c67320c0a6c928a96adaa5c2a5114d22c3fb8ad568db726b21aa7163c7450e88

Analysis

max time kernel
150s
max time network
120s
platform
windows7_x64
resource
win7-20240215-en
resource tags

arch:x64arch:x86image:win7-20240215-enlocale:en-usos:windows7-x64system
submitted
22-05-2024 23:55

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

5cb36ba7157ffe1de8777a2ffd6fad90_NeikiAnalytics.exe
Size

51KB
MD5

5cb36ba7157ffe1de8777a2ffd6fad90
SHA1

4ecc01049857a57e191d693e5ab79149440a680f
SHA256

c67320c0a6c928a96adaa5c2a5114d22c3fb8ad568db726b21aa7163c7450e88
SHA512

f614a7a7f42b125351e2f458aa3d97da6bf898f040e647b04f996c53917c1755668cf71cc01658b5f06779a517221d72db8675623ea63fba371199b89a601665
SSDEEP

768:nNAGAkIo/juokwoL7627d9rIiClJAxiFkJT22euOiya6lHOYxY0x0KS3h:nNJb/HkwoLe29UjQ4wqQOLIMVnS3h

Score

10^/10

evasion persistence upx

Malware Config

Signatures

Modifies WinLogon for persistence 2 TTPs 1 IoCs

persistence

Winlogon Helper DLL

T1547.004

Modify Registry

T1112

Processes:

userinit.exe

description	ioc	process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\shell = "C:\\Windows\\explorer.exe, c:\\windows\\system\\userinit.exe"	userinit.exe

Modifies visiblity of hidden/system files in Explorer 2 TTPs 1 IoCs

evasion

Hidden Files and Directories

T1564.001

Modify Registry

T1112

Processes:

userinit.exe

description	ioc	process
Set value (int)	\REGISTRY\USER\S-1-5-21-2248906074-2862704502-246302768-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden = "0"	userinit.exe

Drops file in Drivers directory 3 IoCs

Processes:

userinit.exetaskmgr.exe

description	ioc	process
File opened for modification	\??\c:\windows\SysWOW64\drivers\taskmgr.exe	userinit.exe
File opened for modification	\??\c:\windows\SysWOW64\drivers\csrss.exe	taskmgr.exe
File opened for modification	C:\Windows\SysWOW64\drivers\udsys.exe	userinit.exe

Modifies Installed Components in the registry 2 TTPs 2 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

Processes:

userinit.exe

description	ioc	process
Key created	\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}	userinit.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}\StubPath = "C:\\Users\\Admin\\AppData\\Local\\mrkl.exe MR"	userinit.exe

Executes dropped EXE 64 IoCs

Processes:

userinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exe

pid	process
1160	userinit.exe
2656	taskmgr.exe
2736	csrss.exe
2492	userinit.exe
2480	taskmgr.exe
3008	csrss.exe
2512	userinit.exe
2816	taskmgr.exe
2852	csrss.exe
1464	userinit.exe
1672	taskmgr.exe
1768	csrss.exe
1724	userinit.exe
2772	taskmgr.exe
1544	csrss.exe
1356	userinit.exe
2104	taskmgr.exe
2892	csrss.exe
2328	userinit.exe
476	taskmgr.exe
1108	csrss.exe
844	userinit.exe
2244	taskmgr.exe
2336	csrss.exe
704	userinit.exe
2064	taskmgr.exe
1332	csrss.exe
568	userinit.exe
1696	taskmgr.exe
1776	csrss.exe
988	userinit.exe
1528	taskmgr.exe
1808	csrss.exe
1236	userinit.exe
1824	taskmgr.exe
1420	csrss.exe
3040	userinit.exe
2172	taskmgr.exe
2144	csrss.exe
2720	userinit.exe
2748	taskmgr.exe
2736	csrss.exe
2588	userinit.exe
900	taskmgr.exe
2540	csrss.exe
2516	userinit.exe
2512	taskmgr.exe
2776	csrss.exe
2820	userinit.exe
2932	taskmgr.exe
2948	csrss.exe
816	userinit.exe
1264	taskmgr.exe
2356	csrss.exe
1660	userinit.exe
1568	taskmgr.exe
352	csrss.exe
872	userinit.exe
1704	taskmgr.exe
1524	csrss.exe
1760	userinit.exe
2196	taskmgr.exe
2328	csrss.exe
2892	userinit.exe

Loads dropped DLL 64 IoCs

Processes:

5cb36ba7157ffe1de8777a2ffd6fad90_NeikiAnalytics.exeuserinit.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exe

pid	process
2396	5cb36ba7157ffe1de8777a2ffd6fad90_NeikiAnalytics.exe
2396	5cb36ba7157ffe1de8777a2ffd6fad90_NeikiAnalytics.exe
1160	userinit.exe
1160	userinit.exe
2656	taskmgr.exe
2656	taskmgr.exe
2736	csrss.exe
2736	csrss.exe
1160	userinit.exe
1160	userinit.exe
2480	taskmgr.exe
2480	taskmgr.exe
3008	csrss.exe
3008	csrss.exe
1160	userinit.exe
1160	userinit.exe
2816	taskmgr.exe
2816	taskmgr.exe
2852	csrss.exe
2852	csrss.exe
1160	userinit.exe
1160	userinit.exe
1672	taskmgr.exe
1672	taskmgr.exe
1768	csrss.exe
1768	csrss.exe
1160	userinit.exe
1160	userinit.exe
2772	taskmgr.exe
2772	taskmgr.exe
1544	csrss.exe
1544	csrss.exe
1160	userinit.exe
1160	userinit.exe
2104	taskmgr.exe
2104	taskmgr.exe
2892	csrss.exe
2892	csrss.exe
1160	userinit.exe
1160	userinit.exe
476	taskmgr.exe
476	taskmgr.exe
1108	csrss.exe
1160	userinit.exe
1160	userinit.exe
2244	taskmgr.exe
2244	taskmgr.exe
2336	csrss.exe
1160	userinit.exe
1160	userinit.exe
2064	taskmgr.exe
2064	taskmgr.exe
1332	csrss.exe
1160	userinit.exe
1160	userinit.exe
1696	taskmgr.exe
1696	taskmgr.exe
1776	csrss.exe
1160	userinit.exe
1160	userinit.exe
1528	taskmgr.exe
1528	taskmgr.exe
1808	csrss.exe
1160	userinit.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

Processes:

resource	yara_rule
behavioral1/memory/2396-0-0x0000000000400000-0x0000000000426000-memory.dmp	upx
\Windows\system\userinit.exe	upx
behavioral1/memory/2396-7-0x0000000001EB0000-0x0000000001ED6000-memory.dmp	upx
behavioral1/memory/1160-15-0x0000000000400000-0x0000000000426000-memory.dmp	upx
\Windows\SysWOW64\drivers\taskmgr.exe	upx
behavioral1/memory/2656-29-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1160-27-0x00000000030B0000-0x00000000030D6000-memory.dmp	upx
\Windows\SysWOW64\drivers\csrss.exe	upx
behavioral1/memory/2396-59-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2656-58-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2492-54-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2736-53-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1160-77-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/3008-82-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2512-81-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2480-84-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2852-99-0x0000000002620000-0x0000000002646000-memory.dmp	upx
behavioral1/memory/2816-107-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1464-105-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2852-104-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1160-111-0x00000000030B0000-0x00000000030D6000-memory.dmp	upx
behavioral1/memory/1160-115-0x00000000030B0000-0x00000000030D6000-memory.dmp	upx
behavioral1/memory/1724-126-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1768-128-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1672-130-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2772-134-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1356-149-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2772-152-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2328-168-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2892-171-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2104-172-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1160-177-0x00000000030B0000-0x00000000030D6000-memory.dmp	upx
behavioral1/memory/476-178-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1108-190-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/844-189-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2244-194-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/704-202-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/704-204-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2336-208-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2244-207-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2064-212-0x00000000003B0000-0x00000000003D6000-memory.dmp	upx
behavioral1/memory/2064-220-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1696-224-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1776-232-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/988-231-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1808-238-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1808-245-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1824-249-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1824-256-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1420-258-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1160-259-0x00000000030B0000-0x00000000030D6000-memory.dmp	upx
behavioral1/memory/2144-265-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2720-271-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2144-269-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2748-275-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2588-280-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2588-282-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2748-285-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2736-286-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/900-298-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2512-301-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2512-302-0x00000000002C0000-0x00000000002E6000-memory.dmp	upx
behavioral1/memory/2776-311-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2512-312-0x0000000000400000-0x0000000000426000-memory.dmp	upx

Adds Run key to start application 2 TTPs 2 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

Processes:

userinit.exe

description	ioc	process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\userinit = "c:\\windows\\system\\userinit.exe RO"	userinit.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\csrss = "c:\\windows\\system32\\drivers\\csrss.exe RO"	userinit.exe

Drops file in Windows directory 2 IoCs

Processes:

5cb36ba7157ffe1de8777a2ffd6fad90_NeikiAnalytics.exeuserinit.exe

description	ioc	process
File opened for modification	\??\c:\windows\system\userinit.exe	5cb36ba7157ffe1de8777a2ffd6fad90_NeikiAnalytics.exe
File opened for modification	\??\c:\windows\system\userinit.exe	userinit.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

Suspicious behavior: EnumeratesProcesses 64 IoCs

Processes:

5cb36ba7157ffe1de8777a2ffd6fad90_NeikiAnalytics.exeuserinit.exe

pid	process
2396	5cb36ba7157ffe1de8777a2ffd6fad90_NeikiAnalytics.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe
1160	userinit.exe

Suspicious behavior: GetForegroundWindowSpam 1 IoCs

Processes:

userinit.exe

pid process

1160 userinit.exe

Suspicious use of SetWindowsHookEx 64 IoCs

Processes:

5cb36ba7157ffe1de8777a2ffd6fad90_NeikiAnalytics.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.exe

pid	process
2396	5cb36ba7157ffe1de8777a2ffd6fad90_NeikiAnalytics.exe
1160	userinit.exe
2656	taskmgr.exe
2736	csrss.exe
2492	userinit.exe
1160	userinit.exe
2480	taskmgr.exe
3008	csrss.exe
2512	userinit.exe
2816	taskmgr.exe
2852	csrss.exe
1464	userinit.exe
1672	taskmgr.exe
1768	csrss.exe
1724	userinit.exe
2772	taskmgr.exe
1544	csrss.exe
1356	userinit.exe
2104	taskmgr.exe
2892	csrss.exe
2328	userinit.exe
476	taskmgr.exe
1108	csrss.exe
844	userinit.exe
2244	taskmgr.exe
2336	csrss.exe
704	userinit.exe
2064	taskmgr.exe
1332	csrss.exe
568	userinit.exe
1696	taskmgr.exe
1776	csrss.exe
988	userinit.exe
1528	taskmgr.exe
1808	csrss.exe
1236	userinit.exe
1824	taskmgr.exe
1420	csrss.exe
3040	userinit.exe
2172	taskmgr.exe
2144	csrss.exe
2720	userinit.exe
2748	taskmgr.exe
2736	csrss.exe
2588	userinit.exe
900	taskmgr.exe
2540	csrss.exe
2516	userinit.exe
2512	taskmgr.exe
2776	csrss.exe
2820	userinit.exe
2932	taskmgr.exe
2948	csrss.exe
816	userinit.exe
1264	taskmgr.exe
2356	csrss.exe
1660	userinit.exe
1568	taskmgr.exe
352	csrss.exe
872	userinit.exe
1704	taskmgr.exe
1524	csrss.exe
1760	userinit.exe
2196	taskmgr.exe

Suspicious use of WriteProcessMemory 64 IoCs

Processes:

5cb36ba7157ffe1de8777a2ffd6fad90_NeikiAnalytics.exeuserinit.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exe

description	pid	process	target process
PID 2396 wrote to memory of 1160	2396	5cb36ba7157ffe1de8777a2ffd6fad90_NeikiAnalytics.exe	userinit.exe
PID 2396 wrote to memory of 1160	2396	5cb36ba7157ffe1de8777a2ffd6fad90_NeikiAnalytics.exe	userinit.exe
PID 2396 wrote to memory of 1160	2396	5cb36ba7157ffe1de8777a2ffd6fad90_NeikiAnalytics.exe	userinit.exe
PID 2396 wrote to memory of 1160	2396	5cb36ba7157ffe1de8777a2ffd6fad90_NeikiAnalytics.exe	userinit.exe
PID 1160 wrote to memory of 2656	1160	userinit.exe	taskmgr.exe
PID 1160 wrote to memory of 2656	1160	userinit.exe	taskmgr.exe
PID 1160 wrote to memory of 2656	1160	userinit.exe	taskmgr.exe
PID 1160 wrote to memory of 2656	1160	userinit.exe	taskmgr.exe
PID 2656 wrote to memory of 2736	2656	taskmgr.exe	csrss.exe
PID 2656 wrote to memory of 2736	2656	taskmgr.exe	csrss.exe
PID 2656 wrote to memory of 2736	2656	taskmgr.exe	csrss.exe
PID 2656 wrote to memory of 2736	2656	taskmgr.exe	csrss.exe
PID 2736 wrote to memory of 2492	2736	csrss.exe	userinit.exe
PID 2736 wrote to memory of 2492	2736	csrss.exe	userinit.exe
PID 2736 wrote to memory of 2492	2736	csrss.exe	userinit.exe
PID 2736 wrote to memory of 2492	2736	csrss.exe	userinit.exe
PID 1160 wrote to memory of 2480	1160	userinit.exe	taskmgr.exe
PID 1160 wrote to memory of 2480	1160	userinit.exe	taskmgr.exe
PID 1160 wrote to memory of 2480	1160	userinit.exe	taskmgr.exe
PID 1160 wrote to memory of 2480	1160	userinit.exe	taskmgr.exe
PID 2480 wrote to memory of 3008	2480	taskmgr.exe	csrss.exe
PID 2480 wrote to memory of 3008	2480	taskmgr.exe	csrss.exe
PID 2480 wrote to memory of 3008	2480	taskmgr.exe	csrss.exe
PID 2480 wrote to memory of 3008	2480	taskmgr.exe	csrss.exe
PID 3008 wrote to memory of 2512	3008	csrss.exe	userinit.exe
PID 3008 wrote to memory of 2512	3008	csrss.exe	userinit.exe
PID 3008 wrote to memory of 2512	3008	csrss.exe	userinit.exe
PID 3008 wrote to memory of 2512	3008	csrss.exe	userinit.exe
PID 1160 wrote to memory of 2816	1160	userinit.exe	taskmgr.exe
PID 1160 wrote to memory of 2816	1160	userinit.exe	taskmgr.exe
PID 1160 wrote to memory of 2816	1160	userinit.exe	taskmgr.exe
PID 1160 wrote to memory of 2816	1160	userinit.exe	taskmgr.exe
PID 2816 wrote to memory of 2852	2816	taskmgr.exe	csrss.exe
PID 2816 wrote to memory of 2852	2816	taskmgr.exe	csrss.exe
PID 2816 wrote to memory of 2852	2816	taskmgr.exe	csrss.exe
PID 2816 wrote to memory of 2852	2816	taskmgr.exe	csrss.exe
PID 2852 wrote to memory of 1464	2852	csrss.exe	userinit.exe
PID 2852 wrote to memory of 1464	2852	csrss.exe	userinit.exe
PID 2852 wrote to memory of 1464	2852	csrss.exe	userinit.exe
PID 2852 wrote to memory of 1464	2852	csrss.exe	userinit.exe
PID 1160 wrote to memory of 1672	1160	userinit.exe	taskmgr.exe
PID 1160 wrote to memory of 1672	1160	userinit.exe	taskmgr.exe
PID 1160 wrote to memory of 1672	1160	userinit.exe	taskmgr.exe
PID 1160 wrote to memory of 1672	1160	userinit.exe	taskmgr.exe
PID 1672 wrote to memory of 1768	1672	taskmgr.exe	csrss.exe
PID 1672 wrote to memory of 1768	1672	taskmgr.exe	csrss.exe
PID 1672 wrote to memory of 1768	1672	taskmgr.exe	csrss.exe
PID 1672 wrote to memory of 1768	1672	taskmgr.exe	csrss.exe
PID 1768 wrote to memory of 1724	1768	csrss.exe	userinit.exe
PID 1768 wrote to memory of 1724	1768	csrss.exe	userinit.exe
PID 1768 wrote to memory of 1724	1768	csrss.exe	userinit.exe
PID 1768 wrote to memory of 1724	1768	csrss.exe	userinit.exe
PID 1160 wrote to memory of 2772	1160	userinit.exe	taskmgr.exe
PID 1160 wrote to memory of 2772	1160	userinit.exe	taskmgr.exe
PID 1160 wrote to memory of 2772	1160	userinit.exe	taskmgr.exe
PID 1160 wrote to memory of 2772	1160	userinit.exe	taskmgr.exe
PID 2772 wrote to memory of 1544	2772	taskmgr.exe	csrss.exe
PID 2772 wrote to memory of 1544	2772	taskmgr.exe	csrss.exe
PID 2772 wrote to memory of 1544	2772	taskmgr.exe	csrss.exe
PID 2772 wrote to memory of 1544	2772	taskmgr.exe	csrss.exe
PID 1544 wrote to memory of 1356	1544	csrss.exe	userinit.exe
PID 1544 wrote to memory of 1356	1544	csrss.exe	userinit.exe
PID 1544 wrote to memory of 1356	1544	csrss.exe	userinit.exe
PID 1544 wrote to memory of 1356	1544	csrss.exe	userinit.exe

C:\Users\Admin\AppData\Local\Temp\5cb36ba7157ffe1de8777a2ffd6fad90_NeikiAnalytics.exe
"C:\Users\Admin\AppData\Local\Temp\5cb36ba7157ffe1de8777a2ffd6fad90_NeikiAnalytics.exe"
1⤵
- Loads dropped DLL
- Drops file in Windows directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2396

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
2⤵
- Modifies WinLogon for persistence
- Modifies visiblity of hidden/system files in Explorer
- Drops file in Drivers directory
- Modifies Installed Components in the registry
- Executes dropped EXE
- Loads dropped DLL
- Adds Run key to start application
- Drops file in Windows directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious behavior: GetForegroundWindowSpam
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:1160

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Drops file in Drivers directory
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2656

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2736

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2492

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2480

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:3008

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2512

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2816

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2852

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1464

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:1672

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:1768

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1724

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2772

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:1544

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1356

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:2104

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:2892

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2328

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:476

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:1108

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:844

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:2244

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:2336

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:704

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:2064

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:1332

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:568

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:1696

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:1776

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:988

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:1528

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:1808

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1236

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1824

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1420

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:3040

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2172

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2144

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2720

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2748

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2736

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2588

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:900

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2540

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2516

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2512

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2776

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2820

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2932

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2948

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:816

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1264

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2356

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1660

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1568

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:352

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:872

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1704

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1524

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1760

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2196

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
PID:2328

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
PID:2892

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:696

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1072

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1500

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1064

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1576

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:704

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1400

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1572

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1328

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1664

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1736

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1340

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2192

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1312

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1132

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1236

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2648

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2556

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1796

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2616

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2760

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2488

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2796

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2596

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2680

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2744

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2980

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2484

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2848

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2812

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:812

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1468

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2852

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:556

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2344

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2348

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1672

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2252

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:352

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1356

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2704

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2012

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2288

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2444

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2104

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:764

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:840

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1044

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:696

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1360

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:704

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2068

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2904

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:848

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2072

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2208

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1416

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1664

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2180

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:896

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2192

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1596

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1692

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2572

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2864

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1968

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2500

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2568

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2660

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2876

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2872

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2796

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2520

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2460

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2536

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1956

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2776

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1744

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2964

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2960

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1748

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2952

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2176

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2768

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1652

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1964

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2780

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:640

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1552

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1548

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2704

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1356

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2236

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:604

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1324

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:844

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:840

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1172

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1040

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1576

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1064

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2524

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2904

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2068

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:856

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2064

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1756

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2916

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1204

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1696

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3056

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1628

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3036

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1236

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2928

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2720

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2172

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2464

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2856

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2596

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2584

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2476

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:900

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2480

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2240

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2968

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2840

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1740

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1748

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2852

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1680

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1640

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1604

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1676

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2356

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1652

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:768

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1524

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2896

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:640

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2112

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1444

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2832

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1072

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2328

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:916

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2412

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:840

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:704

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1280

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1104

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1900

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2020

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1736

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1996

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1528

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2324

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:908

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3044

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2192

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:348

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1696

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2864

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1236

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2616

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2888

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2136

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2728

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2736

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2596

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2516

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2984

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1992

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2584

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2744

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2240

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2532

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2848

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2816

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1660

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1732

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2504

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:872

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1676

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2252

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:852

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2128

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1552

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2196

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2104

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:596

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1168

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1356

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1044

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:648

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:784

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:408

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1172

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:848

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1040

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:840

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:304

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1896

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1064

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:308

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2180

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:568

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1736

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2608

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1312

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2324

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2936

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1968

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2060

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2556

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1628

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2676

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2864

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2720

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2500

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2600

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2580

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2980

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2740

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2736

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2476

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2824

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2540

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2640

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2480

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:328

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2812

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2440

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1768

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1640

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2784

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:812

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:352

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2504

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1732

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1524

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2012

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2712

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3028

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2892

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2772

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2704

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1168

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1072

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2000

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2188

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:604

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1324

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:476

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:576

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1976

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:840

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1068

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3032

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2208

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1576

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2076

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:568

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2072

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1756

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1132

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2608

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1620

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2672

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1256

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3036

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2752

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2616

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3000

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2624

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1796

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2136

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2580

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2856

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2588

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2224

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2632

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2800

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2540

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2520

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2964

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1748

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2792

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2960

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1600

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:332

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2348

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2096

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1640

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:872

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2084

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2692

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2900

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2280

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1800

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1320

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1552

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2716

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1500

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:920

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2704

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1688

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2288

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1444

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1400

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1172

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1792

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1280

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:704

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:840

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2020

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:304

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2208

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2180

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1656

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:988

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2316

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1132

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:908

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2688

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2192

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2036

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2556

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2360

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3036

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2676

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2864

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2508

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2728

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3024

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2580

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2220

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2976

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3008

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2476

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2540

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1744

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2944

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2776

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2240

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2812

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1600

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2344

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2784

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:812

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2348

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2504

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1568

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2308

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1676

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:852

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2320

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2696

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1552

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2896

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:536

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1140

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:596

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2328

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:604

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1688

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1604

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:684

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2412

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:848

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1040

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1836

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3032

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1576

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2208

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2076

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2044

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2916

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3056

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1712

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1716

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2832

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1664

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2324

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2060

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2100

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2592

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1796

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2508

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2720

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2500

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2516

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1972

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2680

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2584

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2264

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2496

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2968

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2956

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1616

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2532

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2776

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2768

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1624

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2812

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1640

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2248

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2784

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1832

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1780

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2552

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2560

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2320

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1524

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3028

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1320

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2892

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1864

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2272

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1140

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1444

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:940

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2256

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1324

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2412

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1172

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2092

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1340

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:924

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1848

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2904

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1224

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1572

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1416

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:568

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2076

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1692

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2120

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3056

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2936

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2568

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2616

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2628

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2420

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1668

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2748

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2888

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1032

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1972

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2600

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2980

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2224

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2384

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1152

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2520

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2540

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2968

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2640

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2532

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1616

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2844

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2948

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:772

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2096

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2356

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1580

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1672

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2252

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2712

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2484

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1208

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2772

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2716

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1320

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:640

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:648

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:764

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1864

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:408

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2000

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1444

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2284

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1424

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1608

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2524

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:840

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1900

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2424

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1104

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1656

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2056

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2072

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2604

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2120

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2316

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1808

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2192

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1620

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2228

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2060

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2100

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2660

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2508

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2676

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2796

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2136

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2596

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:900

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2876

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2232

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2984

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1468

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2800

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1904

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2744

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2788

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2812

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1600

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2948

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:556

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2348

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1264

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2564

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:352

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1732

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2196

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1652

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1456

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2040

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:844

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1176

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1168

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:536

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:764

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1816

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:784

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:972

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1636

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1424

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1604

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2400

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1064

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2280

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1340

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2208

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2020

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1576

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1572

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2056

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1656

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:908

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1692

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2620

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2760

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2192

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2324

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3036

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2156

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2616

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2720

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2172

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2660

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2500

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2928

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2136

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1312

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2384

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2232

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1152

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2520

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1644

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2828

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2776

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:816

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2176

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1768

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1796

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1680

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2784

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1708

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1568

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:352

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1780

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2128

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2484

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:356

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2112

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2448

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:592

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:640

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1500

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:536

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2256

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1688

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1084

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:916

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2412

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1444

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1068

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2280

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1332

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1532

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2068

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1528

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2044

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1756

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2180

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1712

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1256

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2832

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2192

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2036

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1864

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:320

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2752

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2228

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2856

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2144

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3024

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2796

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2488

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2600

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2584

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2384

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1312

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2540

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1152

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2232

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2788

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1632

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2344

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2844

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1616

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2352

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2348

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1680

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2864

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2504

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1548

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1580

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2900

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1652

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2196

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2772

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2716

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:844

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1168

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1880

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1960

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1772

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2000

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:536

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:576

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1976

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1324

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1280

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:840

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2400

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1104

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2904

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:304

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1416

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:560

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2056

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2608

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2120

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1736

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1620

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1664

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2760

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2752

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2156

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1808

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2664

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2856

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2228

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2492

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1032

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2380

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2460

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:900

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2632

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2520

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1152

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1956

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2480

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2788

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1644

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2644

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1828

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1624

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1740

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2248

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2692

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2084

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1548

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2504

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2884

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:852

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2116

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1704

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3028

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1320

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2304

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1072

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2964

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2328

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1816

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3048

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1400

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1084

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:536

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2524

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2092

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1280

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3032

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1952

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2400

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:568

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2916

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1340

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2316

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1132

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2604

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2936

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2192

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1948

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2628

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2472

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2760

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2576

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2888

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1668

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2740

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2500

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2596

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2224

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2588

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3008

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:328

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2512

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1468

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2440

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2640

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2232

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2840

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2644

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1904

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2248

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2848

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1236

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2308

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2252

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2692

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2712

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2484

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1780

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2772

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:268

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2804

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:648

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1364

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1168

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:784

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2000

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1108

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:576

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:696

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:916

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1064

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:780

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1964

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:308

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1104

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3032

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1576

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:560

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2300

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1692

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:908

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2064

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:348

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2192

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1776

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2708

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2156

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2688

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2172

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2508

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2576

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2528

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2488

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2536

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:900

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2680

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2736

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2824

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1152

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3008

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2744

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2532

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2968

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2948

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1876

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1768

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1536

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:772

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1904

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1724

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1944

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2308

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:768

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1456

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2564

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2116

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3028

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2696

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1880

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:596

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:844

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1788

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:696

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1172

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:840

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:536

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1324

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1848

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:868

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1900

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:988

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1528

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1532

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1204

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:908

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1340

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1968

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2192

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1696

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2652

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3036

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1628

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2624

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2324

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2676

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2796

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:892

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2740

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2724

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2584

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3024

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2956

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1152

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2800

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1956

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1060

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1744

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2960

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2816

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2948

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:812

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2780

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2932

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1672

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1640

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2252

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2352

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1580

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2128

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1176

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2448

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2900

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2772

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2256

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2540

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:784

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1328

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2964

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1092

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:780

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:840

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:848

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1104

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1896

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2072

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1332

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1572

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1416

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:908

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1656

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2300

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2408

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1592

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1084

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2604

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1636

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2100

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2752

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:320

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2728

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:528

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2928

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2220

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2500

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2724

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:328

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2512

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2636

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2788

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2312

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2440

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2176

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2768

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2452

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2852

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2844

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2952

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2084

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1796

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1904

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2320

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1456

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2560

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2896

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1176

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2692

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1660

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:992

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3048

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:696

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1328

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1108

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1608

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2280

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2092

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1104

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1280

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2904

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1528

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2148

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1756

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1692

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2316

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2936

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2408

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2568

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:448

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1084

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3036

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2888

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2752

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1636

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2576

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1032

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2664

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2536

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2500

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2528

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2460

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1992

MITRE ATT&CK Matrix ATT&CK v13

Initial Access

Execution

Persistence

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Defense Evasion

Modify Registry

T1112

Hide Artifacts

T1564

Hidden Files and Directories

T1564.001

Credential Access

Discovery

System Information Discovery

T1082

Lateral Movement

Collection

Exfiltration

Command and Control

Impact

Resource Development

Reconnaissance

Replay Monitor

Loading Replay Monitor...

Downloads

\Windows\SysWOW64\drivers\csrss.exe
Filesize
51KB

MD5
613aa568f12afc50b8e3aac8d32c5736

SHA1
2f0e69a07e5fa8dc7577b2c2601c058259377bc9

SHA256
7a7c73371a46ddbc3ea4cf91ec7492d5f66b1b0ca71619b04f01508602e1b2af

SHA512
6c082f7273539dfc74e8874fadf10bea6f3875ef9b533b9ac1df78723ca06a2004987c8812ffa4b04eff3674c1af929b2f6e72e2f2a464be84886e1edf1e83a4

Download Submit
\Windows\SysWOW64\drivers\taskmgr.exe
Filesize
51KB

MD5
f624baa7684316ca3ed0fbe6cdefa927

SHA1
0284c45d810847b260fad365140912fe5481472e

SHA256
5c75433b17200c314ad26152106d8d3b329254a7cd63748c76c1ab390c098747

SHA512
f3c5297e706347c84a4295f96d948461359ca04712cd0fb6d55ab6c1cf53d90276692a071604e0c2012efbce3feb41ba6d6adc522e39db40a0b4eeb6bd2753c3

Download Submit
\Windows\system\userinit.exe
Filesize
51KB

MD5
7e2fa7b086f98dbab2fe7f6b268a79a1

SHA1
5153f14246c25b0c36613f1625011f51410cbccf

SHA256
f5102af173b2eabaa055ad4508c9dd255c6cd2d9f21c012c0b7492972be9b893

SHA512
bf2a5daadd185c02f6a9298dd425e89250a9ea1aab9dc20ffa4941705585b81f9e366576bbd1e5218d304f59422d4aa0ae5fc41ff8d5f325d3fc98caf4dff162

Download Submit
memory/352-352-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/476-178-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/704-202-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/704-204-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/844-189-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/872-347-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/872-353-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/900-298-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/988-231-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1108-190-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1160-177-0x00000000030B0000-0x00000000030D6000-memory.dmp

Filesize
152KB

Download
memory/1160-111-0x00000000030B0000-0x00000000030D6000-memory.dmp

Filesize
152KB

Download
memory/1160-64-0x00000000030B0000-0x00000000030D6000-memory.dmp

Filesize
152KB

Download
memory/1160-63-0x00000000030B0000-0x00000000030D6000-memory.dmp

Filesize
152KB

Download
memory/1160-287-0x00000000030B0000-0x00000000030D6000-memory.dmp

Filesize
152KB

Download
memory/1160-314-0x00000000030B0000-0x00000000030D6000-memory.dmp

Filesize
152KB

Download
memory/1160-77-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1160-313-0x00000000030B0000-0x00000000030D6000-memory.dmp

Filesize
152KB

Download
memory/1160-323-0x00000000030B0000-0x00000000030D6000-memory.dmp

Filesize
152KB

Download
memory/1160-330-0x00000000030B0000-0x00000000030D6000-memory.dmp

Filesize
152KB

Download
memory/1160-88-0x00000000030B0000-0x00000000030D6000-memory.dmp

Filesize
152KB

Download
memory/1160-342-0x00000000030B0000-0x00000000030D6000-memory.dmp

Filesize
152KB

Download
memory/1160-264-0x00000000030B0000-0x00000000030D6000-memory.dmp

Filesize
152KB

Download
memory/1160-184-0x00000000030B0000-0x00000000030D6000-memory.dmp

Filesize
152KB

Download
memory/1160-176-0x00000000030B0000-0x00000000030D6000-memory.dmp

Filesize
152KB

Download
memory/1160-27-0x00000000030B0000-0x00000000030D6000-memory.dmp

Filesize
152KB

Download
memory/1160-115-0x00000000030B0000-0x00000000030D6000-memory.dmp

Filesize
152KB

Download
memory/1160-209-0x00000000030B0000-0x00000000030D6000-memory.dmp

Filesize
152KB

Download
memory/1160-223-0x00000000030B0000-0x00000000030D6000-memory.dmp

Filesize
152KB

Download
memory/1160-15-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1160-259-0x00000000030B0000-0x00000000030D6000-memory.dmp

Filesize
152KB

Download
memory/1160-144-0x00000000030B0000-0x00000000030D6000-memory.dmp

Filesize
152KB

Download
memory/1160-28-0x00000000030B0000-0x00000000030D6000-memory.dmp

Filesize
152KB

Download
memory/1160-239-0x00000000030B0000-0x00000000030D6000-memory.dmp

Filesize
152KB

Download
memory/1160-248-0x00000000030B0000-0x00000000030D6000-memory.dmp

Filesize
152KB

Download
memory/1264-331-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1356-149-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1420-258-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1464-105-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1660-337-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1660-339-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1672-130-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1696-224-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1704-357-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1724-126-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1760-364-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1768-128-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1776-232-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1808-238-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1808-245-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1824-256-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1824-249-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2064-212-0x00000000003B0000-0x00000000003D6000-memory.dmp

Filesize
152KB

Download
memory/2064-220-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2104-172-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2144-269-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2144-265-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2244-195-0x0000000001F10000-0x0000000001F36000-memory.dmp

Filesize
152KB

Download
memory/2244-194-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2244-196-0x0000000001F10000-0x0000000001F36000-memory.dmp

Filesize
152KB

Download
memory/2244-207-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2328-168-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2336-208-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2336-201-0x0000000002520000-0x0000000002546000-memory.dmp

Filesize
152KB

Download
memory/2356-336-0x00000000026D0000-0x00000000026F6000-memory.dmp

Filesize
152KB

Download
memory/2356-341-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2396-59-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2396-7-0x0000000001EB0000-0x0000000001ED6000-memory.dmp

Filesize
152KB

Download
memory/2396-12-0x0000000001EB0000-0x0000000001ED6000-memory.dmp

Filesize
152KB

Download
memory/2396-0-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2480-84-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2480-70-0x0000000000510000-0x0000000000536000-memory.dmp

Filesize
152KB

Download
memory/2480-69-0x0000000000510000-0x0000000000536000-memory.dmp

Filesize
152KB

Download
memory/2492-54-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2512-81-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2512-312-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2512-302-0x00000000002C0000-0x00000000002E6000-memory.dmp

Filesize
152KB

Download
memory/2512-301-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2540-292-0x00000000007A0000-0x00000000007C6000-memory.dmp

Filesize
152KB

Download
memory/2588-282-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2588-280-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2656-29-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2656-58-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2720-271-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2736-47-0x0000000002530000-0x0000000002556000-memory.dmp

Filesize
152KB

Download
memory/2736-53-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2736-286-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2748-275-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2748-285-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2772-152-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2772-134-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2776-305-0x0000000002590000-0x00000000025B6000-memory.dmp

Filesize
152KB

Download
memory/2776-311-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2816-107-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2852-104-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2852-99-0x0000000002620000-0x0000000002646000-memory.dmp

Filesize
152KB

Download
memory/2892-171-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2932-325-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2948-327-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2948-319-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3008-82-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Matrix ATT&CK v13

Replay Monitor

Loading Replay Monitor...

Downloads