6a7794978fcfe30cd000ff1659d597f200b8e47d2c2c243e3b3714d52dbfb470

Analysis

max time kernel
150s
max time network
123s
platform
windows7_x64
resource
win7-20240221-en
resource tags

arch:x64arch:x86image:win7-20240221-enlocale:en-usos:windows7-x64system
submitted
22-05-2024 23:46

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

5b315b2277d461fd6a2c56021d97cb50_NeikiAnalytics.exe
Size

51KB
MD5

5b315b2277d461fd6a2c56021d97cb50
SHA1

f13071328f5b5bda88a2a4523e974a94f6e627d0
SHA256

6a7794978fcfe30cd000ff1659d597f200b8e47d2c2c243e3b3714d52dbfb470
SHA512

d03daffbc7f6729d50d7d460cc12b00637988108b619b9008fdbdc24566f128050eddec5a4a12017ddf39c5c7ecd8233e9bcdabbeb36e44db8037b9e0f7effd5
SSDEEP

768:nNAGAkIo/juokwoL7627d9rIiClJAxiFkJT22euOiya6lHOYxY0x0KS3PMMMMMMe:nNJb/HkwoLe29UjQ4wqQOLIMVnS3G

Score

10^/10

evasion persistence upx

Malware Config

Signatures

Modifies WinLogon for persistence 2 TTPs 1 IoCs

persistence

Winlogon Helper DLL

T1547.004

Modify Registry

T1112

Processes:

userinit.exe

description	ioc	process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\shell = "C:\\Windows\\explorer.exe, c:\\windows\\system\\userinit.exe"	userinit.exe

Modifies visiblity of hidden/system files in Explorer 2 TTPs 1 IoCs

evasion

Hidden Files and Directories

T1564.001

Modify Registry

T1112

Processes:

userinit.exe

description	ioc	process
Set value (int)	\REGISTRY\USER\S-1-5-21-330940541-141609230-1670313778-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden = "0"	userinit.exe

Drops file in Drivers directory 3 IoCs

Processes:

userinit.exetaskmgr.exe

description	ioc	process
File opened for modification	\??\c:\windows\SysWOW64\drivers\taskmgr.exe	userinit.exe
File opened for modification	\??\c:\windows\SysWOW64\drivers\csrss.exe	taskmgr.exe
File opened for modification	C:\Windows\SysWOW64\drivers\udsys.exe	userinit.exe

Modifies Installed Components in the registry 2 TTPs 2 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

Processes:

userinit.exe

description	ioc	process
Key created	\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}	userinit.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}\StubPath = "C:\\Users\\Admin\\AppData\\Local\\mrkl.exe MR"	userinit.exe

Executes dropped EXE 64 IoCs

Processes:

userinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exe

pid	process
2532	userinit.exe
2556	taskmgr.exe
2636	csrss.exe
2516	userinit.exe
2412	taskmgr.exe
2392	csrss.exe
1236	userinit.exe
960	taskmgr.exe
588	csrss.exe
2648	userinit.exe
2388	taskmgr.exe
1856	csrss.exe
1080	userinit.exe
2152	taskmgr.exe
1620	csrss.exe
2408	userinit.exe
1744	taskmgr.exe
1676	csrss.exe
2072	userinit.exe
476	taskmgr.exe
3004	csrss.exe
2984	userinit.exe
2136	taskmgr.exe
1308	csrss.exe
1788	userinit.exe
2996	taskmgr.exe
2812	csrss.exe
1964	userinit.exe
1536	taskmgr.exe
2752	csrss.exe
2196	userinit.exe
2044	taskmgr.exe
2820	csrss.exe
2180	userinit.exe
1576	taskmgr.exe
1956	csrss.exe
2460	userinit.exe
2548	taskmgr.exe
3064	csrss.exe
2468	userinit.exe
2488	taskmgr.exe
2564	csrss.exe
2632	userinit.exe
2380	taskmgr.exe
2988	csrss.exe
1492	userinit.exe
684	taskmgr.exe
2324	csrss.exe
2452	userinit.exe
2676	taskmgr.exe
2588	csrss.exe
2692	userinit.exe
1672	taskmgr.exe
1304	csrss.exe
1080	userinit.exe
2388	taskmgr.exe
2172	csrss.exe
1820	userinit.exe
2332	taskmgr.exe
824	csrss.exe
880	userinit.exe
1344	taskmgr.exe
1752	csrss.exe
2072	userinit.exe

Loads dropped DLL 64 IoCs

Processes:

5b315b2277d461fd6a2c56021d97cb50_NeikiAnalytics.exeuserinit.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exe

pid	process
2212	5b315b2277d461fd6a2c56021d97cb50_NeikiAnalytics.exe
2212	5b315b2277d461fd6a2c56021d97cb50_NeikiAnalytics.exe
2532	userinit.exe
2532	userinit.exe
2556	taskmgr.exe
2556	taskmgr.exe
2636	csrss.exe
2532	userinit.exe
2532	userinit.exe
2412	taskmgr.exe
2412	taskmgr.exe
2392	csrss.exe
2532	userinit.exe
2532	userinit.exe
960	taskmgr.exe
960	taskmgr.exe
588	csrss.exe
2532	userinit.exe
2532	userinit.exe
2388	taskmgr.exe
2388	taskmgr.exe
1856	csrss.exe
2532	userinit.exe
2532	userinit.exe
2152	taskmgr.exe
2152	taskmgr.exe
1620	csrss.exe
2532	userinit.exe
2532	userinit.exe
1744	taskmgr.exe
1744	taskmgr.exe
1676	csrss.exe
2532	userinit.exe
2532	userinit.exe
476	taskmgr.exe
476	taskmgr.exe
3004	csrss.exe
2532	userinit.exe
2532	userinit.exe
2136	taskmgr.exe
2136	taskmgr.exe
1308	csrss.exe
2532	userinit.exe
2532	userinit.exe
2996	taskmgr.exe
2996	taskmgr.exe
2812	csrss.exe
2532	userinit.exe
2532	userinit.exe
1536	taskmgr.exe
1536	taskmgr.exe
2752	csrss.exe
2532	userinit.exe
2532	userinit.exe
2044	taskmgr.exe
2044	taskmgr.exe
2820	csrss.exe
2532	userinit.exe
2532	userinit.exe
1576	taskmgr.exe
1576	taskmgr.exe
1956	csrss.exe
2532	userinit.exe
2532	userinit.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

Processes:

resource	yara_rule
behavioral1/memory/2212-0-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2212-7-0x0000000001FF0000-0x0000000002016000-memory.dmp	upx
\Windows\system\userinit.exe	upx
\Windows\SysWOW64\drivers\taskmgr.exe	upx
behavioral1/memory/2532-26-0x0000000001EA0000-0x0000000001EC6000-memory.dmp	upx
\Windows\SysWOW64\drivers\csrss.exe	upx
behavioral1/memory/2636-41-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2556-52-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2636-55-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2212-58-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2516-56-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2532-69-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1236-76-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2412-79-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2392-80-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2532-83-0x0000000001EA0000-0x0000000001EC6000-memory.dmp	upx
behavioral1/memory/588-92-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/960-101-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/588-100-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2388-110-0x0000000001F60000-0x0000000001F86000-memory.dmp	upx
behavioral1/memory/2388-111-0x0000000001F60000-0x0000000001F86000-memory.dmp	upx
behavioral1/memory/1856-122-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2388-123-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1080-121-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2532-127-0x0000000001EA0000-0x0000000001EC6000-memory.dmp	upx
behavioral1/memory/2408-140-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2152-143-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1620-144-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1744-148-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1744-155-0x0000000002340000-0x0000000002366000-memory.dmp	upx
behavioral1/memory/1744-154-0x0000000002340000-0x0000000002366000-memory.dmp	upx
behavioral1/memory/1744-166-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1676-165-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2072-164-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2984-186-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1788-197-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1788-201-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1308-205-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2136-204-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2996-219-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2196-230-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2752-234-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1536-233-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2044-250-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2820-249-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2460-262-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1576-263-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1956-264-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/3064-273-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2548-276-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2532-278-0x0000000001EA0000-0x0000000001EC6000-memory.dmp	upx
behavioral1/memory/2632-287-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2488-290-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2564-289-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2380-294-0x0000000002460000-0x0000000002486000-memory.dmp	upx
behavioral1/memory/1492-304-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2380-305-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2988-301-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2452-314-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/684-316-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2676-327-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2588-328-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2692-330-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2532-331-0x0000000001EA0000-0x0000000001EC6000-memory.dmp	upx

Adds Run key to start application 2 TTPs 2 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

Processes:

userinit.exe

description	ioc	process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\userinit = "c:\\windows\\system\\userinit.exe RO"	userinit.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\csrss = "c:\\windows\\system32\\drivers\\csrss.exe RO"	userinit.exe

Drops file in Windows directory 2 IoCs

Processes:

5b315b2277d461fd6a2c56021d97cb50_NeikiAnalytics.exeuserinit.exe

description	ioc	process
File opened for modification	\??\c:\windows\system\userinit.exe	5b315b2277d461fd6a2c56021d97cb50_NeikiAnalytics.exe
File opened for modification	\??\c:\windows\system\userinit.exe	userinit.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

Suspicious behavior: EnumeratesProcesses 64 IoCs

Processes:

5b315b2277d461fd6a2c56021d97cb50_NeikiAnalytics.exeuserinit.exe

pid	process
2212	5b315b2277d461fd6a2c56021d97cb50_NeikiAnalytics.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe
2532	userinit.exe

Suspicious behavior: GetForegroundWindowSpam 1 IoCs

Processes:

userinit.exe

pid process

2532 userinit.exe

Suspicious use of SetWindowsHookEx 64 IoCs

Processes:

5b315b2277d461fd6a2c56021d97cb50_NeikiAnalytics.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.exe

pid	process
2212	5b315b2277d461fd6a2c56021d97cb50_NeikiAnalytics.exe
2532	userinit.exe
2556	taskmgr.exe
2636	csrss.exe
2516	userinit.exe
2532	userinit.exe
2412	taskmgr.exe
2392	csrss.exe
1236	userinit.exe
960	taskmgr.exe
588	csrss.exe
2648	userinit.exe
2388	taskmgr.exe
1856	csrss.exe
1080	userinit.exe
2152	taskmgr.exe
1620	csrss.exe
2408	userinit.exe
1744	taskmgr.exe
1676	csrss.exe
2072	userinit.exe
476	taskmgr.exe
3004	csrss.exe
2984	userinit.exe
2136	taskmgr.exe
1308	csrss.exe
1788	userinit.exe
2996	taskmgr.exe
2812	csrss.exe
1964	userinit.exe
1536	taskmgr.exe
2752	csrss.exe
2196	userinit.exe
2044	taskmgr.exe
2820	csrss.exe
2180	userinit.exe
1576	taskmgr.exe
1956	csrss.exe
2460	userinit.exe
2548	taskmgr.exe
3064	csrss.exe
2468	userinit.exe
2488	taskmgr.exe
2564	csrss.exe
2632	userinit.exe
2380	taskmgr.exe
2988	csrss.exe
1492	userinit.exe
684	taskmgr.exe
2324	csrss.exe
2452	userinit.exe
2676	taskmgr.exe
2588	csrss.exe
2692	userinit.exe
1672	taskmgr.exe
1304	csrss.exe
1080	userinit.exe
2388	taskmgr.exe
2172	csrss.exe
1820	userinit.exe
2332	taskmgr.exe
824	csrss.exe
880	userinit.exe
1344	taskmgr.exe

Suspicious use of WriteProcessMemory 64 IoCs

Processes:

5b315b2277d461fd6a2c56021d97cb50_NeikiAnalytics.exeuserinit.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exe

description	pid	process	target process
PID 2212 wrote to memory of 2532	2212	5b315b2277d461fd6a2c56021d97cb50_NeikiAnalytics.exe	userinit.exe
PID 2212 wrote to memory of 2532	2212	5b315b2277d461fd6a2c56021d97cb50_NeikiAnalytics.exe	userinit.exe
PID 2212 wrote to memory of 2532	2212	5b315b2277d461fd6a2c56021d97cb50_NeikiAnalytics.exe	userinit.exe
PID 2212 wrote to memory of 2532	2212	5b315b2277d461fd6a2c56021d97cb50_NeikiAnalytics.exe	userinit.exe
PID 2532 wrote to memory of 2556	2532	userinit.exe	taskmgr.exe
PID 2532 wrote to memory of 2556	2532	userinit.exe	taskmgr.exe
PID 2532 wrote to memory of 2556	2532	userinit.exe	taskmgr.exe
PID 2532 wrote to memory of 2556	2532	userinit.exe	taskmgr.exe
PID 2556 wrote to memory of 2636	2556	taskmgr.exe	csrss.exe
PID 2556 wrote to memory of 2636	2556	taskmgr.exe	csrss.exe
PID 2556 wrote to memory of 2636	2556	taskmgr.exe	csrss.exe
PID 2556 wrote to memory of 2636	2556	taskmgr.exe	csrss.exe
PID 2636 wrote to memory of 2516	2636	csrss.exe	userinit.exe
PID 2636 wrote to memory of 2516	2636	csrss.exe	userinit.exe
PID 2636 wrote to memory of 2516	2636	csrss.exe	userinit.exe
PID 2636 wrote to memory of 2516	2636	csrss.exe	userinit.exe
PID 2532 wrote to memory of 2412	2532	userinit.exe	taskmgr.exe
PID 2532 wrote to memory of 2412	2532	userinit.exe	taskmgr.exe
PID 2532 wrote to memory of 2412	2532	userinit.exe	taskmgr.exe
PID 2532 wrote to memory of 2412	2532	userinit.exe	taskmgr.exe
PID 2412 wrote to memory of 2392	2412	taskmgr.exe	csrss.exe
PID 2412 wrote to memory of 2392	2412	taskmgr.exe	csrss.exe
PID 2412 wrote to memory of 2392	2412	taskmgr.exe	csrss.exe
PID 2412 wrote to memory of 2392	2412	taskmgr.exe	csrss.exe
PID 2392 wrote to memory of 1236	2392	csrss.exe	userinit.exe
PID 2392 wrote to memory of 1236	2392	csrss.exe	userinit.exe
PID 2392 wrote to memory of 1236	2392	csrss.exe	userinit.exe
PID 2392 wrote to memory of 1236	2392	csrss.exe	userinit.exe
PID 2532 wrote to memory of 960	2532	userinit.exe	taskmgr.exe
PID 2532 wrote to memory of 960	2532	userinit.exe	taskmgr.exe
PID 2532 wrote to memory of 960	2532	userinit.exe	taskmgr.exe
PID 2532 wrote to memory of 960	2532	userinit.exe	taskmgr.exe
PID 960 wrote to memory of 588	960	taskmgr.exe	csrss.exe
PID 960 wrote to memory of 588	960	taskmgr.exe	csrss.exe
PID 960 wrote to memory of 588	960	taskmgr.exe	csrss.exe
PID 960 wrote to memory of 588	960	taskmgr.exe	csrss.exe
PID 588 wrote to memory of 2648	588	csrss.exe	userinit.exe
PID 588 wrote to memory of 2648	588	csrss.exe	userinit.exe
PID 588 wrote to memory of 2648	588	csrss.exe	userinit.exe
PID 588 wrote to memory of 2648	588	csrss.exe	userinit.exe
PID 2532 wrote to memory of 2388	2532	userinit.exe	taskmgr.exe
PID 2532 wrote to memory of 2388	2532	userinit.exe	taskmgr.exe
PID 2532 wrote to memory of 2388	2532	userinit.exe	taskmgr.exe
PID 2532 wrote to memory of 2388	2532	userinit.exe	taskmgr.exe
PID 2388 wrote to memory of 1856	2388	taskmgr.exe	csrss.exe
PID 2388 wrote to memory of 1856	2388	taskmgr.exe	csrss.exe
PID 2388 wrote to memory of 1856	2388	taskmgr.exe	csrss.exe
PID 2388 wrote to memory of 1856	2388	taskmgr.exe	csrss.exe
PID 1856 wrote to memory of 1080	1856	csrss.exe	userinit.exe
PID 1856 wrote to memory of 1080	1856	csrss.exe	userinit.exe
PID 1856 wrote to memory of 1080	1856	csrss.exe	userinit.exe
PID 1856 wrote to memory of 1080	1856	csrss.exe	userinit.exe
PID 2532 wrote to memory of 2152	2532	userinit.exe	taskmgr.exe
PID 2532 wrote to memory of 2152	2532	userinit.exe	taskmgr.exe
PID 2532 wrote to memory of 2152	2532	userinit.exe	taskmgr.exe
PID 2532 wrote to memory of 2152	2532	userinit.exe	taskmgr.exe
PID 2152 wrote to memory of 1620	2152	taskmgr.exe	csrss.exe
PID 2152 wrote to memory of 1620	2152	taskmgr.exe	csrss.exe
PID 2152 wrote to memory of 1620	2152	taskmgr.exe	csrss.exe
PID 2152 wrote to memory of 1620	2152	taskmgr.exe	csrss.exe
PID 1620 wrote to memory of 2408	1620	csrss.exe	userinit.exe
PID 1620 wrote to memory of 2408	1620	csrss.exe	userinit.exe
PID 1620 wrote to memory of 2408	1620	csrss.exe	userinit.exe
PID 1620 wrote to memory of 2408	1620	csrss.exe	userinit.exe

C:\Users\Admin\AppData\Local\Temp\5b315b2277d461fd6a2c56021d97cb50_NeikiAnalytics.exe
"C:\Users\Admin\AppData\Local\Temp\5b315b2277d461fd6a2c56021d97cb50_NeikiAnalytics.exe"
1⤵
- Loads dropped DLL
- Drops file in Windows directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2212

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
2⤵
- Modifies WinLogon for persistence
- Modifies visiblity of hidden/system files in Explorer
- Drops file in Drivers directory
- Modifies Installed Components in the registry
- Executes dropped EXE
- Loads dropped DLL
- Adds Run key to start application
- Drops file in Windows directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious behavior: GetForegroundWindowSpam
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2532

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Drops file in Drivers directory
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2556

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2636

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2516

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2412

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2392

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1236

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:960

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:588

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2648

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2388

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:1856

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1080

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2152

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:1620

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2408

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:1744

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:1676

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2072

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:476

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:3004

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2984

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:2136

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:1308

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1788

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:2996

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:2812

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1964

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:1536

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:2752

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2196

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:2044

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:2820

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2180

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:1576

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:1956

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2460

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2548

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:3064

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2468

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2488

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2564

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2632

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2380

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2988

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1492

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:684

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2324

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2452

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2676

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2588

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2692

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1672

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1304

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1080

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2388

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2172

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1820

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2332

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:824

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:880

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1344

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
PID:1752

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
PID:2072

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2872

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:644

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:560

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2208

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:940

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:696

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1148

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:340

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1872

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:888

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1984

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2256

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1800

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1712

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1708

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2216

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2232

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2112

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:876

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2124

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2788

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2108

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2628

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2484

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2504

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2600

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2096

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2616

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2344

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2776

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2056

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2060

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2620

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:536

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1864

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2668

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1584

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1960

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2040

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2308

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1668

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1072

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1824

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:928

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2016

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:816

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2260

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2332

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2736

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:916

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1752

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:528

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:372

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1728

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2848

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1324

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:940

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:668

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1972

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1540

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:340

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:600

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1792

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1988

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:488

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1940

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1636

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1712

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2112

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2592

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1596

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1692

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2560

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2852

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1956

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2508

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2396

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2468

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2160

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2424

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2340

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2804

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2780

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1124

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1108

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2684

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2640

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2648

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2032

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2588

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1652

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1460

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1748

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2152

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2444

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2276

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:324

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2284

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:916

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2980

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:436

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2860

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1288

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2848

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1560

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1828

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:944

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1000

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1792

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1964

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1572

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1708

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1536

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1924

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2312

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1800

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2500

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2856

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:876

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2496

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1600

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1956

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2108

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2096

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2504

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2508

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2800

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2488

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2616

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2424

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2620

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1060

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1236

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1760

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2640

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:684

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1852

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1996

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3028

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1960

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1088

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1620

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1624

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1512

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1916

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2880

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2736

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:916

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1204

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1936

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3016

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:372

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1872

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3008

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1992

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1548

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:944

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1976

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1836

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1572

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:340

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2316

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1520

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2180

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1944

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2884

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2696

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2348

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1352

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2856

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2512

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1600

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2352

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2468

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2504

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2624

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2776

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2948

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2360

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2952

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2324

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1508

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:756

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2764

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2588

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1108

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2648

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2172

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1196

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2388

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2076

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1968

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1680

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2444

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1676

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1776

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:324

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1780

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2892

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:880

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2144

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:696

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1284

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1632

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:748

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3012

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2256

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1816

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:368

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2528

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2128

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2304

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1628

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1336

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1944

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2808

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2312

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2592

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:820

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2348

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2580

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2852

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1604

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2196

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2200

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2384

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2508

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2800

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2160

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2504

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2420

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2392

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1608

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:832

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2680

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1760

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2020

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:856

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2676

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2888

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2008

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:924

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2056

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1460

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2728

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2024

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2332

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2864

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:824

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2444

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2984

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1780

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1936

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:964

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:880

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2248

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2908

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2148

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1128

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1612

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3008

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:600

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1972

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:368

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1816

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1964

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2304

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1504

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2820

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1708

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2788

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2712

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2100

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2044

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2512

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:876

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2552

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2352

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2200

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2096

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:572

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2368

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2396

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2364

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2988

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2160

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1492

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2952

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1124

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:332

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:628

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1716

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2472

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1108

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1080

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1088

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1228

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:924

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:816

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2260

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:804

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2152

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2736

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1620

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:324

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1344

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1776

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2860

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:916

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:560

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1660

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:900

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:696

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1148

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2768

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3012

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1976

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1972

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1836

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1628

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2996

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1004

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1944

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2180

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1500

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2312

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2884

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2712

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2224

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1596

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2628

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2584

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2400

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2468

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2708

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2572

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2560

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2344

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2204

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1216

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:536

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2160

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2392

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1760

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:332

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2692

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2676

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:568

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1824

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:540

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1088

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1452

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1624

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2276

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1072

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2264

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2252

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2880

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1204

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1764

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2444

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2892

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2844

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1284

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1660

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:320

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2912

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1128

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1788

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1372

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1984

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2940

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:860

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2996

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1836

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2808

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2104

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2216

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2756

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2788

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2752

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2608

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2512

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2044

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2372

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2856

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2520

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1600

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2308

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1304

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2776

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2876

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2344

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1100

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:572

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:960

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1216

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2668

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2684

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2656

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2412

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1084

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1668

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1012

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2040

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1960

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1460

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2276

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1512

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2072

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1680

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1732

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1344

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1204

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:528

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2004

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2928

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2892

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2980

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1660

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2416

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1992

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2768

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1000

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1076

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:368

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1816

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1572

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1536

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1828

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1964

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2216

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2500

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1500

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3024

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2852

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2604

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2428

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2356

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1952

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2200

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2368

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1304

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:564

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1480

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2344

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2832

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:832

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2360

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:572

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2448

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1508

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2684

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1216

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:684

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2692

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2320

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:856

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2056

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1196

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1528

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2076

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:816

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2680

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2864

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2736

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2052

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2932

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2264

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1620

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2860

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1676

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:916

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1632

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2144

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2908

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1308

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2740

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1992

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1984

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:368

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1976

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1940

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1836

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:340

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1920

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1964

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1504

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2432

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3024

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2500

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2712

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2512

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2224

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2348

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2232

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1952

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2508

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2352

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2572

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2600

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2776

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2424

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3056

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2620

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2804

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2292

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:332

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3064

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1108

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:684

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1584

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2672

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2056

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3028

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1192

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:540

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1196

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1720

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1132

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1460

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1552

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1996

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1512

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:436

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2444

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1728

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1288

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3004

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2880

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:280

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:900

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:964

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1540

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:552

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1076

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2304

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1700

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1128

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2528

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2816

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1636

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2788

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1504

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2808

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2288

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2100

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3024

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2604

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2372

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2512

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2400

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2520

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2084

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2204

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2368

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2476

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2376

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1100

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2160

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:572

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2360

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1060

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1852

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:920

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2032

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1092

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2588

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2692

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1080

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1652

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2040

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:620

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2276

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2252

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1752

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1552

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1680

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:880

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1996

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2844

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2872

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1728

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:916

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3008

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1284

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1324

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1540

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1776

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2256

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1940

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1000

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1988

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2716

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2296

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2996

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:888

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2088

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1692

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2580

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2916

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2772

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2456

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2944

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2224

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2852

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2428

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2508

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2708

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1304

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2572

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2364

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2704

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3056

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:912

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1760

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2396

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1864

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1508

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2448

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:588

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2796

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2168

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2172

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2728

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1684

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1528

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:620

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1652

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:540

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:804

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2252

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2276

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1732

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2724

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2736

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1048

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2872

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2248

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3008

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1148

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2880

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1372

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2768

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:644

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3012

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1784

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1776

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1924

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1000

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2528

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1572

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2296

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1984

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2312

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2884

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:876

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2748

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2916

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3024

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2584

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2608

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1604

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2384

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2600

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2508

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2616

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2504

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2364

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:908

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2800

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2156

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2324

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2396

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1716

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2676

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1060

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:848

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2660

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2168

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1228

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1088

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1080

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1820

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1764

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2720

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:924

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1744

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1168

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2928

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:528

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1680

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1620

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1780

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2824

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1996

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2416

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1728

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2908

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1536

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1372

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2768

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:668

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1976

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2128

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:860

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2716

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1920

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2612

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1700

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2180

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2500

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2088

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2580

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2112

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2340

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1836

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2404

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2224

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2196

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2084

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2600

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2420

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:952

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2344

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2572

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1236

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2800

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:832

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1716

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1376

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:588

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1508

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1060

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2656

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2388

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2472

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:684

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1080

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1820

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2056

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1484

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:628

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2276

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:436

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1168

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2724

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2136

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1680

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2408

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1048

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1780

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1632

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2880

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2892

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1148

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1868

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2768

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1536

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1988

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1076

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:368

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1628

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2716

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:864

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1984

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1700

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1708

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2216

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2432

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2772

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2916

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2944

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2696

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1504

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2608

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2508

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2384

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2420

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2368

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2376

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2704

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2156

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2784

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2392

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1760

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2804

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2672

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:848

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2780

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2280

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1228

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2728

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:920

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1684

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3028

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1624

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1820

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1132

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2276

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:936

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2736

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2260

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2064

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1660

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1872

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2248

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:940

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:944

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2812

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:476

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1980

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:744

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:696

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2768

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1336

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2848

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1544

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2104

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:864

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1692

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1800

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1700

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2100

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2088

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2884

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2216

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2748

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2096

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2308

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2204

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2400

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2196

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2652

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2368

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1352

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1480

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2704

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:572

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1108

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2620

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2684

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2448

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2804

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2160

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2168

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2280

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2292

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2692

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2728

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:924

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2252

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1452

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3028

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:804

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1552

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2072

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1308

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2736

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3016

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1996

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1960

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2872

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3008

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1780

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2444

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1284

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:748

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2820

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2128

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1580

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:900

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:368

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1940

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:860

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1828

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1800

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:864

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2456

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1708

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2604

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3024

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2432

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2944

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1952

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2584

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2856

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2512

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2708

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2196

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2640

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:756

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1476

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2376

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1108

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:572

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3020

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2020

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2620

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:952

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:332

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2480

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1228

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2452

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2412

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2292

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1080

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:324

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2172

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1460

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1652

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2076

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1168

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2072

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1752

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1632

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1512

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2332

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:824

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1204

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2812

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2208

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:600

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1540

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:668

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1336

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1076

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1992

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2940

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2848

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1572

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1588

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2612

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2808

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2460

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2552

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:876

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2604

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:888

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2852

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2520

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2916

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2512

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1188

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2440

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2384

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2196

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3000

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2832

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:756

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2704

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1392

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3056

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:848

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2620

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2324

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2168

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1584

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2480

MITRE ATT&CK Matrix ATT&CK v13

Initial Access

Execution

Persistence

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Defense Evasion

Modify Registry

T1112

Hide Artifacts

T1564

Hidden Files and Directories

T1564.001

Credential Access

Discovery

System Information Discovery

T1082

Lateral Movement

Collection

Exfiltration

Command and Control

Impact

Resource Development

Reconnaissance

Replay Monitor

Loading Replay Monitor...

Downloads

\Windows\SysWOW64\drivers\csrss.exe
Filesize
51KB

MD5
97bbd88d2441e055281209f53f803ac6

SHA1
b223b911034066585420d35c7bbea19f3acb17e5

SHA256
ee326045a09d710b192446108d2d2b97590df17bd7baad33084f591081e661ba

SHA512
735796592e14f6daab344840be6ae0685e7e83ac2e61bda875af203b9addcc91c2e7e08f3d498070119d9b0b29259738bb3cedc9c173dedf4902a48346a5090f

Download Submit
\Windows\SysWOW64\drivers\taskmgr.exe
Filesize
51KB

MD5
abcff5277b92da2902ef1c0a5c05b92d

SHA1
818a61563d09b9c6bc47f98d8ba89525537d51ed

SHA256
912ed4e5259cdb8f52e002d43422548d767c26a805dd7ce5c830dc569209408b

SHA512
c75d678f21391fd51c1ab9a5c6bf487848a13e2855ba98a6ee1449b2cb0be8c9986ec8e75bd0932a5245a870ba41ae3f62559b2329298aacc27c517ce68a5d7a

Download Submit
\Windows\system\userinit.exe
Filesize
51KB

MD5
5754009fba55dd6c0eef9a15aa8735b2

SHA1
ffac7aaf3b11fdbcae75ade0a61f3671e2ff1bc9

SHA256
d0fcf1f56310c5fb84b505fa1796597a4b404cd4f76a21a2e8532ed334912c9d

SHA512
06f3a6d64858b8d3b8d1e333e67f3aefc5208bd7774262d28f997144218ab0f104cc156f0b17385b4bac1ff4c414c2b2a05eab262c808bbf78ce6608e5293428

Download Submit
memory/476-176-0x00000000002D0000-0x00000000002F6000-memory.dmp

Filesize
152KB

Download
memory/588-96-0x0000000002680000-0x00000000026A6000-memory.dmp

Filesize
152KB

Download
memory/588-92-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/588-100-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/684-309-0x00000000003D0000-0x00000000003F6000-memory.dmp

Filesize
152KB

Download
memory/684-316-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/960-101-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/960-90-0x00000000003D0000-0x00000000003F6000-memory.dmp

Filesize
152KB

Download
memory/1080-339-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1080-121-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1236-76-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1308-196-0x0000000001E70000-0x0000000001E96000-memory.dmp

Filesize
152KB

Download
memory/1308-205-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1492-304-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1536-233-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1536-223-0x0000000001E10000-0x0000000001E36000-memory.dmp

Filesize
152KB

Download
memory/1576-254-0x00000000002D0000-0x00000000002F6000-memory.dmp

Filesize
152KB

Download
memory/1576-255-0x00000000002D0000-0x00000000002F6000-memory.dmp

Filesize
152KB

Download
memory/1576-263-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1620-144-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1672-341-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1676-165-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1744-166-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1744-148-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1744-154-0x0000000002340000-0x0000000002366000-memory.dmp

Filesize
152KB

Download
memory/1744-155-0x0000000002340000-0x0000000002366000-memory.dmp

Filesize
152KB

Download
memory/1788-197-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1788-201-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1856-122-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1956-264-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2044-240-0x0000000000830000-0x0000000000856000-memory.dmp

Filesize
152KB

Download
memory/2044-250-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2044-241-0x0000000000830000-0x0000000000856000-memory.dmp

Filesize
152KB

Download
memory/2072-164-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2136-204-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2136-193-0x0000000001C30000-0x0000000001C56000-memory.dmp

Filesize
152KB

Download
memory/2136-192-0x0000000001C30000-0x0000000001C56000-memory.dmp

Filesize
152KB

Download
memory/2152-133-0x00000000003D0000-0x00000000003F6000-memory.dmp

Filesize
152KB

Download
memory/2152-143-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2172-348-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2196-230-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2212-13-0x0000000001FF0000-0x0000000002016000-memory.dmp

Filesize
152KB

Download
memory/2212-0-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2212-7-0x0000000001FF0000-0x0000000002016000-memory.dmp

Filesize
152KB

Download
memory/2212-58-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2332-356-0x00000000002E0000-0x0000000000306000-memory.dmp

Filesize
152KB

Download
memory/2332-357-0x00000000002E0000-0x0000000000306000-memory.dmp

Filesize
152KB

Download
memory/2380-305-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2380-294-0x0000000002460000-0x0000000002486000-memory.dmp

Filesize
152KB

Download
memory/2388-123-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2388-111-0x0000000001F60000-0x0000000001F86000-memory.dmp

Filesize
152KB

Download
memory/2388-110-0x0000000001F60000-0x0000000001F86000-memory.dmp

Filesize
152KB

Download
memory/2392-80-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2408-140-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2412-79-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2412-67-0x0000000000320000-0x0000000000346000-memory.dmp

Filesize
152KB

Download
memory/2452-314-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2460-262-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2488-290-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2516-56-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2532-207-0x0000000001EA0000-0x0000000001EC6000-memory.dmp

Filesize
152KB

Download
memory/2532-206-0x0000000001EA0000-0x0000000001EC6000-memory.dmp

Filesize
152KB

Download
memory/2532-27-0x0000000001EA0000-0x0000000001EC6000-memory.dmp

Filesize
152KB

Download
memory/2532-236-0x0000000001EA0000-0x0000000001EC6000-memory.dmp

Filesize
152KB

Download
memory/2532-237-0x0000000001EA0000-0x0000000001EC6000-memory.dmp

Filesize
152KB

Download
memory/2532-235-0x0000000001EA0000-0x0000000001EC6000-memory.dmp

Filesize
152KB

Download
memory/2532-220-0x0000000001EA0000-0x0000000001EC6000-memory.dmp

Filesize
152KB

Download
memory/2532-26-0x0000000001EA0000-0x0000000001EC6000-memory.dmp

Filesize
152KB

Download
memory/2532-347-0x0000000001EA0000-0x0000000001EC6000-memory.dmp

Filesize
152KB

Download
memory/2532-331-0x0000000001EA0000-0x0000000001EC6000-memory.dmp

Filesize
152KB

Download
memory/2532-60-0x0000000001EA0000-0x0000000001EC6000-memory.dmp

Filesize
152KB

Download
memory/2532-251-0x0000000001EA0000-0x0000000001EC6000-memory.dmp

Filesize
152KB

Download
memory/2532-306-0x0000000001EA0000-0x0000000001EC6000-memory.dmp

Filesize
152KB

Download
memory/2532-127-0x0000000001EA0000-0x0000000001EC6000-memory.dmp

Filesize
152KB

Download
memory/2532-258-0x0000000001EA0000-0x0000000001EC6000-memory.dmp

Filesize
152KB

Download
memory/2532-69-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2532-170-0x0000000001EA0000-0x0000000001EC6000-memory.dmp

Filesize
152KB

Download
memory/2532-171-0x0000000001EA0000-0x0000000001EC6000-memory.dmp

Filesize
152KB

Download
memory/2532-265-0x0000000001EA0000-0x0000000001EC6000-memory.dmp

Filesize
152KB

Download
memory/2532-83-0x0000000001EA0000-0x0000000001EC6000-memory.dmp

Filesize
152KB

Download
memory/2532-105-0x0000000001EA0000-0x0000000001EC6000-memory.dmp

Filesize
152KB

Download
memory/2532-291-0x0000000001EA0000-0x0000000001EC6000-memory.dmp

Filesize
152KB

Download
memory/2532-278-0x0000000001EA0000-0x0000000001EC6000-memory.dmp

Filesize
152KB

Download
memory/2532-277-0x0000000001EA0000-0x0000000001EC6000-memory.dmp

Filesize
152KB

Download
memory/2548-276-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2556-52-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2556-39-0x00000000004B0000-0x00000000004D6000-memory.dmp

Filesize
152KB

Download
memory/2564-289-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2564-283-0x0000000002640000-0x0000000002666000-memory.dmp

Filesize
152KB

Download
memory/2588-328-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2588-322-0x0000000000890000-0x00000000008B6000-memory.dmp

Filesize
152KB

Download
memory/2632-287-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2636-55-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2636-41-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2636-46-0x00000000004F0000-0x0000000000516000-memory.dmp

Filesize
152KB

Download
memory/2676-319-0x00000000005D0000-0x00000000005F6000-memory.dmp

Filesize
152KB

Download
memory/2676-327-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2692-330-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2752-234-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2752-226-0x00000000025D0000-0x00000000025F6000-memory.dmp

Filesize
152KB

Download
memory/2812-213-0x0000000002430000-0x0000000002456000-memory.dmp

Filesize
152KB

Download
memory/2820-244-0x0000000002520000-0x0000000002546000-memory.dmp

Filesize
152KB

Download
memory/2820-249-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2984-186-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2988-301-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2988-297-0x0000000000390000-0x00000000003B6000-memory.dmp

Filesize
152KB

Download
memory/2996-219-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2996-210-0x00000000024C0000-0x00000000024E6000-memory.dmp

Filesize
152KB

Download
memory/3064-270-0x0000000000750000-0x0000000000776000-memory.dmp

Filesize
152KB

Download
memory/3064-273-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Matrix ATT&CK v13

Replay Monitor

Loading Replay Monitor...

Downloads