xmrig | e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7

Analysis

max time kernel
124s
max time network
128s
platform
windows10-2004_x64
resource
win10v2004-20240508-en
resource tags

arch:x64arch:x86image:win10v2004-20240508-enlocale:en-usos:windows10-2004-x64system
submitted
20/05/2024, 09:53

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
Size

2.6MB
MD5

d5f59b463f2ee704e4b37696130559e0
SHA1

a05d40d31577c13bf509327cf29c8e8e79daf0ac
SHA256

e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7
SHA512

88fe91324ca0899391e2a27fada95c5ab87a2be712ff4035c4f4eb16b7d53d8e679b926c4a73a9ec7572f7e51e4af7b04a8e8f5e02792d7679d049f6c86c5edf
SSDEEP

49152:N0wjnJMOWh50kC1/dVFdx6e0EALKWVTffZiPAcRq6jHjcz8DzHUrk7SSfu/O:N0GnJMOWPClFdx6e0EALKWVTffZiPAc7

Score

10^/10

xmrig miner upx

Malware Config

Signatures

Suspicious use of NtCreateUserProcessOtherParentProcess 1 IoCs

description	pid	Process	procid_target
PID 13216 created 12980	13216	WerFaultSecure.exe	676

xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 64 IoCs

miner

resource	yara_rule
behavioral2/memory/2836-0-0x00007FF746500000-0x00007FF7468F5000-memory.dmp	xmrig
behavioral2/files/0x00080000000233f7-4.dat	xmrig
behavioral2/files/0x00070000000233fb-11.dat	xmrig
behavioral2/memory/2780-13-0x00007FF692860000-0x00007FF692C55000-memory.dmp	xmrig
behavioral2/files/0x00070000000233fc-15.dat	xmrig
behavioral2/files/0x00070000000233fd-20.dat	xmrig
behavioral2/files/0x0007000000023400-37.dat	xmrig
behavioral2/files/0x0007000000023402-47.dat	xmrig
behavioral2/files/0x0007000000023403-50.dat	xmrig
behavioral2/files/0x000700000002340c-97.dat	xmrig
behavioral2/files/0x0007000000023419-160.dat	xmrig
behavioral2/memory/3772-781-0x00007FF7D1E20000-0x00007FF7D2215000-memory.dmp	xmrig
behavioral2/files/0x0007000000023418-157.dat	xmrig
behavioral2/files/0x0007000000023417-152.dat	xmrig
behavioral2/files/0x0007000000023416-147.dat	xmrig
behavioral2/files/0x0007000000023415-142.dat	xmrig
behavioral2/files/0x0007000000023414-137.dat	xmrig
behavioral2/files/0x0007000000023413-132.dat	xmrig
behavioral2/files/0x0007000000023412-127.dat	xmrig
behavioral2/files/0x0007000000023411-122.dat	xmrig
behavioral2/files/0x0007000000023410-117.dat	xmrig
behavioral2/files/0x000700000002340f-112.dat	xmrig
behavioral2/files/0x000700000002340e-107.dat	xmrig
behavioral2/files/0x000700000002340d-102.dat	xmrig
behavioral2/files/0x000700000002340b-92.dat	xmrig
behavioral2/files/0x000700000002340a-87.dat	xmrig
behavioral2/files/0x0007000000023409-82.dat	xmrig
behavioral2/files/0x0007000000023408-77.dat	xmrig
behavioral2/files/0x0007000000023407-72.dat	xmrig
behavioral2/files/0x0007000000023406-67.dat	xmrig
behavioral2/files/0x0007000000023405-62.dat	xmrig
behavioral2/files/0x0007000000023404-57.dat	xmrig
behavioral2/files/0x0007000000023401-42.dat	xmrig
behavioral2/files/0x00070000000233ff-32.dat	xmrig
behavioral2/files/0x00070000000233fe-27.dat	xmrig
behavioral2/memory/4912-802-0x00007FF6FD5C0000-0x00007FF6FD9B5000-memory.dmp	xmrig
behavioral2/memory/1520-808-0x00007FF735EF0000-0x00007FF7362E5000-memory.dmp	xmrig
behavioral2/memory/3784-817-0x00007FF73B050000-0x00007FF73B445000-memory.dmp	xmrig
behavioral2/memory/4868-821-0x00007FF61CC60000-0x00007FF61D055000-memory.dmp	xmrig
behavioral2/memory/3480-816-0x00007FF721DC0000-0x00007FF7221B5000-memory.dmp	xmrig
behavioral2/memory/1080-824-0x00007FF6A2560000-0x00007FF6A2955000-memory.dmp	xmrig
behavioral2/memory/2612-823-0x00007FF76A940000-0x00007FF76AD35000-memory.dmp	xmrig
behavioral2/memory/3656-833-0x00007FF6BF5F0000-0x00007FF6BF9E5000-memory.dmp	xmrig
behavioral2/memory/3872-851-0x00007FF758FD0000-0x00007FF7593C5000-memory.dmp	xmrig
behavioral2/memory/1384-858-0x00007FF6FC2C0000-0x00007FF6FC6B5000-memory.dmp	xmrig
behavioral2/memory/2996-843-0x00007FF6E58D0000-0x00007FF6E5CC5000-memory.dmp	xmrig
behavioral2/memory/4112-837-0x00007FF69FE70000-0x00007FF6A0265000-memory.dmp	xmrig
behavioral2/memory/1076-825-0x00007FF775260000-0x00007FF775655000-memory.dmp	xmrig
behavioral2/memory/4472-863-0x00007FF61B440000-0x00007FF61B835000-memory.dmp	xmrig
behavioral2/memory/1804-871-0x00007FF79A940000-0x00007FF79AD35000-memory.dmp	xmrig
behavioral2/memory/2040-873-0x00007FF6EB0C0000-0x00007FF6EB4B5000-memory.dmp	xmrig
behavioral2/memory/3760-878-0x00007FF6CEB10000-0x00007FF6CEF05000-memory.dmp	xmrig
behavioral2/memory/1148-879-0x00007FF727470000-0x00007FF727865000-memory.dmp	xmrig
behavioral2/memory/4928-883-0x00007FF64D650000-0x00007FF64DA45000-memory.dmp	xmrig
behavioral2/memory/5016-886-0x00007FF72D250000-0x00007FF72D645000-memory.dmp	xmrig
behavioral2/memory/2104-881-0x00007FF6525F0000-0x00007FF6529E5000-memory.dmp	xmrig
behavioral2/memory/576-870-0x00007FF664F70000-0x00007FF665365000-memory.dmp	xmrig
behavioral2/memory/2780-1892-0x00007FF692860000-0x00007FF692C55000-memory.dmp	xmrig
behavioral2/memory/3772-1893-0x00007FF7D1E20000-0x00007FF7D2215000-memory.dmp	xmrig
behavioral2/memory/4912-1894-0x00007FF6FD5C0000-0x00007FF6FD9B5000-memory.dmp	xmrig
behavioral2/memory/1520-1896-0x00007FF735EF0000-0x00007FF7362E5000-memory.dmp	xmrig
behavioral2/memory/3480-1897-0x00007FF721DC0000-0x00007FF7221B5000-memory.dmp	xmrig
behavioral2/memory/5016-1895-0x00007FF72D250000-0x00007FF72D645000-memory.dmp	xmrig
behavioral2/memory/2040-1899-0x00007FF6EB0C0000-0x00007FF6EB4B5000-memory.dmp	xmrig

Executes dropped EXE 64 IoCs

pid	Process
2780	ruDrcsw.exe
3772	gRcjWed.exe
5016	WbAyNgw.exe
4912	LZJJvJk.exe
1520	WxeQKEu.exe
3480	foPfVgj.exe
3784	fWnlPLP.exe
4868	XBvNVvv.exe
2612	CZEHOMX.exe
1080	vhyFbaf.exe
1076	OTTanpQ.exe
3656	pxpoWtl.exe
4112	aCfwEqF.exe
2996	bEqcnKM.exe
3872	clnxzJz.exe
1384	gHZLqEQ.exe
4472	kgojiKT.exe
576	GaggiGd.exe
1804	scsQYbR.exe
2040	juIwFhA.exe
3760	eNIYoqx.exe
1148	gqVLWxZ.exe
2104	FtMMQkD.exe
4928	MwDGYaS.exe
776	wXdKlTV.exe
1388	FOgDNXY.exe
404	WufPfiy.exe
2140	CpgsuXA.exe
1028	MvtigNm.exe
1392	nNvGzHn.exe
1168	gaektBJ.exe
2892	wxCDvKh.exe
1124	dzznlrQ.exe
4904	wrRyTmi.exe
4508	XTvWPTt.exe
4516	ryBnHLD.exe
3260	QGNsgwg.exe
3592	TGlqMIG.exe
3120	OxhERar.exe
3204	tDvbbOp.exe
4504	CDiyhPy.exe
3576	tmZuvIF.exe
4684	tHTbavN.exe
3980	ARNmMMh.exe
4780	RtuSZTa.exe
4548	lOZgbnw.exe
3500	fhgBEyf.exe
2500	irnrhMb.exe
2848	GcOfGji.exe
2212	JTbbNWu.exe
4560	RGqZebi.exe
2680	RPCURWK.exe
3040	XBVqlwW.exe
828	ozECFXu.exe
1912	hijWWgu.exe
4968	egGUptY.exe
3840	nivWCkB.exe
3012	JKQRKOk.exe
4176	GEDWius.exe
4576	XesfpBl.exe
3300	zcilzum.exe
444	htAlbxa.exe
4732	XdtoCTz.exe
4644	wFOhsLD.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/2836-0-0x00007FF746500000-0x00007FF7468F5000-memory.dmp	upx
behavioral2/files/0x00080000000233f7-4.dat	upx
behavioral2/files/0x00070000000233fb-11.dat	upx
behavioral2/memory/2780-13-0x00007FF692860000-0x00007FF692C55000-memory.dmp	upx
behavioral2/files/0x00070000000233fc-15.dat	upx
behavioral2/files/0x00070000000233fd-20.dat	upx
behavioral2/files/0x0007000000023400-37.dat	upx
behavioral2/files/0x0007000000023402-47.dat	upx
behavioral2/files/0x0007000000023403-50.dat	upx
behavioral2/files/0x000700000002340c-97.dat	upx
behavioral2/files/0x0007000000023419-160.dat	upx
behavioral2/memory/3772-781-0x00007FF7D1E20000-0x00007FF7D2215000-memory.dmp	upx
behavioral2/files/0x0007000000023418-157.dat	upx
behavioral2/files/0x0007000000023417-152.dat	upx
behavioral2/files/0x0007000000023416-147.dat	upx
behavioral2/files/0x0007000000023415-142.dat	upx
behavioral2/files/0x0007000000023414-137.dat	upx
behavioral2/files/0x0007000000023413-132.dat	upx
behavioral2/files/0x0007000000023412-127.dat	upx
behavioral2/files/0x0007000000023411-122.dat	upx
behavioral2/files/0x0007000000023410-117.dat	upx
behavioral2/files/0x000700000002340f-112.dat	upx
behavioral2/files/0x000700000002340e-107.dat	upx
behavioral2/files/0x000700000002340d-102.dat	upx
behavioral2/files/0x000700000002340b-92.dat	upx
behavioral2/files/0x000700000002340a-87.dat	upx
behavioral2/files/0x0007000000023409-82.dat	upx
behavioral2/files/0x0007000000023408-77.dat	upx
behavioral2/files/0x0007000000023407-72.dat	upx
behavioral2/files/0x0007000000023406-67.dat	upx
behavioral2/files/0x0007000000023405-62.dat	upx
behavioral2/files/0x0007000000023404-57.dat	upx
behavioral2/files/0x0007000000023401-42.dat	upx
behavioral2/files/0x00070000000233ff-32.dat	upx
behavioral2/files/0x00070000000233fe-27.dat	upx
behavioral2/memory/4912-802-0x00007FF6FD5C0000-0x00007FF6FD9B5000-memory.dmp	upx
behavioral2/memory/1520-808-0x00007FF735EF0000-0x00007FF7362E5000-memory.dmp	upx
behavioral2/memory/3784-817-0x00007FF73B050000-0x00007FF73B445000-memory.dmp	upx
behavioral2/memory/4868-821-0x00007FF61CC60000-0x00007FF61D055000-memory.dmp	upx
behavioral2/memory/3480-816-0x00007FF721DC0000-0x00007FF7221B5000-memory.dmp	upx
behavioral2/memory/1080-824-0x00007FF6A2560000-0x00007FF6A2955000-memory.dmp	upx
behavioral2/memory/2612-823-0x00007FF76A940000-0x00007FF76AD35000-memory.dmp	upx
behavioral2/memory/3656-833-0x00007FF6BF5F0000-0x00007FF6BF9E5000-memory.dmp	upx
behavioral2/memory/3872-851-0x00007FF758FD0000-0x00007FF7593C5000-memory.dmp	upx
behavioral2/memory/1384-858-0x00007FF6FC2C0000-0x00007FF6FC6B5000-memory.dmp	upx
behavioral2/memory/2996-843-0x00007FF6E58D0000-0x00007FF6E5CC5000-memory.dmp	upx
behavioral2/memory/4112-837-0x00007FF69FE70000-0x00007FF6A0265000-memory.dmp	upx
behavioral2/memory/1076-825-0x00007FF775260000-0x00007FF775655000-memory.dmp	upx
behavioral2/memory/4472-863-0x00007FF61B440000-0x00007FF61B835000-memory.dmp	upx
behavioral2/memory/1804-871-0x00007FF79A940000-0x00007FF79AD35000-memory.dmp	upx
behavioral2/memory/2040-873-0x00007FF6EB0C0000-0x00007FF6EB4B5000-memory.dmp	upx
behavioral2/memory/3760-878-0x00007FF6CEB10000-0x00007FF6CEF05000-memory.dmp	upx
behavioral2/memory/1148-879-0x00007FF727470000-0x00007FF727865000-memory.dmp	upx
behavioral2/memory/4928-883-0x00007FF64D650000-0x00007FF64DA45000-memory.dmp	upx
behavioral2/memory/5016-886-0x00007FF72D250000-0x00007FF72D645000-memory.dmp	upx
behavioral2/memory/2104-881-0x00007FF6525F0000-0x00007FF6529E5000-memory.dmp	upx
behavioral2/memory/576-870-0x00007FF664F70000-0x00007FF665365000-memory.dmp	upx
behavioral2/memory/2780-1892-0x00007FF692860000-0x00007FF692C55000-memory.dmp	upx
behavioral2/memory/3772-1893-0x00007FF7D1E20000-0x00007FF7D2215000-memory.dmp	upx
behavioral2/memory/4912-1894-0x00007FF6FD5C0000-0x00007FF6FD9B5000-memory.dmp	upx
behavioral2/memory/1520-1896-0x00007FF735EF0000-0x00007FF7362E5000-memory.dmp	upx
behavioral2/memory/3480-1897-0x00007FF721DC0000-0x00007FF7221B5000-memory.dmp	upx
behavioral2/memory/5016-1895-0x00007FF72D250000-0x00007FF72D645000-memory.dmp	upx
behavioral2/memory/2040-1899-0x00007FF6EB0C0000-0x00007FF6EB4B5000-memory.dmp	upx

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\System32\GcOfGji.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\wyEUsiH.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\JrRacYl.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\ZvbHqqJ.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\unIhLCL.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\jIdARNx.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\WbAyNgw.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\CpgsuXA.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\nNvGzHn.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\hbhCTPi.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\crWAktN.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\ePNVfNQ.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\FCbpoqE.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\gHZLqEQ.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\RtuSZTa.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\QzYnZjb.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\xokQPNv.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\PAKkMbN.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\ZHrrIKq.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\KtQypIr.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\QTacxpb.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\vhyFbaf.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\HpmtkWX.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\HqGAEsC.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\laQcASM.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\PRBpCmx.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\xPbCOUG.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\AdlZZbW.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\EWFWCZz.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\dQpqbEl.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\xLQuHdG.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\wwbngnv.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\ZrGZQwc.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\JQlnGGY.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\GEDWius.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\DLTFgcQ.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\xtmXKcR.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\bqCopTg.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\wgtAslh.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\QGNsgwg.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\nQZTwSi.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\AczvfOl.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\TkVLVDL.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\CnsDwMm.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\tIFJjoy.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\kgojiKT.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\kmwVwBd.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\RfiBddq.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\YoxPMyj.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\txVPZHE.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\grDwmnO.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\tFUQykh.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\gfHEyJP.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\vvMMQyJ.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\XBvNVvv.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\heJAbYh.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\aGExFDc.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\vsMakFO.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\TcbHvXx.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\zgJGBkM.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\hsvZBLi.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\QzCZCUi.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\GdrqsTF.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
File created	C:\Windows\System32\PgFvnyi.exe	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 2836 wrote to memory of 2780	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	84
PID 2836 wrote to memory of 2780	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	84
PID 2836 wrote to memory of 3772	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	85
PID 2836 wrote to memory of 3772	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	85
PID 2836 wrote to memory of 5016	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	86
PID 2836 wrote to memory of 5016	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	86
PID 2836 wrote to memory of 4912	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	87
PID 2836 wrote to memory of 4912	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	87
PID 2836 wrote to memory of 1520	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	88
PID 2836 wrote to memory of 1520	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	88
PID 2836 wrote to memory of 3480	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	89
PID 2836 wrote to memory of 3480	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	89
PID 2836 wrote to memory of 3784	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	90
PID 2836 wrote to memory of 3784	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	90
PID 2836 wrote to memory of 4868	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	91
PID 2836 wrote to memory of 4868	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	91
PID 2836 wrote to memory of 2612	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	92
PID 2836 wrote to memory of 2612	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	92
PID 2836 wrote to memory of 1080	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	93
PID 2836 wrote to memory of 1080	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	93
PID 2836 wrote to memory of 1076	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	94
PID 2836 wrote to memory of 1076	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	94
PID 2836 wrote to memory of 3656	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	95
PID 2836 wrote to memory of 3656	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	95
PID 2836 wrote to memory of 4112	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	96
PID 2836 wrote to memory of 4112	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	96
PID 2836 wrote to memory of 2996	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	97
PID 2836 wrote to memory of 2996	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	97
PID 2836 wrote to memory of 3872	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	98
PID 2836 wrote to memory of 3872	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	98
PID 2836 wrote to memory of 1384	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	99
PID 2836 wrote to memory of 1384	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	99
PID 2836 wrote to memory of 4472	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	100
PID 2836 wrote to memory of 4472	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	100
PID 2836 wrote to memory of 576	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	101
PID 2836 wrote to memory of 576	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	101
PID 2836 wrote to memory of 1804	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	102
PID 2836 wrote to memory of 1804	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	102
PID 2836 wrote to memory of 2040	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	103
PID 2836 wrote to memory of 2040	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	103
PID 2836 wrote to memory of 3760	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	104
PID 2836 wrote to memory of 3760	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	104
PID 2836 wrote to memory of 1148	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	105
PID 2836 wrote to memory of 1148	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	105
PID 2836 wrote to memory of 2104	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	106
PID 2836 wrote to memory of 2104	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	106
PID 2836 wrote to memory of 4928	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	107
PID 2836 wrote to memory of 4928	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	107
PID 2836 wrote to memory of 776	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	108
PID 2836 wrote to memory of 776	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	108
PID 2836 wrote to memory of 1388	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	109
PID 2836 wrote to memory of 1388	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	109
PID 2836 wrote to memory of 404	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	110
PID 2836 wrote to memory of 404	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	110
PID 2836 wrote to memory of 2140	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	111
PID 2836 wrote to memory of 2140	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	111
PID 2836 wrote to memory of 1028	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	112
PID 2836 wrote to memory of 1028	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	112
PID 2836 wrote to memory of 1392	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	113
PID 2836 wrote to memory of 1392	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	113
PID 2836 wrote to memory of 1168	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	114
PID 2836 wrote to memory of 1168	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	114
PID 2836 wrote to memory of 2892	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	115
PID 2836 wrote to memory of 2892	2836	e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe	115

C:\Users\Admin\AppData\Local\Temp\e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe
"C:\Users\Admin\AppData\Local\Temp\e1ba6cbbe5191b8fa41ead9d3cc6ac93dab76ba65820ce8c17ef9e30744d62c7.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:2836
- C:\Windows\System32\ruDrcsw.exe
  C:\Windows\System32\ruDrcsw.exe
  2⤵
  - Executes dropped EXE
  PID:2780
- C:\Windows\System32\gRcjWed.exe
  C:\Windows\System32\gRcjWed.exe
  2⤵
  - Executes dropped EXE
  PID:3772
- C:\Windows\System32\WbAyNgw.exe
  C:\Windows\System32\WbAyNgw.exe
  2⤵
  - Executes dropped EXE
  PID:5016
- C:\Windows\System32\LZJJvJk.exe
  C:\Windows\System32\LZJJvJk.exe
  2⤵
  - Executes dropped EXE
  PID:4912
- C:\Windows\System32\WxeQKEu.exe
  C:\Windows\System32\WxeQKEu.exe
  2⤵
  - Executes dropped EXE
  PID:1520
- C:\Windows\System32\foPfVgj.exe
  C:\Windows\System32\foPfVgj.exe
  2⤵
  - Executes dropped EXE
  PID:3480
- C:\Windows\System32\fWnlPLP.exe
  C:\Windows\System32\fWnlPLP.exe
  2⤵
  - Executes dropped EXE
  PID:3784
- C:\Windows\System32\XBvNVvv.exe
  C:\Windows\System32\XBvNVvv.exe
  2⤵
  - Executes dropped EXE
  PID:4868
- C:\Windows\System32\CZEHOMX.exe
  C:\Windows\System32\CZEHOMX.exe
  2⤵
  - Executes dropped EXE
  PID:2612
- C:\Windows\System32\vhyFbaf.exe
  C:\Windows\System32\vhyFbaf.exe
  2⤵
  - Executes dropped EXE
  PID:1080
- C:\Windows\System32\OTTanpQ.exe
  C:\Windows\System32\OTTanpQ.exe
  2⤵
  - Executes dropped EXE
  PID:1076
- C:\Windows\System32\pxpoWtl.exe
  C:\Windows\System32\pxpoWtl.exe
  2⤵
  - Executes dropped EXE
  PID:3656
- C:\Windows\System32\aCfwEqF.exe
  C:\Windows\System32\aCfwEqF.exe
  2⤵
  - Executes dropped EXE
  PID:4112
- C:\Windows\System32\bEqcnKM.exe
  C:\Windows\System32\bEqcnKM.exe
  2⤵
  - Executes dropped EXE
  PID:2996
- C:\Windows\System32\clnxzJz.exe
  C:\Windows\System32\clnxzJz.exe
  2⤵
  - Executes dropped EXE
  PID:3872
- C:\Windows\System32\gHZLqEQ.exe
  C:\Windows\System32\gHZLqEQ.exe
  2⤵
  - Executes dropped EXE
  PID:1384
- C:\Windows\System32\kgojiKT.exe
  C:\Windows\System32\kgojiKT.exe
  2⤵
  - Executes dropped EXE
  PID:4472
- C:\Windows\System32\GaggiGd.exe
  C:\Windows\System32\GaggiGd.exe
  2⤵
  - Executes dropped EXE
  PID:576
- C:\Windows\System32\scsQYbR.exe
  C:\Windows\System32\scsQYbR.exe
  2⤵
  - Executes dropped EXE
  PID:1804
- C:\Windows\System32\juIwFhA.exe
  C:\Windows\System32\juIwFhA.exe
  2⤵
  - Executes dropped EXE
  PID:2040
- C:\Windows\System32\eNIYoqx.exe
  C:\Windows\System32\eNIYoqx.exe
  2⤵
  - Executes dropped EXE
  PID:3760
- C:\Windows\System32\gqVLWxZ.exe
  C:\Windows\System32\gqVLWxZ.exe
  2⤵
  - Executes dropped EXE
  PID:1148
- C:\Windows\System32\FtMMQkD.exe
  C:\Windows\System32\FtMMQkD.exe
  2⤵
  - Executes dropped EXE
  PID:2104
- C:\Windows\System32\MwDGYaS.exe
  C:\Windows\System32\MwDGYaS.exe
  2⤵
  - Executes dropped EXE
  PID:4928
- C:\Windows\System32\wXdKlTV.exe
  C:\Windows\System32\wXdKlTV.exe
  2⤵
  - Executes dropped EXE
  PID:776
- C:\Windows\System32\FOgDNXY.exe
  C:\Windows\System32\FOgDNXY.exe
  2⤵
  - Executes dropped EXE
  PID:1388
- C:\Windows\System32\WufPfiy.exe
  C:\Windows\System32\WufPfiy.exe
  2⤵
  - Executes dropped EXE
  PID:404
- C:\Windows\System32\CpgsuXA.exe
  C:\Windows\System32\CpgsuXA.exe
  2⤵
  - Executes dropped EXE
  PID:2140
- C:\Windows\System32\MvtigNm.exe
  C:\Windows\System32\MvtigNm.exe
  2⤵
  - Executes dropped EXE
  PID:1028
- C:\Windows\System32\nNvGzHn.exe
  C:\Windows\System32\nNvGzHn.exe
  2⤵
  - Executes dropped EXE
  PID:1392
- C:\Windows\System32\gaektBJ.exe
  C:\Windows\System32\gaektBJ.exe
  2⤵
  - Executes dropped EXE
  PID:1168
- C:\Windows\System32\wxCDvKh.exe
  C:\Windows\System32\wxCDvKh.exe
  2⤵
  - Executes dropped EXE
  PID:2892
- C:\Windows\System32\dzznlrQ.exe
  C:\Windows\System32\dzznlrQ.exe
  2⤵
  - Executes dropped EXE
  PID:1124
- C:\Windows\System32\wrRyTmi.exe
  C:\Windows\System32\wrRyTmi.exe
  2⤵
  - Executes dropped EXE
  PID:4904
- C:\Windows\System32\XTvWPTt.exe
  C:\Windows\System32\XTvWPTt.exe
  2⤵
  - Executes dropped EXE
  PID:4508
- C:\Windows\System32\ryBnHLD.exe
  C:\Windows\System32\ryBnHLD.exe
  2⤵
  - Executes dropped EXE
  PID:4516
- C:\Windows\System32\QGNsgwg.exe
  C:\Windows\System32\QGNsgwg.exe
  2⤵
  - Executes dropped EXE
  PID:3260
- C:\Windows\System32\TGlqMIG.exe
  C:\Windows\System32\TGlqMIG.exe
  2⤵
  - Executes dropped EXE
  PID:3592
- C:\Windows\System32\OxhERar.exe
  C:\Windows\System32\OxhERar.exe
  2⤵
  - Executes dropped EXE
  PID:3120
- C:\Windows\System32\tDvbbOp.exe
  C:\Windows\System32\tDvbbOp.exe
  2⤵
  - Executes dropped EXE
  PID:3204
- C:\Windows\System32\CDiyhPy.exe
  C:\Windows\System32\CDiyhPy.exe
  2⤵
  - Executes dropped EXE
  PID:4504
- C:\Windows\System32\tmZuvIF.exe
  C:\Windows\System32\tmZuvIF.exe
  2⤵
  - Executes dropped EXE
  PID:3576
- C:\Windows\System32\tHTbavN.exe
  C:\Windows\System32\tHTbavN.exe
  2⤵
  - Executes dropped EXE
  PID:4684
- C:\Windows\System32\ARNmMMh.exe
  C:\Windows\System32\ARNmMMh.exe
  2⤵
  - Executes dropped EXE
  PID:3980
- C:\Windows\System32\RtuSZTa.exe
  C:\Windows\System32\RtuSZTa.exe
  2⤵
  - Executes dropped EXE
  PID:4780
- C:\Windows\System32\lOZgbnw.exe
  C:\Windows\System32\lOZgbnw.exe
  2⤵
  - Executes dropped EXE
  PID:4548
- C:\Windows\System32\fhgBEyf.exe
  C:\Windows\System32\fhgBEyf.exe
  2⤵
  - Executes dropped EXE
  PID:3500
- C:\Windows\System32\irnrhMb.exe
  C:\Windows\System32\irnrhMb.exe
  2⤵
  - Executes dropped EXE
  PID:2500
- C:\Windows\System32\GcOfGji.exe
  C:\Windows\System32\GcOfGji.exe
  2⤵
  - Executes dropped EXE
  PID:2848
- C:\Windows\System32\JTbbNWu.exe
  C:\Windows\System32\JTbbNWu.exe
  2⤵
  - Executes dropped EXE
  PID:2212
- C:\Windows\System32\RGqZebi.exe
  C:\Windows\System32\RGqZebi.exe
  2⤵
  - Executes dropped EXE
  PID:4560
- C:\Windows\System32\RPCURWK.exe
  C:\Windows\System32\RPCURWK.exe
  2⤵
  - Executes dropped EXE
  PID:2680
- C:\Windows\System32\XBVqlwW.exe
  C:\Windows\System32\XBVqlwW.exe
  2⤵
  - Executes dropped EXE
  PID:3040
- C:\Windows\System32\ozECFXu.exe
  C:\Windows\System32\ozECFXu.exe
  2⤵
  - Executes dropped EXE
  PID:828
- C:\Windows\System32\hijWWgu.exe
  C:\Windows\System32\hijWWgu.exe
  2⤵
  - Executes dropped EXE
  PID:1912
- C:\Windows\System32\egGUptY.exe
  C:\Windows\System32\egGUptY.exe
  2⤵
  - Executes dropped EXE
  PID:4968
- C:\Windows\System32\nivWCkB.exe
  C:\Windows\System32\nivWCkB.exe
  2⤵
  - Executes dropped EXE
  PID:3840
- C:\Windows\System32\JKQRKOk.exe
  C:\Windows\System32\JKQRKOk.exe
  2⤵
  - Executes dropped EXE
  PID:3012
- C:\Windows\System32\GEDWius.exe
  C:\Windows\System32\GEDWius.exe
  2⤵
  - Executes dropped EXE
  PID:4176
- C:\Windows\System32\XesfpBl.exe
  C:\Windows\System32\XesfpBl.exe
  2⤵
  - Executes dropped EXE
  PID:4576
- C:\Windows\System32\zcilzum.exe
  C:\Windows\System32\zcilzum.exe
  2⤵
  - Executes dropped EXE
  PID:3300
- C:\Windows\System32\htAlbxa.exe
  C:\Windows\System32\htAlbxa.exe
  2⤵
  - Executes dropped EXE
  PID:444
- C:\Windows\System32\XdtoCTz.exe
  C:\Windows\System32\XdtoCTz.exe
  2⤵
  - Executes dropped EXE
  PID:4732
- C:\Windows\System32\wFOhsLD.exe
  C:\Windows\System32\wFOhsLD.exe
  2⤵
  - Executes dropped EXE
  PID:4644
- C:\Windows\System32\AQPsqrS.exe
  C:\Windows\System32\AQPsqrS.exe
  2⤵
  PID:2384
- C:\Windows\System32\cWjPSzj.exe
  C:\Windows\System32\cWjPSzj.exe
  2⤵
  PID:2156
- C:\Windows\System32\TvDwgiH.exe
  C:\Windows\System32\TvDwgiH.exe
  2⤵
  PID:3632
- C:\Windows\System32\IfcAyqE.exe
  C:\Windows\System32\IfcAyqE.exe
  2⤵
  PID:3804
- C:\Windows\System32\VfFCUwO.exe
  C:\Windows\System32\VfFCUwO.exe
  2⤵
  PID:1360
- C:\Windows\System32\BJWXMNz.exe
  C:\Windows\System32\BJWXMNz.exe
  2⤵
  PID:4932
- C:\Windows\System32\yIBzGtX.exe
  C:\Windows\System32\yIBzGtX.exe
  2⤵
  PID:1968
- C:\Windows\System32\pDrNtvl.exe
  C:\Windows\System32\pDrNtvl.exe
  2⤵
  PID:364
- C:\Windows\System32\QzYnZjb.exe
  C:\Windows\System32\QzYnZjb.exe
  2⤵
  PID:1496
- C:\Windows\System32\jBzNjIM.exe
  C:\Windows\System32\jBzNjIM.exe
  2⤵
  PID:2700
- C:\Windows\System32\SHvZxik.exe
  C:\Windows\System32\SHvZxik.exe
  2⤵
  PID:1856
- C:\Windows\System32\ftwAVHm.exe
  C:\Windows\System32\ftwAVHm.exe
  2⤵
  PID:3512
- C:\Windows\System32\QUmmMgT.exe
  C:\Windows\System32\QUmmMgT.exe
  2⤵
  PID:1964
- C:\Windows\System32\lxoTpWP.exe
  C:\Windows\System32\lxoTpWP.exe
  2⤵
  PID:3588
- C:\Windows\System32\iPeEIUT.exe
  C:\Windows\System32\iPeEIUT.exe
  2⤵
  PID:1800
- C:\Windows\System32\gBwqgOn.exe
  C:\Windows\System32\gBwqgOn.exe
  2⤵
  PID:4164
- C:\Windows\System32\cPZKlrI.exe
  C:\Windows\System32\cPZKlrI.exe
  2⤵
  PID:5136
- C:\Windows\System32\CRmfpEt.exe
  C:\Windows\System32\CRmfpEt.exe
  2⤵
  PID:5164
- C:\Windows\System32\wPDPkaS.exe
  C:\Windows\System32\wPDPkaS.exe
  2⤵
  PID:5192
- C:\Windows\System32\FXiMSqY.exe
  C:\Windows\System32\FXiMSqY.exe
  2⤵
  PID:5228
- C:\Windows\System32\JnpEYoN.exe
  C:\Windows\System32\JnpEYoN.exe
  2⤵
  PID:5248
- C:\Windows\System32\EPtFaUH.exe
  C:\Windows\System32\EPtFaUH.exe
  2⤵
  PID:5276
- C:\Windows\System32\TtjOBUE.exe
  C:\Windows\System32\TtjOBUE.exe
  2⤵
  PID:5316
- C:\Windows\System32\IUHlcFO.exe
  C:\Windows\System32\IUHlcFO.exe
  2⤵
  PID:5332
- C:\Windows\System32\uEPWWUx.exe
  C:\Windows\System32\uEPWWUx.exe
  2⤵
  PID:5360
- C:\Windows\System32\XOVXJVH.exe
  C:\Windows\System32\XOVXJVH.exe
  2⤵
  PID:5388
- C:\Windows\System32\YlWDtvI.exe
  C:\Windows\System32\YlWDtvI.exe
  2⤵
  PID:5428
- C:\Windows\System32\HkBYicl.exe
  C:\Windows\System32\HkBYicl.exe
  2⤵
  PID:5444
- C:\Windows\System32\bPfnfeJ.exe
  C:\Windows\System32\bPfnfeJ.exe
  2⤵
  PID:5484
- C:\Windows\System32\osjwuSO.exe
  C:\Windows\System32\osjwuSO.exe
  2⤵
  PID:5500
- C:\Windows\System32\cZiKjho.exe
  C:\Windows\System32\cZiKjho.exe
  2⤵
  PID:5540
- C:\Windows\System32\DbvpmBg.exe
  C:\Windows\System32\DbvpmBg.exe
  2⤵
  PID:5556
- C:\Windows\System32\FkLeTse.exe
  C:\Windows\System32\FkLeTse.exe
  2⤵
  PID:5592
- C:\Windows\System32\kmwVwBd.exe
  C:\Windows\System32\kmwVwBd.exe
  2⤵
  PID:5612
- C:\Windows\System32\HzCEfnA.exe
  C:\Windows\System32\HzCEfnA.exe
  2⤵
  PID:5640
- C:\Windows\System32\jYLNtGz.exe
  C:\Windows\System32\jYLNtGz.exe
  2⤵
  PID:5668
- C:\Windows\System32\JDCMFML.exe
  C:\Windows\System32\JDCMFML.exe
  2⤵
  PID:5708
- C:\Windows\System32\vXvtLnJ.exe
  C:\Windows\System32\vXvtLnJ.exe
  2⤵
  PID:5724
- C:\Windows\System32\xOgyGXF.exe
  C:\Windows\System32\xOgyGXF.exe
  2⤵
  PID:5752
- C:\Windows\System32\LqrbQQU.exe
  C:\Windows\System32\LqrbQQU.exe
  2⤵
  PID:5780
- C:\Windows\System32\hsfXZNL.exe
  C:\Windows\System32\hsfXZNL.exe
  2⤵
  PID:5808
- C:\Windows\System32\WSYAlHQ.exe
  C:\Windows\System32\WSYAlHQ.exe
  2⤵
  PID:5836
- C:\Windows\System32\PrQsKZk.exe
  C:\Windows\System32\PrQsKZk.exe
  2⤵
  PID:5876
- C:\Windows\System32\OANzUCT.exe
  C:\Windows\System32\OANzUCT.exe
  2⤵
  PID:5892
- C:\Windows\System32\qQkdCjE.exe
  C:\Windows\System32\qQkdCjE.exe
  2⤵
  PID:5928
- C:\Windows\System32\TwMIjOO.exe
  C:\Windows\System32\TwMIjOO.exe
  2⤵
  PID:5948
- C:\Windows\System32\QzOnlWX.exe
  C:\Windows\System32\QzOnlWX.exe
  2⤵
  PID:5988
- C:\Windows\System32\bcZoNOI.exe
  C:\Windows\System32\bcZoNOI.exe
  2⤵
  PID:6004
- C:\Windows\System32\BjScdFf.exe
  C:\Windows\System32\BjScdFf.exe
  2⤵
  PID:6044
- C:\Windows\System32\JTFaerC.exe
  C:\Windows\System32\JTFaerC.exe
  2⤵
  PID:6060
- C:\Windows\System32\heJAbYh.exe
  C:\Windows\System32\heJAbYh.exe
  2⤵
  PID:6088
- C:\Windows\System32\JkEqaUH.exe
  C:\Windows\System32\JkEqaUH.exe
  2⤵
  PID:6116
- C:\Windows\System32\rfoEIZS.exe
  C:\Windows\System32\rfoEIZS.exe
  2⤵
  PID:3664
- C:\Windows\System32\PJnEIrU.exe
  C:\Windows\System32\PJnEIrU.exe
  2⤵
  PID:1884
- C:\Windows\System32\bpPgkDF.exe
  C:\Windows\System32\bpPgkDF.exe
  2⤵
  PID:4432
- C:\Windows\System32\dtibVqR.exe
  C:\Windows\System32\dtibVqR.exe
  2⤵
  PID:852
- C:\Windows\System32\OZyGMFK.exe
  C:\Windows\System32\OZyGMFK.exe
  2⤵
  PID:4556
- C:\Windows\System32\YpPetMi.exe
  C:\Windows\System32\YpPetMi.exe
  2⤵
  PID:4396
- C:\Windows\System32\rfRXjaS.exe
  C:\Windows\System32\rfRXjaS.exe
  2⤵
  PID:5160
- C:\Windows\System32\dyqDTRM.exe
  C:\Windows\System32\dyqDTRM.exe
  2⤵
  PID:5224
- C:\Windows\System32\MhAWLZy.exe
  C:\Windows\System32\MhAWLZy.exe
  2⤵
  PID:5288
- C:\Windows\System32\yuJAQrE.exe
  C:\Windows\System32\yuJAQrE.exe
  2⤵
  PID:5376
- C:\Windows\System32\WUgZExq.exe
  C:\Windows\System32\WUgZExq.exe
  2⤵
  PID:5420
- C:\Windows\System32\CuaZWOp.exe
  C:\Windows\System32\CuaZWOp.exe
  2⤵
  PID:5460
- C:\Windows\System32\vlSqgtU.exe
  C:\Windows\System32\vlSqgtU.exe
  2⤵
  PID:5576
- C:\Windows\System32\HqjaoMs.exe
  C:\Windows\System32\HqjaoMs.exe
  2⤵
  PID:5604
- C:\Windows\System32\LlGZYlf.exe
  C:\Windows\System32\LlGZYlf.exe
  2⤵
  PID:5680
- C:\Windows\System32\PFqwUOQ.exe
  C:\Windows\System32\PFqwUOQ.exe
  2⤵
  PID:5776
- C:\Windows\System32\vfoYTII.exe
  C:\Windows\System32\vfoYTII.exe
  2⤵
  PID:5796
- C:\Windows\System32\YBLBBpC.exe
  C:\Windows\System32\YBLBBpC.exe
  2⤵
  PID:5852
- C:\Windows\System32\yLlmgUE.exe
  C:\Windows\System32\yLlmgUE.exe
  2⤵
  PID:5940
- C:\Windows\System32\DcUYTAy.exe
  C:\Windows\System32\DcUYTAy.exe
  2⤵
  PID:5996
- C:\Windows\System32\ETziLBz.exe
  C:\Windows\System32\ETziLBz.exe
  2⤵
  PID:6072
- C:\Windows\System32\uJblXLi.exe
  C:\Windows\System32\uJblXLi.exe
  2⤵
  PID:4160
- C:\Windows\System32\qWPUMIP.exe
  C:\Windows\System32\qWPUMIP.exe
  2⤵
  PID:3868
- C:\Windows\System32\GWZKWQO.exe
  C:\Windows\System32\GWZKWQO.exe
  2⤵
  PID:3796
- C:\Windows\System32\MtNttLS.exe
  C:\Windows\System32\MtNttLS.exe
  2⤵
  PID:5240
- C:\Windows\System32\gyMAqQr.exe
  C:\Windows\System32\gyMAqQr.exe
  2⤵
  PID:5344
- C:\Windows\System32\NdEeUOz.exe
  C:\Windows\System32\NdEeUOz.exe
  2⤵
  PID:5548
- C:\Windows\System32\ntQFigr.exe
  C:\Windows\System32\ntQFigr.exe
  2⤵
  PID:5636
- C:\Windows\System32\pCsvzGC.exe
  C:\Windows\System32\pCsvzGC.exe
  2⤵
  PID:5804
- C:\Windows\System32\qjYZeAq.exe
  C:\Windows\System32\qjYZeAq.exe
  2⤵
  PID:6152
- C:\Windows\System32\Pcbladm.exe
  C:\Windows\System32\Pcbladm.exe
  2⤵
  PID:6180
- C:\Windows\System32\gEukTNd.exe
  C:\Windows\System32\gEukTNd.exe
  2⤵
  PID:6196
- C:\Windows\System32\PAxzKiA.exe
  C:\Windows\System32\PAxzKiA.exe
  2⤵
  PID:6236
- C:\Windows\System32\JxWKtJS.exe
  C:\Windows\System32\JxWKtJS.exe
  2⤵
  PID:6252
- C:\Windows\System32\aGExFDc.exe
  C:\Windows\System32\aGExFDc.exe
  2⤵
  PID:6292
- C:\Windows\System32\CrvDRkZ.exe
  C:\Windows\System32\CrvDRkZ.exe
  2⤵
  PID:6308
- C:\Windows\System32\ddPzJdt.exe
  C:\Windows\System32\ddPzJdt.exe
  2⤵
  PID:6336
- C:\Windows\System32\IciayXJ.exe
  C:\Windows\System32\IciayXJ.exe
  2⤵
  PID:6376
- C:\Windows\System32\SeqqIsV.exe
  C:\Windows\System32\SeqqIsV.exe
  2⤵
  PID:6392
- C:\Windows\System32\FSnJBEq.exe
  C:\Windows\System32\FSnJBEq.exe
  2⤵
  PID:6420
- C:\Windows\System32\IxdhTDi.exe
  C:\Windows\System32\IxdhTDi.exe
  2⤵
  PID:6460
- C:\Windows\System32\GPNplXW.exe
  C:\Windows\System32\GPNplXW.exe
  2⤵
  PID:6476
- C:\Windows\System32\tAZOUBX.exe
  C:\Windows\System32\tAZOUBX.exe
  2⤵
  PID:6516
- C:\Windows\System32\yAFqvkp.exe
  C:\Windows\System32\yAFqvkp.exe
  2⤵
  PID:6532
- C:\Windows\System32\DfBswPY.exe
  C:\Windows\System32\DfBswPY.exe
  2⤵
  PID:6572
- C:\Windows\System32\DTTFaQe.exe
  C:\Windows\System32\DTTFaQe.exe
  2⤵
  PID:6600
- C:\Windows\System32\TKpFXsG.exe
  C:\Windows\System32\TKpFXsG.exe
  2⤵
  PID:6628
- C:\Windows\System32\oCURDDj.exe
  C:\Windows\System32\oCURDDj.exe
  2⤵
  PID:6644
- C:\Windows\System32\IfDADVU.exe
  C:\Windows\System32\IfDADVU.exe
  2⤵
  PID:6680
- C:\Windows\System32\xgvqsgN.exe
  C:\Windows\System32\xgvqsgN.exe
  2⤵
  PID:6700
- C:\Windows\System32\mPYrOmY.exe
  C:\Windows\System32\mPYrOmY.exe
  2⤵
  PID:6740
- C:\Windows\System32\MwYCmLm.exe
  C:\Windows\System32\MwYCmLm.exe
  2⤵
  PID:6756
- C:\Windows\System32\VyziNmp.exe
  C:\Windows\System32\VyziNmp.exe
  2⤵
  PID:6796
- C:\Windows\System32\zlKxhKq.exe
  C:\Windows\System32\zlKxhKq.exe
  2⤵
  PID:6812
- C:\Windows\System32\ENqNXEt.exe
  C:\Windows\System32\ENqNXEt.exe
  2⤵
  PID:6840
- C:\Windows\System32\ijwGHuG.exe
  C:\Windows\System32\ijwGHuG.exe
  2⤵
  PID:6868
- C:\Windows\System32\iOjXfVg.exe
  C:\Windows\System32\iOjXfVg.exe
  2⤵
  PID:6908
- C:\Windows\System32\zgJGBkM.exe
  C:\Windows\System32\zgJGBkM.exe
  2⤵
  PID:6936
- C:\Windows\System32\tNPkZNb.exe
  C:\Windows\System32\tNPkZNb.exe
  2⤵
  PID:6952
- C:\Windows\System32\ofOdeBY.exe
  C:\Windows\System32\ofOdeBY.exe
  2⤵
  PID:6980
- C:\Windows\System32\AXAsTGt.exe
  C:\Windows\System32\AXAsTGt.exe
  2⤵
  PID:7008
- C:\Windows\System32\FWQMTQB.exe
  C:\Windows\System32\FWQMTQB.exe
  2⤵
  PID:7036
- C:\Windows\System32\PVeWdFa.exe
  C:\Windows\System32\PVeWdFa.exe
  2⤵
  PID:7064
- C:\Windows\System32\CRPqyhw.exe
  C:\Windows\System32\CRPqyhw.exe
  2⤵
  PID:7092
- C:\Windows\System32\DLTFgcQ.exe
  C:\Windows\System32\DLTFgcQ.exe
  2⤵
  PID:7120
- C:\Windows\System32\mbzzuSD.exe
  C:\Windows\System32\mbzzuSD.exe
  2⤵
  PID:7160
- C:\Windows\System32\jZWwaxn.exe
  C:\Windows\System32\jZWwaxn.exe
  2⤵
  PID:6036
- C:\Windows\System32\nhClnPw.exe
  C:\Windows\System32\nhClnPw.exe
  2⤵
  PID:3736
- C:\Windows\System32\FcLJVsU.exe
  C:\Windows\System32\FcLJVsU.exe
  2⤵
  PID:5308
- C:\Windows\System32\bbmnoCu.exe
  C:\Windows\System32\bbmnoCu.exe
  2⤵
  PID:5400
- C:\Windows\System32\ewnYVku.exe
  C:\Windows\System32\ewnYVku.exe
  2⤵
  PID:5848
- C:\Windows\System32\kgNGoAn.exe
  C:\Windows\System32\kgNGoAn.exe
  2⤵
  PID:6192
- C:\Windows\System32\VIWPkYY.exe
  C:\Windows\System32\VIWPkYY.exe
  2⤵
  PID:6244
- C:\Windows\System32\hsvZBLi.exe
  C:\Windows\System32\hsvZBLi.exe
  2⤵
  PID:6320
- C:\Windows\System32\tgxQwJd.exe
  C:\Windows\System32\tgxQwJd.exe
  2⤵
  PID:6408
- C:\Windows\System32\aSpLNaF.exe
  C:\Windows\System32\aSpLNaF.exe
  2⤵
  PID:6472
- C:\Windows\System32\DYPmgWf.exe
  C:\Windows\System32\DYPmgWf.exe
  2⤵
  PID:6492
- C:\Windows\System32\KhSZaWG.exe
  C:\Windows\System32\KhSZaWG.exe
  2⤵
  PID:6596
- C:\Windows\System32\jZpOVMp.exe
  C:\Windows\System32\jZpOVMp.exe
  2⤵
  PID:6636
- C:\Windows\System32\mLaqtko.exe
  C:\Windows\System32\mLaqtko.exe
  2⤵
  PID:6696
- C:\Windows\System32\weLtUWQ.exe
  C:\Windows\System32\weLtUWQ.exe
  2⤵
  PID:6772
- C:\Windows\System32\QzCZCUi.exe
  C:\Windows\System32\QzCZCUi.exe
  2⤵
  PID:6824
- C:\Windows\System32\LmezqjF.exe
  C:\Windows\System32\LmezqjF.exe
  2⤵
  PID:6884
- C:\Windows\System32\zYZPtut.exe
  C:\Windows\System32\zYZPtut.exe
  2⤵
  PID:6964
- C:\Windows\System32\xLQuHdG.exe
  C:\Windows\System32\xLQuHdG.exe
  2⤵
  PID:7032
- C:\Windows\System32\BvUEVvj.exe
  C:\Windows\System32\BvUEVvj.exe
  2⤵
  PID:7088
- C:\Windows\System32\xYbHcbX.exe
  C:\Windows\System32\xYbHcbX.exe
  2⤵
  PID:6000
- C:\Windows\System32\WzUefkP.exe
  C:\Windows\System32\WzUefkP.exe
  2⤵
  PID:2876
- C:\Windows\System32\wwbngnv.exe
  C:\Windows\System32\wwbngnv.exe
  2⤵
  PID:5684
- C:\Windows\System32\AParedD.exe
  C:\Windows\System32\AParedD.exe
  2⤵
  PID:6248
- C:\Windows\System32\AogVgSb.exe
  C:\Windows\System32\AogVgSb.exe
  2⤵
  PID:6436
- C:\Windows\System32\KjfwGji.exe
  C:\Windows\System32\KjfwGji.exe
  2⤵
  PID:6524
- C:\Windows\System32\LlhFwNX.exe
  C:\Windows\System32\LlhFwNX.exe
  2⤵
  PID:6668
- C:\Windows\System32\lDHXgIe.exe
  C:\Windows\System32\lDHXgIe.exe
  2⤵
  PID:6804
- C:\Windows\System32\poczIoc.exe
  C:\Windows\System32\poczIoc.exe
  2⤵
  PID:6928
- C:\Windows\System32\sZdXjPK.exe
  C:\Windows\System32\sZdXjPK.exe
  2⤵
  PID:7004
- C:\Windows\System32\EsfjBcZ.exe
  C:\Windows\System32\EsfjBcZ.exe
  2⤵
  PID:7136
- C:\Windows\System32\nbeYCCA.exe
  C:\Windows\System32\nbeYCCA.exe
  2⤵
  PID:6268
- C:\Windows\System32\CcEBIYF.exe
  C:\Windows\System32\CcEBIYF.exe
  2⤵
  PID:7184
- C:\Windows\System32\TcjVbPl.exe
  C:\Windows\System32\TcjVbPl.exe
  2⤵
  PID:7224
- C:\Windows\System32\ZHmXQgF.exe
  C:\Windows\System32\ZHmXQgF.exe
  2⤵
  PID:7240
- C:\Windows\System32\BVPJUWI.exe
  C:\Windows\System32\BVPJUWI.exe
  2⤵
  PID:7268
- C:\Windows\System32\KKapMWE.exe
  C:\Windows\System32\KKapMWE.exe
  2⤵
  PID:7308
- C:\Windows\System32\wyEUsiH.exe
  C:\Windows\System32\wyEUsiH.exe
  2⤵
  PID:7324
- C:\Windows\System32\RqTOhlx.exe
  C:\Windows\System32\RqTOhlx.exe
  2⤵
  PID:7352
- C:\Windows\System32\hbhCTPi.exe
  C:\Windows\System32\hbhCTPi.exe
  2⤵
  PID:7380
- C:\Windows\System32\nQZTwSi.exe
  C:\Windows\System32\nQZTwSi.exe
  2⤵
  PID:7408
- C:\Windows\System32\gveyNko.exe
  C:\Windows\System32\gveyNko.exe
  2⤵
  PID:7436
- C:\Windows\System32\xytSsJH.exe
  C:\Windows\System32\xytSsJH.exe
  2⤵
  PID:7464
- C:\Windows\System32\YjvPtMS.exe
  C:\Windows\System32\YjvPtMS.exe
  2⤵
  PID:7504
- C:\Windows\System32\CQQWFOp.exe
  C:\Windows\System32\CQQWFOp.exe
  2⤵
  PID:7520
- C:\Windows\System32\epzifXz.exe
  C:\Windows\System32\epzifXz.exe
  2⤵
  PID:7548
- C:\Windows\System32\TBkrurE.exe
  C:\Windows\System32\TBkrurE.exe
  2⤵
  PID:7576
- C:\Windows\System32\AGxIxMd.exe
  C:\Windows\System32\AGxIxMd.exe
  2⤵
  PID:7616
- C:\Windows\System32\PxPoZEq.exe
  C:\Windows\System32\PxPoZEq.exe
  2⤵
  PID:7632
- C:\Windows\System32\AdlZZbW.exe
  C:\Windows\System32\AdlZZbW.exe
  2⤵
  PID:7660
- C:\Windows\System32\ngZXfSL.exe
  C:\Windows\System32\ngZXfSL.exe
  2⤵
  PID:7700
- C:\Windows\System32\vbhCdOm.exe
  C:\Windows\System32\vbhCdOm.exe
  2⤵
  PID:7716
- C:\Windows\System32\RaACKbN.exe
  C:\Windows\System32\RaACKbN.exe
  2⤵
  PID:7756
- C:\Windows\System32\qigWlNp.exe
  C:\Windows\System32\qigWlNp.exe
  2⤵
  PID:7772
- C:\Windows\System32\qrmZSTD.exe
  C:\Windows\System32\qrmZSTD.exe
  2⤵
  PID:7812
- C:\Windows\System32\LoElboe.exe
  C:\Windows\System32\LoElboe.exe
  2⤵
  PID:7828
- C:\Windows\System32\HpmtkWX.exe
  C:\Windows\System32\HpmtkWX.exe
  2⤵
  PID:7856
- C:\Windows\System32\oBUOUwy.exe
  C:\Windows\System32\oBUOUwy.exe
  2⤵
  PID:7944
- C:\Windows\System32\BbUhEim.exe
  C:\Windows\System32\BbUhEim.exe
  2⤵
  PID:7968
- C:\Windows\System32\wYKJVay.exe
  C:\Windows\System32\wYKJVay.exe
  2⤵
  PID:7984
- C:\Windows\System32\dWigfbR.exe
  C:\Windows\System32\dWigfbR.exe
  2⤵
  PID:8012
- C:\Windows\System32\tDgnZkx.exe
  C:\Windows\System32\tDgnZkx.exe
  2⤵
  PID:8040
- C:\Windows\System32\RnmPZvY.exe
  C:\Windows\System32\RnmPZvY.exe
  2⤵
  PID:8068
- C:\Windows\System32\HqGAEsC.exe
  C:\Windows\System32\HqGAEsC.exe
  2⤵
  PID:8116
- C:\Windows\System32\sdGhmNC.exe
  C:\Windows\System32\sdGhmNC.exe
  2⤵
  PID:8136
- C:\Windows\System32\wzeTdtG.exe
  C:\Windows\System32\wzeTdtG.exe
  2⤵
  PID:6384
- C:\Windows\System32\mRXlBSm.exe
  C:\Windows\System32\mRXlBSm.exe
  2⤵
  PID:6500
- C:\Windows\System32\dTsQVRt.exe
  C:\Windows\System32\dTsQVRt.exe
  2⤵
  PID:6752
- C:\Windows\System32\YvFpPyw.exe
  C:\Windows\System32\YvFpPyw.exe
  2⤵
  PID:1136
- C:\Windows\System32\vWDuIqS.exe
  C:\Windows\System32\vWDuIqS.exe
  2⤵
  PID:7176
- C:\Windows\System32\NGcgilM.exe
  C:\Windows\System32\NGcgilM.exe
  2⤵
  PID:7208
- C:\Windows\System32\laQcASM.exe
  C:\Windows\System32\laQcASM.exe
  2⤵
  PID:7252
- C:\Windows\System32\OtAgYgo.exe
  C:\Windows\System32\OtAgYgo.exe
  2⤵
  PID:7316
- C:\Windows\System32\udFGiOv.exe
  C:\Windows\System32\udFGiOv.exe
  2⤵
  PID:7364
- C:\Windows\System32\crWAktN.exe
  C:\Windows\System32\crWAktN.exe
  2⤵
  PID:3236
- C:\Windows\System32\buuIaQG.exe
  C:\Windows\System32\buuIaQG.exe
  2⤵
  PID:7460
- C:\Windows\System32\ZwFjHAS.exe
  C:\Windows\System32\ZwFjHAS.exe
  2⤵
  PID:7516
- C:\Windows\System32\zvoCVuI.exe
  C:\Windows\System32\zvoCVuI.exe
  2⤵
  PID:4016
- C:\Windows\System32\pEmmNMv.exe
  C:\Windows\System32\pEmmNMv.exe
  2⤵
  PID:7588
- C:\Windows\System32\htcGGZS.exe
  C:\Windows\System32\htcGGZS.exe
  2⤵
  PID:2408
- C:\Windows\System32\RHquGEV.exe
  C:\Windows\System32\RHquGEV.exe
  2⤵
  PID:7676
- C:\Windows\System32\zmCWhQO.exe
  C:\Windows\System32\zmCWhQO.exe
  2⤵
  PID:7784
- C:\Windows\System32\TjfbHUa.exe
  C:\Windows\System32\TjfbHUa.exe
  2⤵
  PID:3536
- C:\Windows\System32\CoRLQLS.exe
  C:\Windows\System32\CoRLQLS.exe
  2⤵
  PID:7852
- C:\Windows\System32\XQjeRKC.exe
  C:\Windows\System32\XQjeRKC.exe
  2⤵
  PID:3364
- C:\Windows\System32\PpKTHCM.exe
  C:\Windows\System32\PpKTHCM.exe
  2⤵
  PID:4148
- C:\Windows\System32\nyaRPfD.exe
  C:\Windows\System32\nyaRPfD.exe
  2⤵
  PID:7940
- C:\Windows\System32\pWXnBhX.exe
  C:\Windows\System32\pWXnBhX.exe
  2⤵
  PID:8060
- C:\Windows\System32\xPqKCxv.exe
  C:\Windows\System32\xPqKCxv.exe
  2⤵
  PID:8088
- C:\Windows\System32\blzmKbn.exe
  C:\Windows\System32\blzmKbn.exe
  2⤵
  PID:6620
- C:\Windows\System32\PiFpRSJ.exe
  C:\Windows\System32\PiFpRSJ.exe
  2⤵
  PID:4792
- C:\Windows\System32\siuEnAw.exe
  C:\Windows\System32\siuEnAw.exe
  2⤵
  PID:7076
- C:\Windows\System32\SXkxbEI.exe
  C:\Windows\System32\SXkxbEI.exe
  2⤵
  PID:7216
- C:\Windows\System32\tMxTWAE.exe
  C:\Windows\System32\tMxTWAE.exe
  2⤵
  PID:7420
- C:\Windows\System32\QTktgTc.exe
  C:\Windows\System32\QTktgTc.exe
  2⤵
  PID:7392
- C:\Windows\System32\jTgDfVv.exe
  C:\Windows\System32\jTgDfVv.exe
  2⤵
  PID:4536
- C:\Windows\System32\AWJrGcu.exe
  C:\Windows\System32\AWJrGcu.exe
  2⤵
  PID:4888
- C:\Windows\System32\cUfaOkP.exe
  C:\Windows\System32\cUfaOkP.exe
  2⤵
  PID:4020
- C:\Windows\System32\LaqEpFB.exe
  C:\Windows\System32\LaqEpFB.exe
  2⤵
  PID:1732
- C:\Windows\System32\AJrgYlh.exe
  C:\Windows\System32\AJrgYlh.exe
  2⤵
  PID:8000
- C:\Windows\System32\OFCzaNB.exe
  C:\Windows\System32\OFCzaNB.exe
  2⤵
  PID:1524
- C:\Windows\System32\hqfthrI.exe
  C:\Windows\System32\hqfthrI.exe
  2⤵
  PID:2228
- C:\Windows\System32\USZOQbG.exe
  C:\Windows\System32\USZOQbG.exe
  2⤵
  PID:1988
- C:\Windows\System32\RwjGAZq.exe
  C:\Windows\System32\RwjGAZq.exe
  2⤵
  PID:3612
- C:\Windows\System32\GdrqsTF.exe
  C:\Windows\System32\GdrqsTF.exe
  2⤵
  PID:440
- C:\Windows\System32\OtEecdq.exe
  C:\Windows\System32\OtEecdq.exe
  2⤵
  PID:8080
- C:\Windows\System32\ddnTfqS.exe
  C:\Windows\System32\ddnTfqS.exe
  2⤵
  PID:8204
- C:\Windows\System32\ZeLmNBL.exe
  C:\Windows\System32\ZeLmNBL.exe
  2⤵
  PID:8220
- C:\Windows\System32\wFbesYz.exe
  C:\Windows\System32\wFbesYz.exe
  2⤵
  PID:8236
- C:\Windows\System32\xokQPNv.exe
  C:\Windows\System32\xokQPNv.exe
  2⤵
  PID:8252
- C:\Windows\System32\NuZWChl.exe
  C:\Windows\System32\NuZWChl.exe
  2⤵
  PID:8268
- C:\Windows\System32\PAKkMbN.exe
  C:\Windows\System32\PAKkMbN.exe
  2⤵
  PID:8284
- C:\Windows\System32\ivskbEZ.exe
  C:\Windows\System32\ivskbEZ.exe
  2⤵
  PID:8300
- C:\Windows\System32\stCbBUw.exe
  C:\Windows\System32\stCbBUw.exe
  2⤵
  PID:8316
- C:\Windows\System32\JrRacYl.exe
  C:\Windows\System32\JrRacYl.exe
  2⤵
  PID:8332
- C:\Windows\System32\yPULHqc.exe
  C:\Windows\System32\yPULHqc.exe
  2⤵
  PID:8348
- C:\Windows\System32\JhymNau.exe
  C:\Windows\System32\JhymNau.exe
  2⤵
  PID:8364
- C:\Windows\System32\ofaYLuw.exe
  C:\Windows\System32\ofaYLuw.exe
  2⤵
  PID:8380
- C:\Windows\System32\EWFWCZz.exe
  C:\Windows\System32\EWFWCZz.exe
  2⤵
  PID:8396
- C:\Windows\System32\Vhemkbo.exe
  C:\Windows\System32\Vhemkbo.exe
  2⤵
  PID:8412
- C:\Windows\System32\Pwntamn.exe
  C:\Windows\System32\Pwntamn.exe
  2⤵
  PID:8428
- C:\Windows\System32\rmeevUm.exe
  C:\Windows\System32\rmeevUm.exe
  2⤵
  PID:8444
- C:\Windows\System32\bjPgwUE.exe
  C:\Windows\System32\bjPgwUE.exe
  2⤵
  PID:8460
- C:\Windows\System32\VMZfhdF.exe
  C:\Windows\System32\VMZfhdF.exe
  2⤵
  PID:8476
- C:\Windows\System32\aeytPJq.exe
  C:\Windows\System32\aeytPJq.exe
  2⤵
  PID:8492
- C:\Windows\System32\wmEysWS.exe
  C:\Windows\System32\wmEysWS.exe
  2⤵
  PID:8508
- C:\Windows\System32\PgFvnyi.exe
  C:\Windows\System32\PgFvnyi.exe
  2⤵
  PID:8524
- C:\Windows\System32\ZNbCgcd.exe
  C:\Windows\System32\ZNbCgcd.exe
  2⤵
  PID:8540
- C:\Windows\System32\OJRMahx.exe
  C:\Windows\System32\OJRMahx.exe
  2⤵
  PID:8556
- C:\Windows\System32\wdWsdQx.exe
  C:\Windows\System32\wdWsdQx.exe
  2⤵
  PID:8572
- C:\Windows\System32\geIjMHQ.exe
  C:\Windows\System32\geIjMHQ.exe
  2⤵
  PID:8588
- C:\Windows\System32\CivZnVl.exe
  C:\Windows\System32\CivZnVl.exe
  2⤵
  PID:8604
- C:\Windows\System32\RxDxfJc.exe
  C:\Windows\System32\RxDxfJc.exe
  2⤵
  PID:8620
- C:\Windows\System32\AczvfOl.exe
  C:\Windows\System32\AczvfOl.exe
  2⤵
  PID:8636
- C:\Windows\System32\RfiBddq.exe
  C:\Windows\System32\RfiBddq.exe
  2⤵
  PID:8652
- C:\Windows\System32\eBTkXUa.exe
  C:\Windows\System32\eBTkXUa.exe
  2⤵
  PID:8668
- C:\Windows\System32\UZiaPuf.exe
  C:\Windows\System32\UZiaPuf.exe
  2⤵
  PID:8684
- C:\Windows\System32\wyJkbns.exe
  C:\Windows\System32\wyJkbns.exe
  2⤵
  PID:8700
- C:\Windows\System32\WLrbLng.exe
  C:\Windows\System32\WLrbLng.exe
  2⤵
  PID:8716
- C:\Windows\System32\sOSaDzd.exe
  C:\Windows\System32\sOSaDzd.exe
  2⤵
  PID:8732
- C:\Windows\System32\zGksulo.exe
  C:\Windows\System32\zGksulo.exe
  2⤵
  PID:8748
- C:\Windows\System32\tGccklU.exe
  C:\Windows\System32\tGccklU.exe
  2⤵
  PID:8764
- C:\Windows\System32\YoxPMyj.exe
  C:\Windows\System32\YoxPMyj.exe
  2⤵
  PID:8788
- C:\Windows\System32\PfbgOxS.exe
  C:\Windows\System32\PfbgOxS.exe
  2⤵
  PID:8812
- C:\Windows\System32\sjgquQK.exe
  C:\Windows\System32\sjgquQK.exe
  2⤵
  PID:8828
- C:\Windows\System32\qzbsafF.exe
  C:\Windows\System32\qzbsafF.exe
  2⤵
  PID:8844
- C:\Windows\System32\qscWumO.exe
  C:\Windows\System32\qscWumO.exe
  2⤵
  PID:8864
- C:\Windows\System32\joGlRUb.exe
  C:\Windows\System32\joGlRUb.exe
  2⤵
  PID:9076
- C:\Windows\System32\VDjgPyK.exe
  C:\Windows\System32\VDjgPyK.exe
  2⤵
  PID:8248
- C:\Windows\System32\ZsZuyzB.exe
  C:\Windows\System32\ZsZuyzB.exe
  2⤵
  PID:8488
- C:\Windows\System32\JCNiwcY.exe
  C:\Windows\System32\JCNiwcY.exe
  2⤵
  PID:8548
- C:\Windows\System32\jJyMrDz.exe
  C:\Windows\System32\jJyMrDz.exe
  2⤵
  PID:8600
- C:\Windows\System32\kMSoMWf.exe
  C:\Windows\System32\kMSoMWf.exe
  2⤵
  PID:8648
- C:\Windows\System32\olzAoHS.exe
  C:\Windows\System32\olzAoHS.exe
  2⤵
  PID:8712
- C:\Windows\System32\XXbDZJT.exe
  C:\Windows\System32\XXbDZJT.exe
  2⤵
  PID:8760
- C:\Windows\System32\FAopLJg.exe
  C:\Windows\System32\FAopLJg.exe
  2⤵
  PID:7712
- C:\Windows\System32\vsMakFO.exe
  C:\Windows\System32\vsMakFO.exe
  2⤵
  PID:3976
- C:\Windows\System32\znQhsHZ.exe
  C:\Windows\System32\znQhsHZ.exe
  2⤵
  PID:8824
- C:\Windows\System32\zIBchHJ.exe
  C:\Windows\System32\zIBchHJ.exe
  2⤵
  PID:772
- C:\Windows\System32\LSgIHim.exe
  C:\Windows\System32\LSgIHim.exe
  2⤵
  PID:9028
- C:\Windows\System32\idFbLnX.exe
  C:\Windows\System32\idFbLnX.exe
  2⤵
  PID:8932
- C:\Windows\System32\kuHTaxc.exe
  C:\Windows\System32\kuHTaxc.exe
  2⤵
  PID:8212
- C:\Windows\System32\xhduqBV.exe
  C:\Windows\System32\xhduqBV.exe
  2⤵
  PID:9012
- C:\Windows\System32\KjtWAtR.exe
  C:\Windows\System32\KjtWAtR.exe
  2⤵
  PID:9052
- C:\Windows\System32\ZrGZQwc.exe
  C:\Windows\System32\ZrGZQwc.exe
  2⤵
  PID:8388
- C:\Windows\System32\eHcvyyx.exe
  C:\Windows\System32\eHcvyyx.exe
  2⤵
  PID:8472
- C:\Windows\System32\TcbHvXx.exe
  C:\Windows\System32\TcbHvXx.exe
  2⤵
  PID:4128
- C:\Windows\System32\zpzTYuH.exe
  C:\Windows\System32\zpzTYuH.exe
  2⤵
  PID:8660
- C:\Windows\System32\nSgniWI.exe
  C:\Windows\System32\nSgniWI.exe
  2⤵
  PID:7348
- C:\Windows\System32\uCemQaB.exe
  C:\Windows\System32\uCemQaB.exe
  2⤵
  PID:2376
- C:\Windows\System32\yhzRqFp.exe
  C:\Windows\System32\yhzRqFp.exe
  2⤵
  PID:3016
- C:\Windows\System32\abqUKWv.exe
  C:\Windows\System32\abqUKWv.exe
  2⤵
  PID:8896
- C:\Windows\System32\dcTjzPK.exe
  C:\Windows\System32\dcTjzPK.exe
  2⤵
  PID:8292
- C:\Windows\System32\KRPomiI.exe
  C:\Windows\System32\KRPomiI.exe
  2⤵
  PID:4340
- C:\Windows\System32\eGjwvAZ.exe
  C:\Windows\System32\eGjwvAZ.exe
  2⤵
  PID:8536
- C:\Windows\System32\IXJaHwJ.exe
  C:\Windows\System32\IXJaHwJ.exe
  2⤵
  PID:1592
- C:\Windows\System32\WzPFIQI.exe
  C:\Windows\System32\WzPFIQI.exe
  2⤵
  PID:8836
- C:\Windows\System32\SfDhfFU.exe
  C:\Windows\System32\SfDhfFU.exe
  2⤵
  PID:8324
- C:\Windows\System32\peDdJJr.exe
  C:\Windows\System32\peDdJJr.exe
  2⤵
  PID:8580
- C:\Windows\System32\IuzfKPs.exe
  C:\Windows\System32\IuzfKPs.exe
  2⤵
  PID:8936
- C:\Windows\System32\PXESKXu.exe
  C:\Windows\System32\PXESKXu.exe
  2⤵
  PID:9188
- C:\Windows\System32\DUTYbuH.exe
  C:\Windows\System32\DUTYbuH.exe
  2⤵
  PID:8800
- C:\Windows\System32\eYcHrVa.exe
  C:\Windows\System32\eYcHrVa.exe
  2⤵
  PID:9232
- C:\Windows\System32\HSCxEtK.exe
  C:\Windows\System32\HSCxEtK.exe
  2⤵
  PID:9308
- C:\Windows\System32\wluWrdT.exe
  C:\Windows\System32\wluWrdT.exe
  2⤵
  PID:9324
- C:\Windows\System32\BBXBwYA.exe
  C:\Windows\System32\BBXBwYA.exe
  2⤵
  PID:9352
- C:\Windows\System32\qUMcntK.exe
  C:\Windows\System32\qUMcntK.exe
  2⤵
  PID:9380
- C:\Windows\System32\KbAImxK.exe
  C:\Windows\System32\KbAImxK.exe
  2⤵
  PID:9396
- C:\Windows\System32\GdznJAx.exe
  C:\Windows\System32\GdznJAx.exe
  2⤵
  PID:9436
- C:\Windows\System32\txVPZHE.exe
  C:\Windows\System32\txVPZHE.exe
  2⤵
  PID:9464
- C:\Windows\System32\HZAAjau.exe
  C:\Windows\System32\HZAAjau.exe
  2⤵
  PID:9480
- C:\Windows\System32\UJfCwzE.exe
  C:\Windows\System32\UJfCwzE.exe
  2⤵
  PID:9520
- C:\Windows\System32\hDlsBmU.exe
  C:\Windows\System32\hDlsBmU.exe
  2⤵
  PID:9544
- C:\Windows\System32\TQmlSnj.exe
  C:\Windows\System32\TQmlSnj.exe
  2⤵
  PID:9576
- C:\Windows\System32\vbsGnby.exe
  C:\Windows\System32\vbsGnby.exe
  2⤵
  PID:9604
- C:\Windows\System32\yTLlulU.exe
  C:\Windows\System32\yTLlulU.exe
  2⤵
  PID:9632
- C:\Windows\System32\ueRVMsO.exe
  C:\Windows\System32\ueRVMsO.exe
  2⤵
  PID:9652
- C:\Windows\System32\fjmypMo.exe
  C:\Windows\System32\fjmypMo.exe
  2⤵
  PID:9696
- C:\Windows\System32\DDMdSrC.exe
  C:\Windows\System32\DDMdSrC.exe
  2⤵
  PID:9732
- C:\Windows\System32\wshCZUU.exe
  C:\Windows\System32\wshCZUU.exe
  2⤵
  PID:9764
- C:\Windows\System32\friBZTL.exe
  C:\Windows\System32\friBZTL.exe
  2⤵
  PID:9792
- C:\Windows\System32\COpxKxb.exe
  C:\Windows\System32\COpxKxb.exe
  2⤵
  PID:9824
- C:\Windows\System32\SjaYVEz.exe
  C:\Windows\System32\SjaYVEz.exe
  2⤵
  PID:9840
- C:\Windows\System32\nRZIBDF.exe
  C:\Windows\System32\nRZIBDF.exe
  2⤵
  PID:9876
- C:\Windows\System32\bevAXyZ.exe
  C:\Windows\System32\bevAXyZ.exe
  2⤵
  PID:9916
- C:\Windows\System32\kfqPzoJ.exe
  C:\Windows\System32\kfqPzoJ.exe
  2⤵
  PID:9936
- C:\Windows\System32\GslnzGy.exe
  C:\Windows\System32\GslnzGy.exe
  2⤵
  PID:9968
- C:\Windows\System32\WXlBwLy.exe
  C:\Windows\System32\WXlBwLy.exe
  2⤵
  PID:9992
- C:\Windows\System32\QZxoYfb.exe
  C:\Windows\System32\QZxoYfb.exe
  2⤵
  PID:10020
- C:\Windows\System32\smkCMGu.exe
  C:\Windows\System32\smkCMGu.exe
  2⤵
  PID:10056
- C:\Windows\System32\WyzPoGb.exe
  C:\Windows\System32\WyzPoGb.exe
  2⤵
  PID:10076
- C:\Windows\System32\jyfHypC.exe
  C:\Windows\System32\jyfHypC.exe
  2⤵
  PID:10124
- C:\Windows\System32\xYvqqPN.exe
  C:\Windows\System32\xYvqqPN.exe
  2⤵
  PID:10156
- C:\Windows\System32\ZHrrIKq.exe
  C:\Windows\System32\ZHrrIKq.exe
  2⤵
  PID:10184
- C:\Windows\System32\GpVHJes.exe
  C:\Windows\System32\GpVHJes.exe
  2⤵
  PID:10200
- C:\Windows\System32\SIicBto.exe
  C:\Windows\System32\SIicBto.exe
  2⤵
  PID:10236
- C:\Windows\System32\rooYJiH.exe
  C:\Windows\System32\rooYJiH.exe
  2⤵
  PID:9240
- C:\Windows\System32\LzHGfUT.exe
  C:\Windows\System32\LzHGfUT.exe
  2⤵
  PID:9296
- C:\Windows\System32\Jkyarrx.exe
  C:\Windows\System32\Jkyarrx.exe
  2⤵
  PID:9364
- C:\Windows\System32\hwvSgbS.exe
  C:\Windows\System32\hwvSgbS.exe
  2⤵
  PID:9432
- C:\Windows\System32\yQFrGeC.exe
  C:\Windows\System32\yQFrGeC.exe
  2⤵
  PID:9492
- C:\Windows\System32\qaEYhdH.exe
  C:\Windows\System32\qaEYhdH.exe
  2⤵
  PID:9540
- C:\Windows\System32\lDXSfDE.exe
  C:\Windows\System32\lDXSfDE.exe
  2⤵
  PID:9640
- C:\Windows\System32\ZvbHqqJ.exe
  C:\Windows\System32\ZvbHqqJ.exe
  2⤵
  PID:9688
- C:\Windows\System32\qpGMAIM.exe
  C:\Windows\System32\qpGMAIM.exe
  2⤵
  PID:9744
- C:\Windows\System32\CbzkTeX.exe
  C:\Windows\System32\CbzkTeX.exe
  2⤵
  PID:9812
- C:\Windows\System32\xtmXKcR.exe
  C:\Windows\System32\xtmXKcR.exe
  2⤵
  PID:9900
- C:\Windows\System32\UMaYqOK.exe
  C:\Windows\System32\UMaYqOK.exe
  2⤵
  PID:9976
- C:\Windows\System32\QneHAvO.exe
  C:\Windows\System32\QneHAvO.exe
  2⤵
  PID:10044
- C:\Windows\System32\ZADvKwy.exe
  C:\Windows\System32\ZADvKwy.exe
  2⤵
  PID:10112
- C:\Windows\System32\BYZTwum.exe
  C:\Windows\System32\BYZTwum.exe
  2⤵
  PID:10152
- C:\Windows\System32\RbtuUiT.exe
  C:\Windows\System32\RbtuUiT.exe
  2⤵
  PID:9144
- C:\Windows\System32\IsnBcEP.exe
  C:\Windows\System32\IsnBcEP.exe
  2⤵
  PID:1692
- C:\Windows\System32\FhgaRAT.exe
  C:\Windows\System32\FhgaRAT.exe
  2⤵
  PID:3568
- C:\Windows\System32\DexwnHw.exe
  C:\Windows\System32\DexwnHw.exe
  2⤵
  PID:9620
- C:\Windows\System32\hPKplEM.exe
  C:\Windows\System32\hPKplEM.exe
  2⤵
  PID:1208
- C:\Windows\System32\ZxSCgLA.exe
  C:\Windows\System32\ZxSCgLA.exe
  2⤵
  PID:9804
- C:\Windows\System32\PNsuEWc.exe
  C:\Windows\System32\PNsuEWc.exe
  2⤵
  PID:10036
- C:\Windows\System32\KtQypIr.exe
  C:\Windows\System32\KtQypIr.exe
  2⤵
  PID:10140
- C:\Windows\System32\eaVJJEl.exe
  C:\Windows\System32\eaVJJEl.exe
  2⤵
  PID:9336
- C:\Windows\System32\TiJkglM.exe
  C:\Windows\System32\TiJkglM.exe
  2⤵
  PID:1424
- C:\Windows\System32\kcdPZfq.exe
  C:\Windows\System32\kcdPZfq.exe
  2⤵
  PID:10016
- C:\Windows\System32\GLQrJYB.exe
  C:\Windows\System32\GLQrJYB.exe
  2⤵
  PID:10088
- C:\Windows\System32\KbyPytu.exe
  C:\Windows\System32\KbyPytu.exe
  2⤵
  PID:10212
- C:\Windows\System32\FknywzE.exe
  C:\Windows\System32\FknywzE.exe
  2⤵
  PID:10244
- C:\Windows\System32\LdSlXxr.exe
  C:\Windows\System32\LdSlXxr.exe
  2⤵
  PID:10276
- C:\Windows\System32\aYzASpD.exe
  C:\Windows\System32\aYzASpD.exe
  2⤵
  PID:10292
- C:\Windows\System32\bkzxrSo.exe
  C:\Windows\System32\bkzxrSo.exe
  2⤵
  PID:10332
- C:\Windows\System32\FCbpoqE.exe
  C:\Windows\System32\FCbpoqE.exe
  2⤵
  PID:10360
- C:\Windows\System32\avqNJZk.exe
  C:\Windows\System32\avqNJZk.exe
  2⤵
  PID:10380
- C:\Windows\System32\SuzmZkY.exe
  C:\Windows\System32\SuzmZkY.exe
  2⤵
  PID:10404
- C:\Windows\System32\GgLEDpN.exe
  C:\Windows\System32\GgLEDpN.exe
  2⤵
  PID:10432
- C:\Windows\System32\VOHTfYu.exe
  C:\Windows\System32\VOHTfYu.exe
  2⤵
  PID:10472
- C:\Windows\System32\PRBpCmx.exe
  C:\Windows\System32\PRBpCmx.exe
  2⤵
  PID:10500
- C:\Windows\System32\vkMQLTk.exe
  C:\Windows\System32\vkMQLTk.exe
  2⤵
  PID:10520
- C:\Windows\System32\pyYoiwf.exe
  C:\Windows\System32\pyYoiwf.exe
  2⤵
  PID:10544
- C:\Windows\System32\hAkSPDz.exe
  C:\Windows\System32\hAkSPDz.exe
  2⤵
  PID:10588
- C:\Windows\System32\prSVXLj.exe
  C:\Windows\System32\prSVXLj.exe
  2⤵
  PID:10616
- C:\Windows\System32\neunsZg.exe
  C:\Windows\System32\neunsZg.exe
  2⤵
  PID:10632
- C:\Windows\System32\lUmxWeN.exe
  C:\Windows\System32\lUmxWeN.exe
  2⤵
  PID:10652
- C:\Windows\System32\ulTcSEr.exe
  C:\Windows\System32\ulTcSEr.exe
  2⤵
  PID:10704
- C:\Windows\System32\GXCTzeD.exe
  C:\Windows\System32\GXCTzeD.exe
  2⤵
  PID:10720
- C:\Windows\System32\tZWYrpZ.exe
  C:\Windows\System32\tZWYrpZ.exe
  2⤵
  PID:10760
- C:\Windows\System32\vAQqtLD.exe
  C:\Windows\System32\vAQqtLD.exe
  2⤵
  PID:10776
- C:\Windows\System32\PFXGqCi.exe
  C:\Windows\System32\PFXGqCi.exe
  2⤵
  PID:10816
- C:\Windows\System32\TkVLVDL.exe
  C:\Windows\System32\TkVLVDL.exe
  2⤵
  PID:10844
- C:\Windows\System32\SwvaizG.exe
  C:\Windows\System32\SwvaizG.exe
  2⤵
  PID:10872
- C:\Windows\System32\WeBpYHE.exe
  C:\Windows\System32\WeBpYHE.exe
  2⤵
  PID:10900
- C:\Windows\System32\TNTzggQ.exe
  C:\Windows\System32\TNTzggQ.exe
  2⤵
  PID:10928
- C:\Windows\System32\IwarwlO.exe
  C:\Windows\System32\IwarwlO.exe
  2⤵
  PID:10960
- C:\Windows\System32\QVIzIif.exe
  C:\Windows\System32\QVIzIif.exe
  2⤵
  PID:10984
- C:\Windows\System32\jzlzKdC.exe
  C:\Windows\System32\jzlzKdC.exe
  2⤵
  PID:11008
- C:\Windows\System32\mLnIyQh.exe
  C:\Windows\System32\mLnIyQh.exe
  2⤵
  PID:11040
- C:\Windows\System32\NUlfbGd.exe
  C:\Windows\System32\NUlfbGd.exe
  2⤵
  PID:11068
- C:\Windows\System32\MkBBCkT.exe
  C:\Windows\System32\MkBBCkT.exe
  2⤵
  PID:11096
- C:\Windows\System32\KDZhIrL.exe
  C:\Windows\System32\KDZhIrL.exe
  2⤵
  PID:11120
- C:\Windows\System32\EITfDgG.exe
  C:\Windows\System32\EITfDgG.exe
  2⤵
  PID:11152
- C:\Windows\System32\tXTFRMM.exe
  C:\Windows\System32\tXTFRMM.exe
  2⤵
  PID:11188
- C:\Windows\System32\CnsDwMm.exe
  C:\Windows\System32\CnsDwMm.exe
  2⤵
  PID:11216
- C:\Windows\System32\HgFhuUc.exe
  C:\Windows\System32\HgFhuUc.exe
  2⤵
  PID:11244
- C:\Windows\System32\fmkpRtw.exe
  C:\Windows\System32\fmkpRtw.exe
  2⤵
  PID:10264
- C:\Windows\System32\mwPPLJe.exe
  C:\Windows\System32\mwPPLJe.exe
  2⤵
  PID:10328
- C:\Windows\System32\oHYzVcf.exe
  C:\Windows\System32\oHYzVcf.exe
  2⤵
  PID:10396
- C:\Windows\System32\tjiqraq.exe
  C:\Windows\System32\tjiqraq.exe
  2⤵
  PID:10464
- C:\Windows\System32\NrVcYsN.exe
  C:\Windows\System32\NrVcYsN.exe
  2⤵
  PID:10540
- C:\Windows\System32\bfDGJqQ.exe
  C:\Windows\System32\bfDGJqQ.exe
  2⤵
  PID:10600
- C:\Windows\System32\CiEIHMy.exe
  C:\Windows\System32\CiEIHMy.exe
  2⤵
  PID:10624
- C:\Windows\System32\MEPzANd.exe
  C:\Windows\System32\MEPzANd.exe
  2⤵
  PID:10684
- C:\Windows\System32\ilWzfgl.exe
  C:\Windows\System32\ilWzfgl.exe
  2⤵
  PID:10804
- C:\Windows\System32\gfHEyJP.exe
  C:\Windows\System32\gfHEyJP.exe
  2⤵
  PID:10864
- C:\Windows\System32\VFQYxFF.exe
  C:\Windows\System32\VFQYxFF.exe
  2⤵
  PID:10916
- C:\Windows\System32\lbTKArm.exe
  C:\Windows\System32\lbTKArm.exe
  2⤵
  PID:10948
- C:\Windows\System32\FqDckkx.exe
  C:\Windows\System32\FqDckkx.exe
  2⤵
  PID:11036
- C:\Windows\System32\tONpNBA.exe
  C:\Windows\System32\tONpNBA.exe
  2⤵
  PID:11104
- C:\Windows\System32\KwjCunV.exe
  C:\Windows\System32\KwjCunV.exe
  2⤵
  PID:11208
- C:\Windows\System32\pFBmqQT.exe
  C:\Windows\System32\pFBmqQT.exe
  2⤵
  PID:10256
- C:\Windows\System32\DTwRowb.exe
  C:\Windows\System32\DTwRowb.exe
  2⤵
  PID:10356
- C:\Windows\System32\wnmNbDz.exe
  C:\Windows\System32\wnmNbDz.exe
  2⤵
  PID:10584
- C:\Windows\System32\TbpmQXX.exe
  C:\Windows\System32\TbpmQXX.exe
  2⤵
  PID:10700
- C:\Windows\System32\vSyjxXk.exe
  C:\Windows\System32\vSyjxXk.exe
  2⤵
  PID:10856
- C:\Windows\System32\RSSKbns.exe
  C:\Windows\System32\RSSKbns.exe
  2⤵
  PID:11028
- C:\Windows\System32\qLsuFYR.exe
  C:\Windows\System32\qLsuFYR.exe
  2⤵
  PID:11184
- C:\Windows\System32\Jxagxkf.exe
  C:\Windows\System32\Jxagxkf.exe
  2⤵
  PID:11236
- C:\Windows\System32\hDwaiyJ.exe
  C:\Windows\System32\hDwaiyJ.exe
  2⤵
  PID:10648
- C:\Windows\System32\lHMsfmz.exe
  C:\Windows\System32\lHMsfmz.exe
  2⤵
  PID:10840
- C:\Windows\System32\QTacxpb.exe
  C:\Windows\System32\QTacxpb.exe
  2⤵
  PID:10272
- C:\Windows\System32\wnWqnaA.exe
  C:\Windows\System32\wnWqnaA.exe
  2⤵
  PID:11168
- C:\Windows\System32\qXaqDkK.exe
  C:\Windows\System32\qXaqDkK.exe
  2⤵
  PID:4636
- C:\Windows\System32\ePNVfNQ.exe
  C:\Windows\System32\ePNVfNQ.exe
  2⤵
  PID:11300
- C:\Windows\System32\grDwmnO.exe
  C:\Windows\System32\grDwmnO.exe
  2⤵
  PID:11316
- C:\Windows\System32\ifnRxly.exe
  C:\Windows\System32\ifnRxly.exe
  2⤵
  PID:11360
- C:\Windows\System32\wafLddz.exe
  C:\Windows\System32\wafLddz.exe
  2⤵
  PID:11380
- C:\Windows\System32\MwjdzeM.exe
  C:\Windows\System32\MwjdzeM.exe
  2⤵
  PID:11412
- C:\Windows\System32\TPocIzm.exe
  C:\Windows\System32\TPocIzm.exe
  2⤵
  PID:11428
- C:\Windows\System32\ItvmLDu.exe
  C:\Windows\System32\ItvmLDu.exe
  2⤵
  PID:11448
- C:\Windows\System32\NIuEOxq.exe
  C:\Windows\System32\NIuEOxq.exe
  2⤵
  PID:11496
- C:\Windows\System32\zycACAm.exe
  C:\Windows\System32\zycACAm.exe
  2⤵
  PID:11524
- C:\Windows\System32\KObNiQv.exe
  C:\Windows\System32\KObNiQv.exe
  2⤵
  PID:11552
- C:\Windows\System32\iZznJUh.exe
  C:\Windows\System32\iZznJUh.exe
  2⤵
  PID:11580
- C:\Windows\System32\CgHrIwi.exe
  C:\Windows\System32\CgHrIwi.exe
  2⤵
  PID:11600
- C:\Windows\System32\mftCYGW.exe
  C:\Windows\System32\mftCYGW.exe
  2⤵
  PID:11624
- C:\Windows\System32\jUHdCPd.exe
  C:\Windows\System32\jUHdCPd.exe
  2⤵
  PID:11664
- C:\Windows\System32\IsOOxNj.exe
  C:\Windows\System32\IsOOxNj.exe
  2⤵
  PID:11692
- C:\Windows\System32\DaNYUAz.exe
  C:\Windows\System32\DaNYUAz.exe
  2⤵
  PID:11716
- C:\Windows\System32\pniTadR.exe
  C:\Windows\System32\pniTadR.exe
  2⤵
  PID:11748
- C:\Windows\System32\unIhLCL.exe
  C:\Windows\System32\unIhLCL.exe
  2⤵
  PID:11764
- C:\Windows\System32\tFUQykh.exe
  C:\Windows\System32\tFUQykh.exe
  2⤵
  PID:11804
- C:\Windows\System32\zxdnlZZ.exe
  C:\Windows\System32\zxdnlZZ.exe
  2⤵
  PID:11832
- C:\Windows\System32\oYnlWPm.exe
  C:\Windows\System32\oYnlWPm.exe
  2⤵
  PID:11852
- C:\Windows\System32\HtZLCee.exe
  C:\Windows\System32\HtZLCee.exe
  2⤵
  PID:11888
- C:\Windows\System32\wWLeuVJ.exe
  C:\Windows\System32\wWLeuVJ.exe
  2⤵
  PID:11916
- C:\Windows\System32\UeiCskp.exe
  C:\Windows\System32\UeiCskp.exe
  2⤵
  PID:11944
- C:\Windows\System32\aLPnzbl.exe
  C:\Windows\System32\aLPnzbl.exe
  2⤵
  PID:11968
- C:\Windows\System32\xmRGhkC.exe
  C:\Windows\System32\xmRGhkC.exe
  2⤵
  PID:11988
- C:\Windows\System32\JtYGOqu.exe
  C:\Windows\System32\JtYGOqu.exe
  2⤵
  PID:12028
- C:\Windows\System32\xPbCOUG.exe
  C:\Windows\System32\xPbCOUG.exe
  2⤵
  PID:12056
- C:\Windows\System32\cynRbTS.exe
  C:\Windows\System32\cynRbTS.exe
  2⤵
  PID:12084
- C:\Windows\System32\Ndvwrnv.exe
  C:\Windows\System32\Ndvwrnv.exe
  2⤵
  PID:12112
- C:\Windows\System32\aDgquin.exe
  C:\Windows\System32\aDgquin.exe
  2⤵
  PID:12144
- C:\Windows\System32\oGKmUOz.exe
  C:\Windows\System32\oGKmUOz.exe
  2⤵
  PID:12212
- C:\Windows\System32\vvMMQyJ.exe
  C:\Windows\System32\vvMMQyJ.exe
  2⤵
  PID:12228
- C:\Windows\System32\zTRQFNN.exe
  C:\Windows\System32\zTRQFNN.exe
  2⤵
  PID:12256
- C:\Windows\System32\eIvgcXa.exe
  C:\Windows\System32\eIvgcXa.exe
  2⤵
  PID:12276
- C:\Windows\System32\QtiXtbZ.exe
  C:\Windows\System32\QtiXtbZ.exe
  2⤵
  PID:11332
- C:\Windows\System32\lAPwIeM.exe
  C:\Windows\System32\lAPwIeM.exe
  2⤵
  PID:11424
- C:\Windows\System32\gQbUUHM.exe
  C:\Windows\System32\gQbUUHM.exe
  2⤵
  PID:3476
- C:\Windows\System32\DNEtaQx.exe
  C:\Windows\System32\DNEtaQx.exe
  2⤵
  PID:11516
- C:\Windows\System32\koSiKhB.exe
  C:\Windows\System32\koSiKhB.exe
  2⤵
  PID:11576
- C:\Windows\System32\DUSAAbh.exe
  C:\Windows\System32\DUSAAbh.exe
  2⤵
  PID:11616
- C:\Windows\System32\cTMclZG.exe
  C:\Windows\System32\cTMclZG.exe
  2⤵
  PID:11744
- C:\Windows\System32\fTqFPaJ.exe
  C:\Windows\System32\fTqFPaJ.exe
  2⤵
  PID:11840
- C:\Windows\System32\IGRGqiQ.exe
  C:\Windows\System32\IGRGqiQ.exe
  2⤵
  PID:11904
- C:\Windows\System32\YuMgSuH.exe
  C:\Windows\System32\YuMgSuH.exe
  2⤵
  PID:11976
- C:\Windows\System32\BJQQpHq.exe
  C:\Windows\System32\BJQQpHq.exe
  2⤵
  PID:12048
- C:\Windows\System32\HPpsfxy.exe
  C:\Windows\System32\HPpsfxy.exe
  2⤵
  PID:12104
- C:\Windows\System32\cFEPQxs.exe
  C:\Windows\System32\cFEPQxs.exe
  2⤵
  PID:12164
- C:\Windows\System32\pTHVSVH.exe
  C:\Windows\System32\pTHVSVH.exe
  2⤵
  PID:5068
- C:\Windows\System32\ypoAjIJ.exe
  C:\Windows\System32\ypoAjIJ.exe
  2⤵
  PID:11308
- C:\Windows\System32\iuGZyUH.exe
  C:\Windows\System32\iuGZyUH.exe
  2⤵
  PID:11504
- C:\Windows\System32\uYksjtc.exe
  C:\Windows\System32\uYksjtc.exe
  2⤵
  PID:11688
- C:\Windows\System32\fezrQrK.exe
  C:\Windows\System32\fezrQrK.exe
  2⤵
  PID:11884
- C:\Windows\System32\qbBHjmJ.exe
  C:\Windows\System32\qbBHjmJ.exe
  2⤵
  PID:12040
- C:\Windows\System32\fpgRoCa.exe
  C:\Windows\System32\fpgRoCa.exe
  2⤵
  PID:12096
- C:\Windows\System32\lrLMpGu.exe
  C:\Windows\System32\lrLMpGu.exe
  2⤵
  PID:3148
- C:\Windows\System32\DkiRiMu.exe
  C:\Windows\System32\DkiRiMu.exe
  2⤵
  PID:1664
- C:\Windows\System32\mVRThBS.exe
  C:\Windows\System32\mVRThBS.exe
  2⤵
  PID:11740
- C:\Windows\System32\DRHNJZF.exe
  C:\Windows\System32\DRHNJZF.exe
  2⤵
  PID:12080
- C:\Windows\System32\FktwuLe.exe
  C:\Windows\System32\FktwuLe.exe
  2⤵
  PID:12132
- C:\Windows\System32\AohyyRW.exe
  C:\Windows\System32\AohyyRW.exe
  2⤵
  PID:11936
- C:\Windows\System32\wZUZycJ.exe
  C:\Windows\System32\wZUZycJ.exe
  2⤵
  PID:12168
- C:\Windows\System32\PRvXBnm.exe
  C:\Windows\System32\PRvXBnm.exe
  2⤵
  PID:12296
- C:\Windows\System32\SKJFZvh.exe
  C:\Windows\System32\SKJFZvh.exe
  2⤵
  PID:12336
- C:\Windows\System32\DdwgvfS.exe
  C:\Windows\System32\DdwgvfS.exe
  2⤵
  PID:12388
- C:\Windows\System32\qKCRzne.exe
  C:\Windows\System32\qKCRzne.exe
  2⤵
  PID:12424
- C:\Windows\System32\VleVdyr.exe
  C:\Windows\System32\VleVdyr.exe
  2⤵
  PID:12452
- C:\Windows\System32\CltSCui.exe
  C:\Windows\System32\CltSCui.exe
  2⤵
  PID:12476
- C:\Windows\System32\AGQbKRN.exe
  C:\Windows\System32\AGQbKRN.exe
  2⤵
  PID:12512
- C:\Windows\System32\GyyGYRn.exe
  C:\Windows\System32\GyyGYRn.exe
  2⤵
  PID:12540
- C:\Windows\System32\SsTfPPk.exe
  C:\Windows\System32\SsTfPPk.exe
  2⤵
  PID:12560
- C:\Windows\System32\MPFoSXi.exe
  C:\Windows\System32\MPFoSXi.exe
  2⤵
  PID:12596
- C:\Windows\System32\YFNoTxL.exe
  C:\Windows\System32\YFNoTxL.exe
  2⤵
  PID:12628
- C:\Windows\System32\CHPTZxZ.exe
  C:\Windows\System32\CHPTZxZ.exe
  2⤵
  PID:12644
- C:\Windows\System32\UuvCUKT.exe
  C:\Windows\System32\UuvCUKT.exe
  2⤵
  PID:12672
- C:\Windows\System32\tulkBXC.exe
  C:\Windows\System32\tulkBXC.exe
  2⤵
  PID:12720
- C:\Windows\System32\dSUYQwy.exe
  C:\Windows\System32\dSUYQwy.exe
  2⤵
  PID:12748
- C:\Windows\System32\UXvpbhV.exe
  C:\Windows\System32\UXvpbhV.exe
  2⤵
  PID:12784
- C:\Windows\System32\OcUOlht.exe
  C:\Windows\System32\OcUOlht.exe
  2⤵
  PID:12808
- C:\Windows\System32\JQlnGGY.exe
  C:\Windows\System32\JQlnGGY.exe
  2⤵
  PID:12836
- C:\Windows\System32\PoMymSO.exe
  C:\Windows\System32\PoMymSO.exe
  2⤵
  PID:12864
- C:\Windows\System32\MsltfVW.exe
  C:\Windows\System32\MsltfVW.exe
  2⤵
  PID:12900
- C:\Windows\System32\ZtHbefg.exe
  C:\Windows\System32\ZtHbefg.exe
  2⤵
  PID:12928
- C:\Windows\System32\xCNyUBY.exe
  C:\Windows\System32\xCNyUBY.exe
  2⤵
  PID:12944
- C:\Windows\System32\DspFuAV.exe
  C:\Windows\System32\DspFuAV.exe
  2⤵
  PID:12988
- C:\Windows\System32\LZJMASX.exe
  C:\Windows\System32\LZJMASX.exe
  2⤵
  PID:13020
- C:\Windows\System32\jIdARNx.exe
  C:\Windows\System32\jIdARNx.exe
  2⤵
  PID:13060
- C:\Windows\System32\lciHJJY.exe
  C:\Windows\System32\lciHJJY.exe
  2⤵
  PID:13108
- C:\Windows\System32\wLvFzaY.exe
  C:\Windows\System32\wLvFzaY.exe
  2⤵
  PID:13152
- C:\Windows\System32\wMldZar.exe
  C:\Windows\System32\wMldZar.exe
  2⤵
  PID:13168
- C:\Windows\System32\xAQhxTj.exe
  C:\Windows\System32\xAQhxTj.exe
  2⤵
  PID:13200
- C:\Windows\System32\Xszoejb.exe
  C:\Windows\System32\Xszoejb.exe
  2⤵
  PID:13240
- C:\Windows\System32\cVmcHub.exe
  C:\Windows\System32\cVmcHub.exe
  2⤵
  PID:13256
- C:\Windows\System32\tEcNlky.exe
  C:\Windows\System32\tEcNlky.exe
  2⤵
  PID:13296

C:\Windows\System32\sihclient.exe
C:\Windows\System32\sihclient.exe /cv RwUal3YsI0qxVAFrTM99sw.0.2
1⤵
PID:12980
- C:\Windows\system32\WerFaultSecure.exe
  C:\Windows\system32\WerFaultSecure.exe -u -p 12980 -s 856
  2⤵
  PID:13304

C:\Windows\system32\WerFaultSecure.exe
"C:\Windows\system32\WerFaultSecure.exe" -protectedcrash -p 12980 -i 12980 -h 452 -j 416 -s 456 -d 13124
1⤵
- Suspicious use of NtCreateUserProcessOtherParentProcess
PID:13216

Network

MITRE ATT&CK Matrix

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\CZEHOMX.exe

Filesize
2.6MB

MD5
ec48f27d12f4d4cb2dea7a2ecf5934e4

SHA1
e4ec682bffdc498a85cf5f43f54d65e0d8e5a2cb

SHA256
64434f437d06964646a4cf568eb5f7232976a938cfd5e41358746fae288edab9

SHA512
6880bec1c231c898e5fccfe24f457699b53bb8dc389733ba687ec93271c955526447c11315d30da8bea4bc2dd72e65a81833b02bb1e3fafe12dec6d8df2614e8

Download Submit
C:\Windows\System32\CpgsuXA.exe

Filesize
2.6MB

MD5
711e9fce541078c92fa13f74791d431b

SHA1
fd95ffad60f74429f02f549f5c8fb7c536f3771d

SHA256
9d98cfa9a83e92cbc0e1fdc75d10dcf960ed202219f4cf453f26a60eb0fcbb04

SHA512
523411156ee85c739cd0d87a019d57a7a415df6271427b6e97d044aeaf5819c2ce2cd9b07eafd963190307a309aeb7a1560de325cc7fe2c47e0f259866a4ca84

Download Submit
C:\Windows\System32\FOgDNXY.exe

Filesize
2.6MB

MD5
10847847508690651b2e26a7c214df67

SHA1
ccbdd3bdc3fbe298c4522d7d050f07215b688b47

SHA256
bde904896e1a8e13d43ee7b2f0910ed51decdd70fb51bb31236faf176292b0c2

SHA512
d346855db5f81b50f21d4158863811ad2e8f6b557d99a1994e42a180d588b585f79404b6a9a0b3cdacced6c7465387a9c39c6a5b310b6862994f13c5ae5eb207

Download Submit
C:\Windows\System32\FtMMQkD.exe

Filesize
2.6MB

MD5
862af854527cbcb7833eea52792ce6d6

SHA1
30cdd60733e17563c2e7af815528e06a9ef53c62

SHA256
ffee339060e422c325820a1f9cd2e34b254c67e459eceb15c7dd97edc9727075

SHA512
5cb824ce37e9b391bf51e909f260d336ce2e81cc01d5cd426de9b8f57d7c817d3b4fd97deb380ecbb45ecd2c590bed26ee0a67ee8ae9e29588a36d42eebea475

Download Submit
C:\Windows\System32\GaggiGd.exe

Filesize
2.6MB

MD5
78d8ef03b69191858ad681916ba64f19

SHA1
07b1c016ba4e2974a237013c1fdecdd8c0426a07

SHA256
69997cab333b650451c8ee3ee1d5e6a6fff3c3892a6c54d0766c36c7044f4056

SHA512
3c61b3122cae290faf10507d6fde401de01d086eb6e9e6e39d1797ac13f80e53d296091a0f6e3fdf6a01d424ded8711e0c9041e12f4a01502f1778a2607e4f23

Download Submit
C:\Windows\System32\LZJJvJk.exe

Filesize
2.6MB

MD5
08e71bec8da7c05cae435d0504eee8dd

SHA1
0373ea0fa299b6f864a3b950bb2be16c21c4fe07

SHA256
f2e701ab131a8f378abe3e8d395eb32e7727c37fef8b050c47d8a9baa11f54aa

SHA512
05f254f80fd2f71cfb174a68a54350930ea0c48441e04e8214792ac5c118a62f21950949a3d68f8e802709bcb72a59d02a863ef0596d4665c28f509a880dd428

Download Submit
C:\Windows\System32\MvtigNm.exe

Filesize
2.6MB

MD5
780193937c5a85b518fd47b3183ba822

SHA1
93d1e6d8ba7cbccdcbadcc65b44384820bbe86a1

SHA256
14eb04474c0e00b9d25c38f7215f55b9cc6c6fea1e1bffde28eeb4c08c974394

SHA512
7ffe7b0e2f3c73fb0462146c2c6a60f7c610c2fcf3827f653d004fb2fac0f2a9e3e2b827942209607788b9c82d557ee02a063ff5df302d43709258d9c46d9089

Download Submit
C:\Windows\System32\MwDGYaS.exe

Filesize
2.6MB

MD5
b9b994b3592c90084e6060a6aa0adc5d

SHA1
b74c739a7017e82136cb276618a115636f267e4d

SHA256
9c3572399ad5f784bfb9727c1b9bfb9e0d3f547eb1c02809334a7fdc076a2f50

SHA512
a6ecd9d9c13981cac42d088029ca4ce22b410b0f33cbf429f37cd3138fbe846283dfbd792c6fed97604acfe6652794f61cf7c554c458b8188fb6185a9c28934b

Download Submit
C:\Windows\System32\OTTanpQ.exe

Filesize
2.6MB

MD5
68783c7755a789ed425f83ed5b9a9d8c

SHA1
c151f48c0a79b5c36b51f180a080403738ef70e2

SHA256
604902120b9628801b08c343becb96096ea0d93bada64c8416e78b802d010299

SHA512
d933d63dee7f3ea0593968a9f149c9fb98dd8907b1ed83a09f66ccad210c9ec4daccf64d798dbf7e69ad3abb4022483a202607f6021cdd0dff3533485ec95fd0

Download Submit
C:\Windows\System32\WbAyNgw.exe

Filesize
2.6MB

MD5
ebff49df509cd3bc2680d38d40c62f47

SHA1
46b32f507bb391546ab56617eff0110f0c677dbc

SHA256
a5db294b80b5c7bdff86176eb8d80c3e5d620f9a10b60b461878fdc04a9bd0ee

SHA512
a49f482a8a9a56b6dc53cbea27646e6746007706beaa242720ef4cddc80421d77ddde14cd713613d503ad5e81becede401d1c84539f14c33214ef210bf0ee028

Download Submit
C:\Windows\System32\WufPfiy.exe

Filesize
2.6MB

MD5
d7596db4fd338f9941fe8aacdb7d5aaf

SHA1
2754395261870d777e55b3c1320d1aff9ce71a82

SHA256
db73cbb11304dc74d2f73ace017ada7d1da34855a88f4a9ca58553c165929893

SHA512
2cd5c332b409d4507773289ccbb86115b68ac24e345bf6a39d901aa501c195f48430665b13abaf837a32f534afe4772101ed0f2c76eef057b28fb47aa9d06f2d

Download Submit
C:\Windows\System32\WxeQKEu.exe

Filesize
2.6MB

MD5
2b63f1ce07f880a7fbab9c0066913a25

SHA1
aeb44ef408e3354eb548c4936528461bbd441036

SHA256
0d8ed736721c9548d46a0283de969cd4f0ae7608ca414f0466b0c0c5998980ce

SHA512
9e3eed3ba12454f4e6e680719250a58b6623fe20467a73f77470a058991bf3f7c7f0e65b56899b7ed2da4da178a775b836781d3ac88d0d4497d917301bdff3e1

Download Submit
C:\Windows\System32\XBvNVvv.exe

Filesize
2.6MB

MD5
eb2d710b0466892d71fcff84c9934bc0

SHA1
11d583d739d61749f112a89e09ba5ee0bbe9521b

SHA256
6b9ea6deb481fe5380d73452ec4303116bd796c52188496bd03a89ebb47f0a49

SHA512
df50945705b6036eb4672a51f1e8b67db2556937491ceb70688e0cc2a928430e83796d44e2d5ab1b992ca9c704cc4d14c209e9f760491a196b19fcc2aa832c03

Download Submit
C:\Windows\System32\aCfwEqF.exe

Filesize
2.6MB

MD5
804765e39660069820dc17d8440f34fb

SHA1
d762ae5bd5197e7d6df1bebb7fb4b962817665e5

SHA256
abe7f1786130fe86b1a6d73609e3022668cae250b98b82815aacca2623bf43c0

SHA512
a287cbd8aeb7403c41b6b4310f59e15005546b2d8cffcc8b9555609e381678b475d578d7bf8fcbc53ea62a6ee28a0f8b64613da7028e158a20f2f65f5f65693e

Download Submit
C:\Windows\System32\bEqcnKM.exe

Filesize
2.6MB

MD5
c99640f73222b81453eb7b54bebb4d42

SHA1
b0f335531fbc0d1093fb8a887835a9988e8b794d

SHA256
78a542fcc63d0175450d008807ac914467f196456488fef2c78c0a6173966a43

SHA512
be0e343726d7acebe7c2b787e3fb5f158164efe406a434837e31a866a2ba101682310782bccc3726bfcdff652aac419ddfa717ed3889fec9048d6d692edaf097

Download Submit
C:\Windows\System32\clnxzJz.exe

Filesize
2.6MB

MD5
0264e9ab3af903dbca81f9314998bca2

SHA1
7e60badbe661db1638458d430c37d1a0afbc0aa2

SHA256
91e3ba63676e2acfe691a95d68032b1b1d2eab8b4f43fabfa736dd954677547a

SHA512
85eb36068c5deb0eedf6110e3b695a48eaad8179d3ab510a5bfc07f5ffa49c746e7ea7317b65335fce0d3f18733a30c143bd3049b9d77d16cfa48b645922f61a

Download Submit
C:\Windows\System32\eNIYoqx.exe

Filesize
2.6MB

MD5
3d390de173e87a61ccb82ebb1df5a666

SHA1
919e548f62e25cc644f1f7bb5430b64c2c8d26d6

SHA256
f9a613c33355a295cb7a2b79f09dd57bd0e52108c8f868e6883ce6bfb26000ed

SHA512
dae18a8bb600383e6e8317a7b22d8bcb9cd7ff0889276f4cbffc38a36a73b6f0fcfa998093a3ebf2208c9b79fb6a42b6906b5a0371f8c8e14c4e892bdbe40844

Download Submit
C:\Windows\System32\fWnlPLP.exe

Filesize
2.6MB

MD5
d314ee5616184b4ee492a09690c3c440

SHA1
e627dfb74dfc7a252768f68fac37bc70b0f58e48

SHA256
e0b8d1f8013eae0e46178740771f19602ec9dc52857ee13b8facd71e1d196229

SHA512
3923953fd9c44d9e71cad4bbfcc2804ab8c9baea333ab25a6c00f0663a053f61185570663cf67a8c2b7f0962e7db6adc87cd72d94cee09d130728895dcdae5c3

Download Submit
C:\Windows\System32\foPfVgj.exe

Filesize
2.6MB

MD5
e00ee841cc1fa8955b83e096ec7cdb79

SHA1
b134c1c7edc2457b862b49b49b12a8761ba974e7

SHA256
9c474e3e4cbfd3e1d9b7b9f5ef377d7b5aa4cf37e2af845011a4be37f821c3fc

SHA512
b781be214bac418e951bf2e35213b52c98b0c3d4a2a0182e24d2e301549cce29ebda0df1e4bd0a4e8bae43f8a74e60bd693123435cb58d7ce21512bd57f8dc00

Download Submit
C:\Windows\System32\gHZLqEQ.exe

Filesize
2.6MB

MD5
4b6d3cf5b1c7c1b01fd6f0abe202a38e

SHA1
65d1f49708affec498974f0e87837046047d119d

SHA256
103ea751212dc123e4870b4c61b280d371dda6a1108fd6a029856220f67dcd26

SHA512
b9b45def21e1caf3c214377595b0e917c4cf59c3084cffdff46a0f970c5c93480cb00db0cf607d87ccf523a228692ca741c806bf9097c31e0e04ada9d6224c90

Download Submit
C:\Windows\System32\gRcjWed.exe

Filesize
2.6MB

MD5
8c560c8e2cdb72d9c64e41e13b12e1dd

SHA1
5e9cfbf0263cd9c54696744c756302e0993081de

SHA256
fc095a67717b0a24d82395f8aace3d265a383e9e28078fe0b11d266c02f9afc1

SHA512
915e5b8c70fa799d5289a8a29cc61bef54244331a96b8bc29693139a57ad57f50a9a2f026f77ce08520bddaf8e12268e396d81214e17e4181e3c62eccdbf9bf0

Download Submit
C:\Windows\System32\gaektBJ.exe

Filesize
2.6MB

MD5
bc8ca4665d1abd1905b69d4dbb5abd46

SHA1
7bda6851126b6255dda308fe02936c5ab77d41b0

SHA256
6d3dbbc3cfd2573b8682c5b7e541f6f9e7f4b147ad77eda3312069be0cea3b3b

SHA512
8f1ee7a3c479e268517af323301b54550d9c0d35db314abfdd951e596d6f4f45291910a4916b68a60aebed2bd62a3b51597387adab9a51d24055ec20fcac4879

Download Submit
C:\Windows\System32\gqVLWxZ.exe

Filesize
2.6MB

MD5
782f8b4f390ef673d7f2ad2b86dca959

SHA1
6431c707367e4aac522833bd8664a329f5e6554e

SHA256
a0b991172779230754c3a6368b65734295302f9ca5d950b3cb43c429adb56985

SHA512
e8f7b3f19ec182cfdfd450ab8b4218c6dbb2a8a6cc028ff98ed44b5b6c4613009562c347ef9079788384d705eb6402ac021df1b603772e5074215bc7b585fe13

Download Submit
C:\Windows\System32\juIwFhA.exe

Filesize
2.6MB

MD5
118266b3bccc11b7453ec0902d27886e

SHA1
fb9a6696c90f5c9edffaa5bbd0f26252937fe19c

SHA256
e83e454c3cd459ce7c98f902440db70e5d815ffc544be535c24909f54644d3ba

SHA512
a84a403cb881b9e8c09dd32fc3d4fbe39643d8132fbe415f5295ae687ed13b794734d2622b7d5a1a06394d11462f5ad34b613d912091b047292d2e692009ddf6

Download Submit
C:\Windows\System32\kgojiKT.exe

Filesize
2.6MB

MD5
ad8acc8982ed35932f3e8f99df573b23

SHA1
bb4be9b0714809f3f70ed5b2bb658250e294c2e4

SHA256
863f33a6a54151970eb6b381835b3ac713d562950bfff204d67b693e7a1585fa

SHA512
6a899215a24e5333c57d8cf52b21a0e4177dea15c9fce579182386246ae04ad445f9cee898b456ae27ecc74a6d3d2a9ddd6b187b2277813dc3a1b497b47c4570

Download Submit
C:\Windows\System32\nNvGzHn.exe

Filesize
2.6MB

MD5
91ae491c31f787dac54f79c1d63eeff3

SHA1
49b58fee01baa58f23713cd77d7da7d47100f389

SHA256
b564d4ab64b44ad71f091631efd5e66b96158c05b5577a520f8823dd5ff9fbdc

SHA512
ea010ed62d8bf035a6d78fe47c3a74ee08f13e9b10a5b8d760c611aecedf8c5990b192e0f5c44d9681b3337e9baaefb67dfef715999b8b125b6b85146dd371d5

Download Submit
C:\Windows\System32\pxpoWtl.exe

Filesize
2.6MB

MD5
8f9a7d0b30bbdef6ca73e787c9ca06ca

SHA1
036af0b8c2dfdfb680f878c6af3d8efc5b9b018a

SHA256
6c46ded45655e19afd8ff97773bd634608a0ac0c0c90c7178c0e7e7d77cf51d9

SHA512
89046b2c591fcb2b8453a1fa5c2ce72877c182a51f7b3483eae5526c5e9f460bdf3c49898412ba841069bcc2df6ae06edb96c27ad51d7c3928ad11eb143d6448

Download Submit
C:\Windows\System32\ruDrcsw.exe

Filesize
2.6MB

MD5
5b62deaed7a8f723ce4de52715b207a3

SHA1
61a2de8b2dbb4c64af4cfb78bf50d568b002f32b

SHA256
18b26fe9b7e5712a0117ae2a10c301390bd056276a48f72a3af903f9423f35b1

SHA512
4cc95d9d786c5699dd27ca502530b52000db640cc3cf3aea7901086b6dd1ce99df99b3bc11851a35a447c7186af0ccb9311f55f3b3028d689a48b6fc835511c2

Download Submit
C:\Windows\System32\scsQYbR.exe

Filesize
2.6MB

MD5
ca1ba3fd129c47b1195def8387c9781e

SHA1
b51b1550d14a849ab61873940543a70ab507b037

SHA256
8009d21fb4b1798302899bbd96ed803d4bcbce106ff20d8b28381f1f17f1f986

SHA512
820ade478f757da29f0dd4f919ff65e85e302de3e3e4c8480ad4a93e0e363e569f9a57734c46836d3c90a6fcfd72a8c8f128af09bda4057772fbc8997ca49535

Download Submit
C:\Windows\System32\vhyFbaf.exe

Filesize
2.6MB

MD5
5a729b7a87132d3c43b7cb3db3318b7f

SHA1
84cb31483af002e383a54b45b39139ee6c3de18f

SHA256
7bbd1f4b964b264f48282230ffda4e3ebf335e660bc3dca7d1e912e3f4300604

SHA512
f5e36887d88c591d31a1f7e4d375e0d30cb3cf820d72a3ec3494b112a2b12bc597fc56b17dddf1d6b93c814cadc9ba7ad73c9c2981ecc6053a1ef9bcde0b1653

Download Submit
C:\Windows\System32\wXdKlTV.exe

Filesize
2.6MB

MD5
ac1e49d63f7654c1eac9b880f6dbfee4

SHA1
c57ffa386c821a4c28b36231a02b352865bc26f7

SHA256
29db3b71869bf5c2e69ccdf7c35fa7bccd540c084d5770ef14d9e677a0b5baf0

SHA512
fc48184f092a6b72d122ecd1fe0aeceabf86e8b290febd5706bdc3c76ac4fbf23948d0a6dcfa8fe7c27980bf6e357077d3673785c909468ab3a9a31bdd8f51be

Download Submit
C:\Windows\System32\wxCDvKh.exe

Filesize
2.6MB

MD5
f79ebd0dfe3588f7628ec68841e1b9f6

SHA1
185d8a1c09f67b8fa596ad303d327d7bdc0d826b

SHA256
fffb97fc971cc4bc6b4afc9c945b29a921c7782919aafdaacff510f6b8cd270c

SHA512
dd3848362fa0f1f3f34f74593a0f859bfc1828e02d08cfdb5344062da529a01acdcc7128c8ac4e3a50c993a8546d0d283a24ff72c549a79b2365be3a6e88cf8d

Download Submit
memory/576-1900-0x00007FF664F70000-0x00007FF665365000-memory.dmp

Filesize
4.0MB

Download
memory/576-870-0x00007FF664F70000-0x00007FF665365000-memory.dmp

Filesize
4.0MB

Download
memory/1076-825-0x00007FF775260000-0x00007FF775655000-memory.dmp

Filesize
4.0MB

Download
memory/1076-1909-0x00007FF775260000-0x00007FF775655000-memory.dmp

Filesize
4.0MB

Download
memory/1080-824-0x00007FF6A2560000-0x00007FF6A2955000-memory.dmp

Filesize
4.0MB

Download
memory/1080-1910-0x00007FF6A2560000-0x00007FF6A2955000-memory.dmp

Filesize
4.0MB

Download
memory/1148-1898-0x00007FF727470000-0x00007FF727865000-memory.dmp

Filesize
4.0MB

Download
memory/1148-879-0x00007FF727470000-0x00007FF727865000-memory.dmp

Filesize
4.0MB

Download
memory/1384-1904-0x00007FF6FC2C0000-0x00007FF6FC6B5000-memory.dmp

Filesize
4.0MB

Download
memory/1384-858-0x00007FF6FC2C0000-0x00007FF6FC6B5000-memory.dmp

Filesize
4.0MB

Download
memory/1520-808-0x00007FF735EF0000-0x00007FF7362E5000-memory.dmp

Filesize
4.0MB

Download
memory/1520-1896-0x00007FF735EF0000-0x00007FF7362E5000-memory.dmp

Filesize
4.0MB

Download
memory/1804-1901-0x00007FF79A940000-0x00007FF79AD35000-memory.dmp

Filesize
4.0MB

Download
memory/1804-871-0x00007FF79A940000-0x00007FF79AD35000-memory.dmp

Filesize
4.0MB

Download
memory/2040-1899-0x00007FF6EB0C0000-0x00007FF6EB4B5000-memory.dmp

Filesize
4.0MB

Download
memory/2040-873-0x00007FF6EB0C0000-0x00007FF6EB4B5000-memory.dmp

Filesize
4.0MB

Download
memory/2104-1914-0x00007FF6525F0000-0x00007FF6529E5000-memory.dmp

Filesize
4.0MB

Download
memory/2104-881-0x00007FF6525F0000-0x00007FF6529E5000-memory.dmp

Filesize
4.0MB

Download
memory/2612-1911-0x00007FF76A940000-0x00007FF76AD35000-memory.dmp

Filesize
4.0MB

Download
memory/2612-823-0x00007FF76A940000-0x00007FF76AD35000-memory.dmp

Filesize
4.0MB

Download
memory/2780-13-0x00007FF692860000-0x00007FF692C55000-memory.dmp

Filesize
4.0MB

Download
memory/2780-1892-0x00007FF692860000-0x00007FF692C55000-memory.dmp

Filesize
4.0MB

Download
memory/2836-0-0x00007FF746500000-0x00007FF7468F5000-memory.dmp

Filesize
4.0MB

Download
memory/2836-1-0x0000018E27360000-0x0000018E27370000-memory.dmp

Filesize
64KB

Download
memory/2996-843-0x00007FF6E58D0000-0x00007FF6E5CC5000-memory.dmp

Filesize
4.0MB

Download
memory/2996-1905-0x00007FF6E58D0000-0x00007FF6E5CC5000-memory.dmp

Filesize
4.0MB

Download
memory/3480-816-0x00007FF721DC0000-0x00007FF7221B5000-memory.dmp

Filesize
4.0MB

Download
memory/3480-1897-0x00007FF721DC0000-0x00007FF7221B5000-memory.dmp

Filesize
4.0MB

Download
memory/3656-833-0x00007FF6BF5F0000-0x00007FF6BF9E5000-memory.dmp

Filesize
4.0MB

Download
memory/3656-1908-0x00007FF6BF5F0000-0x00007FF6BF9E5000-memory.dmp

Filesize
4.0MB

Download
memory/3760-1915-0x00007FF6CEB10000-0x00007FF6CEF05000-memory.dmp

Filesize
4.0MB

Download
memory/3760-878-0x00007FF6CEB10000-0x00007FF6CEF05000-memory.dmp

Filesize
4.0MB

Download
memory/3772-781-0x00007FF7D1E20000-0x00007FF7D2215000-memory.dmp

Filesize
4.0MB

Download
memory/3772-1893-0x00007FF7D1E20000-0x00007FF7D2215000-memory.dmp

Filesize
4.0MB

Download
memory/3784-1913-0x00007FF73B050000-0x00007FF73B445000-memory.dmp

Filesize
4.0MB

Download
memory/3784-817-0x00007FF73B050000-0x00007FF73B445000-memory.dmp

Filesize
4.0MB

Download
memory/3872-1906-0x00007FF758FD0000-0x00007FF7593C5000-memory.dmp

Filesize
4.0MB

Download
memory/3872-851-0x00007FF758FD0000-0x00007FF7593C5000-memory.dmp

Filesize
4.0MB

Download
memory/4112-1907-0x00007FF69FE70000-0x00007FF6A0265000-memory.dmp

Filesize
4.0MB

Download
memory/4112-837-0x00007FF69FE70000-0x00007FF6A0265000-memory.dmp

Filesize
4.0MB

Download
memory/4472-863-0x00007FF61B440000-0x00007FF61B835000-memory.dmp

Filesize
4.0MB

Download
memory/4472-1903-0x00007FF61B440000-0x00007FF61B835000-memory.dmp

Filesize
4.0MB

Download
memory/4868-1912-0x00007FF61CC60000-0x00007FF61D055000-memory.dmp

Filesize
4.0MB

Download
memory/4868-821-0x00007FF61CC60000-0x00007FF61D055000-memory.dmp

Filesize
4.0MB

Download
memory/4912-802-0x00007FF6FD5C0000-0x00007FF6FD9B5000-memory.dmp

Filesize
4.0MB

Download
memory/4912-1894-0x00007FF6FD5C0000-0x00007FF6FD9B5000-memory.dmp

Filesize
4.0MB

Download
memory/4928-883-0x00007FF64D650000-0x00007FF64DA45000-memory.dmp

Filesize
4.0MB

Download
memory/4928-1902-0x00007FF64D650000-0x00007FF64DA45000-memory.dmp

Filesize
4.0MB

Download
memory/5016-1895-0x00007FF72D250000-0x00007FF72D645000-memory.dmp

Filesize
4.0MB

Download
memory/5016-886-0x00007FF72D250000-0x00007FF72D645000-memory.dmp

Filesize
4.0MB

Download