xmrig | 4d071327a73442a0217d265dac8ddf4149cffa2b8011cf15d0475cbefb10243d

Analysis

max time kernel
139s
max time network
156s
platform
windows10-2004_x64
resource
win10v2004-20240508-en
resource tags

arch:x64arch:x86image:win10v2004-20240508-enlocale:en-usos:windows10-2004-x64system
submitted
22-05-2024 00:31

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
Size

2.6MB
MD5

12867485251bd372a8c752fba6ba2620
SHA1

00b7ecdc3ed1f2f34ee13d75fdee5e3ad8dc5490
SHA256

4d071327a73442a0217d265dac8ddf4149cffa2b8011cf15d0475cbefb10243d
SHA512

d93cad22bc02882469c82296ef2b2f03c618ca98454f3d533cf3ebaa40665bc80888cb17474d3087cb5b442310bc966db44b1d7bff4b52bddc6ee0630495e895
SSDEEP

49152:w0wjnJMOWh50kC1/dVFdx6e0EALKWVTffZiPAcRq6jHjcz8Dze7jcmWH8SKJhSnw:w0GnJMOWPClFdx6e0EALKWVTffZiPAcE

Score

10^/10

xmrig miner upx

Malware Config

Signatures

xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 64 IoCs

miner

Processes:

resource	yara_rule
behavioral2/memory/3016-0-0x00007FF7FB450000-0x00007FF7FB845000-memory.dmp	xmrig
C:\Windows\System32\LVfqdnw.exe	xmrig
C:\Windows\System32\sBEyYBB.exe	xmrig
behavioral2/memory/3548-13-0x00007FF63EA50000-0x00007FF63EE45000-memory.dmp	xmrig
C:\Windows\System32\aEhtWfQ.exe	xmrig
C:\Windows\System32\SKGrKRo.exe	xmrig
C:\Windows\System32\ESKDBAo.exe	xmrig
C:\Windows\System32\qyNwxUQ.exe	xmrig
C:\Windows\System32\glAuUzm.exe	xmrig
C:\Windows\System32\uYZozhl.exe	xmrig
C:\Windows\System32\hWOpFUk.exe	xmrig
C:\Windows\System32\yWdKZfT.exe	xmrig
C:\Windows\System32\ZeGMzVJ.exe	xmrig
C:\Windows\System32\Xohpnpp.exe	xmrig
C:\Windows\System32\BHWsuWS.exe	xmrig
C:\Windows\System32\zXTDSOB.exe	xmrig
C:\Windows\System32\HnZlElv.exe	xmrig
C:\Windows\System32\EZmXeqX.exe	xmrig
C:\Windows\System32\TAjzJqQ.exe	xmrig
C:\Windows\System32\QpbeCvn.exe	xmrig
C:\Windows\System32\cyyvxxP.exe	xmrig
C:\Windows\System32\OCGTGEp.exe	xmrig
C:\Windows\System32\VYrUwml.exe	xmrig
C:\Windows\System32\Ambqmnp.exe	xmrig
C:\Windows\System32\GrOHBzk.exe	xmrig
C:\Windows\System32\rMvyaWj.exe	xmrig
C:\Windows\System32\rNRdNBS.exe	xmrig
C:\Windows\System32\SdreUFV.exe	xmrig
C:\Windows\System32\PWrpNOD.exe	xmrig
C:\Windows\System32\IUAahGx.exe	xmrig
C:\Windows\System32\zofaBYh.exe	xmrig
C:\Windows\System32\iyduuYg.exe	xmrig
C:\Windows\System32\ruDRznl.exe	xmrig
C:\Windows\System32\pbpSzsy.exe	xmrig
behavioral2/memory/4516-17-0x00007FF7CC330000-0x00007FF7CC725000-memory.dmp	xmrig
behavioral2/memory/2684-842-0x00007FF6DC580000-0x00007FF6DC975000-memory.dmp	xmrig
behavioral2/memory/3972-850-0x00007FF775DE0000-0x00007FF7761D5000-memory.dmp	xmrig
behavioral2/memory/1104-845-0x00007FF7647B0000-0x00007FF764BA5000-memory.dmp	xmrig
behavioral2/memory/3416-855-0x00007FF7782F0000-0x00007FF7786E5000-memory.dmp	xmrig
behavioral2/memory/2120-860-0x00007FF7EF090000-0x00007FF7EF485000-memory.dmp	xmrig
behavioral2/memory/3932-869-0x00007FF6C2290000-0x00007FF6C2685000-memory.dmp	xmrig
behavioral2/memory/452-881-0x00007FF6E2190000-0x00007FF6E2585000-memory.dmp	xmrig
behavioral2/memory/1680-892-0x00007FF6185B0000-0x00007FF6189A5000-memory.dmp	xmrig
behavioral2/memory/3288-903-0x00007FF7AE750000-0x00007FF7AEB45000-memory.dmp	xmrig
behavioral2/memory/2316-910-0x00007FF636E40000-0x00007FF637235000-memory.dmp	xmrig
behavioral2/memory/3324-877-0x00007FF6E13C0000-0x00007FF6E17B5000-memory.dmp	xmrig
behavioral2/memory/4956-937-0x00007FF76E800000-0x00007FF76EBF5000-memory.dmp	xmrig
behavioral2/memory/4432-941-0x00007FF605E30000-0x00007FF606225000-memory.dmp	xmrig
behavioral2/memory/336-932-0x00007FF786B50000-0x00007FF786F45000-memory.dmp	xmrig
behavioral2/memory/3244-930-0x00007FF708370000-0x00007FF708765000-memory.dmp	xmrig
behavioral2/memory/900-926-0x00007FF643530000-0x00007FF643925000-memory.dmp	xmrig
behavioral2/memory/4472-950-0x00007FF7A7300000-0x00007FF7A76F5000-memory.dmp	xmrig
behavioral2/memory/1040-957-0x00007FF774090000-0x00007FF774485000-memory.dmp	xmrig
behavioral2/memory/1424-966-0x00007FF7A74F0000-0x00007FF7A78E5000-memory.dmp	xmrig
behavioral2/memory/2344-973-0x00007FF729280000-0x00007FF729675000-memory.dmp	xmrig
behavioral2/memory/1392-974-0x00007FF6F6290000-0x00007FF6F6685000-memory.dmp	xmrig
behavioral2/memory/1220-988-0x00007FF6595A0000-0x00007FF659995000-memory.dmp	xmrig
behavioral2/memory/3016-1913-0x00007FF7FB450000-0x00007FF7FB845000-memory.dmp	xmrig
behavioral2/memory/4516-1914-0x00007FF7CC330000-0x00007FF7CC725000-memory.dmp	xmrig
behavioral2/memory/3548-1915-0x00007FF63EA50000-0x00007FF63EE45000-memory.dmp	xmrig
behavioral2/memory/1392-1916-0x00007FF6F6290000-0x00007FF6F6685000-memory.dmp	xmrig
behavioral2/memory/4516-1917-0x00007FF7CC330000-0x00007FF7CC725000-memory.dmp	xmrig
behavioral2/memory/1220-1918-0x00007FF6595A0000-0x00007FF659995000-memory.dmp	xmrig
behavioral2/memory/2120-1922-0x00007FF7EF090000-0x00007FF7EF485000-memory.dmp	xmrig

Executes dropped EXE 64 IoCs

Processes:

LVfqdnw.exesBEyYBB.exeaEhtWfQ.exepbpSzsy.exeSKGrKRo.exeESKDBAo.exeruDRznl.exeiyduuYg.exeqyNwxUQ.exezofaBYh.exeIUAahGx.exeglAuUzm.exePWrpNOD.exeuYZozhl.exeSdreUFV.exehWOpFUk.exerNRdNBS.exerMvyaWj.exeGrOHBzk.exeyWdKZfT.exeAmbqmnp.exeVYrUwml.exeOCGTGEp.execyyvxxP.exeQpbeCvn.exeTAjzJqQ.exeEZmXeqX.exeZeGMzVJ.exeHnZlElv.exezXTDSOB.exeBHWsuWS.exeXohpnpp.exefDqSqHF.exeJzPrMfH.exeZjKcpSU.exeKKneKaU.exexWVIXIb.exeVXKKtHX.exeSRNjfXC.exegZiMxiA.exeTWzjZKT.exeAMfstrq.exeQOKXiWB.exelSkaNvG.exenoqXflY.exemcfzjst.exeIoVuNdl.exeVkCGQPQ.exergMjHWq.execQRfsbI.exeKcqeuRH.exessLTecp.exeXRHwAJy.exeRurEprQ.exehkUxzNd.exeSWyMmxR.exebPOvhDU.exeKftdFbh.exeIIeYEsc.exevloyPfn.exezyTnQKm.exeQXwSTmN.exeWzgtcRW.exegFTzgnH.exe

pid	process
3548	LVfqdnw.exe
1392	sBEyYBB.exe
4516	aEhtWfQ.exe
1220	pbpSzsy.exe
2684	SKGrKRo.exe
1104	ESKDBAo.exe
3972	ruDRznl.exe
3416	iyduuYg.exe
2120	qyNwxUQ.exe
3932	zofaBYh.exe
3324	IUAahGx.exe
452	glAuUzm.exe
1680	PWrpNOD.exe
3288	uYZozhl.exe
2316	SdreUFV.exe
900	hWOpFUk.exe
3244	rNRdNBS.exe
336	rMvyaWj.exe
4956	GrOHBzk.exe
4432	yWdKZfT.exe
4472	Ambqmnp.exe
1040	VYrUwml.exe
1424	OCGTGEp.exe
2344	cyyvxxP.exe
3596	QpbeCvn.exe
2232	TAjzJqQ.exe
60	EZmXeqX.exe
2200	ZeGMzVJ.exe
3728	HnZlElv.exe
4744	zXTDSOB.exe
3388	BHWsuWS.exe
4832	Xohpnpp.exe
4860	fDqSqHF.exe
5024	JzPrMfH.exe
3916	ZjKcpSU.exe
1708	KKneKaU.exe
676	xWVIXIb.exe
1652	VXKKtHX.exe
3140	SRNjfXC.exe
1952	gZiMxiA.exe
972	TWzjZKT.exe
4364	AMfstrq.exe
1724	QOKXiWB.exe
968	lSkaNvG.exe
3580	noqXflY.exe
1900	mcfzjst.exe
4128	IoVuNdl.exe
4396	VkCGQPQ.exe
4384	rgMjHWq.exe
4544	cQRfsbI.exe
1592	KcqeuRH.exe
540	ssLTecp.exe
4972	XRHwAJy.exe
4452	RurEprQ.exe
4076	hkUxzNd.exe
5028	SWyMmxR.exe
4716	bPOvhDU.exe
1676	KftdFbh.exe
1296	IIeYEsc.exe
1704	vloyPfn.exe
3764	zyTnQKm.exe
556	QXwSTmN.exe
2576	WzgtcRW.exe
1188	gFTzgnH.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

Processes:

resource	yara_rule
behavioral2/memory/3016-0-0x00007FF7FB450000-0x00007FF7FB845000-memory.dmp	upx
C:\Windows\System32\LVfqdnw.exe	upx
C:\Windows\System32\sBEyYBB.exe	upx
behavioral2/memory/3548-13-0x00007FF63EA50000-0x00007FF63EE45000-memory.dmp	upx
C:\Windows\System32\aEhtWfQ.exe	upx
C:\Windows\System32\SKGrKRo.exe	upx
C:\Windows\System32\ESKDBAo.exe	upx
C:\Windows\System32\qyNwxUQ.exe	upx
C:\Windows\System32\glAuUzm.exe	upx
C:\Windows\System32\uYZozhl.exe	upx
C:\Windows\System32\hWOpFUk.exe	upx
C:\Windows\System32\yWdKZfT.exe	upx
C:\Windows\System32\ZeGMzVJ.exe	upx
C:\Windows\System32\Xohpnpp.exe	upx
C:\Windows\System32\BHWsuWS.exe	upx
C:\Windows\System32\zXTDSOB.exe	upx
C:\Windows\System32\HnZlElv.exe	upx
C:\Windows\System32\EZmXeqX.exe	upx
C:\Windows\System32\TAjzJqQ.exe	upx
C:\Windows\System32\QpbeCvn.exe	upx
C:\Windows\System32\cyyvxxP.exe	upx
C:\Windows\System32\OCGTGEp.exe	upx
C:\Windows\System32\VYrUwml.exe	upx
C:\Windows\System32\Ambqmnp.exe	upx
C:\Windows\System32\GrOHBzk.exe	upx
C:\Windows\System32\rMvyaWj.exe	upx
C:\Windows\System32\rNRdNBS.exe	upx
C:\Windows\System32\SdreUFV.exe	upx
C:\Windows\System32\PWrpNOD.exe	upx
C:\Windows\System32\IUAahGx.exe	upx
C:\Windows\System32\zofaBYh.exe	upx
C:\Windows\System32\iyduuYg.exe	upx
C:\Windows\System32\ruDRznl.exe	upx
C:\Windows\System32\pbpSzsy.exe	upx
behavioral2/memory/4516-17-0x00007FF7CC330000-0x00007FF7CC725000-memory.dmp	upx
behavioral2/memory/2684-842-0x00007FF6DC580000-0x00007FF6DC975000-memory.dmp	upx
behavioral2/memory/3972-850-0x00007FF775DE0000-0x00007FF7761D5000-memory.dmp	upx
behavioral2/memory/1104-845-0x00007FF7647B0000-0x00007FF764BA5000-memory.dmp	upx
behavioral2/memory/3416-855-0x00007FF7782F0000-0x00007FF7786E5000-memory.dmp	upx
behavioral2/memory/2120-860-0x00007FF7EF090000-0x00007FF7EF485000-memory.dmp	upx
behavioral2/memory/3932-869-0x00007FF6C2290000-0x00007FF6C2685000-memory.dmp	upx
behavioral2/memory/452-881-0x00007FF6E2190000-0x00007FF6E2585000-memory.dmp	upx
behavioral2/memory/1680-892-0x00007FF6185B0000-0x00007FF6189A5000-memory.dmp	upx
behavioral2/memory/3288-903-0x00007FF7AE750000-0x00007FF7AEB45000-memory.dmp	upx
behavioral2/memory/2316-910-0x00007FF636E40000-0x00007FF637235000-memory.dmp	upx
behavioral2/memory/3324-877-0x00007FF6E13C0000-0x00007FF6E17B5000-memory.dmp	upx
behavioral2/memory/4956-937-0x00007FF76E800000-0x00007FF76EBF5000-memory.dmp	upx
behavioral2/memory/4432-941-0x00007FF605E30000-0x00007FF606225000-memory.dmp	upx
behavioral2/memory/336-932-0x00007FF786B50000-0x00007FF786F45000-memory.dmp	upx
behavioral2/memory/3244-930-0x00007FF708370000-0x00007FF708765000-memory.dmp	upx
behavioral2/memory/900-926-0x00007FF643530000-0x00007FF643925000-memory.dmp	upx
behavioral2/memory/4472-950-0x00007FF7A7300000-0x00007FF7A76F5000-memory.dmp	upx
behavioral2/memory/1040-957-0x00007FF774090000-0x00007FF774485000-memory.dmp	upx
behavioral2/memory/1424-966-0x00007FF7A74F0000-0x00007FF7A78E5000-memory.dmp	upx
behavioral2/memory/2344-973-0x00007FF729280000-0x00007FF729675000-memory.dmp	upx
behavioral2/memory/1392-974-0x00007FF6F6290000-0x00007FF6F6685000-memory.dmp	upx
behavioral2/memory/1220-988-0x00007FF6595A0000-0x00007FF659995000-memory.dmp	upx
behavioral2/memory/3016-1913-0x00007FF7FB450000-0x00007FF7FB845000-memory.dmp	upx
behavioral2/memory/4516-1914-0x00007FF7CC330000-0x00007FF7CC725000-memory.dmp	upx
behavioral2/memory/3548-1915-0x00007FF63EA50000-0x00007FF63EE45000-memory.dmp	upx
behavioral2/memory/1392-1916-0x00007FF6F6290000-0x00007FF6F6685000-memory.dmp	upx
behavioral2/memory/4516-1917-0x00007FF7CC330000-0x00007FF7CC725000-memory.dmp	upx
behavioral2/memory/1220-1918-0x00007FF6595A0000-0x00007FF659995000-memory.dmp	upx
behavioral2/memory/2120-1922-0x00007FF7EF090000-0x00007FF7EF485000-memory.dmp	upx

Drops file in System32 directory 64 IoCs

Processes:

12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe

description	ioc	process
File created	C:\Windows\System32\shyhELn.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\erIujXe.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\sBnqmiW.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\TvpPHVb.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\KftdFbh.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\Poyuhze.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\sEsanXk.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\tjQRtTQ.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\hkUxzNd.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\KdssWjk.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\GZLwKht.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\GiTkJVi.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\jGHcJRF.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\vcUpokc.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\fArUZvE.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\SDxsCqO.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\EepzERm.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\NwmKHgi.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\HqBhjNM.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\oquXrUE.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\IkrgPCE.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\vPcQkpK.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\BMjGeKJ.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\XihswvL.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\nMLoZZT.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\tnrgAXm.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\ypjIxZC.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\uBhWPex.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\xpbWWSZ.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\hWOpFUk.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\GrOHBzk.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\BHWsuWS.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\FzFLdBP.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\vAoOLml.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\HYXASGl.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\YtUvEwv.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\YbXUgkj.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\DBYZIgn.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\UFfvTXI.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\fDksBZO.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\PPZkpCH.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\mkoOmBf.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\ZIBIEnx.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\ELYeTbT.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\gnlgnNk.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\ZLyRucd.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\duNNocQ.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\YGziLjx.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\jaKJcXs.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\afYBbmq.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\vVYXbmq.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\WYHuTZV.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\ekzNnzo.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\iyJkhHv.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\AiItclZ.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\GNrfCiB.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\ruDRznl.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\eKcFQKf.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\SUVecyM.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\CbTseyq.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\vbQUEyY.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\cCMscel.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\wkFfPPX.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
File created	C:\Windows\System32\QIJfMIF.exe	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe

Checks SCSI registry key(s) 3 TTPs 6 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

Processes:

dwm.exe

description	ioc	process
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\HardwareID	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_QEMU&PROD_QEMU_DVD-ROM\4&215468A5&0&010000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_DADY&PROD_HARDDISK\4&215468A5&0&000000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\ConfigFlags	dwm.exe

Enumerates system info in registry 2 TTPs 2 IoCs

Query Registry

T1012

System Information Discovery

T1082

Processes:

dwm.exe

description	ioc	process
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe

Modifies data under HKEY_USERS 18 IoCs

Processes:

dwm.exe

description	ioc	process
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2a\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe

Suspicious use of AdjustPrivilegeToken 6 IoCs

Processes:

dwm.exe

description	pid	process
Token: SeCreateGlobalPrivilege	13064	dwm.exe
Token: SeChangeNotifyPrivilege	13064	dwm.exe
Token: 33	13064	dwm.exe
Token: SeIncBasePriorityPrivilege	13064	dwm.exe
Token: SeShutdownPrivilege	13064	dwm.exe
Token: SeCreatePagefilePrivilege	13064	dwm.exe

Suspicious use of WriteProcessMemory 64 IoCs

Processes:

12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe

description	pid	process	target process
PID 3016 wrote to memory of 3548	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	LVfqdnw.exe
PID 3016 wrote to memory of 3548	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	LVfqdnw.exe
PID 3016 wrote to memory of 1392	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	sBEyYBB.exe
PID 3016 wrote to memory of 1392	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	sBEyYBB.exe
PID 3016 wrote to memory of 4516	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	aEhtWfQ.exe
PID 3016 wrote to memory of 4516	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	aEhtWfQ.exe
PID 3016 wrote to memory of 1220	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	pbpSzsy.exe
PID 3016 wrote to memory of 1220	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	pbpSzsy.exe
PID 3016 wrote to memory of 2684	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	SKGrKRo.exe
PID 3016 wrote to memory of 2684	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	SKGrKRo.exe
PID 3016 wrote to memory of 1104	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	ESKDBAo.exe
PID 3016 wrote to memory of 1104	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	ESKDBAo.exe
PID 3016 wrote to memory of 3972	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	ruDRznl.exe
PID 3016 wrote to memory of 3972	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	ruDRznl.exe
PID 3016 wrote to memory of 3416	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	iyduuYg.exe
PID 3016 wrote to memory of 3416	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	iyduuYg.exe
PID 3016 wrote to memory of 2120	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	qyNwxUQ.exe
PID 3016 wrote to memory of 2120	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	qyNwxUQ.exe
PID 3016 wrote to memory of 3932	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	zofaBYh.exe
PID 3016 wrote to memory of 3932	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	zofaBYh.exe
PID 3016 wrote to memory of 3324	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	IUAahGx.exe
PID 3016 wrote to memory of 3324	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	IUAahGx.exe
PID 3016 wrote to memory of 452	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	glAuUzm.exe
PID 3016 wrote to memory of 452	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	glAuUzm.exe
PID 3016 wrote to memory of 1680	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	PWrpNOD.exe
PID 3016 wrote to memory of 1680	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	PWrpNOD.exe
PID 3016 wrote to memory of 3288	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	uYZozhl.exe
PID 3016 wrote to memory of 3288	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	uYZozhl.exe
PID 3016 wrote to memory of 2316	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	SdreUFV.exe
PID 3016 wrote to memory of 2316	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	SdreUFV.exe
PID 3016 wrote to memory of 900	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	hWOpFUk.exe
PID 3016 wrote to memory of 900	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	hWOpFUk.exe
PID 3016 wrote to memory of 3244	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	rNRdNBS.exe
PID 3016 wrote to memory of 3244	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	rNRdNBS.exe
PID 3016 wrote to memory of 336	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	rMvyaWj.exe
PID 3016 wrote to memory of 336	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	rMvyaWj.exe
PID 3016 wrote to memory of 4956	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	GrOHBzk.exe
PID 3016 wrote to memory of 4956	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	GrOHBzk.exe
PID 3016 wrote to memory of 4432	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	yWdKZfT.exe
PID 3016 wrote to memory of 4432	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	yWdKZfT.exe
PID 3016 wrote to memory of 4472	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	Ambqmnp.exe
PID 3016 wrote to memory of 4472	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	Ambqmnp.exe
PID 3016 wrote to memory of 1040	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	VYrUwml.exe
PID 3016 wrote to memory of 1040	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	VYrUwml.exe
PID 3016 wrote to memory of 1424	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	OCGTGEp.exe
PID 3016 wrote to memory of 1424	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	OCGTGEp.exe
PID 3016 wrote to memory of 2344	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	cyyvxxP.exe
PID 3016 wrote to memory of 2344	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	cyyvxxP.exe
PID 3016 wrote to memory of 3596	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	QpbeCvn.exe
PID 3016 wrote to memory of 3596	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	QpbeCvn.exe
PID 3016 wrote to memory of 2232	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	TAjzJqQ.exe
PID 3016 wrote to memory of 2232	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	TAjzJqQ.exe
PID 3016 wrote to memory of 60	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	EZmXeqX.exe
PID 3016 wrote to memory of 60	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	EZmXeqX.exe
PID 3016 wrote to memory of 2200	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	ZeGMzVJ.exe
PID 3016 wrote to memory of 2200	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	ZeGMzVJ.exe
PID 3016 wrote to memory of 3728	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	HnZlElv.exe
PID 3016 wrote to memory of 3728	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	HnZlElv.exe
PID 3016 wrote to memory of 4744	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	zXTDSOB.exe
PID 3016 wrote to memory of 4744	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	zXTDSOB.exe
PID 3016 wrote to memory of 3388	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	BHWsuWS.exe
PID 3016 wrote to memory of 3388	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	BHWsuWS.exe
PID 3016 wrote to memory of 4832	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	Xohpnpp.exe
PID 3016 wrote to memory of 4832	3016	12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe	Xohpnpp.exe

C:\Users\Admin\AppData\Local\Temp\12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe
"C:\Users\Admin\AppData\Local\Temp\12867485251bd372a8c752fba6ba2620_NeikiAnalytics.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:3016

C:\Windows\System32\LVfqdnw.exe
C:\Windows\System32\LVfqdnw.exe
2⤵
- Executes dropped EXE
PID:3548

C:\Windows\System32\sBEyYBB.exe
C:\Windows\System32\sBEyYBB.exe
2⤵
- Executes dropped EXE
PID:1392

C:\Windows\System32\aEhtWfQ.exe
C:\Windows\System32\aEhtWfQ.exe
2⤵
- Executes dropped EXE
PID:4516

C:\Windows\System32\pbpSzsy.exe
C:\Windows\System32\pbpSzsy.exe
2⤵
- Executes dropped EXE
PID:1220

C:\Windows\System32\SKGrKRo.exe
C:\Windows\System32\SKGrKRo.exe
2⤵
- Executes dropped EXE
PID:2684

C:\Windows\System32\ESKDBAo.exe
C:\Windows\System32\ESKDBAo.exe
2⤵
- Executes dropped EXE
PID:1104

C:\Windows\System32\ruDRznl.exe
C:\Windows\System32\ruDRznl.exe
2⤵
- Executes dropped EXE
PID:3972

C:\Windows\System32\iyduuYg.exe
C:\Windows\System32\iyduuYg.exe
2⤵
- Executes dropped EXE
PID:3416

C:\Windows\System32\qyNwxUQ.exe
C:\Windows\System32\qyNwxUQ.exe
2⤵
- Executes dropped EXE
PID:2120

C:\Windows\System32\zofaBYh.exe
C:\Windows\System32\zofaBYh.exe
2⤵
- Executes dropped EXE
PID:3932

C:\Windows\System32\IUAahGx.exe
C:\Windows\System32\IUAahGx.exe
2⤵
- Executes dropped EXE
PID:3324

C:\Windows\System32\glAuUzm.exe
C:\Windows\System32\glAuUzm.exe
2⤵
- Executes dropped EXE
PID:452

C:\Windows\System32\PWrpNOD.exe
C:\Windows\System32\PWrpNOD.exe
2⤵
- Executes dropped EXE
PID:1680

C:\Windows\System32\uYZozhl.exe
C:\Windows\System32\uYZozhl.exe
2⤵
- Executes dropped EXE
PID:3288

C:\Windows\System32\SdreUFV.exe
C:\Windows\System32\SdreUFV.exe
2⤵
- Executes dropped EXE
PID:2316

C:\Windows\System32\hWOpFUk.exe
C:\Windows\System32\hWOpFUk.exe
2⤵
- Executes dropped EXE
PID:900

C:\Windows\System32\rNRdNBS.exe
C:\Windows\System32\rNRdNBS.exe
2⤵
- Executes dropped EXE
PID:3244

C:\Windows\System32\rMvyaWj.exe
C:\Windows\System32\rMvyaWj.exe
2⤵
- Executes dropped EXE
PID:336

C:\Windows\System32\GrOHBzk.exe
C:\Windows\System32\GrOHBzk.exe
2⤵
- Executes dropped EXE
PID:4956

C:\Windows\System32\yWdKZfT.exe
C:\Windows\System32\yWdKZfT.exe
2⤵
- Executes dropped EXE
PID:4432

C:\Windows\System32\Ambqmnp.exe
C:\Windows\System32\Ambqmnp.exe
2⤵
- Executes dropped EXE
PID:4472

C:\Windows\System32\VYrUwml.exe
C:\Windows\System32\VYrUwml.exe
2⤵
- Executes dropped EXE
PID:1040

C:\Windows\System32\OCGTGEp.exe
C:\Windows\System32\OCGTGEp.exe
2⤵
- Executes dropped EXE
PID:1424

C:\Windows\System32\cyyvxxP.exe
C:\Windows\System32\cyyvxxP.exe
2⤵
- Executes dropped EXE
PID:2344

C:\Windows\System32\QpbeCvn.exe
C:\Windows\System32\QpbeCvn.exe
2⤵
- Executes dropped EXE
PID:3596

C:\Windows\System32\TAjzJqQ.exe
C:\Windows\System32\TAjzJqQ.exe
2⤵
- Executes dropped EXE
PID:2232

C:\Windows\System32\EZmXeqX.exe
C:\Windows\System32\EZmXeqX.exe
2⤵
- Executes dropped EXE
PID:60

C:\Windows\System32\ZeGMzVJ.exe
C:\Windows\System32\ZeGMzVJ.exe
2⤵
- Executes dropped EXE
PID:2200

C:\Windows\System32\HnZlElv.exe
C:\Windows\System32\HnZlElv.exe
2⤵
- Executes dropped EXE
PID:3728

C:\Windows\System32\zXTDSOB.exe
C:\Windows\System32\zXTDSOB.exe
2⤵
- Executes dropped EXE
PID:4744

C:\Windows\System32\BHWsuWS.exe
C:\Windows\System32\BHWsuWS.exe
2⤵
- Executes dropped EXE
PID:3388

C:\Windows\System32\Xohpnpp.exe
C:\Windows\System32\Xohpnpp.exe
2⤵
- Executes dropped EXE
PID:4832

C:\Windows\System32\fDqSqHF.exe
C:\Windows\System32\fDqSqHF.exe
2⤵
- Executes dropped EXE
PID:4860

C:\Windows\System32\JzPrMfH.exe
C:\Windows\System32\JzPrMfH.exe
2⤵
- Executes dropped EXE
PID:5024

C:\Windows\System32\ZjKcpSU.exe
C:\Windows\System32\ZjKcpSU.exe
2⤵
- Executes dropped EXE
PID:3916

C:\Windows\System32\KKneKaU.exe
C:\Windows\System32\KKneKaU.exe
2⤵
- Executes dropped EXE
PID:1708

C:\Windows\System32\xWVIXIb.exe
C:\Windows\System32\xWVIXIb.exe
2⤵
- Executes dropped EXE
PID:676

C:\Windows\System32\VXKKtHX.exe
C:\Windows\System32\VXKKtHX.exe
2⤵
- Executes dropped EXE
PID:1652

C:\Windows\System32\SRNjfXC.exe
C:\Windows\System32\SRNjfXC.exe
2⤵
- Executes dropped EXE
PID:3140

C:\Windows\System32\gZiMxiA.exe
C:\Windows\System32\gZiMxiA.exe
2⤵
- Executes dropped EXE
PID:1952

C:\Windows\System32\TWzjZKT.exe
C:\Windows\System32\TWzjZKT.exe
2⤵
- Executes dropped EXE
PID:972

C:\Windows\System32\AMfstrq.exe
C:\Windows\System32\AMfstrq.exe
2⤵
- Executes dropped EXE
PID:4364

C:\Windows\System32\QOKXiWB.exe
C:\Windows\System32\QOKXiWB.exe
2⤵
- Executes dropped EXE
PID:1724

C:\Windows\System32\lSkaNvG.exe
C:\Windows\System32\lSkaNvG.exe
2⤵
- Executes dropped EXE
PID:968

C:\Windows\System32\noqXflY.exe
C:\Windows\System32\noqXflY.exe
2⤵
- Executes dropped EXE
PID:3580

C:\Windows\System32\mcfzjst.exe
C:\Windows\System32\mcfzjst.exe
2⤵
- Executes dropped EXE
PID:1900

C:\Windows\System32\IoVuNdl.exe
C:\Windows\System32\IoVuNdl.exe
2⤵
- Executes dropped EXE
PID:4128

C:\Windows\System32\VkCGQPQ.exe
C:\Windows\System32\VkCGQPQ.exe
2⤵
- Executes dropped EXE
PID:4396

C:\Windows\System32\rgMjHWq.exe
C:\Windows\System32\rgMjHWq.exe
2⤵
- Executes dropped EXE
PID:4384

C:\Windows\System32\cQRfsbI.exe
C:\Windows\System32\cQRfsbI.exe
2⤵
- Executes dropped EXE
PID:4544

C:\Windows\System32\KcqeuRH.exe
C:\Windows\System32\KcqeuRH.exe
2⤵
- Executes dropped EXE
PID:1592

C:\Windows\System32\ssLTecp.exe
C:\Windows\System32\ssLTecp.exe
2⤵
- Executes dropped EXE
PID:540

C:\Windows\System32\XRHwAJy.exe
C:\Windows\System32\XRHwAJy.exe
2⤵
- Executes dropped EXE
PID:4972

C:\Windows\System32\RurEprQ.exe
C:\Windows\System32\RurEprQ.exe
2⤵
- Executes dropped EXE
PID:4452

C:\Windows\System32\hkUxzNd.exe
C:\Windows\System32\hkUxzNd.exe
2⤵
- Executes dropped EXE
PID:4076

C:\Windows\System32\SWyMmxR.exe
C:\Windows\System32\SWyMmxR.exe
2⤵
- Executes dropped EXE
PID:5028

C:\Windows\System32\bPOvhDU.exe
C:\Windows\System32\bPOvhDU.exe
2⤵
- Executes dropped EXE
PID:4716

C:\Windows\System32\KftdFbh.exe
C:\Windows\System32\KftdFbh.exe
2⤵
- Executes dropped EXE
PID:1676

C:\Windows\System32\IIeYEsc.exe
C:\Windows\System32\IIeYEsc.exe
2⤵
- Executes dropped EXE
PID:1296

C:\Windows\System32\vloyPfn.exe
C:\Windows\System32\vloyPfn.exe
2⤵
- Executes dropped EXE
PID:1704

C:\Windows\System32\zyTnQKm.exe
C:\Windows\System32\zyTnQKm.exe
2⤵
- Executes dropped EXE
PID:3764

C:\Windows\System32\QXwSTmN.exe
C:\Windows\System32\QXwSTmN.exe
2⤵
- Executes dropped EXE
PID:556

C:\Windows\System32\WzgtcRW.exe
C:\Windows\System32\WzgtcRW.exe
2⤵
- Executes dropped EXE
PID:2576

C:\Windows\System32\gFTzgnH.exe
C:\Windows\System32\gFTzgnH.exe
2⤵
- Executes dropped EXE
PID:1188

C:\Windows\System32\Poyuhze.exe
C:\Windows\System32\Poyuhze.exe
2⤵
PID:2172

C:\Windows\System32\huZMYne.exe
C:\Windows\System32\huZMYne.exe
2⤵
PID:2352

C:\Windows\System32\SLJHVGO.exe
C:\Windows\System32\SLJHVGO.exe
2⤵
PID:4088

C:\Windows\System32\vlpQsUF.exe
C:\Windows\System32\vlpQsUF.exe
2⤵
PID:208

C:\Windows\System32\aEZTMff.exe
C:\Windows\System32\aEZTMff.exe
2⤵
PID:4960

C:\Windows\System32\FfDrcLt.exe
C:\Windows\System32\FfDrcLt.exe
2⤵
PID:372

C:\Windows\System32\YrqNsrd.exe
C:\Windows\System32\YrqNsrd.exe
2⤵
PID:2216

C:\Windows\System32\WxIYPiT.exe
C:\Windows\System32\WxIYPiT.exe
2⤵
PID:3316

C:\Windows\System32\EepzERm.exe
C:\Windows\System32\EepzERm.exe
2⤵
PID:3192

C:\Windows\System32\DKnqeIW.exe
C:\Windows\System32\DKnqeIW.exe
2⤵
PID:3264

C:\Windows\System32\PCHvnBN.exe
C:\Windows\System32\PCHvnBN.exe
2⤵
PID:2108

C:\Windows\System32\cCMscel.exe
C:\Windows\System32\cCMscel.exe
2⤵
PID:5140

C:\Windows\System32\VSPeCBv.exe
C:\Windows\System32\VSPeCBv.exe
2⤵
PID:5168

C:\Windows\System32\XtxuRYm.exe
C:\Windows\System32\XtxuRYm.exe
2⤵
PID:5196

C:\Windows\System32\DBpaeEW.exe
C:\Windows\System32\DBpaeEW.exe
2⤵
PID:5224

C:\Windows\System32\pmmXlfX.exe
C:\Windows\System32\pmmXlfX.exe
2⤵
PID:5252

C:\Windows\System32\EBByImk.exe
C:\Windows\System32\EBByImk.exe
2⤵
PID:5280

C:\Windows\System32\eKcFQKf.exe
C:\Windows\System32\eKcFQKf.exe
2⤵
PID:5308

C:\Windows\System32\vVYXbmq.exe
C:\Windows\System32\vVYXbmq.exe
2⤵
PID:5336

C:\Windows\System32\sEsanXk.exe
C:\Windows\System32\sEsanXk.exe
2⤵
PID:5364

C:\Windows\System32\zdMqBGt.exe
C:\Windows\System32\zdMqBGt.exe
2⤵
PID:5392

C:\Windows\System32\OyBxCXT.exe
C:\Windows\System32\OyBxCXT.exe
2⤵
PID:5420

C:\Windows\System32\VgYkvjJ.exe
C:\Windows\System32\VgYkvjJ.exe
2⤵
PID:5448

C:\Windows\System32\HWBxsBY.exe
C:\Windows\System32\HWBxsBY.exe
2⤵
PID:5476

C:\Windows\System32\AHZmeym.exe
C:\Windows\System32\AHZmeym.exe
2⤵
PID:5504

C:\Windows\System32\zxUpdQD.exe
C:\Windows\System32\zxUpdQD.exe
2⤵
PID:5532

C:\Windows\System32\kVGaQTj.exe
C:\Windows\System32\kVGaQTj.exe
2⤵
PID:5560

C:\Windows\System32\jhbcvqg.exe
C:\Windows\System32\jhbcvqg.exe
2⤵
PID:5588

C:\Windows\System32\kkFjfvl.exe
C:\Windows\System32\kkFjfvl.exe
2⤵
PID:5616

C:\Windows\System32\zOpuloG.exe
C:\Windows\System32\zOpuloG.exe
2⤵
PID:5652

C:\Windows\System32\vzFdEUM.exe
C:\Windows\System32\vzFdEUM.exe
2⤵
PID:5672

C:\Windows\System32\qprbYkZ.exe
C:\Windows\System32\qprbYkZ.exe
2⤵
PID:5700

C:\Windows\System32\PhCtCHJ.exe
C:\Windows\System32\PhCtCHJ.exe
2⤵
PID:5728

C:\Windows\System32\SppJZXD.exe
C:\Windows\System32\SppJZXD.exe
2⤵
PID:5756

C:\Windows\System32\tjQRtTQ.exe
C:\Windows\System32\tjQRtTQ.exe
2⤵
PID:5784

C:\Windows\System32\IJbmomt.exe
C:\Windows\System32\IJbmomt.exe
2⤵
PID:5812

C:\Windows\System32\MvbRNWb.exe
C:\Windows\System32\MvbRNWb.exe
2⤵
PID:5840

C:\Windows\System32\NMjseXa.exe
C:\Windows\System32\NMjseXa.exe
2⤵
PID:5868

C:\Windows\System32\BzrQrDd.exe
C:\Windows\System32\BzrQrDd.exe
2⤵
PID:5896

C:\Windows\System32\QtqlMJl.exe
C:\Windows\System32\QtqlMJl.exe
2⤵
PID:5932

C:\Windows\System32\PMVDrmQ.exe
C:\Windows\System32\PMVDrmQ.exe
2⤵
PID:5952

C:\Windows\System32\mBXYJvb.exe
C:\Windows\System32\mBXYJvb.exe
2⤵
PID:5980

C:\Windows\System32\SuNpdYp.exe
C:\Windows\System32\SuNpdYp.exe
2⤵
PID:6008

C:\Windows\System32\rVKFEZd.exe
C:\Windows\System32\rVKFEZd.exe
2⤵
PID:6036

C:\Windows\System32\KdssWjk.exe
C:\Windows\System32\KdssWjk.exe
2⤵
PID:6064

C:\Windows\System32\pnNRkmB.exe
C:\Windows\System32\pnNRkmB.exe
2⤵
PID:6092

C:\Windows\System32\FXzNgOE.exe
C:\Windows\System32\FXzNgOE.exe
2⤵
PID:6120

C:\Windows\System32\lzltbKo.exe
C:\Windows\System32\lzltbKo.exe
2⤵
PID:5060

C:\Windows\System32\rYxGHUK.exe
C:\Windows\System32\rYxGHUK.exe
2⤵
PID:516

C:\Windows\System32\VDntklu.exe
C:\Windows\System32\VDntklu.exe
2⤵
PID:4356

C:\Windows\System32\FfSmXKo.exe
C:\Windows\System32\FfSmXKo.exe
2⤵
PID:224

C:\Windows\System32\BdLapEw.exe
C:\Windows\System32\BdLapEw.exe
2⤵
PID:3620

C:\Windows\System32\NmUADwr.exe
C:\Windows\System32\NmUADwr.exe
2⤵
PID:3400

C:\Windows\System32\OkBmBBz.exe
C:\Windows\System32\OkBmBBz.exe
2⤵
PID:2288

C:\Windows\System32\qkRbfet.exe
C:\Windows\System32\qkRbfet.exe
2⤵
PID:5188

C:\Windows\System32\SLaWDeR.exe
C:\Windows\System32\SLaWDeR.exe
2⤵
PID:5268

C:\Windows\System32\hPDLEVR.exe
C:\Windows\System32\hPDLEVR.exe
2⤵
PID:5316

C:\Windows\System32\puiztRW.exe
C:\Windows\System32\puiztRW.exe
2⤵
PID:5384

C:\Windows\System32\XfBENdU.exe
C:\Windows\System32\XfBENdU.exe
2⤵
PID:5440

C:\Windows\System32\TScimHd.exe
C:\Windows\System32\TScimHd.exe
2⤵
PID:5520

C:\Windows\System32\CAFtRuM.exe
C:\Windows\System32\CAFtRuM.exe
2⤵
PID:5568

C:\Windows\System32\hYdNgPF.exe
C:\Windows\System32\hYdNgPF.exe
2⤵
PID:5624

C:\Windows\System32\Arrsvbc.exe
C:\Windows\System32\Arrsvbc.exe
2⤵
PID:5716

C:\Windows\System32\SUVecyM.exe
C:\Windows\System32\SUVecyM.exe
2⤵
PID:5764

C:\Windows\System32\HbTXiIP.exe
C:\Windows\System32\HbTXiIP.exe
2⤵
PID:5832

C:\Windows\System32\XABxgVZ.exe
C:\Windows\System32\XABxgVZ.exe
2⤵
PID:5912

C:\Windows\System32\gnlgnNk.exe
C:\Windows\System32\gnlgnNk.exe
2⤵
PID:5960

C:\Windows\System32\SUeLXBQ.exe
C:\Windows\System32\SUeLXBQ.exe
2⤵
PID:6028

C:\Windows\System32\UMateoz.exe
C:\Windows\System32\UMateoz.exe
2⤵
PID:6108

C:\Windows\System32\JIwECES.exe
C:\Windows\System32\JIwECES.exe
2⤵
PID:1728

C:\Windows\System32\pjTtHhr.exe
C:\Windows\System32\pjTtHhr.exe
2⤵
PID:4476

C:\Windows\System32\XihswvL.exe
C:\Windows\System32\XihswvL.exe
2⤵
PID:4820

C:\Windows\System32\nWWXhkK.exe
C:\Windows\System32\nWWXhkK.exe
2⤵
PID:5204

C:\Windows\System32\lejsjzD.exe
C:\Windows\System32\lejsjzD.exe
2⤵
PID:5380

C:\Windows\System32\oZJGGfy.exe
C:\Windows\System32\oZJGGfy.exe
2⤵
PID:5540

C:\Windows\System32\cjosBvy.exe
C:\Windows\System32\cjosBvy.exe
2⤵
PID:5660

C:\Windows\System32\WYHuTZV.exe
C:\Windows\System32\WYHuTZV.exe
2⤵
PID:5828

C:\Windows\System32\FmiQBqN.exe
C:\Windows\System32\FmiQBqN.exe
2⤵
PID:6000

C:\Windows\System32\wgkkXyu.exe
C:\Windows\System32\wgkkXyu.exe
2⤵
PID:6152

C:\Windows\System32\YgMEwSD.exe
C:\Windows\System32\YgMEwSD.exe
2⤵
PID:6180

C:\Windows\System32\pZznOlI.exe
C:\Windows\System32\pZznOlI.exe
2⤵
PID:6208

C:\Windows\System32\omLfiGg.exe
C:\Windows\System32\omLfiGg.exe
2⤵
PID:6236

C:\Windows\System32\HRJLlax.exe
C:\Windows\System32\HRJLlax.exe
2⤵
PID:6264

C:\Windows\System32\FlYzkwE.exe
C:\Windows\System32\FlYzkwE.exe
2⤵
PID:6292

C:\Windows\System32\vhAYTsT.exe
C:\Windows\System32\vhAYTsT.exe
2⤵
PID:6320

C:\Windows\System32\AErloBb.exe
C:\Windows\System32\AErloBb.exe
2⤵
PID:6348

C:\Windows\System32\YGziLjx.exe
C:\Windows\System32\YGziLjx.exe
2⤵
PID:6376

C:\Windows\System32\IQCnsgy.exe
C:\Windows\System32\IQCnsgy.exe
2⤵
PID:6404

C:\Windows\System32\NhQbsDz.exe
C:\Windows\System32\NhQbsDz.exe
2⤵
PID:6432

C:\Windows\System32\RTRtUTY.exe
C:\Windows\System32\RTRtUTY.exe
2⤵
PID:6460

C:\Windows\System32\FzFLdBP.exe
C:\Windows\System32\FzFLdBP.exe
2⤵
PID:6488

C:\Windows\System32\JgawNZq.exe
C:\Windows\System32\JgawNZq.exe
2⤵
PID:6516

C:\Windows\System32\Mjpweou.exe
C:\Windows\System32\Mjpweou.exe
2⤵
PID:6544

C:\Windows\System32\eFEChge.exe
C:\Windows\System32\eFEChge.exe
2⤵
PID:6572

C:\Windows\System32\dXynAWY.exe
C:\Windows\System32\dXynAWY.exe
2⤵
PID:6600

C:\Windows\System32\HXxoNcj.exe
C:\Windows\System32\HXxoNcj.exe
2⤵
PID:6628

C:\Windows\System32\nMLoZZT.exe
C:\Windows\System32\nMLoZZT.exe
2⤵
PID:6656

C:\Windows\System32\ekzNnzo.exe
C:\Windows\System32\ekzNnzo.exe
2⤵
PID:6684

C:\Windows\System32\ZItVSkq.exe
C:\Windows\System32\ZItVSkq.exe
2⤵
PID:6712

C:\Windows\System32\bXJsYtJ.exe
C:\Windows\System32\bXJsYtJ.exe
2⤵
PID:6740

C:\Windows\System32\BZskTTk.exe
C:\Windows\System32\BZskTTk.exe
2⤵
PID:6768

C:\Windows\System32\FcRHctx.exe
C:\Windows\System32\FcRHctx.exe
2⤵
PID:6796

C:\Windows\System32\shyhELn.exe
C:\Windows\System32\shyhELn.exe
2⤵
PID:6824

C:\Windows\System32\nyxNzIY.exe
C:\Windows\System32\nyxNzIY.exe
2⤵
PID:6852

C:\Windows\System32\nOAjbHs.exe
C:\Windows\System32\nOAjbHs.exe
2⤵
PID:6880

C:\Windows\System32\HYXASGl.exe
C:\Windows\System32\HYXASGl.exe
2⤵
PID:6908

C:\Windows\System32\vcvObPb.exe
C:\Windows\System32\vcvObPb.exe
2⤵
PID:6944

C:\Windows\System32\ZgegMci.exe
C:\Windows\System32\ZgegMci.exe
2⤵
PID:6964

C:\Windows\System32\ADdDZsQ.exe
C:\Windows\System32\ADdDZsQ.exe
2⤵
PID:6992

C:\Windows\System32\BKZoruY.exe
C:\Windows\System32\BKZoruY.exe
2⤵
PID:7020

C:\Windows\System32\mufAdMK.exe
C:\Windows\System32\mufAdMK.exe
2⤵
PID:7048

C:\Windows\System32\uPgAHcU.exe
C:\Windows\System32\uPgAHcU.exe
2⤵
PID:7076

C:\Windows\System32\QvYNBHI.exe
C:\Windows\System32\QvYNBHI.exe
2⤵
PID:7104

C:\Windows\System32\kYliMqy.exe
C:\Windows\System32\kYliMqy.exe
2⤵
PID:7132

C:\Windows\System32\FYMJXXx.exe
C:\Windows\System32\FYMJXXx.exe
2⤵
PID:7160

C:\Windows\System32\nGvuCeZ.exe
C:\Windows\System32\nGvuCeZ.exe
2⤵
PID:4428

C:\Windows\System32\NpwLWuh.exe
C:\Windows\System32\NpwLWuh.exe
2⤵
PID:5300

C:\Windows\System32\XxgCnMR.exe
C:\Windows\System32\XxgCnMR.exe
2⤵
PID:5552

C:\Windows\System32\jsCVuZY.exe
C:\Windows\System32\jsCVuZY.exe
2⤵
PID:5904

C:\Windows\System32\JSJzdvh.exe
C:\Windows\System32\JSJzdvh.exe
2⤵
PID:6196

C:\Windows\System32\DWQldVW.exe
C:\Windows\System32\DWQldVW.exe
2⤵
PID:6244

C:\Windows\System32\fnCRgjz.exe
C:\Windows\System32\fnCRgjz.exe
2⤵
PID:6312

C:\Windows\System32\vAoOLml.exe
C:\Windows\System32\vAoOLml.exe
2⤵
PID:6356

C:\Windows\System32\UniurFj.exe
C:\Windows\System32\UniurFj.exe
2⤵
PID:6424

C:\Windows\System32\fcywaNb.exe
C:\Windows\System32\fcywaNb.exe
2⤵
PID:6480

C:\Windows\System32\PNnpMFh.exe
C:\Windows\System32\PNnpMFh.exe
2⤵
PID:6560

C:\Windows\System32\zHgMsKK.exe
C:\Windows\System32\zHgMsKK.exe
2⤵
PID:6608

C:\Windows\System32\mlKwVpa.exe
C:\Windows\System32\mlKwVpa.exe
2⤵
PID:6676

C:\Windows\System32\zRcwmDT.exe
C:\Windows\System32\zRcwmDT.exe
2⤵
PID:6756

C:\Windows\System32\LAoJUaR.exe
C:\Windows\System32\LAoJUaR.exe
2⤵
PID:6804

C:\Windows\System32\EBPDxEs.exe
C:\Windows\System32\EBPDxEs.exe
2⤵
PID:6872

C:\Windows\System32\IqwHHJd.exe
C:\Windows\System32\IqwHHJd.exe
2⤵
PID:6940

C:\Windows\System32\AhjWnpl.exe
C:\Windows\System32\AhjWnpl.exe
2⤵
PID:7000

C:\Windows\System32\ZwDthbO.exe
C:\Windows\System32\ZwDthbO.exe
2⤵
PID:7068

C:\Windows\System32\eitaQBZ.exe
C:\Windows\System32\eitaQBZ.exe
2⤵
PID:7148

C:\Windows\System32\HUawGIk.exe
C:\Windows\System32\HUawGIk.exe
2⤵
PID:2248

C:\Windows\System32\JSgDpoi.exe
C:\Windows\System32\JSgDpoi.exe
2⤵
PID:5940

C:\Windows\System32\pjeBIWq.exe
C:\Windows\System32\pjeBIWq.exe
2⤵
PID:6284

C:\Windows\System32\bSDollw.exe
C:\Windows\System32\bSDollw.exe
2⤵
PID:6392

C:\Windows\System32\FLyMNRD.exe
C:\Windows\System32\FLyMNRD.exe
2⤵
PID:6524

C:\Windows\System32\YLCwkYA.exe
C:\Windows\System32\YLCwkYA.exe
2⤵
PID:6728

C:\Windows\System32\COorMFM.exe
C:\Windows\System32\COorMFM.exe
2⤵
PID:7184

C:\Windows\System32\NesqJRq.exe
C:\Windows\System32\NesqJRq.exe
2⤵
PID:7212

C:\Windows\System32\ZDWgwoo.exe
C:\Windows\System32\ZDWgwoo.exe
2⤵
PID:7240

C:\Windows\System32\ysqsxpE.exe
C:\Windows\System32\ysqsxpE.exe
2⤵
PID:7268

C:\Windows\System32\UUKIUpy.exe
C:\Windows\System32\UUKIUpy.exe
2⤵
PID:7296

C:\Windows\System32\sSBRccp.exe
C:\Windows\System32\sSBRccp.exe
2⤵
PID:7324

C:\Windows\System32\bWBNKnI.exe
C:\Windows\System32\bWBNKnI.exe
2⤵
PID:7352

C:\Windows\System32\CbTseyq.exe
C:\Windows\System32\CbTseyq.exe
2⤵
PID:7380

C:\Windows\System32\tFbTrRD.exe
C:\Windows\System32\tFbTrRD.exe
2⤵
PID:7408

C:\Windows\System32\vDXsoZk.exe
C:\Windows\System32\vDXsoZk.exe
2⤵
PID:7436

C:\Windows\System32\wIfzrXm.exe
C:\Windows\System32\wIfzrXm.exe
2⤵
PID:7464

C:\Windows\System32\VagUkez.exe
C:\Windows\System32\VagUkez.exe
2⤵
PID:7492

C:\Windows\System32\GnoPgwC.exe
C:\Windows\System32\GnoPgwC.exe
2⤵
PID:7520

C:\Windows\System32\FKDCDyo.exe
C:\Windows\System32\FKDCDyo.exe
2⤵
PID:7548

C:\Windows\System32\vDLFxWs.exe
C:\Windows\System32\vDLFxWs.exe
2⤵
PID:7576

C:\Windows\System32\yUrbdhH.exe
C:\Windows\System32\yUrbdhH.exe
2⤵
PID:7604

C:\Windows\System32\CXFOEhC.exe
C:\Windows\System32\CXFOEhC.exe
2⤵
PID:7632

C:\Windows\System32\UHjJCHH.exe
C:\Windows\System32\UHjJCHH.exe
2⤵
PID:7660

C:\Windows\System32\ryZXKLp.exe
C:\Windows\System32\ryZXKLp.exe
2⤵
PID:7688

C:\Windows\System32\rWiUmhZ.exe
C:\Windows\System32\rWiUmhZ.exe
2⤵
PID:7716

C:\Windows\System32\XlgESKH.exe
C:\Windows\System32\XlgESKH.exe
2⤵
PID:7744

C:\Windows\System32\KbpYmVU.exe
C:\Windows\System32\KbpYmVU.exe
2⤵
PID:7772

C:\Windows\System32\qMPyJxo.exe
C:\Windows\System32\qMPyJxo.exe
2⤵
PID:7800

C:\Windows\System32\pRweEAW.exe
C:\Windows\System32\pRweEAW.exe
2⤵
PID:7828

C:\Windows\System32\OktjZFS.exe
C:\Windows\System32\OktjZFS.exe
2⤵
PID:7856

C:\Windows\System32\XmKuBil.exe
C:\Windows\System32\XmKuBil.exe
2⤵
PID:7884

C:\Windows\System32\ERQgbjr.exe
C:\Windows\System32\ERQgbjr.exe
2⤵
PID:7912

C:\Windows\System32\kDJjuiX.exe
C:\Windows\System32\kDJjuiX.exe
2⤵
PID:7940

C:\Windows\System32\OotyThZ.exe
C:\Windows\System32\OotyThZ.exe
2⤵
PID:7968

C:\Windows\System32\hIUZCEC.exe
C:\Windows\System32\hIUZCEC.exe
2⤵
PID:7996

C:\Windows\System32\bGulnFq.exe
C:\Windows\System32\bGulnFq.exe
2⤵
PID:8024

C:\Windows\System32\LHFNkxZ.exe
C:\Windows\System32\LHFNkxZ.exe
2⤵
PID:8052

C:\Windows\System32\pgJbsYW.exe
C:\Windows\System32\pgJbsYW.exe
2⤵
PID:8080

C:\Windows\System32\rZjpJIf.exe
C:\Windows\System32\rZjpJIf.exe
2⤵
PID:8108

C:\Windows\System32\GhNFDei.exe
C:\Windows\System32\GhNFDei.exe
2⤵
PID:8136

C:\Windows\System32\mOTReNp.exe
C:\Windows\System32\mOTReNp.exe
2⤵
PID:8164

C:\Windows\System32\lWxmMfC.exe
C:\Windows\System32\lWxmMfC.exe
2⤵
PID:6760

C:\Windows\System32\QGiGYYo.exe
C:\Windows\System32\QGiGYYo.exe
2⤵
PID:6916

C:\Windows\System32\dbpWiuS.exe
C:\Windows\System32\dbpWiuS.exe
2⤵
PID:7064

C:\Windows\System32\ruzhZPV.exe
C:\Windows\System32\ruzhZPV.exe
2⤵
PID:4916

C:\Windows\System32\VOtxPVO.exe
C:\Windows\System32\VOtxPVO.exe
2⤵
PID:6336

C:\Windows\System32\EHNUiKr.exe
C:\Windows\System32\EHNUiKr.exe
2⤵
PID:1148

C:\Windows\System32\JfrazvL.exe
C:\Windows\System32\JfrazvL.exe
2⤵
PID:4068

C:\Windows\System32\CqPSwma.exe
C:\Windows\System32\CqPSwma.exe
2⤵
PID:876

C:\Windows\System32\jWVQoVC.exe
C:\Windows\System32\jWVQoVC.exe
2⤵
PID:7332

C:\Windows\System32\eGSvxjH.exe
C:\Windows\System32\eGSvxjH.exe
2⤵
PID:7368

C:\Windows\System32\wfJgXts.exe
C:\Windows\System32\wfJgXts.exe
2⤵
PID:7416

C:\Windows\System32\iqmzDEC.exe
C:\Windows\System32\iqmzDEC.exe
2⤵
PID:7484

C:\Windows\System32\lpemmBY.exe
C:\Windows\System32\lpemmBY.exe
2⤵
PID:7540

C:\Windows\System32\triRfsH.exe
C:\Windows\System32\triRfsH.exe
2⤵
PID:7584

C:\Windows\System32\ZLyRucd.exe
C:\Windows\System32\ZLyRucd.exe
2⤵
PID:7640

C:\Windows\System32\HXryIjS.exe
C:\Windows\System32\HXryIjS.exe
2⤵
PID:7696

C:\Windows\System32\myurQjm.exe
C:\Windows\System32\myurQjm.exe
2⤵
PID:7928

C:\Windows\System32\aVVhgfB.exe
C:\Windows\System32\aVVhgfB.exe
2⤵
PID:7956

C:\Windows\System32\jjvzeey.exe
C:\Windows\System32\jjvzeey.exe
2⤵
PID:8012

C:\Windows\System32\TYCBJKI.exe
C:\Windows\System32\TYCBJKI.exe
2⤵
PID:8060

C:\Windows\System32\ycnLDft.exe
C:\Windows\System32\ycnLDft.exe
2⤵
PID:1492

C:\Windows\System32\HmMAXKe.exe
C:\Windows\System32\HmMAXKe.exe
2⤵
PID:8128

C:\Windows\System32\NwmKHgi.exe
C:\Windows\System32\NwmKHgi.exe
2⤵
PID:8180

C:\Windows\System32\bdjoqWN.exe
C:\Windows\System32\bdjoqWN.exe
2⤵
PID:7120

C:\Windows\System32\fDksBZO.exe
C:\Windows\System32\fDksBZO.exe
2⤵
PID:2408

C:\Windows\System32\ABHRsHz.exe
C:\Windows\System32\ABHRsHz.exe
2⤵
PID:7228

C:\Windows\System32\dbpAbFT.exe
C:\Windows\System32\dbpAbFT.exe
2⤵
PID:7316

C:\Windows\System32\BsfJFHU.exe
C:\Windows\System32\BsfJFHU.exe
2⤵
PID:4056

C:\Windows\System32\UCQHAZt.exe
C:\Windows\System32\UCQHAZt.exe
2⤵
PID:7456

C:\Windows\System32\fJtQGZE.exe
C:\Windows\System32\fJtQGZE.exe
2⤵
PID:3952

C:\Windows\System32\IMjDUZL.exe
C:\Windows\System32\IMjDUZL.exe
2⤵
PID:7512

C:\Windows\System32\jbmbTTP.exe
C:\Windows\System32\jbmbTTP.exe
2⤵
PID:1472

C:\Windows\System32\KnVnbYR.exe
C:\Windows\System32\KnVnbYR.exe
2⤵
PID:920

C:\Windows\System32\odkpXfC.exe
C:\Windows\System32\odkpXfC.exe
2⤵
PID:4440

C:\Windows\System32\EyIDaPS.exe
C:\Windows\System32\EyIDaPS.exe
2⤵
PID:2732

C:\Windows\System32\DKqfFTK.exe
C:\Windows\System32\DKqfFTK.exe
2⤵
PID:3976

C:\Windows\System32\DCppETO.exe
C:\Windows\System32\DCppETO.exe
2⤵
PID:7904

C:\Windows\System32\GMoLMBJ.exe
C:\Windows\System32\GMoLMBJ.exe
2⤵
PID:8068

C:\Windows\System32\dpqtXJK.exe
C:\Windows\System32\dpqtXJK.exe
2⤵
PID:8156

C:\Windows\System32\NLWvGGX.exe
C:\Windows\System32\NLWvGGX.exe
2⤵
PID:1444

C:\Windows\System32\hgnsMGl.exe
C:\Windows\System32\hgnsMGl.exe
2⤵
PID:7248

C:\Windows\System32\PPZkpCH.exe
C:\Windows\System32\PPZkpCH.exe
2⤵
PID:7780

C:\Windows\System32\OhgvIoJ.exe
C:\Windows\System32\OhgvIoJ.exe
2⤵
PID:7752

C:\Windows\System32\OGZpROZ.exe
C:\Windows\System32\OGZpROZ.exe
2⤵
PID:3372

C:\Windows\System32\adOjBkM.exe
C:\Windows\System32\adOjBkM.exe
2⤵
PID:6868

C:\Windows\System32\ayecOtF.exe
C:\Windows\System32\ayecOtF.exe
2⤵
PID:4992

C:\Windows\System32\UTNCDdF.exe
C:\Windows\System32\UTNCDdF.exe
2⤵
PID:756

C:\Windows\System32\HwFYJWO.exe
C:\Windows\System32\HwFYJWO.exe
2⤵
PID:2452

C:\Windows\System32\LXcaMAK.exe
C:\Windows\System32\LXcaMAK.exe
2⤵
PID:1596

C:\Windows\System32\FUMdvpX.exe
C:\Windows\System32\FUMdvpX.exe
2⤵
PID:1948

C:\Windows\System32\gmHYpfG.exe
C:\Windows\System32\gmHYpfG.exe
2⤵
PID:8200

C:\Windows\System32\uvbzKMd.exe
C:\Windows\System32\uvbzKMd.exe
2⤵
PID:8220

C:\Windows\System32\mgdzExv.exe
C:\Windows\System32\mgdzExv.exe
2⤵
PID:8244

C:\Windows\System32\iPkovuF.exe
C:\Windows\System32\iPkovuF.exe
2⤵
PID:8304

C:\Windows\System32\HqBhjNM.exe
C:\Windows\System32\HqBhjNM.exe
2⤵
PID:8340

C:\Windows\System32\wczVyfe.exe
C:\Windows\System32\wczVyfe.exe
2⤵
PID:8368

C:\Windows\System32\TGPncjx.exe
C:\Windows\System32\TGPncjx.exe
2⤵
PID:8396

C:\Windows\System32\ddQvdSd.exe
C:\Windows\System32\ddQvdSd.exe
2⤵
PID:8412

C:\Windows\System32\mwEWUkN.exe
C:\Windows\System32\mwEWUkN.exe
2⤵
PID:8436

C:\Windows\System32\NFMJcWY.exe
C:\Windows\System32\NFMJcWY.exe
2⤵
PID:8452

C:\Windows\System32\dunfnwQ.exe
C:\Windows\System32\dunfnwQ.exe
2⤵
PID:8520

C:\Windows\System32\BHtCfVr.exe
C:\Windows\System32\BHtCfVr.exe
2⤵
PID:8544

C:\Windows\System32\MZmtLzB.exe
C:\Windows\System32\MZmtLzB.exe
2⤵
PID:8576

C:\Windows\System32\fdgmonm.exe
C:\Windows\System32\fdgmonm.exe
2⤵
PID:8644

C:\Windows\System32\EipJUvw.exe
C:\Windows\System32\EipJUvw.exe
2⤵
PID:8664

C:\Windows\System32\dSPGREw.exe
C:\Windows\System32\dSPGREw.exe
2⤵
PID:8684

C:\Windows\System32\erIujXe.exe
C:\Windows\System32\erIujXe.exe
2⤵
PID:8704

C:\Windows\System32\TQVOgBl.exe
C:\Windows\System32\TQVOgBl.exe
2⤵
PID:8720

C:\Windows\System32\XjXyaXq.exe
C:\Windows\System32\XjXyaXq.exe
2⤵
PID:8748

C:\Windows\System32\lONztgA.exe
C:\Windows\System32\lONztgA.exe
2⤵
PID:8764

C:\Windows\System32\HBMcwQe.exe
C:\Windows\System32\HBMcwQe.exe
2⤵
PID:8848

C:\Windows\System32\UkLRFGe.exe
C:\Windows\System32\UkLRFGe.exe
2⤵
PID:8876

C:\Windows\System32\cOvnIqt.exe
C:\Windows\System32\cOvnIqt.exe
2⤵
PID:8892

C:\Windows\System32\faXqXwC.exe
C:\Windows\System32\faXqXwC.exe
2⤵
PID:8916

C:\Windows\System32\FrAusmt.exe
C:\Windows\System32\FrAusmt.exe
2⤵
PID:8948

C:\Windows\System32\jBFgNzD.exe
C:\Windows\System32\jBFgNzD.exe
2⤵
PID:8980

C:\Windows\System32\CVOvmni.exe
C:\Windows\System32\CVOvmni.exe
2⤵
PID:9032

C:\Windows\System32\vCdSYCz.exe
C:\Windows\System32\vCdSYCz.exe
2⤵
PID:9056

C:\Windows\System32\hXmNzON.exe
C:\Windows\System32\hXmNzON.exe
2⤵
PID:9092

C:\Windows\System32\rYbhddU.exe
C:\Windows\System32\rYbhddU.exe
2⤵
PID:9108

C:\Windows\System32\TBUtpfM.exe
C:\Windows\System32\TBUtpfM.exe
2⤵
PID:9152

C:\Windows\System32\XetpzFb.exe
C:\Windows\System32\XetpzFb.exe
2⤵
PID:9172

C:\Windows\System32\yEXgrkC.exe
C:\Windows\System32\yEXgrkC.exe
2⤵
PID:9200

C:\Windows\System32\IJFMLiD.exe
C:\Windows\System32\IJFMLiD.exe
2⤵
PID:2524

C:\Windows\System32\vXISbFr.exe
C:\Windows\System32\vXISbFr.exe
2⤵
PID:8236

C:\Windows\System32\IokSgBq.exe
C:\Windows\System32\IokSgBq.exe
2⤵
PID:8316

C:\Windows\System32\BqRytAl.exe
C:\Windows\System32\BqRytAl.exe
2⤵
PID:8352

C:\Windows\System32\mkoOmBf.exe
C:\Windows\System32\mkoOmBf.exe
2⤵
PID:8480

C:\Windows\System32\PXBWmnX.exe
C:\Windows\System32\PXBWmnX.exe
2⤵
PID:8460

C:\Windows\System32\oZrMfdE.exe
C:\Windows\System32\oZrMfdE.exe
2⤵
PID:8560

C:\Windows\System32\GHNZDLy.exe
C:\Windows\System32\GHNZDLy.exe
2⤵
PID:8636

C:\Windows\System32\DCERfxJ.exe
C:\Windows\System32\DCERfxJ.exe
2⤵
PID:7976

C:\Windows\System32\WGcbqHm.exe
C:\Windows\System32\WGcbqHm.exe
2⤵
PID:8744

C:\Windows\System32\AXMYEwi.exe
C:\Windows\System32\AXMYEwi.exe
2⤵
PID:8800

C:\Windows\System32\tnrgAXm.exe
C:\Windows\System32\tnrgAXm.exe
2⤵
PID:8364

C:\Windows\System32\xpbWWSZ.exe
C:\Windows\System32\xpbWWSZ.exe
2⤵
PID:8928

C:\Windows\System32\rwqUpOe.exe
C:\Windows\System32\rwqUpOe.exe
2⤵
PID:9048

C:\Windows\System32\mWmFqFR.exe
C:\Windows\System32\mWmFqFR.exe
2⤵
PID:9104

C:\Windows\System32\OCjSdts.exe
C:\Windows\System32\OCjSdts.exe
2⤵
PID:9160

C:\Windows\System32\CjrVEsD.exe
C:\Windows\System32\CjrVEsD.exe
2⤵
PID:7988

C:\Windows\System32\wCfgLqE.exe
C:\Windows\System32\wCfgLqE.exe
2⤵
PID:8296

C:\Windows\System32\RlKDySi.exe
C:\Windows\System32\RlKDySi.exe
2⤵
PID:8100

C:\Windows\System32\wkFfPPX.exe
C:\Windows\System32\wkFfPPX.exe
2⤵
PID:8532

C:\Windows\System32\CoAVqcS.exe
C:\Windows\System32\CoAVqcS.exe
2⤵
PID:8700

C:\Windows\System32\ZIBIEnx.exe
C:\Windows\System32\ZIBIEnx.exe
2⤵
PID:8900

C:\Windows\System32\LOhJvLf.exe
C:\Windows\System32\LOhJvLf.exe
2⤵
PID:9020

C:\Windows\System32\syWpEYk.exe
C:\Windows\System32\syWpEYk.exe
2⤵
PID:9188

C:\Windows\System32\MilVEmd.exe
C:\Windows\System32\MilVEmd.exe
2⤵
PID:8268

C:\Windows\System32\SbxdsJW.exe
C:\Windows\System32\SbxdsJW.exe
2⤵
PID:8672

C:\Windows\System32\xNxXlsb.exe
C:\Windows\System32\xNxXlsb.exe
2⤵
PID:8496

C:\Windows\System32\MqYSYfe.exe
C:\Windows\System32\MqYSYfe.exe
2⤵
PID:8472

C:\Windows\System32\UFVVGpZ.exe
C:\Windows\System32\UFVVGpZ.exe
2⤵
PID:8660

C:\Windows\System32\NQXTSfH.exe
C:\Windows\System32\NQXTSfH.exe
2⤵
PID:9244

C:\Windows\System32\nWuFANo.exe
C:\Windows\System32\nWuFANo.exe
2⤵
PID:9260

C:\Windows\System32\TmQDDiU.exe
C:\Windows\System32\TmQDDiU.exe
2⤵
PID:9288

C:\Windows\System32\ayRzBAK.exe
C:\Windows\System32\ayRzBAK.exe
2⤵
PID:9316

C:\Windows\System32\ffncpQi.exe
C:\Windows\System32\ffncpQi.exe
2⤵
PID:9344

C:\Windows\System32\JAnTHPR.exe
C:\Windows\System32\JAnTHPR.exe
2⤵
PID:9372

C:\Windows\System32\EAudvny.exe
C:\Windows\System32\EAudvny.exe
2⤵
PID:9412

C:\Windows\System32\hAiPxFT.exe
C:\Windows\System32\hAiPxFT.exe
2⤵
PID:9428

C:\Windows\System32\HefHRVq.exe
C:\Windows\System32\HefHRVq.exe
2⤵
PID:9468

C:\Windows\System32\IVUjArv.exe
C:\Windows\System32\IVUjArv.exe
2⤵
PID:9484

C:\Windows\System32\oquXrUE.exe
C:\Windows\System32\oquXrUE.exe
2⤵
PID:9508

C:\Windows\System32\IkrgPCE.exe
C:\Windows\System32\IkrgPCE.exe
2⤵
PID:9540

C:\Windows\System32\JHuwhFw.exe
C:\Windows\System32\JHuwhFw.exe
2⤵
PID:9576

C:\Windows\System32\ixMDTMK.exe
C:\Windows\System32\ixMDTMK.exe
2⤵
PID:9592

C:\Windows\System32\oeVULwa.exe
C:\Windows\System32\oeVULwa.exe
2⤵
PID:9632

C:\Windows\System32\ETFPhPt.exe
C:\Windows\System32\ETFPhPt.exe
2⤵
PID:9660

C:\Windows\System32\KEMeVMD.exe
C:\Windows\System32\KEMeVMD.exe
2⤵
PID:9688

C:\Windows\System32\AkDFhwF.exe
C:\Windows\System32\AkDFhwF.exe
2⤵
PID:9716

C:\Windows\System32\ErQkHte.exe
C:\Windows\System32\ErQkHte.exe
2⤵
PID:9732

C:\Windows\System32\xUOpTKP.exe
C:\Windows\System32\xUOpTKP.exe
2⤵
PID:9760

C:\Windows\System32\AzZDWza.exe
C:\Windows\System32\AzZDWza.exe
2⤵
PID:9792

C:\Windows\System32\uVRHqlM.exe
C:\Windows\System32\uVRHqlM.exe
2⤵
PID:9824

C:\Windows\System32\AIFRmzS.exe
C:\Windows\System32\AIFRmzS.exe
2⤵
PID:9864

C:\Windows\System32\vbQUEyY.exe
C:\Windows\System32\vbQUEyY.exe
2⤵
PID:9892

C:\Windows\System32\gcVUpPi.exe
C:\Windows\System32\gcVUpPi.exe
2⤵
PID:9920

C:\Windows\System32\OXjARoa.exe
C:\Windows\System32\OXjARoa.exe
2⤵
PID:9936

C:\Windows\System32\duNNocQ.exe
C:\Windows\System32\duNNocQ.exe
2⤵
PID:9968

C:\Windows\System32\iSTgiht.exe
C:\Windows\System32\iSTgiht.exe
2⤵
PID:9996

C:\Windows\System32\kMzpcrX.exe
C:\Windows\System32\kMzpcrX.exe
2⤵
PID:10020

C:\Windows\System32\udqHgzO.exe
C:\Windows\System32\udqHgzO.exe
2⤵
PID:10060

C:\Windows\System32\YtUvEwv.exe
C:\Windows\System32\YtUvEwv.exe
2⤵
PID:10080

C:\Windows\System32\EGwZfRt.exe
C:\Windows\System32\EGwZfRt.exe
2⤵
PID:10112

C:\Windows\System32\iyJkhHv.exe
C:\Windows\System32\iyJkhHv.exe
2⤵
PID:10152

C:\Windows\System32\dhFlWXO.exe
C:\Windows\System32\dhFlWXO.exe
2⤵
PID:10176

C:\Windows\System32\dZABCwt.exe
C:\Windows\System32\dZABCwt.exe
2⤵
PID:10192

C:\Windows\System32\KzfwWqc.exe
C:\Windows\System32\KzfwWqc.exe
2⤵
PID:10228

C:\Windows\System32\XPKxZYQ.exe
C:\Windows\System32\XPKxZYQ.exe
2⤵
PID:9252

C:\Windows\System32\unhGzlC.exe
C:\Windows\System32\unhGzlC.exe
2⤵
PID:9324

C:\Windows\System32\DFzdfYC.exe
C:\Windows\System32\DFzdfYC.exe
2⤵
PID:9400

C:\Windows\System32\NeBMsuA.exe
C:\Windows\System32\NeBMsuA.exe
2⤵
PID:9464

C:\Windows\System32\qGNjLxl.exe
C:\Windows\System32\qGNjLxl.exe
2⤵
PID:9524

C:\Windows\System32\JPuqueZ.exe
C:\Windows\System32\JPuqueZ.exe
2⤵
PID:9612

C:\Windows\System32\yrDHJSw.exe
C:\Windows\System32\yrDHJSw.exe
2⤵
PID:9676

C:\Windows\System32\oaonwkY.exe
C:\Windows\System32\oaonwkY.exe
2⤵
PID:9756

C:\Windows\System32\cdeUzDq.exe
C:\Windows\System32\cdeUzDq.exe
2⤵
PID:9816

C:\Windows\System32\yJfkhgv.exe
C:\Windows\System32\yJfkhgv.exe
2⤵
PID:9884

C:\Windows\System32\YbXUgkj.exe
C:\Windows\System32\YbXUgkj.exe
2⤵
PID:9928

C:\Windows\System32\KLiVYfS.exe
C:\Windows\System32\KLiVYfS.exe
2⤵
PID:9984

C:\Windows\System32\hKqZQQX.exe
C:\Windows\System32\hKqZQQX.exe
2⤵
PID:10044

C:\Windows\System32\CsgSAOo.exe
C:\Windows\System32\CsgSAOo.exe
2⤵
PID:10160

C:\Windows\System32\oKEqNgw.exe
C:\Windows\System32\oKEqNgw.exe
2⤵
PID:10236

C:\Windows\System32\MmghAZV.exe
C:\Windows\System32\MmghAZV.exe
2⤵
PID:9072

C:\Windows\System32\GyyntTl.exe
C:\Windows\System32\GyyntTl.exe
2⤵
PID:9452

C:\Windows\System32\BFWPRFa.exe
C:\Windows\System32\BFWPRFa.exe
2⤵
PID:9564

C:\Windows\System32\eJPOzdS.exe
C:\Windows\System32\eJPOzdS.exe
2⤵
PID:9652

C:\Windows\System32\vcUpokc.exe
C:\Windows\System32\vcUpokc.exe
2⤵
PID:9788

C:\Windows\System32\YcSrhoX.exe
C:\Windows\System32\YcSrhoX.exe
2⤵
PID:10104

C:\Windows\System32\lupQZOw.exe
C:\Windows\System32\lupQZOw.exe
2⤵
PID:9228

C:\Windows\System32\nEqUPqv.exe
C:\Windows\System32\nEqUPqv.exe
2⤵
PID:9368

C:\Windows\System32\pvpQgWB.exe
C:\Windows\System32\pvpQgWB.exe
2⤵
PID:9724

C:\Windows\System32\qURrhnP.exe
C:\Windows\System32\qURrhnP.exe
2⤵
PID:9520

C:\Windows\System32\vQePBSr.exe
C:\Windows\System32\vQePBSr.exe
2⤵
PID:9436

C:\Windows\System32\NveSBZI.exe
C:\Windows\System32\NveSBZI.exe
2⤵
PID:9956

C:\Windows\System32\AWDnqJw.exe
C:\Windows\System32\AWDnqJw.exe
2⤵
PID:10260

C:\Windows\System32\dlxKpVw.exe
C:\Windows\System32\dlxKpVw.exe
2⤵
PID:10300

C:\Windows\System32\ypjIxZC.exe
C:\Windows\System32\ypjIxZC.exe
2⤵
PID:10320

C:\Windows\System32\SjOvUbs.exe
C:\Windows\System32\SjOvUbs.exe
2⤵
PID:10344

C:\Windows\System32\AnrJbkH.exe
C:\Windows\System32\AnrJbkH.exe
2⤵
PID:10376

C:\Windows\System32\YGZlwcl.exe
C:\Windows\System32\YGZlwcl.exe
2⤵
PID:10404

C:\Windows\System32\ZkGKpOA.exe
C:\Windows\System32\ZkGKpOA.exe
2⤵
PID:10428

C:\Windows\System32\PUdHngF.exe
C:\Windows\System32\PUdHngF.exe
2⤵
PID:10468

C:\Windows\System32\iJGVmFY.exe
C:\Windows\System32\iJGVmFY.exe
2⤵
PID:10496

C:\Windows\System32\czPRzvR.exe
C:\Windows\System32\czPRzvR.exe
2⤵
PID:10532

C:\Windows\System32\IJqOnsB.exe
C:\Windows\System32\IJqOnsB.exe
2⤵
PID:10552

C:\Windows\System32\zTGRcaS.exe
C:\Windows\System32\zTGRcaS.exe
2⤵
PID:10568

C:\Windows\System32\uBhWPex.exe
C:\Windows\System32\uBhWPex.exe
2⤵
PID:10596

C:\Windows\System32\RdWREHY.exe
C:\Windows\System32\RdWREHY.exe
2⤵
PID:10624

C:\Windows\System32\AiItclZ.exe
C:\Windows\System32\AiItclZ.exe
2⤵
PID:10648

C:\Windows\System32\fJwFTlr.exe
C:\Windows\System32\fJwFTlr.exe
2⤵
PID:10708

C:\Windows\System32\WhQJAdk.exe
C:\Windows\System32\WhQJAdk.exe
2⤵
PID:10724

C:\Windows\System32\FLKVVLj.exe
C:\Windows\System32\FLKVVLj.exe
2⤵
PID:10752

C:\Windows\System32\FDOOLID.exe
C:\Windows\System32\FDOOLID.exe
2⤵
PID:10768

C:\Windows\System32\CSNigec.exe
C:\Windows\System32\CSNigec.exe
2⤵
PID:10796

C:\Windows\System32\ilyHiOu.exe
C:\Windows\System32\ilyHiOu.exe
2⤵
PID:10836

C:\Windows\System32\CLpUdhx.exe
C:\Windows\System32\CLpUdhx.exe
2⤵
PID:10868

C:\Windows\System32\EDXnRKc.exe
C:\Windows\System32\EDXnRKc.exe
2⤵
PID:10892

C:\Windows\System32\TmsYsnv.exe
C:\Windows\System32\TmsYsnv.exe
2⤵
PID:10920

C:\Windows\System32\GZLwKht.exe
C:\Windows\System32\GZLwKht.exe
2⤵
PID:10936

C:\Windows\System32\aYFUlsg.exe
C:\Windows\System32\aYFUlsg.exe
2⤵
PID:10976

C:\Windows\System32\jaKJcXs.exe
C:\Windows\System32\jaKJcXs.exe
2⤵
PID:11000

C:\Windows\System32\GiTkJVi.exe
C:\Windows\System32\GiTkJVi.exe
2⤵
PID:11024

C:\Windows\System32\YoMSMPM.exe
C:\Windows\System32\YoMSMPM.exe
2⤵
PID:11056

C:\Windows\System32\zHdDUgs.exe
C:\Windows\System32\zHdDUgs.exe
2⤵
PID:11088

C:\Windows\System32\RjXyNZk.exe
C:\Windows\System32\RjXyNZk.exe
2⤵
PID:11120

C:\Windows\System32\JcSMtCB.exe
C:\Windows\System32\JcSMtCB.exe
2⤵
PID:11140

C:\Windows\System32\gCCJLGa.exe
C:\Windows\System32\gCCJLGa.exe
2⤵
PID:11164

C:\Windows\System32\mpkHKrL.exe
C:\Windows\System32\mpkHKrL.exe
2⤵
PID:11184

C:\Windows\System32\mekapEL.exe
C:\Windows\System32\mekapEL.exe
2⤵
PID:11220

C:\Windows\System32\UdTMXSj.exe
C:\Windows\System32\UdTMXSj.exe
2⤵
PID:11260

C:\Windows\System32\vPcQkpK.exe
C:\Windows\System32\vPcQkpK.exe
2⤵
PID:10272

C:\Windows\System32\sRppZRh.exe
C:\Windows\System32\sRppZRh.exe
2⤵
PID:10328

C:\Windows\System32\fNTVFTs.exe
C:\Windows\System32\fNTVFTs.exe
2⤵
PID:10424

C:\Windows\System32\PGkDBfv.exe
C:\Windows\System32\PGkDBfv.exe
2⤵
PID:10492

C:\Windows\System32\coHrUBY.exe
C:\Windows\System32\coHrUBY.exe
2⤵
PID:10564

C:\Windows\System32\SaZrcSs.exe
C:\Windows\System32\SaZrcSs.exe
2⤵
PID:10632

C:\Windows\System32\VHsSVWw.exe
C:\Windows\System32\VHsSVWw.exe
2⤵
PID:10720

C:\Windows\System32\rWlBpeR.exe
C:\Windows\System32\rWlBpeR.exe
2⤵
PID:10828

C:\Windows\System32\zkowGtj.exe
C:\Windows\System32\zkowGtj.exe
2⤵
PID:3248

C:\Windows\System32\yIoCuNd.exe
C:\Windows\System32\yIoCuNd.exe
2⤵
PID:10928

C:\Windows\System32\AOUEMtj.exe
C:\Windows\System32\AOUEMtj.exe
2⤵
PID:11012

C:\Windows\System32\ZwBSREx.exe
C:\Windows\System32\ZwBSREx.exe
2⤵
PID:11108

C:\Windows\System32\YRlFwqX.exe
C:\Windows\System32\YRlFwqX.exe
2⤵
PID:11192

C:\Windows\System32\SiKkOWW.exe
C:\Windows\System32\SiKkOWW.exe
2⤵
PID:1536

C:\Windows\System32\QIJfMIF.exe
C:\Windows\System32\QIJfMIF.exe
2⤵
PID:10312

C:\Windows\System32\ClReMig.exe
C:\Windows\System32\ClReMig.exe
2⤵
PID:10360

C:\Windows\System32\jGMwrNI.exe
C:\Windows\System32\jGMwrNI.exe
2⤵
PID:10544

C:\Windows\System32\gazDRVV.exe
C:\Windows\System32\gazDRVV.exe
2⤵
PID:10716

C:\Windows\System32\kBWwbJB.exe
C:\Windows\System32\kBWwbJB.exe
2⤵
PID:10860

C:\Windows\System32\afYBbmq.exe
C:\Windows\System32\afYBbmq.exe
2⤵
PID:11156

C:\Windows\System32\EIVZNBN.exe
C:\Windows\System32\EIVZNBN.exe
2⤵
PID:10332

C:\Windows\System32\pzWAhcF.exe
C:\Windows\System32\pzWAhcF.exe
2⤵
PID:10444

C:\Windows\System32\hAkbguO.exe
C:\Windows\System32\hAkbguO.exe
2⤵
PID:10908

C:\Windows\System32\OZyocxF.exe
C:\Windows\System32\OZyocxF.exe
2⤵
PID:10392

C:\Windows\System32\zPMyjSD.exe
C:\Windows\System32\zPMyjSD.exe
2⤵
PID:11212

C:\Windows\System32\SFhSUja.exe
C:\Windows\System32\SFhSUja.exe
2⤵
PID:11284

C:\Windows\System32\uekkQNz.exe
C:\Windows\System32\uekkQNz.exe
2⤵
PID:11312

C:\Windows\System32\dVboKHj.exe
C:\Windows\System32\dVboKHj.exe
2⤵
PID:11352

C:\Windows\System32\VDCZLfu.exe
C:\Windows\System32\VDCZLfu.exe
2⤵
PID:11372

C:\Windows\System32\PxKjnGb.exe
C:\Windows\System32\PxKjnGb.exe
2⤵
PID:11412

C:\Windows\System32\Evopicp.exe
C:\Windows\System32\Evopicp.exe
2⤵
PID:11428

C:\Windows\System32\hjhXSqc.exe
C:\Windows\System32\hjhXSqc.exe
2⤵
PID:11456

C:\Windows\System32\wiLltHu.exe
C:\Windows\System32\wiLltHu.exe
2⤵
PID:11472

C:\Windows\System32\JRBTBSn.exe
C:\Windows\System32\JRBTBSn.exe
2⤵
PID:11508

C:\Windows\System32\kwvmCnW.exe
C:\Windows\System32\kwvmCnW.exe
2⤵
PID:11528

C:\Windows\System32\gKsdLSp.exe
C:\Windows\System32\gKsdLSp.exe
2⤵
PID:11568

C:\Windows\System32\HoPYBbk.exe
C:\Windows\System32\HoPYBbk.exe
2⤵
PID:11592

C:\Windows\System32\EyCFckp.exe
C:\Windows\System32\EyCFckp.exe
2⤵
PID:11616

C:\Windows\System32\zccsbAY.exe
C:\Windows\System32\zccsbAY.exe
2⤵
PID:11648

C:\Windows\System32\CIbMEuq.exe
C:\Windows\System32\CIbMEuq.exe
2⤵
PID:11680

C:\Windows\System32\SYJqytv.exe
C:\Windows\System32\SYJqytv.exe
2⤵
PID:11700

C:\Windows\System32\ZxHHegS.exe
C:\Windows\System32\ZxHHegS.exe
2⤵
PID:11736

C:\Windows\System32\SDaEZvW.exe
C:\Windows\System32\SDaEZvW.exe
2⤵
PID:11764

C:\Windows\System32\DhaAQNN.exe
C:\Windows\System32\DhaAQNN.exe
2⤵
PID:11792

C:\Windows\System32\oukHBpa.exe
C:\Windows\System32\oukHBpa.exe
2⤵
PID:11824

C:\Windows\System32\rkPYCvA.exe
C:\Windows\System32\rkPYCvA.exe
2⤵
PID:11852

C:\Windows\System32\gcYmwvy.exe
C:\Windows\System32\gcYmwvy.exe
2⤵
PID:11880

C:\Windows\System32\MpsoAYN.exe
C:\Windows\System32\MpsoAYN.exe
2⤵
PID:11920

C:\Windows\System32\kkNfmDd.exe
C:\Windows\System32\kkNfmDd.exe
2⤵
PID:11952

C:\Windows\System32\gurbtku.exe
C:\Windows\System32\gurbtku.exe
2⤵
PID:11968

C:\Windows\System32\ZprYadD.exe
C:\Windows\System32\ZprYadD.exe
2⤵
PID:11988

C:\Windows\System32\sBnqmiW.exe
C:\Windows\System32\sBnqmiW.exe
2⤵
PID:12036

C:\Windows\System32\xvyIxZS.exe
C:\Windows\System32\xvyIxZS.exe
2⤵
PID:12072

C:\Windows\System32\SphKVsr.exe
C:\Windows\System32\SphKVsr.exe
2⤵
PID:12108

C:\Windows\System32\ubNtWHC.exe
C:\Windows\System32\ubNtWHC.exe
2⤵
PID:12152

C:\Windows\System32\fArUZvE.exe
C:\Windows\System32\fArUZvE.exe
2⤵
PID:12168

C:\Windows\System32\votDeMJ.exe
C:\Windows\System32\votDeMJ.exe
2⤵
PID:12212

C:\Windows\System32\JypCaSr.exe
C:\Windows\System32\JypCaSr.exe
2⤵
PID:12252

C:\Windows\System32\gVuRBtF.exe
C:\Windows\System32\gVuRBtF.exe
2⤵
PID:12276

C:\Windows\System32\jNbbnfx.exe
C:\Windows\System32\jNbbnfx.exe
2⤵
PID:11252

C:\Windows\System32\Zfutahi.exe
C:\Windows\System32\Zfutahi.exe
2⤵
PID:11360

C:\Windows\System32\GNrfCiB.exe
C:\Windows\System32\GNrfCiB.exe
2⤵
PID:11444

C:\Windows\System32\dkqvUNQ.exe
C:\Windows\System32\dkqvUNQ.exe
2⤵
PID:11488

C:\Windows\System32\zlrGfGU.exe
C:\Windows\System32\zlrGfGU.exe
2⤵
PID:11604

C:\Windows\System32\igkSzlq.exe
C:\Windows\System32\igkSzlq.exe
2⤵
PID:3464

C:\Windows\System32\VgRdEAk.exe
C:\Windows\System32\VgRdEAk.exe
2⤵
PID:11744

C:\Windows\System32\BvCJBLt.exe
C:\Windows\System32\BvCJBLt.exe
2⤵
PID:11864

C:\Windows\System32\CAdUjuC.exe
C:\Windows\System32\CAdUjuC.exe
2⤵
PID:11896

C:\Windows\System32\fCPqqyz.exe
C:\Windows\System32\fCPqqyz.exe
2⤵
PID:11944

C:\Windows\System32\prHROLs.exe
C:\Windows\System32\prHROLs.exe
2⤵
PID:12028

C:\Windows\System32\nENdteg.exe
C:\Windows\System32\nENdteg.exe
2⤵
PID:12184

C:\Windows\System32\wgFcgNx.exe
C:\Windows\System32\wgFcgNx.exe
2⤵
PID:11280

C:\Windows\System32\cMKsQvw.exe
C:\Windows\System32\cMKsQvw.exe
2⤵
PID:11420

C:\Windows\System32\JrcUyMf.exe
C:\Windows\System32\JrcUyMf.exe
2⤵
PID:11524

C:\Windows\System32\RTmZBUy.exe
C:\Windows\System32\RTmZBUy.exe
2⤵
PID:11692

C:\Windows\System32\QsbLpQc.exe
C:\Windows\System32\QsbLpQc.exe
2⤵
PID:12056

C:\Windows\System32\tWKGquy.exe
C:\Windows\System32\tWKGquy.exe
2⤵
PID:12232

C:\Windows\System32\EIMVVTt.exe
C:\Windows\System32\EIMVVTt.exe
2⤵
PID:11660

C:\Windows\System32\hqwinFv.exe
C:\Windows\System32\hqwinFv.exe
2⤵
PID:11976

C:\Windows\System32\YwIbVBn.exe
C:\Windows\System32\YwIbVBn.exe
2⤵
PID:12320

C:\Windows\System32\BMjGeKJ.exe
C:\Windows\System32\BMjGeKJ.exe
2⤵
PID:12344

C:\Windows\System32\yZMXrRQ.exe
C:\Windows\System32\yZMXrRQ.exe
2⤵
PID:12376

C:\Windows\System32\oNsVUDM.exe
C:\Windows\System32\oNsVUDM.exe
2⤵
PID:12400

C:\Windows\System32\ELYeTbT.exe
C:\Windows\System32\ELYeTbT.exe
2⤵
PID:12428

C:\Windows\System32\dgnxvsR.exe
C:\Windows\System32\dgnxvsR.exe
2⤵
PID:12456

C:\Windows\System32\YLiPSsd.exe
C:\Windows\System32\YLiPSsd.exe
2⤵
PID:12476

C:\Windows\System32\XDifadt.exe
C:\Windows\System32\XDifadt.exe
2⤵
PID:12524

C:\Windows\System32\Zpogaym.exe
C:\Windows\System32\Zpogaym.exe
2⤵
PID:12540

C:\Windows\System32\YfGKnhS.exe
C:\Windows\System32\YfGKnhS.exe
2⤵
PID:12572

C:\Windows\System32\bFfRhRd.exe
C:\Windows\System32\bFfRhRd.exe
2⤵
PID:12612

C:\Windows\System32\BMHVspK.exe
C:\Windows\System32\BMHVspK.exe
2⤵
PID:12656

C:\Windows\System32\DBYZIgn.exe
C:\Windows\System32\DBYZIgn.exe
2⤵
PID:12672

C:\Windows\System32\dTuwPHs.exe
C:\Windows\System32\dTuwPHs.exe
2⤵
PID:12708

C:\Windows\System32\DOnvWTj.exe
C:\Windows\System32\DOnvWTj.exe
2⤵
PID:12724

C:\Windows\System32\kmPpbzp.exe
C:\Windows\System32\kmPpbzp.exe
2⤵
PID:12744

C:\Windows\System32\VftoKaP.exe
C:\Windows\System32\VftoKaP.exe
2⤵
PID:12776

C:\Windows\System32\iirlMKO.exe
C:\Windows\System32\iirlMKO.exe
2⤵
PID:12812

C:\Windows\System32\yTuuBqo.exe
C:\Windows\System32\yTuuBqo.exe
2⤵
PID:12832

C:\Windows\System32\cUprdqb.exe
C:\Windows\System32\cUprdqb.exe
2⤵
PID:12880

C:\Windows\System32\gFGAzyG.exe
C:\Windows\System32\gFGAzyG.exe
2⤵
PID:12896

C:\Windows\System32\IoxsWSv.exe
C:\Windows\System32\IoxsWSv.exe
2⤵
PID:12940

C:\Windows\System32\RSoVKtC.exe
C:\Windows\System32\RSoVKtC.exe
2⤵
PID:12964

C:\Windows\System32\srNFWQs.exe
C:\Windows\System32\srNFWQs.exe
2⤵
PID:12980

C:\Windows\System32\FkVvlPW.exe
C:\Windows\System32\FkVvlPW.exe
2⤵
PID:13008

C:\Windows\System32\IAxVCZe.exe
C:\Windows\System32\IAxVCZe.exe
2⤵
PID:13044

C:\Windows\System32\puqSKac.exe
C:\Windows\System32\puqSKac.exe
2⤵
PID:13068

C:\Windows\System32\bocojff.exe
C:\Windows\System32\bocojff.exe
2⤵
PID:13100

C:\Windows\System32\VHfLIpd.exe
C:\Windows\System32\VHfLIpd.exe
2⤵
PID:13120

C:\Windows\System32\tcdqgWn.exe
C:\Windows\System32\tcdqgWn.exe
2⤵
PID:13160

C:\Windows\System32\imTADqK.exe
C:\Windows\System32\imTADqK.exe
2⤵
PID:13188

C:\Windows\System32\ymmMZBi.exe
C:\Windows\System32\ymmMZBi.exe
2⤵
PID:13204

C:\Windows\System32\boLjeQi.exe
C:\Windows\System32\boLjeQi.exe
2⤵
PID:13244

C:\Windows\System32\dlUuRmq.exe
C:\Windows\System32\dlUuRmq.exe
2⤵
PID:13276

C:\Windows\System32\meFtQhH.exe
C:\Windows\System32\meFtQhH.exe
2⤵
PID:13300

C:\Windows\System32\DOzSpeE.exe
C:\Windows\System32\DOzSpeE.exe
2⤵
PID:12272

C:\Windows\System32\DhEeNVF.exe
C:\Windows\System32\DhEeNVF.exe
2⤵
PID:3640

C:\Windows\System32\QgLFzOF.exe
C:\Windows\System32\QgLFzOF.exe
2⤵
PID:5036

C:\Windows\System32\EgsHeAP.exe
C:\Windows\System32\EgsHeAP.exe
2⤵
PID:12356

C:\Windows\System32\otCPkdC.exe
C:\Windows\System32\otCPkdC.exe
2⤵
PID:3648

C:\Windows\System32\QnTEjuJ.exe
C:\Windows\System32\QnTEjuJ.exe
2⤵
PID:12464

C:\Windows\System32\ldZSHpW.exe
C:\Windows\System32\ldZSHpW.exe
2⤵
PID:12560

C:\Windows\System32\rMNyCPu.exe
C:\Windows\System32\rMNyCPu.exe
2⤵
PID:12648

C:\Windows\System32\SDxsCqO.exe
C:\Windows\System32\SDxsCqO.exe
2⤵
PID:12716

C:\Windows\System32\okGJgEW.exe
C:\Windows\System32\okGJgEW.exe
2⤵
PID:12736

C:\Windows\System32\GDGDCak.exe
C:\Windows\System32\GDGDCak.exe
2⤵
PID:12820

C:\Windows\System32\TvpPHVb.exe
C:\Windows\System32\TvpPHVb.exe
2⤵
PID:12908

C:\Windows\System32\xcbujyz.exe
C:\Windows\System32\xcbujyz.exe
2⤵
PID:12956

C:\Windows\System32\qNjqULw.exe
C:\Windows\System32\qNjqULw.exe
2⤵
PID:13032

C:\Windows\System32\rQoyRDi.exe
C:\Windows\System32\rQoyRDi.exe
2⤵
PID:13076

C:\Windows\System32\WOzekwf.exe
C:\Windows\System32\WOzekwf.exe
2⤵
PID:13112

C:\Windows\System32\iIPGKIK.exe
C:\Windows\System32\iIPGKIK.exe
2⤵
PID:13216

C:\Windows\System32\mUkjetd.exe
C:\Windows\System32\mUkjetd.exe
2⤵
PID:13296

C:\Windows\System32\CLsyCIe.exe
C:\Windows\System32\CLsyCIe.exe
2⤵
PID:12332

C:\Windows\System32\iPpFTsO.exe
C:\Windows\System32\iPpFTsO.exe
2⤵
PID:12416

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:13064

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\Ambqmnp.exe

Filesize
2.6MB

MD5
ea7d1953083cc3d94a4830870b8451f0

SHA1
afeb16f2b05c9f14c92259a67bcfe9f52b126683

SHA256
8dd5ab81e9576f72f167a00d1f2ae76fa59346c25e3d1332cee3eb056e2e5286

SHA512
c048e8cd847b77f9f72e29e2782f856072fb9a2f3a6e5f3f02528329dcc80d3b26bbe528f78c9b012c77a627e73a9ca118f87fc018d1cce59976ce377f8fc41c

Download Submit
C:\Windows\System32\BHWsuWS.exe

Filesize
2.7MB

MD5
06fb502f7be284ffad7212b5f90811ff

SHA1
f73930c235c65ec9392fe01977abf112e08052bc

SHA256
00325aaf8c81a5607cb899ab734c127dfe603e71133e902b33205eddd7f28ab3

SHA512
2f751799db7d4e91a8b3920d4a76be0fe411aa51a30e7f32afc0aafe21df29f5b71edff4fc47e6bca6de9667053988df609a7559eaebec8d9793d65a6009d01c

Download Submit
C:\Windows\System32\ESKDBAo.exe

Filesize
2.6MB

MD5
cfff3f0eedda8c1eeafc862c875125c6

SHA1
e4d76383604d4195f4f508b75ea4a943a8f01c4b

SHA256
92898f61ba531623737ed6d04432ee0e19be7dadbb3cdd9670df9f5c190cb95a

SHA512
1daf8de49ed634734877f5e3c0ada0f79f2f9bc0e504371447fab352510ee95dbe5655819939ab5dcd74982aa7becbaff9b468e798ef27d7ca8592fef1ea4bf6

Download Submit
C:\Windows\System32\EZmXeqX.exe

Filesize
2.6MB

MD5
c2b223854dd4df960540d5cbf85d4ec2

SHA1
f76fca44416336f59b616a7facf04fb327c431bf

SHA256
fa97ecaf1570755224599e97e4282c1a6946a744796edf99a1b8eaa720e99a0e

SHA512
41d731f6bba1d86898a1f45167821f1f6bd8487e6c98e9f447c6d4d26902a03c1df955229e1facaa2dc70b1150155181bbb7791ea201b75816beaf0597c3c864

Download Submit
C:\Windows\System32\GrOHBzk.exe

Filesize
2.6MB

MD5
075ecde4621b21dcd2f86d7b6ef5a86c

SHA1
cfed2a5e3ca2d25daa8863168934fadb021071b6

SHA256
72dbcf0eebb8ac762560ef35cf650fd069af94c175d90d026932f1a11db3438e

SHA512
0fa8602719fae1ffd71650e934118681f1f869879f42be078f8f477f0ffc4657816601d199ac20d12626cebcf097a5964279a5eecefed3159cdbab91e47f5d03

Download Submit
C:\Windows\System32\HnZlElv.exe

Filesize
2.7MB

MD5
a7b7b79ce119d8f94d91030b0c5e2618

SHA1
4e61a83a4616dec679ce842a20d50305c5e20bfe

SHA256
62427a86e1746b1b81bca25300939e939bfad16f1c77497fd9d3c49da2653788

SHA512
68a787149dc175c3110fca05ca2ca2d8e878859187990855a6d5a57331a3e80d9ce81c21e30b55db5fddef2631d46395ebad5aeb87845047fda49a57145e158c

Download Submit
C:\Windows\System32\IUAahGx.exe

Filesize
2.6MB

MD5
d93b84a51817b5ed93e8146f9f26e5b9

SHA1
62b290c2d0ddf75c3218beb8861cd37bf41f9fcc

SHA256
7850d784dc5ff9778084fd1a1d728930f531555ae0ab505364527ce5e4ab2e94

SHA512
03d1216e38edddfc4903eabe161610529cf79ecc1d7d51ba4d3d596d27fd09e24c271751813452f03827c05df208ca86cdbf7841b1aa0453374773c54d343047

Download Submit
C:\Windows\System32\LVfqdnw.exe

Filesize
2.6MB

MD5
582b5afbc2f69686677b2f07d5e47507

SHA1
dc0786e70127ad92b14672d50e46d67aa95888da

SHA256
9004c28004fdc5e5229f7cf22e9b47c114115402f762b641f2100f78815bd7e6

SHA512
910439fa3728e65d7ea6d6a800dbd1669ca2690641e30b5dcf7000cdaa1a0fce55f21c36b4f1dded969d1ef79579125f6bdc32b34836b8e829ca4bb6ff751d26

Download Submit
C:\Windows\System32\OCGTGEp.exe

Filesize
2.6MB

MD5
0bc7ba07424ef484061e9499c646e691

SHA1
a0ecfe6957f4a6318c0697c87e6040864c01bbba

SHA256
4baf28a7404313ca032c8009313bb62101b5a43487c0a7284a2bce19803c36a5

SHA512
d275fc3266b74ea8309c700c732fd695ca21daf3cf59b8822b36f1673838cb0b85b99d4b99bfccb79e0d6e4a8360555f02137a92865f5734487b74faceb45e93

Download Submit
C:\Windows\System32\PWrpNOD.exe

Filesize
2.6MB

MD5
00199d09e6168441792f736ac97a1fbc

SHA1
5b8716f58538bb4986c23866ed7e97b4489ae3cc

SHA256
13217eddc40974623c829ea257360755b9b1c30da77ec8636cfff296cdd0b3ea

SHA512
4dd23f0d4c96adbdf81ff29a0a017d33803b02ea78bc6ac95bee02ba08af8b81ba7260793071fd1133daabf42be875c9c9dc7a6b7d6dde451e7856b1f6562f2e

Download Submit
C:\Windows\System32\QpbeCvn.exe

Filesize
2.6MB

MD5
d5404de3a52015bbb4e862d6c0a562d9

SHA1
6394f2a640996bb6d33da49e9bfbf8f7908e59eb

SHA256
79a9b80cdb95b35d6aa8ad3d8d958787687a5167ce1e5757b3c0115bda0adb1c

SHA512
cf26cbff179f2c3088d514f4f8d962c6489bd0f1692f5c32e2e5a47b8340030e966cff647db2bd8b12856a3ce6eac44c299400628f97c2d18762dd6e96e9ff84

Download Submit
C:\Windows\System32\SKGrKRo.exe

Filesize
2.6MB

MD5
45f6bda1bf6a2f9d01401093cb5ec678

SHA1
f91fe4f01c4b9cd3cb7c6387c0bba837a3a094ff

SHA256
a2150a4b3cd4ad21ac8266e002553befef07aeef5e186fee34414717090d491f

SHA512
25e8c6e994268a540b67a26f46f6924f0b13ee71c09c34a91bc23578c23b266553d620a61675bf6ea003730865b1456b77e923f8b89026a357c98058663c8d39

Download Submit
C:\Windows\System32\SdreUFV.exe

Filesize
2.6MB

MD5
810995c69a04715e2d819160923ce0dc

SHA1
81f78e808ccf90279a60fff5096c4c516e3b4d25

SHA256
8083610b13171ca9bd634f67bf2c46c2e1ac5c8f32115bb964ad77c7a707c15b

SHA512
d49c553e9434350531f28de606f6742228a88c98dad1a877ea8340620ce49ec9f841a994f7a90f40ba6c5932a4e1f54e414ad3f1e8458fe5f828d7b483d1c4f9

Download Submit
C:\Windows\System32\TAjzJqQ.exe

Filesize
2.6MB

MD5
284f86e91f9ceb7893c0dd70c301462a

SHA1
68e7b3944e808d136e45db2b657ce5e32a3d6aee

SHA256
22b703ecc58cf3d9b7c7d915872eab71412c05dbdce26fb5e4b95d069aa30ef2

SHA512
f28867f6eaf990d93f56c539f01b3b3f5338640fb0bddb3065cb45b51f003aa86fdb1b83da8fab89ff5064121ebef9986884291c31e28fd359f5a0bcd553110c

Download Submit
C:\Windows\System32\VYrUwml.exe

Filesize
2.6MB

MD5
8751bcfaabde8510f9da9db41b835de9

SHA1
3bcd94fa7179938d524245dd3a8e93dd19196688

SHA256
006cbcc82837162e7394da36c73bb2ac0256a822709fcd837917fa23146029fa

SHA512
6f1ea6fadf4f174bacb3f19a62e0e2f0daf0f0ad419393c95fd3f74aa49f7a18b22aaabcd5dc5ac998ed787c1e9b54528371bd7b18ef663dd996c18553332008

Download Submit
C:\Windows\System32\Xohpnpp.exe

Filesize
2.7MB

MD5
aa4c77b2a3f2a8005e6a96971df4f0e2

SHA1
ad328937f8f38fc4aefc9102c23f99ffe8aa1dd7

SHA256
76d5d735900272805fdf2aae7658ec567f7e574395a08a9c55c004e5ccfcb507

SHA512
57551daef1a0cd15129fbda88234b485bc80585ffdf80a993c11ae36af9eeb330231597d6ab7e97a0a9ab437ecf4a2d46fe436252171ae541250316b15f4c94c

Download Submit
C:\Windows\System32\ZeGMzVJ.exe

Filesize
2.6MB

MD5
beb3ffb4fdd5e63d04a8000f71de2c07

SHA1
346690c96a73b492e54cbc65c2f015cfab1301b7

SHA256
5686bf297fdfd59adf1bb9603c9226d7acb6c5b3d8940b0370c79d4077472af5

SHA512
9f98bdf13a6f499167b7cd068c463adc2a0694eb38fde56f72a83e5d8bbd5214ec7f9a57c97be5574fd03fcd109d2b0e518826ec338f27410b3283a7ebccc215

Download Submit
C:\Windows\System32\aEhtWfQ.exe

Filesize
2.6MB

MD5
63ba60511bad12e810c0033fe806f722

SHA1
4bc30244f20c31f679f261f1b82d775e4d850b9c

SHA256
c13301b6268fb4fbeb825849948fe5cbbba29a4cfd25caf27a63c5a19ed50561

SHA512
dc4ddc7bfbd5dd3b8cbb1f5f010b5289d06dacb8464a9c83814b19a97bf1eb789b371c031c6c51da6f8b814ee7d58e136aa674f5fa53c90ba6c9fce55f4f4af8

Download Submit
C:\Windows\System32\cyyvxxP.exe

Filesize
2.6MB

MD5
aafe25c1980bc90ac885fa9124f40a05

SHA1
1da2132c56a89040a2f65bfed682a41f363e80d1

SHA256
0af25c55e426b0cb9f127c9add37ae50274cae497205d1b0afe6c921578bb322

SHA512
3e51f6c75bc99e10caf1b84a9cd1a2a98ace8c05531b27086609de1a8fdeb15b5ad3a0d799451a08d311293039b24e6682d766a8414da6d990f9a8d04562f860

Download Submit
C:\Windows\System32\glAuUzm.exe

Filesize
2.6MB

MD5
420705afec002fda2ee4f1ae8061ca4b

SHA1
c4b8ed1dc1bc170c9a856965fc3a34beecaba5e2

SHA256
ac818c7c85f9b0397cf8bad728a879eec7a7fde6eef8cfe671fadd684c347823

SHA512
0739a39000e3227ded25f67baa573c3f22e839db16349618df39e9c501a6e2130e635c8c5472db3c3f0247004dd9aa577cd8dce97c934da7a2ccbd118dd70bfb

Download Submit
C:\Windows\System32\hWOpFUk.exe

Filesize
2.6MB

MD5
256e60a7b31ee9688962eb668039c190

SHA1
35dafb2c04410b3419bc30f46d21135c6281c421

SHA256
2538e8077f7cf362549a38043d4e72e6cbb706749d3ea561bce72971c58de190

SHA512
6eeee8e58503e1a0fc34de50be7494fad03497d35e997bd211e87f08e83a1662e5249966a7051ca20d1aae51ec36fd99a57a4bca9fb21dd94595e9057ce16875

Download Submit
C:\Windows\System32\iyduuYg.exe

Filesize
2.6MB

MD5
1572a0d4036c5664e9e81e58afc4d7df

SHA1
bf5b39343f4d406e4e9f05a05ced3c84066640d2

SHA256
206245b8cbd91d5d41497e0752da1b7ec4ec10b8a83a081910b1b581a3fb00e5

SHA512
c7df630cc2bb04d4e437a02418973f35c542084ec5e5a072eede24807ae8a2950212100264c4743786e355c7b1e0de523675c39c6739487e192738024ed61734

Download Submit
C:\Windows\System32\pbpSzsy.exe

Filesize
2.6MB

MD5
f2bde5ed7fe1980e687ca29d017068ec

SHA1
99c1cd489095b069ae7b690e4088a4910c21face

SHA256
a683edb8d252f0807e4eeb76c4d10e071c6bd3b274efe298b088e2c342a82f88

SHA512
feb3ae3de0b0273304ae14b0d7f06bda1de7d16c27550e06f5847d6dca7c2a2d4d57e6bf75ff2ed4d932ee0fee91adeebaffc6b6c3bbd08af8dedf6ca86f7e05

Download Submit
C:\Windows\System32\qyNwxUQ.exe

Filesize
2.6MB

MD5
c0b5b2b83af553ccc7dc95f8de78b1fb

SHA1
640cab3491cfa04d2afe18ba1386ad053ccab65e

SHA256
c824bf901ec696bdd5b2b9768afe6d1b1251297adb6e9036dd1b0460d408a8e0

SHA512
cb0bc44efb231de7b003c35c8c0ea4fadc477eade772c2aca818a722d8a277236faaf052b40f288168b8911e092a95d910ee349cfbe18a1c4499540e64310b8b

Download Submit
C:\Windows\System32\rMvyaWj.exe

Filesize
2.6MB

MD5
a78a35c77850651df23fa22f1d9d7058

SHA1
fd0dca4fc4923e1fcc56cb6d613a09ea0d3626e3

SHA256
023f11303c13aad2e23884214068bf1eb1452ef22caa2683239b259fef77301a

SHA512
eb33a14c4791072f123b6a0086c02d3c96b424c06261de7ed6ceda0a9932a68d8bef47ae2dd26593e1883f64f229f46e01405b2d23dbe83fcbe3e732418b8153

Download Submit
C:\Windows\System32\rNRdNBS.exe

Filesize
2.6MB

MD5
a422d730330e4a71096cad521848209a

SHA1
eabe180a41d808718bedbfbe65ce656b46a5a0d6

SHA256
2b93b71c692a1af046530ce35e92a1dc0c64c453d670db40c4b14a65b9b7dfff

SHA512
173cfbd93620037847c1d23ac4bafccd4fbea9e620e4918ec1aac9acaf5bd52333515e36623740f4afe291f01dfbdb46ca1f3ba3c61d7130676ba20162b37225

Download Submit
C:\Windows\System32\ruDRznl.exe

Filesize
2.6MB

MD5
8057a3ba0524b52bc1e6e05410f28c18

SHA1
4e1eb86208ad800348df6e168264dbe5563fef18

SHA256
8b2630294637eabafdd14129fa9c95ca1414b759342f9b8dbdefe8d0e508559d

SHA512
9035d819a140b82cb90f739b33c1f20c083efc7299f89103396b8f493e98868a0c929569c1d7f37eeba295b14bb4f641b369279fcb8557fc077e00ab7b301459

Download Submit
C:\Windows\System32\sBEyYBB.exe

Filesize
2.6MB

MD5
0c10ef1b679b5f74a622e08e264729e0

SHA1
927ee17aaa015da982e897dc529e87d76d76febf

SHA256
5f63e78ebfadf8c6bae0607bdb96b360f46836e5ba3cc01850a0454e12454d2f

SHA512
0b39180519baf93314216e78fdc5571c39c6c20a9029722111ce98bed8e9aa72e0785ab4d78444fbdd089f5ced8883556bd41fdf4e626b9e069d827fed2709f1

Download Submit
C:\Windows\System32\uYZozhl.exe

Filesize
2.6MB

MD5
55300347a884ad32d153321329975ae5

SHA1
367717669d28a4aee7fbcb34751bbf0d7cefdf8d

SHA256
b6b70c782baaefbe719b68ae97ece216b3e63bfe721fd54fef47be2414ae8491

SHA512
efc6e81f7d1b4868ee8b809d4257fe7cf11d6b40680b0284e63966b548ffcf67fd4b36c41abb897c4ab65f9a265c26d04bc38fee7b5dd78e344be121a475661d

Download Submit
C:\Windows\System32\yWdKZfT.exe

Filesize
2.6MB

MD5
8a31d0ca0a641e8d5def2b96cea56eea

SHA1
b64bb9589be60d06c71b42e2ad4fe5dee5d1cbcc

SHA256
4e2723b6d473ddc85eafe05f2fc37286a32c2bcb06528be8d36cd79136166ecb

SHA512
18b4188487bfd25d2ba3cf40782f64dc216e65f2546d29152a6cf045d4277f827ba1cc7edf852fc008c49a6e8a561cc566ac12c187662a0b8288ce3f35954e9f

Download Submit
C:\Windows\System32\zXTDSOB.exe

Filesize
2.7MB

MD5
8e86ea8c4fee9a20873a955f07ae7954

SHA1
dbf089ac4e03d5eea4f47db2ebcb6d4cbb11b5f9

SHA256
f3b82fb7cc7c9b1549e9db1610713236e1569299403b5c069d6be5acf83980cf

SHA512
4998f08e44ec7ba07f906efb9bd396e70f9e6ada0b0a77108221e15a396f6bb9f3562be62e55f79692f86b4d6e4ba0e96d2607cde1221e15eaea3db4b7587b5f

Download Submit
C:\Windows\System32\zofaBYh.exe

Filesize
2.6MB

MD5
2340c67d611d2c420eac076be948cba2

SHA1
71db11359309dee4443a3b982dab93644be5e49c

SHA256
593194a1c74e9c9a0a289ee356a48f33200e383db427690f332ec6c4dd77ed04

SHA512
4fb58a028859fb44972b40353533e6b8a36d5fc72a7265b16cc02011bb9c790a760f556ec4f1c6953a989332d5ec74a5df5b23157941c97cf5920992956d9b32

Download Submit
memory/336-932-0x00007FF786B50000-0x00007FF786F45000-memory.dmp

Filesize
4.0MB

Download
memory/336-1933-0x00007FF786B50000-0x00007FF786F45000-memory.dmp

Filesize
4.0MB

Download
memory/452-1926-0x00007FF6E2190000-0x00007FF6E2585000-memory.dmp

Filesize
4.0MB

Download
memory/452-881-0x00007FF6E2190000-0x00007FF6E2585000-memory.dmp

Filesize
4.0MB

Download
memory/900-1930-0x00007FF643530000-0x00007FF643925000-memory.dmp

Filesize
4.0MB

Download
memory/900-926-0x00007FF643530000-0x00007FF643925000-memory.dmp

Filesize
4.0MB

Download
memory/1040-1937-0x00007FF774090000-0x00007FF774485000-memory.dmp

Filesize
4.0MB

Download
memory/1040-957-0x00007FF774090000-0x00007FF774485000-memory.dmp

Filesize
4.0MB

Download
memory/1104-845-0x00007FF7647B0000-0x00007FF764BA5000-memory.dmp

Filesize
4.0MB

Download
memory/1104-1920-0x00007FF7647B0000-0x00007FF764BA5000-memory.dmp

Filesize
4.0MB

Download
memory/1220-1918-0x00007FF6595A0000-0x00007FF659995000-memory.dmp

Filesize
4.0MB

Download
memory/1220-988-0x00007FF6595A0000-0x00007FF659995000-memory.dmp

Filesize
4.0MB

Download
memory/1392-1916-0x00007FF6F6290000-0x00007FF6F6685000-memory.dmp

Filesize
4.0MB

Download
memory/1392-974-0x00007FF6F6290000-0x00007FF6F6685000-memory.dmp

Filesize
4.0MB

Download
memory/1424-1936-0x00007FF7A74F0000-0x00007FF7A78E5000-memory.dmp

Filesize
4.0MB

Download
memory/1424-966-0x00007FF7A74F0000-0x00007FF7A78E5000-memory.dmp

Filesize
4.0MB

Download
memory/1680-892-0x00007FF6185B0000-0x00007FF6189A5000-memory.dmp

Filesize
4.0MB

Download
memory/1680-1929-0x00007FF6185B0000-0x00007FF6189A5000-memory.dmp

Filesize
4.0MB

Download
memory/2120-860-0x00007FF7EF090000-0x00007FF7EF485000-memory.dmp

Filesize
4.0MB

Download
memory/2120-1922-0x00007FF7EF090000-0x00007FF7EF485000-memory.dmp

Filesize
4.0MB

Download
memory/2316-1928-0x00007FF636E40000-0x00007FF637235000-memory.dmp

Filesize
4.0MB

Download
memory/2316-910-0x00007FF636E40000-0x00007FF637235000-memory.dmp

Filesize
4.0MB

Download
memory/2344-1938-0x00007FF729280000-0x00007FF729675000-memory.dmp

Filesize
4.0MB

Download
memory/2344-973-0x00007FF729280000-0x00007FF729675000-memory.dmp

Filesize
4.0MB

Download
memory/2684-842-0x00007FF6DC580000-0x00007FF6DC975000-memory.dmp

Filesize
4.0MB

Download
memory/2684-1919-0x00007FF6DC580000-0x00007FF6DC975000-memory.dmp

Filesize
4.0MB

Download
memory/3016-0-0x00007FF7FB450000-0x00007FF7FB845000-memory.dmp

Filesize
4.0MB

Download
memory/3016-1913-0x00007FF7FB450000-0x00007FF7FB845000-memory.dmp

Filesize
4.0MB

Download
memory/3016-1-0x000002ABA5E50000-0x000002ABA5E60000-memory.dmp

Filesize
64KB

Download
memory/3244-930-0x00007FF708370000-0x00007FF708765000-memory.dmp

Filesize
4.0MB

Download
memory/3244-1932-0x00007FF708370000-0x00007FF708765000-memory.dmp

Filesize
4.0MB

Download
memory/3288-1931-0x00007FF7AE750000-0x00007FF7AEB45000-memory.dmp

Filesize
4.0MB

Download
memory/3288-903-0x00007FF7AE750000-0x00007FF7AEB45000-memory.dmp

Filesize
4.0MB

Download
memory/3324-877-0x00007FF6E13C0000-0x00007FF6E17B5000-memory.dmp

Filesize
4.0MB

Download
memory/3324-1925-0x00007FF6E13C0000-0x00007FF6E17B5000-memory.dmp

Filesize
4.0MB

Download
memory/3416-1921-0x00007FF7782F0000-0x00007FF7786E5000-memory.dmp

Filesize
4.0MB

Download
memory/3416-855-0x00007FF7782F0000-0x00007FF7786E5000-memory.dmp

Filesize
4.0MB

Download
memory/3548-13-0x00007FF63EA50000-0x00007FF63EE45000-memory.dmp

Filesize
4.0MB

Download
memory/3548-1915-0x00007FF63EA50000-0x00007FF63EE45000-memory.dmp

Filesize
4.0MB

Download
memory/3932-1924-0x00007FF6C2290000-0x00007FF6C2685000-memory.dmp

Filesize
4.0MB

Download
memory/3932-869-0x00007FF6C2290000-0x00007FF6C2685000-memory.dmp

Filesize
4.0MB

Download
memory/3972-1923-0x00007FF775DE0000-0x00007FF7761D5000-memory.dmp

Filesize
4.0MB

Download
memory/3972-850-0x00007FF775DE0000-0x00007FF7761D5000-memory.dmp

Filesize
4.0MB

Download
memory/4432-1934-0x00007FF605E30000-0x00007FF606225000-memory.dmp

Filesize
4.0MB

Download
memory/4432-941-0x00007FF605E30000-0x00007FF606225000-memory.dmp

Filesize
4.0MB

Download
memory/4472-1927-0x00007FF7A7300000-0x00007FF7A76F5000-memory.dmp

Filesize
4.0MB

Download
memory/4472-950-0x00007FF7A7300000-0x00007FF7A76F5000-memory.dmp

Filesize
4.0MB

Download
memory/4516-17-0x00007FF7CC330000-0x00007FF7CC725000-memory.dmp

Filesize
4.0MB

Download
memory/4516-1914-0x00007FF7CC330000-0x00007FF7CC725000-memory.dmp

Filesize
4.0MB

Download
memory/4516-1917-0x00007FF7CC330000-0x00007FF7CC725000-memory.dmp

Filesize
4.0MB

Download
memory/4956-1935-0x00007FF76E800000-0x00007FF76EBF5000-memory.dmp

Filesize
4.0MB

Download
memory/4956-937-0x00007FF76E800000-0x00007FF76EBF5000-memory.dmp

Filesize
4.0MB

Download