xmrig | db65313f0d4f5e0943332364468e21d7ce0f81f617994424dca3a25e452949c4

Analysis

max time kernel
124s
max time network
125s
platform
windows10-2004_x64
resource
win10v2004-20240508-en
resource tags

arch:x64arch:x86image:win10v2004-20240508-enlocale:en-usos:windows10-2004-x64system
submitted
22-05-2024 20:22

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
Size

1.6MB
MD5

e821c292a99ae8a50e7c229f5e8959c0
SHA1

1a2db5aa4e0a1bd4db51a0a79fa83ad254741998
SHA256

db65313f0d4f5e0943332364468e21d7ce0f81f617994424dca3a25e452949c4
SHA512

93ab6ed847259e2e40dac408caea73ee5b36890347a191e1bc162cbd0cd4c604ddc4bd51576d984da99b8e1b90d563ed68df0c369cceab27e47f5e04c1a69c17
SSDEEP

24576:JanwhSe11QSONCpGJCjETPlOqzJO0Rb8blOhG4zObcMyqqbziZVRZUVX1bjmwA:knw9oUUEEDlOuJc5cMKGPsPA

Score

10^/10

xmrig miner upx

Malware Config

Signatures

xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 48 IoCs

miner

Processes:

resource	yara_rule
behavioral2/memory/1964-32-0x00007FF795E90000-0x00007FF796281000-memory.dmp	xmrig
behavioral2/memory/2592-457-0x00007FF6C4E80000-0x00007FF6C5271000-memory.dmp	xmrig
behavioral2/memory/4044-458-0x00007FF619700000-0x00007FF619AF1000-memory.dmp	xmrig
behavioral2/memory/2468-459-0x00007FF777840000-0x00007FF777C31000-memory.dmp	xmrig
behavioral2/memory/848-460-0x00007FF75F900000-0x00007FF75FCF1000-memory.dmp	xmrig
behavioral2/memory/2348-461-0x00007FF7C12E0000-0x00007FF7C16D1000-memory.dmp	xmrig
behavioral2/memory/2688-462-0x00007FF774AF0000-0x00007FF774EE1000-memory.dmp	xmrig
behavioral2/memory/3328-471-0x00007FF7E8350000-0x00007FF7E8741000-memory.dmp	xmrig
behavioral2/memory/4580-472-0x00007FF71E3C0000-0x00007FF71E7B1000-memory.dmp	xmrig
behavioral2/memory/2480-478-0x00007FF7C81F0000-0x00007FF7C85E1000-memory.dmp	xmrig
behavioral2/memory/4604-491-0x00007FF683110000-0x00007FF683501000-memory.dmp	xmrig
behavioral2/memory/1424-487-0x00007FF74F420000-0x00007FF74F811000-memory.dmp	xmrig
behavioral2/memory/3652-496-0x00007FF613770000-0x00007FF613B61000-memory.dmp	xmrig
behavioral2/memory/3204-500-0x00007FF763BE0000-0x00007FF763FD1000-memory.dmp	xmrig
behavioral2/memory/3480-501-0x00007FF7F1D20000-0x00007FF7F2111000-memory.dmp	xmrig
behavioral2/memory/2824-506-0x00007FF6ADCD0000-0x00007FF6AE0C1000-memory.dmp	xmrig
behavioral2/memory/3764-512-0x00007FF72F9E0000-0x00007FF72FDD1000-memory.dmp	xmrig
behavioral2/memory/1456-517-0x00007FF616060000-0x00007FF616451000-memory.dmp	xmrig
behavioral2/memory/4308-599-0x00007FF734380000-0x00007FF734771000-memory.dmp	xmrig
behavioral2/memory/1028-606-0x00007FF786970000-0x00007FF786D61000-memory.dmp	xmrig
behavioral2/memory/1652-2020-0x00007FF7CC800000-0x00007FF7CCBF1000-memory.dmp	xmrig
behavioral2/memory/3184-2021-0x00007FF68CB70000-0x00007FF68CF61000-memory.dmp	xmrig
behavioral2/memory/4544-2022-0x00007FF6173D0000-0x00007FF6177C1000-memory.dmp	xmrig
behavioral2/memory/2496-2023-0x00007FF6FBF40000-0x00007FF6FC331000-memory.dmp	xmrig
behavioral2/memory/4544-2043-0x00007FF6173D0000-0x00007FF6177C1000-memory.dmp	xmrig
behavioral2/memory/4308-2045-0x00007FF734380000-0x00007FF734771000-memory.dmp	xmrig
behavioral2/memory/1964-2041-0x00007FF795E90000-0x00007FF796281000-memory.dmp	xmrig
behavioral2/memory/3184-2061-0x00007FF68CB70000-0x00007FF68CF61000-memory.dmp	xmrig
behavioral2/memory/3480-2081-0x00007FF7F1D20000-0x00007FF7F2111000-memory.dmp	xmrig
behavioral2/memory/3204-2079-0x00007FF763BE0000-0x00007FF763FD1000-memory.dmp	xmrig
behavioral2/memory/3652-2077-0x00007FF613770000-0x00007FF613B61000-memory.dmp	xmrig
behavioral2/memory/4604-2075-0x00007FF683110000-0x00007FF683501000-memory.dmp	xmrig
behavioral2/memory/1424-2073-0x00007FF74F420000-0x00007FF74F811000-memory.dmp	xmrig
behavioral2/memory/2688-2071-0x00007FF774AF0000-0x00007FF774EE1000-memory.dmp	xmrig
behavioral2/memory/2468-2069-0x00007FF777840000-0x00007FF777C31000-memory.dmp	xmrig
behavioral2/memory/2348-2065-0x00007FF7C12E0000-0x00007FF7C16D1000-memory.dmp	xmrig
behavioral2/memory/4580-2057-0x00007FF71E3C0000-0x00007FF71E7B1000-memory.dmp	xmrig
behavioral2/memory/848-2067-0x00007FF75F900000-0x00007FF75FCF1000-memory.dmp	xmrig
behavioral2/memory/4044-2063-0x00007FF619700000-0x00007FF619AF1000-memory.dmp	xmrig
behavioral2/memory/3328-2055-0x00007FF7E8350000-0x00007FF7E8741000-memory.dmp	xmrig
behavioral2/memory/2592-2053-0x00007FF6C4E80000-0x00007FF6C5271000-memory.dmp	xmrig
behavioral2/memory/1028-2051-0x00007FF786970000-0x00007FF786D61000-memory.dmp	xmrig
behavioral2/memory/2480-2059-0x00007FF7C81F0000-0x00007FF7C85E1000-memory.dmp	xmrig
behavioral2/memory/3748-2049-0x00007FF761C30000-0x00007FF762021000-memory.dmp	xmrig
behavioral2/memory/2496-2048-0x00007FF6FBF40000-0x00007FF6FC331000-memory.dmp	xmrig
behavioral2/memory/2824-2087-0x00007FF6ADCD0000-0x00007FF6AE0C1000-memory.dmp	xmrig
behavioral2/memory/3764-2085-0x00007FF72F9E0000-0x00007FF72FDD1000-memory.dmp	xmrig
behavioral2/memory/1456-2083-0x00007FF616060000-0x00007FF616451000-memory.dmp	xmrig

Executes dropped EXE 64 IoCs

Processes:

VOpHnYj.exeMaveenp.exewQlrHWk.exeaNIdVzr.exeBxWhvzX.exetgKzvnf.exexypJIyl.exewiYiovH.exeeBQFirr.exePASvqEe.exeGrUODHm.exenaGknqi.exepvGXWzE.exesYnaIkU.exezEEfrzs.exeTZdSFiT.exeLjMckAy.exeRyFcDHV.exeDLTdoEZ.exeIaQWZCQ.exekkqfnzU.exeUbFvpHp.exeZbppxth.exeEuNgbpx.exemgStPeD.exexTpkDPy.exepkPJiud.exeoUADaIz.exejyQIXDb.exeTGdswGL.exeCaeTWqk.exeSfHmWAC.exeYQXUGSx.exeMDnGPbp.exeACkrQik.exeMiDVeMo.exeNVGxMOy.exedRbCJzA.exeMFLjVOA.exenjAIgCM.exeAKHxObY.exeUofvjQH.exevJKamYK.exemVRjFNp.exeYbLgike.exevSkmqwY.exendxXfst.exeUbFlkrA.exeBPSNkmS.exeqELJQNB.exepKMYbsG.exeRWUjUJg.exeEVUeLyG.exebrzPNME.exejzxahgz.exeQLfcAjZ.exehIJrOTB.exeJjCizyt.exeVoxCfDv.exebxagknj.exeUXcaQuP.exekJwUcBW.execRpjzYr.exeQvgUUKu.exe

pid	process
3184	VOpHnYj.exe
3748	Maveenp.exe
4544	wQlrHWk.exe
1964	aNIdVzr.exe
4308	BxWhvzX.exe
2496	tgKzvnf.exe
1028	xypJIyl.exe
2592	wiYiovH.exe
4044	eBQFirr.exe
2468	PASvqEe.exe
848	GrUODHm.exe
2348	naGknqi.exe
2688	pvGXWzE.exe
3328	sYnaIkU.exe
4580	zEEfrzs.exe
2480	TZdSFiT.exe
1424	LjMckAy.exe
4604	RyFcDHV.exe
3652	DLTdoEZ.exe
3204	IaQWZCQ.exe
3480	kkqfnzU.exe
2824	UbFvpHp.exe
3764	Zbppxth.exe
1456	EuNgbpx.exe
2916	mgStPeD.exe
3352	xTpkDPy.exe
1488	pkPJiud.exe
1924	oUADaIz.exe
4048	jyQIXDb.exe
60	TGdswGL.exe
1724	CaeTWqk.exe
4072	SfHmWAC.exe
2692	YQXUGSx.exe
1816	MDnGPbp.exe
4824	ACkrQik.exe
412	MiDVeMo.exe
1720	NVGxMOy.exe
3828	dRbCJzA.exe
452	MFLjVOA.exe
532	njAIgCM.exe
3712	AKHxObY.exe
1952	UofvjQH.exe
2684	vJKamYK.exe
220	mVRjFNp.exe
2320	YbLgike.exe
1588	vSkmqwY.exe
1648	ndxXfst.exe
2424	UbFlkrA.exe
4480	BPSNkmS.exe
4732	qELJQNB.exe
5080	pKMYbsG.exe
3484	RWUjUJg.exe
4984	EVUeLyG.exe
4944	brzPNME.exe
1472	jzxahgz.exe
5088	QLfcAjZ.exe
868	hIJrOTB.exe
3584	JjCizyt.exe
540	VoxCfDv.exe
1304	bxagknj.exe
548	UXcaQuP.exe
4684	kJwUcBW.exe
3336	cRpjzYr.exe
1160	QvgUUKu.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

Processes:

resource	yara_rule
behavioral2/memory/1652-0-0x00007FF7CC800000-0x00007FF7CCBF1000-memory.dmp	upx
C:\Windows\System32\Maveenp.exe	upx
C:\Windows\System32\VOpHnYj.exe	upx
behavioral2/memory/3184-11-0x00007FF68CB70000-0x00007FF68CF61000-memory.dmp	upx
behavioral2/memory/4544-22-0x00007FF6173D0000-0x00007FF6177C1000-memory.dmp	upx
C:\Windows\System32\tgKzvnf.exe	upx
C:\Windows\System32\xypJIyl.exe	upx
C:\Windows\System32\wiYiovH.exe	upx
C:\Windows\System32\eBQFirr.exe	upx
C:\Windows\System32\sYnaIkU.exe	upx
C:\Windows\System32\TZdSFiT.exe	upx
C:\Windows\System32\RyFcDHV.exe	upx
C:\Windows\System32\IaQWZCQ.exe	upx
C:\Windows\System32\mgStPeD.exe	upx
C:\Windows\System32\SfHmWAC.exe	upx
C:\Windows\System32\CaeTWqk.exe	upx
C:\Windows\System32\TGdswGL.exe	upx
C:\Windows\System32\jyQIXDb.exe	upx
C:\Windows\System32\oUADaIz.exe	upx
C:\Windows\System32\pkPJiud.exe	upx
C:\Windows\System32\xTpkDPy.exe	upx
C:\Windows\System32\EuNgbpx.exe	upx
C:\Windows\System32\Zbppxth.exe	upx
C:\Windows\System32\UbFvpHp.exe	upx
C:\Windows\System32\kkqfnzU.exe	upx
C:\Windows\System32\DLTdoEZ.exe	upx
C:\Windows\System32\LjMckAy.exe	upx
C:\Windows\System32\zEEfrzs.exe	upx
C:\Windows\System32\pvGXWzE.exe	upx
C:\Windows\System32\naGknqi.exe	upx
C:\Windows\System32\GrUODHm.exe	upx
C:\Windows\System32\PASvqEe.exe	upx
behavioral2/memory/2496-35-0x00007FF6FBF40000-0x00007FF6FC331000-memory.dmp	upx
behavioral2/memory/1964-32-0x00007FF795E90000-0x00007FF796281000-memory.dmp	upx
C:\Windows\System32\BxWhvzX.exe	upx
C:\Windows\System32\wQlrHWk.exe	upx
C:\Windows\System32\aNIdVzr.exe	upx
behavioral2/memory/3748-15-0x00007FF761C30000-0x00007FF762021000-memory.dmp	upx
behavioral2/memory/2592-457-0x00007FF6C4E80000-0x00007FF6C5271000-memory.dmp	upx
behavioral2/memory/4044-458-0x00007FF619700000-0x00007FF619AF1000-memory.dmp	upx
behavioral2/memory/2468-459-0x00007FF777840000-0x00007FF777C31000-memory.dmp	upx
behavioral2/memory/848-460-0x00007FF75F900000-0x00007FF75FCF1000-memory.dmp	upx
behavioral2/memory/2348-461-0x00007FF7C12E0000-0x00007FF7C16D1000-memory.dmp	upx
behavioral2/memory/2688-462-0x00007FF774AF0000-0x00007FF774EE1000-memory.dmp	upx
behavioral2/memory/3328-471-0x00007FF7E8350000-0x00007FF7E8741000-memory.dmp	upx
behavioral2/memory/4580-472-0x00007FF71E3C0000-0x00007FF71E7B1000-memory.dmp	upx
behavioral2/memory/2480-478-0x00007FF7C81F0000-0x00007FF7C85E1000-memory.dmp	upx
behavioral2/memory/4604-491-0x00007FF683110000-0x00007FF683501000-memory.dmp	upx
behavioral2/memory/1424-487-0x00007FF74F420000-0x00007FF74F811000-memory.dmp	upx
behavioral2/memory/3652-496-0x00007FF613770000-0x00007FF613B61000-memory.dmp	upx
behavioral2/memory/3204-500-0x00007FF763BE0000-0x00007FF763FD1000-memory.dmp	upx
behavioral2/memory/3480-501-0x00007FF7F1D20000-0x00007FF7F2111000-memory.dmp	upx
behavioral2/memory/2824-506-0x00007FF6ADCD0000-0x00007FF6AE0C1000-memory.dmp	upx
behavioral2/memory/3764-512-0x00007FF72F9E0000-0x00007FF72FDD1000-memory.dmp	upx
behavioral2/memory/1456-517-0x00007FF616060000-0x00007FF616451000-memory.dmp	upx
behavioral2/memory/4308-599-0x00007FF734380000-0x00007FF734771000-memory.dmp	upx
behavioral2/memory/1028-606-0x00007FF786970000-0x00007FF786D61000-memory.dmp	upx
behavioral2/memory/1652-2020-0x00007FF7CC800000-0x00007FF7CCBF1000-memory.dmp	upx
behavioral2/memory/3184-2021-0x00007FF68CB70000-0x00007FF68CF61000-memory.dmp	upx
behavioral2/memory/4544-2022-0x00007FF6173D0000-0x00007FF6177C1000-memory.dmp	upx
behavioral2/memory/2496-2023-0x00007FF6FBF40000-0x00007FF6FC331000-memory.dmp	upx
behavioral2/memory/4544-2043-0x00007FF6173D0000-0x00007FF6177C1000-memory.dmp	upx
behavioral2/memory/4308-2045-0x00007FF734380000-0x00007FF734771000-memory.dmp	upx
behavioral2/memory/1964-2041-0x00007FF795E90000-0x00007FF796281000-memory.dmp	upx

Drops file in System32 directory 64 IoCs

Processes:

e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe

description	ioc	process
File created	C:\Windows\System32\TGdswGL.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\qYhROFn.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\jSKnvbS.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\cAbosIl.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\tCvqNsZ.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\HoTsumW.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\YweYRUv.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\ZrhcCed.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\jkuIdxM.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\NEQfRAK.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\fozBpbF.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\ylaihMw.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\haCbMMg.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\wiYiovH.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\fMYdHei.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\JgIMEEA.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\dDhwnjV.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\OqZMzLm.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\zRiUsIl.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\ErFWtcw.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\NalumnF.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\HwAamXj.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\wQlrHWk.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\xwZJLqq.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\pmlsSnJ.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\YTmHKlv.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\ywAMDaN.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\PXlIrLd.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\jCLReTP.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\kUsckAZ.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\RdExvxB.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\wocUkkW.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\eziuNQq.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\ZDCUiBz.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\AhfZzft.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\mVRjFNp.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\bxagknj.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\xbzxXKM.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\PztoXQT.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\MQEXjBE.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\LezcMAa.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\IxZXUwG.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\nWwrIvz.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\tsIICQw.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\grKuYtO.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\WyAmLdy.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\udXtWtC.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\rSCqcjT.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\NzqNQED.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\WmKRRYK.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\FYvbtAg.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\wqUKUjf.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\OzqiSWd.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\iqHFbVZ.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\rwPnCpn.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\LGtNWjy.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\UjOSgTI.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\oUADaIz.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\rqgphmo.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\xQkQyGm.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\ecEMAbv.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\lunKAFB.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\zEEfrzs.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
File created	C:\Windows\System32\ttoJGPB.exe	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe

Checks SCSI registry key(s) 3 TTPs 6 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

Processes:

dwm.exe

description	ioc	process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_DADY&PROD_HARDDISK\4&215468A5&0&000000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\ConfigFlags	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\HardwareID	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_QEMU&PROD_QEMU_DVD-ROM\4&215468A5&0&010000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe

Enumerates system info in registry 2 TTPs 2 IoCs

Query Registry

T1012

System Information Discovery

T1082

Processes:

dwm.exe

description	ioc	process
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe

Modifies data under HKEY_USERS 18 IoCs

Processes:

dwm.exe

description	ioc	process
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2a\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe

Suspicious use of AdjustPrivilegeToken 4 IoCs

Processes:

dwm.exe

description	pid	process
Token: SeCreateGlobalPrivilege	12908	dwm.exe
Token: SeChangeNotifyPrivilege	12908	dwm.exe
Token: 33	12908	dwm.exe
Token: SeIncBasePriorityPrivilege	12908	dwm.exe

Suspicious use of WriteProcessMemory 64 IoCs

Processes:

e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe

description	pid	process	target process
PID 1652 wrote to memory of 3184	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	VOpHnYj.exe
PID 1652 wrote to memory of 3184	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	VOpHnYj.exe
PID 1652 wrote to memory of 3748	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	Maveenp.exe
PID 1652 wrote to memory of 3748	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	Maveenp.exe
PID 1652 wrote to memory of 4544	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	wQlrHWk.exe
PID 1652 wrote to memory of 4544	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	wQlrHWk.exe
PID 1652 wrote to memory of 1964	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	aNIdVzr.exe
PID 1652 wrote to memory of 1964	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	aNIdVzr.exe
PID 1652 wrote to memory of 4308	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	BxWhvzX.exe
PID 1652 wrote to memory of 4308	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	BxWhvzX.exe
PID 1652 wrote to memory of 2496	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	tgKzvnf.exe
PID 1652 wrote to memory of 2496	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	tgKzvnf.exe
PID 1652 wrote to memory of 1028	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	xypJIyl.exe
PID 1652 wrote to memory of 1028	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	xypJIyl.exe
PID 1652 wrote to memory of 2592	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	wiYiovH.exe
PID 1652 wrote to memory of 2592	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	wiYiovH.exe
PID 1652 wrote to memory of 4044	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	eBQFirr.exe
PID 1652 wrote to memory of 4044	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	eBQFirr.exe
PID 1652 wrote to memory of 2468	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	PASvqEe.exe
PID 1652 wrote to memory of 2468	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	PASvqEe.exe
PID 1652 wrote to memory of 848	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	GrUODHm.exe
PID 1652 wrote to memory of 848	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	GrUODHm.exe
PID 1652 wrote to memory of 2348	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	naGknqi.exe
PID 1652 wrote to memory of 2348	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	naGknqi.exe
PID 1652 wrote to memory of 2688	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	pvGXWzE.exe
PID 1652 wrote to memory of 2688	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	pvGXWzE.exe
PID 1652 wrote to memory of 3328	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	sYnaIkU.exe
PID 1652 wrote to memory of 3328	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	sYnaIkU.exe
PID 1652 wrote to memory of 4580	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	zEEfrzs.exe
PID 1652 wrote to memory of 4580	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	zEEfrzs.exe
PID 1652 wrote to memory of 2480	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	TZdSFiT.exe
PID 1652 wrote to memory of 2480	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	TZdSFiT.exe
PID 1652 wrote to memory of 1424	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	LjMckAy.exe
PID 1652 wrote to memory of 1424	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	LjMckAy.exe
PID 1652 wrote to memory of 4604	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	RyFcDHV.exe
PID 1652 wrote to memory of 4604	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	RyFcDHV.exe
PID 1652 wrote to memory of 3652	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	DLTdoEZ.exe
PID 1652 wrote to memory of 3652	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	DLTdoEZ.exe
PID 1652 wrote to memory of 3204	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	IaQWZCQ.exe
PID 1652 wrote to memory of 3204	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	IaQWZCQ.exe
PID 1652 wrote to memory of 3480	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	kkqfnzU.exe
PID 1652 wrote to memory of 3480	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	kkqfnzU.exe
PID 1652 wrote to memory of 2824	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	UbFvpHp.exe
PID 1652 wrote to memory of 2824	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	UbFvpHp.exe
PID 1652 wrote to memory of 3764	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	Zbppxth.exe
PID 1652 wrote to memory of 3764	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	Zbppxth.exe
PID 1652 wrote to memory of 1456	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	EuNgbpx.exe
PID 1652 wrote to memory of 1456	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	EuNgbpx.exe
PID 1652 wrote to memory of 2916	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	mgStPeD.exe
PID 1652 wrote to memory of 2916	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	mgStPeD.exe
PID 1652 wrote to memory of 3352	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	xTpkDPy.exe
PID 1652 wrote to memory of 3352	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	xTpkDPy.exe
PID 1652 wrote to memory of 1488	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	pkPJiud.exe
PID 1652 wrote to memory of 1488	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	pkPJiud.exe
PID 1652 wrote to memory of 1924	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	oUADaIz.exe
PID 1652 wrote to memory of 1924	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	oUADaIz.exe
PID 1652 wrote to memory of 4048	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	jyQIXDb.exe
PID 1652 wrote to memory of 4048	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	jyQIXDb.exe
PID 1652 wrote to memory of 60	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	TGdswGL.exe
PID 1652 wrote to memory of 60	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	TGdswGL.exe
PID 1652 wrote to memory of 1724	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	CaeTWqk.exe
PID 1652 wrote to memory of 1724	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	CaeTWqk.exe
PID 1652 wrote to memory of 4072	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	SfHmWAC.exe
PID 1652 wrote to memory of 4072	1652	e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe	SfHmWAC.exe

C:\Users\Admin\AppData\Local\Temp\e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe
"C:\Users\Admin\AppData\Local\Temp\e821c292a99ae8a50e7c229f5e8959c0_NeikiAnalytics.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:1652
- C:\Windows\System32\VOpHnYj.exe
  C:\Windows\System32\VOpHnYj.exe
  2⤵
  - Executes dropped EXE
  PID:3184
- C:\Windows\System32\Maveenp.exe
  C:\Windows\System32\Maveenp.exe
  2⤵
  - Executes dropped EXE
  PID:3748
- C:\Windows\System32\wQlrHWk.exe
  C:\Windows\System32\wQlrHWk.exe
  2⤵
  - Executes dropped EXE
  PID:4544
- C:\Windows\System32\aNIdVzr.exe
  C:\Windows\System32\aNIdVzr.exe
  2⤵
  - Executes dropped EXE
  PID:1964
- C:\Windows\System32\BxWhvzX.exe
  C:\Windows\System32\BxWhvzX.exe
  2⤵
  - Executes dropped EXE
  PID:4308
- C:\Windows\System32\tgKzvnf.exe
  C:\Windows\System32\tgKzvnf.exe
  2⤵
  - Executes dropped EXE
  PID:2496
- C:\Windows\System32\xypJIyl.exe
  C:\Windows\System32\xypJIyl.exe
  2⤵
  - Executes dropped EXE
  PID:1028
- C:\Windows\System32\wiYiovH.exe
  C:\Windows\System32\wiYiovH.exe
  2⤵
  - Executes dropped EXE
  PID:2592
- C:\Windows\System32\eBQFirr.exe
  C:\Windows\System32\eBQFirr.exe
  2⤵
  - Executes dropped EXE
  PID:4044
- C:\Windows\System32\PASvqEe.exe
  C:\Windows\System32\PASvqEe.exe
  2⤵
  - Executes dropped EXE
  PID:2468
- C:\Windows\System32\GrUODHm.exe
  C:\Windows\System32\GrUODHm.exe
  2⤵
  - Executes dropped EXE
  PID:848
- C:\Windows\System32\naGknqi.exe
  C:\Windows\System32\naGknqi.exe
  2⤵
  - Executes dropped EXE
  PID:2348
- C:\Windows\System32\pvGXWzE.exe
  C:\Windows\System32\pvGXWzE.exe
  2⤵
  - Executes dropped EXE
  PID:2688
- C:\Windows\System32\sYnaIkU.exe
  C:\Windows\System32\sYnaIkU.exe
  2⤵
  - Executes dropped EXE
  PID:3328
- C:\Windows\System32\zEEfrzs.exe
  C:\Windows\System32\zEEfrzs.exe
  2⤵
  - Executes dropped EXE
  PID:4580
- C:\Windows\System32\TZdSFiT.exe
  C:\Windows\System32\TZdSFiT.exe
  2⤵
  - Executes dropped EXE
  PID:2480
- C:\Windows\System32\LjMckAy.exe
  C:\Windows\System32\LjMckAy.exe
  2⤵
  - Executes dropped EXE
  PID:1424
- C:\Windows\System32\RyFcDHV.exe
  C:\Windows\System32\RyFcDHV.exe
  2⤵
  - Executes dropped EXE
  PID:4604
- C:\Windows\System32\DLTdoEZ.exe
  C:\Windows\System32\DLTdoEZ.exe
  2⤵
  - Executes dropped EXE
  PID:3652
- C:\Windows\System32\IaQWZCQ.exe
  C:\Windows\System32\IaQWZCQ.exe
  2⤵
  - Executes dropped EXE
  PID:3204
- C:\Windows\System32\kkqfnzU.exe
  C:\Windows\System32\kkqfnzU.exe
  2⤵
  - Executes dropped EXE
  PID:3480
- C:\Windows\System32\UbFvpHp.exe
  C:\Windows\System32\UbFvpHp.exe
  2⤵
  - Executes dropped EXE
  PID:2824
- C:\Windows\System32\Zbppxth.exe
  C:\Windows\System32\Zbppxth.exe
  2⤵
  - Executes dropped EXE
  PID:3764
- C:\Windows\System32\EuNgbpx.exe
  C:\Windows\System32\EuNgbpx.exe
  2⤵
  - Executes dropped EXE
  PID:1456
- C:\Windows\System32\mgStPeD.exe
  C:\Windows\System32\mgStPeD.exe
  2⤵
  - Executes dropped EXE
  PID:2916
- C:\Windows\System32\xTpkDPy.exe
  C:\Windows\System32\xTpkDPy.exe
  2⤵
  - Executes dropped EXE
  PID:3352
- C:\Windows\System32\pkPJiud.exe
  C:\Windows\System32\pkPJiud.exe
  2⤵
  - Executes dropped EXE
  PID:1488
- C:\Windows\System32\oUADaIz.exe
  C:\Windows\System32\oUADaIz.exe
  2⤵
  - Executes dropped EXE
  PID:1924
- C:\Windows\System32\jyQIXDb.exe
  C:\Windows\System32\jyQIXDb.exe
  2⤵
  - Executes dropped EXE
  PID:4048
- C:\Windows\System32\TGdswGL.exe
  C:\Windows\System32\TGdswGL.exe
  2⤵
  - Executes dropped EXE
  PID:60
- C:\Windows\System32\CaeTWqk.exe
  C:\Windows\System32\CaeTWqk.exe
  2⤵
  - Executes dropped EXE
  PID:1724
- C:\Windows\System32\SfHmWAC.exe
  C:\Windows\System32\SfHmWAC.exe
  2⤵
  - Executes dropped EXE
  PID:4072
- C:\Windows\System32\YQXUGSx.exe
  C:\Windows\System32\YQXUGSx.exe
  2⤵
  - Executes dropped EXE
  PID:2692
- C:\Windows\System32\MDnGPbp.exe
  C:\Windows\System32\MDnGPbp.exe
  2⤵
  - Executes dropped EXE
  PID:1816
- C:\Windows\System32\ACkrQik.exe
  C:\Windows\System32\ACkrQik.exe
  2⤵
  - Executes dropped EXE
  PID:4824
- C:\Windows\System32\MiDVeMo.exe
  C:\Windows\System32\MiDVeMo.exe
  2⤵
  - Executes dropped EXE
  PID:412
- C:\Windows\System32\NVGxMOy.exe
  C:\Windows\System32\NVGxMOy.exe
  2⤵
  - Executes dropped EXE
  PID:1720
- C:\Windows\System32\dRbCJzA.exe
  C:\Windows\System32\dRbCJzA.exe
  2⤵
  - Executes dropped EXE
  PID:3828
- C:\Windows\System32\MFLjVOA.exe
  C:\Windows\System32\MFLjVOA.exe
  2⤵
  - Executes dropped EXE
  PID:452
- C:\Windows\System32\njAIgCM.exe
  C:\Windows\System32\njAIgCM.exe
  2⤵
  - Executes dropped EXE
  PID:532
- C:\Windows\System32\AKHxObY.exe
  C:\Windows\System32\AKHxObY.exe
  2⤵
  - Executes dropped EXE
  PID:3712
- C:\Windows\System32\UofvjQH.exe
  C:\Windows\System32\UofvjQH.exe
  2⤵
  - Executes dropped EXE
  PID:1952
- C:\Windows\System32\vJKamYK.exe
  C:\Windows\System32\vJKamYK.exe
  2⤵
  - Executes dropped EXE
  PID:2684
- C:\Windows\System32\mVRjFNp.exe
  C:\Windows\System32\mVRjFNp.exe
  2⤵
  - Executes dropped EXE
  PID:220
- C:\Windows\System32\YbLgike.exe
  C:\Windows\System32\YbLgike.exe
  2⤵
  - Executes dropped EXE
  PID:2320
- C:\Windows\System32\vSkmqwY.exe
  C:\Windows\System32\vSkmqwY.exe
  2⤵
  - Executes dropped EXE
  PID:1588
- C:\Windows\System32\ndxXfst.exe
  C:\Windows\System32\ndxXfst.exe
  2⤵
  - Executes dropped EXE
  PID:1648
- C:\Windows\System32\UbFlkrA.exe
  C:\Windows\System32\UbFlkrA.exe
  2⤵
  - Executes dropped EXE
  PID:2424
- C:\Windows\System32\BPSNkmS.exe
  C:\Windows\System32\BPSNkmS.exe
  2⤵
  - Executes dropped EXE
  PID:4480
- C:\Windows\System32\qELJQNB.exe
  C:\Windows\System32\qELJQNB.exe
  2⤵
  - Executes dropped EXE
  PID:4732
- C:\Windows\System32\pKMYbsG.exe
  C:\Windows\System32\pKMYbsG.exe
  2⤵
  - Executes dropped EXE
  PID:5080
- C:\Windows\System32\RWUjUJg.exe
  C:\Windows\System32\RWUjUJg.exe
  2⤵
  - Executes dropped EXE
  PID:3484
- C:\Windows\System32\EVUeLyG.exe
  C:\Windows\System32\EVUeLyG.exe
  2⤵
  - Executes dropped EXE
  PID:4984
- C:\Windows\System32\brzPNME.exe
  C:\Windows\System32\brzPNME.exe
  2⤵
  - Executes dropped EXE
  PID:4944
- C:\Windows\System32\jzxahgz.exe
  C:\Windows\System32\jzxahgz.exe
  2⤵
  - Executes dropped EXE
  PID:1472
- C:\Windows\System32\QLfcAjZ.exe
  C:\Windows\System32\QLfcAjZ.exe
  2⤵
  - Executes dropped EXE
  PID:5088
- C:\Windows\System32\hIJrOTB.exe
  C:\Windows\System32\hIJrOTB.exe
  2⤵
  - Executes dropped EXE
  PID:868
- C:\Windows\System32\JjCizyt.exe
  C:\Windows\System32\JjCizyt.exe
  2⤵
  - Executes dropped EXE
  PID:3584
- C:\Windows\System32\VoxCfDv.exe
  C:\Windows\System32\VoxCfDv.exe
  2⤵
  - Executes dropped EXE
  PID:540
- C:\Windows\System32\bxagknj.exe
  C:\Windows\System32\bxagknj.exe
  2⤵
  - Executes dropped EXE
  PID:1304
- C:\Windows\System32\UXcaQuP.exe
  C:\Windows\System32\UXcaQuP.exe
  2⤵
  - Executes dropped EXE
  PID:548
- C:\Windows\System32\kJwUcBW.exe
  C:\Windows\System32\kJwUcBW.exe
  2⤵
  - Executes dropped EXE
  PID:4684
- C:\Windows\System32\cRpjzYr.exe
  C:\Windows\System32\cRpjzYr.exe
  2⤵
  - Executes dropped EXE
  PID:3336
- C:\Windows\System32\QvgUUKu.exe
  C:\Windows\System32\QvgUUKu.exe
  2⤵
  - Executes dropped EXE
  PID:1160
- C:\Windows\System32\sXXzNJY.exe
  C:\Windows\System32\sXXzNJY.exe
  2⤵
  PID:3780
- C:\Windows\System32\IvdeytW.exe
  C:\Windows\System32\IvdeytW.exe
  2⤵
  PID:4420
- C:\Windows\System32\PusDEQB.exe
  C:\Windows\System32\PusDEQB.exe
  2⤵
  PID:2940
- C:\Windows\System32\LRgXykm.exe
  C:\Windows\System32\LRgXykm.exe
  2⤵
  PID:1268
- C:\Windows\System32\XVDwZJJ.exe
  C:\Windows\System32\XVDwZJJ.exe
  2⤵
  PID:1636
- C:\Windows\System32\DULfHtq.exe
  C:\Windows\System32\DULfHtq.exe
  2⤵
  PID:1620
- C:\Windows\System32\fhTyJfL.exe
  C:\Windows\System32\fhTyJfL.exe
  2⤵
  PID:3208
- C:\Windows\System32\zHQsUia.exe
  C:\Windows\System32\zHQsUia.exe
  2⤵
  PID:1204
- C:\Windows\System32\IWGVWvJ.exe
  C:\Windows\System32\IWGVWvJ.exe
  2⤵
  PID:1384
- C:\Windows\System32\dDhwnjV.exe
  C:\Windows\System32\dDhwnjV.exe
  2⤵
  PID:5092
- C:\Windows\System32\TdrAlvW.exe
  C:\Windows\System32\TdrAlvW.exe
  2⤵
  PID:4968
- C:\Windows\System32\rMVoasp.exe
  C:\Windows\System32\rMVoasp.exe
  2⤵
  PID:4856
- C:\Windows\System32\ftnnrjv.exe
  C:\Windows\System32\ftnnrjv.exe
  2⤵
  PID:4088
- C:\Windows\System32\wTauxLL.exe
  C:\Windows\System32\wTauxLL.exe
  2⤵
  PID:4508
- C:\Windows\System32\mhvrFxV.exe
  C:\Windows\System32\mhvrFxV.exe
  2⤵
  PID:2176
- C:\Windows\System32\GYfdhhh.exe
  C:\Windows\System32\GYfdhhh.exe
  2⤵
  PID:3156
- C:\Windows\System32\oOurutF.exe
  C:\Windows\System32\oOurutF.exe
  2⤵
  PID:5148
- C:\Windows\System32\xmFUhdL.exe
  C:\Windows\System32\xmFUhdL.exe
  2⤵
  PID:5176
- C:\Windows\System32\hGZzmgx.exe
  C:\Windows\System32\hGZzmgx.exe
  2⤵
  PID:5204
- C:\Windows\System32\SbaaQIf.exe
  C:\Windows\System32\SbaaQIf.exe
  2⤵
  PID:5232
- C:\Windows\System32\BFBhqgF.exe
  C:\Windows\System32\BFBhqgF.exe
  2⤵
  PID:5260
- C:\Windows\System32\MquDtID.exe
  C:\Windows\System32\MquDtID.exe
  2⤵
  PID:5288
- C:\Windows\System32\CKsbgPH.exe
  C:\Windows\System32\CKsbgPH.exe
  2⤵
  PID:5316
- C:\Windows\System32\rnjrrQZ.exe
  C:\Windows\System32\rnjrrQZ.exe
  2⤵
  PID:5340
- C:\Windows\System32\LRdyohs.exe
  C:\Windows\System32\LRdyohs.exe
  2⤵
  PID:5372
- C:\Windows\System32\EGIuPin.exe
  C:\Windows\System32\EGIuPin.exe
  2⤵
  PID:5396
- C:\Windows\System32\OqZMzLm.exe
  C:\Windows\System32\OqZMzLm.exe
  2⤵
  PID:5424
- C:\Windows\System32\bhIVCRW.exe
  C:\Windows\System32\bhIVCRW.exe
  2⤵
  PID:5456
- C:\Windows\System32\WkDFLqu.exe
  C:\Windows\System32\WkDFLqu.exe
  2⤵
  PID:5484
- C:\Windows\System32\dANRjBJ.exe
  C:\Windows\System32\dANRjBJ.exe
  2⤵
  PID:5508
- C:\Windows\System32\PuiGszc.exe
  C:\Windows\System32\PuiGszc.exe
  2⤵
  PID:5540
- C:\Windows\System32\cACMjyF.exe
  C:\Windows\System32\cACMjyF.exe
  2⤵
  PID:5568
- C:\Windows\System32\VUfZXrF.exe
  C:\Windows\System32\VUfZXrF.exe
  2⤵
  PID:5592
- C:\Windows\System32\fMYdHei.exe
  C:\Windows\System32\fMYdHei.exe
  2⤵
  PID:5624
- C:\Windows\System32\hshOZCK.exe
  C:\Windows\System32\hshOZCK.exe
  2⤵
  PID:5652
- C:\Windows\System32\nVVNWmm.exe
  C:\Windows\System32\nVVNWmm.exe
  2⤵
  PID:5676
- C:\Windows\System32\YLNhrze.exe
  C:\Windows\System32\YLNhrze.exe
  2⤵
  PID:5708
- C:\Windows\System32\VIazYRS.exe
  C:\Windows\System32\VIazYRS.exe
  2⤵
  PID:5736
- C:\Windows\System32\yqZwrib.exe
  C:\Windows\System32\yqZwrib.exe
  2⤵
  PID:5764
- C:\Windows\System32\sQDFpff.exe
  C:\Windows\System32\sQDFpff.exe
  2⤵
  PID:5792
- C:\Windows\System32\qYhROFn.exe
  C:\Windows\System32\qYhROFn.exe
  2⤵
  PID:5820
- C:\Windows\System32\jhmlVqw.exe
  C:\Windows\System32\jhmlVqw.exe
  2⤵
  PID:5848
- C:\Windows\System32\UKxdNkg.exe
  C:\Windows\System32\UKxdNkg.exe
  2⤵
  PID:5884
- C:\Windows\System32\NEQfRAK.exe
  C:\Windows\System32\NEQfRAK.exe
  2⤵
  PID:5904
- C:\Windows\System32\NSrGOcY.exe
  C:\Windows\System32\NSrGOcY.exe
  2⤵
  PID:5932
- C:\Windows\System32\uCctoJc.exe
  C:\Windows\System32\uCctoJc.exe
  2⤵
  PID:5956
- C:\Windows\System32\AmLwLGd.exe
  C:\Windows\System32\AmLwLGd.exe
  2⤵
  PID:5984
- C:\Windows\System32\DUgtpxM.exe
  C:\Windows\System32\DUgtpxM.exe
  2⤵
  PID:6016
- C:\Windows\System32\HtPWtrg.exe
  C:\Windows\System32\HtPWtrg.exe
  2⤵
  PID:6044
- C:\Windows\System32\ZIzAylb.exe
  C:\Windows\System32\ZIzAylb.exe
  2⤵
  PID:6072
- C:\Windows\System32\lumQpdr.exe
  C:\Windows\System32\lumQpdr.exe
  2⤵
  PID:6100
- C:\Windows\System32\hGoZycT.exe
  C:\Windows\System32\hGoZycT.exe
  2⤵
  PID:6128
- C:\Windows\System32\qdksUmq.exe
  C:\Windows\System32\qdksUmq.exe
  2⤵
  PID:4556
- C:\Windows\System32\EAiIfMN.exe
  C:\Windows\System32\EAiIfMN.exe
  2⤵
  PID:3176
- C:\Windows\System32\fwgkEFa.exe
  C:\Windows\System32\fwgkEFa.exe
  2⤵
  PID:2560
- C:\Windows\System32\tUpJjLd.exe
  C:\Windows\System32\tUpJjLd.exe
  2⤵
  PID:4196
- C:\Windows\System32\FKMQIxX.exe
  C:\Windows\System32\FKMQIxX.exe
  2⤵
  PID:5140
- C:\Windows\System32\NhiNlxM.exe
  C:\Windows\System32\NhiNlxM.exe
  2⤵
  PID:5168
- C:\Windows\System32\zMEHmXm.exe
  C:\Windows\System32\zMEHmXm.exe
  2⤵
  PID:2408
- C:\Windows\System32\JIGNRSY.exe
  C:\Windows\System32\JIGNRSY.exe
  2⤵
  PID:5268
- C:\Windows\System32\ZJelHGn.exe
  C:\Windows\System32\ZJelHGn.exe
  2⤵
  PID:5296
- C:\Windows\System32\ywAMDaN.exe
  C:\Windows\System32\ywAMDaN.exe
  2⤵
  PID:5380
- C:\Windows\System32\CpGoEJK.exe
  C:\Windows\System32\CpGoEJK.exe
  2⤵
  PID:5440
- C:\Windows\System32\yXlLHri.exe
  C:\Windows\System32\yXlLHri.exe
  2⤵
  PID:5496
- C:\Windows\System32\rSCqcjT.exe
  C:\Windows\System32\rSCqcjT.exe
  2⤵
  PID:5552
- C:\Windows\System32\tExIdme.exe
  C:\Windows\System32\tExIdme.exe
  2⤵
  PID:5600
- C:\Windows\System32\fNkEEZL.exe
  C:\Windows\System32\fNkEEZL.exe
  2⤵
  PID:5856
- C:\Windows\System32\IfgxZOQ.exe
  C:\Windows\System32\IfgxZOQ.exe
  2⤵
  PID:2272
- C:\Windows\System32\LBTAhCq.exe
  C:\Windows\System32\LBTAhCq.exe
  2⤵
  PID:5972
- C:\Windows\System32\wqUKUjf.exe
  C:\Windows\System32\wqUKUjf.exe
  2⤵
  PID:6008
- C:\Windows\System32\InZrIKc.exe
  C:\Windows\System32\InZrIKc.exe
  2⤵
  PID:6028
- C:\Windows\System32\zRiUsIl.exe
  C:\Windows\System32\zRiUsIl.exe
  2⤵
  PID:3016
- C:\Windows\System32\ttoJGPB.exe
  C:\Windows\System32\ttoJGPB.exe
  2⤵
  PID:6084
- C:\Windows\System32\JvOePhE.exe
  C:\Windows\System32\JvOePhE.exe
  2⤵
  PID:3040
- C:\Windows\System32\sXMYuWp.exe
  C:\Windows\System32\sXMYuWp.exe
  2⤵
  PID:5116
- C:\Windows\System32\bwhMuuT.exe
  C:\Windows\System32\bwhMuuT.exe
  2⤵
  PID:4884
- C:\Windows\System32\TwGdzBh.exe
  C:\Windows\System32\TwGdzBh.exe
  2⤵
  PID:5068
- C:\Windows\System32\HQNhTyY.exe
  C:\Windows\System32\HQNhTyY.exe
  2⤵
  PID:4792
- C:\Windows\System32\EivGvoR.exe
  C:\Windows\System32\EivGvoR.exe
  2⤵
  PID:2140
- C:\Windows\System32\xbzxXKM.exe
  C:\Windows\System32\xbzxXKM.exe
  2⤵
  PID:5448
- C:\Windows\System32\hMYGBur.exe
  C:\Windows\System32\hMYGBur.exe
  2⤵
  PID:1332
- C:\Windows\System32\niMWDBh.exe
  C:\Windows\System32\niMWDBh.exe
  2⤵
  PID:3692
- C:\Windows\System32\jSKnvbS.exe
  C:\Windows\System32\jSKnvbS.exe
  2⤵
  PID:1448
- C:\Windows\System32\SicZFbR.exe
  C:\Windows\System32\SicZFbR.exe
  2⤵
  PID:5784
- C:\Windows\System32\YweYRUv.exe
  C:\Windows\System32\YweYRUv.exe
  2⤵
  PID:3776
- C:\Windows\System32\TayePpr.exe
  C:\Windows\System32\TayePpr.exe
  2⤵
  PID:5912
- C:\Windows\System32\eAjkIiD.exe
  C:\Windows\System32\eAjkIiD.exe
  2⤵
  PID:6000
- C:\Windows\System32\LAAbyph.exe
  C:\Windows\System32\LAAbyph.exe
  2⤵
  PID:3616
- C:\Windows\System32\HcZvyOc.exe
  C:\Windows\System32\HcZvyOc.exe
  2⤵
  PID:5300
- C:\Windows\System32\hRYmbos.exe
  C:\Windows\System32\hRYmbos.exe
  2⤵
  PID:5464
- C:\Windows\System32\RlFuUvr.exe
  C:\Windows\System32\RlFuUvr.exe
  2⤵
  PID:3796
- C:\Windows\System32\JdEFvvw.exe
  C:\Windows\System32\JdEFvvw.exe
  2⤵
  PID:1556
- C:\Windows\System32\OaBiWsG.exe
  C:\Windows\System32\OaBiWsG.exe
  2⤵
  PID:5516
- C:\Windows\System32\zptNutu.exe
  C:\Windows\System32\zptNutu.exe
  2⤵
  PID:4332
- C:\Windows\System32\TVOxHdO.exe
  C:\Windows\System32\TVOxHdO.exe
  2⤵
  PID:5868
- C:\Windows\System32\euoYEWX.exe
  C:\Windows\System32\euoYEWX.exe
  2⤵
  PID:4568
- C:\Windows\System32\hqTuIZf.exe
  C:\Windows\System32\hqTuIZf.exe
  2⤵
  PID:3340
- C:\Windows\System32\nujJFBn.exe
  C:\Windows\System32\nujJFBn.exe
  2⤵
  PID:6148
- C:\Windows\System32\ErFWtcw.exe
  C:\Windows\System32\ErFWtcw.exe
  2⤵
  PID:6196
- C:\Windows\System32\yvnMjNr.exe
  C:\Windows\System32\yvnMjNr.exe
  2⤵
  PID:6224
- C:\Windows\System32\EBdFFfa.exe
  C:\Windows\System32\EBdFFfa.exe
  2⤵
  PID:6260
- C:\Windows\System32\MCFwzDu.exe
  C:\Windows\System32\MCFwzDu.exe
  2⤵
  PID:6464
- C:\Windows\System32\HNXsfDV.exe
  C:\Windows\System32\HNXsfDV.exe
  2⤵
  PID:6504
- C:\Windows\System32\zHoYgBG.exe
  C:\Windows\System32\zHoYgBG.exe
  2⤵
  PID:6532
- C:\Windows\System32\XBvdTot.exe
  C:\Windows\System32\XBvdTot.exe
  2⤵
  PID:6560
- C:\Windows\System32\PXlIrLd.exe
  C:\Windows\System32\PXlIrLd.exe
  2⤵
  PID:6580
- C:\Windows\System32\SurpkGN.exe
  C:\Windows\System32\SurpkGN.exe
  2⤵
  PID:6604
- C:\Windows\System32\otHXBIR.exe
  C:\Windows\System32\otHXBIR.exe
  2⤵
  PID:6624
- C:\Windows\System32\AhaHCsu.exe
  C:\Windows\System32\AhaHCsu.exe
  2⤵
  PID:6644
- C:\Windows\System32\lZfYeny.exe
  C:\Windows\System32\lZfYeny.exe
  2⤵
  PID:6664
- C:\Windows\System32\LJsdEWE.exe
  C:\Windows\System32\LJsdEWE.exe
  2⤵
  PID:6684
- C:\Windows\System32\vOpKtOt.exe
  C:\Windows\System32\vOpKtOt.exe
  2⤵
  PID:6708
- C:\Windows\System32\FnPjqYp.exe
  C:\Windows\System32\FnPjqYp.exe
  2⤵
  PID:6772
- C:\Windows\System32\eZUhPHp.exe
  C:\Windows\System32\eZUhPHp.exe
  2⤵
  PID:6812
- C:\Windows\System32\ymiXWVv.exe
  C:\Windows\System32\ymiXWVv.exe
  2⤵
  PID:6832
- C:\Windows\System32\ThILVzg.exe
  C:\Windows\System32\ThILVzg.exe
  2⤵
  PID:6860
- C:\Windows\System32\uOqgkBJ.exe
  C:\Windows\System32\uOqgkBJ.exe
  2⤵
  PID:6884
- C:\Windows\System32\pMYpHGY.exe
  C:\Windows\System32\pMYpHGY.exe
  2⤵
  PID:6920
- C:\Windows\System32\LrbpheP.exe
  C:\Windows\System32\LrbpheP.exe
  2⤵
  PID:6940
- C:\Windows\System32\oNUMGlt.exe
  C:\Windows\System32\oNUMGlt.exe
  2⤵
  PID:6964
- C:\Windows\System32\xPzFuzg.exe
  C:\Windows\System32\xPzFuzg.exe
  2⤵
  PID:6988
- C:\Windows\System32\jTjSqyg.exe
  C:\Windows\System32\jTjSqyg.exe
  2⤵
  PID:7004
- C:\Windows\System32\PRhNxGC.exe
  C:\Windows\System32\PRhNxGC.exe
  2⤵
  PID:7040
- C:\Windows\System32\bJyuynO.exe
  C:\Windows\System32\bJyuynO.exe
  2⤵
  PID:7056
- C:\Windows\System32\AjbyBdS.exe
  C:\Windows\System32\AjbyBdS.exe
  2⤵
  PID:7080
- C:\Windows\System32\PztoXQT.exe
  C:\Windows\System32\PztoXQT.exe
  2⤵
  PID:7128
- C:\Windows\System32\cHYdhAA.exe
  C:\Windows\System32\cHYdhAA.exe
  2⤵
  PID:6036
- C:\Windows\System32\lrcnRnT.exe
  C:\Windows\System32\lrcnRnT.exe
  2⤵
  PID:6188
- C:\Windows\System32\QsUZcCc.exe
  C:\Windows\System32\QsUZcCc.exe
  2⤵
  PID:5280
- C:\Windows\System32\gqfDPGL.exe
  C:\Windows\System32\gqfDPGL.exe
  2⤵
  PID:5952
- C:\Windows\System32\oQzfkJc.exe
  C:\Windows\System32\oQzfkJc.exe
  2⤵
  PID:6240
- C:\Windows\System32\AwUisJz.exe
  C:\Windows\System32\AwUisJz.exe
  2⤵
  PID:6180
- C:\Windows\System32\rqgphmo.exe
  C:\Windows\System32\rqgphmo.exe
  2⤵
  PID:5348
- C:\Windows\System32\szkhGGy.exe
  C:\Windows\System32\szkhGGy.exe
  2⤵
  PID:2076
- C:\Windows\System32\JwLbEFL.exe
  C:\Windows\System32\JwLbEFL.exe
  2⤵
  PID:6268
- C:\Windows\System32\YouFoII.exe
  C:\Windows\System32\YouFoII.exe
  2⤵
  PID:6376
- C:\Windows\System32\NzqNQED.exe
  C:\Windows\System32\NzqNQED.exe
  2⤵
  PID:6456
- C:\Windows\System32\xfxCytg.exe
  C:\Windows\System32\xfxCytg.exe
  2⤵
  PID:6516
- C:\Windows\System32\aHfpycQ.exe
  C:\Windows\System32\aHfpycQ.exe
  2⤵
  PID:6572
- C:\Windows\System32\xjcIngP.exe
  C:\Windows\System32\xjcIngP.exe
  2⤵
  PID:6568
- C:\Windows\System32\kIXIzxw.exe
  C:\Windows\System32\kIXIzxw.exe
  2⤵
  PID:6620
- C:\Windows\System32\wYRMaej.exe
  C:\Windows\System32\wYRMaej.exe
  2⤵
  PID:6660
- C:\Windows\System32\BJrdfTL.exe
  C:\Windows\System32\BJrdfTL.exe
  2⤵
  PID:6680
- C:\Windows\System32\ZwSbRaz.exe
  C:\Windows\System32\ZwSbRaz.exe
  2⤵
  PID:6756
- C:\Windows\System32\MNTldDi.exe
  C:\Windows\System32\MNTldDi.exe
  2⤵
  PID:6960
- C:\Windows\System32\izgZIAf.exe
  C:\Windows\System32\izgZIAf.exe
  2⤵
  PID:7068
- C:\Windows\System32\CSlYgwD.exe
  C:\Windows\System32\CSlYgwD.exe
  2⤵
  PID:7052
- C:\Windows\System32\qkOtnDN.exe
  C:\Windows\System32\qkOtnDN.exe
  2⤵
  PID:4956
- C:\Windows\System32\QzlRaql.exe
  C:\Windows\System32\QzlRaql.exe
  2⤵
  PID:3880
- C:\Windows\System32\lGTRFPA.exe
  C:\Windows\System32\lGTRFPA.exe
  2⤵
  PID:6168
- C:\Windows\System32\CgamZxS.exe
  C:\Windows\System32\CgamZxS.exe
  2⤵
  PID:6212
- C:\Windows\System32\wdmlDoh.exe
  C:\Windows\System32\wdmlDoh.exe
  2⤵
  PID:6156
- C:\Windows\System32\eeIQJvN.exe
  C:\Windows\System32\eeIQJvN.exe
  2⤵
  PID:3992
- C:\Windows\System32\LuLIqZC.exe
  C:\Windows\System32\LuLIqZC.exe
  2⤵
  PID:6412
- C:\Windows\System32\hMEAwxp.exe
  C:\Windows\System32\hMEAwxp.exe
  2⤵
  PID:6472
- C:\Windows\System32\egMKCiz.exe
  C:\Windows\System32\egMKCiz.exe
  2⤵
  PID:6540
- C:\Windows\System32\jNUKkYB.exe
  C:\Windows\System32\jNUKkYB.exe
  2⤵
  PID:6904
- C:\Windows\System32\nZuQuBl.exe
  C:\Windows\System32\nZuQuBl.exe
  2⤵
  PID:6732
- C:\Windows\System32\umKcTov.exe
  C:\Windows\System32\umKcTov.exe
  2⤵
  PID:7016
- C:\Windows\System32\aQMBjpq.exe
  C:\Windows\System32\aQMBjpq.exe
  2⤵
  PID:7124
- C:\Windows\System32\MUwvDMz.exe
  C:\Windows\System32\MUwvDMz.exe
  2⤵
  PID:3656
- C:\Windows\System32\MQEXjBE.exe
  C:\Windows\System32\MQEXjBE.exe
  2⤵
  PID:6928
- C:\Windows\System32\rnuUBRV.exe
  C:\Windows\System32\rnuUBRV.exe
  2⤵
  PID:7176
- C:\Windows\System32\QMpvpcl.exe
  C:\Windows\System32\QMpvpcl.exe
  2⤵
  PID:7212
- C:\Windows\System32\xQkQyGm.exe
  C:\Windows\System32\xQkQyGm.exe
  2⤵
  PID:7228
- C:\Windows\System32\FynlcSA.exe
  C:\Windows\System32\FynlcSA.exe
  2⤵
  PID:7248
- C:\Windows\System32\XXtInRp.exe
  C:\Windows\System32\XXtInRp.exe
  2⤵
  PID:7268
- C:\Windows\System32\mRHYnDB.exe
  C:\Windows\System32\mRHYnDB.exe
  2⤵
  PID:7296
- C:\Windows\System32\uoRouHg.exe
  C:\Windows\System32\uoRouHg.exe
  2⤵
  PID:7316
- C:\Windows\System32\MKxdLej.exe
  C:\Windows\System32\MKxdLej.exe
  2⤵
  PID:7340
- C:\Windows\System32\NAvsafD.exe
  C:\Windows\System32\NAvsafD.exe
  2⤵
  PID:7356
- C:\Windows\System32\utXWzhm.exe
  C:\Windows\System32\utXWzhm.exe
  2⤵
  PID:7412
- C:\Windows\System32\TZSAROt.exe
  C:\Windows\System32\TZSAROt.exe
  2⤵
  PID:7432
- C:\Windows\System32\yiDLeBb.exe
  C:\Windows\System32\yiDLeBb.exe
  2⤵
  PID:7456
- C:\Windows\System32\KYWWiJl.exe
  C:\Windows\System32\KYWWiJl.exe
  2⤵
  PID:7548
- C:\Windows\System32\gBNkoii.exe
  C:\Windows\System32\gBNkoii.exe
  2⤵
  PID:7572
- C:\Windows\System32\yHwEBGw.exe
  C:\Windows\System32\yHwEBGw.exe
  2⤵
  PID:7588
- C:\Windows\System32\nWwrIvz.exe
  C:\Windows\System32\nWwrIvz.exe
  2⤵
  PID:7604
- C:\Windows\System32\IfcrGoA.exe
  C:\Windows\System32\IfcrGoA.exe
  2⤵
  PID:7644
- C:\Windows\System32\wqAoinT.exe
  C:\Windows\System32\wqAoinT.exe
  2⤵
  PID:7676
- C:\Windows\System32\WHbeDLN.exe
  C:\Windows\System32\WHbeDLN.exe
  2⤵
  PID:7692
- C:\Windows\System32\IzviNYZ.exe
  C:\Windows\System32\IzviNYZ.exe
  2⤵
  PID:7720
- C:\Windows\System32\uJKembD.exe
  C:\Windows\System32\uJKembD.exe
  2⤵
  PID:7744
- C:\Windows\System32\onmhfqR.exe
  C:\Windows\System32\onmhfqR.exe
  2⤵
  PID:7764
- C:\Windows\System32\jCLReTP.exe
  C:\Windows\System32\jCLReTP.exe
  2⤵
  PID:7792
- C:\Windows\System32\lZjQXCv.exe
  C:\Windows\System32\lZjQXCv.exe
  2⤵
  PID:7824
- C:\Windows\System32\DbxYmUl.exe
  C:\Windows\System32\DbxYmUl.exe
  2⤵
  PID:7860
- C:\Windows\System32\TpPuhMX.exe
  C:\Windows\System32\TpPuhMX.exe
  2⤵
  PID:7884
- C:\Windows\System32\nahoTzO.exe
  C:\Windows\System32\nahoTzO.exe
  2⤵
  PID:7912
- C:\Windows\System32\PMxfwzv.exe
  C:\Windows\System32\PMxfwzv.exe
  2⤵
  PID:7936
- C:\Windows\System32\kUiKYzL.exe
  C:\Windows\System32\kUiKYzL.exe
  2⤵
  PID:7968
- C:\Windows\System32\tfJRGBY.exe
  C:\Windows\System32\tfJRGBY.exe
  2⤵
  PID:8000
- C:\Windows\System32\hZbvZtE.exe
  C:\Windows\System32\hZbvZtE.exe
  2⤵
  PID:8040
- C:\Windows\System32\cAbosIl.exe
  C:\Windows\System32\cAbosIl.exe
  2⤵
  PID:8060
- C:\Windows\System32\OcbgjXq.exe
  C:\Windows\System32\OcbgjXq.exe
  2⤵
  PID:8080
- C:\Windows\System32\AQEXFQB.exe
  C:\Windows\System32\AQEXFQB.exe
  2⤵
  PID:8132
- C:\Windows\System32\ZAIdYEa.exe
  C:\Windows\System32\ZAIdYEa.exe
  2⤵
  PID:8148
- C:\Windows\System32\zLloNls.exe
  C:\Windows\System32\zLloNls.exe
  2⤵
  PID:8168
- C:\Windows\System32\BoBbdps.exe
  C:\Windows\System32\BoBbdps.exe
  2⤵
  PID:6840
- C:\Windows\System32\mTMYSzT.exe
  C:\Windows\System32\mTMYSzT.exe
  2⤵
  PID:6788
- C:\Windows\System32\JsZYTdP.exe
  C:\Windows\System32\JsZYTdP.exe
  2⤵
  PID:7188
- C:\Windows\System32\DgDMsnv.exe
  C:\Windows\System32\DgDMsnv.exe
  2⤵
  PID:7264
- C:\Windows\System32\ySEMuwo.exe
  C:\Windows\System32\ySEMuwo.exe
  2⤵
  PID:7380
- C:\Windows\System32\WAzXNDV.exe
  C:\Windows\System32\WAzXNDV.exe
  2⤵
  PID:7312
- C:\Windows\System32\alaghFC.exe
  C:\Windows\System32\alaghFC.exe
  2⤵
  PID:7444
- C:\Windows\System32\NalumnF.exe
  C:\Windows\System32\NalumnF.exe
  2⤵
  PID:7512
- C:\Windows\System32\WCrcDoT.exe
  C:\Windows\System32\WCrcDoT.exe
  2⤵
  PID:7636
- C:\Windows\System32\vxXOqFG.exe
  C:\Windows\System32\vxXOqFG.exe
  2⤵
  PID:7656
- C:\Windows\System32\WQenGJg.exe
  C:\Windows\System32\WQenGJg.exe
  2⤵
  PID:7760
- C:\Windows\System32\GxLXQiR.exe
  C:\Windows\System32\GxLXQiR.exe
  2⤵
  PID:7772
- C:\Windows\System32\HIPjvAv.exe
  C:\Windows\System32\HIPjvAv.exe
  2⤵
  PID:7900
- C:\Windows\System32\tsIICQw.exe
  C:\Windows\System32\tsIICQw.exe
  2⤵
  PID:7944
- C:\Windows\System32\QTncjHH.exe
  C:\Windows\System32\QTncjHH.exe
  2⤵
  PID:8032
- C:\Windows\System32\CMIwlSE.exe
  C:\Windows\System32\CMIwlSE.exe
  2⤵
  PID:8068
- C:\Windows\System32\QcVWfle.exe
  C:\Windows\System32\QcVWfle.exe
  2⤵
  PID:8120
- C:\Windows\System32\fozBpbF.exe
  C:\Windows\System32\fozBpbF.exe
  2⤵
  PID:8176
- C:\Windows\System32\wunACoF.exe
  C:\Windows\System32\wunACoF.exe
  2⤵
  PID:7184
- C:\Windows\System32\peIrMZT.exe
  C:\Windows\System32\peIrMZT.exe
  2⤵
  PID:7364
- C:\Windows\System32\xwZJLqq.exe
  C:\Windows\System32\xwZJLqq.exe
  2⤵
  PID:7560
- C:\Windows\System32\GlVeZZN.exe
  C:\Windows\System32\GlVeZZN.exe
  2⤵
  PID:7664
- C:\Windows\System32\BoyfevZ.exe
  C:\Windows\System32\BoyfevZ.exe
  2⤵
  PID:7684
- C:\Windows\System32\LjfUIGe.exe
  C:\Windows\System32\LjfUIGe.exe
  2⤵
  PID:7992
- C:\Windows\System32\EjWfgvN.exe
  C:\Windows\System32\EjWfgvN.exe
  2⤵
  PID:6192
- C:\Windows\System32\XgbcCyd.exe
  C:\Windows\System32\XgbcCyd.exe
  2⤵
  PID:2116
- C:\Windows\System32\WHtDaPm.exe
  C:\Windows\System32\WHtDaPm.exe
  2⤵
  PID:7488
- C:\Windows\System32\WWsnLJF.exe
  C:\Windows\System32\WWsnLJF.exe
  2⤵
  PID:8088
- C:\Windows\System32\QLurTcT.exe
  C:\Windows\System32\QLurTcT.exe
  2⤵
  PID:7376
- C:\Windows\System32\NXHWEjK.exe
  C:\Windows\System32\NXHWEjK.exe
  2⤵
  PID:8208
- C:\Windows\System32\rMZoywy.exe
  C:\Windows\System32\rMZoywy.exe
  2⤵
  PID:8228
- C:\Windows\System32\qFyuuOR.exe
  C:\Windows\System32\qFyuuOR.exe
  2⤵
  PID:8252
- C:\Windows\System32\ecEMAbv.exe
  C:\Windows\System32\ecEMAbv.exe
  2⤵
  PID:8268
- C:\Windows\System32\PNgatXA.exe
  C:\Windows\System32\PNgatXA.exe
  2⤵
  PID:8292
- C:\Windows\System32\dqMDFWZ.exe
  C:\Windows\System32\dqMDFWZ.exe
  2⤵
  PID:8328
- C:\Windows\System32\udbnPAk.exe
  C:\Windows\System32\udbnPAk.exe
  2⤵
  PID:8356
- C:\Windows\System32\NCmUnbo.exe
  C:\Windows\System32\NCmUnbo.exe
  2⤵
  PID:8376
- C:\Windows\System32\fgytFzV.exe
  C:\Windows\System32\fgytFzV.exe
  2⤵
  PID:8404
- C:\Windows\System32\AeUonSI.exe
  C:\Windows\System32\AeUonSI.exe
  2⤵
  PID:8428
- C:\Windows\System32\mSOFTIl.exe
  C:\Windows\System32\mSOFTIl.exe
  2⤵
  PID:8444
- C:\Windows\System32\Asknuqg.exe
  C:\Windows\System32\Asknuqg.exe
  2⤵
  PID:8472
- C:\Windows\System32\KknlfQv.exe
  C:\Windows\System32\KknlfQv.exe
  2⤵
  PID:8520
- C:\Windows\System32\qhhEpdU.exe
  C:\Windows\System32\qhhEpdU.exe
  2⤵
  PID:8536
- C:\Windows\System32\yoSPXOd.exe
  C:\Windows\System32\yoSPXOd.exe
  2⤵
  PID:8560
- C:\Windows\System32\zEElxVt.exe
  C:\Windows\System32\zEElxVt.exe
  2⤵
  PID:8584
- C:\Windows\System32\NyVoXck.exe
  C:\Windows\System32\NyVoXck.exe
  2⤵
  PID:8604
- C:\Windows\System32\HtlmJDd.exe
  C:\Windows\System32\HtlmJDd.exe
  2⤵
  PID:8664
- C:\Windows\System32\bhyfXLQ.exe
  C:\Windows\System32\bhyfXLQ.exe
  2⤵
  PID:8712
- C:\Windows\System32\cFFLtqA.exe
  C:\Windows\System32\cFFLtqA.exe
  2⤵
  PID:8732
- C:\Windows\System32\BmqDsCl.exe
  C:\Windows\System32\BmqDsCl.exe
  2⤵
  PID:8780
- C:\Windows\System32\xDWlfLs.exe
  C:\Windows\System32\xDWlfLs.exe
  2⤵
  PID:8796
- C:\Windows\System32\MpZAydq.exe
  C:\Windows\System32\MpZAydq.exe
  2⤵
  PID:8816
- C:\Windows\System32\EFXGjUZ.exe
  C:\Windows\System32\EFXGjUZ.exe
  2⤵
  PID:8848
- C:\Windows\System32\XLruRpm.exe
  C:\Windows\System32\XLruRpm.exe
  2⤵
  PID:8864
- C:\Windows\System32\ASqQkLK.exe
  C:\Windows\System32\ASqQkLK.exe
  2⤵
  PID:8892
- C:\Windows\System32\OzqiSWd.exe
  C:\Windows\System32\OzqiSWd.exe
  2⤵
  PID:8916
- C:\Windows\System32\AvImTSN.exe
  C:\Windows\System32\AvImTSN.exe
  2⤵
  PID:8964
- C:\Windows\System32\SBkteWd.exe
  C:\Windows\System32\SBkteWd.exe
  2⤵
  PID:8988
- C:\Windows\System32\ZsydPkp.exe
  C:\Windows\System32\ZsydPkp.exe
  2⤵
  PID:9016
- C:\Windows\System32\grKuYtO.exe
  C:\Windows\System32\grKuYtO.exe
  2⤵
  PID:9036
- C:\Windows\System32\ylaihMw.exe
  C:\Windows\System32\ylaihMw.exe
  2⤵
  PID:9056
- C:\Windows\System32\Kvhkjwl.exe
  C:\Windows\System32\Kvhkjwl.exe
  2⤵
  PID:9088
- C:\Windows\System32\UKGxRJo.exe
  C:\Windows\System32\UKGxRJo.exe
  2⤵
  PID:9124
- C:\Windows\System32\alKPCFT.exe
  C:\Windows\System32\alKPCFT.exe
  2⤵
  PID:9148
- C:\Windows\System32\juEPbiX.exe
  C:\Windows\System32\juEPbiX.exe
  2⤵
  PID:9164
- C:\Windows\System32\JfwpfQX.exe
  C:\Windows\System32\JfwpfQX.exe
  2⤵
  PID:9184
- C:\Windows\System32\HrHnbvG.exe
  C:\Windows\System32\HrHnbvG.exe
  2⤵
  PID:8264
- C:\Windows\System32\VteHxNu.exe
  C:\Windows\System32\VteHxNu.exe
  2⤵
  PID:8280
- C:\Windows\System32\vPgpgHb.exe
  C:\Windows\System32\vPgpgHb.exe
  2⤵
  PID:8320
- C:\Windows\System32\HgfFMrS.exe
  C:\Windows\System32\HgfFMrS.exe
  2⤵
  PID:8384
- C:\Windows\System32\FWcnfWh.exe
  C:\Windows\System32\FWcnfWh.exe
  2⤵
  PID:8484
- C:\Windows\System32\JgIMEEA.exe
  C:\Windows\System32\JgIMEEA.exe
  2⤵
  PID:8460
- C:\Windows\System32\tCvqNsZ.exe
  C:\Windows\System32\tCvqNsZ.exe
  2⤵
  PID:8552
- C:\Windows\System32\pmlsSnJ.exe
  C:\Windows\System32\pmlsSnJ.exe
  2⤵
  PID:8652
- C:\Windows\System32\EeBBBsE.exe
  C:\Windows\System32\EeBBBsE.exe
  2⤵
  PID:8744
- C:\Windows\System32\bPghzPj.exe
  C:\Windows\System32\bPghzPj.exe
  2⤵
  PID:8804
- C:\Windows\System32\UtusenE.exe
  C:\Windows\System32\UtusenE.exe
  2⤵
  PID:8828
- C:\Windows\System32\rTKemxg.exe
  C:\Windows\System32\rTKemxg.exe
  2⤵
  PID:8872
- C:\Windows\System32\TTWwCiF.exe
  C:\Windows\System32\TTWwCiF.exe
  2⤵
  PID:8956
- C:\Windows\System32\ulFKilm.exe
  C:\Windows\System32\ulFKilm.exe
  2⤵
  PID:9004
- C:\Windows\System32\OpVnDqp.exe
  C:\Windows\System32\OpVnDqp.exe
  2⤵
  PID:9024
- C:\Windows\System32\eziuNQq.exe
  C:\Windows\System32\eziuNQq.exe
  2⤵
  PID:8220
- C:\Windows\System32\plvTTGn.exe
  C:\Windows\System32\plvTTGn.exe
  2⤵
  PID:8348
- C:\Windows\System32\FATUxHV.exe
  C:\Windows\System32\FATUxHV.exe
  2⤵
  PID:8544
- C:\Windows\System32\XBYPOSE.exe
  C:\Windows\System32\XBYPOSE.exe
  2⤵
  PID:8648
- C:\Windows\System32\hcVWBNx.exe
  C:\Windows\System32\hcVWBNx.exe
  2⤵
  PID:8832
- C:\Windows\System32\hJyGaoh.exe
  C:\Windows\System32\hJyGaoh.exe
  2⤵
  PID:8792
- C:\Windows\System32\OwMPfLx.exe
  C:\Windows\System32\OwMPfLx.exe
  2⤵
  PID:9032
- C:\Windows\System32\ZViZmvO.exe
  C:\Windows\System32\ZViZmvO.exe
  2⤵
  PID:8260
- C:\Windows\System32\MXjEEHM.exe
  C:\Windows\System32\MXjEEHM.exe
  2⤵
  PID:8616
- C:\Windows\System32\sSCnzLS.exe
  C:\Windows\System32\sSCnzLS.exe
  2⤵
  PID:8940
- C:\Windows\System32\aelsrTe.exe
  C:\Windows\System32\aelsrTe.exe
  2⤵
  PID:9132
- C:\Windows\System32\issMEvN.exe
  C:\Windows\System32\issMEvN.exe
  2⤵
  PID:8464
- C:\Windows\System32\wEtElDx.exe
  C:\Windows\System32\wEtElDx.exe
  2⤵
  PID:9256
- C:\Windows\System32\OBMSOou.exe
  C:\Windows\System32\OBMSOou.exe
  2⤵
  PID:9296
- C:\Windows\System32\CWyGdqz.exe
  C:\Windows\System32\CWyGdqz.exe
  2⤵
  PID:9320
- C:\Windows\System32\kUWXjSj.exe
  C:\Windows\System32\kUWXjSj.exe
  2⤵
  PID:9340
- C:\Windows\System32\xJwVmaz.exe
  C:\Windows\System32\xJwVmaz.exe
  2⤵
  PID:9380
- C:\Windows\System32\rriCKDQ.exe
  C:\Windows\System32\rriCKDQ.exe
  2⤵
  PID:9396
- C:\Windows\System32\REboyVC.exe
  C:\Windows\System32\REboyVC.exe
  2⤵
  PID:9428
- C:\Windows\System32\CNOlbdG.exe
  C:\Windows\System32\CNOlbdG.exe
  2⤵
  PID:9452
- C:\Windows\System32\vVKQZdn.exe
  C:\Windows\System32\vVKQZdn.exe
  2⤵
  PID:9472
- C:\Windows\System32\ePRtEVn.exe
  C:\Windows\System32\ePRtEVn.exe
  2⤵
  PID:9492
- C:\Windows\System32\eUCrtwa.exe
  C:\Windows\System32\eUCrtwa.exe
  2⤵
  PID:9516
- C:\Windows\System32\RYWXGXt.exe
  C:\Windows\System32\RYWXGXt.exe
  2⤵
  PID:9536
- C:\Windows\System32\BwerItw.exe
  C:\Windows\System32\BwerItw.exe
  2⤵
  PID:9560
- C:\Windows\System32\FOykesz.exe
  C:\Windows\System32\FOykesz.exe
  2⤵
  PID:9628
- C:\Windows\System32\humZSQY.exe
  C:\Windows\System32\humZSQY.exe
  2⤵
  PID:9664
- C:\Windows\System32\zmHgLNC.exe
  C:\Windows\System32\zmHgLNC.exe
  2⤵
  PID:9684
- C:\Windows\System32\tcRFeRP.exe
  C:\Windows\System32\tcRFeRP.exe
  2⤵
  PID:9708
- C:\Windows\System32\CclbaeF.exe
  C:\Windows\System32\CclbaeF.exe
  2⤵
  PID:9728
- C:\Windows\System32\hZBvezR.exe
  C:\Windows\System32\hZBvezR.exe
  2⤵
  PID:9752
- C:\Windows\System32\RExzdlo.exe
  C:\Windows\System32\RExzdlo.exe
  2⤵
  PID:9808
- C:\Windows\System32\fVoTHYq.exe
  C:\Windows\System32\fVoTHYq.exe
  2⤵
  PID:9832
- C:\Windows\System32\FoyAJPf.exe
  C:\Windows\System32\FoyAJPf.exe
  2⤵
  PID:9848
- C:\Windows\System32\RsdyRuu.exe
  C:\Windows\System32\RsdyRuu.exe
  2⤵
  PID:9888
- C:\Windows\System32\LkDVTHY.exe
  C:\Windows\System32\LkDVTHY.exe
  2⤵
  PID:9912
- C:\Windows\System32\yAsteUG.exe
  C:\Windows\System32\yAsteUG.exe
  2⤵
  PID:9940
- C:\Windows\System32\OjBtMGG.exe
  C:\Windows\System32\OjBtMGG.exe
  2⤵
  PID:9972
- C:\Windows\System32\RBjdtSN.exe
  C:\Windows\System32\RBjdtSN.exe
  2⤵
  PID:10000
- C:\Windows\System32\LVWuwfU.exe
  C:\Windows\System32\LVWuwfU.exe
  2⤵
  PID:10016
- C:\Windows\System32\JTCmCZq.exe
  C:\Windows\System32\JTCmCZq.exe
  2⤵
  PID:10060
- C:\Windows\System32\sOdHfNZ.exe
  C:\Windows\System32\sOdHfNZ.exe
  2⤵
  PID:10088
- C:\Windows\System32\GDKOoUL.exe
  C:\Windows\System32\GDKOoUL.exe
  2⤵
  PID:10104
- C:\Windows\System32\uOrmGYO.exe
  C:\Windows\System32\uOrmGYO.exe
  2⤵
  PID:10132
- C:\Windows\System32\Aodketz.exe
  C:\Windows\System32\Aodketz.exe
  2⤵
  PID:10156
- C:\Windows\System32\UVSAqYS.exe
  C:\Windows\System32\UVSAqYS.exe
  2⤵
  PID:10208
- C:\Windows\System32\PJIUkql.exe
  C:\Windows\System32\PJIUkql.exe
  2⤵
  PID:10232
- C:\Windows\System32\hmOyKzc.exe
  C:\Windows\System32\hmOyKzc.exe
  2⤵
  PID:9120
- C:\Windows\System32\yrvPgou.exe
  C:\Windows\System32\yrvPgou.exe
  2⤵
  PID:9252
- C:\Windows\System32\dheNteS.exe
  C:\Windows\System32\dheNteS.exe
  2⤵
  PID:9328
- C:\Windows\System32\hjHUWFq.exe
  C:\Windows\System32\hjHUWFq.exe
  2⤵
  PID:9412
- C:\Windows\System32\cUxDmdz.exe
  C:\Windows\System32\cUxDmdz.exe
  2⤵
  PID:9504
- C:\Windows\System32\mrvcMbg.exe
  C:\Windows\System32\mrvcMbg.exe
  2⤵
  PID:9528
- C:\Windows\System32\VLXDbDc.exe
  C:\Windows\System32\VLXDbDc.exe
  2⤵
  PID:9584
- C:\Windows\System32\VAYuayO.exe
  C:\Windows\System32\VAYuayO.exe
  2⤵
  PID:9704
- C:\Windows\System32\AtzIcKR.exe
  C:\Windows\System32\AtzIcKR.exe
  2⤵
  PID:9784
- C:\Windows\System32\lMSOtvc.exe
  C:\Windows\System32\lMSOtvc.exe
  2⤵
  PID:9764
- C:\Windows\System32\JHUfdoC.exe
  C:\Windows\System32\JHUfdoC.exe
  2⤵
  PID:9960
- C:\Windows\System32\FOLGJea.exe
  C:\Windows\System32\FOLGJea.exe
  2⤵
  PID:9984
- C:\Windows\System32\zUjKgst.exe
  C:\Windows\System32\zUjKgst.exe
  2⤵
  PID:10024
- C:\Windows\System32\dFlgXWe.exe
  C:\Windows\System32\dFlgXWe.exe
  2⤵
  PID:10076
- C:\Windows\System32\SIDehVD.exe
  C:\Windows\System32\SIDehVD.exe
  2⤵
  PID:10188
- C:\Windows\System32\yQLIMMD.exe
  C:\Windows\System32\yQLIMMD.exe
  2⤵
  PID:10224
- C:\Windows\System32\mmILfPu.exe
  C:\Windows\System32\mmILfPu.exe
  2⤵
  PID:9336
- C:\Windows\System32\LezcMAa.exe
  C:\Windows\System32\LezcMAa.exe
  2⤵
  PID:9440
- C:\Windows\System32\VPnvahz.exe
  C:\Windows\System32\VPnvahz.exe
  2⤵
  PID:9580
- C:\Windows\System32\vaUKSjW.exe
  C:\Windows\System32\vaUKSjW.exe
  2⤵
  PID:9744
- C:\Windows\System32\juAvPce.exe
  C:\Windows\System32\juAvPce.exe
  2⤵
  PID:9908
- C:\Windows\System32\UiCtPhT.exe
  C:\Windows\System32\UiCtPhT.exe
  2⤵
  PID:4188
- C:\Windows\System32\tlAGlUl.exe
  C:\Windows\System32\tlAGlUl.exe
  2⤵
  PID:8752
- C:\Windows\System32\AbldWRS.exe
  C:\Windows\System32\AbldWRS.exe
  2⤵
  PID:2376
- C:\Windows\System32\pfiXdgx.exe
  C:\Windows\System32\pfiXdgx.exe
  2⤵
  PID:2728
- C:\Windows\System32\wwhbsxv.exe
  C:\Windows\System32\wwhbsxv.exe
  2⤵
  PID:9932
- C:\Windows\System32\EzfOVkB.exe
  C:\Windows\System32\EzfOVkB.exe
  2⤵
  PID:10032
- C:\Windows\System32\mKRbqco.exe
  C:\Windows\System32\mKRbqco.exe
  2⤵
  PID:10096
- C:\Windows\System32\BGUPVTT.exe
  C:\Windows\System32\BGUPVTT.exe
  2⤵
  PID:468
- C:\Windows\System32\MBYyice.exe
  C:\Windows\System32\MBYyice.exe
  2⤵
  PID:836
- C:\Windows\System32\nOhRUju.exe
  C:\Windows\System32\nOhRUju.exe
  2⤵
  PID:10252
- C:\Windows\System32\hypixnU.exe
  C:\Windows\System32\hypixnU.exe
  2⤵
  PID:10308
- C:\Windows\System32\WyAmLdy.exe
  C:\Windows\System32\WyAmLdy.exe
  2⤵
  PID:10332
- C:\Windows\System32\cKZLmnL.exe
  C:\Windows\System32\cKZLmnL.exe
  2⤵
  PID:10348
- C:\Windows\System32\MyhkIse.exe
  C:\Windows\System32\MyhkIse.exe
  2⤵
  PID:10372
- C:\Windows\System32\dJapkcL.exe
  C:\Windows\System32\dJapkcL.exe
  2⤵
  PID:10420
- C:\Windows\System32\dAlMqGg.exe
  C:\Windows\System32\dAlMqGg.exe
  2⤵
  PID:10444
- C:\Windows\System32\iNuGeTW.exe
  C:\Windows\System32\iNuGeTW.exe
  2⤵
  PID:10464
- C:\Windows\System32\UdPoYXq.exe
  C:\Windows\System32\UdPoYXq.exe
  2⤵
  PID:10488
- C:\Windows\System32\BVSogQp.exe
  C:\Windows\System32\BVSogQp.exe
  2⤵
  PID:10512
- C:\Windows\System32\JmJGoRF.exe
  C:\Windows\System32\JmJGoRF.exe
  2⤵
  PID:10536
- C:\Windows\System32\xkwWFIB.exe
  C:\Windows\System32\xkwWFIB.exe
  2⤵
  PID:10600
- C:\Windows\System32\vmvHcUN.exe
  C:\Windows\System32\vmvHcUN.exe
  2⤵
  PID:10632
- C:\Windows\System32\SNowcom.exe
  C:\Windows\System32\SNowcom.exe
  2⤵
  PID:10656
- C:\Windows\System32\wlHioMD.exe
  C:\Windows\System32\wlHioMD.exe
  2⤵
  PID:10672
- C:\Windows\System32\cpugSoN.exe
  C:\Windows\System32\cpugSoN.exe
  2⤵
  PID:10704
- C:\Windows\System32\avAlvXy.exe
  C:\Windows\System32\avAlvXy.exe
  2⤵
  PID:10724
- C:\Windows\System32\FYlOzbY.exe
  C:\Windows\System32\FYlOzbY.exe
  2⤵
  PID:10752
- C:\Windows\System32\NyEDSoS.exe
  C:\Windows\System32\NyEDSoS.exe
  2⤵
  PID:10776
- C:\Windows\System32\udXtWtC.exe
  C:\Windows\System32\udXtWtC.exe
  2⤵
  PID:10796
- C:\Windows\System32\haCbMMg.exe
  C:\Windows\System32\haCbMMg.exe
  2⤵
  PID:10840
- C:\Windows\System32\XJjlrOe.exe
  C:\Windows\System32\XJjlrOe.exe
  2⤵
  PID:10876
- C:\Windows\System32\bXRJihs.exe
  C:\Windows\System32\bXRJihs.exe
  2⤵
  PID:10928
- C:\Windows\System32\YIRcMCN.exe
  C:\Windows\System32\YIRcMCN.exe
  2⤵
  PID:10944
- C:\Windows\System32\JgyEbAO.exe
  C:\Windows\System32\JgyEbAO.exe
  2⤵
  PID:10960
- C:\Windows\System32\qKAvqKQ.exe
  C:\Windows\System32\qKAvqKQ.exe
  2⤵
  PID:10984
- C:\Windows\System32\FqBmeTq.exe
  C:\Windows\System32\FqBmeTq.exe
  2⤵
  PID:11028
- C:\Windows\System32\oKxhMvc.exe
  C:\Windows\System32\oKxhMvc.exe
  2⤵
  PID:11060
- C:\Windows\System32\OqMkziy.exe
  C:\Windows\System32\OqMkziy.exe
  2⤵
  PID:11080
- C:\Windows\System32\ZrhcCed.exe
  C:\Windows\System32\ZrhcCed.exe
  2⤵
  PID:11108
- C:\Windows\System32\kUGnSus.exe
  C:\Windows\System32\kUGnSus.exe
  2⤵
  PID:11128
- C:\Windows\System32\Ajioqqz.exe
  C:\Windows\System32\Ajioqqz.exe
  2⤵
  PID:11148
- C:\Windows\System32\VAkQrqd.exe
  C:\Windows\System32\VAkQrqd.exe
  2⤵
  PID:11172
- C:\Windows\System32\AVVaSrh.exe
  C:\Windows\System32\AVVaSrh.exe
  2⤵
  PID:11224
- C:\Windows\System32\iSdcOco.exe
  C:\Windows\System32\iSdcOco.exe
  2⤵
  PID:11256
- C:\Windows\System32\rIDTTrS.exe
  C:\Windows\System32\rIDTTrS.exe
  2⤵
  PID:2436
- C:\Windows\System32\ZmJjPpF.exe
  C:\Windows\System32\ZmJjPpF.exe
  2⤵
  PID:10288
- C:\Windows\System32\WiTjCDa.exe
  C:\Windows\System32\WiTjCDa.exe
  2⤵
  PID:10328
- C:\Windows\System32\jppvztP.exe
  C:\Windows\System32\jppvztP.exe
  2⤵
  PID:10400
- C:\Windows\System32\VoLaOUl.exe
  C:\Windows\System32\VoLaOUl.exe
  2⤵
  PID:10476
- C:\Windows\System32\PelcneD.exe
  C:\Windows\System32\PelcneD.exe
  2⤵
  PID:10644
- C:\Windows\System32\vqIPilG.exe
  C:\Windows\System32\vqIPilG.exe
  2⤵
  PID:10608
- C:\Windows\System32\uqTZxUL.exe
  C:\Windows\System32\uqTZxUL.exe
  2⤵
  PID:10688
- C:\Windows\System32\OLpbjxI.exe
  C:\Windows\System32\OLpbjxI.exe
  2⤵
  PID:10808
- C:\Windows\System32\wmXAlYO.exe
  C:\Windows\System32\wmXAlYO.exe
  2⤵
  PID:10784
- C:\Windows\System32\AZsYWjU.exe
  C:\Windows\System32\AZsYWjU.exe
  2⤵
  PID:10864
- C:\Windows\System32\XbPudIT.exe
  C:\Windows\System32\XbPudIT.exe
  2⤵
  PID:10916
- C:\Windows\System32\JRDGiNP.exe
  C:\Windows\System32\JRDGiNP.exe
  2⤵
  PID:3468
- C:\Windows\System32\iqHFbVZ.exe
  C:\Windows\System32\iqHFbVZ.exe
  2⤵
  PID:11052
- C:\Windows\System32\cekivFh.exe
  C:\Windows\System32\cekivFh.exe
  2⤵
  PID:11076
- C:\Windows\System32\CNgnllw.exe
  C:\Windows\System32\CNgnllw.exe
  2⤵
  PID:11120
- C:\Windows\System32\seuNOij.exe
  C:\Windows\System32\seuNOij.exe
  2⤵
  PID:11164
- C:\Windows\System32\VfnmVhh.exe
  C:\Windows\System32\VfnmVhh.exe
  2⤵
  PID:9224
- C:\Windows\System32\RpDmZaY.exe
  C:\Windows\System32\RpDmZaY.exe
  2⤵
  PID:3396
- C:\Windows\System32\bgoQENw.exe
  C:\Windows\System32\bgoQENw.exe
  2⤵
  PID:10652
- C:\Windows\System32\lDzkuHv.exe
  C:\Windows\System32\lDzkuHv.exe
  2⤵
  PID:10768
- C:\Windows\System32\nPAgcHd.exe
  C:\Windows\System32\nPAgcHd.exe
  2⤵
  PID:10852
- C:\Windows\System32\FmKnbkm.exe
  C:\Windows\System32\FmKnbkm.exe
  2⤵
  PID:10992
- C:\Windows\System32\ZPmkmxG.exe
  C:\Windows\System32\ZPmkmxG.exe
  2⤵
  PID:11156
- C:\Windows\System32\kRuSALj.exe
  C:\Windows\System32\kRuSALj.exe
  2⤵
  PID:11184
- C:\Windows\System32\ELMJMRh.exe
  C:\Windows\System32\ELMJMRh.exe
  2⤵
  PID:10396
- C:\Windows\System32\wWKEsXt.exe
  C:\Windows\System32\wWKEsXt.exe
  2⤵
  PID:536
- C:\Windows\System32\ZIeXNbx.exe
  C:\Windows\System32\ZIeXNbx.exe
  2⤵
  PID:10668
- C:\Windows\System32\GkqsxWR.exe
  C:\Windows\System32\GkqsxWR.exe
  2⤵
  PID:10804
- C:\Windows\System32\hIkKSYa.exe
  C:\Windows\System32\hIkKSYa.exe
  2⤵
  PID:11140
- C:\Windows\System32\wNYBbFP.exe
  C:\Windows\System32\wNYBbFP.exe
  2⤵
  PID:11244
- C:\Windows\System32\byHZDVO.exe
  C:\Windows\System32\byHZDVO.exe
  2⤵
  PID:1356
- C:\Windows\System32\UTlZJXf.exe
  C:\Windows\System32\UTlZJXf.exe
  2⤵
  PID:11276
- C:\Windows\System32\sUEWHFa.exe
  C:\Windows\System32\sUEWHFa.exe
  2⤵
  PID:11304
- C:\Windows\System32\zKfJKSN.exe
  C:\Windows\System32\zKfJKSN.exe
  2⤵
  PID:11332
- C:\Windows\System32\EchpYee.exe
  C:\Windows\System32\EchpYee.exe
  2⤵
  PID:11392
- C:\Windows\System32\kvCgsvk.exe
  C:\Windows\System32\kvCgsvk.exe
  2⤵
  PID:11420
- C:\Windows\System32\kUsckAZ.exe
  C:\Windows\System32\kUsckAZ.exe
  2⤵
  PID:11460
- C:\Windows\System32\TxCRIpF.exe
  C:\Windows\System32\TxCRIpF.exe
  2⤵
  PID:11480
- C:\Windows\System32\tPzdzPe.exe
  C:\Windows\System32\tPzdzPe.exe
  2⤵
  PID:11508
- C:\Windows\System32\DFFoxeL.exe
  C:\Windows\System32\DFFoxeL.exe
  2⤵
  PID:11532
- C:\Windows\System32\cJkKkQQ.exe
  C:\Windows\System32\cJkKkQQ.exe
  2⤵
  PID:11552
- C:\Windows\System32\QhQxMfN.exe
  C:\Windows\System32\QhQxMfN.exe
  2⤵
  PID:11612
- C:\Windows\System32\jkuIdxM.exe
  C:\Windows\System32\jkuIdxM.exe
  2⤵
  PID:11652
- C:\Windows\System32\JxuATeo.exe
  C:\Windows\System32\JxuATeo.exe
  2⤵
  PID:11676
- C:\Windows\System32\bjlmaXi.exe
  C:\Windows\System32\bjlmaXi.exe
  2⤵
  PID:11700
- C:\Windows\System32\ZlIeUrl.exe
  C:\Windows\System32\ZlIeUrl.exe
  2⤵
  PID:11732
- C:\Windows\System32\xuIWwAq.exe
  C:\Windows\System32\xuIWwAq.exe
  2⤵
  PID:11756
- C:\Windows\System32\ySmIspv.exe
  C:\Windows\System32\ySmIspv.exe
  2⤵
  PID:11772
- C:\Windows\System32\QYiOkeL.exe
  C:\Windows\System32\QYiOkeL.exe
  2⤵
  PID:11796
- C:\Windows\System32\lunKAFB.exe
  C:\Windows\System32\lunKAFB.exe
  2⤵
  PID:11836
- C:\Windows\System32\nTxLMNc.exe
  C:\Windows\System32\nTxLMNc.exe
  2⤵
  PID:11876
- C:\Windows\System32\JqabkKr.exe
  C:\Windows\System32\JqabkKr.exe
  2⤵
  PID:11892
- C:\Windows\System32\WmKRRYK.exe
  C:\Windows\System32\WmKRRYK.exe
  2⤵
  PID:11912
- C:\Windows\System32\fWptDbU.exe
  C:\Windows\System32\fWptDbU.exe
  2⤵
  PID:11944
- C:\Windows\System32\ShrZpdm.exe
  C:\Windows\System32\ShrZpdm.exe
  2⤵
  PID:11968
- C:\Windows\System32\JtDmuAd.exe
  C:\Windows\System32\JtDmuAd.exe
  2⤵
  PID:12012
- C:\Windows\System32\HJHlxTm.exe
  C:\Windows\System32\HJHlxTm.exe
  2⤵
  PID:12028
- C:\Windows\System32\mQKLcPK.exe
  C:\Windows\System32\mQKLcPK.exe
  2⤵
  PID:12052
- C:\Windows\System32\KaDehza.exe
  C:\Windows\System32\KaDehza.exe
  2⤵
  PID:12068
- C:\Windows\System32\QSeHLcZ.exe
  C:\Windows\System32\QSeHLcZ.exe
  2⤵
  PID:12108
- C:\Windows\System32\HwAamXj.exe
  C:\Windows\System32\HwAamXj.exe
  2⤵
  PID:12264
- C:\Windows\System32\YTmHKlv.exe
  C:\Windows\System32\YTmHKlv.exe
  2⤵
  PID:12280
- C:\Windows\System32\jQnLnjN.exe
  C:\Windows\System32\jQnLnjN.exe
  2⤵
  PID:11272
- C:\Windows\System32\qKCdiQB.exe
  C:\Windows\System32\qKCdiQB.exe
  2⤵
  PID:11284
- C:\Windows\System32\RdExvxB.exe
  C:\Windows\System32\RdExvxB.exe
  2⤵
  PID:11432
- C:\Windows\System32\IxZXUwG.exe
  C:\Windows\System32\IxZXUwG.exe
  2⤵
  PID:11492
- C:\Windows\System32\Hkiprsn.exe
  C:\Windows\System32\Hkiprsn.exe
  2⤵
  PID:11520
- C:\Windows\System32\bsDPUGH.exe
  C:\Windows\System32\bsDPUGH.exe
  2⤵
  PID:11640
- C:\Windows\System32\ZRwMqQD.exe
  C:\Windows\System32\ZRwMqQD.exe
  2⤵
  PID:11712
- C:\Windows\System32\ArhoXUA.exe
  C:\Windows\System32\ArhoXUA.exe
  2⤵
  PID:11788
- C:\Windows\System32\KewWOqI.exe
  C:\Windows\System32\KewWOqI.exe
  2⤵
  PID:11824
- C:\Windows\System32\kbCltzL.exe
  C:\Windows\System32\kbCltzL.exe
  2⤵
  PID:11888
- C:\Windows\System32\LLmpbxh.exe
  C:\Windows\System32\LLmpbxh.exe
  2⤵
  PID:11924
- C:\Windows\System32\VdbkaIH.exe
  C:\Windows\System32\VdbkaIH.exe
  2⤵
  PID:11980
- C:\Windows\System32\MqpIJCw.exe
  C:\Windows\System32\MqpIJCw.exe
  2⤵
  PID:12040
- C:\Windows\System32\VkePhYh.exe
  C:\Windows\System32\VkePhYh.exe
  2⤵
  PID:12076
- C:\Windows\System32\nwpLURc.exe
  C:\Windows\System32\nwpLURc.exe
  2⤵
  PID:12120
- C:\Windows\System32\GjhbfyR.exe
  C:\Windows\System32\GjhbfyR.exe
  2⤵
  PID:1264
- C:\Windows\System32\pSMWfrZ.exe
  C:\Windows\System32\pSMWfrZ.exe
  2⤵
  PID:12256
- C:\Windows\System32\THrHkvf.exe
  C:\Windows\System32\THrHkvf.exe
  2⤵
  PID:11024
- C:\Windows\System32\LiXMqdB.exe
  C:\Windows\System32\LiXMqdB.exe
  2⤵
  PID:12184
- C:\Windows\System32\wocUkkW.exe
  C:\Windows\System32\wocUkkW.exe
  2⤵
  PID:12220
- C:\Windows\System32\YWZvvIC.exe
  C:\Windows\System32\YWZvvIC.exe
  2⤵
  PID:11408
- C:\Windows\System32\ubciOIN.exe
  C:\Windows\System32\ubciOIN.exe
  2⤵
  PID:11488
- C:\Windows\System32\KxPEuxV.exe
  C:\Windows\System32\KxPEuxV.exe
  2⤵
  PID:10296
- C:\Windows\System32\VqTplzb.exe
  C:\Windows\System32\VqTplzb.exe
  2⤵
  PID:11940
- C:\Windows\System32\AhfZzft.exe
  C:\Windows\System32\AhfZzft.exe
  2⤵
  PID:11996
- C:\Windows\System32\taIwoTm.exe
  C:\Windows\System32\taIwoTm.exe
  2⤵
  PID:12212
- C:\Windows\System32\GhFIwfc.exe
  C:\Windows\System32\GhFIwfc.exe
  2⤵
  PID:3240
- C:\Windows\System32\HYCWJtD.exe
  C:\Windows\System32\HYCWJtD.exe
  2⤵
  PID:12152
- C:\Windows\System32\qzOxnBM.exe
  C:\Windows\System32\qzOxnBM.exe
  2⤵
  PID:11524
- C:\Windows\System32\PdFlNIi.exe
  C:\Windows\System32\PdFlNIi.exe
  2⤵
  PID:11768
- C:\Windows\System32\nKxILwz.exe
  C:\Windows\System32\nKxILwz.exe
  2⤵
  PID:11984
- C:\Windows\System32\ROkQdHI.exe
  C:\Windows\System32\ROkQdHI.exe
  2⤵
  PID:4280
- C:\Windows\System32\aFSXxad.exe
  C:\Windows\System32\aFSXxad.exe
  2⤵
  PID:11636
- C:\Windows\System32\tVWSPlu.exe
  C:\Windows\System32\tVWSPlu.exe
  2⤵
  PID:11920
- C:\Windows\System32\wBjrjQU.exe
  C:\Windows\System32\wBjrjQU.exe
  2⤵
  PID:12236
- C:\Windows\System32\qbyiaHP.exe
  C:\Windows\System32\qbyiaHP.exe
  2⤵
  PID:12312
- C:\Windows\System32\JZAnGsQ.exe
  C:\Windows\System32\JZAnGsQ.exe
  2⤵
  PID:12340
- C:\Windows\System32\mpOpvuv.exe
  C:\Windows\System32\mpOpvuv.exe
  2⤵
  PID:12360
- C:\Windows\System32\pHTemTY.exe
  C:\Windows\System32\pHTemTY.exe
  2⤵
  PID:12384
- C:\Windows\System32\MInCyKs.exe
  C:\Windows\System32\MInCyKs.exe
  2⤵
  PID:12448
- C:\Windows\System32\zGSMCeV.exe
  C:\Windows\System32\zGSMCeV.exe
  2⤵
  PID:12488
- C:\Windows\System32\CvLqIfY.exe
  C:\Windows\System32\CvLqIfY.exe
  2⤵
  PID:12516
- C:\Windows\System32\ZiRtspV.exe
  C:\Windows\System32\ZiRtspV.exe
  2⤵
  PID:12556
- C:\Windows\System32\HpaowVj.exe
  C:\Windows\System32\HpaowVj.exe
  2⤵
  PID:12584
- C:\Windows\System32\uMfwIse.exe
  C:\Windows\System32\uMfwIse.exe
  2⤵
  PID:12608
- C:\Windows\System32\frzLhta.exe
  C:\Windows\System32\frzLhta.exe
  2⤵
  PID:12632
- C:\Windows\System32\BMIEduX.exe
  C:\Windows\System32\BMIEduX.exe
  2⤵
  PID:12656
- C:\Windows\System32\hBgZvth.exe
  C:\Windows\System32\hBgZvth.exe
  2⤵
  PID:12688
- C:\Windows\System32\zVYNfpM.exe
  C:\Windows\System32\zVYNfpM.exe
  2⤵
  PID:12716
- C:\Windows\System32\EzORZfk.exe
  C:\Windows\System32\EzORZfk.exe
  2⤵
  PID:12740
- C:\Windows\System32\mEmAKsI.exe
  C:\Windows\System32\mEmAKsI.exe
  2⤵
  PID:12780
- C:\Windows\System32\NQKEwGZ.exe
  C:\Windows\System32\NQKEwGZ.exe
  2⤵
  PID:12796
- C:\Windows\System32\FYvbtAg.exe
  C:\Windows\System32\FYvbtAg.exe
  2⤵
  PID:12820
- C:\Windows\System32\JvLNQiO.exe
  C:\Windows\System32\JvLNQiO.exe
  2⤵
  PID:12840
- C:\Windows\System32\HoTsumW.exe
  C:\Windows\System32\HoTsumW.exe
  2⤵
  PID:12872
- C:\Windows\System32\rwPnCpn.exe
  C:\Windows\System32\rwPnCpn.exe
  2⤵
  PID:12892
- C:\Windows\System32\ibKMZTE.exe
  C:\Windows\System32\ibKMZTE.exe
  2⤵
  PID:12912
- C:\Windows\System32\blrQmvv.exe
  C:\Windows\System32\blrQmvv.exe
  2⤵
  PID:12936
- C:\Windows\System32\HneKDJI.exe
  C:\Windows\System32\HneKDJI.exe
  2⤵
  PID:13000
- C:\Windows\System32\DhcwACM.exe
  C:\Windows\System32\DhcwACM.exe
  2⤵
  PID:13024
- C:\Windows\System32\yZKzrSB.exe
  C:\Windows\System32\yZKzrSB.exe
  2⤵
  PID:13048
- C:\Windows\System32\jejmqaB.exe
  C:\Windows\System32\jejmqaB.exe
  2⤵
  PID:13088
- C:\Windows\System32\SBzpQyu.exe
  C:\Windows\System32\SBzpQyu.exe
  2⤵
  PID:13108
- C:\Windows\System32\TUYErHT.exe
  C:\Windows\System32\TUYErHT.exe
  2⤵
  PID:13132
- C:\Windows\System32\KIGxyql.exe
  C:\Windows\System32\KIGxyql.exe
  2⤵
  PID:13152
- C:\Windows\System32\ZgfIsId.exe
  C:\Windows\System32\ZgfIsId.exe
  2⤵
  PID:13172
- C:\Windows\System32\AvjqHlw.exe
  C:\Windows\System32\AvjqHlw.exe
  2⤵
  PID:13192
- C:\Windows\System32\XlBNSIG.exe
  C:\Windows\System32\XlBNSIG.exe
  2⤵
  PID:13228
- C:\Windows\System32\ZDCUiBz.exe
  C:\Windows\System32\ZDCUiBz.exe
  2⤵
  PID:13300
- C:\Windows\System32\wyPRAUo.exe
  C:\Windows\System32\wyPRAUo.exe
  2⤵
  PID:11884
- C:\Windows\System32\dkmskQK.exe
  C:\Windows\System32\dkmskQK.exe
  2⤵
  PID:12300
- C:\Windows\System32\ZvZYNAE.exe
  C:\Windows\System32\ZvZYNAE.exe
  2⤵
  PID:12348
- C:\Windows\System32\qRsPYqv.exe
  C:\Windows\System32\qRsPYqv.exe
  2⤵
  PID:12380
- C:\Windows\System32\HbGVNXb.exe
  C:\Windows\System32\HbGVNXb.exe
  2⤵
  PID:12544
- C:\Windows\System32\NAlmqil.exe
  C:\Windows\System32\NAlmqil.exe
  2⤵
  PID:12564
- C:\Windows\System32\LGtNWjy.exe
  C:\Windows\System32\LGtNWjy.exe
  2⤵
  PID:12620

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:12908

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\BxWhvzX.exe

Filesize
1.6MB

MD5
80e2f5fe90b530335f4e399c23af8071

SHA1
ba5f856d19d9b9189410a14ff2a662c26ebc72da

SHA256
bed20a5358d05b6ec9dd394c339b40fd2f3534ec2665bd243143eb858844195e

SHA512
ade81cb9a7d828cf438197c51899814ebc9c12b71d1e63caba4c2876b406d88fef19c1f045bec68675344e4bcc483ef1fae6c84b813c2ecd1d7929b2396e0eb7

Download Submit
C:\Windows\System32\CaeTWqk.exe

Filesize
1.6MB

MD5
186fc170c90173ce8c5503e13a641bf1

SHA1
ebc5a85498695f3c3bfc7a6570faec1dab1ef140

SHA256
d0e38dbf14df3f990f2bda060f59bf1f253541a88c869f73d50e1a682da06845

SHA512
94f87794f52950e5ab112c251e2670c39862cb7a0a44cd9e9419dcfb4d67cfe851d21775b9b3165f459815cdf3a9365e5e7c793fe21137ee2d22b82095a77905

Download Submit
C:\Windows\System32\DLTdoEZ.exe

Filesize
1.6MB

MD5
d09badef8c2d397cac2813ad31c90fb2

SHA1
0426e7ebab7a8eda7dedfa21f0da7a4c6aeba9da

SHA256
bf433252060042f50f2c37faee973ea3e1a9d874b6e8447c696b79b0efedba2d

SHA512
8d415a1e9ae5ef839642a812137d8368a33a4675eeac353956b86de97c2b0a07b9df28470306aa95a42b6159247deadacfc507f88fdbb5a253a1e7cc3ed0907a

Download Submit
C:\Windows\System32\EuNgbpx.exe

Filesize
1.6MB

MD5
2f930468000cf0871377f1b62853af13

SHA1
c7253955b2a7c08fc25ec7353bf24bb58b77e874

SHA256
adef2c3bcb00368e2a8ea919e88e4016e0c4257774be79e6aa8f6f5a2cada1ea

SHA512
f4bb8546581ba352dba9c0382bd7b0237ffed8293556f0aae42cbcbbbacb0a4d2148b5b5682e0daaca5a84f40edf6982da5cb92859897b15be15364a8edbaa31

Download Submit
C:\Windows\System32\GrUODHm.exe

Filesize
1.6MB

MD5
a155822036a54fa97522b6793676069e

SHA1
a485cc5b92e9967a80bf50178cdf4f19bf244f84

SHA256
5ce5891dc3d3328e6b10cf3b75b05951cee25e66c5ce5dbc1d4ccba2d63ef6bd

SHA512
ba45008c58ad4089f04e46fcf3279e9ea0dd635038868d81549dcb7d688c69b2097cdba1956b0f5da26eafec2635b3bccd5d0b27c9225d28af86eb1527e8b1ad

Download Submit
C:\Windows\System32\IaQWZCQ.exe

Filesize
1.6MB

MD5
d340853b0924bab85cf3eec72872c88f

SHA1
02f0dbfcb3203bc9e7a473beae0a414a4cd726b1

SHA256
469c5dfa4ef1fad1195bf6c9e05fb6599e1283a814a3f864b284151495c0be4f

SHA512
c1e7183af9977d7a939ac5d87656a4d5796d77c0e29eaf297e2f2e61104f2fe3b20ae3b40efb3b61ab03a18fd89d41e8debdcea52840dc787af9a6adf74cd1d2

Download Submit
C:\Windows\System32\LjMckAy.exe

Filesize
1.6MB

MD5
4dd514d28ffcb2aaefbb14bef101fedd

SHA1
1544e29db4d942aec0d5dbfcfbc6e46e94fcee89

SHA256
84d082edc428f01442fdb8b533bd65a7f3a35fae972a0ebca8c1e96dc014dbf4

SHA512
7de8776616c83cf7c8f5a746190801d8c9485943f616e24a498a4ab8cecf25199e8a3e3006155fa19794cc5576eda3cba649cce21944450826ca36baac7a718a

Download Submit
C:\Windows\System32\Maveenp.exe

Filesize
1.6MB

MD5
cea6ea62340b0f99d68d79d424345d0d

SHA1
f2177c1479bca8a008b64ac807ed4a83fff16d33

SHA256
8217a52696cbc96c9ff1904d89455a012996c8b55d646aa34c20a0e3650d4e59

SHA512
1c43870706c4a6a4bba74b73302702d6930facb1ece291a23ac86294be9730b9de64256c83e47a2bd7bd19eddd6a7d4ceb1642d93a7962aa4ca762525fa9e43f

Download Submit
C:\Windows\System32\PASvqEe.exe

Filesize
1.6MB

MD5
6321faa49f16c07b21e27ec376ea040e

SHA1
7e1577d9ba781a6dbbb7a40eb0080ee0b03aa767

SHA256
de46b8d635117b8e24d9e932e145c9b0c6a24026f87ca5b9519370ba8039e950

SHA512
2c8588edf38b42d33cfbf81433fc77d1f00edd3e0f6e46e46739f427e25e86a5bfef5fb151d3751eb4e3cac90ef7a3c7c1c2caef8d1810d7507f7c4e5d68b3e4

Download Submit
C:\Windows\System32\RyFcDHV.exe

Filesize
1.6MB

MD5
c6c5276e83deb7a3dbfd465fddb5c8d5

SHA1
15b1662505490d638952a1397c2865f2e7b4dd10

SHA256
a104c9910fd8bef77ebca6346a69d48f0c1e957b19a97bc304f25ed9423d1de1

SHA512
ef06711088a21219523253ac20425841032548f0c60790d5bf7a55e2517884e3e4d0322104454f86ffdce2deee2fcfb77979f5ab37450ce0d94af05111af07c9

Download Submit
C:\Windows\System32\SfHmWAC.exe

Filesize
1.6MB

MD5
afbf19581d0cc3757b013ac4c72ee615

SHA1
07fb1f2239bf5edf833ac5f9d85d4f53a2a39c0d

SHA256
c70fea6bfd2359174c4d93d963d6923d599fa96aac889b81316d2736987447cb

SHA512
c00d161b26831eed7d886411c497a4d1163021ba2a437a55e480d055b28b44c791532e988ff66544b96f33ec413961de428a05488ddcfb8c49e80a2643579b37

Download Submit
C:\Windows\System32\TGdswGL.exe

Filesize
1.6MB

MD5
6836031e6a7f3cd4da1044d0a2a09430

SHA1
d4c3a96cd224fae0409c71eaa4c0803d154d2d2e

SHA256
5501cf03772e0a2a1e1926bb9f3425b882ed0724243efe95796f15e645faa398

SHA512
f5d90fb7faeaeeaaa15ff9bac5554f4d215f8e6c22de39d85abe9d8dd596c13f334ead381a7b8f8f3630e3d1602abb58c12d7435cd8f8d0b6b34a85329a0dda9

Download Submit
C:\Windows\System32\TZdSFiT.exe

Filesize
1.6MB

MD5
15529ef7c09ab8a78739ab653edced8a

SHA1
e2bf3a7252b51ddd891a793beb799f834bc30ae9

SHA256
61660f6ec4bbd7648054946312edcd3984335568ceba5889f52e7462355d3390

SHA512
9be2e789a0403c323aae7d22e20417a15df924b6577a0a6a8698b289f923845bd926f50b96d5bb5baea61b277c9d210d9781d104923784affd075173de78835e

Download Submit
C:\Windows\System32\UbFvpHp.exe

Filesize
1.6MB

MD5
878c95ab45f7f464e0623eaca285dfc0

SHA1
0f2551ec24e41483f875eda6188ba8e1ea5bc5a3

SHA256
e643ef2c500ef1acbdc38f06f1f3b96cf54ab1759ef9fc83477d7fa9a0ac0d92

SHA512
16064150d299ad56adcfec2c869732a43fa7614e17c353a3de4eacc2c3f5f4862627ef316a3800a7fce2ce400ba39f7afbb6eab52e035727f2bace8667f242e5

Download Submit
C:\Windows\System32\VOpHnYj.exe

Filesize
1.6MB

MD5
96a9d446eee94e35a5002b55b78abaa7

SHA1
3915c9a97656edb8f4c43ce8c9c808840ca083e8

SHA256
a24f6dc36f397c83f78aadf7bac788d4a23a8fa5d6c09e35589f2df25a235a1c

SHA512
9d7e3538e57a1140dc61a4ac9e8feea9a5f939318bcbce303806e3906337b7265344e3894ce5c8b3805882c1f0a3fe88393d1be9ab359ae081381cc9725e2c66

Download Submit
C:\Windows\System32\Zbppxth.exe

Filesize
1.6MB

MD5
510f21430b10a6e11e40e05320c0c96b

SHA1
98aeaf85250db70250426b4be8a0bc93bfc01166

SHA256
080f6abef10811422b02151d0ca939b4bf6dfcb5b1f575e3020e2a91de9e5ff5

SHA512
cdc413eeb9e28995343b421b505020f3a9363bd64b3b3d78ccfbc4cae76d20ac5b219f6046c9b37d6b2336226da5092d1da55abd0ca1d07cf5cffb84f1edf3e7

Download Submit
C:\Windows\System32\aNIdVzr.exe

Filesize
1.6MB

MD5
36c02749a375720be7e1b25a0914ce06

SHA1
66beb008dac495fc8e84a45a82f7ba8b88636d84

SHA256
69c28da88a4ebc8c73090fc0f7a29d6b0fd6d9ce629863771018686e788f23fe

SHA512
aaff621cec47ac9c51d69703e48dd6e51fae9c90538ce53d18bdbbfd12443eff5f233b1a00b63ad518a1de33fd8c1027b15c057b6539eda29f2b9b8188e6cdee

Download Submit
C:\Windows\System32\eBQFirr.exe

Filesize
1.6MB

MD5
58954e9d407f236d4332218bda10ae98

SHA1
26f61564f76f10a06e4d50008424f61295cff716

SHA256
b6a582bb2df6019f2e38beb6530c275ce397a52291559b77244ce872da534636

SHA512
af511819c04b964fa43a8e6db782b5a562e8b78e01422ce4655115e96c8d401cbdf1f482054d8a05561a66bd83ab4a2b67c6b7f284c042e054fe118c767f62c6

Download Submit
C:\Windows\System32\jyQIXDb.exe

Filesize
1.6MB

MD5
5fa671ace99a1678b5239072c833c6cc

SHA1
086b9b3284f5cb6dd02f41e52b473116573aaeb9

SHA256
bc10f07a586aefa8fab0bf3306bf81b236c6924ec2cac7b28587af52fc9e9e55

SHA512
14daa0b979e9e74b863c9e83281fcb39fbf7832b0f7f29590e198476e3fd6ecf6e88e7fc0d60508e8dfab5370e18194f0f92ea31c3657359f8befc70a4620898

Download Submit
C:\Windows\System32\kkqfnzU.exe

Filesize
1.6MB

MD5
bbd71257f3d4656ce48481b71cffb15e

SHA1
c8ec4b95d044288cfd959e64c0e5ee0a7e0888c3

SHA256
496de3426415e97256159a2dd86e5fff031140abfeb7e3a0cac7ab847d09af16

SHA512
f952d4ce130a1014b2ea1eb27ae285769a2a2ab4381f929be3418bdf1c94e30e1240c9694f977b07bf2d082c61a09fdcbf53c68f88d67bc312d16e564a19bc4f

Download Submit
C:\Windows\System32\mgStPeD.exe

Filesize
1.6MB

MD5
daa4ffda67a46d27138c8f27aee4f028

SHA1
fc9ad4c8edc9bc8e5e37668e40388d397cbaac7a

SHA256
37764d750fa30a530c6f63a82238fd1023355b70d26cdb18ecb5e7a69ae2e861

SHA512
492ef409304a72623f1e8c811cd7d87132bdb9673a0840ea304a78dc84bbc5b4497547a850607254f4067f1dca6582844c7034600d421acec9edd3044c180984

Download Submit
C:\Windows\System32\naGknqi.exe

Filesize
1.6MB

MD5
55438983c33c94e6686c875c20055e45

SHA1
3f2ca0d8bc05246f8efc0caa8a54fb450eb655ff

SHA256
a45ef7909c243ef216bd621ab9f10ec845d4e79d00a7cc705995fb75bb971014

SHA512
3a5b3ab3a2a096bbb886a04028d9bdf8941812a5afc94e6d565557520337675f2781f1760acaa629f5b5a836811f788483042b386453b1ed1f5f3fdda60eb1c9

Download Submit
C:\Windows\System32\oUADaIz.exe

Filesize
1.6MB

MD5
7437b4b691a5685a85f3f0604d0c551a

SHA1
c1c6900c58880c84c2befdaa6e211101e611e29b

SHA256
d838dba867a7b456cf976c2ba785f2c98ced63468c547fb6b89645a9dc027bdc

SHA512
d3536e1f41d171743585ec26a71b19227f10fa953b8d502e7d84fe5ddc1c234cc1be2784cff42ab08ec83f7bd04831c9685ca951b0e0e15c32f45d43eefc56bc

Download Submit
C:\Windows\System32\pkPJiud.exe

Filesize
1.6MB

MD5
44c31956bb2c8f0c34ceaa941b569c56

SHA1
67cad822ba1bc38816958c1c7ad665f502ff5c41

SHA256
5da085c518f44a3a028a2f5f9126523ddc1e8f2b838255c6e0eedec4d0922e1a

SHA512
b4f02615f68b948bce0ec30e5e8abfb92819fd0cd30a0b40799d63a2cedb3e8349157eb30023b3152cd59c918cc4702478b5c6c21f099297b0575cc512243a9a

Download Submit
C:\Windows\System32\pvGXWzE.exe

Filesize
1.6MB

MD5
224656f6da06baaf1d25002bea53ffde

SHA1
3607b7fd1a956b8e72437cb936909042c91b693b

SHA256
24efe6c4a148e4afcae114307bc968ca331c0a49bbcf1dd925e4afc433b8e54c

SHA512
9f9a4689e5d8cd4d7cada6425193e45a0e2b1f50fd4510cf4fa783de98b3b262422b4679ea2acd59ef4a45ef43a5fa92a77b8e0a7ffcd7664fc94e02baa628ea

Download Submit
C:\Windows\System32\sYnaIkU.exe

Filesize
1.6MB

MD5
99d8d792f33a8d299b0262ae9dfcd8f2

SHA1
bc2040c1c0e5c87b5ef6e75acc56f6ef54d150a9

SHA256
85d1d642e4e04590b76ab46d9b6238afffecd73d4a4b38f62ef29e39897a6594

SHA512
e9303109e93e4bcaf5bfa1e68e6d02f59f6d04baffcba0d03dd47ef1a6aaa7746205ac39a9f0c63ba9b9ef8dff04b79dc84e81e308e7063f93096cc7c8b4d4e7

Download Submit
C:\Windows\System32\tgKzvnf.exe

Filesize
1.6MB

MD5
cef3618f783be8468710d84113024305

SHA1
b7f4106e6ef1140071fc6bed750cec2ef27d12e5

SHA256
90fbae442ad60e01e5b144972056eb298e8d322df47f3dc50f0ca89847704eba

SHA512
f6b215ac34b791befb44524c61fca06ee8c2dcd1bde8cdbd83ce7444b4c481602dfe8e7e3f612626f3316a09d0b86a194583b929f3733262625d5d1dde802dbc

Download Submit
C:\Windows\System32\wQlrHWk.exe

Filesize
1.6MB

MD5
dc0af0a5ef5e98af2152907daec51ebc

SHA1
2896ecc0c036c58f5bc348032b901d43c50612e3

SHA256
993b2945b4edb7f218c4d48234e0e370c605fa674a1e6deed7c94560110fde37

SHA512
554bef16a77764794ed59633aa6515a97216636853f4c656b5bd8e33a4bb14ce499d6b48887d3b331932b725a8c7eab30dca5af97650082272508312d32f54c8

Download Submit
C:\Windows\System32\wiYiovH.exe

Filesize
1.6MB

MD5
c27acee8f0002c15b33dfe5f5c68eaa6

SHA1
4b2878365bca2588387ea2da56df26549e41ef42

SHA256
e81025d54f8fd4277787d0733731ef1ba02dfdde8ecb38e8499b9e8fd49efb07

SHA512
0b237cb6c6c7fc6f5fa1b4361fd0c52aed112d40eeacb9cb4828ead203aee6a371939cb00216288127ade1b6376a79791150384695a7e64657e098d15e424cf6

Download Submit
C:\Windows\System32\xTpkDPy.exe

Filesize
1.6MB

MD5
8ce9efaff3ec67018d9110716acb2eb5

SHA1
4e73404c8f413d044c9fda5eebf70b3239fe4d6b

SHA256
ac506ef591b63ca92c24101bfb9d81be24a6fc75aff0125635adcf2e530a3a6b

SHA512
362854e1e22b71baaf4a9998bd20709c3331abfdaf9d25b9758af480749d4b1f9875618e85132406f476becf32630c0a4f6a0b4c565f53b6d5648aa614c62eec

Download Submit
C:\Windows\System32\xypJIyl.exe

Filesize
1.6MB

MD5
bb3082f7b721958be897fe590be15ddb

SHA1
d41bb1a2e5f69f8831a1be1a8df08a44acba9996

SHA256
a4b57def0c95dce9a2acc204055d664868d15fbc21faa0e3fea4bbb106e8330e

SHA512
88edc5fce8ec1a3315f29fe8111a9e1cf010ee6c799af5040b73752cbded401a907e4063832addc5067bf8b91c1f8899252068d96cda2898fb9742b678dd0407

Download Submit
C:\Windows\System32\zEEfrzs.exe

Filesize
1.6MB

MD5
48a4d5eee5c7cb7e7042a88c02b7075c

SHA1
270d676a40c2559bbe73b4a9b5afbd7a7155b94a

SHA256
3bbe06e5ae110c6e97304fbb61484dd2ec8a483de6815ca33a19a140f6b39d05

SHA512
53e1d1a0b619c5fb6b31e1f67b367f58c580708edccf105270cad9acd39f070b3d330e4d22b3060b907af04be9e72b741ff7195e57f40eb84fa428867455b9fa

Download Submit
memory/848-460-0x00007FF75F900000-0x00007FF75FCF1000-memory.dmp

Filesize
3.9MB

Download
memory/848-2067-0x00007FF75F900000-0x00007FF75FCF1000-memory.dmp

Filesize
3.9MB

Download
memory/1028-606-0x00007FF786970000-0x00007FF786D61000-memory.dmp

Filesize
3.9MB

Download
memory/1028-2051-0x00007FF786970000-0x00007FF786D61000-memory.dmp

Filesize
3.9MB

Download
memory/1424-2073-0x00007FF74F420000-0x00007FF74F811000-memory.dmp

Filesize
3.9MB

Download
memory/1424-487-0x00007FF74F420000-0x00007FF74F811000-memory.dmp

Filesize
3.9MB

Download
memory/1456-2083-0x00007FF616060000-0x00007FF616451000-memory.dmp

Filesize
3.9MB

Download
memory/1456-517-0x00007FF616060000-0x00007FF616451000-memory.dmp

Filesize
3.9MB

Download
memory/1652-1-0x0000020216CA0000-0x0000020216CB0000-memory.dmp

Filesize
64KB

Download
memory/1652-2020-0x00007FF7CC800000-0x00007FF7CCBF1000-memory.dmp

Filesize
3.9MB

Download
memory/1652-0-0x00007FF7CC800000-0x00007FF7CCBF1000-memory.dmp

Filesize
3.9MB

Download
memory/1964-2041-0x00007FF795E90000-0x00007FF796281000-memory.dmp

Filesize
3.9MB

Download
memory/1964-32-0x00007FF795E90000-0x00007FF796281000-memory.dmp

Filesize
3.9MB

Download
memory/2348-461-0x00007FF7C12E0000-0x00007FF7C16D1000-memory.dmp

Filesize
3.9MB

Download
memory/2348-2065-0x00007FF7C12E0000-0x00007FF7C16D1000-memory.dmp

Filesize
3.9MB

Download
memory/2468-2069-0x00007FF777840000-0x00007FF777C31000-memory.dmp

Filesize
3.9MB

Download
memory/2468-459-0x00007FF777840000-0x00007FF777C31000-memory.dmp

Filesize
3.9MB

Download
memory/2480-478-0x00007FF7C81F0000-0x00007FF7C85E1000-memory.dmp

Filesize
3.9MB

Download
memory/2480-2059-0x00007FF7C81F0000-0x00007FF7C85E1000-memory.dmp

Filesize
3.9MB

Download
memory/2496-2048-0x00007FF6FBF40000-0x00007FF6FC331000-memory.dmp

Filesize
3.9MB

Download
memory/2496-35-0x00007FF6FBF40000-0x00007FF6FC331000-memory.dmp

Filesize
3.9MB

Download
memory/2496-2023-0x00007FF6FBF40000-0x00007FF6FC331000-memory.dmp

Filesize
3.9MB

Download
memory/2592-2053-0x00007FF6C4E80000-0x00007FF6C5271000-memory.dmp

Filesize
3.9MB

Download
memory/2592-457-0x00007FF6C4E80000-0x00007FF6C5271000-memory.dmp

Filesize
3.9MB

Download
memory/2688-2071-0x00007FF774AF0000-0x00007FF774EE1000-memory.dmp

Filesize
3.9MB

Download
memory/2688-462-0x00007FF774AF0000-0x00007FF774EE1000-memory.dmp

Filesize
3.9MB

Download
memory/2824-506-0x00007FF6ADCD0000-0x00007FF6AE0C1000-memory.dmp

Filesize
3.9MB

Download
memory/2824-2087-0x00007FF6ADCD0000-0x00007FF6AE0C1000-memory.dmp

Filesize
3.9MB

Download
memory/3184-11-0x00007FF68CB70000-0x00007FF68CF61000-memory.dmp

Filesize
3.9MB

Download
memory/3184-2061-0x00007FF68CB70000-0x00007FF68CF61000-memory.dmp

Filesize
3.9MB

Download
memory/3184-2021-0x00007FF68CB70000-0x00007FF68CF61000-memory.dmp

Filesize
3.9MB

Download
memory/3204-500-0x00007FF763BE0000-0x00007FF763FD1000-memory.dmp

Filesize
3.9MB

Download
memory/3204-2079-0x00007FF763BE0000-0x00007FF763FD1000-memory.dmp

Filesize
3.9MB

Download
memory/3328-2055-0x00007FF7E8350000-0x00007FF7E8741000-memory.dmp

Filesize
3.9MB

Download
memory/3328-471-0x00007FF7E8350000-0x00007FF7E8741000-memory.dmp

Filesize
3.9MB

Download
memory/3480-501-0x00007FF7F1D20000-0x00007FF7F2111000-memory.dmp

Filesize
3.9MB

Download
memory/3480-2081-0x00007FF7F1D20000-0x00007FF7F2111000-memory.dmp

Filesize
3.9MB

Download
memory/3652-496-0x00007FF613770000-0x00007FF613B61000-memory.dmp

Filesize
3.9MB

Download
memory/3652-2077-0x00007FF613770000-0x00007FF613B61000-memory.dmp

Filesize
3.9MB

Download
memory/3748-15-0x00007FF761C30000-0x00007FF762021000-memory.dmp

Filesize
3.9MB

Download
memory/3748-2049-0x00007FF761C30000-0x00007FF762021000-memory.dmp

Filesize
3.9MB

Download
memory/3764-512-0x00007FF72F9E0000-0x00007FF72FDD1000-memory.dmp

Filesize
3.9MB

Download
memory/3764-2085-0x00007FF72F9E0000-0x00007FF72FDD1000-memory.dmp

Filesize
3.9MB

Download
memory/4044-2063-0x00007FF619700000-0x00007FF619AF1000-memory.dmp

Filesize
3.9MB

Download
memory/4044-458-0x00007FF619700000-0x00007FF619AF1000-memory.dmp

Filesize
3.9MB

Download
memory/4308-2045-0x00007FF734380000-0x00007FF734771000-memory.dmp

Filesize
3.9MB

Download
memory/4308-599-0x00007FF734380000-0x00007FF734771000-memory.dmp

Filesize
3.9MB

Download
memory/4544-22-0x00007FF6173D0000-0x00007FF6177C1000-memory.dmp

Filesize
3.9MB

Download
memory/4544-2043-0x00007FF6173D0000-0x00007FF6177C1000-memory.dmp

Filesize
3.9MB

Download
memory/4544-2022-0x00007FF6173D0000-0x00007FF6177C1000-memory.dmp

Filesize
3.9MB

Download
memory/4580-472-0x00007FF71E3C0000-0x00007FF71E7B1000-memory.dmp

Filesize
3.9MB

Download
memory/4580-2057-0x00007FF71E3C0000-0x00007FF71E7B1000-memory.dmp

Filesize
3.9MB

Download
memory/4604-2075-0x00007FF683110000-0x00007FF683501000-memory.dmp

Filesize
3.9MB

Download
memory/4604-491-0x00007FF683110000-0x00007FF683501000-memory.dmp

Filesize
3.9MB

Download