID:5556
- C:\Windows\System32\nZFxSDk.exe
  C:\Windows\System32\nZFxSDk.exe
  2⤵
  PID:5776
- C:\Windows\System32\ROycXoe.exe
  C:\Windows\System32\ROycXoe.exe
  2⤵
  PID:5904
- C:\Windows\System32\plkPJXX.exe
  C:\Windows\System32\plkPJXX.exe
  2⤵
  PID:6060
- C:\Windows\System32\xbkgsOo.exe
  C:\Windows\System32\xbkgsOo.exe
  2⤵
  PID:3004
- C:\Windows\System32\ZsgZueS.exe
  C:\Windows\System32\ZsgZueS.exe
  2⤵
  PID:5616
- C:\Windows\System32\cDSoJfw.exe
  C:\Windows\System32\cDSoJfw.exe
  2⤵
  PID:5884
- C:\Windows\System32\NLBtDZM.exe
  C:\Windows\System32\NLBtDZM.exe
  2⤵
  PID:4576
- C:\Windows\System32\EQAZvNZ.exe
  C:\Windows\System32\EQAZvNZ.exe
  2⤵
  PID:5844
- C:\Windows\System32\cOLWRiu.exe
  C:\Windows\System32\cOLWRiu.exe
  2⤵
  PID:316
- C:\Windows\System32\cUsyCbt.exe
  C:\Windows\System32\cUsyCbt.exe
  2⤵
  PID:6164
- C:\Windows\System32\uzveXmr.exe
  C:\Windows\System32\uzveXmr.exe
  2⤵
  PID:6192
- C:\Windows\System32\lxdMeoA.exe
  C:\Windows\System32\lxdMeoA.exe
  2⤵
  PID:6224
- C:\Windows\System32\ZVyEDQF.exe
  C:\Windows\System32\ZVyEDQF.exe
  2⤵
  PID:6248
- C:\Windows\System32\kmsSWKa.exe
  C:\Windows\System32\kmsSWKa.exe
  2⤵
  PID:6268
- C:\Windows\System32\jkAKtzn.exe
  C:\Windows\System32\jkAKtzn.exe
  2⤵
  PID:6308
- C:\Windows\System32\dZKvzZA.exe
  C:\Windows\System32\dZKvzZA.exe
  2⤵
  PID:6340
- C:\Windows\System32\gDMCYLd.exe
  C:\Windows\System32\gDMCYLd.exe
  2⤵
  PID:6368
- C:\Windows\System32\FxctiYS.exe
  C:\Windows\System32\FxctiYS.exe
  2⤵
  PID:6404
- C:\Windows\System32\aNjAqRg.exe
  C:\Windows\System32\aNjAqRg.exe
  2⤵
  PID:6432
- C:\Windows\System32\RiSeEiN.exe
  C:\Windows\System32\RiSeEiN.exe
  2⤵
  PID:6460
- C:\Windows\System32\zaLqbQQ.exe
  C:\Windows\System32\zaLqbQQ.exe
  2⤵
  PID:6492
- C:\Windows\System32\DlxlryQ.exe
  C:\Windows\System32\DlxlryQ.exe
  2⤵
  PID:6516
- C:\Windows\System32\jxWBvdL.exe
  C:\Windows\System32\jxWBvdL.exe
  2⤵
  PID:6532
- C:\Windows\System32\TTMibuL.exe
  C:\Windows\System32\TTMibuL.exe
  2⤵
  PID:6560
- C:\Windows\System32\kxSbQfl.exe
  C:\Windows\System32\kxSbQfl.exe
  2⤵
  PID:6588
- C:\Windows\System32\DQZyKjB.exe
  C:\Windows\System32\DQZyKjB.exe
  2⤵
  PID:6612
- C:\Windows\System32\CbxTPGH.exe
  C:\Windows\System32\CbxTPGH.exe
  2⤵
  PID:6668
- C:\Windows\System32\oFLpuEk.exe
  C:\Windows\System32\oFLpuEk.exe
  2⤵
  PID:6684
- C:\Windows\System32\fETVmet.exe
  C:\Windows\System32\fETVmet.exe
  2⤵
  PID:6700
- C:\Windows\System32\iETpICU.exe
  C:\Windows\System32\iETpICU.exe
  2⤵
  PID:6728
- C:\Windows\System32\NjRJQil.exe
  C:\Windows\System32\NjRJQil.exe
  2⤵
  PID:6776
- C:\Windows\System32\HxKmfdP.exe
  C:\Windows\System32\HxKmfdP.exe
  2⤵
  PID:6804
- C:\Windows\System32\BiDusQi.exe
  C:\Windows\System32\BiDusQi.exe
  2⤵
  PID:6820
- C:\Windows\System32\VxpemEt.exe
  C:\Windows\System32\VxpemEt.exe
  2⤵
  PID:6848
- C:\Windows\System32\csOwRzQ.exe
  C:\Windows\System32\csOwRzQ.exe
  2⤵
  PID:6888
- C:\Windows\System32\TFzvSpk.exe
  C:\Windows\System32\TFzvSpk.exe
  2⤵
  PID:6916
- C:\Windows\System32\kXHPVaF.exe
  C:\Windows\System32\kXHPVaF.exe
  2⤵
  PID:6944
- C:\Windows\System32\bHJwrkO.exe
  C:\Windows\System32\bHJwrkO.exe
  2⤵
  PID:6976
- C:\Windows\System32\ghRISzj.exe
  C:\Windows\System32\ghRISzj.exe
  2⤵
  PID:7004
- C:\Windows\System32\NcSzIqb.exe
  C:\Windows\System32\NcSzIqb.exe
  2⤵
  PID:7028
- C:\Windows\System32\anzAKPy.exe
  C:\Windows\System32\anzAKPy.exe
  2⤵
  PID:7056
- C:\Windows\System32\nDhFWdu.exe
  C:\Windows\System32\nDhFWdu.exe
  2⤵
  PID:7084
- C:\Windows\System32\gySuidk.exe
  C:\Windows\System32\gySuidk.exe
  2⤵
  PID:7104
- C:\Windows\System32\SdRmUiy.exe
  C:\Windows\System32\SdRmUiy.exe
  2⤵
  PID:7136
- C:\Windows\System32\ZPiUcQf.exe
  C:\Windows\System32\ZPiUcQf.exe
  2⤵
  PID:7164
- C:\Windows\System32\abfYtPI.exe
  C:\Windows\System32\abfYtPI.exe
  2⤵
  PID:6220
- C:\Windows\System32\rVMqRhg.exe
  C:\Windows\System32\rVMqRhg.exe
  2⤵
  PID:6316
- C:\Windows\System32\LbAfAzn.exe
  C:\Windows\System32\LbAfAzn.exe
  2⤵
  PID:6348
- C:\Windows\System32\oMVbSqg.exe
  C:\Windows\System32\oMVbSqg.exe
  2⤵
  PID:6416
- C:\Windows\System32\qUNKZeK.exe
  C:\Windows\System32\qUNKZeK.exe
  2⤵
  PID:6512
- C:\Windows\System32\qTVSZKt.exe
  C:\Windows\System32\qTVSZKt.exe
  2⤵
  PID:6556
- C:\Windows\System32\OpuknjV.exe
  C:\Windows\System32\OpuknjV.exe
  2⤵
  PID:6656
- C:\Windows\System32\IBTpKoG.exe
  C:\Windows\System32\IBTpKoG.exe
  2⤵
  PID:6680
- C:\Windows\System32\iXaKbiX.exe
  C:\Windows\System32\iXaKbiX.exe
  2⤵
  PID:6712
- C:\Windows\System32\pFyhjoV.exe
  C:\Windows\System32\pFyhjoV.exe
  2⤵
  PID:6800
- C:\Windows\System32\HBbmBzI.exe
  C:\Windows\System32\HBbmBzI.exe
  2⤵
  PID:6880
- C:\Windows\System32\plHiiQf.exe
  C:\Windows\System32\plHiiQf.exe
  2⤵
  PID:6928
- C:\Windows\System32\pwlDGat.exe
  C:\Windows\System32\pwlDGat.exe
  2⤵
  PID:7016
- C:\Windows\System32\PAQqtAZ.exe
  C:\Windows\System32\PAQqtAZ.exe
  2⤵
  PID:7052
- C:\Windows\System32\JRUUbvA.exe
  C:\Windows\System32\JRUUbvA.exe
  2⤵
  PID:7144
- C:\Windows\System32\pbwoPBx.exe
  C:\Windows\System32\pbwoPBx.exe
  2⤵
  PID:6240
- C:\Windows\System32\iJMnIrE.exe
  C:\Windows\System32\iJMnIrE.exe
  2⤵
  PID:6392
- C:\Windows\System32\WbQyAcg.exe
  C:\Windows\System32\WbQyAcg.exe
  2⤵
  PID:6524
- C:\Windows\System32\TVEIXCf.exe
  C:\Windows\System32\TVEIXCf.exe
  2⤵
  PID:6720
- C:\Windows\System32\ehjGZsf.exe
  C:\Windows\System32\ehjGZsf.exe
  2⤵
  PID:6840
- C:\Windows\System32\mUbwvzG.exe
  C:\Windows\System32\mUbwvzG.exe
  2⤵
  PID:6984
- C:\Windows\System32\qPSzQDe.exe
  C:\Windows\System32\qPSzQDe.exe
  2⤵
  PID:7112
- C:\Windows\System32\xyciEmu.exe
  C:\Windows\System32\xyciEmu.exe
  2⤵
  PID:6396
- C:\Windows\System32\xzFreag.exe
  C:\Windows\System32\xzFreag.exe
  2⤵
  PID:6968
- C:\Windows\System32\wSWTTSa.exe
  C:\Windows\System32\wSWTTSa.exe
  2⤵
  PID:7044
- C:\Windows\System32\aZiGsmX.exe
  C:\Windows\System32\aZiGsmX.exe
  2⤵
  PID:6788
- C:\Windows\System32\apUKJeL.exe
  C:\Windows\System32\apUKJeL.exe
  2⤵
  PID:7172
- C:\Windows\System32\RaJtgAE.exe
  C:\Windows\System32\RaJtgAE.exe
  2⤵
  PID:7204
- C:\Windows\System32\DLyfPEq.exe
  C:\Windows\System32\DLyfPEq.exe
  2⤵
  PID:7232
- C:\Windows\System32\cGWpFEQ.exe
  C:\Windows\System32\cGWpFEQ.exe
  2⤵
  PID:7260
- C:\Windows\System32\tCIUAPY.exe
  C:\Windows\System32\tCIUAPY.exe
  2⤵
  PID:7284
- C:\Windows\System32\biDRvLg.exe
  C:\Windows\System32\biDRvLg.exe
  2⤵
  PID:7312
- C:\Windows\System32\IugcKDZ.exe
  C:\Windows\System32\IugcKDZ.exe
  2⤵
  PID:7352
- C:\Windows\System32\ypZlWFi.exe
  C:\Windows\System32\ypZlWFi.exe
  2⤵
  PID:7380
- C:\Windows\System32\lPMYOxB.exe
  C:\Windows\System32\lPMYOxB.exe
  2⤵
  PID:7404
- C:\Windows\System32\HlAVcYz.exe
  C:\Windows\System32\HlAVcYz.exe
  2⤵
  PID:7424
- C:\Windows\System32\CqSqvdf.exe
  C:\Windows\System32\CqSqvdf.exe
  2⤵
  PID:7440
- C:\Windows\System32\rcOPuZt.exe
  C:\Windows\System32\rcOPuZt.exe
  2⤵
  PID:7464
- C:\Windows\System32\mdtopRp.exe
  C:\Windows\System32\mdtopRp.exe
  2⤵
  PID:7512
- C:\Windows\System32\tmGgVya.exe
  C:\Windows\System32\tmGgVya.exe
  2⤵
  PID:7548
- C:\Windows\System32\UeURqho.exe
  C:\Windows\System32\UeURqho.exe
  2⤵
  PID:7576
- C:\Windows\System32\AGxBJdT.exe
  C:\Windows\System32\AGxBJdT.exe
  2⤵
  PID:7592
- C:\Windows\System32\ueRtWwU.exe
  C:\Windows\System32\ueRtWwU.exe
  2⤵
  PID:7624
- C:\Windows\System32\hGQUIdx.exe
  C:\Windows\System32\hGQUIdx.exe
  2⤵
  PID:7648
- C:\Windows\System32\lpIuyBi.exe
  C:\Windows\System32\lpIuyBi.exe
  2⤵
  PID:7688
- C:\Windows\System32\GkTdnhQ.exe
  C:\Windows\System32\GkTdnhQ.exe
  2⤵
  PID:7708
- C:\Windows\System32\WEpaqHx.exe
  C:\Windows\System32\WEpaqHx.exe
  2⤵
  PID:7736
- C:\Windows\System32\FhWOHwa.exe
  C:\Windows\System32\FhWOHwa.exe
  2⤵
  PID:7772
- C:\Windows\System32\pqlcfXk.exe
  C:\Windows\System32\pqlcfXk.exe
  2⤵
  PID:7796
- C:\Windows\System32\VgBZaeD.exe
  C:\Windows\System32\VgBZaeD.exe
  2⤵
  PID:7812
- C:\Windows\System32\VmPOzGM.exe
  C:\Windows\System32\VmPOzGM.exe
  2⤵
  PID:7848
- C:\Windows\System32\IMfmHMU.exe
  C:\Windows\System32\IMfmHMU.exe
  2⤵
  PID:7880
- C:\Windows\System32\YnDgVOq.exe
  C:\Windows\System32\YnDgVOq.exe
  2⤵
  PID:7912
- C:\Windows\System32\oHCqgeK.exe
  C:\Windows\System32\oHCqgeK.exe
  2⤵
  PID:7936
- C:\Windows\System32\vvPMLNq.exe
  C:\Windows\System32\vvPMLNq.exe
  2⤵
  PID:7976
- C:\Windows\System32\dlzJyak.exe
  C:\Windows\System32\dlzJyak.exe
  2⤵
  PID:8004
- C:\Windows\System32\zsTVJVq.exe
  C:\Windows\System32\zsTVJVq.exe
  2⤵
  PID:8032
- C:\Windows\System32\DgDymGv.exe
  C:\Windows\System32\DgDymGv.exe
  2⤵
  PID:8060
- C:\Windows\System32\bvXyGGo.exe
  C:\Windows\System32\bvXyGGo.exe
  2⤵
  PID:8088
- C:\Windows\System32\pzARkKx.exe
  C:\Windows\System32\pzARkKx.exe
  2⤵
  PID:8116
- C:\Windows\System32\vBBKUWX.exe
  C:\Windows\System32\vBBKUWX.exe
  2⤵
  PID:8132
- C:\Windows\System32\wchKegu.exe
  C:\Windows\System32\wchKegu.exe
  2⤵
  PID:8172
- C:\Windows\System32\QDtHJTQ.exe
  C:\Windows\System32\QDtHJTQ.exe
  2⤵
  PID:7152
- C:\Windows\System32\OKQqgqc.exe
  C:\Windows\System32\OKQqgqc.exe
  2⤵
  PID:7228
- C:\Windows\System32\XvXfjZP.exe
  C:\Windows\System32\XvXfjZP.exe
  2⤵
  PID:7268
- C:\Windows\System32\SsEVIOy.exe
  C:\Windows\System32\SsEVIOy.exe
  2⤵
  PID:7348
- C:\Windows\System32\wJOINwl.exe
  C:\Windows\System32\wJOINwl.exe
  2⤵
  PID:7416
- C:\Windows\System32\Ggbpeqs.exe
  C:\Windows\System32\Ggbpeqs.exe
  2⤵
  PID:7476
- C:\Windows\System32\RmEstyx.exe
  C:\Windows\System32\RmEstyx.exe
  2⤵
  PID:7560
- C:\Windows\System32\jpCXRBB.exe
  C:\Windows\System32\jpCXRBB.exe
  2⤵
  PID:7644
- C:\Windows\System32\IAEmOCa.exe
  C:\Windows\System32\IAEmOCa.exe
  2⤵
  PID:7676
- C:\Windows\System32\uzBwJzY.exe
  C:\Windows\System32\uzBwJzY.exe
  2⤵
  PID:7768
- C:\Windows\System32\CGyOiQH.exe
  C:\Windows\System32\CGyOiQH.exe
  2⤵
  PID:7828
- C:\Windows\System32\EYKXUNP.exe
  C:\Windows\System32\EYKXUNP.exe
  2⤵
  PID:7864
- C:\Windows\System32\WaOoJXH.exe
  C:\Windows\System32\WaOoJXH.exe
  2⤵
  PID:7932
- C:\Windows\System32\oLNfkDw.exe
  C:\Windows\System32\oLNfkDw.exe
  2⤵
  PID:7988
- C:\Windows\System32\XAajMtz.exe
  C:\Windows\System32\XAajMtz.exe
  2⤵
  PID:8020
- C:\Windows\System32\ItuMEUT.exe
  C:\Windows\System32\ItuMEUT.exe
  2⤵
  PID:8100
- C:\Windows\System32\JRKQiIW.exe
  C:\Windows\System32\JRKQiIW.exe
  2⤵
  PID:8160
- C:\Windows\System32\htjivMI.exe
  C:\Windows\System32\htjivMI.exe
  2⤵
  PID:7328
- C:\Windows\System32\XihGqxA.exe
  C:\Windows\System32\XihGqxA.exe
  2⤵
  PID:7460
- C:\Windows\System32\qfDmIci.exe
  C:\Windows\System32\qfDmIci.exe
  2⤵
  PID:7620
- C:\Windows\System32\iDxBuNZ.exe
  C:\Windows\System32\iDxBuNZ.exe
  2⤵
  PID:7780
- C:\Windows\System32\XGtlsXs.exe
  C:\Windows\System32\XGtlsXs.exe
  2⤵
  PID:7840
- C:\Windows\System32\LviwSHh.exe
  C:\Windows\System32\LviwSHh.exe
  2⤵
  PID:8048
- C:\Windows\System32\elDookj.exe
  C:\Windows\System32\elDookj.exe
  2⤵
  PID:6608
- C:\Windows\System32\erCTCyU.exe
  C:\Windows\System32\erCTCyU.exe
  2⤵
  PID:7396
- C:\Windows\System32\WRgkNCD.exe
  C:\Windows\System32\WRgkNCD.exe
  2⤵
  PID:7844
- C:\Windows\System32\vyqXxyu.exe
  C:\Windows\System32\vyqXxyu.exe
  2⤵
  PID:7496
- C:\Windows\System32\PxBNogk.exe
  C:\Windows\System32\PxBNogk.exe
  2⤵
  PID:8024
- C:\Windows\System32\ThnonqK.exe
  C:\Windows\System32\ThnonqK.exe
  2⤵
  PID:8204
- C:\Windows\System32\lKSyAJF.exe
  C:\Windows\System32\lKSyAJF.exe
  2⤵
  PID:8232
- C:\Windows\System32\PnecOGa.exe
  C:\Windows\System32\PnecOGa.exe
  2⤵
  PID:8260
- C:\Windows\System32\EkpFcAP.exe
  C:\Windows\System32\EkpFcAP.exe
  2⤵
  PID:8300
- C:\Windows\System32\RZoHYOM.exe
  C:\Windows\System32\RZoHYOM.exe
  2⤵
  PID:8328
- C:\Windows\System32\aOeRqvj.exe
  C:\Windows\System32\aOeRqvj.exe
  2⤵
  PID:8356
- C:\Windows\System32\mrEPunR.exe
  C:\Windows\System32\mrEPunR.exe
  2⤵
  PID:8372
- C:\Windows\System32\BbpUeWN.exe
  C:\Windows\System32\BbpUeWN.exe
  2⤵
  PID:8404
- C:\Windows\System32\UKyLlPf.exe
  C:\Windows\System32\UKyLlPf.exe
  2⤵
  PID:8428
- C:\Windows\System32\trUGMML.exe
  C:\Windows\System32\trUGMML.exe
  2⤵
  PID:8464
- C:\Windows\System32\zhKhGfI.exe
  C:\Windows\System32\zhKhGfI.exe
  2⤵
  PID:8496
- C:\Windows\System32\swROqzt.exe
  C:\Windows\System32\swROqzt.exe
  2⤵
  PID:8524
- C:\Windows\System32\cLCKuQS.exe
  C:\Windows\System32\cLCKuQS.exe
  2⤵
  PID:8544
- C:\Windows\System32\zojCdNz.exe
  C:\Windows\System32\zojCdNz.exe
  2⤵
  PID:8568
- C:\Windows\System32\AbVHWbm.exe
  C:\Windows\System32\AbVHWbm.exe
  2⤵
  PID:8584
- C:\Windows\System32\BKZRxsD.exe
  C:\Windows\System32\BKZRxsD.exe
  2⤵
  PID:8612
- C:\Windows\System32\jluGmIG.exe
  C:\Windows\System32\jluGmIG.exe
  2⤵
  PID:8668
- C:\Windows\System32\BbyDIlH.exe
  C:\Windows\System32\BbyDIlH.exe
  2⤵
  PID:8696
- C:\Windows\System32\gsgGFoo.exe
  C:\Windows\System32\gsgGFoo.exe
  2⤵
  PID:8712
- C:\Windows\System32\gGZcAiO.exe
  C:\Windows\System32\gGZcAiO.exe
  2⤵
  PID:8744
- C:\Windows\System32\IoQvFik.exe
  C:\Windows\System32\IoQvFik.exe
  2⤵
  PID:8772
- C:\Windows\System32\wsWRHCT.exe
  C:\Windows\System32\wsWRHCT.exe
  2⤵
  PID:8808
- C:\Windows\System32\rziFohR.exe
  C:\Windows\System32\rziFohR.exe
  2⤵
  PID:8832
- C:\Windows\System32\VDrEsiY.exe
  C:\Windows\System32\VDrEsiY.exe
  2⤵
  PID:8856
- C:\Windows\System32\qwcYtiS.exe
  C:\Windows\System32\qwcYtiS.exe
  2⤵
  PID:8892
- C:\Windows\System32\Eefbjnv.exe
  C:\Windows\System32\Eefbjnv.exe
  2⤵
  PID:8908
- C:\Windows\System32\EUaFfbL.exe
  C:\Windows\System32\EUaFfbL.exe
  2⤵
  PID:8932
- C:\Windows\System32\rDRekPu.exe
  C:\Windows\System32\rDRekPu.exe
  2⤵
  PID:8964
- C:\Windows\System32\YDkdzdX.exe
  C:\Windows\System32\YDkdzdX.exe
  2⤵
  PID:8992
- C:\Windows\System32\KGIKLqW.exe
  C:\Windows\System32\KGIKLqW.exe
  2⤵
  PID:9032
- C:\Windows\System32\JCFoAVx.exe
  C:\Windows\System32\JCFoAVx.exe
  2⤵
  PID:9048
- C:\Windows\System32\HofjtGf.exe
  C:\Windows\System32\HofjtGf.exe
  2⤵
  PID:9072
- C:\Windows\System32\nJcztJy.exe
  C:\Windows\System32\nJcztJy.exe
  2⤵
  PID:9108
- C:\Windows\System32\yUNGSEj.exe
  C:\Windows\System32\yUNGSEj.exe
  2⤵
  PID:9144
- C:\Windows\System32\DxkipMX.exe
  C:\Windows\System32\DxkipMX.exe
  2⤵
  PID:9164
- C:\Windows\System32\aTrGfNC.exe
  C:\Windows\System32\aTrGfNC.exe
  2⤵
  PID:9192
- C:\Windows\System32\STaIAoW.exe
  C:\Windows\System32\STaIAoW.exe
  2⤵
  PID:8220
- C:\Windows\System32\vLzwuct.exe
  C:\Windows\System32\vLzwuct.exe
  2⤵
  PID:8252
- C:\Windows\System32\CkvWSBw.exe
  C:\Windows\System32\CkvWSBw.exe
  2⤵
  PID:8312
- C:\Windows\System32\FJPqdwF.exe
  C:\Windows\System32\FJPqdwF.exe
  2⤵
  PID:8364
- C:\Windows\System32\EUfPejQ.exe
  C:\Windows\System32\EUfPejQ.exe
  2⤵
  PID:8460
- C:\Windows\System32\kkpMXtq.exe
  C:\Windows\System32\kkpMXtq.exe
  2⤵
  PID:8532
- C:\Windows\System32\VudlAZE.exe
  C:\Windows\System32\VudlAZE.exe
  2⤵
  PID:8580
- C:\Windows\System32\OybIqrM.exe
  C:\Windows\System32\OybIqrM.exe
  2⤵
  PID:8652
- C:\Windows\System32\eMPssde.exe
  C:\Windows\System32\eMPssde.exe
  2⤵
  PID:8704
- C:\Windows\System32\gsJVuKl.exe
  C:\Windows\System32\gsJVuKl.exe
  2⤵
  PID:8728
- C:\Windows\System32\dBqymgP.exe
  C:\Windows\System32\dBqymgP.exe
  2⤵
  PID:8824
- C:\Windows\System32\IMnwMfZ.exe
  C:\Windows\System32\IMnwMfZ.exe
  2⤵
  PID:8916
- C:\Windows\System32\rXtDpSU.exe
  C:\Windows\System32\rXtDpSU.exe
  2⤵
  PID:8976
- C:\Windows\System32\dADObVn.exe
  C:\Windows\System32\dADObVn.exe
  2⤵
  PID:9064
- C:\Windows\System32\SChKYTs.exe
  C:\Windows\System32\SChKYTs.exe
  2⤵
  PID:9060
- C:\Windows\System32\zPkgMLa.exe
  C:\Windows\System32\zPkgMLa.exe
  2⤵
  PID:9176
- C:\Windows\System32\WyHSQdr.exe
  C:\Windows\System32\WyHSQdr.exe
  2⤵
  PID:8288
- C:\Windows\System32\XmdveYn.exe
  C:\Windows\System32\XmdveYn.exe
  2⤵
  PID:8452
- C:\Windows\System32\KomfZlP.exe
  C:\Windows\System32\KomfZlP.exe
  2⤵
  PID:8476
- C:\Windows\System32\jdzZONv.exe
  C:\Windows\System32\jdzZONv.exe
  2⤵
  PID:8692
- C:\Windows\System32\IZeDaqX.exe
  C:\Windows\System32\IZeDaqX.exe
  2⤵
  PID:8872
- C:\Windows\System32\DWvYksz.exe
  C:\Windows\System32\DWvYksz.exe
  2⤵
  PID:8940
- C:\Windows\System32\ZJyfPWg.exe
  C:\Windows\System32\ZJyfPWg.exe
  2⤵
  PID:9128
- C:\Windows\System32\oDsmQgK.exe
  C:\Windows\System32\oDsmQgK.exe
  2⤵
  PID:8424
- C:\Windows\System32\fXOfnGV.exe
  C:\Windows\System32\fXOfnGV.exe
  2⤵
  PID:8624
- C:\Windows\System32\kMchbSN.exe
  C:\Windows\System32\kMchbSN.exe
  2⤵
  PID:9116
- C:\Windows\System32\IpiMsdr.exe
  C:\Windows\System32\IpiMsdr.exe
  2⤵
  PID:9224
- C:\Windows\System32\hDmoedq.exe
  C:\Windows\System32\hDmoedq.exe
  2⤵
  PID:9260
- C:\Windows\System32\rqCIfrj.exe
  C:\Windows\System32\rqCIfrj.exe
  2⤵
  PID:9296
- C:\Windows\System32\kDzgFQT.exe
  C:\Windows\System32\kDzgFQT.exe
  2⤵
  PID:9316
- C:\Windows\System32\jaTgIoC.exe
  C:\Windows\System32\jaTgIoC.exe
  2⤵
  PID:9340
- C:\Windows\System32\sjgSQOU.exe
  C:\Windows\System32\sjgSQOU.exe
  2⤵
  PID:9368
- C:\Windows\System32\teSKHWL.exe
  C:\Windows\System32\teSKHWL.exe
  2⤵
  PID:9396
- C:\Windows\System32\tIjokfy.exe
  C:\Windows\System32\tIjokfy.exe
  2⤵
  PID:9436
- C:\Windows\System32\vrccmMq.exe
  C:\Windows\System32\vrccmMq.exe
  2⤵
  PID:9456
- C:\Windows\System32\JLGdMDb.exe
  C:\Windows\System32\JLGdMDb.exe
  2⤵
  PID:9484
- C:\Windows\System32\icvGZoU.exe
  C:\Windows\System32\icvGZoU.exe
  2⤵
  PID:9512
- C:\Windows\System32\eeDQVGw.exe
  C:\Windows\System32\eeDQVGw.exe
  2⤵
  PID:9528
- C:\Windows\System32\ReMswIB.exe
  C:\Windows\System32\ReMswIB.exe
  2⤵
  PID:9556
- C:\Windows\System32\nsgywUu.exe
  C:\Windows\System32\nsgywUu.exe
  2⤵
  PID:9588
- C:\Windows\System32\uPUroTi.exe
  C:\Windows\System32\uPUroTi.exe
  2⤵
  PID:9616
- C:\Windows\System32\SEBswFk.exe
  C:\Windows\System32\SEBswFk.exe
  2⤵
  PID:9644
- C:\Windows\System32\WcbPGWi.exe
  C:\Windows\System32\WcbPGWi.exe
  2⤵
  PID:9680
- C:\Windows\System32\cnTDYQe.exe
  C:\Windows\System32\cnTDYQe.exe
  2⤵
  PID:9708
- C:\Windows\System32\QQvTGaV.exe
  C:\Windows\System32\QQvTGaV.exe
  2⤵
  PID:9724
- C:\Windows\System32\nVQaNfn.exe
  C:\Windows\System32\nVQaNfn.exe
  2⤵
  PID:9756
- C:\Windows\System32\vmlpyDl.exe
  C:\Windows\System32\vmlpyDl.exe
  2⤵
  PID:9788
- C:\Windows\System32\FsuwSem.exe
  C:\Windows\System32\FsuwSem.exe
  2⤵
  PID:9816
- C:\Windows\System32\zLpjOWr.exe
  C:\Windows\System32\zLpjOWr.exe
  2⤵
  PID:9848
- C:\Windows\System32\AOUcRgA.exe
  C:\Windows\System32\AOUcRgA.exe
  2⤵
  PID:9876
- C:\Windows\System32\cxmmduE.exe
  C:\Windows\System32\cxmmduE.exe
  2⤵
  PID:9904
- C:\Windows\System32\qczOsXt.exe
  C:\Windows\System32\qczOsXt.exe
  2⤵
  PID:9940
- C:\Windows\System32\pqsiOkJ.exe
  C:\Windows\System32\pqsiOkJ.exe
  2⤵
  PID:9964
- C:\Windows\System32\EFuVzvt.exe
  C:\Windows\System32\EFuVzvt.exe
  2⤵
  PID:9996
- C:\Windows\System32\oTkdopA.exe
  C:\Windows\System32\oTkdopA.exe
  2⤵
  PID:10020
- C:\Windows\System32\FDPLsan.exe
  C:\Windows\System32\FDPLsan.exe
  2⤵
  PID:10048
- C:\Windows\System32\mGOYRlY.exe
  C:\Windows\System32\mGOYRlY.exe
  2⤵
  PID:10076
- C:\Windows\System32\IUbJlmI.exe
  C:\Windows\System32\IUbJlmI.exe
  2⤵
  PID:10104
- C:\Windows\System32\GbKzfTJ.exe
  C:\Windows\System32\GbKzfTJ.exe
  2⤵
  PID:10132
- C:\Windows\System32\LcZczWy.exe
  C:\Windows\System32\LcZczWy.exe
  2⤵
  PID:10148
- C:\Windows\System32\yIwRhZS.exe
  C:\Windows\System32\yIwRhZS.exe
  2⤵
  PID:10196
- C:\Windows\System32\qwWhRYa.exe
  C:\Windows\System32\qwWhRYa.exe
  2⤵
  PID:10216
- C:\Windows\System32\nXACICL.exe
  C:\Windows\System32\nXACICL.exe
  2⤵
  PID:10236
- C:\Windows\System32\CRacNEQ.exe
  C:\Windows\System32\CRacNEQ.exe
  2⤵
  PID:9220
- C:\Windows\System32\GGkcqGr.exe
  C:\Windows\System32\GGkcqGr.exe
  2⤵
  PID:9304
- C:\Windows\System32\dONMLym.exe
  C:\Windows\System32\dONMLym.exe
  2⤵
  PID:9388
- C:\Windows\System32\loDXlPD.exe
  C:\Windows\System32\loDXlPD.exe
  2⤵
  PID:9408
- C:\Windows\System32\adirZNL.exe
  C:\Windows\System32\adirZNL.exe
  2⤵
  PID:9524
- C:\Windows\System32\DXNHUBF.exe
  C:\Windows\System32\DXNHUBF.exe
  2⤵
  PID:9596
- C:\Windows\System32\gIPxEum.exe
  C:\Windows\System32\gIPxEum.exe
  2⤵
  PID:9632
- C:\Windows\System32\NFcdpxX.exe
  C:\Windows\System32\NFcdpxX.exe
  2⤵
  PID:9704
- C:\Windows\System32\swQHQCj.exe
  C:\Windows\System32\swQHQCj.exe
  2⤵
  PID:9736
- C:\Windows\System32\FzEYEBi.exe
  C:\Windows\System32\FzEYEBi.exe
  2⤵
  PID:9808
- C:\Windows\System32\IPmyPhC.exe
  C:\Windows\System32\IPmyPhC.exe
  2⤵
  PID:9916
- C:\Windows\System32\mVZMGfK.exe
  C:\Windows\System32\mVZMGfK.exe
  2⤵
  PID:9952
- C:\Windows\System32\pzaACYW.exe
  C:\Windows\System32\pzaACYW.exe
  2⤵
  PID:10016
- C:\Windows\System32\WgvjSLe.exe
  C:\Windows\System32\WgvjSLe.exe
  2⤵
  PID:10068
- C:\Windows\System32\UytaeMX.exe
  C:\Windows\System32\UytaeMX.exe
  2⤵
  PID:10124
- C:\Windows\System32\OyFZnGp.exe
  C:\Windows\System32\OyFZnGp.exe
  2⤵
  PID:10192
- C:\Windows\System32\eFxlgDP.exe
  C:\Windows\System32\eFxlgDP.exe
  2⤵
  PID:7324
- C:\Windows\System32\felwRrV.exe
  C:\Windows\System32\felwRrV.exe
  2⤵
  PID:9376
- C:\Windows\System32\pQLIIIm.exe
  C:\Windows\System32\pQLIIIm.exe
  2⤵
  PID:9492
- C:\Windows\System32\oOaKcmb.exe
  C:\Windows\System32\oOaKcmb.exe
  2⤵
  PID:9672
- C:\Windows\System32\IhiCYNc.exe
  C:\Windows\System32\IhiCYNc.exe
  2⤵
  PID:9764
- C:\Windows\System32\pCWGSxI.exe
  C:\Windows\System32\pCWGSxI.exe
  2⤵
  PID:10012
- C:\Windows\System32\eyMxAEX.exe
  C:\Windows\System32\eyMxAEX.exe
  2⤵
  PID:10100
- C:\Windows\System32\wxEhjqi.exe
  C:\Windows\System32\wxEhjqi.exe
  2⤵
  PID:9248
- C:\Windows\System32\dZcxRji.exe
  C:\Windows\System32\dZcxRji.exe
  2⤵
  PID:9604
- C:\Windows\System32\dkQuDKK.exe
  C:\Windows\System32\dkQuDKK.exe
  2⤵
  PID:9392
- C:\Windows\System32\imhojaX.exe
  C:\Windows\System32\imhojaX.exe
  2⤵
  PID:10252
- C:\Windows\System32\kwhagGi.exe
  C:\Windows\System32\kwhagGi.exe
  2⤵
  PID:10276
- C:\Windows\System32\gzkuHvX.exe
  C:\Windows\System32\gzkuHvX.exe
  2⤵
  PID:10308
- C:\Windows\System32\FnQkbzC.exe
  C:\Windows\System32\FnQkbzC.exe
  2⤵
  PID:10336
- C:\Windows\System32\RkvLuhv.exe
  C:\Windows\System32\RkvLuhv.exe
  2⤵
  PID:10368
- C:\Windows\System32\wLeDAKy.exe
  C:\Windows\System32\wLeDAKy.exe
  2⤵
  PID:10392
- C:\Windows\System32\uyusUKe.exe
  C:\Windows\System32\uyusUKe.exe
  2⤵
  PID:10432
- C:\Windows\System32\jylrIVu.exe
  C:\Windows\System32\jylrIVu.exe
  2⤵
  PID:10464
- C:\Windows\System32\FwFuIHV.exe
  C:\Windows\System32\FwFuIHV.exe
  2⤵
  PID:10492
- C:\Windows\System32\fortoHq.exe
  C:\Windows\System32\fortoHq.exe
  2⤵
  PID:10520
- C:\Windows\System32\euxqJJh.exe
  C:\Windows\System32\euxqJJh.exe
  2⤵
  PID:10548
- C:\Windows\System32\KXIKpGh.exe
  C:\Windows\System32\KXIKpGh.exe
  2⤵
  PID:10576
- C:\Windows\System32\pILHHKK.exe
  C:\Windows\System32\pILHHKK.exe
  2⤵
  PID:10604
- C:\Windows\System32\MNTxJua.exe
  C:\Windows\System32\MNTxJua.exe
  2⤵
  PID:10632
- C:\Windows\System32\oUHUSvg.exe
  C:\Windows\System32\oUHUSvg.exe
  2⤵
  PID:10660
- C:\Windows\System32\qpEfGyy.exe
  C:\Windows\System32\qpEfGyy.exe
  2⤵
  PID:10688
- C:\Windows\System32\RuVgOsJ.exe
  C:\Windows\System32\RuVgOsJ.exe
  2⤵
  PID:10716
- C:\Windows\System32\aGkfuzb.exe
  C:\Windows\System32\aGkfuzb.exe
  2⤵
  PID:10744
- C:\Windows\System32\XHjRiot.exe
  C:\Windows\System32\XHjRiot.exe
  2⤵
  PID:10784
- C:\Windows\System32\KrDOMiH.exe
  C:\Windows\System32\KrDOMiH.exe
  2⤵
  PID:10808
- C:\Windows\System32\kbhWOkE.exe
  C:\Windows\System32\kbhWOkE.exe
  2⤵
  PID:10836
- C:\Windows\System32\HxpyDCt.exe
  C:\Windows\System32\HxpyDCt.exe
  2⤵
  PID:10864
- C:\Windows\System32\lCXCMkw.exe
  C:\Windows\System32\lCXCMkw.exe
  2⤵
  PID:10892
- C:\Windows\System32\nkQvyZW.exe
  C:\Windows\System32\nkQvyZW.exe
  2⤵
  PID:10924
- C:\Windows\System32\EOjaais.exe
  C:\Windows\System32\EOjaais.exe
  2⤵
  PID:10940
- C:\Windows\System32\jvHhSBd.exe
  C:\Windows\System32\jvHhSBd.exe
  2⤵
  PID:10980
- C:\Windows\System32\cXIAOfi.exe
  C:\Windows\System32\cXIAOfi.exe
  2⤵
  PID:10996
- C:\Windows\System32\nTkuBIH.exe
  C:\Windows\System32\nTkuBIH.exe
  2⤵
  PID:11032
- C:\Windows\System32\iTZAjCQ.exe
  C:\Windows\System32\iTZAjCQ.exe
  2⤵
  PID:11064
- C:\Windows\System32\JEWBXOw.exe
  C:\Windows\System32\JEWBXOw.exe
  2⤵
  PID:11092
- C:\Windows\System32\BrKkVzG.exe
  C:\Windows\System32\BrKkVzG.exe
  2⤵
  PID:11120
- C:\Windows\System32\BCuzWJR.exe
  C:\Windows\System32\BCuzWJR.exe
  2⤵
  PID:11152
- C:\Windows\System32\XRzVrai.exe
  C:\Windows\System32\XRzVrai.exe
  2⤵
  PID:11176
- C:\Windows\System32\NNLofXz.exe
  C:\Windows\System32\NNLofXz.exe
  2⤵
  PID:11204
- C:\Windows\System32\UFADrtV.exe
  C:\Windows\System32\UFADrtV.exe
  2⤵
  PID:11232
- C:\Windows\System32\fkRQtAQ.exe
  C:\Windows\System32\fkRQtAQ.exe
  2⤵
  PID:11260
- C:\Windows\System32\lZCcdWi.exe
  C:\Windows\System32\lZCcdWi.exe
  2⤵
  PID:10296
- C:\Windows\System32\IXFYewS.exe
  C:\Windows\System32\IXFYewS.exe
  2⤵
  PID:10352
- C:\Windows\System32\eIEeAhT.exe
  C:\Windows\System32\eIEeAhT.exe
  2⤵
  PID:10428
- C:\Windows\System32\tCcnjPI.exe
  C:\Windows\System32\tCcnjPI.exe
  2⤵
  PID:10516
- C:\Windows\System32\jfccPAK.exe
  C:\Windows\System32\jfccPAK.exe
  2⤵
  PID:10560
- C:\Windows\System32\mJSVYQb.exe
  C:\Windows\System32\mJSVYQb.exe
  2⤵
  PID:10644
- C:\Windows\System32\HjcTDjc.exe
  C:\Windows\System32\HjcTDjc.exe
  2⤵
  PID:10700
- C:\Windows\System32\tuOAXxQ.exe
  C:\Windows\System32\tuOAXxQ.exe
  2⤵
  PID:10760
- C:\Windows\System32\zxoWCJA.exe
  C:\Windows\System32\zxoWCJA.exe
  2⤵
  PID:10828
- C:\Windows\System32\mBAMBox.exe
  C:\Windows\System32\mBAMBox.exe
  2⤵
  PID:10880
- C:\Windows\System32\NXEXKol.exe
  C:\Windows\System32\NXEXKol.exe
  2⤵
  PID:10952
- C:\Windows\System32\RYTYGIR.exe
  C:\Windows\System32\RYTYGIR.exe
  2⤵
  PID:11040
- C:\Windows\System32\vRViGBa.exe
  C:\Windows\System32\vRViGBa.exe
  2⤵
  PID:11104
- C:\Windows\System32\WUcrbPe.exe
  C:\Windows\System32\WUcrbPe.exe
  2⤵
  PID:11144
- C:\Windows\System32\ynevbeT.exe
  C:\Windows\System32\ynevbeT.exe
  2⤵
  PID:11216
- C:\Windows\System32\EZZhfaW.exe
  C:\Windows\System32\EZZhfaW.exe
  2⤵
  PID:10324
- C:\Windows\System32\fYKnFmN.exe
  C:\Windows\System32\fYKnFmN.exe
  2⤵
  PID:10480
- C:\Windows\System32\aJLyVZt.exe
  C:\Windows\System32\aJLyVZt.exe
  2⤵
  PID:10596
- C:\Windows\System32\znGjAyp.exe
  C:\Windows\System32\znGjAyp.exe
  2⤵
  PID:10800
- C:\Windows\System32\dYMgsMZ.exe
  C:\Windows\System32\dYMgsMZ.exe
  2⤵
  PID:10968
- C:\Windows\System32\fZQTYks.exe
  C:\Windows\System32\fZQTYks.exe
  2⤵
  PID:11132
- C:\Windows\System32\ITDRMyk.exe
  C:\Windows\System32\ITDRMyk.exe
  2⤵
  PID:10248
- C:\Windows\System32\qblnQKA.exe
  C:\Windows\System32\qblnQKA.exe
  2⤵
  PID:10736
- C:\Windows\System32\UEOKzyu.exe
  C:\Windows\System32\UEOKzyu.exe
  2⤵
  PID:11056
- C:\Windows\System32\LnFjltR.exe
  C:\Windows\System32\LnFjltR.exe
  2⤵
  PID:11280
- C:\Windows\System32\zDTRFSA.exe
  C:\Windows\System32\zDTRFSA.exe
  2⤵
  PID:11300
- C:\Windows\System32\wvEtiDg.exe
  C:\Windows\System32\wvEtiDg.exe
  2⤵
  PID:11352
- C:\Windows\System32\wjDsyzm.exe
  C:\Windows\System32\wjDsyzm.exe
  2⤵
  PID:11380
- C:\Windows\System32\ppRPBew.exe
  C:\Windows\System32\ppRPBew.exe
  2⤵
  PID:11404
- C:\Windows\System32\XsAJoVX.exe
  C:\Windows\System32\XsAJoVX.exe
  2⤵
  PID:11444
- C:\Windows\System32\kRIDaRI.exe
  C:\Windows\System32\kRIDaRI.exe
  2⤵
  PID:11496
- C:\Windows\System32\SJCGfgj.exe
  C:\Windows\System32\SJCGfgj.exe
  2⤵
  PID:11532
- C:\Windows\System32\hULfUYA.exe
  C:\Windows\System32\hULfUYA.exe
  2⤵
  PID:11560
- C:\Windows\System32\FqiNfcx.exe
  C:\Windows\System32\FqiNfcx.exe
  2⤵
  PID:11596
- C:\Windows\System32\WtAHxcq.exe
  C:\Windows\System32\WtAHxcq.exe
  2⤵
  PID:11636
- C:\Windows\System32\RjSMMtt.exe
  C:\Windows\System32\RjSMMtt.exe
  2⤵
  PID:11668
- C:\Windows\System32\SPlzzrL.exe
  C:\Windows\System32\SPlzzrL.exe
  2⤵
  PID:11708
- C:\Windows\System32\tZuEqtj.exe
  C:\Windows\System32\tZuEqtj.exe
  2⤵
  PID:11744
- C:\Windows\System32\nLVBFbK.exe
  C:\Windows\System32\nLVBFbK.exe
  2⤵
  PID:11768
- C:\Windows\System32\RCFMiDt.exe
  C:\Windows\System32\RCFMiDt.exe
  2⤵
  PID:11800
- C:\Windows\System32\rbRjFke.exe
  C:\Windows\System32\rbRjFke.exe
  2⤵
  PID:11828
- C:\Windows\System32\zzAGEEa.exe
  C:\Windows\System32\zzAGEEa.exe
  2⤵
  PID:11856
- C:\Windows\System32\EAMCAvJ.exe
  C:\Windows\System32\EAMCAvJ.exe
  2⤵
  PID:11896
- C:\Windows\System32\NtZOmqN.exe
  C:\Windows\System32\NtZOmqN.exe
  2⤵
  PID:11936
- C:\Windows\System32\pHzvSbt.exe
  C:\Windows\System32\pHzvSbt.exe
  2⤵
  PID:11964
- C:\Windows\System32\OnhgAne.exe
  C:\Windows\System32\OnhgAne.exe
  2⤵
  PID:11980
- C:\Windows\System32\WYoOqgY.exe
  C:\Windows\System32\WYoOqgY.exe
  2⤵
  PID:12028
- C:\Windows\System32\YmLWdYy.exe
  C:\Windows\System32\YmLWdYy.exe
  2⤵
  PID:12056
- C:\Windows\System32\QtSosyG.exe
  C:\Windows\System32\QtSosyG.exe
  2⤵
  PID:12076
- C:\Windows\System32\UPezRlN.exe
  C:\Windows\System32\UPezRlN.exe
  2⤵
  PID:12104
- C:\Windows\System32\ngEQfDX.exe
  C:\Windows\System32\ngEQfDX.exe
  2⤵
  PID:12128
- C:\Windows\System32\HzdBNFB.exe
  C:\Windows\System32\HzdBNFB.exe
  2⤵
  PID:12156
- C:\Windows\System32\xzInNIs.exe
  C:\Windows\System32\xzInNIs.exe
  2⤵
  PID:12192
- C:\Windows\System32\pkOFsyA.exe
  C:\Windows\System32\pkOFsyA.exe
  2⤵
  PID:12212
- C:\Windows\System32\eITMIkS.exe
  C:\Windows\System32\eITMIkS.exe
  2⤵
  PID:12248
- C:\Windows\System32\AdrHIKV.exe
  C:\Windows\System32\AdrHIKV.exe
  2⤵
  PID:12264
- C:\Windows\System32\eWwFJyB.exe
  C:\Windows\System32\eWwFJyB.exe
  2⤵
  PID:11200
- C:\Windows\System32\ufDLlgU.exe
  C:\Windows\System32\ufDLlgU.exe
  2⤵
  PID:11324
- C:\Windows\System32\vjwnXqz.exe
  C:\Windows\System32\vjwnXqz.exe
  2⤵
  PID:11432
- C:\Windows\System32\IRYhimV.exe
  C:\Windows\System32\IRYhimV.exe
  2⤵
  PID:11516
- C:\Windows\System32\OQVXjbn.exe
  C:\Windows\System32\OQVXjbn.exe
  2⤵
  PID:11608
- C:\Windows\System32\TuwxnJq.exe
  C:\Windows\System32\TuwxnJq.exe
  2⤵
  PID:11648
- C:\Windows\System32\qsYuOpE.exe
  C:\Windows\System32\qsYuOpE.exe
  2⤵
  PID:11692
- C:\Windows\System32\bfUAqtD.exe
  C:\Windows\System32\bfUAqtD.exe
  2⤵
  PID:11756
- C:\Windows\System32\yiStBGE.exe
  C:\Windows\System32\yiStBGE.exe
  2⤵
  PID:11844
- C:\Windows\System32\ydBaKGy.exe
  C:\Windows\System32\ydBaKGy.exe
  2⤵
  PID:11952
- C:\Windows\System32\bnlyzEz.exe
  C:\Windows\System32\bnlyzEz.exe
  2⤵
  PID:12040
- C:\Windows\System32\xlCZSto.exe
  C:\Windows\System32\xlCZSto.exe
  2⤵
  PID:12120
- C:\Windows\System32\OfEjhKO.exe
  C:\Windows\System32\OfEjhKO.exe
  2⤵
  PID:12172
- C:\Windows\System32\dapENOF.exe
  C:\Windows\System32\dapENOF.exe
  2⤵
  PID:12240
- C:\Windows\System32\ISjnsdO.exe
  C:\Windows\System32\ISjnsdO.exe
  2⤵
  PID:11308
- C:\Windows\System32\dxuiOOQ.exe
  C:\Windows\System32\dxuiOOQ.exe
  2⤵
  PID:11488
- C:\Windows\System32\QZktIGz.exe
  C:\Windows\System32\QZktIGz.exe
  2⤵
  PID:11548
- C:\Windows\System32\coVbTQT.exe
  C:\Windows\System32\coVbTQT.exe
  2⤵
  PID:11720
- C:\Windows\System32\ZJwlhYA.exe
  C:\Windows\System32\ZJwlhYA.exe
  2⤵
  PID:12004
- C:\Windows\System32\JDjKQjZ.exe
  C:\Windows\System32\JDjKQjZ.exe
  2⤵
  PID:12180
- C:\Windows\System32\ccapsYy.exe
  C:\Windows\System32\ccapsYy.exe
  2⤵
  PID:11400
- C:\Windows\System32\xoKLpuQ.exe
  C:\Windows\System32\xoKLpuQ.exe
  2⤵
  PID:11780
- C:\Windows\System32\kqZFOQk.exe
  C:\Windows\System32\kqZFOQk.exe
  2⤵
  PID:12016
- C:\Windows\System32\Vuvftkg.exe
  C:\Windows\System32\Vuvftkg.exe
  2⤵
  PID:12136
- C:\Windows\System32\TODRylw.exe
  C:\Windows\System32\TODRylw.exe
  2⤵
  PID:12296
- C:\Windows\System32\fmDKFMB.exe
  C:\Windows\System32\fmDKFMB.exe
  2⤵
  PID:12324
- C:\Windows\System32\uZKGZLB.exe
  C:\Windows\System32\uZKGZLB.exe
  2⤵
  PID:12372
- C:\Windows\System32\IcNgWWW.exe
  C:\Windows\System32\IcNgWWW.exe
  2⤵
  PID:12392
- C:\Windows\System32\aUSOfIi.exe
  C:\Windows\System32\aUSOfIi.exe
  2⤵
  PID:12420
- C:\Windows\System32\ItGlsAD.exe
  C:\Windows\System32\ItGlsAD.exe
  2⤵
  PID:12444
- C:\Windows\System32\dPTziSM.exe
  C:\Windows\System32\dPTziSM.exe
  2⤵
  PID:12476
- C:\Windows\System32\mOdoYJp.exe
  C:\Windows\System32\mOdoYJp.exe
  2⤵
  PID:12492
- C:\Windows\System32\zoqirtE.exe
  C:\Windows\System32\zoqirtE.exe
  2⤵
  PID:12528
- C:\Windows\System32\bzwWHiK.exe
  C:\Windows\System32\bzwWHiK.exe
  2⤵
  PID:12556
- C:\Windows\System32\qJMXART.exe
  C:\Windows\System32\qJMXART.exe
  2⤵
  PID:12584
- C:\Windows\System32\nNPirTq.exe
  C:\Windows\System32\nNPirTq.exe
  2⤵
  PID:12608
- C:\Windows\System32\dDWcfPx.exe
  C:\Windows\System32\dDWcfPx.exe
  2⤵
  PID:12636
- C:\Windows\System32\AgKdhOV.exe
  C:\Windows\System32\AgKdhOV.exe
  2⤵
  PID:12672
- C:\Windows\System32\IxhThPw.exe
  C:\Windows\System32\IxhThPw.exe
  2⤵
  PID:12704
- C:\Windows\System32\hOAcVsZ.exe
  C:\Windows\System32\hOAcVsZ.exe
  2⤵
  PID:12728
- C:\Windows\System32\ctXNGFr.exe
  C:\Windows\System32\ctXNGFr.exe
  2⤵
  PID:12748
- C:\Windows\System32\jnoOxqQ.exe
  C:\Windows\System32\jnoOxqQ.exe
  2⤵
  PID:12792
- C:\Windows\System32\tglLCRz.exe
  C:\Windows\System32\tglLCRz.exe
  2⤵
  PID:12812
- C:\Windows\System32\bXxnKUX.exe
  C:\Windows\System32\bXxnKUX.exe
  2⤵
  PID:12856
- C:\Windows\System32\fvWvYzt.exe
  C:\Windows\System32\fvWvYzt.exe
  2⤵
  PID:12876
- C:\Windows\System32\eaZXYIt.exe
  C:\Windows\System32\eaZXYIt.exe
  2⤵
  PID:12892
- C:\Windows\System32\RCXgDMP.exe
  C:\Windows\System32\RCXgDMP.exe
  2⤵
  PID:12928
- C:\Windows\System32\mJROHqK.exe
  C:\Windows\System32\mJROHqK.exe
  2⤵
  PID:12948
- C:\Windows\System32\EZQsgoA.exe
  C:\Windows\System32\EZQsgoA.exe
  2⤵
  PID:12976
- C:\Windows\System32\bnjeyKx.exe
  C:\Windows\System32\bnjeyKx.exe
  2⤵
  PID:13004
- C:\Windows\System32\HhmqACj.exe
  C:\Windows\System32\HhmqACj.exe
  2⤵
  PID:13020
- C:\Windows\System32\GHYsENw.exe
  C:\Windows\System32\GHYsENw.exe
  2⤵
  PID:13048
- C:\Windows\System32\yhqGpPB.exe
  C:\Windows\System32\yhqGpPB.exe
  2⤵
  PID:13100
- C:\Windows\System32\HFxTaIn.exe
  C:\Windows\System32\HFxTaIn.exe
  2⤵
  PID:13128
- C:\Windows\System32\moTaBUC.exe
  C:\Windows\System32\moTaBUC.exe
  2⤵
  PID:13148
- C:\Windows\System32\cNCDgVO.exe
  C:\Windows\System32\cNCDgVO.exe
  2⤵
  PID:13184
- C:\Windows\System32\GrfqjbD.exe
  C:\Windows\System32\GrfqjbD.exe
  2⤵
  PID:13212
- C:\Windows\System32\FqAPTEJ.exe
  C:\Windows\System32\FqAPTEJ.exe
  2⤵
  PID:13228
- C:\Windows\System32\sOkwrtI.exe
  C:\Windows\System32\sOkwrtI.exe
  2⤵
  PID:13276
- C:\Windows\System32\AIfeuVL.exe
  C:\Windows\System32\AIfeuVL.exe
  2⤵
  PID:13300
- C:\Windows\System32\LfvjLuY.exe
  C:\Windows\System32\LfvjLuY.exe
  2⤵
  PID:12312
- C:\Windows\System32\VWGqLFo.exe
  C:\Windows\System32\VWGqLFo.exe
  2⤵
  PID:12384
- C:\Windows\System32\pwDoPhO.exe
  C:\Windows\System32\pwDoPhO.exe
  2⤵
  PID:12460
- C:\Windows\System32\nrnRAbO.exe
  C:\Windows\System32\nrnRAbO.exe
  2⤵
  PID:12508
- C:\Windows\System32\OwuuvpX.exe
  C:\Windows\System32\OwuuvpX.exe
  2⤵
  PID:12600
- C:\Windows\System32\YIZRCuL.exe
  C:\Windows\System32\YIZRCuL.exe
  2⤵
  PID:12668
- C:\Windows\System32\lAZfBgV.exe
  C:\Windows\System32\lAZfBgV.exe
  2⤵
  PID:12712
- C:\Windows\System32\jlsSsmJ.exe
  C:\Windows\System32\jlsSsmJ.exe
  2⤵
  PID:12760
- C:\Windows\System32\KZVIVnw.exe
  C:\Windows\System32\KZVIVnw.exe
  2⤵
  PID:12864
- C:\Windows\System32\jMQEYVL.exe
  C:\Windows\System32\jMQEYVL.exe
  2⤵
  PID:12884
- C:\Windows\System32\Jlrrruy.exe
  C:\Windows\System32\Jlrrruy.exe
  2⤵
  PID:12940
- C:\Windows\System32\mKsinnc.exe
  C:\Windows\System32\mKsinnc.exe
  2⤵
  PID:12992
- C:\Windows\System32\yveLZMA.exe
  C:\Windows\System32\yveLZMA.exe
  2⤵
  PID:13072
- C:\Windows\System32\lFSHtEU.exe
  C:\Windows\System32\lFSHtEU.exe
  2⤵
  PID:13168
- C:\Windows\System32\ASqTWyR.exe
  C:\Windows\System32\ASqTWyR.exe
  2⤵
  PID:13208
- C:\Windows\System32\SpWqYrB.exe
  C:\Windows\System32\SpWqYrB.exe
  2⤵
  PID:13284
- C:\Windows\System32\acCZhwe.exe
  C:\Windows\System32\acCZhwe.exe
  2⤵
  PID:12380
- C:\Windows\System32\rPHgavM.exe
  C:\Windows\System32\rPHgavM.exe
  2⤵
  PID:12568
- C:\Windows\System32\yYkBfOb.exe
  C:\Windows\System32\yYkBfOb.exe
  2⤵
  PID:12780
- C:\Windows\System32\IguhKyK.exe
  C:\Windows\System32\IguhKyK.exe
  2⤵
  PID:12808
- C:\Windows\System32\kiAVjxf.exe
  C:\Windows\System32\kiAVjxf.exe
  2⤵
  PID:12960
- C:\Windows\System32\uMdwFsE.exe
  C:\Windows\System32\uMdwFsE.exe
  2⤵
  PID:13196
- C:\Windows\System32\zfXbomZ.exe
  C:\Windows\System32\zfXbomZ.exe
  2⤵
  PID:12428
- C:\Windows\System32\dgRIgPb.exe
  C:\Windows\System32\dgRIgPb.exe
  2⤵
  PID:12628
- C:\Windows\System32\RlcLMAS.exe
  C:\Windows\System32\RlcLMAS.exe
  2⤵
  PID:13172
- C:\Windows\System32\ScwIbPv.exe
  C:\Windows\System32\ScwIbPv.exe
  2⤵
  PID:12644
- C:\Windows\System32\mLEHhKc.exe
  C:\Windows\System32\mLEHhKc.exe
  2⤵
  PID:12456
- C:\Windows\System32\MDELgrj.exe
  C:\Windows\System32\MDELgrj.exe
  2⤵
  PID:13328
- C:\Windows\System32\PUHgbzm.exe
  C:\Windows\System32\PUHgbzm.exe
  2⤵
  PID:13356
- C:\Windows\System32\pUsawQh.exe
  C:\Windows\System32\pUsawQh.exe
  2⤵
  PID:13384
- C:\Windows\System32\QfeunSj.exe
  C:\Windows\System32\QfeunSj.exe
  2⤵
  PID:13412
- C:\Windows\System32\vToPuQG.exe
  C:\Windows\System32\vToPuQG.exe
  2⤵
  PID:13440
- C:\Windows\System32\yhhfUdv.exe
  C:\Windows\System32\yhhfUdv.exe
  2⤵
  PID:13460
- C:\Windows\System32\RzmbVpM.exe
  C:\Windows\System32\RzmbVpM.exe
  2⤵
  PID:13484
- C:\Windows\System32\cCSCfng.exe
  C:\Windows\System32\cCSCfng.exe
  2⤵
  PID:13516
- C:\Windows\System32\aBweCbL.exe
  C:\Windows\System32\aBweCbL.exe
  2⤵
  PID:13540
- C:\Windows\System32\yMGSxvZ.exe
  C:\Windows\System32\yMGSxvZ.exe
  2⤵
  PID:13568
- C:\Windows\System32\vlLByiU.exe
  C:\Windows\System32\vlLByiU.exe
  2⤵
  PID:13596
- C:\Windows\System32\PDTxzWw.exe
  C:\Windows\System32\PDTxzWw.exe
  2⤵
  PID:13628
- C:\Windows\System32\rFiqaEW.exe
  C:\Windows\System32\rFiqaEW.exe
  2⤵
  PID:13660
- C:\Windows\System32\NfYBjfa.exe
  C:\Windows\System32\NfYBjfa.exe
  2⤵
  PID:13680
- C:\Windows\System32\wbEWSBd.exe
  C:\Windows\System32\wbEWSBd.exe
  2⤵
  PID:13712
- C:\Windows\System32\wAQiZRU.exe
  C:\Windows\System32\wAQiZRU.exe
  2⤵
  PID:13748
- C:\Windows\System32\bTpgayV.exe
  C:\Windows\System32\bTpgayV.exe
  2⤵
  PID:13764
- C:\Windows\System32\dCiXVoL.exe
  C:\Windows\System32\dCiXVoL.exe
  2⤵
  PID:13812
- C:\Windows\System32\iKATeci.exe
  C:\Windows\System32\iKATeci.exe
  2⤵
  PID:13832
- C:\Windows\System32\jDKhYzq.exe
  C:\Windows\System32\jDKhYzq.exe
  2⤵
  PID:13860
- C:\Windows\System32\vwpSowF.exe
  C:\Windows\System32\vwpSowF.exe
  2⤵
  PID:13876
- C:\Windows\System32\ByhDEke.exe
  C:\Windows\System32\ByhDEke.exe
  2⤵
  PID:13904
- C:\Windows\System32\VjPYsGd.exe
  C:\Windows\System32\VjPYsGd.exe
  2⤵
  PID:13928
- C:\Windows\System32\QvOKAaQ.exe
  C:\Windows\System32\QvOKAaQ.exe
  2⤵
  PID:13952
- C:\Windows\System32\moFmyzp.exe
  C:\Windows\System32\moFmyzp.exe
  2⤵
  PID:13972
- C:\Windows\System32\jwKLLGs.exe
  C:\Windows\System32\jwKLLGs.exe
  2⤵
  PID:14016
- C:\Windows\System32\oUTRHUc.exe
  C:\Windows\System32\oUTRHUc.exe
  2⤵
  PID:14044
- C:\Windows\System32\UNnvrry.exe
  C:\Windows\System32\UNnvrry.exe
  2⤵
  PID:14076
- C:\Windows\System32\nrpmKZz.exe
  C:\Windows\System32\nrpmKZz.exe
  2⤵
  PID:14108
- C:\Windows\System32\LdXbvmF.exe
  C:\Windows\System32\LdXbvmF.exe
  2⤵
  PID:14140
- C:\Windows\System32\ULxuogt.exe
  C:\Windows\System32\ULxuogt.exe
  2⤵
  PID:14168
- C:\Windows\System32\PKgtaYY.exe
  C:\Windows\System32\PKgtaYY.exe
  2⤵
  PID:14196
- C:\Windows\System32\SRpBXvo.exe
  C:\Windows\System32\SRpBXvo.exe
  2⤵
  PID:14228
- C:\Windows\System32\nJfGCWl.exe
  C:\Windows\System32\nJfGCWl.exe
  2⤵
  PID:14256
- C:\Windows\System32\jgguvjV.exe
  C:\Windows\System32\jgguvjV.exe
  2⤵
  PID:14284
- C:\Windows\System32\LwIJntO.exe
  C:\Windows\System32\LwIJntO.exe
  2⤵
  PID:14308
- C:\Windows\System32\dfirSMd.exe
  C:\Windows\System32\dfirSMd.exe
  2⤵
  PID:13316
- C:\Windows\System32\JBouUpX.exe
  C:\Windows\System32\JBouUpX.exe
  2⤵
  PID:13368
- C:\Windows\System32\khdoCLt.exe
  C:\Windows\System32\khdoCLt.exe
  2⤵
  PID:13448
- C:\Windows\System32\xptWaqm.exe
  C:\Windows\System32\xptWaqm.exe
  2⤵
  PID:13500
- C:\Windows\System32\ASlUQBo.exe
  C:\Windows\System32\ASlUQBo.exe
  2⤵
  PID:13556
- C:\Windows\System32\HjoFpyL.exe
  C:\Windows\System32\HjoFpyL.exe
  2⤵
  PID:13608
- C:\Windows\System32\jjoyFcX.exe
  C:\Windows\System32\jjoyFcX.exe
  2⤵
  PID:13672
- C:\Windows\System32\xoeFAHB.exe
  C:\Windows\System32\xoeFAHB.exe
  2⤵
  PID:13788
- C:\Windows\System32\XYhyVns.exe
  C:\Windows\System32\XYhyVns.exe
  2⤵
  PID:13924
- C:\Windows\System32\WciEvEk.exe
  C:\Windows\System32\WciEvEk.exe
  2⤵
  PID:14004
- C:\Windows\System32\XaEcWTp.exe
  C:\Windows\System32\XaEcWTp.exe
  2⤵
  PID:14028
- C:\Windows\System32\bhHwHyA.exe
  C:\Windows\System32\bhHwHyA.exe
  2⤵
  PID:14084
- C:\Windows\System32\fGvwaoj.exe
  C:\Windows\System32\fGvwaoj.exe
  2⤵
  PID:14160
- C:\Windows\System32\kohCbtB.exe
  C:\Windows\System32\kohCbtB.exe
  2⤵
  PID:14236
- C:\Windows\System32\cTQHjvj.exe
  C:\Windows\System32\cTQHjvj.exe
  2⤵
  PID:14296
- C:\Windows\System32\neHZfFN.exe
  C:\Windows\System32\neHZfFN.exe
  2⤵
  PID:13392
- C:\Windows\System32\MITKhRM.exe
  C:\Windows\System32\MITKhRM.exe
  2⤵
  PID:13592
- C:\Windows\System32\CYaudjx.exe
  C:\Windows\System32\CYaudjx.exe
  2⤵
  PID:13728
- C:\Windows\System32\oQZaXGh.exe
  C:\Windows\System32\oQZaXGh.exe
  2⤵
  PID:13944
- C:\Windows\System32\RMOCqEf.exe
  C:\Windows\System32\RMOCqEf.exe
  2⤵
  PID:14088
- C:\Windows\System32\FvKROIJ.exe
  C:\Windows\System32\FvKROIJ.exe
  2⤵
  PID:14220
- C:\Windows\System32\ajsqXrq.exe
  C:\Windows\System32\ajsqXrq.exe
  2⤵
  PID:13424
- C:\Windows\System32\pbixEVp.exe
  C:\Windows\System32\pbixEVp.exe
  2⤵
  PID:13920
- C:\Windows\System32\rySKdmn.exe
  C:\Windows\System32\rySKdmn.exe
  2⤵
  PID:14124
- C:\Windows\System32\rYkhuPu.exe
  C:\Windows\System32\rYkhuPu.exe
  2⤵
  PID:13872
- C:\Windows\System32\eNkQfrJ.exe
  C:\Windows\System32\eNkQfrJ.exe
  2⤵
  PID:14352
- C:\Windows\System32\WPmyKBI.exe
  C:\Windows\System32\WPmyKBI.exe
  2⤵
  PID:14380
- C:\Windows\System32\dupjFRv.exe
  C:\Windows\System32\dupjFRv.exe
  2⤵
  PID:14408
- C:\Windows\System32\uRBDsJI.exe
  C:\Windows\System32\uRBDsJI.exe
  2⤵
  PID:14428
- C:\Windows\System32\dSzkQHU.exe
  C:\Windows\System32\dSzkQHU.exe
  2⤵
  PID:14464
- C:\Windows\System32\TFzxRHs.exe
  C:\Windows\System32\TFzxRHs.exe
  2⤵
  PID:14492
- C:\Windows\System32\NJmHarq.exe
  C:\Windows\System32\NJmHarq.exe
  2⤵
  PID:14520
- C:\Windows\System32\CPtdiWV.exe
  C:\Windows\System32\CPtdiWV.exe
  2⤵
  PID:14548
- C:\Windows\System32\PIWkoJs.exe
  C:\Windows\System32\PIWkoJs.exe
  2⤵
  PID:14576
- C:\Windows\System32\GuVVrPb.exe
  C:\Windows\System32\GuVVrPb.exe
  2⤵
  PID:14604
- C:\Windows\System32\gyfAvks.exe
  C:\Windows\System32\gyfAvks.exe
  2⤵
  PID:14632
- C:\Windows\System32\JnTuRuq.exe
  C:\Windows\System32\JnTuRuq.exe
  2⤵
  PID:14660
- C:\Windows\System32\rZSjwuA.exe
  C:\Windows\System32\rZSjwuA.exe
  2⤵
  PID:14688
- C:\Windows\System32\wGDTxqd.exe
  C:\Windows\System32\wGDTxqd.exe
  2⤵
  PID:14708
- C:\Windows\System32\mOKBasb.exe
  C:\Windows\System32\mOKBasb.exe
  2⤵
  PID:14740
- C:\Windows\System32\YbtOEgt.exe
  C:\Windows\System32\YbtOEgt.exe
  2⤵
  PID:14760
- C:\Windows\System32\KpIlpAS.exe
  C:\Windows\System32\KpIlpAS.exe
  2⤵
  PID:14788
- C:\Windows\System32\nTeFATe.exe
  C:\Windows\System32\nTeFATe.exe
  2⤵
  PID:14816
- C:\Windows\System32\GIRBZHQ.exe
  C:\Windows\System32\GIRBZHQ.exe
  2⤵
  PID:14856
- C:\Windows\System32\oZmxJii.exe
  C:\Windows\System32\oZmxJii.exe
  2⤵
  PID:14884
- C:\Windows\System32\JEhXROu.exe
  C:\Windows\System32\JEhXROu.exe
  2⤵
  PID:14912
- C:\Windows\System32\NoNGxnx.exe
  C:\Windows\System32\NoNGxnx.exe
  2⤵
  PID:14936
- C:\Windows\System32\ryrwvMr.exe
  C:\Windows\System32\ryrwvMr.exe
  2⤵
  PID:14968
- C:\Windows\System32\rgHAXIa.exe
  C:\Windows\System32\rgHAXIa.exe
  2⤵
  PID:14984
- C:\Windows\System32\ImytzQb.exe
  C:\Windows\System32\ImytzQb.exe
  2⤵
  PID:15016
- C:\Windows\System32\zwleAKH.exe
  C:\Windows\System32\zwleAKH.exe
  2⤵
  PID:15048
- C:\Windows\System32\TSPHggE.exe
  C:\Windows\System32\TSPHggE.exe
  2⤵
  PID:15072
- C:\Windows\System32\VQtXkmZ.exe
  C:\Windows\System32\VQtXkmZ.exe
  2⤵
  PID:15100
- C:\Windows\System32\dXseTjd.exe
  C:\Windows\System32\dXseTjd.exe
  2⤵
  PID:15124
- C:\Windows\System32\lEVPaaH.exe
  C:\Windows\System32\lEVPaaH.exe
  2⤵
  PID:15176
- C:\Windows\System32\wqABcOP.exe
  C:\Windows\System32\wqABcOP.exe
  2⤵
  PID:15200
- C:\Windows\System32\BKfSehJ.exe
  C:\Windows\System32\BKfSehJ.exe
  2⤵
  PID:15232
- C:\Windows\System32\pMqAHqI.exe
  C:\Windows\System32\pMqAHqI.exe
  2⤵
  PID:15260
- C:\Windows\System32\vVBnrGZ.exe
  C:\Windows\System32\vVBnrGZ.exe
  2⤵
  PID:15288
- C:\Windows\System32\FWyrewK.exe
  C:\Windows\System32\FWyrewK.exe
  2⤵
  PID:15316
- C:\Windows\System32\wEAtSUc.exe
  C:\Windows\System32\wEAtSUc.exe
  2⤵
  PID:15344
- C:\Windows\System32\WTLLKbo.exe
  C:\Windows\System32\WTLLKbo.exe
  2⤵
  PID:13640
- C:\Windows\System32\SIGdqTA.exe
  C:\Windows\System32\SIGdqTA.exe
  2⤵
  PID:14404
- C:\Windows\System32\VqsmMnm.exe
  C:\Windows\System32\VqsmMnm.exe
  2⤵
  PID:14448
- C:\Windows\System32\bJbLNMK.exe
  C:\Windows\System32\bJbLNMK.exe
  2⤵
  PID:14536
- C:\Windows\System32\QJSFDTa.exe
  C:\Windows\System32\QJSFDTa.exe
  2⤵
  PID:14600
- C:\Windows\System32\GDojziQ.exe
  C:\Windows\System32\GDojziQ.exe
  2⤵
  PID:14672
- C:\Windows\System32\ZlIcLXp.exe
  C:\Windows\System32\ZlIcLXp.exe
  2⤵
  PID:14724
- C:\Windows\System32\dIwcFCs.exe
  C:\Windows\System32\dIwcFCs.exe
  2⤵
  PID:14800
- C:\Windows\System32\giGdARg.exe
  C:\Windows\System32\giGdARg.exe
  2⤵
  PID:14872
- C:\Windows\System32\OFJqODZ.exe
  C:\Windows\System32\OFJqODZ.exe
  2⤵
  PID:14920
- C:\Windows\System32\AFrXMly.exe
  C:\Windows\System32\AFrXMly.exe
  2⤵
  PID:14976
- C:\Windows\System32\shMSloY.exe
  C:\Windows\System32\shMSloY.exe
  2⤵
  PID:15060
- C:\Windows\System32\TVRszNU.exe
  C:\Windows\System32\TVRszNU.exe
  2⤵
  PID:15116
- C:\Windows\System32\hYzlZEK.exe
  C:\Windows\System32\hYzlZEK.exe
  2⤵
  PID:15188
- C:\Windows\System32\DTwsSmx.exe
  C:\Windows\System32\DTwsSmx.exe
  2⤵
  PID:15256
- C:\Windows\System32\XdxAALL.exe
  C:\Windows\System32\XdxAALL.exe
  2⤵
  PID:15332
- C:\Windows\System32\VJgetXE.exe
  C:\Windows\System32\VJgetXE.exe
  2⤵
  PID:13536
- C:\Windows\System32\nsIaDBh.exe
  C:\Windows\System32\nsIaDBh.exe
  2⤵
  PID:14568
- C:\Windows\System32\pZAcInj.exe
  C:\Windows\System32\pZAcInj.exe
  2⤵
  PID:14704
- C:\Windows\System32\GVhiQzI.exe
  C:\Windows\System32\GVhiQzI.exe
  2⤵
  PID:14848
- C:\Windows\System32\vNQunls.exe
  C:\Windows\System32\vNQunls.exe
  2⤵
  PID:14956
- C:\Windows\System32\vaTsRPU.exe
  C:\Windows\System32\vaTsRPU.exe
  2⤵
  PID:15172
- C:\Windows\System32\dbGfynv.exe
  C:\Windows\System32\dbGfynv.exe
  2⤵
  PID:15312
- C:\Windows\System32\FuVnrcv.exe
  C:\Windows\System32\FuVnrcv.exe
  2⤵
  PID:14424
- C:\Windows\System32\LIkIDei.exe
  C:\Windows\System32\LIkIDei.exe
  2⤵
  PID:14748
- C:\Windows\System32\MUMwDpi.exe
  C:\Windows\System32\MUMwDpi.exe
  2⤵
  PID:15228
- C:\Windows\System32\PktDBwb.exe
  C:\Windows\System32\PktDBwb.exe
  2⤵
  PID:15088
- C:\Windows\System32\dJxlIGs.exe
  C:\Windows\System32\dJxlIGs.exe
  2⤵
  PID:15364
- C:\Windows\System32\hbRUEnw.exe
  C:\Windows\System32\hbRUEnw.exe
  2⤵
  PID:15392
- C:\Windows\System32\cocyBuL.exe
  C:\Windows\System32\cocyBuL.exe
  2⤵
  PID:15420
- C:\Windows\System32\tXIHpDf.exe
  C:\Windows\System32\tXIHpDf.exe
  2⤵
  PID:15448
- C:\Windows\System32\nrSVzsz.exe
  C:\Windows\System32\nrSVzsz.exe
  2⤵
  PID:15476
- C:\Windows\System32\uMrWOld.exe
  C:\Windows\System32\uMrWOld.exe
  2⤵
  PID:15504
- C:\Windows\System32\CYgjBjr.exe
  C:\Windows\System32\CYgjBjr.exe
  2⤵
  PID:15532
- C:\Windows\System32\oLpmBmv.exe
  C:\Windows\System32\oLpmBmv.exe
  2⤵
  PID:15560
- C:\Windows\System32\PRjXTYE.exe
  C:\Windows\System32\PRjXTYE.exe
  2⤵
  PID:15580
- C:\Windows\System32\oJBMHap.exe
  C:\Windows\System32\oJBMHap.exe
  2⤵
  PID:15616
- C:\Windows\System32\JYnFtYH.exe
  C:\Windows\System32\JYnFtYH.exe
  2⤵
  PID:15636
- C:\Windows\System32\tlRueKv.exe
  C:\Windows\System32\tlRueKv.exe
  2⤵
  PID:15672
- C:\Windows\System32\zhJCcQm.exe
  C:\Windows\System32\zhJCcQm.exe
  2⤵
  PID:15692
- C:\Windows\System32\bahdvoo.exe
  C:\Windows\System32\bahdvoo.exe
  2⤵
  PID:15720
- C:\Windows\System32\eANZCWZ.exe
  C:\Windows\System32\eANZCWZ.exe
  2⤵
  PID:15744
- C:\Windows\System32\IFtiqxv.exe
  C:\Windows\System32\IFtiqxv.exe
  2⤵
  PID:15764
- C:\Windows\System32\NXHBxRA.exe
  C:\Windows\System32\NXHBxRA.exe
  2⤵
  PID:15800
- C:\Windows\System32\TKeIzxS.exe
  C:\Windows\System32\TKeIzxS.exe
  2⤵
  PID:15840
- C:\Windows\System32\grfsrmd.exe
  C:\Windows\System32\grfsrmd.exe
  2⤵
  PID:15868
- C:\Windows\System32\cXnqTWD.exe
  C:\Windows\System32\cXnqTWD.exe
  2⤵
  PID:15896
- C:\Windows\System32\DzyvsId.exe
  C:\Windows\System32\DzyvsId.exe
  2⤵
  PID:15924
- C:\Windows\System32\vpgQddh.exe
  C:\Windows\System32\vpgQddh.exe
  2⤵
  PID:15952
- C:\Windows\System32\FPUhaha.exe
  C:\Windows\System32\FPUhaha.exe
  2⤵
  PID:15968
- C:\Windows\System32\OKbXKSh.exe
  C:\Windows\System32\OKbXKSh.exe
  2⤵
  PID:15996
- C:\Windows\System32\XqONawI.exe
  C:\Windows\System32\XqONawI.exe
  2⤵
  PID:16024
- C:\Windows\System32\rZgLQNf.exe
  C:\Windows\System32\rZgLQNf.exe
  2⤵
  PID:16040
- C:\Windows\System32\wFLZgAb.exe
  C:\Windows\System32\wFLZgAb.exe
  2⤵
  PID:16068
- C:\Windows\System32\XnaXWPo.exe
  C:\Windows\System32\XnaXWPo.exe
  2⤵
  PID:16100
- C:\Windows\System32\mXUVEXH.exe
  C:\Windows\System32\mXUVEXH.exe
  2⤵
  PID:16136
- C:\Windows\System32\laJXIBM.exe
  C:\Windows\System32\laJXIBM.exe
  2⤵
  PID:16172
- C:\Windows\System32\fakAHcK.exe
  C:\Windows\System32\fakAHcK.exe
  2⤵
  PID:16192
- C:\Windows\System32\PqVENwO.exe
  C:\Windows\System32\PqVENwO.exe
  2⤵
  PID:16236
- C:\Windows\System32\HKDuUgD.exe
  C:\Windows\System32\HKDuUgD.exe
  2⤵
  PID:16256
- C:\Windows\System32\oVOEyuD.exe
  C:\Windows\System32\oVOEyuD.exe
  2⤵
  PID:16292
- C:\Windows\System32\dXEJHCS.exe
  C:\Windows\System32\dXEJHCS.exe
  2⤵
  PID:16320
- C:\Windows\System32\TRJwhlP.exe
  C:\Windows\System32\TRJwhlP.exe
  2⤵
  PID:16348
- C:\Windows\System32\AMnJPux.exe
  C:\Windows\System32\AMnJPux.exe
  2⤵
  PID:16368
- C:\Windows\System32\IhbpeSy.exe
  C:\Windows\System32\IhbpeSy.exe
  2⤵
  PID:15384
- C:\Windows\System32\lKhSnbK.exe
  C:\Windows\System32\lKhSnbK.exe
  2⤵
  PID:15460
- C:\Windows\System32\ydThtQU.exe
  C:\Windows\System32\ydThtQU.exe
  2⤵
  PID:15488
- C:\Windows\System32\yIelmZj.exe
  C:\Windows\System32\yIelmZj.exe
  2⤵
  PID:15552
- C:\Windows\System32\XgRqVSl.exe
  C:\Windows\System32\XgRqVSl.exe
  2⤵
  PID:15624
- C:\Windows\System32\eNGLTgB.exe
  C:\Windows\System32\eNGLTgB.exe
  2⤵
  PID:15700
- C:\Windows\System32\OXKpzAk.exe
  C:\Windows\System32\OXKpzAk.exe
  2⤵
  PID:15756
- C:\Windows\System32\UDahzMN.exe
  C:\Windows\System32\UDahzMN.exe
  2⤵
  PID:15808
- C:\Windows\System32\btrdQOA.exe
  C:\Windows\System32\btrdQOA.exe
  2⤵
  PID:15884
- C:\Windows\System32\qAkJvlY.exe
  C:\Windows\System32\qAkJvlY.exe
  2⤵
  PID:15932
- C:\Windows\System32\tGjuAFZ.exe
  C:\Windows\System32\tGjuAFZ.exe
  2⤵
  PID:16008
- C:\Windows\System32\OkwUrFu.exe
  C:\Windows\System32\OkwUrFu.exe
  2⤵
  PID:16056
- C:\Windows\System32\hkGXRKE.exe
  C:\Windows\System32\hkGXRKE.exe
  2⤵
  PID:16120
- C:\Windows\System32\VCSrDyE.exe
  C:\Windows\System32\VCSrDyE.exe
  2⤵
  PID:16220
- C:\Windows\System32\vqTnrna.exe
  C:\Windows\System32\vqTnrna.exe
  2⤵
  PID:16276
- C:\Windows\System32\KpMAEFp.exe
  C:\Windows\System32\KpMAEFp.exe
  2⤵
  PID:16332
- C:\Windows\System32\hnWbnkh.exe
  C:\Windows\System32\hnWbnkh.exe
  2⤵
  PID:13700
- C:\Windows\System32\YKmAmwC.exe
  C:\Windows\System32\YKmAmwC.exe
  2⤵
  PID:15548
- C:\Windows\System32\pUwFFfC.exe
  C:\Windows\System32\pUwFFfC.exe
  2⤵
  PID:15728
- C:\Windows\System32\BIqMqBH.exe
  C:\Windows\System32\BIqMqBH.exe
  2⤵
  PID:15904
- C:\Windows\System32\htLRHsy.exe
  C:\Windows\System32\htLRHsy.exe
  2⤵
  PID:16036
- C:\Windows\System32\FXIsQKw.exe
  C:\Windows\System32\FXIsQKw.exe
  2⤵
  PID:16092
- C:\Windows\System32\JDETSJT.exe
  C:\Windows\System32\JDETSJT.exe
  2⤵
  PID:16304
- C:\Windows\System32\wuIKhTF.exe
  C:\Windows\System32\wuIKhTF.exe
  2⤵
  PID:15680
- C:\Windows\System32\TpjzMIf.exe
  C:\Windows\System32\TpjzMIf.exe
  2⤵
  PID:16084
- C:\Windows\System32\IXJvcJG.exe
  C:\Windows\System32\IXJvcJG.exe
  2⤵
  PID:15596
- C:\Windows\System32\lnnVXAI.exe
  C:\Windows\System32\lnnVXAI.exe
  2⤵
  PID:1956
- C:\Windows\System32\DlYYDup.exe
  C:\Windows\System32\DlYYDup.exe
  2⤵
  PID:16396
- C:\Windows\System32\IjIoJfP.exe
  C:\Windows\System32\IjIoJfP.exe
  2⤵
  PID:16420
- C:\Windows\System32\BMNWlVX.exe
  C:\Windows\System32\BMNWlVX.exe
  2⤵
  PID:16436
- C:\Windows\System32\mjJKrCa.exe
  C:\Windows\System32\mjJKrCa.exe
  2⤵
  PID:16452
- C:\Windows\System32\GgKggWb.exe
  C:\Windows\System32\GgKggWb.exe
  2⤵
  PID:16492
- C:\Windows\System32\duCoxFr.exe
  C:\Windows\System32\duCoxFr.exe
  2⤵
  PID:16532
- C:\Windows\System32\KFCgMCK.exe
  C:\Windows\System32\KFCgMCK.exe
  2⤵
  PID:16552
- C:\Windows\System32\aiAhFER.exe
  C:\Windows\System32\aiAhFER.exe
  2⤵
  PID:16580
- C:\Windows\System32\cGqfIer.exe
  C:\Windows\System32\cGqfIer.exe
  2⤵
  PID:16616
- C:\Windows\System32\eVKzUXp.exe
  C:\Windows\System32\eVKzUXp.exe
  2⤵
  PID:16644
- C:\Windows\System32\TCFyMqA.exe
  C:\Windows\System32\TCFyMqA.exe
  2⤵
  PID:16672
- C:\Windows\System32\eSVmzDN.exe
  C:\Windows\System32\eSVmzDN.exe
  2⤵
  PID:16712
- C:\Windows\System32\LoLUsAk.exe
  C:\Windows\System32\LoLUsAk.exe
  2⤵
  PID:16756
- C:\Windows\System32\VjQtXNy.exe
  C:\Windows\System32\VjQtXNy.exe
  2⤵
  PID:16796
- C:\Windows\System32\UxtNSHV.exe
  C:\Windows\System32\UxtNSHV.exe
  2⤵
  PID:16824
- C:\Windows\System32\dDbQHEF.exe
  C:\Windows\System32\dDbQHEF.exe
  2⤵
  PID:16844
- C:\Windows\System32\TpuDRiH.exe
  C:\Windows\System32\TpuDRiH.exe
  2⤵
  PID:16880
- C:\Windows\System32\xwWPeyG.exe
  C:\Windows\System32\xwWPeyG.exe
  2⤵
  PID:16924
- C:\Windows\System32\AkAlSwi.exe
  C:\Windows\System32\AkAlSwi.exe
  2⤵
  PID:16944
- C:\Windows\System32\mUTzXkC.exe
  C:\Windows\System32\mUTzXkC.exe
  2⤵
  PID:16968
- C:\Windows\System32\BIqDopu.exe
  C:\Windows\System32\BIqDopu.exe
  2⤵
  PID:17004
- C:\Windows\System32\EOCCSTv.exe
  C:\Windows\System32\EOCCSTv.exe
  2⤵
  PID:17036
- C:\Windows\System32\CpFLbwM.exe
  C:\Windows\System32\CpFLbwM.exe
  2⤵
  PID:17076
- C:\Windows\System32\EJfQivN.exe
  C:\Windows\System32\EJfQivN.exe
  2⤵
  PID:17096
- C:\Windows\System32\QmPBXNU.exe
  C:\Windows\System32\QmPBXNU.exe
  2⤵
  PID:17132
- C:\Windows\System32\fGEoEis.exe
  C:\Windows\System32\fGEoEis.exe
  2⤵
  PID:17160
- C:\Windows\System32\XjoZlAc.exe
  C:\Windows\System32\XjoZlAc.exe
  2⤵
  PID:17184
- C:\Windows\System32\jSTaCZs.exe
  C:\Windows\System32\jSTaCZs.exe
  2⤵
  PID:17236
- C:\Windows\System32\yfGMMmW.exe
  C:\Windows\System32\yfGMMmW.exe
  2⤵
  PID:17264
- C:\Windows\System32\FZWUluY.exe
  C:\Windows\System32\FZWUluY.exe
  2⤵
  PID:17288
- C:\Windows\System32\ZLJVETA.exe
  C:\Windows\System32\ZLJVETA.exe
  2⤵
  PID:17304
- C:\Windows\System32\InFRnXW.exe
  C:\Windows\System32\InFRnXW.exe
  2⤵
  PID:17344
- C:\Windows\System32\StBBtkc.exe
  C:\Windows\System32\StBBtkc.exe
  2⤵
  PID:17384
- C:\Windows\System32\DYYDEil.exe
  C:\Windows\System32\DYYDEil.exe
  2⤵
  PID:17404
- C:\Windows\System32\RZfMQwp.exe
  C:\Windows\System32\RZfMQwp.exe
  2⤵
  PID:16428
- C:\Windows\System32\KVbRuBk.exe
  C:\Windows\System32\KVbRuBk.exe
  2⤵
  PID:16504
- C:\Windows\System32\GkNfUfE.exe
  C:\Windows\System32\GkNfUfE.exe
  2⤵
  PID:16576
- C:\Windows\System32\BwmYzjg.exe
  C:\Windows\System32\BwmYzjg.exe
  2⤵
  PID:16596
- C:\Windows\System32\QKyDjaJ.exe
  C:\Windows\System32\QKyDjaJ.exe
  2⤵
  PID:16704
- C:\Windows\System32\ZTumPKn.exe
  C:\Windows\System32\ZTumPKn.exe
  2⤵
  PID:16776
- C:\Windows\System32\FKzXOJk.exe
  C:\Windows\System32\FKzXOJk.exe
  2⤵
  PID:16892
- C:\Windows\System32\vQDbWtX.exe
  C:\Windows\System32\vQDbWtX.exe
  2⤵
  PID:17016
- C:\Windows\System32\BkUhoXo.exe
  C:\Windows\System32\BkUhoXo.exe
  2⤵
  PID:17032
- C:\Windows\System32\EnwJBmz.exe
  C:\Windows\System32\EnwJBmz.exe
  2⤵
  PID:17112
- C:\Windows\System32\xtYsxBo.exe
  C:\Windows\System32\xtYsxBo.exe
  2⤵
  PID:17148
- C:\Windows\System32\FxILtVQ.exe
  C:\Windows\System32\FxILtVQ.exe
  2⤵
  PID:17244
- C:\Windows\System32\TCZfyzW.exe
  C:\Windows\System32\TCZfyzW.exe
  2⤵
  PID:17280
- C:\Windows\System32\ROrTFqa.exe
  C:\Windows\System32\ROrTFqa.exe
  2⤵
  PID:17372
- C:\Windows\System32\ERGGASJ.exe
  C:\Windows\System32\ERGGASJ.exe
  2⤵
  PID:4440
- C:\Windows\System32\XpskaPD.exe
  C:\Windows\System32\XpskaPD.exe
  2⤵
  PID:16604
- C:\Windows\System32\kUlqHvL.exe
  C:\Windows\System32\kUlqHvL.exe
  2⤵
  PID:16772
- C:\Windows\System32\AQYNbLL.exe
  C:\Windows\System32\AQYNbLL.exe
  2⤵
  PID:16224
- C:\Windows\System32\jpqCEQI.exe
  C:\Windows\System32\jpqCEQI.exe
  2⤵
  PID:17116
- C:\Windows\System32\PAcmTzH.exe
  C:\Windows\System32\PAcmTzH.exe
  2⤵
  PID:17332
- C:\Windows\System32\VnBJMCj.exe
  C:\Windows\System32\VnBJMCj.exe
  2⤵
  PID:16432
- C:\Windows\System32\EMrCncL.exe
  C:\Windows\System32\EMrCncL.exe
  2⤵
  PID:16856
- C:\Windows\System32\YpQmWbd.exe
  C:\Windows\System32\YpQmWbd.exe
  2⤵
  PID:17220
- C:\Windows\System32\njDIjXQ.exe
  C:\Windows\System32\njDIjXQ.exe
  2⤵
  PID:16572
- C:\Windows\System32\qFpITLG.exe
  C:\Windows\System32\qFpITLG.exe
  2⤵
  PID:17196
- C:\Windows\System32\FdDpEPq.exe
  C:\Windows\System32\FdDpEPq.exe
  2⤵
  PID:17432
- C:\Windows\System32\hCndkDm.exe
  C:\Windows\System32\hCndkDm.exe
  2⤵
  PID:17460
- C:\Windows\System32\GPqreQW.exe
  C:\Windows\System32\GPqreQW.exe
  2⤵
  PID:17476
- C:\Windows\System32\JQuNPGy.exe
  C:\Windows\System32\JQuNPGy.exe
  2⤵
  PID:17516
- C:\Windows\System32\VWtExXI.exe
  C:\Windows\System32\VWtExXI.exe
  2⤵
  PID:17544
- C:\Windows\System32\jOpnCqX.exe
  C:\Windows\System32\jOpnCqX.exe
  2⤵
  PID:17572
- C:\Windows\System32\HJNSjDd.exe
  C:\Windows\System32\HJNSjDd.exe
  2⤵
  PID:17588
- C:\Windows\System32\dMlEynp.exe
  C:\Windows\System32\dMlEynp.exe
  2⤵
  PID:17620
- C:\Windows\System32\nIXgDYI.exe
  C:\Windows\System32\nIXgDYI.exe
  2⤵
  PID:17648
- C:\Windows\System32\wSWktyl.exe
  C:\Windows\System32\wSWktyl.exe
  2⤵
  PID:17664
- C:\Windows\System32\PRBcwni.exe
  C:\Windows\System32\PRBcwni.exe
  2⤵
  PID:17700
- C:\Windows\System32\GQCYduA.exe
  C:\Windows\System32\GQCYduA.exe
  2⤵
  PID:17732
- C:\Windows\System32\HQXOhDZ.exe
  C:\Windows\System32\HQXOhDZ.exe
  2⤵
  PID:17756
- C:\Windows\System32\BNsqLFO.exe
  C:\Windows\System32\BNsqLFO.exe
  2⤵
  PID:17784
- C:\Windows\System32\cqweQLB.exe
  C:\Windows\System32\cqweQLB.exe
  2⤵
  PID:17824

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:18404

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\BDhBEkA.exe

Filesize
1.9MB

MD5
284d0de4b6cce0cfc66c8b9a9c7aaf19

SHA1
4f86215eb029fb9fd3cc9ed14c52814c8c87e4af

SHA256
8179f2ccede1a5c5602cdca54ce2b91166cec70f5f40dc5ec0c5dcd21970ab5c

SHA512
08f9d8fbb18d594e43f2a320fcf9501f558a5d11a5b1714d0820862ed2b8606063b9dd8a1ef66df6fa2a4666074f2fc06a44cbfb8f3b6868b7c02cdf7a67094c

Download Submit
C:\Windows\System32\BmYztBb.exe

Filesize
1.9MB

MD5
60dfd8a496881f37a66d042dfaae1b1e

SHA1
1bf98829a587d120d20d1ffa8bcb7914dfff693a

SHA256
c7086f563a825afc63e5eeef467558f18aeb873f06b1601c8d5ea6a9c0e653bb

SHA512
2e9ec5b23532b0d6ec1d55afa93b488c7a17d39a472545ce45608269ea479ae387dc85cd56bef8c9959a78ea528c70d337b5c562163c67aab93b9e1f4b738ba0

Download Submit
C:\Windows\System32\CGJkDWK.exe

Filesize
1.9MB

MD5
a00a1d690d38a05b2e1b09b3fea096b9

SHA1
91ad4ab23b2aa540ad5c9fa5b18a6ba33ae74b63

SHA256
ac03af5308370dfcdcc1d34ce8aa654025ba75b97771dd5e560b05732a017d52

SHA512
088fb3106fe005865336b1177cfaaa09fda51886cf8afa28c4a053aea38b53fb24c038e658a6dfb2a34cdccb1cf295f2e12eebe77fa0e8fca285c653e4c391e7

Download Submit
C:\Windows\System32\DQJbmos.exe

Filesize
1.9MB

MD5
6b4c2b27fdcdbb55b3ec232ef7fdaa20

SHA1
51410be5dde25c1d2a1e50befc7e23d1b625efe4

SHA256
4011f318ecad18677b236ade069cb2ad881249a8118e9669a57fe2d6c5eac5e1

SHA512
2b7907838a6522ccfbf4b97e4ceef773ef9b8aec67e8bab96522207104c984e01a90e89c611c861b00adadf37e401243fa14219cf59bcb3395db271f91637e93

Download Submit
C:\Windows\System32\FaLmhyv.exe

Filesize
1.9MB

MD5
ea2d8b841cf5e5a82bd3ed75184d0c89

SHA1
a979378fcbe853dd7986b14c607113d2f3b3189a

SHA256
e069a49c46d2080dca0a7f5df64c801659049bab99decabe260a516da056884f

SHA512
f7aaaa2587018f34f474e4fc681b0c06370bfa37fcb49f2223d341641c79e578d1c2641520fd3c00374324c1217a5b60344eca70ae51ec6af1b6e4ad1108f8d7

Download Submit
C:\Windows\System32\IdJspgS.exe

Filesize
1.9MB

MD5
294f64010f573e9ea90dcc8cacc8ea4d

SHA1
e1f405b7c65f661bade89b45aff9e7baf19b25e4

SHA256
cae1729ff5346173c15430242b6c3977520ca75d12d473e662a2ed43b1d7362d

SHA512
f9de8e27e84348ad9735d0b094ff89d09e22be876265235ed9242e9b4d41f97f0b443a05339aa92f2830f7b901ee0db25efc63f828a2c1d43e0bbf2ec900a6f8

Download Submit
C:\Windows\System32\JAnexjX.exe

Filesize
1.9MB

MD5
278a296e71a4d4a8ace2bfa8428b1f72

SHA1
8fba54aa7fcba305db85ce3a882e9240cc7f8699

SHA256
439f3e50fca9acc2faab474061807712fd3b44e75264faddd874e2f87371f4bc

SHA512
57db126e9d1420872bcb42a7483df21655e61834a5f04650637f7eaad0cac0c299dae3ab3a359096983264e93a2988fccaced2cc3aad010a3f6f0dc9baeb400e

Download Submit
C:\Windows\System32\JkFMqrK.exe

Filesize
1.9MB

MD5
210666035098272a74d5daf2022d5e54

SHA1
86d210720ffecc785b38b4d95e8add7a46229cb9

SHA256
416bbe6426d5cc66a223a106bd803e9e22d06b6f9cb1c45727e011607a2bd2f0

SHA512
65fb8ab04b807c2df226298309c3b1a2399c9bc98eec4a2f06a24ff8508e5b61b63a460e8c8688f9d2f7ad774185a2a944494ad74a3d3ea265895401a4afdfa4

Download Submit
C:\Windows\System32\MYwlFca.exe

Filesize
1.9MB

MD5
b503401b4ba5b7b938d058528cc52271

SHA1
d3446e3b1883c7130e14db75d0b578aed44e086b

SHA256
b5b1dd7408cb0d43a1c6cde0f255a50c5cadd624b9b5f3a932b738123c3bda9d

SHA512
3361c58c641450f6e6ae513ec75018b094088ff6e9969bb753bd1b9ac7fca81b700b36823149db376cbe0ee8b7056fbaebb36f8e072dad59f8dfa0b38b527216

Download Submit
C:\Windows\System32\QxaiCHj.exe

Filesize
1.9MB

MD5
6a9610ce61844864ed63b4ec6497f7a1

SHA1
d4d0bafd5849261243d2a0918f02cca8e7e00e4a

SHA256
59a25bd987c1ccf2f105b1dd9ca594ef1dd552f2800435cdbe160a19c9447292

SHA512
8ce33b7d48e002e1e91a182f02c003592cbe6410aaa8ed5749afe3147969649b2e07cd7a6fed0b8e085a5f54022ee45c2add1b856a2093bd224023e8eacc4875

Download Submit
C:\Windows\System32\Rerqvjm.exe

Filesize
1.9MB

MD5
f332157f26cb37a0a4e50c6992937630

SHA1
9cbaac52e0423475ff80897cfbbfd0f6de1ebf1c

SHA256
00ffdcbc1d93f201d6a5da94be6fb87048bc7178619171d739c8648d473da5d5

SHA512
f984c07b058f2fac97307417ee93977e120e7eebfcc8220feb095715e8c645a5fa59a65536291f0caa2002769cd891b1371df0e2cf8dec662a49053cc646c85b

Download Submit
C:\Windows\System32\RoMzPsF.exe

Filesize
1.9MB

MD5
f77dd36c32dc25f401ea52dda87b3e30

SHA1
790028ad34544dea36e4eebfc485bc8b88eef37b

SHA256
673a43aac30d922a6c2b5eb1650cadcc236829924a03794dae86143bfb529ea0

SHA512
2000374c7e375c100b7dbd2619b8435e952766b3fe74363cbbceae5b6ef8da7870f5eee235018baac20b463eeabc8245dce432e95d914f9605c828e4cea112d4

Download Submit
C:\Windows\System32\ShjtIwr.exe

Filesize
1.9MB

MD5
6639edfdea6e9884441268dc05dc1a46

SHA1
6c9a6a094ff06f0a4d5c484a9151f78f8daf2428

SHA256
ed7a1bda0645aeb95a7b675454845abf80eb4009d90d7fc11bdc6f66acff9419

SHA512
ac283b135d46a8f06c07814d1d399c1014d9adb01715b99c231567f8de234e7d333c75e8b771205cb63a64f6eef848e73d665c3cdd77d4d536ddebf3617dffc8

Download Submit
C:\Windows\System32\SymIZEK.exe

Filesize
1.9MB

MD5
f9343d11f0dae24f3271d1072092802e

SHA1
5b16276cbc935dc77048aa400a4fc720acfb9c72

SHA256
96fb2861fdf4e6379ba21ac676fe90b578829d06f1d859fec5e2fa00aaadfe14

SHA512
e4d2a34ab8815bba0d0b3270b6910bdd469503ec8b11ff47b5f9789443dc0dfd4083deb96efede899ca9ae4ea4f8df81b5cbaf8c38e1a4c72e42e40806c24bff

Download Submit
C:\Windows\System32\VgwRyOh.exe

Filesize
1.9MB

MD5
83ee15b9dffa46ab605086df7c79f6e2

SHA1
c5fbc5cc851da6be7cb3680006d3c466b0c1267a

SHA256
bc75f13e65965fb8fc2bec879e21dcf644fae27f3d3f1fec88880742fc1e0f0f

SHA512
2c3140ba65dc6414528ea12e4876b7897c35e93abb429a53ed7ab9b1adc74fe275e5e9ee2a438844979cfb3b6c05b70bc935e80216c700a030422118d4e45c7e

Download Submit
C:\Windows\System32\VkwlNUE.exe

Filesize
1.9MB

MD5
feb7b421660ac0bc033f04f03e8447ce

SHA1
723c0de34aaec146443a7ee0195f397ccb137b15

SHA256
89090a580b0776bad9ae620dcdc0c86d2acc41b0c422b95791f333dca7dc18ab

SHA512
94c63ed277f6aeb4915faf4305d93ef87cc966fa142c293292cac449ee0c096021ed4d8d0782c16f5bc6e2680b6d51c292f41462c57601d26448963bba8e66d0

Download Submit
C:\Windows\System32\VuAIzPS.exe

Filesize
1.9MB

MD5
6c63035f6fd0423ddf089821bb4693be

SHA1
046160f1bd93346a2b6ca09844bd0d5e44138175

SHA256
f6c87ce207a2dd8a7923f8bbed013f0de85b3fc1a7b167aff7c48c55d0426a42

SHA512
73c64576c2979da760faccb657cd51a821cc88a9c259336201eec78a9f6ba1f3ef171085e690ba7098d67e406ac217291ed10f21c2511ae5156d67af2093ffa5

Download Submit
C:\Windows\System32\WIYOGaT.exe

Filesize
1.9MB

MD5
f5f4a3c1ebd264e873b4eeb59b1f214f

SHA1
d95bb1a15045823c6509b85980076b8403ea250c

SHA256
f85b395b85e6d1b4dbd2339e4e9445405760300ee8ef47cfa96de74cd7fc4fac

SHA512
59add4734750219cc8ebacb8cc4d90927d60cb05e4619ea74a1e5303fab3022ab9e9ebe44e65fcb6b2ac320f9ed1361c03b22b13dcbca789dd06d4cf39c8d973

Download Submit
C:\Windows\System32\YfrDGBo.exe

Filesize
1.9MB

MD5
1b9c596c950abd1a885378f8bb9d3c31

SHA1
1dd164884c8a74c23e4880e26485f7fcfd4db1a6

SHA256
4899b34c2f4e837e33b1d46637c8ba4fcd5aa386071d495a6e595d1c3ef74677

SHA512
d3f1d34d7eaf4a9b4ef39c819b6935508e3c9c51f82a709e4e9438c256b240a92769bc7065652bfafde148b076c7db7008dec818be2390ee242a64184d5ce0f9

Download Submit
C:\Windows\System32\cCYvQgJ.exe

Filesize
1.9MB

MD5
6c0b420deab58931f2a14b5dcb935139

SHA1
5bc4512a8c2be4874187133fbd3b39f9176174a8

SHA256
2c2eb2a1bdaa04256362a2e5df7a8cfd562ff2b2674dc30003265f5623daf637

SHA512
7ce8d9925d50c2fc2def018474b98415e6807188397b3bcff6a9ee1cc2579cdd7e6d4f72df533385b7060fa9fb2cfc1273490ecd274d373c08da60956c4eb176

Download Submit
C:\Windows\System32\fGDDrNR.exe

Filesize
1.9MB

MD5
c64ad7724575468d5900af6a3041c13f

SHA1
fddb3216d7ca88c2b8c4a75d5c25a133f56614ed

SHA256
aa720e022035478cc9c389f88cbe6433f40e91da1e06fdbad760e28f57d79df1

SHA512
80a624a52383ba10a21121623273a68b2f4fd2060808ca43ee59a8fa478b2e2fcc01fff9d78526cb2ca78282537702d37521f257512d1c62aeca35824f96f5e7

Download Submit
C:\Windows\System32\iKQrcBc.exe

Filesize
1.9MB

MD5
8e1d2519c8e17c791e1a9d2ecf2d40f8

SHA1
4696ec2085b1f97cc758cc47214c8516701622cb

SHA256
ed2b0111c662556833f6fe9ea7f6c97759d1d519399e234216ce95c0b8949d82

SHA512
9ad81b362c2cb87b207e83a31f7b75b7ca44a5e039e7367768f709c19203a3852083e14c330b92e2f1f47dd3f280bc10b632c6d60da1387158f8a7c43e7169b6

Download Submit
C:\Windows\System32\ivKyEsB.exe

Filesize
1.9MB

MD5
0213ecb7e175292f5365c08dbf295109

SHA1
c8af9333b18b565207b532b95c5025da6b511457

SHA256
cb846a3123777dd4a82070baf6779c592707059721caaf337d52d2b91bf49845

SHA512
0d59adbabffdd01db7aeb5227ba17e5aa69368c6545bc52bacca2be7ba8d25270b8653cf047090e42f41a6b46a4810c085751419d0f5ccd7eb70ec9965b542ac

Download Submit
C:\Windows\System32\iwLZAHn.exe

Filesize
1.9MB

MD5
a7216120949d91d2cc32bc0f02141026

SHA1
bb0badd9b2cee9e8dcda11d1b38ddb7e13fd2b48

SHA256
8a6211c16e4fcb6b86d787c41585a2b6139cb8afbe62558bbe3e02a931190b9c

SHA512
f7c4a617d4e6ae079864d564c9d53e133e7ef30517d16c6ff2284fa1c3a1c2082e152dfa157c7c0474d56542cb0873355b388b933dbd80c65399fb5fc8b927c1

Download Submit
C:\Windows\System32\jgtoBUo.exe

Filesize
1.9MB

MD5
e6bd33e22f4d4088206396dae9a65e77

SHA1
03901b3d6194d3f1e51f884868dab691a626c62a

SHA256
7a100ee15be9794640cad62de410ffee5e86eb0e0478eb6887771d6c7117193d

SHA512
4b6999b2b8cfeb508915d878c18fa8834416ed5c92a63b3beffbbff51229354585b2292a9afdfdad6fb1a3574505ee77a269a8e294cf20b369d18b823cf733a0

Download Submit
C:\Windows\System32\tSCszrF.exe

Filesize
1.9MB

MD5
d4046152e139d86e750899b07358dd35

SHA1
d2bcd730be296703bbb66380f797f2d35ee86547

SHA256
a1517ebde2a651afad497a66ad26b8f0d702fba42b34d0af25bad6f8c30bda45

SHA512
b5162075522007a094cb0766ccba140584d922a5a330bd8b4b10ea9497eef9fd8ee9237bf608eb555e6b53bddc6515a886c53eec0be6bf6bf31218d6da7fe185

Download Submit
C:\Windows\System32\uFLhqCt.exe

Filesize
1.9MB

MD5
9eda60d6e76a8b6d4212ce60cdb5e472

SHA1
cbb923622e6d7d06543d042198f598f9a292955c

SHA256
eeca59bd46006922587c20accfee632077a3c68185317b8a0e0c81a5341ea75d

SHA512
4dd4070a583081d4daf0b10195d370b6fde1a97578e7e36fc1caf84a8ee0ab804f14afcc53f99c1502524da5ee8d444e142c4c2ae109d55b6ab818cf548a3f17

Download Submit
C:\Windows\System32\uTyPsxE.exe

Filesize
1.9MB

MD5
555630dec63f892a4827a0c11b025812

SHA1
07e51f289c17e320ab5b58797954b6fd325a6f0d

SHA256
073319b55474c4ed95b94777436479b69e64a2ed44f44e5861fbc234c30876ca

SHA512
96a9da41bac30c594326366d87cc2f924514fe9b5417034e19a5e53a495dcf48947fb6d9d6e6bab549594c8031420727675de08f6df3c882c6adfe20ddeef89e

Download Submit
C:\Windows\System32\wKRzlpS.exe

Filesize
1.9MB

MD5
c18e8c6c59aa9a28f879108c1b167863

SHA1
fd0bdbeac370c688237f225acdc4f9670c89aa8c

SHA256
23a8a164f3883143d57114e9410ae5cbcbc4d704d63aecfa57db5ca901163e5e

SHA512
8370a0cb4cd472cfee4edf2e345712c04359805f0b88bc68a08339e50ff477526d997fad5050b352d6f6e0e64eb36857e05e532eb305037a147e147b0f4fb68f

Download Submit
C:\Windows\System32\xBzCsbN.exe

Filesize
1.9MB

MD5
8988dcc98cdfdb159893f2a93bda54f9

SHA1
7239e31318f94441bf16b994ec1234d88b2d9c18

SHA256
ed27a344f26298689ea735a87e7e395aefca8a697435af286a8eeda703f77c81

SHA512
b9b1aa43fb3b2f8fdf17acf97bc818377788c3b3a4993a12b04d772222e229fe53e9befeb3578943b8063238f6ec00c651cf6949c451325817bbf797f6fe9280

Download Submit
C:\Windows\System32\zKMudux.exe

Filesize
1.9MB

MD5
132cc634558fa77e1acd097c265922cf

SHA1
117c78d232c55329673cf9eaf0559f1858b322b7

SHA256
00073b0063c3da505f798288bdbd88b1e8a4415f37d609f540a09710419a99ba

SHA512
dfda097167e6bd6aa7fa1a85798afb94777f1c5a7b5288ce46b32706ba4a707d050d2b00fdc181d285820398ffc95c6ad6442e704377407b0315ee9f90fb30c0

Download Submit
C:\Windows\System32\zXYiIFe.exe

Filesize
1.9MB

MD5
e21230af90fc34cc70e04f740b86acbf

SHA1
8f516d4eb3c45575dea72042d9c3b0b835ef8fa7

SHA256
f63adb702d59632a73426ed3cee9c08ca4dea83fbdd5bd8f385685db0b7c0669

SHA512
697b321221f3d82a3b5a6e9164b60d2c586ea0f7fce25283f93f93ffb91635d42f7245894d041650f428612889a9811f4a6aa34c690c3d657607f1fba63d4054

Download Submit
memory/3452-0-0x0000000000700000-0x0000000000710000-memory.dmp

Filesize
64KB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads