xmrig | 1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd

Analysis

max time kernel
130s
max time network
134s
platform
windows10-2004_x64
resource
win10v2004-20240426-en
resource tags

arch:x64arch:x86image:win10v2004-20240426-enlocale:en-usos:windows10-2004-x64system
submitted
21/05/2024, 07:44

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
Size

2.0MB
MD5

3407be6003c8ef1e0aee059d131c9a80
SHA1

7b24ddf13d35cd0de6359198e7b7560ee88f3194
SHA256

1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd
SHA512

22cfc63a7257d2ce4aabdbd3d2611907d1947acb6d0292422f96caf94953a5540b868753c2249c6a4120954325b0af5972941b84b7da4235c39c29ab2478b741
SSDEEP

49152:knw9oUUEEDl37jcmWH/xbnbJo+kUQw2c5j7:kQUEES

Score

10^/10

xmrig miner upx

Malware Config

Signatures

xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 49 IoCs

miner

resource	yara_rule
behavioral2/memory/1536-18-0x00007FF702E80000-0x00007FF703271000-memory.dmp	xmrig
behavioral2/memory/844-53-0x00007FF648230000-0x00007FF648621000-memory.dmp	xmrig
behavioral2/memory/928-84-0x00007FF61AE60000-0x00007FF61B251000-memory.dmp	xmrig
behavioral2/memory/4804-95-0x00007FF6AE8C0000-0x00007FF6AECB1000-memory.dmp	xmrig
behavioral2/memory/1488-331-0x00007FF71A400000-0x00007FF71A7F1000-memory.dmp	xmrig
behavioral2/memory/1728-340-0x00007FF709920000-0x00007FF709D11000-memory.dmp	xmrig
behavioral2/memory/2096-341-0x00007FF72C900000-0x00007FF72CCF1000-memory.dmp	xmrig
behavioral2/memory/1588-335-0x00007FF613730000-0x00007FF613B21000-memory.dmp	xmrig
behavioral2/memory/4440-314-0x00007FF69F820000-0x00007FF69FC11000-memory.dmp	xmrig
behavioral2/memory/1536-1992-0x00007FF702E80000-0x00007FF703271000-memory.dmp	xmrig
behavioral2/memory/3456-1993-0x00007FF69DBB0000-0x00007FF69DFA1000-memory.dmp	xmrig
behavioral2/memory/1116-310-0x00007FF63FCE0000-0x00007FF6400D1000-memory.dmp	xmrig
behavioral2/memory/1972-101-0x00007FF78FEA0000-0x00007FF790291000-memory.dmp	xmrig
behavioral2/memory/3144-100-0x00007FF70E5E0000-0x00007FF70E9D1000-memory.dmp	xmrig
behavioral2/memory/5044-98-0x00007FF723AD0000-0x00007FF723EC1000-memory.dmp	xmrig
behavioral2/memory/5020-97-0x00007FF682740000-0x00007FF682B31000-memory.dmp	xmrig
behavioral2/memory/3364-94-0x00007FF79A9E0000-0x00007FF79ADD1000-memory.dmp	xmrig
behavioral2/memory/1776-92-0x00007FF7B8B70000-0x00007FF7B8F61000-memory.dmp	xmrig
behavioral2/memory/2952-88-0x00007FF73B830000-0x00007FF73BC21000-memory.dmp	xmrig
behavioral2/memory/3036-85-0x00007FF764D30000-0x00007FF765121000-memory.dmp	xmrig
behavioral2/memory/5048-81-0x00007FF7BE5E0000-0x00007FF7BE9D1000-memory.dmp	xmrig
behavioral2/memory/1364-2013-0x00007FF768DF0000-0x00007FF7691E1000-memory.dmp	xmrig
behavioral2/memory/964-2014-0x00007FF6F89A0000-0x00007FF6F8D91000-memory.dmp	xmrig
behavioral2/memory/2532-2028-0x00007FF67A5A0000-0x00007FF67A991000-memory.dmp	xmrig
behavioral2/memory/4792-2030-0x00007FF614270000-0x00007FF614661000-memory.dmp	xmrig
behavioral2/memory/4420-2035-0x00007FF60CDE0000-0x00007FF60D1D1000-memory.dmp	xmrig
behavioral2/memory/1536-2037-0x00007FF702E80000-0x00007FF703271000-memory.dmp	xmrig
behavioral2/memory/3456-2039-0x00007FF69DBB0000-0x00007FF69DFA1000-memory.dmp	xmrig
behavioral2/memory/5044-2043-0x00007FF723AD0000-0x00007FF723EC1000-memory.dmp	xmrig
behavioral2/memory/844-2041-0x00007FF648230000-0x00007FF648621000-memory.dmp	xmrig
behavioral2/memory/5048-2061-0x00007FF7BE5E0000-0x00007FF7BE9D1000-memory.dmp	xmrig
behavioral2/memory/3144-2071-0x00007FF70E5E0000-0x00007FF70E9D1000-memory.dmp	xmrig
behavioral2/memory/3364-2069-0x00007FF79A9E0000-0x00007FF79ADD1000-memory.dmp	xmrig
behavioral2/memory/2952-2079-0x00007FF73B830000-0x00007FF73BC21000-memory.dmp	xmrig
behavioral2/memory/1972-2077-0x00007FF78FEA0000-0x00007FF790291000-memory.dmp	xmrig
behavioral2/memory/1776-2075-0x00007FF7B8B70000-0x00007FF7B8F61000-memory.dmp	xmrig
behavioral2/memory/3036-2073-0x00007FF764D30000-0x00007FF765121000-memory.dmp	xmrig
behavioral2/memory/928-2067-0x00007FF61AE60000-0x00007FF61B251000-memory.dmp	xmrig
behavioral2/memory/4804-2081-0x00007FF6AE8C0000-0x00007FF6AECB1000-memory.dmp	xmrig
behavioral2/memory/5020-2083-0x00007FF682740000-0x00007FF682B31000-memory.dmp	xmrig
behavioral2/memory/2532-2087-0x00007FF67A5A0000-0x00007FF67A991000-memory.dmp	xmrig
behavioral2/memory/1116-2089-0x00007FF63FCE0000-0x00007FF6400D1000-memory.dmp	xmrig
behavioral2/memory/964-2085-0x00007FF6F89A0000-0x00007FF6F8D91000-memory.dmp	xmrig
behavioral2/memory/4440-2091-0x00007FF69F820000-0x00007FF69FC11000-memory.dmp	xmrig
behavioral2/memory/1488-2093-0x00007FF71A400000-0x00007FF71A7F1000-memory.dmp	xmrig
behavioral2/memory/1588-2095-0x00007FF613730000-0x00007FF613B21000-memory.dmp	xmrig
behavioral2/memory/1728-2097-0x00007FF709920000-0x00007FF709D11000-memory.dmp	xmrig
behavioral2/memory/2096-2100-0x00007FF72C900000-0x00007FF72CCF1000-memory.dmp	xmrig
behavioral2/memory/1364-2178-0x00007FF768DF0000-0x00007FF7691E1000-memory.dmp	xmrig

Executes dropped EXE 64 IoCs

pid	Process
4420	GSVAbvz.exe
1536	qNqyYTf.exe
3456	CIIYugw.exe
5044	ttVElhQ.exe
844	BgpIMmt.exe
5048	yUWGNhi.exe
928	QKHjSAQ.exe
3144	JhUSJYX.exe
3036	uSvvhMp.exe
2952	gblSlCv.exe
1972	aANiyUU.exe
1776	xSkOpIE.exe
3364	gAKnlJP.exe
4804	IpkCLCa.exe
5020	GTmocoy.exe
1364	MHJxFTC.exe
964	XvFUdEM.exe
2532	nnfSTEx.exe
1116	DkYwtrs.exe
4440	NHPavNg.exe
1488	AjpDntj.exe
1588	rzellDw.exe
1728	NYPXYdG.exe
2096	EedFSOE.exe
2292	uhgCNjk.exe
4956	ZGoXBLZ.exe
3476	oWldxQM.exe
4348	MtEGOrs.exe
1920	WaAqmdY.exe
2920	XbOrGMS.exe
1368	mZuOBFg.exe
2764	QnuPqOX.exe
556	RJIwOrc.exe
1888	EXDRutU.exe
3948	gJmNEvf.exe
2548	OKJGPnG.exe
3372	PaFsBnH.exe
2056	StqPpgE.exe
4600	iYpUNmX.exe
1232	sMBAzgh.exe
2756	ApISikV.exe
2836	KHZBFdF.exe
3968	HYvmyAL.exe
4272	ZAbhBKi.exe
4220	JMrogZh.exe
2916	MFMiREo.exe
796	iTsTcLi.exe
4656	zDrrZdF.exe
3016	FweZWTL.exe
4588	xrRTxcC.exe
3408	BsMgcJj.exe
5036	qxjARnY.exe
1208	TaTERiZ.exe
3796	PSOLJtO.exe
2600	BSPVFeg.exe
4712	vfbJYbV.exe
4640	vpYBvfq.exe
3788	ycOuoOD.exe
624	wHRJkZq.exe
3080	OFiILmE.exe
3512	PQugwbR.exe
264	JCrERIL.exe
1976	VEqEYet.exe
2904	jMnaHlj.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/4792-0-0x00007FF614270000-0x00007FF614661000-memory.dmp	upx
behavioral2/files/0x000a0000000232ae-6.dat	upx
behavioral2/memory/4420-14-0x00007FF60CDE0000-0x00007FF60D1D1000-memory.dmp	upx
behavioral2/memory/1536-18-0x00007FF702E80000-0x00007FF703271000-memory.dmp	upx
behavioral2/files/0x0007000000023430-20.dat	upx
behavioral2/files/0x0007000000023431-26.dat	upx
behavioral2/files/0x0007000000023432-28.dat	upx
behavioral2/files/0x0007000000023433-31.dat	upx
behavioral2/files/0x0007000000023435-44.dat	upx
behavioral2/memory/844-53-0x00007FF648230000-0x00007FF648621000-memory.dmp	upx
behavioral2/files/0x0007000000023438-63.dat	upx
behavioral2/files/0x0007000000023439-61.dat	upx
behavioral2/files/0x000700000002343a-67.dat	upx
behavioral2/files/0x000700000002343c-79.dat	upx
behavioral2/memory/928-84-0x00007FF61AE60000-0x00007FF61B251000-memory.dmp	upx
behavioral2/files/0x000700000002343e-91.dat	upx
behavioral2/memory/4804-95-0x00007FF6AE8C0000-0x00007FF6AECB1000-memory.dmp	upx
behavioral2/files/0x000700000002343f-99.dat	upx
behavioral2/memory/964-103-0x00007FF6F89A0000-0x00007FF6F8D91000-memory.dmp	upx
behavioral2/files/0x000800000002342c-110.dat	upx
behavioral2/files/0x0007000000023445-140.dat	upx
behavioral2/files/0x0007000000023449-166.dat	upx
behavioral2/memory/1488-331-0x00007FF71A400000-0x00007FF71A7F1000-memory.dmp	upx
behavioral2/memory/1728-340-0x00007FF709920000-0x00007FF709D11000-memory.dmp	upx
behavioral2/memory/2096-341-0x00007FF72C900000-0x00007FF72CCF1000-memory.dmp	upx
behavioral2/memory/1588-335-0x00007FF613730000-0x00007FF613B21000-memory.dmp	upx
behavioral2/memory/4440-314-0x00007FF69F820000-0x00007FF69FC11000-memory.dmp	upx
behavioral2/memory/1536-1992-0x00007FF702E80000-0x00007FF703271000-memory.dmp	upx
behavioral2/memory/3456-1993-0x00007FF69DBB0000-0x00007FF69DFA1000-memory.dmp	upx
behavioral2/memory/1116-310-0x00007FF63FCE0000-0x00007FF6400D1000-memory.dmp	upx
behavioral2/files/0x000700000002344c-178.dat	upx
behavioral2/files/0x000700000002344a-171.dat	upx
behavioral2/files/0x000700000002344b-169.dat	upx
behavioral2/files/0x0007000000023448-161.dat	upx
behavioral2/files/0x0007000000023447-156.dat	upx
behavioral2/files/0x0007000000023446-151.dat	upx
behavioral2/files/0x0007000000023444-138.dat	upx
behavioral2/files/0x0007000000023443-136.dat	upx
behavioral2/files/0x0007000000023442-131.dat	upx
behavioral2/files/0x0007000000023441-126.dat	upx
behavioral2/files/0x0007000000023440-118.dat	upx
behavioral2/memory/2532-104-0x00007FF67A5A0000-0x00007FF67A991000-memory.dmp	upx
behavioral2/memory/1364-102-0x00007FF768DF0000-0x00007FF7691E1000-memory.dmp	upx
behavioral2/memory/1972-101-0x00007FF78FEA0000-0x00007FF790291000-memory.dmp	upx
behavioral2/memory/3144-100-0x00007FF70E5E0000-0x00007FF70E9D1000-memory.dmp	upx
behavioral2/memory/5044-98-0x00007FF723AD0000-0x00007FF723EC1000-memory.dmp	upx
behavioral2/memory/5020-97-0x00007FF682740000-0x00007FF682B31000-memory.dmp	upx
behavioral2/memory/3364-94-0x00007FF79A9E0000-0x00007FF79ADD1000-memory.dmp	upx
behavioral2/files/0x000700000002343d-93.dat	upx
behavioral2/memory/1776-92-0x00007FF7B8B70000-0x00007FF7B8F61000-memory.dmp	upx
behavioral2/memory/2952-88-0x00007FF73B830000-0x00007FF73BC21000-memory.dmp	upx
behavioral2/memory/3036-85-0x00007FF764D30000-0x00007FF765121000-memory.dmp	upx
behavioral2/memory/5048-81-0x00007FF7BE5E0000-0x00007FF7BE9D1000-memory.dmp	upx
behavioral2/files/0x000700000002343b-75.dat	upx
behavioral2/files/0x0007000000023437-58.dat	upx
behavioral2/files/0x0007000000023436-52.dat	upx
behavioral2/files/0x0007000000023435-50.dat	upx
behavioral2/files/0x0007000000023434-39.dat	upx
behavioral2/memory/3456-34-0x00007FF69DBB0000-0x00007FF69DFA1000-memory.dmp	upx
behavioral2/files/0x000700000002342f-11.dat	upx
behavioral2/memory/1364-2013-0x00007FF768DF0000-0x00007FF7691E1000-memory.dmp	upx
behavioral2/memory/964-2014-0x00007FF6F89A0000-0x00007FF6F8D91000-memory.dmp	upx
behavioral2/memory/2532-2028-0x00007FF67A5A0000-0x00007FF67A991000-memory.dmp	upx
behavioral2/memory/4792-2030-0x00007FF614270000-0x00007FF614661000-memory.dmp	upx

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\System32\INJQqYl.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\uSniLoq.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\kcsjMnC.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\QgFWang.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\BGbDrLo.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\VUlmorR.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\xrRmWHo.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\Eutarih.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\mvYPzII.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\zDrrZdF.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\rICcdAr.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\GyUmknw.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\rpvFGEQ.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\RJIwOrc.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\mEcScdo.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\fXJjyka.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\QjiTaZh.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\igOruho.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\LaAvCsc.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\uVmxdHL.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\IzPJQhG.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\jsnVlSA.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\FpsyCUY.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\tgQRAQR.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\gAKnlJP.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\cbgWJGL.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\STYwFvb.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\VsNFeYF.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\JeMyxYC.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\bqVgBnu.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\rbmZGnn.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\gJmNEvf.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\foJnedB.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\jlBPHRL.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\CBSaqgc.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\nAkqPzj.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\xUVuITR.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\nKpRiAI.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\YGZNanx.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\CkbarVV.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\yUAZUaH.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\lMnBYCA.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\pWyEaNS.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\EntyApI.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\lmHSqsE.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\NHwgltH.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\DJyNUvE.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\BkMHQTg.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\BukgugB.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\uwWUtHg.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\yNAHLDM.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\XNvYKbA.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\YlqRubi.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\KcZPTgt.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\vwGQMLB.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\VtHoKxi.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\LbIxxHa.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\VNxuuVE.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\EgdoQgz.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\ZmWYKVZ.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\wxnWVIs.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\FMLloQw.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\yGUhFIv.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
File created	C:\Windows\System32\MARrzPG.exe	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe

Checks SCSI registry key(s) 3 TTPs 6 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_QEMU&PROD_QEMU_DVD-ROM\4&215468A5&0&010000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_DADY&PROD_HARDDISK\4&215468A5&0&000000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\ConfigFlags	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\HardwareID	dwm.exe

Enumerates system info in registry 2 TTPs 2 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe

Modifies data under HKEY_USERS 18 IoCs

description	ioc	Process
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2a\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe

Suspicious use of AdjustPrivilegeToken 6 IoCs

description	pid	Process
Token: SeCreateGlobalPrivilege	1032	dwm.exe
Token: SeChangeNotifyPrivilege	1032	dwm.exe
Token: 33	1032	dwm.exe
Token: SeIncBasePriorityPrivilege	1032	dwm.exe
Token: SeShutdownPrivilege	1032	dwm.exe
Token: SeCreatePagefilePrivilege	1032	dwm.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 4792 wrote to memory of 4420	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	85
PID 4792 wrote to memory of 4420	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	85
PID 4792 wrote to memory of 1536	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	86
PID 4792 wrote to memory of 1536	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	86
PID 4792 wrote to memory of 3456	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	87
PID 4792 wrote to memory of 3456	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	87
PID 4792 wrote to memory of 5044	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	88
PID 4792 wrote to memory of 5044	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	88
PID 4792 wrote to memory of 844	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	89
PID 4792 wrote to memory of 844	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	89
PID 4792 wrote to memory of 5048	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	90
PID 4792 wrote to memory of 5048	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	90
PID 4792 wrote to memory of 928	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	91
PID 4792 wrote to memory of 928	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	91
PID 4792 wrote to memory of 3144	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	92
PID 4792 wrote to memory of 3144	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	92
PID 4792 wrote to memory of 3036	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	93
PID 4792 wrote to memory of 3036	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	93
PID 4792 wrote to memory of 2952	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	94
PID 4792 wrote to memory of 2952	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	94
PID 4792 wrote to memory of 1972	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	95
PID 4792 wrote to memory of 1972	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	95
PID 4792 wrote to memory of 1776	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	96
PID 4792 wrote to memory of 1776	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	96
PID 4792 wrote to memory of 3364	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	97
PID 4792 wrote to memory of 3364	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	97
PID 4792 wrote to memory of 4804	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	98
PID 4792 wrote to memory of 4804	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	98
PID 4792 wrote to memory of 5020	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	99
PID 4792 wrote to memory of 5020	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	99
PID 4792 wrote to memory of 1364	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	100
PID 4792 wrote to memory of 1364	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	100
PID 4792 wrote to memory of 964	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	101
PID 4792 wrote to memory of 964	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	101
PID 4792 wrote to memory of 2532	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	102
PID 4792 wrote to memory of 2532	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	102
PID 4792 wrote to memory of 1116	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	103
PID 4792 wrote to memory of 1116	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	103
PID 4792 wrote to memory of 4440	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	104
PID 4792 wrote to memory of 4440	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	104
PID 4792 wrote to memory of 1488	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	105
PID 4792 wrote to memory of 1488	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	105
PID 4792 wrote to memory of 1588	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	106
PID 4792 wrote to memory of 1588	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	106
PID 4792 wrote to memory of 1728	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	107
PID 4792 wrote to memory of 1728	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	107
PID 4792 wrote to memory of 2096	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	108
PID 4792 wrote to memory of 2096	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	108
PID 4792 wrote to memory of 2292	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	109
PID 4792 wrote to memory of 2292	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	109
PID 4792 wrote to memory of 4956	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	110
PID 4792 wrote to memory of 4956	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	110
PID 4792 wrote to memory of 3476	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	111
PID 4792 wrote to memory of 3476	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	111
PID 4792 wrote to memory of 4348	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	112
PID 4792 wrote to memory of 4348	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	112
PID 4792 wrote to memory of 1920	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	113
PID 4792 wrote to memory of 1920	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	113
PID 4792 wrote to memory of 2920	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	114
PID 4792 wrote to memory of 2920	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	114
PID 4792 wrote to memory of 1368	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	115
PID 4792 wrote to memory of 1368	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	115
PID 4792 wrote to memory of 2764	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	116
PID 4792 wrote to memory of 2764	4792	1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe	116

C:\Users\Admin\AppData\Local\Temp\1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe
"C:\Users\Admin\AppData\Local\Temp\1cdb9395b99816c00106de743ca888262213ea33ef413aa1445bc7747bba3bdd_NeikiAnalytics.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:4792
- C:\Windows\System32\GSVAbvz.exe
  C:\Windows\System32\GSVAbvz.exe
  2⤵
  - Executes dropped EXE
  PID:4420
- C:\Windows\System32\qNqyYTf.exe
  C:\Windows\System32\qNqyYTf.exe
  2⤵
  - Executes dropped EXE
  PID:1536
- C:\Windows\System32\CIIYugw.exe
  C:\Windows\System32\CIIYugw.exe
  2⤵
  - Executes dropped EXE
  PID:3456
- C:\Windows\System32\ttVElhQ.exe
  C:\Windows\System32\ttVElhQ.exe
  2⤵
  - Executes dropped EXE
  PID:5044
- C:\Windows\System32\BgpIMmt.exe
  C:\Windows\System32\BgpIMmt.exe
  2⤵
  - Executes dropped EXE
  PID:844
- C:\Windows\System32\yUWGNhi.exe
  C:\Windows\System32\yUWGNhi.exe
  2⤵
  - Executes dropped EXE
  PID:5048
- C:\Windows\System32\QKHjSAQ.exe
  C:\Windows\System32\QKHjSAQ.exe
  2⤵
  - Executes dropped EXE
  PID:928
- C:\Windows\System32\JhUSJYX.exe
  C:\Windows\System32\JhUSJYX.exe
  2⤵
  - Executes dropped EXE
  PID:3144
- C:\Windows\System32\uSvvhMp.exe
  C:\Windows\System32\uSvvhMp.exe
  2⤵
  - Executes dropped EXE
  PID:3036
- C:\Windows\System32\gblSlCv.exe
  C:\Windows\System32\gblSlCv.exe
  2⤵
  - Executes dropped EXE
  PID:2952
- C:\Windows\System32\aANiyUU.exe
  C:\Windows\System32\aANiyUU.exe
  2⤵
  - Executes dropped EXE
  PID:1972
- C:\Windows\System32\xSkOpIE.exe
  C:\Windows\System32\xSkOpIE.exe
  2⤵
  - Executes dropped EXE
  PID:1776
- C:\Windows\System32\gAKnlJP.exe
  C:\Windows\System32\gAKnlJP.exe
  2⤵
  - Executes dropped EXE
  PID:3364
- C:\Windows\System32\IpkCLCa.exe
  C:\Windows\System32\IpkCLCa.exe
  2⤵
  - Executes dropped EXE
  PID:4804
- C:\Windows\System32\GTmocoy.exe
  C:\Windows\System32\GTmocoy.exe
  2⤵
  - Executes dropped EXE
  PID:5020
- C:\Windows\System32\MHJxFTC.exe
  C:\Windows\System32\MHJxFTC.exe
  2⤵
  - Executes dropped EXE
  PID:1364
- C:\Windows\System32\XvFUdEM.exe
  C:\Windows\System32\XvFUdEM.exe
  2⤵
  - Executes dropped EXE
  PID:964
- C:\Windows\System32\nnfSTEx.exe
  C:\Windows\System32\nnfSTEx.exe
  2⤵
  - Executes dropped EXE
  PID:2532
- C:\Windows\System32\DkYwtrs.exe
  C:\Windows\System32\DkYwtrs.exe
  2⤵
  - Executes dropped EXE
  PID:1116
- C:\Windows\System32\NHPavNg.exe
  C:\Windows\System32\NHPavNg.exe
  2⤵
  - Executes dropped EXE
  PID:4440
- C:\Windows\System32\AjpDntj.exe
  C:\Windows\System32\AjpDntj.exe
  2⤵
  - Executes dropped EXE
  PID:1488
- C:\Windows\System32\rzellDw.exe
  C:\Windows\System32\rzellDw.exe
  2⤵
  - Executes dropped EXE
  PID:1588
- C:\Windows\System32\NYPXYdG.exe
  C:\Windows\System32\NYPXYdG.exe
  2⤵
  - Executes dropped EXE
  PID:1728
- C:\Windows\System32\EedFSOE.exe
  C:\Windows\System32\EedFSOE.exe
  2⤵
  - Executes dropped EXE
  PID:2096
- C:\Windows\System32\uhgCNjk.exe
  C:\Windows\System32\uhgCNjk.exe
  2⤵
  - Executes dropped EXE
  PID:2292
- C:\Windows\System32\ZGoXBLZ.exe
  C:\Windows\System32\ZGoXBLZ.exe
  2⤵
  - Executes dropped EXE
  PID:4956
- C:\Windows\System32\oWldxQM.exe
  C:\Windows\System32\oWldxQM.exe
  2⤵
  - Executes dropped EXE
  PID:3476
- C:\Windows\System32\MtEGOrs.exe
  C:\Windows\System32\MtEGOrs.exe
  2⤵
  - Executes dropped EXE
  PID:4348
- C:\Windows\System32\WaAqmdY.exe
  C:\Windows\System32\WaAqmdY.exe
  2⤵
  - Executes dropped EXE
  PID:1920
- C:\Windows\System32\XbOrGMS.exe
  C:\Windows\System32\XbOrGMS.exe
  2⤵
  - Executes dropped EXE
  PID:2920
- C:\Windows\System32\mZuOBFg.exe
  C:\Windows\System32\mZuOBFg.exe
  2⤵
  - Executes dropped EXE
  PID:1368
- C:\Windows\System32\QnuPqOX.exe
  C:\Windows\System32\QnuPqOX.exe
  2⤵
  - Executes dropped EXE
  PID:2764
- C:\Windows\System32\RJIwOrc.exe
  C:\Windows\System32\RJIwOrc.exe
  2⤵
  - Executes dropped EXE
  PID:556
- C:\Windows\System32\EXDRutU.exe
  C:\Windows\System32\EXDRutU.exe
  2⤵
  - Executes dropped EXE
  PID:1888
- C:\Windows\System32\gJmNEvf.exe
  C:\Windows\System32\gJmNEvf.exe
  2⤵
  - Executes dropped EXE
  PID:3948
- C:\Windows\System32\OKJGPnG.exe
  C:\Windows\System32\OKJGPnG.exe
  2⤵
  - Executes dropped EXE
  PID:2548
- C:\Windows\System32\PaFsBnH.exe
  C:\Windows\System32\PaFsBnH.exe
  2⤵
  - Executes dropped EXE
  PID:3372
- C:\Windows\System32\StqPpgE.exe
  C:\Windows\System32\StqPpgE.exe
  2⤵
  - Executes dropped EXE
  PID:2056
- C:\Windows\System32\iYpUNmX.exe
  C:\Windows\System32\iYpUNmX.exe
  2⤵
  - Executes dropped EXE
  PID:4600
- C:\Windows\System32\sMBAzgh.exe
  C:\Windows\System32\sMBAzgh.exe
  2⤵
  - Executes dropped EXE
  PID:1232
- C:\Windows\System32\ApISikV.exe
  C:\Windows\System32\ApISikV.exe
  2⤵
  - Executes dropped EXE
  PID:2756
- C:\Windows\System32\KHZBFdF.exe
  C:\Windows\System32\KHZBFdF.exe
  2⤵
  - Executes dropped EXE
  PID:2836
- C:\Windows\System32\HYvmyAL.exe
  C:\Windows\System32\HYvmyAL.exe
  2⤵
  - Executes dropped EXE
  PID:3968
- C:\Windows\System32\ZAbhBKi.exe
  C:\Windows\System32\ZAbhBKi.exe
  2⤵
  - Executes dropped EXE
  PID:4272
- C:\Windows\System32\JMrogZh.exe
  C:\Windows\System32\JMrogZh.exe
  2⤵
  - Executes dropped EXE
  PID:4220
- C:\Windows\System32\MFMiREo.exe
  C:\Windows\System32\MFMiREo.exe
  2⤵
  - Executes dropped EXE
  PID:2916
- C:\Windows\System32\iTsTcLi.exe
  C:\Windows\System32\iTsTcLi.exe
  2⤵
  - Executes dropped EXE
  PID:796
- C:\Windows\System32\zDrrZdF.exe
  C:\Windows\System32\zDrrZdF.exe
  2⤵
  - Executes dropped EXE
  PID:4656
- C:\Windows\System32\FweZWTL.exe
  C:\Windows\System32\FweZWTL.exe
  2⤵
  - Executes dropped EXE
  PID:3016
- C:\Windows\System32\xrRTxcC.exe
  C:\Windows\System32\xrRTxcC.exe
  2⤵
  - Executes dropped EXE
  PID:4588
- C:\Windows\System32\BsMgcJj.exe
  C:\Windows\System32\BsMgcJj.exe
  2⤵
  - Executes dropped EXE
  PID:3408
- C:\Windows\System32\qxjARnY.exe
  C:\Windows\System32\qxjARnY.exe
  2⤵
  - Executes dropped EXE
  PID:5036
- C:\Windows\System32\TaTERiZ.exe
  C:\Windows\System32\TaTERiZ.exe
  2⤵
  - Executes dropped EXE
  PID:1208
- C:\Windows\System32\PSOLJtO.exe
  C:\Windows\System32\PSOLJtO.exe
  2⤵
  - Executes dropped EXE
  PID:3796
- C:\Windows\System32\BSPVFeg.exe
  C:\Windows\System32\BSPVFeg.exe
  2⤵
  - Executes dropped EXE
  PID:2600
- C:\Windows\System32\vfbJYbV.exe
  C:\Windows\System32\vfbJYbV.exe
  2⤵
  - Executes dropped EXE
  PID:4712
- C:\Windows\System32\vpYBvfq.exe
  C:\Windows\System32\vpYBvfq.exe
  2⤵
  - Executes dropped EXE
  PID:4640
- C:\Windows\System32\ycOuoOD.exe
  C:\Windows\System32\ycOuoOD.exe
  2⤵
  - Executes dropped EXE
  PID:3788
- C:\Windows\System32\wHRJkZq.exe
  C:\Windows\System32\wHRJkZq.exe
  2⤵
  - Executes dropped EXE
  PID:624
- C:\Windows\System32\OFiILmE.exe
  C:\Windows\System32\OFiILmE.exe
  2⤵
  - Executes dropped EXE
  PID:3080
- C:\Windows\System32\PQugwbR.exe
  C:\Windows\System32\PQugwbR.exe
  2⤵
  - Executes dropped EXE
  PID:3512
- C:\Windows\System32\JCrERIL.exe
  C:\Windows\System32\JCrERIL.exe
  2⤵
  - Executes dropped EXE
  PID:264
- C:\Windows\System32\VEqEYet.exe
  C:\Windows\System32\VEqEYet.exe
  2⤵
  - Executes dropped EXE
  PID:1976
- C:\Windows\System32\jMnaHlj.exe
  C:\Windows\System32\jMnaHlj.exe
  2⤵
  - Executes dropped EXE
  PID:2904
- C:\Windows\System32\XLWvoWh.exe
  C:\Windows\System32\XLWvoWh.exe
  2⤵
  PID:4456
- C:\Windows\System32\mWMsJfk.exe
  C:\Windows\System32\mWMsJfk.exe
  2⤵
  PID:4232
- C:\Windows\System32\dUfbyHC.exe
  C:\Windows\System32\dUfbyHC.exe
  2⤵
  PID:2368
- C:\Windows\System32\KDrRYLH.exe
  C:\Windows\System32\KDrRYLH.exe
  2⤵
  PID:1348
- C:\Windows\System32\UcCXaCz.exe
  C:\Windows\System32\UcCXaCz.exe
  2⤵
  PID:4940
- C:\Windows\System32\VNxuuVE.exe
  C:\Windows\System32\VNxuuVE.exe
  2⤵
  PID:2892
- C:\Windows\System32\vVkeSAk.exe
  C:\Windows\System32\vVkeSAk.exe
  2⤵
  PID:3460
- C:\Windows\System32\oiiRkmY.exe
  C:\Windows\System32\oiiRkmY.exe
  2⤵
  PID:4828
- C:\Windows\System32\mHUBMyR.exe
  C:\Windows\System32\mHUBMyR.exe
  2⤵
  PID:2480
- C:\Windows\System32\sbFxJZl.exe
  C:\Windows\System32\sbFxJZl.exe
  2⤵
  PID:548
- C:\Windows\System32\aasZEFY.exe
  C:\Windows\System32\aasZEFY.exe
  2⤵
  PID:4528
- C:\Windows\System32\SssJQRb.exe
  C:\Windows\System32\SssJQRb.exe
  2⤵
  PID:4376
- C:\Windows\System32\GJqRSWL.exe
  C:\Windows\System32\GJqRSWL.exe
  2⤵
  PID:1716
- C:\Windows\System32\hxDQKkZ.exe
  C:\Windows\System32\hxDQKkZ.exe
  2⤵
  PID:3896
- C:\Windows\System32\WMSFZab.exe
  C:\Windows\System32\WMSFZab.exe
  2⤵
  PID:2028
- C:\Windows\System32\CpCCnsA.exe
  C:\Windows\System32\CpCCnsA.exe
  2⤵
  PID:3848
- C:\Windows\System32\gssamVm.exe
  C:\Windows\System32\gssamVm.exe
  2⤵
  PID:1664
- C:\Windows\System32\cbgWJGL.exe
  C:\Windows\System32\cbgWJGL.exe
  2⤵
  PID:2844
- C:\Windows\System32\UxxWhtw.exe
  C:\Windows\System32\UxxWhtw.exe
  2⤵
  PID:4108
- C:\Windows\System32\HkrLQoV.exe
  C:\Windows\System32\HkrLQoV.exe
  2⤵
  PID:2576
- C:\Windows\System32\mEcScdo.exe
  C:\Windows\System32\mEcScdo.exe
  2⤵
  PID:2072
- C:\Windows\System32\PrJwXOV.exe
  C:\Windows\System32\PrJwXOV.exe
  2⤵
  PID:5144
- C:\Windows\System32\BJBeamu.exe
  C:\Windows\System32\BJBeamu.exe
  2⤵
  PID:5248
- C:\Windows\System32\sCvVqly.exe
  C:\Windows\System32\sCvVqly.exe
  2⤵
  PID:5296
- C:\Windows\System32\HLtUKsF.exe
  C:\Windows\System32\HLtUKsF.exe
  2⤵
  PID:5316
- C:\Windows\System32\qWVknUk.exe
  C:\Windows\System32\qWVknUk.exe
  2⤵
  PID:5336
- C:\Windows\System32\VUlmorR.exe
  C:\Windows\System32\VUlmorR.exe
  2⤵
  PID:5384
- C:\Windows\System32\BoIsXEw.exe
  C:\Windows\System32\BoIsXEw.exe
  2⤵
  PID:5404
- C:\Windows\System32\FqIwIvr.exe
  C:\Windows\System32\FqIwIvr.exe
  2⤵
  PID:5436
- C:\Windows\System32\VMaFKym.exe
  C:\Windows\System32\VMaFKym.exe
  2⤵
  PID:5468
- C:\Windows\System32\OaRNfFo.exe
  C:\Windows\System32\OaRNfFo.exe
  2⤵
  PID:5484
- C:\Windows\System32\VieIfXk.exe
  C:\Windows\System32\VieIfXk.exe
  2⤵
  PID:5504
- C:\Windows\System32\wgtLRyI.exe
  C:\Windows\System32\wgtLRyI.exe
  2⤵
  PID:5528
- C:\Windows\System32\cYmcnZk.exe
  C:\Windows\System32\cYmcnZk.exe
  2⤵
  PID:5552
- C:\Windows\System32\ddftIrj.exe
  C:\Windows\System32\ddftIrj.exe
  2⤵
  PID:5576
- C:\Windows\System32\YLsqBdu.exe
  C:\Windows\System32\YLsqBdu.exe
  2⤵
  PID:5628
- C:\Windows\System32\TWRNVBp.exe
  C:\Windows\System32\TWRNVBp.exe
  2⤵
  PID:5656
- C:\Windows\System32\kEWfFPr.exe
  C:\Windows\System32\kEWfFPr.exe
  2⤵
  PID:5680
- C:\Windows\System32\pwJVKQv.exe
  C:\Windows\System32\pwJVKQv.exe
  2⤵
  PID:5724
- C:\Windows\System32\CkFQnCZ.exe
  C:\Windows\System32\CkFQnCZ.exe
  2⤵
  PID:5756
- C:\Windows\System32\sivervp.exe
  C:\Windows\System32\sivervp.exe
  2⤵
  PID:5776
- C:\Windows\System32\umFifOk.exe
  C:\Windows\System32\umFifOk.exe
  2⤵
  PID:5792
- C:\Windows\System32\rICcdAr.exe
  C:\Windows\System32\rICcdAr.exe
  2⤵
  PID:5844
- C:\Windows\System32\ZGNVmRE.exe
  C:\Windows\System32\ZGNVmRE.exe
  2⤵
  PID:5868
- C:\Windows\System32\PEkSJLr.exe
  C:\Windows\System32\PEkSJLr.exe
  2⤵
  PID:5888
- C:\Windows\System32\ltdhBvi.exe
  C:\Windows\System32\ltdhBvi.exe
  2⤵
  PID:5904
- C:\Windows\System32\oyEacdo.exe
  C:\Windows\System32\oyEacdo.exe
  2⤵
  PID:5920
- C:\Windows\System32\Rinehpn.exe
  C:\Windows\System32\Rinehpn.exe
  2⤵
  PID:5936
- C:\Windows\System32\EkaWyMR.exe
  C:\Windows\System32\EkaWyMR.exe
  2⤵
  PID:5956
- C:\Windows\System32\JmYbHqF.exe
  C:\Windows\System32\JmYbHqF.exe
  2⤵
  PID:6028
- C:\Windows\System32\lZmWbvR.exe
  C:\Windows\System32\lZmWbvR.exe
  2⤵
  PID:6056
- C:\Windows\System32\yordFxO.exe
  C:\Windows\System32\yordFxO.exe
  2⤵
  PID:6088
- C:\Windows\System32\yRRNEdP.exe
  C:\Windows\System32\yRRNEdP.exe
  2⤵
  PID:6112
- C:\Windows\System32\YGZNanx.exe
  C:\Windows\System32\YGZNanx.exe
  2⤵
  PID:6128
- C:\Windows\System32\ZnHpDwg.exe
  C:\Windows\System32\ZnHpDwg.exe
  2⤵
  PID:1880
- C:\Windows\System32\RbieoGV.exe
  C:\Windows\System32\RbieoGV.exe
  2⤵
  PID:2376
- C:\Windows\System32\kMPnMue.exe
  C:\Windows\System32\kMPnMue.exe
  2⤵
  PID:4304
- C:\Windows\System32\QxqxIFr.exe
  C:\Windows\System32\QxqxIFr.exe
  2⤵
  PID:5240
- C:\Windows\System32\STYwFvb.exe
  C:\Windows\System32\STYwFvb.exe
  2⤵
  PID:4896
- C:\Windows\System32\EgdoQgz.exe
  C:\Windows\System32\EgdoQgz.exe
  2⤵
  PID:5332
- C:\Windows\System32\UjiTOWn.exe
  C:\Windows\System32\UjiTOWn.exe
  2⤵
  PID:5304
- C:\Windows\System32\fXJjyka.exe
  C:\Windows\System32\fXJjyka.exe
  2⤵
  PID:5396
- C:\Windows\System32\SjSXsSG.exe
  C:\Windows\System32\SjSXsSG.exe
  2⤵
  PID:5476
- C:\Windows\System32\OVOFbpI.exe
  C:\Windows\System32\OVOFbpI.exe
  2⤵
  PID:5512
- C:\Windows\System32\EIrYOQl.exe
  C:\Windows\System32\EIrYOQl.exe
  2⤵
  PID:5536
- C:\Windows\System32\hnILhoa.exe
  C:\Windows\System32\hnILhoa.exe
  2⤵
  PID:408
- C:\Windows\System32\xrRmWHo.exe
  C:\Windows\System32\xrRmWHo.exe
  2⤵
  PID:5600
- C:\Windows\System32\qLGYFlw.exe
  C:\Windows\System32\qLGYFlw.exe
  2⤵
  PID:4028
- C:\Windows\System32\detGDAy.exe
  C:\Windows\System32\detGDAy.exe
  2⤵
  PID:5720
- C:\Windows\System32\RzCsUUU.exe
  C:\Windows\System32\RzCsUUU.exe
  2⤵
  PID:5772
- C:\Windows\System32\aRjUEMr.exe
  C:\Windows\System32\aRjUEMr.exe
  2⤵
  PID:5784
- C:\Windows\System32\aWIVTQe.exe
  C:\Windows\System32\aWIVTQe.exe
  2⤵
  PID:5824
- C:\Windows\System32\hFxFprw.exe
  C:\Windows\System32\hFxFprw.exe
  2⤵
  PID:5884
- C:\Windows\System32\NHwgltH.exe
  C:\Windows\System32\NHwgltH.exe
  2⤵
  PID:5980
- C:\Windows\System32\LoyRwrA.exe
  C:\Windows\System32\LoyRwrA.exe
  2⤵
  PID:6012
- C:\Windows\System32\qjkqFZc.exe
  C:\Windows\System32\qjkqFZc.exe
  2⤵
  PID:4524
- C:\Windows\System32\nBAbLIv.exe
  C:\Windows\System32\nBAbLIv.exe
  2⤵
  PID:4448
- C:\Windows\System32\yJmUHZb.exe
  C:\Windows\System32\yJmUHZb.exe
  2⤵
  PID:5428
- C:\Windows\System32\eOKLMTm.exe
  C:\Windows\System32\eOKLMTm.exe
  2⤵
  PID:5492
- C:\Windows\System32\ZCVvIGW.exe
  C:\Windows\System32\ZCVvIGW.exe
  2⤵
  PID:428
- C:\Windows\System32\lWYCsOO.exe
  C:\Windows\System32\lWYCsOO.exe
  2⤵
  PID:3748
- C:\Windows\System32\nSoGGQN.exe
  C:\Windows\System32\nSoGGQN.exe
  2⤵
  PID:1504
- C:\Windows\System32\vQkJQkA.exe
  C:\Windows\System32\vQkJQkA.exe
  2⤵
  PID:4796
- C:\Windows\System32\xOzSzyk.exe
  C:\Windows\System32\xOzSzyk.exe
  2⤵
  PID:6036
- C:\Windows\System32\zsqRdXO.exe
  C:\Windows\System32\zsqRdXO.exe
  2⤵
  PID:6096
- C:\Windows\System32\eddNaIV.exe
  C:\Windows\System32\eddNaIV.exe
  2⤵
  PID:6140
- C:\Windows\System32\cuEPxda.exe
  C:\Windows\System32\cuEPxda.exe
  2⤵
  PID:5392
- C:\Windows\System32\WhgyeJI.exe
  C:\Windows\System32\WhgyeJI.exe
  2⤵
  PID:396
- C:\Windows\System32\LmXUFlh.exe
  C:\Windows\System32\LmXUFlh.exe
  2⤵
  PID:5648
- C:\Windows\System32\xapCxOM.exe
  C:\Windows\System32\xapCxOM.exe
  2⤵
  PID:6072
- C:\Windows\System32\HlDYLzK.exe
  C:\Windows\System32\HlDYLzK.exe
  2⤵
  PID:1616
- C:\Windows\System32\qcRtSwu.exe
  C:\Windows\System32\qcRtSwu.exe
  2⤵
  PID:8
- C:\Windows\System32\pZlTWHc.exe
  C:\Windows\System32\pZlTWHc.exe
  2⤵
  PID:5764
- C:\Windows\System32\DJyNUvE.exe
  C:\Windows\System32\DJyNUvE.exe
  2⤵
  PID:6164
- C:\Windows\System32\iAFGNJH.exe
  C:\Windows\System32\iAFGNJH.exe
  2⤵
  PID:6188
- C:\Windows\System32\cJwZdOB.exe
  C:\Windows\System32\cJwZdOB.exe
  2⤵
  PID:6208
- C:\Windows\System32\fgmfSbW.exe
  C:\Windows\System32\fgmfSbW.exe
  2⤵
  PID:6236
- C:\Windows\System32\BkMHQTg.exe
  C:\Windows\System32\BkMHQTg.exe
  2⤵
  PID:6256
- C:\Windows\System32\dfCEwLY.exe
  C:\Windows\System32\dfCEwLY.exe
  2⤵
  PID:6280
- C:\Windows\System32\KRrYJKB.exe
  C:\Windows\System32\KRrYJKB.exe
  2⤵
  PID:6296
- C:\Windows\System32\BSbycxs.exe
  C:\Windows\System32\BSbycxs.exe
  2⤵
  PID:6312
- C:\Windows\System32\dAHMbaE.exe
  C:\Windows\System32\dAHMbaE.exe
  2⤵
  PID:6332
- C:\Windows\System32\MoxUQhV.exe
  C:\Windows\System32\MoxUQhV.exe
  2⤵
  PID:6396
- C:\Windows\System32\WoXbhVd.exe
  C:\Windows\System32\WoXbhVd.exe
  2⤵
  PID:6436
- C:\Windows\System32\rEPvVWH.exe
  C:\Windows\System32\rEPvVWH.exe
  2⤵
  PID:6484
- C:\Windows\System32\hDXjRof.exe
  C:\Windows\System32\hDXjRof.exe
  2⤵
  PID:6512
- C:\Windows\System32\BMjlLIT.exe
  C:\Windows\System32\BMjlLIT.exe
  2⤵
  PID:6532
- C:\Windows\System32\dRgEzWt.exe
  C:\Windows\System32\dRgEzWt.exe
  2⤵
  PID:6576
- C:\Windows\System32\iUPYFBO.exe
  C:\Windows\System32\iUPYFBO.exe
  2⤵
  PID:6604
- C:\Windows\System32\WajOSCT.exe
  C:\Windows\System32\WajOSCT.exe
  2⤵
  PID:6620
- C:\Windows\System32\trlMhdN.exe
  C:\Windows\System32\trlMhdN.exe
  2⤵
  PID:6644
- C:\Windows\System32\ygqZJml.exe
  C:\Windows\System32\ygqZJml.exe
  2⤵
  PID:6676
- C:\Windows\System32\iFTJEAn.exe
  C:\Windows\System32\iFTJEAn.exe
  2⤵
  PID:6716
- C:\Windows\System32\CtRTcxF.exe
  C:\Windows\System32\CtRTcxF.exe
  2⤵
  PID:6744
- C:\Windows\System32\Lwnlijw.exe
  C:\Windows\System32\Lwnlijw.exe
  2⤵
  PID:6772
- C:\Windows\System32\ddLTbnS.exe
  C:\Windows\System32\ddLTbnS.exe
  2⤵
  PID:6792
- C:\Windows\System32\HHaODtR.exe
  C:\Windows\System32\HHaODtR.exe
  2⤵
  PID:6812
- C:\Windows\System32\xSlokxC.exe
  C:\Windows\System32\xSlokxC.exe
  2⤵
  PID:6840
- C:\Windows\System32\AJQzzRD.exe
  C:\Windows\System32\AJQzzRD.exe
  2⤵
  PID:6864
- C:\Windows\System32\KFVKgbl.exe
  C:\Windows\System32\KFVKgbl.exe
  2⤵
  PID:6884
- C:\Windows\System32\IzPJQhG.exe
  C:\Windows\System32\IzPJQhG.exe
  2⤵
  PID:6912
- C:\Windows\System32\suJxEhb.exe
  C:\Windows\System32\suJxEhb.exe
  2⤵
  PID:6944
- C:\Windows\System32\ZmWYKVZ.exe
  C:\Windows\System32\ZmWYKVZ.exe
  2⤵
  PID:6972
- C:\Windows\System32\phgywmc.exe
  C:\Windows\System32\phgywmc.exe
  2⤵
  PID:6992
- C:\Windows\System32\Eutarih.exe
  C:\Windows\System32\Eutarih.exe
  2⤵
  PID:7020
- C:\Windows\System32\NSvXRWs.exe
  C:\Windows\System32\NSvXRWs.exe
  2⤵
  PID:7056
- C:\Windows\System32\souzean.exe
  C:\Windows\System32\souzean.exe
  2⤵
  PID:7092
- C:\Windows\System32\RlLEKGF.exe
  C:\Windows\System32\RlLEKGF.exe
  2⤵
  PID:7144
- C:\Windows\System32\FPgYaNV.exe
  C:\Windows\System32\FPgYaNV.exe
  2⤵
  PID:3356
- C:\Windows\System32\hGfGieY.exe
  C:\Windows\System32\hGfGieY.exe
  2⤵
  PID:5092
- C:\Windows\System32\LthOWED.exe
  C:\Windows\System32\LthOWED.exe
  2⤵
  PID:6204
- C:\Windows\System32\NXaZzhI.exe
  C:\Windows\System32\NXaZzhI.exe
  2⤵
  PID:6344
- C:\Windows\System32\PEfRfmN.exe
  C:\Windows\System32\PEfRfmN.exe
  2⤵
  PID:6304
- C:\Windows\System32\rOPpZuv.exe
  C:\Windows\System32\rOPpZuv.exe
  2⤵
  PID:6404
- C:\Windows\System32\UueULzw.exe
  C:\Windows\System32\UueULzw.exe
  2⤵
  PID:6420
- C:\Windows\System32\ABYIOUx.exe
  C:\Windows\System32\ABYIOUx.exe
  2⤵
  PID:6508
- C:\Windows\System32\lMTUcvq.exe
  C:\Windows\System32\lMTUcvq.exe
  2⤵
  PID:6616
- C:\Windows\System32\UBhrZxq.exe
  C:\Windows\System32\UBhrZxq.exe
  2⤵
  PID:6660
- C:\Windows\System32\dQSQpWt.exe
  C:\Windows\System32\dQSQpWt.exe
  2⤵
  PID:6724
- C:\Windows\System32\KbeSIos.exe
  C:\Windows\System32\KbeSIos.exe
  2⤵
  PID:6768
- C:\Windows\System32\cVJRgzw.exe
  C:\Windows\System32\cVJRgzw.exe
  2⤵
  PID:6852
- C:\Windows\System32\aHzDVCb.exe
  C:\Windows\System32\aHzDVCb.exe
  2⤵
  PID:6924
- C:\Windows\System32\ZVTkALI.exe
  C:\Windows\System32\ZVTkALI.exe
  2⤵
  PID:6984
- C:\Windows\System32\zFHAymB.exe
  C:\Windows\System32\zFHAymB.exe
  2⤵
  PID:4212
- C:\Windows\System32\ldJkseN.exe
  C:\Windows\System32\ldJkseN.exe
  2⤵
  PID:7048
- C:\Windows\System32\XcnikYT.exe
  C:\Windows\System32\XcnikYT.exe
  2⤵
  PID:7156
- C:\Windows\System32\QjiTaZh.exe
  C:\Windows\System32\QjiTaZh.exe
  2⤵
  PID:6200
- C:\Windows\System32\vhfkUkx.exe
  C:\Windows\System32\vhfkUkx.exe
  2⤵
  PID:6292
- C:\Windows\System32\soeASlB.exe
  C:\Windows\System32\soeASlB.exe
  2⤵
  PID:6288
- C:\Windows\System32\thFIftD.exe
  C:\Windows\System32\thFIftD.exe
  2⤵
  PID:6548
- C:\Windows\System32\wxnWVIs.exe
  C:\Windows\System32\wxnWVIs.exe
  2⤵
  PID:6636
- C:\Windows\System32\ZXEneJO.exe
  C:\Windows\System32\ZXEneJO.exe
  2⤵
  PID:6780
- C:\Windows\System32\zGJKBxA.exe
  C:\Windows\System32\zGJKBxA.exe
  2⤵
  PID:6904
- C:\Windows\System32\lIHTSdM.exe
  C:\Windows\System32\lIHTSdM.exe
  2⤵
  PID:7028
- C:\Windows\System32\jKkRyJI.exe
  C:\Windows\System32\jKkRyJI.exe
  2⤵
  PID:7132
- C:\Windows\System32\vGGtGqK.exe
  C:\Windows\System32\vGGtGqK.exe
  2⤵
  PID:6152
- C:\Windows\System32\ATCSjvV.exe
  C:\Windows\System32\ATCSjvV.exe
  2⤵
  PID:6688
- C:\Windows\System32\kESDUzR.exe
  C:\Windows\System32\kESDUzR.exe
  2⤵
  PID:7036
- C:\Windows\System32\VsNFeYF.exe
  C:\Windows\System32\VsNFeYF.exe
  2⤵
  PID:6964
- C:\Windows\System32\BqZfmOf.exe
  C:\Windows\System32\BqZfmOf.exe
  2⤵
  PID:7188
- C:\Windows\System32\JeMyxYC.exe
  C:\Windows\System32\JeMyxYC.exe
  2⤵
  PID:7232
- C:\Windows\System32\kXAGQWo.exe
  C:\Windows\System32\kXAGQWo.exe
  2⤵
  PID:7260
- C:\Windows\System32\OFHsAJl.exe
  C:\Windows\System32\OFHsAJl.exe
  2⤵
  PID:7280
- C:\Windows\System32\PUjwaea.exe
  C:\Windows\System32\PUjwaea.exe
  2⤵
  PID:7316
- C:\Windows\System32\oykDCqk.exe
  C:\Windows\System32\oykDCqk.exe
  2⤵
  PID:7344
- C:\Windows\System32\xaVTSYI.exe
  C:\Windows\System32\xaVTSYI.exe
  2⤵
  PID:7364
- C:\Windows\System32\aCHEISO.exe
  C:\Windows\System32\aCHEISO.exe
  2⤵
  PID:7388
- C:\Windows\System32\oPZzEtC.exe
  C:\Windows\System32\oPZzEtC.exe
  2⤵
  PID:7412
- C:\Windows\System32\CbPLEIB.exe
  C:\Windows\System32\CbPLEIB.exe
  2⤵
  PID:7436
- C:\Windows\System32\EfrkOUu.exe
  C:\Windows\System32\EfrkOUu.exe
  2⤵
  PID:7460
- C:\Windows\System32\ESHulud.exe
  C:\Windows\System32\ESHulud.exe
  2⤵
  PID:7484
- C:\Windows\System32\dOIVXbs.exe
  C:\Windows\System32\dOIVXbs.exe
  2⤵
  PID:7500
- C:\Windows\System32\GvZGCZd.exe
  C:\Windows\System32\GvZGCZd.exe
  2⤵
  PID:7524
- C:\Windows\System32\rsGydUn.exe
  C:\Windows\System32\rsGydUn.exe
  2⤵
  PID:7544
- C:\Windows\System32\mJuwApw.exe
  C:\Windows\System32\mJuwApw.exe
  2⤵
  PID:7608
- C:\Windows\System32\kdMxwcs.exe
  C:\Windows\System32\kdMxwcs.exe
  2⤵
  PID:7640
- C:\Windows\System32\ZusyTMb.exe
  C:\Windows\System32\ZusyTMb.exe
  2⤵
  PID:7672
- C:\Windows\System32\dLVbFJC.exe
  C:\Windows\System32\dLVbFJC.exe
  2⤵
  PID:7696
- C:\Windows\System32\OuGDBlj.exe
  C:\Windows\System32\OuGDBlj.exe
  2⤵
  PID:7720
- C:\Windows\System32\BukgugB.exe
  C:\Windows\System32\BukgugB.exe
  2⤵
  PID:7740
- C:\Windows\System32\uwWUtHg.exe
  C:\Windows\System32\uwWUtHg.exe
  2⤵
  PID:7756
- C:\Windows\System32\aclavpu.exe
  C:\Windows\System32\aclavpu.exe
  2⤵
  PID:7816
- C:\Windows\System32\nkNgsCt.exe
  C:\Windows\System32\nkNgsCt.exe
  2⤵
  PID:7848
- C:\Windows\System32\MPmfLEa.exe
  C:\Windows\System32\MPmfLEa.exe
  2⤵
  PID:7872
- C:\Windows\System32\AYEIpSb.exe
  C:\Windows\System32\AYEIpSb.exe
  2⤵
  PID:7892
- C:\Windows\System32\tiWMjXj.exe
  C:\Windows\System32\tiWMjXj.exe
  2⤵
  PID:7928
- C:\Windows\System32\igOruho.exe
  C:\Windows\System32\igOruho.exe
  2⤵
  PID:7960
- C:\Windows\System32\NHgWhyE.exe
  C:\Windows\System32\NHgWhyE.exe
  2⤵
  PID:7988
- C:\Windows\System32\BDfVEPx.exe
  C:\Windows\System32\BDfVEPx.exe
  2⤵
  PID:8008
- C:\Windows\System32\CBSaqgc.exe
  C:\Windows\System32\CBSaqgc.exe
  2⤵
  PID:8056
- C:\Windows\System32\UKDRRUO.exe
  C:\Windows\System32\UKDRRUO.exe
  2⤵
  PID:8084
- C:\Windows\System32\TEbkRVX.exe
  C:\Windows\System32\TEbkRVX.exe
  2⤵
  PID:8152
- C:\Windows\System32\hHzqfxn.exe
  C:\Windows\System32\hHzqfxn.exe
  2⤵
  PID:8172
- C:\Windows\System32\GdgGmyb.exe
  C:\Windows\System32\GdgGmyb.exe
  2⤵
  PID:8188
- C:\Windows\System32\nOEeeSi.exe
  C:\Windows\System32\nOEeeSi.exe
  2⤵
  PID:6232
- C:\Windows\System32\ApaoDlL.exe
  C:\Windows\System32\ApaoDlL.exe
  2⤵
  PID:7180
- C:\Windows\System32\fMbMkdB.exe
  C:\Windows\System32\fMbMkdB.exe
  2⤵
  PID:7196
- C:\Windows\System32\yNAHLDM.exe
  C:\Windows\System32\yNAHLDM.exe
  2⤵
  PID:7276
- C:\Windows\System32\uQVyYBs.exe
  C:\Windows\System32\uQVyYBs.exe
  2⤵
  PID:7352
- C:\Windows\System32\JoeYopU.exe
  C:\Windows\System32\JoeYopU.exe
  2⤵
  PID:7380
- C:\Windows\System32\AwuhhHT.exe
  C:\Windows\System32\AwuhhHT.exe
  2⤵
  PID:7432
- C:\Windows\System32\dfdbAXu.exe
  C:\Windows\System32\dfdbAXu.exe
  2⤵
  PID:7476
- C:\Windows\System32\NQZDFOb.exe
  C:\Windows\System32\NQZDFOb.exe
  2⤵
  PID:4672
- C:\Windows\System32\RUUosDG.exe
  C:\Windows\System32\RUUosDG.exe
  2⤵
  PID:7560
- C:\Windows\System32\IjMXgAV.exe
  C:\Windows\System32\IjMXgAV.exe
  2⤵
  PID:7652
- C:\Windows\System32\TGYnxFu.exe
  C:\Windows\System32\TGYnxFu.exe
  2⤵
  PID:7832
- C:\Windows\System32\ERFXuzp.exe
  C:\Windows\System32\ERFXuzp.exe
  2⤵
  PID:8004
- C:\Windows\System32\pQYabrc.exe
  C:\Windows\System32\pQYabrc.exe
  2⤵
  PID:8112
- C:\Windows\System32\VtHoKxi.exe
  C:\Windows\System32\VtHoKxi.exe
  2⤵
  PID:8072
- C:\Windows\System32\lawWwVe.exe
  C:\Windows\System32\lawWwVe.exe
  2⤵
  PID:8092
- C:\Windows\System32\mpnehvC.exe
  C:\Windows\System32\mpnehvC.exe
  2⤵
  PID:8124
- C:\Windows\System32\INJQqYl.exe
  C:\Windows\System32\INJQqYl.exe
  2⤵
  PID:7404
- C:\Windows\System32\EaFkmJg.exe
  C:\Windows\System32\EaFkmJg.exe
  2⤵
  PID:7516
- C:\Windows\System32\nhqtZlk.exe
  C:\Windows\System32\nhqtZlk.exe
  2⤵
  PID:7252
- C:\Windows\System32\bYqMDed.exe
  C:\Windows\System32\bYqMDed.exe
  2⤵
  PID:2200
- C:\Windows\System32\CIKHlkS.exe
  C:\Windows\System32\CIKHlkS.exe
  2⤵
  PID:7680
- C:\Windows\System32\TsUKHgR.exe
  C:\Windows\System32\TsUKHgR.exe
  2⤵
  PID:7980
- C:\Windows\System32\TSLMbxB.exe
  C:\Windows\System32\TSLMbxB.exe
  2⤵
  PID:8080
- C:\Windows\System32\RNknQrL.exe
  C:\Windows\System32\RNknQrL.exe
  2⤵
  PID:7308
- C:\Windows\System32\PMlykdZ.exe
  C:\Windows\System32\PMlykdZ.exe
  2⤵
  PID:7536
- C:\Windows\System32\vUxGcdK.exe
  C:\Windows\System32\vUxGcdK.exe
  2⤵
  PID:7912
- C:\Windows\System32\JhPjtmB.exe
  C:\Windows\System32\JhPjtmB.exe
  2⤵
  PID:7324
- C:\Windows\System32\vAqTQeZ.exe
  C:\Windows\System32\vAqTQeZ.exe
  2⤵
  PID:7728
- C:\Windows\System32\HDUwLPy.exe
  C:\Windows\System32\HDUwLPy.exe
  2⤵
  PID:8196
- C:\Windows\System32\PkTLpMB.exe
  C:\Windows\System32\PkTLpMB.exe
  2⤵
  PID:8212
- C:\Windows\System32\sljVMCa.exe
  C:\Windows\System32\sljVMCa.exe
  2⤵
  PID:8232
- C:\Windows\System32\IijIXIK.exe
  C:\Windows\System32\IijIXIK.exe
  2⤵
  PID:8260
- C:\Windows\System32\AlDihBi.exe
  C:\Windows\System32\AlDihBi.exe
  2⤵
  PID:8292
- C:\Windows\System32\IAsZIcF.exe
  C:\Windows\System32\IAsZIcF.exe
  2⤵
  PID:8316
- C:\Windows\System32\usXRXtX.exe
  C:\Windows\System32\usXRXtX.exe
  2⤵
  PID:8336
- C:\Windows\System32\cJJTeCJ.exe
  C:\Windows\System32\cJJTeCJ.exe
  2⤵
  PID:8360
- C:\Windows\System32\HdobmTz.exe
  C:\Windows\System32\HdobmTz.exe
  2⤵
  PID:8388
- C:\Windows\System32\xgMdpkw.exe
  C:\Windows\System32\xgMdpkw.exe
  2⤵
  PID:8412
- C:\Windows\System32\uSniLoq.exe
  C:\Windows\System32\uSniLoq.exe
  2⤵
  PID:8456
- C:\Windows\System32\RvJknNz.exe
  C:\Windows\System32\RvJknNz.exe
  2⤵
  PID:8504
- C:\Windows\System32\kcsjMnC.exe
  C:\Windows\System32\kcsjMnC.exe
  2⤵
  PID:8524
- C:\Windows\System32\AJykKKA.exe
  C:\Windows\System32\AJykKKA.exe
  2⤵
  PID:8544
- C:\Windows\System32\foJnedB.exe
  C:\Windows\System32\foJnedB.exe
  2⤵
  PID:8560
- C:\Windows\System32\GTkCpEO.exe
  C:\Windows\System32\GTkCpEO.exe
  2⤵
  PID:8588
- C:\Windows\System32\kaUQSHs.exe
  C:\Windows\System32\kaUQSHs.exe
  2⤵
  PID:8612
- C:\Windows\System32\ClqazeW.exe
  C:\Windows\System32\ClqazeW.exe
  2⤵
  PID:8672
- C:\Windows\System32\isPfiPM.exe
  C:\Windows\System32\isPfiPM.exe
  2⤵
  PID:8700
- C:\Windows\System32\nAkqPzj.exe
  C:\Windows\System32\nAkqPzj.exe
  2⤵
  PID:8720
- C:\Windows\System32\sNevEAW.exe
  C:\Windows\System32\sNevEAW.exe
  2⤵
  PID:8740
- C:\Windows\System32\KoIhfdk.exe
  C:\Windows\System32\KoIhfdk.exe
  2⤵
  PID:8776
- C:\Windows\System32\OfLqhJU.exe
  C:\Windows\System32\OfLqhJU.exe
  2⤵
  PID:8812
- C:\Windows\System32\CkbarVV.exe
  C:\Windows\System32\CkbarVV.exe
  2⤵
  PID:8832
- C:\Windows\System32\rjBgizY.exe
  C:\Windows\System32\rjBgizY.exe
  2⤵
  PID:8852
- C:\Windows\System32\sKZFXHA.exe
  C:\Windows\System32\sKZFXHA.exe
  2⤵
  PID:8880
- C:\Windows\System32\LGSkmeN.exe
  C:\Windows\System32\LGSkmeN.exe
  2⤵
  PID:8912
- C:\Windows\System32\gVpXKvX.exe
  C:\Windows\System32\gVpXKvX.exe
  2⤵
  PID:8948
- C:\Windows\System32\BiYEXaS.exe
  C:\Windows\System32\BiYEXaS.exe
  2⤵
  PID:8972
- C:\Windows\System32\bgAIxBV.exe
  C:\Windows\System32\bgAIxBV.exe
  2⤵
  PID:8988
- C:\Windows\System32\DmWEwhj.exe
  C:\Windows\System32\DmWEwhj.exe
  2⤵
  PID:9012
- C:\Windows\System32\NxwKeur.exe
  C:\Windows\System32\NxwKeur.exe
  2⤵
  PID:9072
- C:\Windows\System32\GLSQMMa.exe
  C:\Windows\System32\GLSQMMa.exe
  2⤵
  PID:9100
- C:\Windows\System32\NhZpGMr.exe
  C:\Windows\System32\NhZpGMr.exe
  2⤵
  PID:9120
- C:\Windows\System32\OfEJRbz.exe
  C:\Windows\System32\OfEJRbz.exe
  2⤵
  PID:9140
- C:\Windows\System32\NDaWdaK.exe
  C:\Windows\System32\NDaWdaK.exe
  2⤵
  PID:9172
- C:\Windows\System32\LUGChYQ.exe
  C:\Windows\System32\LUGChYQ.exe
  2⤵
  PID:9196
- C:\Windows\System32\IUmkoSi.exe
  C:\Windows\System32\IUmkoSi.exe
  2⤵
  PID:8204
- C:\Windows\System32\MPjQbkU.exe
  C:\Windows\System32\MPjQbkU.exe
  2⤵
  PID:8224
- C:\Windows\System32\AINmiHb.exe
  C:\Windows\System32\AINmiHb.exe
  2⤵
  PID:8372
- C:\Windows\System32\XNvYKbA.exe
  C:\Windows\System32\XNvYKbA.exe
  2⤵
  PID:8400
- C:\Windows\System32\atlTvFW.exe
  C:\Windows\System32\atlTvFW.exe
  2⤵
  PID:8496
- C:\Windows\System32\jIIufeT.exe
  C:\Windows\System32\jIIufeT.exe
  2⤵
  PID:8556
- C:\Windows\System32\Dnjbpzp.exe
  C:\Windows\System32\Dnjbpzp.exe
  2⤵
  PID:8608
- C:\Windows\System32\liSMyQA.exe
  C:\Windows\System32\liSMyQA.exe
  2⤵
  PID:8636
- C:\Windows\System32\FcCNfJT.exe
  C:\Windows\System32\FcCNfJT.exe
  2⤵
  PID:8708
- C:\Windows\System32\PaFKrgU.exe
  C:\Windows\System32\PaFKrgU.exe
  2⤵
  PID:8772
- C:\Windows\System32\OnQopVs.exe
  C:\Windows\System32\OnQopVs.exe
  2⤵
  PID:8820
- C:\Windows\System32\qmHkTws.exe
  C:\Windows\System32\qmHkTws.exe
  2⤵
  PID:8944
- C:\Windows\System32\dHJrerj.exe
  C:\Windows\System32\dHJrerj.exe
  2⤵
  PID:9004
- C:\Windows\System32\ROjXZTm.exe
  C:\Windows\System32\ROjXZTm.exe
  2⤵
  PID:9000
- C:\Windows\System32\WGWhztJ.exe
  C:\Windows\System32\WGWhztJ.exe
  2⤵
  PID:9088
- C:\Windows\System32\lmHSqsE.exe
  C:\Windows\System32\lmHSqsE.exe
  2⤵
  PID:9156
- C:\Windows\System32\dMPvumE.exe
  C:\Windows\System32\dMPvumE.exe
  2⤵
  PID:8208
- C:\Windows\System32\lSngdgk.exe
  C:\Windows\System32\lSngdgk.exe
  2⤵
  PID:8312
- C:\Windows\System32\NNzXvjU.exe
  C:\Windows\System32\NNzXvjU.exe
  2⤵
  PID:8420
- C:\Windows\System32\kMHskvB.exe
  C:\Windows\System32\kMHskvB.exe
  2⤵
  PID:8620
- C:\Windows\System32\ySbkqzx.exe
  C:\Windows\System32\ySbkqzx.exe
  2⤵
  PID:8904
- C:\Windows\System32\eariweX.exe
  C:\Windows\System32\eariweX.exe
  2⤵
  PID:9024
- C:\Windows\System32\oYiMxzT.exe
  C:\Windows\System32\oYiMxzT.exe
  2⤵
  PID:9192
- C:\Windows\System32\DUDNjOT.exe
  C:\Windows\System32\DUDNjOT.exe
  2⤵
  PID:8748
- C:\Windows\System32\FMLloQw.exe
  C:\Windows\System32\FMLloQw.exe
  2⤵
  PID:9060
- C:\Windows\System32\aGRZMlD.exe
  C:\Windows\System32\aGRZMlD.exe
  2⤵
  PID:9180
- C:\Windows\System32\GyUmknw.exe
  C:\Windows\System32\GyUmknw.exe
  2⤵
  PID:8520
- C:\Windows\System32\zHySkdR.exe
  C:\Windows\System32\zHySkdR.exe
  2⤵
  PID:9236
- C:\Windows\System32\dEKmzfz.exe
  C:\Windows\System32\dEKmzfz.exe
  2⤵
  PID:9264
- C:\Windows\System32\aeUpjnU.exe
  C:\Windows\System32\aeUpjnU.exe
  2⤵
  PID:9284
- C:\Windows\System32\oiOjGkV.exe
  C:\Windows\System32\oiOjGkV.exe
  2⤵
  PID:9312
- C:\Windows\System32\FOYCdIw.exe
  C:\Windows\System32\FOYCdIw.exe
  2⤵
  PID:9332
- C:\Windows\System32\jRmGyHm.exe
  C:\Windows\System32\jRmGyHm.exe
  2⤵
  PID:9352
- C:\Windows\System32\CkdRGVM.exe
  C:\Windows\System32\CkdRGVM.exe
  2⤵
  PID:9408
- C:\Windows\System32\WxfxFMH.exe
  C:\Windows\System32\WxfxFMH.exe
  2⤵
  PID:9444
- C:\Windows\System32\MyTPgdZ.exe
  C:\Windows\System32\MyTPgdZ.exe
  2⤵
  PID:9480
- C:\Windows\System32\jytpIAD.exe
  C:\Windows\System32\jytpIAD.exe
  2⤵
  PID:9500
- C:\Windows\System32\ddJDAmf.exe
  C:\Windows\System32\ddJDAmf.exe
  2⤵
  PID:9524
- C:\Windows\System32\AUiRpdl.exe
  C:\Windows\System32\AUiRpdl.exe
  2⤵
  PID:9556
- C:\Windows\System32\HvJcnqD.exe
  C:\Windows\System32\HvJcnqD.exe
  2⤵
  PID:9576
- C:\Windows\System32\oSZuFkB.exe
  C:\Windows\System32\oSZuFkB.exe
  2⤵
  PID:9616
- C:\Windows\System32\mMxHIOK.exe
  C:\Windows\System32\mMxHIOK.exe
  2⤵
  PID:9652
- C:\Windows\System32\rfPmzWr.exe
  C:\Windows\System32\rfPmzWr.exe
  2⤵
  PID:9672
- C:\Windows\System32\VeOcNDY.exe
  C:\Windows\System32\VeOcNDY.exe
  2⤵
  PID:9720
- C:\Windows\System32\oJsrRYI.exe
  C:\Windows\System32\oJsrRYI.exe
  2⤵
  PID:9748
- C:\Windows\System32\JUIsiNK.exe
  C:\Windows\System32\JUIsiNK.exe
  2⤵
  PID:9772
- C:\Windows\System32\yUAZUaH.exe
  C:\Windows\System32\yUAZUaH.exe
  2⤵
  PID:9804
- C:\Windows\System32\SFwoObK.exe
  C:\Windows\System32\SFwoObK.exe
  2⤵
  PID:9820
- C:\Windows\System32\IbtrhkY.exe
  C:\Windows\System32\IbtrhkY.exe
  2⤵
  PID:9848
- C:\Windows\System32\efYRcgd.exe
  C:\Windows\System32\efYRcgd.exe
  2⤵
  PID:9896
- C:\Windows\System32\sSGLMQP.exe
  C:\Windows\System32\sSGLMQP.exe
  2⤵
  PID:9920
- C:\Windows\System32\dLLZhzG.exe
  C:\Windows\System32\dLLZhzG.exe
  2⤵
  PID:9944
- C:\Windows\System32\rtCwnDP.exe
  C:\Windows\System32\rtCwnDP.exe
  2⤵
  PID:9980
- C:\Windows\System32\oIVzdKP.exe
  C:\Windows\System32\oIVzdKP.exe
  2⤵
  PID:9996
- C:\Windows\System32\MOnrlJP.exe
  C:\Windows\System32\MOnrlJP.exe
  2⤵
  PID:10024
- C:\Windows\System32\BmlRYpY.exe
  C:\Windows\System32\BmlRYpY.exe
  2⤵
  PID:10064
- C:\Windows\System32\McvkKhl.exe
  C:\Windows\System32\McvkKhl.exe
  2⤵
  PID:10088
- C:\Windows\System32\DkGHEZl.exe
  C:\Windows\System32\DkGHEZl.exe
  2⤵
  PID:10116
- C:\Windows\System32\ZxqMBPz.exe
  C:\Windows\System32\ZxqMBPz.exe
  2⤵
  PID:10132
- C:\Windows\System32\bIjrGBy.exe
  C:\Windows\System32\bIjrGBy.exe
  2⤵
  PID:10156
- C:\Windows\System32\IrFjrTS.exe
  C:\Windows\System32\IrFjrTS.exe
  2⤵
  PID:10188
- C:\Windows\System32\GQvIBMH.exe
  C:\Windows\System32\GQvIBMH.exe
  2⤵
  PID:10216
- C:\Windows\System32\oemBjrO.exe
  C:\Windows\System32\oemBjrO.exe
  2⤵
  PID:10232
- C:\Windows\System32\ywAJwOQ.exe
  C:\Windows\System32\ywAJwOQ.exe
  2⤵
  PID:3756
- C:\Windows\System32\QnIczUX.exe
  C:\Windows\System32\QnIczUX.exe
  2⤵
  PID:9360
- C:\Windows\System32\qNOTgAj.exe
  C:\Windows\System32\qNOTgAj.exe
  2⤵
  PID:9396
- C:\Windows\System32\tUGAKzY.exe
  C:\Windows\System32\tUGAKzY.exe
  2⤵
  PID:9428
- C:\Windows\System32\eSvITyM.exe
  C:\Windows\System32\eSvITyM.exe
  2⤵
  PID:9532
- C:\Windows\System32\oPJgWXX.exe
  C:\Windows\System32\oPJgWXX.exe
  2⤵
  PID:9564
- C:\Windows\System32\vkViJOM.exe
  C:\Windows\System32\vkViJOM.exe
  2⤵
  PID:9664
- C:\Windows\System32\jtvvAmk.exe
  C:\Windows\System32\jtvvAmk.exe
  2⤵
  PID:9692
- C:\Windows\System32\fuBOSVL.exe
  C:\Windows\System32\fuBOSVL.exe
  2⤵
  PID:9680
- C:\Windows\System32\DFXQPYC.exe
  C:\Windows\System32\DFXQPYC.exe
  2⤵
  PID:9836
- C:\Windows\System32\SjQHiWM.exe
  C:\Windows\System32\SjQHiWM.exe
  2⤵
  PID:9916
- C:\Windows\System32\UhTbqDS.exe
  C:\Windows\System32\UhTbqDS.exe
  2⤵
  PID:9960
- C:\Windows\System32\wMtVTDp.exe
  C:\Windows\System32\wMtVTDp.exe
  2⤵
  PID:10036
- C:\Windows\System32\khDzbsJ.exe
  C:\Windows\System32\khDzbsJ.exe
  2⤵
  PID:10076
- C:\Windows\System32\KuOzFWr.exe
  C:\Windows\System32\KuOzFWr.exe
  2⤵
  PID:10140
- C:\Windows\System32\biYswlT.exe
  C:\Windows\System32\biYswlT.exe
  2⤵
  PID:10180
- C:\Windows\System32\xUVuITR.exe
  C:\Windows\System32\xUVuITR.exe
  2⤵
  PID:9244
- C:\Windows\System32\vZzrdkM.exe
  C:\Windows\System32\vZzrdkM.exe
  2⤵
  PID:9372
- C:\Windows\System32\vRqlXjq.exe
  C:\Windows\System32\vRqlXjq.exe
  2⤵
  PID:9624
- C:\Windows\System32\LbIxxHa.exe
  C:\Windows\System32\LbIxxHa.exe
  2⤵
  PID:9704
- C:\Windows\System32\MMWFCXq.exe
  C:\Windows\System32\MMWFCXq.exe
  2⤵
  PID:9876
- C:\Windows\System32\hFjRPEn.exe
  C:\Windows\System32\hFjRPEn.exe
  2⤵
  PID:10008
- C:\Windows\System32\ISVowwh.exe
  C:\Windows\System32\ISVowwh.exe
  2⤵
  PID:10108
- C:\Windows\System32\JKbaeIX.exe
  C:\Windows\System32\JKbaeIX.exe
  2⤵
  PID:9252
- C:\Windows\System32\btzvEOU.exe
  C:\Windows\System32\btzvEOU.exe
  2⤵
  PID:9792
- C:\Windows\System32\EMHEpYX.exe
  C:\Windows\System32\EMHEpYX.exe
  2⤵
  PID:10196
- C:\Windows\System32\jsnVlSA.exe
  C:\Windows\System32\jsnVlSA.exe
  2⤵
  PID:9464
- C:\Windows\System32\LQiAZUW.exe
  C:\Windows\System32\LQiAZUW.exe
  2⤵
  PID:10252
- C:\Windows\System32\haOAQot.exe
  C:\Windows\System32\haOAQot.exe
  2⤵
  PID:10276
- C:\Windows\System32\aZqzHlM.exe
  C:\Windows\System32\aZqzHlM.exe
  2⤵
  PID:10304
- C:\Windows\System32\qjQwqCm.exe
  C:\Windows\System32\qjQwqCm.exe
  2⤵
  PID:10324
- C:\Windows\System32\OhcnURn.exe
  C:\Windows\System32\OhcnURn.exe
  2⤵
  PID:10352
- C:\Windows\System32\dhKFLNV.exe
  C:\Windows\System32\dhKFLNV.exe
  2⤵
  PID:10376
- C:\Windows\System32\XWrwHkH.exe
  C:\Windows\System32\XWrwHkH.exe
  2⤵
  PID:10404
- C:\Windows\System32\FpsyCUY.exe
  C:\Windows\System32\FpsyCUY.exe
  2⤵
  PID:10428
- C:\Windows\System32\LmucWak.exe
  C:\Windows\System32\LmucWak.exe
  2⤵
  PID:10452
- C:\Windows\System32\uqoHJxk.exe
  C:\Windows\System32\uqoHJxk.exe
  2⤵
  PID:10472
- C:\Windows\System32\JcPjtMs.exe
  C:\Windows\System32\JcPjtMs.exe
  2⤵
  PID:10512
- C:\Windows\System32\tqVpost.exe
  C:\Windows\System32\tqVpost.exe
  2⤵
  PID:10564
- C:\Windows\System32\wnKTail.exe
  C:\Windows\System32\wnKTail.exe
  2⤵
  PID:10596
- C:\Windows\System32\JbnrgUq.exe
  C:\Windows\System32\JbnrgUq.exe
  2⤵
  PID:10628
- C:\Windows\System32\KyDxoXq.exe
  C:\Windows\System32\KyDxoXq.exe
  2⤵
  PID:10644
- C:\Windows\System32\GKmpFBB.exe
  C:\Windows\System32\GKmpFBB.exe
  2⤵
  PID:10712
- C:\Windows\System32\PQfUHPC.exe
  C:\Windows\System32\PQfUHPC.exe
  2⤵
  PID:10736
- C:\Windows\System32\Ygfcrxl.exe
  C:\Windows\System32\Ygfcrxl.exe
  2⤵
  PID:10760
- C:\Windows\System32\FfnbZdU.exe
  C:\Windows\System32\FfnbZdU.exe
  2⤵
  PID:10812
- C:\Windows\System32\ljAgiZx.exe
  C:\Windows\System32\ljAgiZx.exe
  2⤵
  PID:10848
- C:\Windows\System32\mgoACvA.exe
  C:\Windows\System32\mgoACvA.exe
  2⤵
  PID:10868
- C:\Windows\System32\clrrzSd.exe
  C:\Windows\System32\clrrzSd.exe
  2⤵
  PID:10888
- C:\Windows\System32\bxdcqBx.exe
  C:\Windows\System32\bxdcqBx.exe
  2⤵
  PID:10924
- C:\Windows\System32\lMnBYCA.exe
  C:\Windows\System32\lMnBYCA.exe
  2⤵
  PID:10972
- C:\Windows\System32\CgVCuux.exe
  C:\Windows\System32\CgVCuux.exe
  2⤵
  PID:11004
- C:\Windows\System32\ceYeXEh.exe
  C:\Windows\System32\ceYeXEh.exe
  2⤵
  PID:11028
- C:\Windows\System32\qdxmNKR.exe
  C:\Windows\System32\qdxmNKR.exe
  2⤵
  PID:11052
- C:\Windows\System32\CVSnfPl.exe
  C:\Windows\System32\CVSnfPl.exe
  2⤵
  PID:11072
- C:\Windows\System32\WBnWQML.exe
  C:\Windows\System32\WBnWQML.exe
  2⤵
  PID:11100
- C:\Windows\System32\MnTnVqD.exe
  C:\Windows\System32\MnTnVqD.exe
  2⤵
  PID:11132
- C:\Windows\System32\RnMnahO.exe
  C:\Windows\System32\RnMnahO.exe
  2⤵
  PID:11156
- C:\Windows\System32\snKURgV.exe
  C:\Windows\System32\snKURgV.exe
  2⤵
  PID:11180
- C:\Windows\System32\BroFZLe.exe
  C:\Windows\System32\BroFZLe.exe
  2⤵
  PID:11204
- C:\Windows\System32\FZHLoDu.exe
  C:\Windows\System32\FZHLoDu.exe
  2⤵
  PID:11244
- C:\Windows\System32\jaRHJkI.exe
  C:\Windows\System32\jaRHJkI.exe
  2⤵
  PID:9992
- C:\Windows\System32\dkQAoLQ.exe
  C:\Windows\System32\dkQAoLQ.exe
  2⤵
  PID:10292
- C:\Windows\System32\spsqZAU.exe
  C:\Windows\System32\spsqZAU.exe
  2⤵
  PID:10392
- C:\Windows\System32\QVmutbS.exe
  C:\Windows\System32\QVmutbS.exe
  2⤵
  PID:10444
- C:\Windows\System32\gJofeDt.exe
  C:\Windows\System32\gJofeDt.exe
  2⤵
  PID:10536
- C:\Windows\System32\LMxwHSw.exe
  C:\Windows\System32\LMxwHSw.exe
  2⤵
  PID:10576
- C:\Windows\System32\KivIgPg.exe
  C:\Windows\System32\KivIgPg.exe
  2⤵
  PID:10668
- C:\Windows\System32\khuMMyx.exe
  C:\Windows\System32\khuMMyx.exe
  2⤵
  PID:10672
- C:\Windows\System32\mWNfrfw.exe
  C:\Windows\System32\mWNfrfw.exe
  2⤵
  PID:10652
- C:\Windows\System32\InJiwcS.exe
  C:\Windows\System32\InJiwcS.exe
  2⤵
  PID:10732
- C:\Windows\System32\UWiLbeo.exe
  C:\Windows\System32\UWiLbeo.exe
  2⤵
  PID:10744
- C:\Windows\System32\eWFmbke.exe
  C:\Windows\System32\eWFmbke.exe
  2⤵
  PID:10884
- C:\Windows\System32\MBCyajB.exe
  C:\Windows\System32\MBCyajB.exe
  2⤵
  PID:10916
- C:\Windows\System32\RRzRTTf.exe
  C:\Windows\System32\RRzRTTf.exe
  2⤵
  PID:10988
- C:\Windows\System32\CxXhdXC.exe
  C:\Windows\System32\CxXhdXC.exe
  2⤵
  PID:11044
- C:\Windows\System32\MARrzPG.exe
  C:\Windows\System32\MARrzPG.exe
  2⤵
  PID:11108
- C:\Windows\System32\LtniJZH.exe
  C:\Windows\System32\LtniJZH.exe
  2⤵
  PID:11188
- C:\Windows\System32\hBvkxOc.exe
  C:\Windows\System32\hBvkxOc.exe
  2⤵
  PID:11232
- C:\Windows\System32\qaQjhOH.exe
  C:\Windows\System32\qaQjhOH.exe
  2⤵
  PID:10284
- C:\Windows\System32\JMUwHwZ.exe
  C:\Windows\System32\JMUwHwZ.exe
  2⤵
  PID:10436
- C:\Windows\System32\bNezkHt.exe
  C:\Windows\System32\bNezkHt.exe
  2⤵
  PID:10572
- C:\Windows\System32\QMssKkr.exe
  C:\Windows\System32\QMssKkr.exe
  2⤵
  PID:10636
- C:\Windows\System32\JadFQnb.exe
  C:\Windows\System32\JadFQnb.exe
  2⤵
  PID:10584
- C:\Windows\System32\CesGUVH.exe
  C:\Windows\System32\CesGUVH.exe
  2⤵
  PID:10728
- C:\Windows\System32\gGMMmlA.exe
  C:\Windows\System32\gGMMmlA.exe
  2⤵
  PID:10948
- C:\Windows\System32\nNVJkMQ.exe
  C:\Windows\System32\nNVJkMQ.exe
  2⤵
  PID:11152
- C:\Windows\System32\nfnInGI.exe
  C:\Windows\System32\nfnInGI.exe
  2⤵
  PID:10268
- C:\Windows\System32\qObiHmL.exe
  C:\Windows\System32\qObiHmL.exe
  2⤵
  PID:10560
- C:\Windows\System32\JCmsNpb.exe
  C:\Windows\System32\JCmsNpb.exe
  2⤵
  PID:10860
- C:\Windows\System32\LwjwTrP.exe
  C:\Windows\System32\LwjwTrP.exe
  2⤵
  PID:10248
- C:\Windows\System32\JYFgQHO.exe
  C:\Windows\System32\JYFgQHO.exe
  2⤵
  PID:11272
- C:\Windows\System32\wEOeTlV.exe
  C:\Windows\System32\wEOeTlV.exe
  2⤵
  PID:11304
- C:\Windows\System32\DzmiECP.exe
  C:\Windows\System32\DzmiECP.exe
  2⤵
  PID:11524
- C:\Windows\System32\PHnUxll.exe
  C:\Windows\System32\PHnUxll.exe
  2⤵
  PID:11540
- C:\Windows\System32\uvwYiUf.exe
  C:\Windows\System32\uvwYiUf.exe
  2⤵
  PID:11556
- C:\Windows\System32\FpQSTiR.exe
  C:\Windows\System32\FpQSTiR.exe
  2⤵
  PID:11612
- C:\Windows\System32\UZzSAlF.exe
  C:\Windows\System32\UZzSAlF.exe
  2⤵
  PID:11640
- C:\Windows\System32\gbQODmH.exe
  C:\Windows\System32\gbQODmH.exe
  2⤵
  PID:11668
- C:\Windows\System32\jwGRgkb.exe
  C:\Windows\System32\jwGRgkb.exe
  2⤵
  PID:11696
- C:\Windows\System32\WtYnSJH.exe
  C:\Windows\System32\WtYnSJH.exe
  2⤵
  PID:11720
- C:\Windows\System32\DsCfPyv.exe
  C:\Windows\System32\DsCfPyv.exe
  2⤵
  PID:11756
- C:\Windows\System32\nHJzUsT.exe
  C:\Windows\System32\nHJzUsT.exe
  2⤵
  PID:11784
- C:\Windows\System32\CGYhvYl.exe
  C:\Windows\System32\CGYhvYl.exe
  2⤵
  PID:11808
- C:\Windows\System32\gAxIGJc.exe
  C:\Windows\System32\gAxIGJc.exe
  2⤵
  PID:11828
- C:\Windows\System32\ptcLLcT.exe
  C:\Windows\System32\ptcLLcT.exe
  2⤵
  PID:11868
- C:\Windows\System32\UdPpOrD.exe
  C:\Windows\System32\UdPpOrD.exe
  2⤵
  PID:11892
- C:\Windows\System32\qGzoMvQ.exe
  C:\Windows\System32\qGzoMvQ.exe
  2⤵
  PID:11908
- C:\Windows\System32\UiXUQPX.exe
  C:\Windows\System32\UiXUQPX.exe
  2⤵
  PID:11940
- C:\Windows\System32\mVXQfpe.exe
  C:\Windows\System32\mVXQfpe.exe
  2⤵
  PID:11980
- C:\Windows\System32\yOOxOlI.exe
  C:\Windows\System32\yOOxOlI.exe
  2⤵
  PID:12004
- C:\Windows\System32\UXBjjwm.exe
  C:\Windows\System32\UXBjjwm.exe
  2⤵
  PID:12036
- C:\Windows\System32\iPiQRnu.exe
  C:\Windows\System32\iPiQRnu.exe
  2⤵
  PID:12056
- C:\Windows\System32\AnPeXLy.exe
  C:\Windows\System32\AnPeXLy.exe
  2⤵
  PID:12084
- C:\Windows\System32\cSafOvX.exe
  C:\Windows\System32\cSafOvX.exe
  2⤵
  PID:12100
- C:\Windows\System32\QgFWang.exe
  C:\Windows\System32\QgFWang.exe
  2⤵
  PID:12152
- C:\Windows\System32\EAYHFus.exe
  C:\Windows\System32\EAYHFus.exe
  2⤵
  PID:12168
- C:\Windows\System32\USwGBYZ.exe
  C:\Windows\System32\USwGBYZ.exe
  2⤵
  PID:12196
- C:\Windows\System32\umSfdhR.exe
  C:\Windows\System32\umSfdhR.exe
  2⤵
  PID:12224
- C:\Windows\System32\lwWWPls.exe
  C:\Windows\System32\lwWWPls.exe
  2⤵
  PID:12248
- C:\Windows\System32\bqVgBnu.exe
  C:\Windows\System32\bqVgBnu.exe
  2⤵
  PID:12272
- C:\Windows\System32\xVhHlbs.exe
  C:\Windows\System32\xVhHlbs.exe
  2⤵
  PID:10540
- C:\Windows\System32\HvcwEaw.exe
  C:\Windows\System32\HvcwEaw.exe
  2⤵
  PID:11356
- C:\Windows\System32\wNAwjmk.exe
  C:\Windows\System32\wNAwjmk.exe
  2⤵
  PID:11384
- C:\Windows\System32\lgSTKef.exe
  C:\Windows\System32\lgSTKef.exe
  2⤵
  PID:11408
- C:\Windows\System32\SnmGVhc.exe
  C:\Windows\System32\SnmGVhc.exe
  2⤵
  PID:11432
- C:\Windows\System32\ZnUYyLi.exe
  C:\Windows\System32\ZnUYyLi.exe
  2⤵
  PID:11456
- C:\Windows\System32\HyemHfZ.exe
  C:\Windows\System32\HyemHfZ.exe
  2⤵
  PID:11484
- C:\Windows\System32\OLUivPv.exe
  C:\Windows\System32\OLUivPv.exe
  2⤵
  PID:11520
- C:\Windows\System32\TWHPZbQ.exe
  C:\Windows\System32\TWHPZbQ.exe
  2⤵
  PID:11564
- C:\Windows\System32\kgdTrgY.exe
  C:\Windows\System32\kgdTrgY.exe
  2⤵
  PID:11620
- C:\Windows\System32\jlBPHRL.exe
  C:\Windows\System32\jlBPHRL.exe
  2⤵
  PID:11688
- C:\Windows\System32\HsDctna.exe
  C:\Windows\System32\HsDctna.exe
  2⤵
  PID:11764
- C:\Windows\System32\rbmZGnn.exe
  C:\Windows\System32\rbmZGnn.exe
  2⤵
  PID:11824
- C:\Windows\System32\HygaleU.exe
  C:\Windows\System32\HygaleU.exe
  2⤵
  PID:11820
- C:\Windows\System32\nPnPCmk.exe
  C:\Windows\System32\nPnPCmk.exe
  2⤵
  PID:11924
- C:\Windows\System32\bUSAWDv.exe
  C:\Windows\System32\bUSAWDv.exe
  2⤵
  PID:11956
- C:\Windows\System32\tgQRAQR.exe
  C:\Windows\System32\tgQRAQR.exe
  2⤵
  PID:12028
- C:\Windows\System32\cwKaOfk.exe
  C:\Windows\System32\cwKaOfk.exe
  2⤵
  PID:12068
- C:\Windows\System32\TVnchfi.exe
  C:\Windows\System32\TVnchfi.exe
  2⤵
  PID:12124
- C:\Windows\System32\xfBRjhQ.exe
  C:\Windows\System32\xfBRjhQ.exe
  2⤵
  PID:12188
- C:\Windows\System32\lyfamcv.exe
  C:\Windows\System32\lyfamcv.exe
  2⤵
  PID:12236
- C:\Windows\System32\dnSoonN.exe
  C:\Windows\System32\dnSoonN.exe
  2⤵
  PID:11352
- C:\Windows\System32\PEPSuQb.exe
  C:\Windows\System32\PEPSuQb.exe
  2⤵
  PID:11376
- C:\Windows\System32\dkwMYxQ.exe
  C:\Windows\System32\dkwMYxQ.exe
  2⤵
  PID:11464
- C:\Windows\System32\FoHnbvH.exe
  C:\Windows\System32\FoHnbvH.exe
  2⤵
  PID:11628
- C:\Windows\System32\pNQGPdL.exe
  C:\Windows\System32\pNQGPdL.exe
  2⤵
  PID:11732
- C:\Windows\System32\DSzjUxO.exe
  C:\Windows\System32\DSzjUxO.exe
  2⤵
  PID:1560
- C:\Windows\System32\RctIKDd.exe
  C:\Windows\System32\RctIKDd.exe
  2⤵
  PID:3500
- C:\Windows\System32\qkBIGwL.exe
  C:\Windows\System32\qkBIGwL.exe
  2⤵
  PID:11904
- C:\Windows\System32\jjQrQFH.exe
  C:\Windows\System32\jjQrQFH.exe
  2⤵
  PID:4624
- C:\Windows\System32\krhiIlJ.exe
  C:\Windows\System32\krhiIlJ.exe
  2⤵
  PID:12208
- C:\Windows\System32\BpDUfYt.exe
  C:\Windows\System32\BpDUfYt.exe
  2⤵
  PID:11336
- C:\Windows\System32\zkwoAPf.exe
  C:\Windows\System32\zkwoAPf.exe
  2⤵
  PID:11972
- C:\Windows\System32\icacXTJ.exe
  C:\Windows\System32\icacXTJ.exe
  2⤵
  PID:11768
- C:\Windows\System32\upUexSt.exe
  C:\Windows\System32\upUexSt.exe
  2⤵
  PID:11392
- C:\Windows\System32\ctvErCC.exe
  C:\Windows\System32\ctvErCC.exe
  2⤵
  PID:11708
- C:\Windows\System32\zKrfKec.exe
  C:\Windows\System32\zKrfKec.exe
  2⤵
  PID:11884
- C:\Windows\System32\GJcPvKJ.exe
  C:\Windows\System32\GJcPvKJ.exe
  2⤵
  PID:12304
- C:\Windows\System32\fgXUszT.exe
  C:\Windows\System32\fgXUszT.exe
  2⤵
  PID:12328
- C:\Windows\System32\JyLYASj.exe
  C:\Windows\System32\JyLYASj.exe
  2⤵
  PID:12368
- C:\Windows\System32\wIVslIo.exe
  C:\Windows\System32\wIVslIo.exe
  2⤵
  PID:12404
- C:\Windows\System32\PulwvUA.exe
  C:\Windows\System32\PulwvUA.exe
  2⤵
  PID:12424
- C:\Windows\System32\gcmtwMl.exe
  C:\Windows\System32\gcmtwMl.exe
  2⤵
  PID:12460
- C:\Windows\System32\gXmbKXf.exe
  C:\Windows\System32\gXmbKXf.exe
  2⤵
  PID:12488
- C:\Windows\System32\YlqRubi.exe
  C:\Windows\System32\YlqRubi.exe
  2⤵
  PID:12516
- C:\Windows\System32\jvONrhB.exe
  C:\Windows\System32\jvONrhB.exe
  2⤵
  PID:12544
- C:\Windows\System32\KcZPTgt.exe
  C:\Windows\System32\KcZPTgt.exe
  2⤵
  PID:12572
- C:\Windows\System32\RKAEpWw.exe
  C:\Windows\System32\RKAEpWw.exe
  2⤵
  PID:12596
- C:\Windows\System32\GQriBFW.exe
  C:\Windows\System32\GQriBFW.exe
  2⤵
  PID:12628
- C:\Windows\System32\HdZfuZw.exe
  C:\Windows\System32\HdZfuZw.exe
  2⤵
  PID:12648
- C:\Windows\System32\BGbDrLo.exe
  C:\Windows\System32\BGbDrLo.exe
  2⤵
  PID:12676
- C:\Windows\System32\eDOUuXV.exe
  C:\Windows\System32\eDOUuXV.exe
  2⤵
  PID:12704
- C:\Windows\System32\SgXYKUE.exe
  C:\Windows\System32\SgXYKUE.exe
  2⤵
  PID:12740
- C:\Windows\System32\OfbydPE.exe
  C:\Windows\System32\OfbydPE.exe
  2⤵
  PID:12760
- C:\Windows\System32\zJSTjHU.exe
  C:\Windows\System32\zJSTjHU.exe
  2⤵
  PID:12780
- C:\Windows\System32\QjebcnC.exe
  C:\Windows\System32\QjebcnC.exe
  2⤵
  PID:12808
- C:\Windows\System32\PTcUsdQ.exe
  C:\Windows\System32\PTcUsdQ.exe
  2⤵
  PID:12832
- C:\Windows\System32\LFhciXg.exe
  C:\Windows\System32\LFhciXg.exe
  2⤵
  PID:12864
- C:\Windows\System32\ZEFZnzX.exe
  C:\Windows\System32\ZEFZnzX.exe
  2⤵
  PID:12904
- C:\Windows\System32\ylGMqxY.exe
  C:\Windows\System32\ylGMqxY.exe
  2⤵
  PID:12940
- C:\Windows\System32\KQnPSZg.exe
  C:\Windows\System32\KQnPSZg.exe
  2⤵
  PID:12960
- C:\Windows\System32\LaAvCsc.exe
  C:\Windows\System32\LaAvCsc.exe
  2⤵
  PID:12988
- C:\Windows\System32\edEuBOi.exe
  C:\Windows\System32\edEuBOi.exe
  2⤵
  PID:13012
- C:\Windows\System32\iNgLyYT.exe
  C:\Windows\System32\iNgLyYT.exe
  2⤵
  PID:13032
- C:\Windows\System32\CqgXBhG.exe
  C:\Windows\System32\CqgXBhG.exe
  2⤵
  PID:13052
- C:\Windows\System32\XgWlxcl.exe
  C:\Windows\System32\XgWlxcl.exe
  2⤵
  PID:13076
- C:\Windows\System32\rpvFGEQ.exe
  C:\Windows\System32\rpvFGEQ.exe
  2⤵
  PID:13124
- C:\Windows\System32\aHHnDmw.exe
  C:\Windows\System32\aHHnDmw.exe
  2⤵
  PID:13156
- C:\Windows\System32\ctXOfNX.exe
  C:\Windows\System32\ctXOfNX.exe
  2⤵
  PID:13176
- C:\Windows\System32\PNDnYMI.exe
  C:\Windows\System32\PNDnYMI.exe
  2⤵
  PID:13212
- C:\Windows\System32\ObyytLw.exe
  C:\Windows\System32\ObyytLw.exe
  2⤵
  PID:13236
- C:\Windows\System32\TvcIoaL.exe
  C:\Windows\System32\TvcIoaL.exe
  2⤵
  PID:13256
- C:\Windows\System32\vLAHksT.exe
  C:\Windows\System32\vLAHksT.exe
  2⤵
  PID:13292
- C:\Windows\System32\pWyEaNS.exe
  C:\Windows\System32\pWyEaNS.exe
  2⤵
  PID:11964
- C:\Windows\System32\PRUbsPk.exe
  C:\Windows\System32\PRUbsPk.exe
  2⤵
  PID:12344
- C:\Windows\System32\vGbRRmN.exe
  C:\Windows\System32\vGbRRmN.exe
  2⤵
  PID:12416
- C:\Windows\System32\oYcATSY.exe
  C:\Windows\System32\oYcATSY.exe
  2⤵
  PID:12432
- C:\Windows\System32\YXNizav.exe
  C:\Windows\System32\YXNizav.exe
  2⤵
  PID:1768
- C:\Windows\System32\fyvnIEI.exe
  C:\Windows\System32\fyvnIEI.exe
  2⤵
  PID:12556
- C:\Windows\System32\pHDwLVn.exe
  C:\Windows\System32\pHDwLVn.exe
  2⤵
  PID:12640
- C:\Windows\System32\xexXWKS.exe
  C:\Windows\System32\xexXWKS.exe
  2⤵
  PID:12696
- C:\Windows\System32\mpWuyCc.exe
  C:\Windows\System32\mpWuyCc.exe
  2⤵
  PID:12732
- C:\Windows\System32\APYFjOn.exe
  C:\Windows\System32\APYFjOn.exe
  2⤵
  PID:12796
- C:\Windows\System32\wiKvqrf.exe
  C:\Windows\System32\wiKvqrf.exe
  2⤵
  PID:12872
- C:\Windows\System32\MwPpcLR.exe
  C:\Windows\System32\MwPpcLR.exe
  2⤵
  PID:12936
- C:\Windows\System32\EtrNSfZ.exe
  C:\Windows\System32\EtrNSfZ.exe
  2⤵
  PID:13040

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:1032

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\AjpDntj.exe

Filesize
2.0MB

MD5
28ab5b35b0d656cd801331b2bc98aa7a

SHA1
ba8a8813d87d79a342d5d2cf94a9d58165798507

SHA256
7481e67e47889933093797c75e4fe80787b4dd4890834fbf917da0a83e257c55

SHA512
6b849715e961c179d41ec4d27a22af725fbd446f6be08a2717c41affb93ae7b8be4fc3fa5d18204ba019eaee8a8ecc7e1b58002b685aaf52ed941d45536bf1f7

Download Submit
C:\Windows\System32\BgpIMmt.exe

Filesize
2.0MB

MD5
d32b0f75303f7406a5a46d2cb8883cae

SHA1
db1034e9f4fe99b5c00e08114ebc7f02cc3a2e14

SHA256
22bd67e915ab5614df29cdb59adf0f1eb212e997f4ceb34842bb8e0b1f5e1340

SHA512
d55763019c893c35322c49481d5cc253c26347fed887ec574dea5d71a93b47b7d3b78532461e7d90cc42065f26cdfeaca9ca8bd350b45930e0d37a1af7ec8268

Download Submit
C:\Windows\System32\CIIYugw.exe

Filesize
2.0MB

MD5
9b4531501c000ce862d3d1b94d8a440a

SHA1
8f9f86c10a96b9abcb333961aa4f0991cd1da3d0

SHA256
4fdabd367b1ceb8451086fef438aceecc5239ef4895443237aefdfd6582e5f4e

SHA512
ca3f3a9a4ebd578806dc6abb162ce717177728eed63eee20087e82cd28e028af95c745592371ea6574668ec72665fc6d82fe43171e94a825ac01f7a7c8305da6

Download Submit
C:\Windows\System32\DkYwtrs.exe

Filesize
2.0MB

MD5
0be7e58ca2551e438f77d1662f462d55

SHA1
0031988a151fa11cc68cae231e58ac360116bbd3

SHA256
2058bdba5e8812e3fd2317193d39b37d4dac608939413dc38370a327e6c2dbad

SHA512
27e10e67200dbafc9adcf552b73ddf8ff9d8964d277e73aa244f61f38dfedf1e8032e5f482734c19214695949a95336e66cc1586bb24f8ac6e0a68cefa08cdfa

Download Submit
C:\Windows\System32\EedFSOE.exe

Filesize
2.0MB

MD5
f0ff182900933f1851ae90638deddd60

SHA1
be009f88d15c2856ead3b36915e5c0409275b610

SHA256
709fdd8e9e64c5ef84565b1b4b55fa3099743db53e717b36bf4779d08400289c

SHA512
284bcf3b6298fa5b9461913366ea8cae40d457cf30f6b189c602b99203d0e37fa221551dbcc1527db60f7b5b5a382af2f9cb3ea99bd7dbaa36b18a68d7c1d573

Download Submit
C:\Windows\System32\GSVAbvz.exe

Filesize
2.0MB

MD5
40f907c48e60304cd1a41fdeed4bfe6e

SHA1
ae4e9127a75e8a9681f1b9446e48b41e90ee3ff4

SHA256
475f9e942346119823fbbfc2fc025736ab10fe02a23dcda58ee53cf8101cf977

SHA512
29571390280fa206783422ae7c31ccda20bbf821e9ff114978402abdcfd19f7da5115d4c33d3b79c4ef46249d28865ce540d2d15708723a44bf0baaa67893458

Download Submit
C:\Windows\System32\GTmocoy.exe

Filesize
2.0MB

MD5
6a33f9f7aca332ffe530dd4e6972348e

SHA1
c242f6bd836b68e08464d8a139d8dd9e0e58924c

SHA256
caac893779e5b915951b5bd2883da98ce5830fe87a4d7f9e15b83ba34c0cfa9a

SHA512
9eb38fec703505ae5f83ec030f0fddc99e1cefe91cffc8046d4c6747d99da5f13c659040dfa364cffb16cbba4013cb9985d0023b47089d72d5eded22b6ea4afd

Download Submit
C:\Windows\System32\IpkCLCa.exe

Filesize
2.0MB

MD5
dff2f999960982ede06732d3dff1afcc

SHA1
b8e618798344d074420aefe58a07cd4e79249449

SHA256
32de213ada97faf801bab012b64cfe2738a34841a4ce8d7fcbd60188b423289d

SHA512
818bb30e4b0c7105605710495724b0bdf9ec4afd83f40d255a2d70dae6e104dcd31f0b8d1f3c2d1eac8f5b9ef1726d85f269c155f29b27eb5f5efb6818d76b5d

Download Submit
C:\Windows\System32\JhUSJYX.exe

Filesize
1.2MB

MD5
242b93633ef23b86b7ea4ac2126cc176

SHA1
3535105f948da8fe99d698dad4489ed2e63bb0d7

SHA256
e97912963a93955d61064915657390d9fb5672120cffa48c30b5b0baea3921c2

SHA512
0c85f125381c7d981f71d57697295af0c3e61af882d0e6a5133890c0b4704264edc5a50fd53e6ac9e95fcb933d03ed6798ba940da1e98ff5b6c517f04fd506b4

Download Submit
C:\Windows\System32\JhUSJYX.exe

Filesize
2.0MB

MD5
d5e6e6cf6f10652911a455dcf8921860

SHA1
b2a330ef07a8b3829ff4c7e4ef89c118a53f3cd3

SHA256
8f1b81bc3048b4a32c493cbeea45a7cbd9646014c186905232daaf80740f165d

SHA512
77639e4fb38275df5f6c8d9de7ba120e639fe05d60a9c25848e9d8549d1b7925cf1df4d0e9bc291e959598610f0ab7a854007f7895fe7821e039f511f0d615a4

Download Submit
C:\Windows\System32\MHJxFTC.exe

Filesize
2.0MB

MD5
56a1f0fa9b1749f59a4bf01a6f7c6fff

SHA1
2a664b4bfdca7f44c402d94c582a2e8ac61b8c77

SHA256
2a332523aee432769200134c99af74c019b4103fed6ec66948bbaf211a6d44cf

SHA512
ac3dfbdf9e836b9859fa72409426f6a031dd470a33d96ae7f58c6947803d84f0ec5d42682905e95447d4ba8c72218ce51d55ea4e266b14642703a7df7e2dfc31

Download Submit
C:\Windows\System32\MtEGOrs.exe

Filesize
2.0MB

MD5
13877eb8de03e58adfdec8e32c7663e2

SHA1
e81786ed483fd69a187a2d1ccd17208e38c598b6

SHA256
8a70d7221bf325dbb87f65314c151d4eebc072078c8f2b2c0d5e19bf6f9558a8

SHA512
4306d33f07bda24ba26e374473838ab39c6f4e5640bb8d81843725af82b9851a3f5b2eb9cfc33af48a1ed2ff81d0499fbd92658bd73332781d4b0ee7f278d6b9

Download Submit
C:\Windows\System32\NHPavNg.exe

Filesize
2.0MB

MD5
ba014b97daaa404c3ce31a356b0b21f4

SHA1
72eaefb8027af3ec8de5cd2f30dec470c77eb4c7

SHA256
721faea28f9ac8b95109c1d20ccfa2e207ac0ef7013c4bec2cfa306bf322dfff

SHA512
60db9ccbe068f0f7dd16366bf8ac70079b96fae693951c3acd066d25475d07b95558223aba024de20c1b506a304c04d7a5316a1e9ddb0e1bf03c1fea1133351f

Download Submit
C:\Windows\System32\NYPXYdG.exe

Filesize
2.0MB

MD5
54449cf70ee71ba80eb5b3cf93a0fb60

SHA1
ee2a973ee491d46c342537c5851ecebf5ae10703

SHA256
02c22d44064de7d7ac165877c0654532d84c0d90dcef287fc86f6295e687b0a8

SHA512
0c1aface89a3d860e60c37cd0af9ee571f097915fdbcce2d6fe907a42e565ec9bc7a73d18fec0d53498b0c3ecf08deda6ebb2a64ee24aba7529ecb146d82c546

Download Submit
C:\Windows\System32\QKHjSAQ.exe

Filesize
2.0MB

MD5
eac522ecec29a90420e56607691921cd

SHA1
044cc5a3bdc590c39b8f649a0d209d675108708e

SHA256
48ac897cd652451bb3ea792136d0081f4e8f34f84a8e1767b69881a349793c84

SHA512
78959ee7534d79847cd25beefa363ce2967c993699483001f0f1c3a59c35c803480acbead718cf0488eb87b082873c47159e51093bdfa7105b04e045a69ec057

Download Submit
C:\Windows\System32\QnuPqOX.exe

Filesize
2.0MB

MD5
5996e7b2a483c63ab7643ebb51e65cb9

SHA1
88a1409677fd13948e4e39de29fdedec87e25269

SHA256
148c2c3419d9d65ea769b18de45c3a8fe14700990517e30bd31879c8bdad8faf

SHA512
fc88f0468f63cbf1742c38908ad57090379dfe67667e1757d60dcd6995ae6522ac248f2073a5a6e7b1451bbd76c855818b785585c362da7a00fe525868385359

Download Submit
C:\Windows\System32\WaAqmdY.exe

Filesize
2.0MB

MD5
4074f376d0e950f4b602cb08a83511c6

SHA1
a9ea4ee5321473ef5193243b195ccd3f261d831d

SHA256
f29ac9818b69fddc2b527e979ab83904f6c837cf97db30664fe6401fc37b6f8a

SHA512
b67bd87afe39281b5c362b52fec2f884b88ab77897733476139ef4662153b37e02970e772de1b060d8ce268286d6daa15e6c79cb440c175329ae962a3286a464

Download Submit
C:\Windows\System32\XbOrGMS.exe

Filesize
2.0MB

MD5
59846b13c967094c6d6d276f4a81953c

SHA1
34265764523efd55590bf7af5b824b192ac3ebe2

SHA256
f77fd4a642fef27cbb0336b0fc20ec17f0127c490ddcd52659f78401fe18adcf

SHA512
2370c2a00bc9451b7e539649703e67c55f3338a14e24061c6d2cde34c4dd18de78ebadfc52bb5d3d10254222c4ce1b4d6c9e045a7b3c3e6546354fec74fafff6

Download Submit
C:\Windows\System32\XvFUdEM.exe

Filesize
2.0MB

MD5
46049baff95ef4879a3fbc5870db2827

SHA1
45dc534524c2506678d9ffbbcbb717de08aa0f7a

SHA256
29be1894a54a8afa3ba42aa4ae9b092e24c98e8b465a70b72045bcf2fa36481b

SHA512
4d2b385aa83aeded1ef1154d706d5d06de080f0c51a83cfb9a0f442a504dbb2887510ad4084ab9b3dec6d42788c5fc5a5b531ef5fcf88d5dcc27f90662735c52

Download Submit
C:\Windows\System32\ZGoXBLZ.exe

Filesize
2.0MB

MD5
8b80b260081e241adcf274fcb3ad9ad2

SHA1
c168a14c8dacd3aa1d9db0059760035cd6f1ab7d

SHA256
cdba764d73e031a5e0b0bb628cd0e3e051aa447c42d093550360f14053f8fb87

SHA512
2408cc2619b5364c7b72c19287018f7b897aad34355fc2cf5cd47c556ccecaf35378495e3580508520f52fbce5facaea7e9fa077bdfb4776a099fc52349fc67a

Download Submit
C:\Windows\System32\aANiyUU.exe

Filesize
2.0MB

MD5
58cb86331abfcc36e7eef82a42269aab

SHA1
9b39d89bef6ed953e4748922b248394a5500657d

SHA256
b37eaf636f1acfe638459752b0c39516a215736a272786d331ddef800f7efb1a

SHA512
d14ff7bd167a6ca2146c2b593b0650257a10e60dcab4278b90af54ab06c686b96ceda7efa453b2c087f3a28f7ca498441a201877c72de7b1afea645781f41534

Download Submit
C:\Windows\System32\gAKnlJP.exe

Filesize
2.0MB

MD5
2c7ca1c5ef42bc9634cf76b65216a157

SHA1
0d9d9e9ad979a2619a27610709d9d5a64532aafe

SHA256
9d25f3c4b6812010c48f3b6b099d5b71dd7292d2995838787343c67996570d85

SHA512
8aa7e2d339432c3de1733f066f8f062bc701aedfe82f77f3ae77f46b8d9e58e449555eed7521c06c59d733cf80ea894fffd66f43edf2a3ad66385629578f4797

Download Submit
C:\Windows\System32\gblSlCv.exe

Filesize
2.0MB

MD5
cd3053e7ee2e3f9974bf1702ba69e567

SHA1
ad403e6992f21701f61a8eb403a13337dcd8222c

SHA256
bc9fa9bcd2979218f4ef738caa9cf6f1115bdd3fec6685800337d100de43cbd8

SHA512
f76ed7bacf858c5a6ab15fc8e9bf101c332880cbf3f09ab2282ce6a017e25684e09d9ae1a3b35a93a1fe553f73bd5b66b41500f0b702fbc1090fb9f7fececd55

Download Submit
C:\Windows\System32\mZuOBFg.exe

Filesize
2.0MB

MD5
e70c69fb4dba4370d11b89d9c9bf7693

SHA1
cd9f8b34823f3b72c515da4e53c8352a5d3c68d2

SHA256
3d81ff60478d668fff919f30f6322e426f910eb23c96d4ddd5957c223a0ad40e

SHA512
6eeb2768a39c18e2f2b44157e153dd1f71fe74578514a0cd384505878a2646740cec9863d3d8400b4af68569f8d6e92ea1161e7eed5096372dcd687eaf054c0e

Download Submit
C:\Windows\System32\nnfSTEx.exe

Filesize
2.0MB

MD5
a33f6cc27ba594e2cedae56ad7400533

SHA1
9776f151e2c6c57bcbf72f8e7bb084a35c289db4

SHA256
a1019607526f89f87c4942f292694d6ca989717adaec9c817b8ea47496642591

SHA512
5d79667b6976bd42cab5a20944e19c036ef4541ad7ed5666aae4adaf9faa00a41762f8a454655876b703a4128dab8729d3cfcbd6be5cb358c5f2d5aeae329a27

Download Submit
C:\Windows\System32\oWldxQM.exe

Filesize
2.0MB

MD5
934eb90cedf6c381e232e9bdcfaba026

SHA1
36c3d82e8a2d6c7428928d638aa42b54265167a9

SHA256
71e2b683062ae10a25cef6beb42c5a76e8a9a34e454ed39251ea0278543209df

SHA512
1e85444dad05ad6169f74688e336a084180e5123f3bf5cb0ee10467866e6c5ccedab011e28b7458740d52313f8c8a14cd397067570a40e0c7bbece40e9e67969

Download Submit
C:\Windows\System32\qNqyYTf.exe

Filesize
2.0MB

MD5
85c93270c91921872aae37853df1dec4

SHA1
3de3f2a5f329e4724ebcfa2e2a4c3723d29281e3

SHA256
03296dc0d9096d4a6471ad57eb122da7d1b6515b90e51a372822bb75fc23103a

SHA512
c99c1944cc22562f19db4e23d8f2ac3525b5d8bbed46e7d1349f5ff831e22ce838ccc0399f1ec965566eb8d8955660ddd74207efcfeff014738fe58d34b85043

Download Submit
C:\Windows\System32\rzellDw.exe

Filesize
2.0MB

MD5
6931c6e8cff60a8ec1c6fcc3e35e90d1

SHA1
e622f6d4584473527081ae70ce3638107512a40e

SHA256
16d08a567f60811cd748253e268a7ee5b5b4a7e347003248766f70ddc7630679

SHA512
3c93940307fa1c3d401f1a65413150e0932288888d862c7004672a0ea72879211dd963610fbf95972b57483c0b3ae08e4afb9d6407e0de9ffd20a8d0a4aaa3c6

Download Submit
C:\Windows\System32\ttVElhQ.exe

Filesize
2.0MB

MD5
71ff64ba3901a22decc586c4980682c2

SHA1
27cd02af14254c04e2d9fabf62eb8d1d6180f089

SHA256
02818061ac94a27e004fe67af33df946cc46ceb3216149b14e5de45afc4c091b

SHA512
ba6b27d462ea57299586696482b15bc09df4f15250eb7c140d9284e71e03819e85a5a79d0fc2b3926462688a6959dbfb4e212e3ce288b60b4c13772977da62f2

Download Submit
C:\Windows\System32\uSvvhMp.exe

Filesize
2.0MB

MD5
a83613f537a03bb6a29ec12cd594dc3b

SHA1
57e25c30c3b7a850784f4e1b548feaecac46c3fb

SHA256
168b1a006b9cd1d0ac3dde64ee068599d69421f6dff908cfbb64181f13128d96

SHA512
51594b8d0855c28f05077b74aeea5a3fd832474b2adc6de002f6c1ff0f168ead0ca276cc2342cde5e1c732ffc2953d220b3431ddb7fa98052a57ea38dadac9ac

Download Submit
C:\Windows\System32\uhgCNjk.exe

Filesize
2.0MB

MD5
f8225ce2ff1efab6e9c1e1878d9af34b

SHA1
4e73db69b948d4d3f7d8191e96311aba0bc73a95

SHA256
6d80cdb35b6fb18f4c337cec966f021a1d325505279b2c514de984e456c6830c

SHA512
3c909cb53438f62c28f192c2dfbf0df59e0d2f7dfcbb9eac06132000005c763f052f713574a079f4be302be2a601c5eb8f20e860b4ee22ae71c7d74e2e513303

Download Submit
C:\Windows\System32\xSkOpIE.exe

Filesize
2.0MB

MD5
3ace9d923180ff815a693c4200cc1b59

SHA1
a172be12fc8d26dabc55c98ca18556a4f9078985

SHA256
a1b4010ed07b32058c75f825d05a3760ecc257ba2f00d975991ea3b35b005653

SHA512
7db75a4d274129e6c7a9cf5d9c427bf18929bea5e7b7165544af54b71b37f198b5966f841d02a4ed842917b1b9d498e611d3e1d08e4ead88a5339f9f1216a4b0

Download Submit
C:\Windows\System32\yUWGNhi.exe

Filesize
2.0MB

MD5
53442b7aceece52f62fe5f880a4f4946

SHA1
0fa45f8e7246e3b10b903b61e5936c06ca4d2c40

SHA256
ffca3a95aa046935d0dea5db4950e829e0c8a63777f4462564f25501ed8f7770

SHA512
334454a269356e4128d4ff3b3e52dc2a5c25dd3fb80e100a5cf09d718a1dae0d5eda6f94060799ef32e0b2d9339970919fe135aefbe235bbf08b57e27634cadf

Download Submit
memory/844-2041-0x00007FF648230000-0x00007FF648621000-memory.dmp

Filesize
3.9MB

Download
memory/844-53-0x00007FF648230000-0x00007FF648621000-memory.dmp

Filesize
3.9MB

Download
memory/928-2067-0x00007FF61AE60000-0x00007FF61B251000-memory.dmp

Filesize
3.9MB

Download
memory/928-84-0x00007FF61AE60000-0x00007FF61B251000-memory.dmp

Filesize
3.9MB

Download
memory/964-2014-0x00007FF6F89A0000-0x00007FF6F8D91000-memory.dmp

Filesize
3.9MB

Download
memory/964-2085-0x00007FF6F89A0000-0x00007FF6F8D91000-memory.dmp

Filesize
3.9MB

Download
memory/964-103-0x00007FF6F89A0000-0x00007FF6F8D91000-memory.dmp

Filesize
3.9MB

Download
memory/1116-2089-0x00007FF63FCE0000-0x00007FF6400D1000-memory.dmp

Filesize
3.9MB

Download
memory/1116-310-0x00007FF63FCE0000-0x00007FF6400D1000-memory.dmp

Filesize
3.9MB

Download
memory/1364-2178-0x00007FF768DF0000-0x00007FF7691E1000-memory.dmp

Filesize
3.9MB

Download
memory/1364-102-0x00007FF768DF0000-0x00007FF7691E1000-memory.dmp

Filesize
3.9MB

Download
memory/1364-2013-0x00007FF768DF0000-0x00007FF7691E1000-memory.dmp

Filesize
3.9MB

Download
memory/1488-2093-0x00007FF71A400000-0x00007FF71A7F1000-memory.dmp

Filesize
3.9MB

Download
memory/1488-331-0x00007FF71A400000-0x00007FF71A7F1000-memory.dmp

Filesize
3.9MB

Download
memory/1536-2037-0x00007FF702E80000-0x00007FF703271000-memory.dmp

Filesize
3.9MB

Download
memory/1536-18-0x00007FF702E80000-0x00007FF703271000-memory.dmp

Filesize
3.9MB

Download
memory/1536-1992-0x00007FF702E80000-0x00007FF703271000-memory.dmp

Filesize
3.9MB

Download
memory/1588-2095-0x00007FF613730000-0x00007FF613B21000-memory.dmp

Filesize
3.9MB

Download
memory/1588-335-0x00007FF613730000-0x00007FF613B21000-memory.dmp

Filesize
3.9MB

Download
memory/1728-340-0x00007FF709920000-0x00007FF709D11000-memory.dmp

Filesize
3.9MB

Download
memory/1728-2097-0x00007FF709920000-0x00007FF709D11000-memory.dmp

Filesize
3.9MB

Download
memory/1776-2075-0x00007FF7B8B70000-0x00007FF7B8F61000-memory.dmp

Filesize
3.9MB

Download
memory/1776-92-0x00007FF7B8B70000-0x00007FF7B8F61000-memory.dmp

Filesize
3.9MB

Download
memory/1972-101-0x00007FF78FEA0000-0x00007FF790291000-memory.dmp

Filesize
3.9MB

Download
memory/1972-2077-0x00007FF78FEA0000-0x00007FF790291000-memory.dmp

Filesize
3.9MB

Download
memory/2096-2100-0x00007FF72C900000-0x00007FF72CCF1000-memory.dmp

Filesize
3.9MB

Download
memory/2096-341-0x00007FF72C900000-0x00007FF72CCF1000-memory.dmp

Filesize
3.9MB

Download
memory/2532-2028-0x00007FF67A5A0000-0x00007FF67A991000-memory.dmp

Filesize
3.9MB

Download
memory/2532-104-0x00007FF67A5A0000-0x00007FF67A991000-memory.dmp

Filesize
3.9MB

Download
memory/2532-2087-0x00007FF67A5A0000-0x00007FF67A991000-memory.dmp

Filesize
3.9MB

Download
memory/2952-88-0x00007FF73B830000-0x00007FF73BC21000-memory.dmp

Filesize
3.9MB

Download
memory/2952-2079-0x00007FF73B830000-0x00007FF73BC21000-memory.dmp

Filesize
3.9MB

Download
memory/3036-2073-0x00007FF764D30000-0x00007FF765121000-memory.dmp

Filesize
3.9MB

Download
memory/3036-85-0x00007FF764D30000-0x00007FF765121000-memory.dmp

Filesize
3.9MB

Download
memory/3144-2071-0x00007FF70E5E0000-0x00007FF70E9D1000-memory.dmp

Filesize
3.9MB

Download
memory/3144-100-0x00007FF70E5E0000-0x00007FF70E9D1000-memory.dmp

Filesize
3.9MB

Download
memory/3364-94-0x00007FF79A9E0000-0x00007FF79ADD1000-memory.dmp

Filesize
3.9MB

Download
memory/3364-2069-0x00007FF79A9E0000-0x00007FF79ADD1000-memory.dmp

Filesize
3.9MB

Download
memory/3456-1993-0x00007FF69DBB0000-0x00007FF69DFA1000-memory.dmp

Filesize
3.9MB

Download
memory/3456-2039-0x00007FF69DBB0000-0x00007FF69DFA1000-memory.dmp

Filesize
3.9MB

Download
memory/3456-34-0x00007FF69DBB0000-0x00007FF69DFA1000-memory.dmp

Filesize
3.9MB

Download
memory/4420-2035-0x00007FF60CDE0000-0x00007FF60D1D1000-memory.dmp

Filesize
3.9MB

Download
memory/4420-14-0x00007FF60CDE0000-0x00007FF60D1D1000-memory.dmp

Filesize
3.9MB

Download
memory/4440-2091-0x00007FF69F820000-0x00007FF69FC11000-memory.dmp

Filesize
3.9MB

Download
memory/4440-314-0x00007FF69F820000-0x00007FF69FC11000-memory.dmp

Filesize
3.9MB

Download
memory/4792-1-0x0000022CFFF60000-0x0000022CFFF70000-memory.dmp

Filesize
64KB

Download
memory/4792-0-0x00007FF614270000-0x00007FF614661000-memory.dmp

Filesize
3.9MB

Download
memory/4792-2030-0x00007FF614270000-0x00007FF614661000-memory.dmp

Filesize
3.9MB

Download
memory/4804-2081-0x00007FF6AE8C0000-0x00007FF6AECB1000-memory.dmp

Filesize
3.9MB

Download
memory/4804-95-0x00007FF6AE8C0000-0x00007FF6AECB1000-memory.dmp

Filesize
3.9MB

Download
memory/5020-97-0x00007FF682740000-0x00007FF682B31000-memory.dmp

Filesize
3.9MB

Download
memory/5020-2083-0x00007FF682740000-0x00007FF682B31000-memory.dmp

Filesize
3.9MB

Download
memory/5044-98-0x00007FF723AD0000-0x00007FF723EC1000-memory.dmp

Filesize
3.9MB

Download
memory/5044-2043-0x00007FF723AD0000-0x00007FF723EC1000-memory.dmp

Filesize
3.9MB

Download
memory/5048-2061-0x00007FF7BE5E0000-0x00007FF7BE9D1000-memory.dmp

Filesize
3.9MB

Download
memory/5048-81-0x00007FF7BE5E0000-0x00007FF7BE9D1000-memory.dmp

Filesize
3.9MB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads