xmrig | 2ceb56831248affe04f3fc09936523c1eaed815b3f55715743e3b2bbcc63e7f4

Analysis

max time kernel
148s
max time network
150s
platform
windows10-2004_x64
resource
win10v2004-20240426-en
resource tags

arch:x64arch:x86image:win10v2004-20240426-enlocale:en-usos:windows10-2004-x64system
submitted
23-05-2024 00:45

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
Size

2.6MB
MD5

650a6f91a391a6304eda1e14e433b4c0
SHA1

87d673c58785be54a4b2314a52d8d1d017615d68
SHA256

2ceb56831248affe04f3fc09936523c1eaed815b3f55715743e3b2bbcc63e7f4
SHA512

d1d30d761c8fff4e75db3157646a681f083a8dee245f328248a6d08eb44ad6dcc07a29ac703f0701ac5c79c044a39944d5eb253aa68dbd05c041978a6c556b9e
SSDEEP

49152:N0wjnJMOWh50kC1/dVFdx6e0EALKWVTffZiPAcRq6jHjcz8Dze7jcmWH8SKJhSn+:N0GnJMOWPClFdx6e0EALKWVTffZiPAc6

Score

10^/10

xmrig miner upx

Malware Config

Signatures

xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 64 IoCs

miner

Processes:

resource	yara_rule
behavioral2/memory/3016-0-0x00007FF66D970000-0x00007FF66DD65000-memory.dmp	xmrig
C:\Windows\System32\MgwMGBH.exe	xmrig
C:\Windows\System32\coFqGYD.exe	xmrig
C:\Windows\System32\ABSmZix.exe	xmrig
C:\Windows\System32\AUtzBkK.exe	xmrig
C:\Windows\System32\hPsWqSF.exe	xmrig
C:\Windows\System32\WkgZoby.exe	xmrig
C:\Windows\System32\PvZYnla.exe	xmrig
C:\Windows\System32\vutIVpu.exe	xmrig
C:\Windows\System32\ASJFrkX.exe	xmrig
C:\Windows\System32\belWhST.exe	xmrig
C:\Windows\System32\USZXZIZ.exe	xmrig
C:\Windows\System32\LEbisNt.exe	xmrig
behavioral2/memory/4832-478-0x00007FF6023C0000-0x00007FF6027B5000-memory.dmp	xmrig
behavioral2/memory/540-485-0x00007FF6766A0000-0x00007FF676A95000-memory.dmp	xmrig
behavioral2/memory/2612-492-0x00007FF7BA400000-0x00007FF7BA7F5000-memory.dmp	xmrig
behavioral2/memory/4008-491-0x00007FF76E320000-0x00007FF76E715000-memory.dmp	xmrig
behavioral2/memory/3600-481-0x00007FF7D29B0000-0x00007FF7D2DA5000-memory.dmp	xmrig
behavioral2/memory/2356-472-0x00007FF6EE400000-0x00007FF6EE7F5000-memory.dmp	xmrig
behavioral2/memory/3424-570-0x00007FF6A91C0000-0x00007FF6A95B5000-memory.dmp	xmrig
behavioral2/memory/1512-573-0x00007FF6F6DD0000-0x00007FF6F71C5000-memory.dmp	xmrig
behavioral2/memory/5076-582-0x00007FF65D8D0000-0x00007FF65DCC5000-memory.dmp	xmrig
behavioral2/memory/4580-589-0x00007FF6071E0000-0x00007FF6075D5000-memory.dmp	xmrig
behavioral2/memory/4836-594-0x00007FF70E900000-0x00007FF70ECF5000-memory.dmp	xmrig
behavioral2/memory/3660-619-0x00007FF7063D0000-0x00007FF7067C5000-memory.dmp	xmrig
behavioral2/memory/1456-632-0x00007FF717F20000-0x00007FF718315000-memory.dmp	xmrig
behavioral2/memory/4660-647-0x00007FF7B6A40000-0x00007FF7B6E35000-memory.dmp	xmrig
behavioral2/memory/2148-653-0x00007FF777770000-0x00007FF777B65000-memory.dmp	xmrig
behavioral2/memory/3416-667-0x00007FF70D740000-0x00007FF70DB35000-memory.dmp	xmrig
behavioral2/memory/912-661-0x00007FF6266F0000-0x00007FF626AE5000-memory.dmp	xmrig
behavioral2/memory/1280-644-0x00007FF7E79D0000-0x00007FF7E7DC5000-memory.dmp	xmrig
behavioral2/memory/732-625-0x00007FF6C2860000-0x00007FF6C2C55000-memory.dmp	xmrig
behavioral2/memory/1804-616-0x00007FF7918B0000-0x00007FF791CA5000-memory.dmp	xmrig
behavioral2/memory/4552-610-0x00007FF7E7810000-0x00007FF7E7C05000-memory.dmp	xmrig
behavioral2/memory/5092-607-0x00007FF78C940000-0x00007FF78CD35000-memory.dmp	xmrig
behavioral2/memory/1652-566-0x00007FF757780000-0x00007FF757B75000-memory.dmp	xmrig
C:\Windows\System32\DEvghsN.exe	xmrig
C:\Windows\System32\gXSxesg.exe	xmrig
C:\Windows\System32\EfDrWcq.exe	xmrig
C:\Windows\System32\RKMRNxK.exe	xmrig
C:\Windows\System32\wWzOJcX.exe	xmrig
C:\Windows\System32\eKhrNeR.exe	xmrig
C:\Windows\System32\iFwtACr.exe	xmrig
C:\Windows\System32\OFVdJSc.exe	xmrig
C:\Windows\System32\vQqDlId.exe	xmrig
C:\Windows\System32\knzQeXL.exe	xmrig
C:\Windows\System32\odexHai.exe	xmrig
C:\Windows\System32\wOqFvcz.exe	xmrig
C:\Windows\System32\dfeLbrF.exe	xmrig
C:\Windows\System32\ylDAJbd.exe	xmrig
C:\Windows\System32\fPpEvAO.exe	xmrig
C:\Windows\System32\jxgRVpD.exe	xmrig
C:\Windows\System32\YnqVnTa.exe	xmrig
C:\Windows\System32\voqyMUF.exe	xmrig
C:\Windows\System32\bvuxSoE.exe	xmrig
C:\Windows\System32\GtfwtxK.exe	xmrig
C:\Windows\System32\OXwdrFt.exe	xmrig
behavioral2/memory/4600-10-0x00007FF712DD0000-0x00007FF7131C5000-memory.dmp	xmrig
behavioral2/memory/4600-1928-0x00007FF712DD0000-0x00007FF7131C5000-memory.dmp	xmrig
behavioral2/memory/2356-1930-0x00007FF6EE400000-0x00007FF6EE7F5000-memory.dmp	xmrig
behavioral2/memory/4832-1929-0x00007FF6023C0000-0x00007FF6027B5000-memory.dmp	xmrig
behavioral2/memory/3600-1931-0x00007FF7D29B0000-0x00007FF7D2DA5000-memory.dmp	xmrig
behavioral2/memory/540-1932-0x00007FF6766A0000-0x00007FF676A95000-memory.dmp	xmrig
behavioral2/memory/2612-1935-0x00007FF7BA400000-0x00007FF7BA7F5000-memory.dmp	xmrig

Executes dropped EXE 64 IoCs

Processes:

MgwMGBH.exeABSmZix.execoFqGYD.exeOXwdrFt.exeAUtzBkK.exeGtfwtxK.exehPsWqSF.exeWkgZoby.exebvuxSoE.exePvZYnla.exevutIVpu.exevoqyMUF.exeASJFrkX.exeYnqVnTa.exebelWhST.exejxgRVpD.exefPpEvAO.exeylDAJbd.exedfeLbrF.exewOqFvcz.exeodexHai.exeknzQeXL.exevQqDlId.exeOFVdJSc.exeiFwtACr.exeeKhrNeR.exewWzOJcX.exeUSZXZIZ.exeRKMRNxK.exeEfDrWcq.exeLEbisNt.exegXSxesg.exeDEvghsN.exeshbEalB.exeQsRNyyS.exesGPlzSw.exeoRNvSfZ.exePgIMuhz.exeDwjTfMC.exeXJbWPtM.exeWiViBSv.exevbOgCCN.exebIcmPrg.exeSDsakPr.exebckfJxz.exeZHLjALj.exexXVJEWn.exeCtrdgYE.exeGMGJayb.exeuzsDeLi.exepLKhwDm.exegLxfNlf.exejOtLcEy.exeCDnVEuw.exefcfLOMr.exeLJjsEoG.exeURcPGon.exeUNVxjhf.exeTHUJSwo.exebTEMFet.exegYiofXT.exefOTUcqr.exedZpakgR.exebqxZBtZ.exe

pid	process
4600	MgwMGBH.exe
2356	ABSmZix.exe
4832	coFqGYD.exe
3416	OXwdrFt.exe
3600	AUtzBkK.exe
540	GtfwtxK.exe
4008	hPsWqSF.exe
2612	WkgZoby.exe
1652	bvuxSoE.exe
3424	PvZYnla.exe
1512	vutIVpu.exe
5076	voqyMUF.exe
4580	ASJFrkX.exe
4836	YnqVnTa.exe
5092	belWhST.exe
4552	jxgRVpD.exe
1804	fPpEvAO.exe
3660	ylDAJbd.exe
732	dfeLbrF.exe
1456	wOqFvcz.exe
1280	odexHai.exe
4660	knzQeXL.exe
2148	vQqDlId.exe
912	OFVdJSc.exe
2168	iFwtACr.exe
2044	eKhrNeR.exe
4648	wWzOJcX.exe
428	USZXZIZ.exe
2712	RKMRNxK.exe
3200	EfDrWcq.exe
4592	LEbisNt.exe
4888	gXSxesg.exe
1436	DEvghsN.exe
4956	shbEalB.exe
2400	QsRNyyS.exe
3984	sGPlzSw.exe
4040	oRNvSfZ.exe
4036	PgIMuhz.exe
5004	DwjTfMC.exe
3220	XJbWPtM.exe
2296	WiViBSv.exe
432	vbOgCCN.exe
3252	bIcmPrg.exe
4476	SDsakPr.exe
4868	bckfJxz.exe
2412	ZHLjALj.exe
4496	xXVJEWn.exe
2732	CtrdgYE.exe
948	GMGJayb.exe
3336	uzsDeLi.exe
3152	pLKhwDm.exe
4524	gLxfNlf.exe
2492	jOtLcEy.exe
4492	CDnVEuw.exe
2900	fcfLOMr.exe
3856	LJjsEoG.exe
5080	URcPGon.exe
876	UNVxjhf.exe
3324	THUJSwo.exe
5024	bTEMFet.exe
1584	gYiofXT.exe
2384	fOTUcqr.exe
456	dZpakgR.exe
5108	bqxZBtZ.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

Processes:

resource	yara_rule
behavioral2/memory/3016-0-0x00007FF66D970000-0x00007FF66DD65000-memory.dmp	upx
C:\Windows\System32\MgwMGBH.exe	upx
C:\Windows\System32\coFqGYD.exe	upx
C:\Windows\System32\ABSmZix.exe	upx
C:\Windows\System32\AUtzBkK.exe	upx
C:\Windows\System32\hPsWqSF.exe	upx
C:\Windows\System32\WkgZoby.exe	upx
C:\Windows\System32\PvZYnla.exe	upx
C:\Windows\System32\vutIVpu.exe	upx
C:\Windows\System32\ASJFrkX.exe	upx
C:\Windows\System32\belWhST.exe	upx
C:\Windows\System32\USZXZIZ.exe	upx
C:\Windows\System32\LEbisNt.exe	upx
behavioral2/memory/4832-478-0x00007FF6023C0000-0x00007FF6027B5000-memory.dmp	upx
behavioral2/memory/540-485-0x00007FF6766A0000-0x00007FF676A95000-memory.dmp	upx
behavioral2/memory/2612-492-0x00007FF7BA400000-0x00007FF7BA7F5000-memory.dmp	upx
behavioral2/memory/4008-491-0x00007FF76E320000-0x00007FF76E715000-memory.dmp	upx
behavioral2/memory/3600-481-0x00007FF7D29B0000-0x00007FF7D2DA5000-memory.dmp	upx
behavioral2/memory/2356-472-0x00007FF6EE400000-0x00007FF6EE7F5000-memory.dmp	upx
behavioral2/memory/3424-570-0x00007FF6A91C0000-0x00007FF6A95B5000-memory.dmp	upx
behavioral2/memory/1512-573-0x00007FF6F6DD0000-0x00007FF6F71C5000-memory.dmp	upx
behavioral2/memory/5076-582-0x00007FF65D8D0000-0x00007FF65DCC5000-memory.dmp	upx
behavioral2/memory/4580-589-0x00007FF6071E0000-0x00007FF6075D5000-memory.dmp	upx
behavioral2/memory/4836-594-0x00007FF70E900000-0x00007FF70ECF5000-memory.dmp	upx
behavioral2/memory/3660-619-0x00007FF7063D0000-0x00007FF7067C5000-memory.dmp	upx
behavioral2/memory/1456-632-0x00007FF717F20000-0x00007FF718315000-memory.dmp	upx
behavioral2/memory/4660-647-0x00007FF7B6A40000-0x00007FF7B6E35000-memory.dmp	upx
behavioral2/memory/2148-653-0x00007FF777770000-0x00007FF777B65000-memory.dmp	upx
behavioral2/memory/3416-667-0x00007FF70D740000-0x00007FF70DB35000-memory.dmp	upx
behavioral2/memory/912-661-0x00007FF6266F0000-0x00007FF626AE5000-memory.dmp	upx
behavioral2/memory/1280-644-0x00007FF7E79D0000-0x00007FF7E7DC5000-memory.dmp	upx
behavioral2/memory/732-625-0x00007FF6C2860000-0x00007FF6C2C55000-memory.dmp	upx
behavioral2/memory/1804-616-0x00007FF7918B0000-0x00007FF791CA5000-memory.dmp	upx
behavioral2/memory/4552-610-0x00007FF7E7810000-0x00007FF7E7C05000-memory.dmp	upx
behavioral2/memory/5092-607-0x00007FF78C940000-0x00007FF78CD35000-memory.dmp	upx
behavioral2/memory/1652-566-0x00007FF757780000-0x00007FF757B75000-memory.dmp	upx
C:\Windows\System32\DEvghsN.exe	upx
C:\Windows\System32\gXSxesg.exe	upx
C:\Windows\System32\EfDrWcq.exe	upx
C:\Windows\System32\RKMRNxK.exe	upx
C:\Windows\System32\wWzOJcX.exe	upx
C:\Windows\System32\eKhrNeR.exe	upx
C:\Windows\System32\iFwtACr.exe	upx
C:\Windows\System32\OFVdJSc.exe	upx
C:\Windows\System32\vQqDlId.exe	upx
C:\Windows\System32\knzQeXL.exe	upx
C:\Windows\System32\odexHai.exe	upx
C:\Windows\System32\wOqFvcz.exe	upx
C:\Windows\System32\dfeLbrF.exe	upx
C:\Windows\System32\ylDAJbd.exe	upx
C:\Windows\System32\fPpEvAO.exe	upx
C:\Windows\System32\jxgRVpD.exe	upx
C:\Windows\System32\YnqVnTa.exe	upx
C:\Windows\System32\voqyMUF.exe	upx
C:\Windows\System32\bvuxSoE.exe	upx
C:\Windows\System32\GtfwtxK.exe	upx
C:\Windows\System32\OXwdrFt.exe	upx
behavioral2/memory/4600-10-0x00007FF712DD0000-0x00007FF7131C5000-memory.dmp	upx
behavioral2/memory/4600-1928-0x00007FF712DD0000-0x00007FF7131C5000-memory.dmp	upx
behavioral2/memory/2356-1930-0x00007FF6EE400000-0x00007FF6EE7F5000-memory.dmp	upx
behavioral2/memory/4832-1929-0x00007FF6023C0000-0x00007FF6027B5000-memory.dmp	upx
behavioral2/memory/3600-1931-0x00007FF7D29B0000-0x00007FF7D2DA5000-memory.dmp	upx
behavioral2/memory/540-1932-0x00007FF6766A0000-0x00007FF676A95000-memory.dmp	upx
behavioral2/memory/2612-1935-0x00007FF7BA400000-0x00007FF7BA7F5000-memory.dmp	upx

Drops file in System32 directory 64 IoCs

Processes:

650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe

description	ioc	process
File created	C:\Windows\System32\yCEEVgb.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\OkcaqFR.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\WfOFJNR.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\jYFHyNm.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\xdMkxXD.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\yPOOFPp.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\MeSJJdI.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\oTgmKpX.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\IKhzEzX.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\ALNDRNY.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\iFwtACr.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\EIHbpyZ.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\KtGFrAy.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\XlWKTRL.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\HnHlCAy.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\pehwHrv.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\MxtJDNi.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\gEHEYyM.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\yzGFMbr.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\mgArQEa.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\hTZtvkY.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\lpmjlRV.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\NUVqNio.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\wOqFvcz.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\XrHDvwx.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\dfeLbrF.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\rINfvoY.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\JlhplYT.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\pDxEMQo.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\GFUKMak.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\POazfVV.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\RuFKdFH.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\hcjMXGj.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\VTubeHg.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\rdApdta.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\jrCSCxK.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\sboBDZp.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\PndYebg.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\wsFRMqb.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\lrLQwtm.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\GKvSKny.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\JfwwVyi.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\BdOMWuM.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\lLQwMxD.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\cdRbVUx.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\XVxhVLx.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\xsaChkh.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\BAecLeS.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\xfrXekt.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\tSdAaGR.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\bIcmPrg.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\VPazzmw.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\vlCYaac.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\DMesXjS.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\aRgZfuK.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\PvZYnla.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\dZpakgR.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\UKEoZWI.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\jxeJYvd.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\kcregMI.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\WudUYMx.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\CDnVEuw.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\WHobUpP.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
File created	C:\Windows\System32\oFwIpGp.exe	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe

Checks SCSI registry key(s) 3 TTPs 6 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

Processes:

dwm.exe

description	ioc	process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_QEMU&PROD_QEMU_DVD-ROM\4&215468A5&0&010000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_DADY&PROD_HARDDISK\4&215468A5&0&000000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\ConfigFlags	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\HardwareID	dwm.exe

Enumerates system info in registry 2 TTPs 2 IoCs

Query Registry

T1012

System Information Discovery

T1082

Processes:

dwm.exe

description	ioc	process
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe

Modifies data under HKEY_USERS 18 IoCs

Processes:

dwm.exe

description	ioc	process
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2a\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe

Suspicious use of AdjustPrivilegeToken 6 IoCs

Processes:

dwm.exe

description	pid	process
Token: SeCreateGlobalPrivilege	13848	dwm.exe
Token: SeChangeNotifyPrivilege	13848	dwm.exe
Token: 33	13848	dwm.exe
Token: SeIncBasePriorityPrivilege	13848	dwm.exe
Token: SeShutdownPrivilege	13848	dwm.exe
Token: SeCreatePagefilePrivilege	13848	dwm.exe

Suspicious use of WriteProcessMemory 64 IoCs

Processes:

650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe

description	pid	process	target process
PID 3016 wrote to memory of 4600	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	MgwMGBH.exe
PID 3016 wrote to memory of 4600	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	MgwMGBH.exe
PID 3016 wrote to memory of 2356	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	ABSmZix.exe
PID 3016 wrote to memory of 2356	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	ABSmZix.exe
PID 3016 wrote to memory of 4832	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	coFqGYD.exe
PID 3016 wrote to memory of 4832	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	coFqGYD.exe
PID 3016 wrote to memory of 3416	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	OXwdrFt.exe
PID 3016 wrote to memory of 3416	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	OXwdrFt.exe
PID 3016 wrote to memory of 3600	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	AUtzBkK.exe
PID 3016 wrote to memory of 3600	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	AUtzBkK.exe
PID 3016 wrote to memory of 540	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	GtfwtxK.exe
PID 3016 wrote to memory of 540	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	GtfwtxK.exe
PID 3016 wrote to memory of 4008	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	hPsWqSF.exe
PID 3016 wrote to memory of 4008	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	hPsWqSF.exe
PID 3016 wrote to memory of 2612	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	WkgZoby.exe
PID 3016 wrote to memory of 2612	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	WkgZoby.exe
PID 3016 wrote to memory of 1652	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	bvuxSoE.exe
PID 3016 wrote to memory of 1652	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	bvuxSoE.exe
PID 3016 wrote to memory of 3424	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	PvZYnla.exe
PID 3016 wrote to memory of 3424	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	PvZYnla.exe
PID 3016 wrote to memory of 1512	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	vutIVpu.exe
PID 3016 wrote to memory of 1512	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	vutIVpu.exe
PID 3016 wrote to memory of 5076	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	voqyMUF.exe
PID 3016 wrote to memory of 5076	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	voqyMUF.exe
PID 3016 wrote to memory of 4580	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	ASJFrkX.exe
PID 3016 wrote to memory of 4580	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	ASJFrkX.exe
PID 3016 wrote to memory of 4836	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	YnqVnTa.exe
PID 3016 wrote to memory of 4836	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	YnqVnTa.exe
PID 3016 wrote to memory of 5092	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	belWhST.exe
PID 3016 wrote to memory of 5092	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	belWhST.exe
PID 3016 wrote to memory of 4552	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	jxgRVpD.exe
PID 3016 wrote to memory of 4552	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	jxgRVpD.exe
PID 3016 wrote to memory of 1804	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	fPpEvAO.exe
PID 3016 wrote to memory of 1804	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	fPpEvAO.exe
PID 3016 wrote to memory of 3660	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	ylDAJbd.exe
PID 3016 wrote to memory of 3660	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	ylDAJbd.exe
PID 3016 wrote to memory of 732	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	dfeLbrF.exe
PID 3016 wrote to memory of 732	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	dfeLbrF.exe
PID 3016 wrote to memory of 1456	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	wOqFvcz.exe
PID 3016 wrote to memory of 1456	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	wOqFvcz.exe
PID 3016 wrote to memory of 1280	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	odexHai.exe
PID 3016 wrote to memory of 1280	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	odexHai.exe
PID 3016 wrote to memory of 4660	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	knzQeXL.exe
PID 3016 wrote to memory of 4660	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	knzQeXL.exe
PID 3016 wrote to memory of 2148	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	vQqDlId.exe
PID 3016 wrote to memory of 2148	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	vQqDlId.exe
PID 3016 wrote to memory of 912	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	OFVdJSc.exe
PID 3016 wrote to memory of 912	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	OFVdJSc.exe
PID 3016 wrote to memory of 2168	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	iFwtACr.exe
PID 3016 wrote to memory of 2168	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	iFwtACr.exe
PID 3016 wrote to memory of 2044	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	eKhrNeR.exe
PID 3016 wrote to memory of 2044	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	eKhrNeR.exe
PID 3016 wrote to memory of 4648	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	wWzOJcX.exe
PID 3016 wrote to memory of 4648	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	wWzOJcX.exe
PID 3016 wrote to memory of 428	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	USZXZIZ.exe
PID 3016 wrote to memory of 428	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	USZXZIZ.exe
PID 3016 wrote to memory of 2712	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	RKMRNxK.exe
PID 3016 wrote to memory of 2712	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	RKMRNxK.exe
PID 3016 wrote to memory of 3200	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	EfDrWcq.exe
PID 3016 wrote to memory of 3200	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	EfDrWcq.exe
PID 3016 wrote to memory of 4592	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	LEbisNt.exe
PID 3016 wrote to memory of 4592	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	LEbisNt.exe
PID 3016 wrote to memory of 4888	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	gXSxesg.exe
PID 3016 wrote to memory of 4888	3016	650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe	gXSxesg.exe

C:\Users\Admin\AppData\Local\Temp\650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe
"C:\Users\Admin\AppData\Local\Temp\650a6f91a391a6304eda1e14e433b4c0_NeikiAnalytics.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:3016

C:\Windows\System32\MgwMGBH.exe
C:\Windows\System32\MgwMGBH.exe
2⤵
- Executes dropped EXE
PID:4600

C:\Windows\System32\ABSmZix.exe
C:\Windows\System32\ABSmZix.exe
2⤵
- Executes dropped EXE
PID:2356

C:\Windows\System32\coFqGYD.exe
C:\Windows\System32\coFqGYD.exe
2⤵
- Executes dropped EXE
PID:4832

C:\Windows\System32\OXwdrFt.exe
C:\Windows\System32\OXwdrFt.exe
2⤵
- Executes dropped EXE
PID:3416

C:\Windows\System32\AUtzBkK.exe
C:\Windows\System32\AUtzBkK.exe
2⤵
- Executes dropped EXE
PID:3600

C:\Windows\System32\GtfwtxK.exe
C:\Windows\System32\GtfwtxK.exe
2⤵
- Executes dropped EXE
PID:540

C:\Windows\System32\hPsWqSF.exe
C:\Windows\System32\hPsWqSF.exe
2⤵
- Executes dropped EXE
PID:4008

C:\Windows\System32\WkgZoby.exe
C:\Windows\System32\WkgZoby.exe
2⤵
- Executes dropped EXE
PID:2612

C:\Windows\System32\bvuxSoE.exe
C:\Windows\System32\bvuxSoE.exe
2⤵
- Executes dropped EXE
PID:1652

C:\Windows\System32\PvZYnla.exe
C:\Windows\System32\PvZYnla.exe
2⤵
- Executes dropped EXE
PID:3424

C:\Windows\System32\vutIVpu.exe
C:\Windows\System32\vutIVpu.exe
2⤵
- Executes dropped EXE
PID:1512

C:\Windows\System32\voqyMUF.exe
C:\Windows\System32\voqyMUF.exe
2⤵
- Executes dropped EXE
PID:5076

C:\Windows\System32\ASJFrkX.exe
C:\Windows\System32\ASJFrkX.exe
2⤵
- Executes dropped EXE
PID:4580

C:\Windows\System32\YnqVnTa.exe
C:\Windows\System32\YnqVnTa.exe
2⤵
- Executes dropped EXE
PID:4836

C:\Windows\System32\belWhST.exe
C:\Windows\System32\belWhST.exe
2⤵
- Executes dropped EXE
PID:5092

C:\Windows\System32\jxgRVpD.exe
C:\Windows\System32\jxgRVpD.exe
2⤵
- Executes dropped EXE
PID:4552

C:\Windows\System32\fPpEvAO.exe
C:\Windows\System32\fPpEvAO.exe
2⤵
- Executes dropped EXE
PID:1804

C:\Windows\System32\ylDAJbd.exe
C:\Windows\System32\ylDAJbd.exe
2⤵
- Executes dropped EXE
PID:3660

C:\Windows\System32\dfeLbrF.exe
C:\Windows\System32\dfeLbrF.exe
2⤵
- Executes dropped EXE
PID:732

C:\Windows\System32\wOqFvcz.exe
C:\Windows\System32\wOqFvcz.exe
2⤵
- Executes dropped EXE
PID:1456

C:\Windows\System32\odexHai.exe
C:\Windows\System32\odexHai.exe
2⤵
- Executes dropped EXE
PID:1280

C:\Windows\System32\knzQeXL.exe
C:\Windows\System32\knzQeXL.exe
2⤵
- Executes dropped EXE
PID:4660

C:\Windows\System32\vQqDlId.exe
C:\Windows\System32\vQqDlId.exe
2⤵
- Executes dropped EXE
PID:2148

C:\Windows\System32\OFVdJSc.exe
C:\Windows\System32\OFVdJSc.exe
2⤵
- Executes dropped EXE
PID:912

C:\Windows\System32\iFwtACr.exe
C:\Windows\System32\iFwtACr.exe
2⤵
- Executes dropped EXE
PID:2168

C:\Windows\System32\eKhrNeR.exe
C:\Windows\System32\eKhrNeR.exe
2⤵
- Executes dropped EXE
PID:2044

C:\Windows\System32\wWzOJcX.exe
C:\Windows\System32\wWzOJcX.exe
2⤵
- Executes dropped EXE
PID:4648

C:\Windows\System32\USZXZIZ.exe
C:\Windows\System32\USZXZIZ.exe
2⤵
- Executes dropped EXE
PID:428

C:\Windows\System32\RKMRNxK.exe
C:\Windows\System32\RKMRNxK.exe
2⤵
- Executes dropped EXE
PID:2712

C:\Windows\System32\EfDrWcq.exe
C:\Windows\System32\EfDrWcq.exe
2⤵
- Executes dropped EXE
PID:3200

C:\Windows\System32\LEbisNt.exe
C:\Windows\System32\LEbisNt.exe
2⤵
- Executes dropped EXE
PID:4592

C:\Windows\System32\gXSxesg.exe
C:\Windows\System32\gXSxesg.exe
2⤵
- Executes dropped EXE
PID:4888

C:\Windows\System32\DEvghsN.exe
C:\Windows\System32\DEvghsN.exe
2⤵
- Executes dropped EXE
PID:1436

C:\Windows\System32\shbEalB.exe
C:\Windows\System32\shbEalB.exe
2⤵
- Executes dropped EXE
PID:4956

C:\Windows\System32\QsRNyyS.exe
C:\Windows\System32\QsRNyyS.exe
2⤵
- Executes dropped EXE
PID:2400

C:\Windows\System32\sGPlzSw.exe
C:\Windows\System32\sGPlzSw.exe
2⤵
- Executes dropped EXE
PID:3984

C:\Windows\System32\oRNvSfZ.exe
C:\Windows\System32\oRNvSfZ.exe
2⤵
- Executes dropped EXE
PID:4040

C:\Windows\System32\PgIMuhz.exe
C:\Windows\System32\PgIMuhz.exe
2⤵
- Executes dropped EXE
PID:4036

C:\Windows\System32\DwjTfMC.exe
C:\Windows\System32\DwjTfMC.exe
2⤵
- Executes dropped EXE
PID:5004

C:\Windows\System32\XJbWPtM.exe
C:\Windows\System32\XJbWPtM.exe
2⤵
- Executes dropped EXE
PID:3220

C:\Windows\System32\WiViBSv.exe
C:\Windows\System32\WiViBSv.exe
2⤵
- Executes dropped EXE
PID:2296

C:\Windows\System32\vbOgCCN.exe
C:\Windows\System32\vbOgCCN.exe
2⤵
- Executes dropped EXE
PID:432

C:\Windows\System32\bIcmPrg.exe
C:\Windows\System32\bIcmPrg.exe
2⤵
- Executes dropped EXE
PID:3252

C:\Windows\System32\SDsakPr.exe
C:\Windows\System32\SDsakPr.exe
2⤵
- Executes dropped EXE
PID:4476

C:\Windows\System32\bckfJxz.exe
C:\Windows\System32\bckfJxz.exe
2⤵
- Executes dropped EXE
PID:4868

C:\Windows\System32\ZHLjALj.exe
C:\Windows\System32\ZHLjALj.exe
2⤵
- Executes dropped EXE
PID:2412

C:\Windows\System32\xXVJEWn.exe
C:\Windows\System32\xXVJEWn.exe
2⤵
- Executes dropped EXE
PID:4496

C:\Windows\System32\CtrdgYE.exe
C:\Windows\System32\CtrdgYE.exe
2⤵
- Executes dropped EXE
PID:2732

C:\Windows\System32\GMGJayb.exe
C:\Windows\System32\GMGJayb.exe
2⤵
- Executes dropped EXE
PID:948

C:\Windows\System32\uzsDeLi.exe
C:\Windows\System32\uzsDeLi.exe
2⤵
- Executes dropped EXE
PID:3336

C:\Windows\System32\pLKhwDm.exe
C:\Windows\System32\pLKhwDm.exe
2⤵
- Executes dropped EXE
PID:3152

C:\Windows\System32\gLxfNlf.exe
C:\Windows\System32\gLxfNlf.exe
2⤵
- Executes dropped EXE
PID:4524

C:\Windows\System32\jOtLcEy.exe
C:\Windows\System32\jOtLcEy.exe
2⤵
- Executes dropped EXE
PID:2492

C:\Windows\System32\CDnVEuw.exe
C:\Windows\System32\CDnVEuw.exe
2⤵
- Executes dropped EXE
PID:4492

C:\Windows\System32\fcfLOMr.exe
C:\Windows\System32\fcfLOMr.exe
2⤵
- Executes dropped EXE
PID:2900

C:\Windows\System32\LJjsEoG.exe
C:\Windows\System32\LJjsEoG.exe
2⤵
- Executes dropped EXE
PID:3856

C:\Windows\System32\URcPGon.exe
C:\Windows\System32\URcPGon.exe
2⤵
- Executes dropped EXE
PID:5080

C:\Windows\System32\UNVxjhf.exe
C:\Windows\System32\UNVxjhf.exe
2⤵
- Executes dropped EXE
PID:876

C:\Windows\System32\THUJSwo.exe
C:\Windows\System32\THUJSwo.exe
2⤵
- Executes dropped EXE
PID:3324

C:\Windows\System32\bTEMFet.exe
C:\Windows\System32\bTEMFet.exe
2⤵
- Executes dropped EXE
PID:5024

C:\Windows\System32\gYiofXT.exe
C:\Windows\System32\gYiofXT.exe
2⤵
- Executes dropped EXE
PID:1584

C:\Windows\System32\fOTUcqr.exe
C:\Windows\System32\fOTUcqr.exe
2⤵
- Executes dropped EXE
PID:2384

C:\Windows\System32\dZpakgR.exe
C:\Windows\System32\dZpakgR.exe
2⤵
- Executes dropped EXE
PID:456

C:\Windows\System32\bqxZBtZ.exe
C:\Windows\System32\bqxZBtZ.exe
2⤵
- Executes dropped EXE
PID:5108

C:\Windows\System32\dCMMppS.exe
C:\Windows\System32\dCMMppS.exe
2⤵
PID:3188

C:\Windows\System32\ljkVwnA.exe
C:\Windows\System32\ljkVwnA.exe
2⤵
PID:4740

C:\Windows\System32\QHBFrjA.exe
C:\Windows\System32\QHBFrjA.exe
2⤵
PID:3388

C:\Windows\System32\Bzlctaz.exe
C:\Windows\System32\Bzlctaz.exe
2⤵
PID:3380

C:\Windows\System32\IbxSnxe.exe
C:\Windows\System32\IbxSnxe.exe
2⤵
PID:4444

C:\Windows\System32\sWHIpDE.exe
C:\Windows\System32\sWHIpDE.exe
2⤵
PID:3268

C:\Windows\System32\pxFOpUb.exe
C:\Windows\System32\pxFOpUb.exe
2⤵
PID:2992

C:\Windows\System32\UTQmGDG.exe
C:\Windows\System32\UTQmGDG.exe
2⤵
PID:5012

C:\Windows\System32\drqrvgy.exe
C:\Windows\System32\drqrvgy.exe
2⤵
PID:2228

C:\Windows\System32\CSxonEw.exe
C:\Windows\System32\CSxonEw.exe
2⤵
PID:3172

C:\Windows\System32\gfCSxMr.exe
C:\Windows\System32\gfCSxMr.exe
2⤵
PID:1048

C:\Windows\System32\zsjwKXt.exe
C:\Windows\System32\zsjwKXt.exe
2⤵
PID:2472

C:\Windows\System32\cWKlXhx.exe
C:\Windows\System32\cWKlXhx.exe
2⤵
PID:648

C:\Windows\System32\PimhTUV.exe
C:\Windows\System32\PimhTUV.exe
2⤵
PID:3876

C:\Windows\System32\XBNdWrJ.exe
C:\Windows\System32\XBNdWrJ.exe
2⤵
PID:5140

C:\Windows\System32\IEgOdzc.exe
C:\Windows\System32\IEgOdzc.exe
2⤵
PID:5172

C:\Windows\System32\jwbYZge.exe
C:\Windows\System32\jwbYZge.exe
2⤵
PID:5200

C:\Windows\System32\SOuACfP.exe
C:\Windows\System32\SOuACfP.exe
2⤵
PID:5224

C:\Windows\System32\hftxuTM.exe
C:\Windows\System32\hftxuTM.exe
2⤵
PID:5256

C:\Windows\System32\CAzKeeV.exe
C:\Windows\System32\CAzKeeV.exe
2⤵
PID:5284

C:\Windows\System32\RjuXZnB.exe
C:\Windows\System32\RjuXZnB.exe
2⤵
PID:5312

C:\Windows\System32\urSgBVO.exe
C:\Windows\System32\urSgBVO.exe
2⤵
PID:5340

C:\Windows\System32\UXPDzjd.exe
C:\Windows\System32\UXPDzjd.exe
2⤵
PID:5368

C:\Windows\System32\rLujkGH.exe
C:\Windows\System32\rLujkGH.exe
2⤵
PID:5396

C:\Windows\System32\xdMkxXD.exe
C:\Windows\System32\xdMkxXD.exe
2⤵
PID:5424

C:\Windows\System32\UZUxTuD.exe
C:\Windows\System32\UZUxTuD.exe
2⤵
PID:5452

C:\Windows\System32\NryFLgY.exe
C:\Windows\System32\NryFLgY.exe
2⤵
PID:5476

C:\Windows\System32\SvWOrbP.exe
C:\Windows\System32\SvWOrbP.exe
2⤵
PID:5504

C:\Windows\System32\LKiBjao.exe
C:\Windows\System32\LKiBjao.exe
2⤵
PID:5536

C:\Windows\System32\gmPYKuE.exe
C:\Windows\System32\gmPYKuE.exe
2⤵
PID:5564

C:\Windows\System32\bCdFZdF.exe
C:\Windows\System32\bCdFZdF.exe
2⤵
PID:5592

C:\Windows\System32\SwyTHFb.exe
C:\Windows\System32\SwyTHFb.exe
2⤵
PID:5620

C:\Windows\System32\iCykgto.exe
C:\Windows\System32\iCykgto.exe
2⤵
PID:5648

C:\Windows\System32\NMyHmXh.exe
C:\Windows\System32\NMyHmXh.exe
2⤵
PID:5672

C:\Windows\System32\vFpEbfx.exe
C:\Windows\System32\vFpEbfx.exe
2⤵
PID:5704

C:\Windows\System32\tnDfYoH.exe
C:\Windows\System32\tnDfYoH.exe
2⤵
PID:5732

C:\Windows\System32\RjPbeZY.exe
C:\Windows\System32\RjPbeZY.exe
2⤵
PID:5760

C:\Windows\System32\zyAjOIZ.exe
C:\Windows\System32\zyAjOIZ.exe
2⤵
PID:5788

C:\Windows\System32\oQFnbtH.exe
C:\Windows\System32\oQFnbtH.exe
2⤵
PID:5824

C:\Windows\System32\dpXHifR.exe
C:\Windows\System32\dpXHifR.exe
2⤵
PID:5844

C:\Windows\System32\BAecLeS.exe
C:\Windows\System32\BAecLeS.exe
2⤵
PID:5872

C:\Windows\System32\jAhWQeW.exe
C:\Windows\System32\jAhWQeW.exe
2⤵
PID:5900

C:\Windows\System32\xYIdeaw.exe
C:\Windows\System32\xYIdeaw.exe
2⤵
PID:5928

C:\Windows\System32\qjDZQkG.exe
C:\Windows\System32\qjDZQkG.exe
2⤵
PID:5956

C:\Windows\System32\CJZjaQy.exe
C:\Windows\System32\CJZjaQy.exe
2⤵
PID:5996

C:\Windows\System32\orkXaMB.exe
C:\Windows\System32\orkXaMB.exe
2⤵
PID:6012

C:\Windows\System32\rbwWJEC.exe
C:\Windows\System32\rbwWJEC.exe
2⤵
PID:6052

C:\Windows\System32\QWmADOE.exe
C:\Windows\System32\QWmADOE.exe
2⤵
PID:6068

C:\Windows\System32\NdHhcXk.exe
C:\Windows\System32\NdHhcXk.exe
2⤵
PID:6092

C:\Windows\System32\SOzbrtV.exe
C:\Windows\System32\SOzbrtV.exe
2⤵
PID:6136

C:\Windows\System32\RNRDQRH.exe
C:\Windows\System32\RNRDQRH.exe
2⤵
PID:4968

C:\Windows\System32\catrrUR.exe
C:\Windows\System32\catrrUR.exe
2⤵
PID:1516

C:\Windows\System32\WHobUpP.exe
C:\Windows\System32\WHobUpP.exe
2⤵
PID:4716

C:\Windows\System32\HHlUSYL.exe
C:\Windows\System32\HHlUSYL.exe
2⤵
PID:836

C:\Windows\System32\BpVQjKJ.exe
C:\Windows\System32\BpVQjKJ.exe
2⤵
PID:5136

C:\Windows\System32\wsFRMqb.exe
C:\Windows\System32\wsFRMqb.exe
2⤵
PID:5212

C:\Windows\System32\ALdHskp.exe
C:\Windows\System32\ALdHskp.exe
2⤵
PID:5276

C:\Windows\System32\kPxwnFl.exe
C:\Windows\System32\kPxwnFl.exe
2⤵
PID:5332

C:\Windows\System32\dniWmEo.exe
C:\Windows\System32\dniWmEo.exe
2⤵
PID:5416

C:\Windows\System32\teikVcO.exe
C:\Windows\System32\teikVcO.exe
2⤵
PID:5492

C:\Windows\System32\KNMJaPJ.exe
C:\Windows\System32\KNMJaPJ.exe
2⤵
PID:5548

C:\Windows\System32\nHgSNHH.exe
C:\Windows\System32\nHgSNHH.exe
2⤵
PID:5612

C:\Windows\System32\YcbXsWx.exe
C:\Windows\System32\YcbXsWx.exe
2⤵
PID:5660

C:\Windows\System32\PbToDnX.exe
C:\Windows\System32\PbToDnX.exe
2⤵
PID:5712

C:\Windows\System32\yYFGgQK.exe
C:\Windows\System32\yYFGgQK.exe
2⤵
PID:5768

C:\Windows\System32\yvzUIoc.exe
C:\Windows\System32\yvzUIoc.exe
2⤵
PID:5856

C:\Windows\System32\zJBvQSc.exe
C:\Windows\System32\zJBvQSc.exe
2⤵
PID:5912

C:\Windows\System32\BZXpthO.exe
C:\Windows\System32\BZXpthO.exe
2⤵
PID:5968

C:\Windows\System32\TwpMNjI.exe
C:\Windows\System32\TwpMNjI.exe
2⤵
PID:6020

C:\Windows\System32\yzGFMbr.exe
C:\Windows\System32\yzGFMbr.exe
2⤵
PID:6108

C:\Windows\System32\atFjDIq.exe
C:\Windows\System32\atFjDIq.exe
2⤵
PID:1196

C:\Windows\System32\CkoupcA.exe
C:\Windows\System32\CkoupcA.exe
2⤵
PID:3644

C:\Windows\System32\lgVWrkc.exe
C:\Windows\System32\lgVWrkc.exe
2⤵
PID:5376

C:\Windows\System32\LPSkjAk.exe
C:\Windows\System32\LPSkjAk.exe
2⤵
PID:5528

C:\Windows\System32\ProDSfu.exe
C:\Windows\System32\ProDSfu.exe
2⤵
PID:5600

C:\Windows\System32\AGfLAkC.exe
C:\Windows\System32\AGfLAkC.exe
2⤵
PID:5800

C:\Windows\System32\CYXwhal.exe
C:\Windows\System32\CYXwhal.exe
2⤵
PID:3576

C:\Windows\System32\mgFOzQp.exe
C:\Windows\System32\mgFOzQp.exe
2⤵
PID:3532

C:\Windows\System32\gEHEYyM.exe
C:\Windows\System32\gEHEYyM.exe
2⤵
PID:376

C:\Windows\System32\AtEzWyv.exe
C:\Windows\System32\AtEzWyv.exe
2⤵
PID:5388

C:\Windows\System32\dSrPnjT.exe
C:\Windows\System32\dSrPnjT.exe
2⤵
PID:6160

C:\Windows\System32\NyGXvsn.exe
C:\Windows\System32\NyGXvsn.exe
2⤵
PID:6192

C:\Windows\System32\tywCXdZ.exe
C:\Windows\System32\tywCXdZ.exe
2⤵
PID:6220

C:\Windows\System32\Abiugnu.exe
C:\Windows\System32\Abiugnu.exe
2⤵
PID:6248

C:\Windows\System32\KLKloYB.exe
C:\Windows\System32\KLKloYB.exe
2⤵
PID:6276

C:\Windows\System32\RLAWvIm.exe
C:\Windows\System32\RLAWvIm.exe
2⤵
PID:6312

C:\Windows\System32\jONaBQm.exe
C:\Windows\System32\jONaBQm.exe
2⤵
PID:6332

C:\Windows\System32\TsUIUil.exe
C:\Windows\System32\TsUIUil.exe
2⤵
PID:6356

C:\Windows\System32\SyOgEfn.exe
C:\Windows\System32\SyOgEfn.exe
2⤵
PID:6384

C:\Windows\System32\VTubeHg.exe
C:\Windows\System32\VTubeHg.exe
2⤵
PID:6416

C:\Windows\System32\MjmQbUg.exe
C:\Windows\System32\MjmQbUg.exe
2⤵
PID:6444

C:\Windows\System32\coZrZNl.exe
C:\Windows\System32\coZrZNl.exe
2⤵
PID:6468

C:\Windows\System32\RwgyawD.exe
C:\Windows\System32\RwgyawD.exe
2⤵
PID:6496

C:\Windows\System32\ARxrJGt.exe
C:\Windows\System32\ARxrJGt.exe
2⤵
PID:6524

C:\Windows\System32\AgGFZUF.exe
C:\Windows\System32\AgGFZUF.exe
2⤵
PID:6556

C:\Windows\System32\ggjngvd.exe
C:\Windows\System32\ggjngvd.exe
2⤵
PID:6584

C:\Windows\System32\uYuEuVk.exe
C:\Windows\System32\uYuEuVk.exe
2⤵
PID:6612

C:\Windows\System32\JqElWXm.exe
C:\Windows\System32\JqElWXm.exe
2⤵
PID:6640

C:\Windows\System32\yvhexEe.exe
C:\Windows\System32\yvhexEe.exe
2⤵
PID:6668

C:\Windows\System32\cdRbVUx.exe
C:\Windows\System32\cdRbVUx.exe
2⤵
PID:6704

C:\Windows\System32\OfWjwgJ.exe
C:\Windows\System32\OfWjwgJ.exe
2⤵
PID:6724

C:\Windows\System32\VoZXpNo.exe
C:\Windows\System32\VoZXpNo.exe
2⤵
PID:6740

C:\Windows\System32\KylNnVM.exe
C:\Windows\System32\KylNnVM.exe
2⤵
PID:6760

C:\Windows\System32\yXUzBer.exe
C:\Windows\System32\yXUzBer.exe
2⤵
PID:6792

C:\Windows\System32\hbqshNW.exe
C:\Windows\System32\hbqshNW.exe
2⤵
PID:6816

C:\Windows\System32\upsTTip.exe
C:\Windows\System32\upsTTip.exe
2⤵
PID:6840

C:\Windows\System32\yjfIJuu.exe
C:\Windows\System32\yjfIJuu.exe
2⤵
PID:6868

C:\Windows\System32\ICjdLxg.exe
C:\Windows\System32\ICjdLxg.exe
2⤵
PID:6892

C:\Windows\System32\ApmGUYP.exe
C:\Windows\System32\ApmGUYP.exe
2⤵
PID:6924

C:\Windows\System32\sFoWSfj.exe
C:\Windows\System32\sFoWSfj.exe
2⤵
PID:6944

C:\Windows\System32\vGCkmIh.exe
C:\Windows\System32\vGCkmIh.exe
2⤵
PID:6972

C:\Windows\System32\WbErqqm.exe
C:\Windows\System32\WbErqqm.exe
2⤵
PID:7032

C:\Windows\System32\yPOOFPp.exe
C:\Windows\System32\yPOOFPp.exe
2⤵
PID:7096

C:\Windows\System32\UjmylNa.exe
C:\Windows\System32\UjmylNa.exe
2⤵
PID:7116

C:\Windows\System32\xRogZpt.exe
C:\Windows\System32\xRogZpt.exe
2⤵
PID:7144

C:\Windows\System32\RhHtQui.exe
C:\Windows\System32\RhHtQui.exe
2⤵
PID:2192

C:\Windows\System32\VeaPmPP.exe
C:\Windows\System32\VeaPmPP.exe
2⤵
PID:3184

C:\Windows\System32\MsmFYlv.exe
C:\Windows\System32\MsmFYlv.exe
2⤵
PID:6604

C:\Windows\System32\cDZXaCk.exe
C:\Windows\System32\cDZXaCk.exe
2⤵
PID:6576

C:\Windows\System32\YGCixph.exe
C:\Windows\System32\YGCixph.exe
2⤵
PID:6512

C:\Windows\System32\yCEEVgb.exe
C:\Windows\System32\yCEEVgb.exe
2⤵
PID:6484

C:\Windows\System32\jQSkofk.exe
C:\Windows\System32\jQSkofk.exe
2⤵
PID:6424

C:\Windows\System32\aHYfkFr.exe
C:\Windows\System32\aHYfkFr.exe
2⤵
PID:2476

C:\Windows\System32\EWWWvBm.exe
C:\Windows\System32\EWWWvBm.exe
2⤵
PID:6352

C:\Windows\System32\bQuNZru.exe
C:\Windows\System32\bQuNZru.exe
2⤵
PID:6308

C:\Windows\System32\MYnGWXH.exe
C:\Windows\System32\MYnGWXH.exe
2⤵
PID:6268

C:\Windows\System32\ErDmUaJ.exe
C:\Windows\System32\ErDmUaJ.exe
2⤵
PID:5840

C:\Windows\System32\qONKTho.exe
C:\Windows\System32\qONKTho.exe
2⤵
PID:5584

C:\Windows\System32\djtWFiy.exe
C:\Windows\System32\djtWFiy.exe
2⤵
PID:5940

C:\Windows\System32\RuFKdFH.exe
C:\Windows\System32\RuFKdFH.exe
2⤵
PID:6732

C:\Windows\System32\dNdhaha.exe
C:\Windows\System32\dNdhaha.exe
2⤵
PID:3204

C:\Windows\System32\KjooJaB.exe
C:\Windows\System32\KjooJaB.exe
2⤵
PID:6832

C:\Windows\System32\tMJlJaI.exe
C:\Windows\System32\tMJlJaI.exe
2⤵
PID:6880

C:\Windows\System32\qSnkGCt.exe
C:\Windows\System32\qSnkGCt.exe
2⤵
PID:6940

C:\Windows\System32\okKpAEo.exe
C:\Windows\System32\okKpAEo.exe
2⤵
PID:4368

C:\Windows\System32\aoNaxVw.exe
C:\Windows\System32\aoNaxVw.exe
2⤵
PID:6952

C:\Windows\System32\JFRWlqO.exe
C:\Windows\System32\JFRWlqO.exe
2⤵
PID:7048

C:\Windows\System32\UqjPJsm.exe
C:\Windows\System32\UqjPJsm.exe
2⤵
PID:7112

C:\Windows\System32\SNCMMff.exe
C:\Windows\System32\SNCMMff.exe
2⤵
PID:7136

C:\Windows\System32\HkgwMby.exe
C:\Windows\System32\HkgwMby.exe
2⤵
PID:6568

C:\Windows\System32\gtcooxX.exe
C:\Windows\System32\gtcooxX.exe
2⤵
PID:6256

C:\Windows\System32\vYuNpux.exe
C:\Windows\System32\vYuNpux.exe
2⤵
PID:6260

C:\Windows\System32\ikAWwIv.exe
C:\Windows\System32\ikAWwIv.exe
2⤵
PID:4488

C:\Windows\System32\jxkUglw.exe
C:\Windows\System32\jxkUglw.exe
2⤵
PID:6372

C:\Windows\System32\ccFDjYA.exe
C:\Windows\System32\ccFDjYA.exe
2⤵
PID:6720

C:\Windows\System32\cNpmOSC.exe
C:\Windows\System32\cNpmOSC.exe
2⤵
PID:1236

C:\Windows\System32\EIHbpyZ.exe
C:\Windows\System32\EIHbpyZ.exe
2⤵
PID:364

C:\Windows\System32\XmYPkCI.exe
C:\Windows\System32\XmYPkCI.exe
2⤵
PID:7064

C:\Windows\System32\mueqBeI.exe
C:\Windows\System32\mueqBeI.exe
2⤵
PID:7088

C:\Windows\System32\hBPpYXO.exe
C:\Windows\System32\hBPpYXO.exe
2⤵
PID:6452

C:\Windows\System32\qOqFiYz.exe
C:\Windows\System32\qOqFiYz.exe
2⤵
PID:6328

C:\Windows\System32\njpoKwI.exe
C:\Windows\System32\njpoKwI.exe
2⤵
PID:4540

C:\Windows\System32\QvuujGL.exe
C:\Windows\System32\QvuujGL.exe
2⤵
PID:1448

C:\Windows\System32\KjxweNm.exe
C:\Windows\System32\KjxweNm.exe
2⤵
PID:6916

C:\Windows\System32\POazfVV.exe
C:\Windows\System32\POazfVV.exe
2⤵
PID:2704

C:\Windows\System32\MeSJJdI.exe
C:\Windows\System32\MeSJJdI.exe
2⤵
PID:6676

C:\Windows\System32\FxGqmWl.exe
C:\Windows\System32\FxGqmWl.exe
2⤵
PID:5292

C:\Windows\System32\mheIvSL.exe
C:\Windows\System32\mheIvSL.exe
2⤵
PID:7184

C:\Windows\System32\nDBvUaB.exe
C:\Windows\System32\nDBvUaB.exe
2⤵
PID:7220

C:\Windows\System32\hCjwaWA.exe
C:\Windows\System32\hCjwaWA.exe
2⤵
PID:7240

C:\Windows\System32\rINfvoY.exe
C:\Windows\System32\rINfvoY.exe
2⤵
PID:7268

C:\Windows\System32\omnjgnS.exe
C:\Windows\System32\omnjgnS.exe
2⤵
PID:7308

C:\Windows\System32\rplIwmF.exe
C:\Windows\System32\rplIwmF.exe
2⤵
PID:7340

C:\Windows\System32\QYxwkrA.exe
C:\Windows\System32\QYxwkrA.exe
2⤵
PID:7368

C:\Windows\System32\CPIyGns.exe
C:\Windows\System32\CPIyGns.exe
2⤵
PID:7400

C:\Windows\System32\rKBtWxb.exe
C:\Windows\System32\rKBtWxb.exe
2⤵
PID:7428

C:\Windows\System32\lIbINok.exe
C:\Windows\System32\lIbINok.exe
2⤵
PID:7456

C:\Windows\System32\OkcaqFR.exe
C:\Windows\System32\OkcaqFR.exe
2⤵
PID:7472

C:\Windows\System32\mjnJljz.exe
C:\Windows\System32\mjnJljz.exe
2⤵
PID:7500

C:\Windows\System32\AwScMPK.exe
C:\Windows\System32\AwScMPK.exe
2⤵
PID:7540

C:\Windows\System32\foraqGx.exe
C:\Windows\System32\foraqGx.exe
2⤵
PID:7568

C:\Windows\System32\XXOueMP.exe
C:\Windows\System32\XXOueMP.exe
2⤵
PID:7596

C:\Windows\System32\qMDlzIW.exe
C:\Windows\System32\qMDlzIW.exe
2⤵
PID:7628

C:\Windows\System32\KrCBGRh.exe
C:\Windows\System32\KrCBGRh.exe
2⤵
PID:7668

C:\Windows\System32\XvRRSUU.exe
C:\Windows\System32\XvRRSUU.exe
2⤵
PID:7696

C:\Windows\System32\TyaZHRG.exe
C:\Windows\System32\TyaZHRG.exe
2⤵
PID:7728

C:\Windows\System32\rdApdta.exe
C:\Windows\System32\rdApdta.exe
2⤵
PID:7756

C:\Windows\System32\WfOFJNR.exe
C:\Windows\System32\WfOFJNR.exe
2⤵
PID:7784

C:\Windows\System32\PAIpjlN.exe
C:\Windows\System32\PAIpjlN.exe
2⤵
PID:7812

C:\Windows\System32\fsENoPM.exe
C:\Windows\System32\fsENoPM.exe
2⤵
PID:7840

C:\Windows\System32\KQEyBVE.exe
C:\Windows\System32\KQEyBVE.exe
2⤵
PID:7876

C:\Windows\System32\fiUbURX.exe
C:\Windows\System32\fiUbURX.exe
2⤵
PID:7904

C:\Windows\System32\YpzEUCP.exe
C:\Windows\System32\YpzEUCP.exe
2⤵
PID:7932

C:\Windows\System32\PXYvzBS.exe
C:\Windows\System32\PXYvzBS.exe
2⤵
PID:7960

C:\Windows\System32\YatPtGq.exe
C:\Windows\System32\YatPtGq.exe
2⤵
PID:7988

C:\Windows\System32\hzLzPNe.exe
C:\Windows\System32\hzLzPNe.exe
2⤵
PID:8016

C:\Windows\System32\KNmIXWj.exe
C:\Windows\System32\KNmIXWj.exe
2⤵
PID:8048

C:\Windows\System32\YKspNdD.exe
C:\Windows\System32\YKspNdD.exe
2⤵
PID:8076

C:\Windows\System32\rWglGjl.exe
C:\Windows\System32\rWglGjl.exe
2⤵
PID:8124

C:\Windows\System32\fOFDBCT.exe
C:\Windows\System32\fOFDBCT.exe
2⤵
PID:8152

C:\Windows\System32\RGdHukp.exe
C:\Windows\System32\RGdHukp.exe
2⤵
PID:8180

C:\Windows\System32\NQMwcou.exe
C:\Windows\System32\NQMwcou.exe
2⤵
PID:7208

C:\Windows\System32\MuGfqaC.exe
C:\Windows\System32\MuGfqaC.exe
2⤵
PID:4180

C:\Windows\System32\kMQXDHg.exe
C:\Windows\System32\kMQXDHg.exe
2⤵
PID:7360

C:\Windows\System32\jYFHyNm.exe
C:\Windows\System32\jYFHyNm.exe
2⤵
PID:7412

C:\Windows\System32\UKEoZWI.exe
C:\Windows\System32\UKEoZWI.exe
2⤵
PID:7492

C:\Windows\System32\jrCSCxK.exe
C:\Windows\System32\jrCSCxK.exe
2⤵
PID:7580

C:\Windows\System32\XJVBcEc.exe
C:\Windows\System32\XJVBcEc.exe
2⤵
PID:3716

C:\Windows\System32\DhtZoFr.exe
C:\Windows\System32\DhtZoFr.exe
2⤵
PID:7720

C:\Windows\System32\aeONKru.exe
C:\Windows\System32\aeONKru.exe
2⤵
PID:7776

C:\Windows\System32\jzoEDPc.exe
C:\Windows\System32\jzoEDPc.exe
2⤵
PID:7864

C:\Windows\System32\YRruYdO.exe
C:\Windows\System32\YRruYdO.exe
2⤵
PID:7972

C:\Windows\System32\cuEMrfi.exe
C:\Windows\System32\cuEMrfi.exe
2⤵
PID:8036

C:\Windows\System32\SWYrEmH.exe
C:\Windows\System32\SWYrEmH.exe
2⤵
PID:8112

C:\Windows\System32\pxFHcTT.exe
C:\Windows\System32\pxFHcTT.exe
2⤵
PID:8176

C:\Windows\System32\RAtiKLB.exe
C:\Windows\System32\RAtiKLB.exe
2⤵
PID:7284

C:\Windows\System32\KtGFrAy.exe
C:\Windows\System32\KtGFrAy.exe
2⤵
PID:2512

C:\Windows\System32\tbtIzKr.exe
C:\Windows\System32\tbtIzKr.exe
2⤵
PID:7676

C:\Windows\System32\bOiALoJ.exe
C:\Windows\System32\bOiALoJ.exe
2⤵
PID:7752

C:\Windows\System32\VOJdqly.exe
C:\Windows\System32\VOJdqly.exe
2⤵
PID:8000

C:\Windows\System32\atSsfNS.exe
C:\Windows\System32\atSsfNS.exe
2⤵
PID:8172

C:\Windows\System32\YawhAoG.exe
C:\Windows\System32\YawhAoG.exe
2⤵
PID:8104

C:\Windows\System32\xfrXekt.exe
C:\Windows\System32\xfrXekt.exe
2⤵
PID:8096

C:\Windows\System32\iLMjYUa.exe
C:\Windows\System32\iLMjYUa.exe
2⤵
PID:7848

C:\Windows\System32\bTdbivU.exe
C:\Windows\System32\bTdbivU.exe
2⤵
PID:8088

C:\Windows\System32\BhLNwCW.exe
C:\Windows\System32\BhLNwCW.exe
2⤵
PID:7536

C:\Windows\System32\OSRmgoz.exe
C:\Windows\System32\OSRmgoz.exe
2⤵
PID:7588

C:\Windows\System32\ZyoZXPj.exe
C:\Windows\System32\ZyoZXPj.exe
2⤵
PID:7324

C:\Windows\System32\AwaZdLB.exe
C:\Windows\System32\AwaZdLB.exe
2⤵
PID:8212

C:\Windows\System32\JlhplYT.exe
C:\Windows\System32\JlhplYT.exe
2⤵
PID:8252

C:\Windows\System32\FwQCfZt.exe
C:\Windows\System32\FwQCfZt.exe
2⤵
PID:8300

C:\Windows\System32\NNwqknJ.exe
C:\Windows\System32\NNwqknJ.exe
2⤵
PID:8320

C:\Windows\System32\qbGuCaN.exe
C:\Windows\System32\qbGuCaN.exe
2⤵
PID:8348

C:\Windows\System32\qzrcJpa.exe
C:\Windows\System32\qzrcJpa.exe
2⤵
PID:8376

C:\Windows\System32\VPazzmw.exe
C:\Windows\System32\VPazzmw.exe
2⤵
PID:8420

C:\Windows\System32\WFdErvg.exe
C:\Windows\System32\WFdErvg.exe
2⤵
PID:8440

C:\Windows\System32\IVedoMS.exe
C:\Windows\System32\IVedoMS.exe
2⤵
PID:8468

C:\Windows\System32\YTjTHxz.exe
C:\Windows\System32\YTjTHxz.exe
2⤵
PID:8500

C:\Windows\System32\QxiJSay.exe
C:\Windows\System32\QxiJSay.exe
2⤵
PID:8532

C:\Windows\System32\ahLgjgJ.exe
C:\Windows\System32\ahLgjgJ.exe
2⤵
PID:8568

C:\Windows\System32\sboBDZp.exe
C:\Windows\System32\sboBDZp.exe
2⤵
PID:8608

C:\Windows\System32\aQhmAtU.exe
C:\Windows\System32\aQhmAtU.exe
2⤵
PID:8672

C:\Windows\System32\YjLEMHf.exe
C:\Windows\System32\YjLEMHf.exe
2⤵
PID:8716

C:\Windows\System32\eJFBFQq.exe
C:\Windows\System32\eJFBFQq.exe
2⤵
PID:8744

C:\Windows\System32\CJgdkjU.exe
C:\Windows\System32\CJgdkjU.exe
2⤵
PID:8772

C:\Windows\System32\YvqWbhq.exe
C:\Windows\System32\YvqWbhq.exe
2⤵
PID:8804

C:\Windows\System32\elwMsFb.exe
C:\Windows\System32\elwMsFb.exe
2⤵
PID:8820

C:\Windows\System32\MJSTRCn.exe
C:\Windows\System32\MJSTRCn.exe
2⤵
PID:8848

C:\Windows\System32\NMrfEpj.exe
C:\Windows\System32\NMrfEpj.exe
2⤵
PID:8864

C:\Windows\System32\LIhXJWQ.exe
C:\Windows\System32\LIhXJWQ.exe
2⤵
PID:8896

C:\Windows\System32\BIPpQTH.exe
C:\Windows\System32\BIPpQTH.exe
2⤵
PID:8940

C:\Windows\System32\bGKLpaf.exe
C:\Windows\System32\bGKLpaf.exe
2⤵
PID:8972

C:\Windows\System32\RKDZSdM.exe
C:\Windows\System32\RKDZSdM.exe
2⤵
PID:9004

C:\Windows\System32\OlXDAGO.exe
C:\Windows\System32\OlXDAGO.exe
2⤵
PID:9032

C:\Windows\System32\jxDREUA.exe
C:\Windows\System32\jxDREUA.exe
2⤵
PID:9056

C:\Windows\System32\mgArQEa.exe
C:\Windows\System32\mgArQEa.exe
2⤵
PID:9084

C:\Windows\System32\mkriyzW.exe
C:\Windows\System32\mkriyzW.exe
2⤵
PID:9112

C:\Windows\System32\xaOfWpp.exe
C:\Windows\System32\xaOfWpp.exe
2⤵
PID:9148

C:\Windows\System32\nCJXQXs.exe
C:\Windows\System32\nCJXQXs.exe
2⤵
PID:9176

C:\Windows\System32\yCMpvvi.exe
C:\Windows\System32\yCMpvvi.exe
2⤵
PID:9204

C:\Windows\System32\leQIgMm.exe
C:\Windows\System32\leQIgMm.exe
2⤵
PID:8204

C:\Windows\System32\uLcKSHk.exe
C:\Windows\System32\uLcKSHk.exe
2⤵
PID:8264

C:\Windows\System32\zfPZAIu.exe
C:\Windows\System32\zfPZAIu.exe
2⤵
PID:8344

C:\Windows\System32\KRQWUrf.exe
C:\Windows\System32\KRQWUrf.exe
2⤵
PID:8400

C:\Windows\System32\vOFZYaF.exe
C:\Windows\System32\vOFZYaF.exe
2⤵
PID:8464

C:\Windows\System32\zMemmYH.exe
C:\Windows\System32\zMemmYH.exe
2⤵
PID:8540

C:\Windows\System32\FDSOOlW.exe
C:\Windows\System32\FDSOOlW.exe
2⤵
PID:8632

C:\Windows\System32\OwzFzyP.exe
C:\Windows\System32\OwzFzyP.exe
2⤵
PID:8740

C:\Windows\System32\vlCYaac.exe
C:\Windows\System32\vlCYaac.exe
2⤵
PID:8796

C:\Windows\System32\MdRtftr.exe
C:\Windows\System32\MdRtftr.exe
2⤵
PID:8856

C:\Windows\System32\jEGzIFb.exe
C:\Windows\System32\jEGzIFb.exe
2⤵
PID:8924

C:\Windows\System32\poXzsYL.exe
C:\Windows\System32\poXzsYL.exe
2⤵
PID:8996

C:\Windows\System32\YKHvbam.exe
C:\Windows\System32\YKHvbam.exe
2⤵
PID:9068

C:\Windows\System32\lrLQwtm.exe
C:\Windows\System32\lrLQwtm.exe
2⤵
PID:9104

C:\Windows\System32\FmxsQeT.exe
C:\Windows\System32\FmxsQeT.exe
2⤵
PID:9200

C:\Windows\System32\DloVond.exe
C:\Windows\System32\DloVond.exe
2⤵
PID:8288

C:\Windows\System32\BNqUEcb.exe
C:\Windows\System32\BNqUEcb.exe
2⤵
PID:8452

C:\Windows\System32\jiufbGg.exe
C:\Windows\System32\jiufbGg.exe
2⤵
PID:8520

C:\Windows\System32\hjHxtTW.exe
C:\Windows\System32\hjHxtTW.exe
2⤵
PID:8816

C:\Windows\System32\cVioLfF.exe
C:\Windows\System32\cVioLfF.exe
2⤵
PID:8968

C:\Windows\System32\GKvSKny.exe
C:\Windows\System32\GKvSKny.exe
2⤵
PID:9140

C:\Windows\System32\vUGsriE.exe
C:\Windows\System32\vUGsriE.exe
2⤵
PID:6804

C:\Windows\System32\VacwRay.exe
C:\Windows\System32\VacwRay.exe
2⤵
PID:8784

C:\Windows\System32\hSpPesM.exe
C:\Windows\System32\hSpPesM.exe
2⤵
PID:9096

C:\Windows\System32\DMesXjS.exe
C:\Windows\System32\DMesXjS.exe
2⤵
PID:8396

C:\Windows\System32\hTZtvkY.exe
C:\Windows\System32\hTZtvkY.exe
2⤵
PID:9236

C:\Windows\System32\bzkYQsY.exe
C:\Windows\System32\bzkYQsY.exe
2⤵
PID:9256

C:\Windows\System32\oOspnMJ.exe
C:\Windows\System32\oOspnMJ.exe
2⤵
PID:9276

C:\Windows\System32\xsaChkh.exe
C:\Windows\System32\xsaChkh.exe
2⤵
PID:9320

C:\Windows\System32\TSNxcsm.exe
C:\Windows\System32\TSNxcsm.exe
2⤵
PID:9356

C:\Windows\System32\eoNPtoc.exe
C:\Windows\System32\eoNPtoc.exe
2⤵
PID:9376

C:\Windows\System32\QnDVhmq.exe
C:\Windows\System32\QnDVhmq.exe
2⤵
PID:9416

C:\Windows\System32\VYmnMte.exe
C:\Windows\System32\VYmnMte.exe
2⤵
PID:9432

C:\Windows\System32\HUeLbFe.exe
C:\Windows\System32\HUeLbFe.exe
2⤵
PID:9460

C:\Windows\System32\wSfFGFb.exe
C:\Windows\System32\wSfFGFb.exe
2⤵
PID:9488

C:\Windows\System32\SWRltIc.exe
C:\Windows\System32\SWRltIc.exe
2⤵
PID:9524

C:\Windows\System32\vMJXnRd.exe
C:\Windows\System32\vMJXnRd.exe
2⤵
PID:9544

C:\Windows\System32\tvUfGFK.exe
C:\Windows\System32\tvUfGFK.exe
2⤵
PID:9576

C:\Windows\System32\MQtFnak.exe
C:\Windows\System32\MQtFnak.exe
2⤵
PID:9600

C:\Windows\System32\TGAZHAs.exe
C:\Windows\System32\TGAZHAs.exe
2⤵
PID:9636

C:\Windows\System32\ooavhnF.exe
C:\Windows\System32\ooavhnF.exe
2⤵
PID:9652

C:\Windows\System32\KiELhdS.exe
C:\Windows\System32\KiELhdS.exe
2⤵
PID:9680

C:\Windows\System32\WZRESXl.exe
C:\Windows\System32\WZRESXl.exe
2⤵
PID:9712

C:\Windows\System32\jpDeryM.exe
C:\Windows\System32\jpDeryM.exe
2⤵
PID:9752

C:\Windows\System32\qCTHoRi.exe
C:\Windows\System32\qCTHoRi.exe
2⤵
PID:9820

C:\Windows\System32\wmWwjyN.exe
C:\Windows\System32\wmWwjyN.exe
2⤵
PID:9856

C:\Windows\System32\PwtxTNz.exe
C:\Windows\System32\PwtxTNz.exe
2⤵
PID:9892

C:\Windows\System32\qxIlwmT.exe
C:\Windows\System32\qxIlwmT.exe
2⤵
PID:9920

C:\Windows\System32\dbYyfkc.exe
C:\Windows\System32\dbYyfkc.exe
2⤵
PID:9952

C:\Windows\System32\FBlLTRx.exe
C:\Windows\System32\FBlLTRx.exe
2⤵
PID:9980

C:\Windows\System32\esZCGbf.exe
C:\Windows\System32\esZCGbf.exe
2⤵
PID:10012

C:\Windows\System32\DMYuXdp.exe
C:\Windows\System32\DMYuXdp.exe
2⤵
PID:10040

C:\Windows\System32\sNmqbOG.exe
C:\Windows\System32\sNmqbOG.exe
2⤵
PID:10072

C:\Windows\System32\aMXprPo.exe
C:\Windows\System32\aMXprPo.exe
2⤵
PID:10100

C:\Windows\System32\BYgfmeE.exe
C:\Windows\System32\BYgfmeE.exe
2⤵
PID:10120

C:\Windows\System32\zPyBOnO.exe
C:\Windows\System32\zPyBOnO.exe
2⤵
PID:10164

C:\Windows\System32\ZaCBbrt.exe
C:\Windows\System32\ZaCBbrt.exe
2⤵
PID:10220

C:\Windows\System32\qZMuWco.exe
C:\Windows\System32\qZMuWco.exe
2⤵
PID:9312

C:\Windows\System32\XgFYFja.exe
C:\Windows\System32\XgFYFja.exe
2⤵
PID:9364

C:\Windows\System32\jDjVOpu.exe
C:\Windows\System32\jDjVOpu.exe
2⤵
PID:9456

C:\Windows\System32\cLpSHcx.exe
C:\Windows\System32\cLpSHcx.exe
2⤵
PID:9500

C:\Windows\System32\ecwfmSp.exe
C:\Windows\System32\ecwfmSp.exe
2⤵
PID:9532

C:\Windows\System32\MHOpTqS.exe
C:\Windows\System32\MHOpTqS.exe
2⤵
PID:9564

C:\Windows\System32\eiFYfOk.exe
C:\Windows\System32\eiFYfOk.exe
2⤵
PID:9664

C:\Windows\System32\ApunJjT.exe
C:\Windows\System32\ApunJjT.exe
2⤵
PID:9792

C:\Windows\System32\AFawTMF.exe
C:\Windows\System32\AFawTMF.exe
2⤵
PID:9912

C:\Windows\System32\tSdAaGR.exe
C:\Windows\System32\tSdAaGR.exe
2⤵
PID:9968

C:\Windows\System32\TIKPGiH.exe
C:\Windows\System32\TIKPGiH.exe
2⤵
PID:10028

C:\Windows\System32\afXNpeS.exe
C:\Windows\System32\afXNpeS.exe
2⤵
PID:10108

C:\Windows\System32\AnpsVsa.exe
C:\Windows\System32\AnpsVsa.exe
2⤵
PID:10140

C:\Windows\System32\fPszVeK.exe
C:\Windows\System32\fPszVeK.exe
2⤵
PID:9428

C:\Windows\System32\rrVeAyE.exe
C:\Windows\System32\rrVeAyE.exe
2⤵
PID:9588

C:\Windows\System32\jxeJYvd.exe
C:\Windows\System32\jxeJYvd.exe
2⤵
PID:9620

C:\Windows\System32\sJoBELy.exe
C:\Windows\System32\sJoBELy.exe
2⤵
PID:9864

C:\Windows\System32\vQDnYWV.exe
C:\Windows\System32\vQDnYWV.exe
2⤵
PID:10088

C:\Windows\System32\UsaDETq.exe
C:\Windows\System32\UsaDETq.exe
2⤵
PID:9288

C:\Windows\System32\BjjmCNR.exe
C:\Windows\System32\BjjmCNR.exe
2⤵
PID:10136

C:\Windows\System32\TeHHggY.exe
C:\Windows\System32\TeHHggY.exe
2⤵
PID:9996

C:\Windows\System32\lpseFwh.exe
C:\Windows\System32\lpseFwh.exe
2⤵
PID:10248

C:\Windows\System32\lpmjlRV.exe
C:\Windows\System32\lpmjlRV.exe
2⤵
PID:10284

C:\Windows\System32\JfwwVyi.exe
C:\Windows\System32\JfwwVyi.exe
2⤵
PID:10312

C:\Windows\System32\ZWVxtmd.exe
C:\Windows\System32\ZWVxtmd.exe
2⤵
PID:10340

C:\Windows\System32\cYwfPzq.exe
C:\Windows\System32\cYwfPzq.exe
2⤵
PID:10368

C:\Windows\System32\ASFcHGy.exe
C:\Windows\System32\ASFcHGy.exe
2⤵
PID:10396

C:\Windows\System32\AcdEnll.exe
C:\Windows\System32\AcdEnll.exe
2⤵
PID:10424

C:\Windows\System32\sHivdso.exe
C:\Windows\System32\sHivdso.exe
2⤵
PID:10452

C:\Windows\System32\nWpZbLv.exe
C:\Windows\System32\nWpZbLv.exe
2⤵
PID:10480

C:\Windows\System32\xJwZMLJ.exe
C:\Windows\System32\xJwZMLJ.exe
2⤵
PID:10508

C:\Windows\System32\fFdsYXk.exe
C:\Windows\System32\fFdsYXk.exe
2⤵
PID:10536

C:\Windows\System32\goVzVvj.exe
C:\Windows\System32\goVzVvj.exe
2⤵
PID:10568

C:\Windows\System32\JlgYQDF.exe
C:\Windows\System32\JlgYQDF.exe
2⤵
PID:10596

C:\Windows\System32\QJCySHe.exe
C:\Windows\System32\QJCySHe.exe
2⤵
PID:10624

C:\Windows\System32\EaerPQO.exe
C:\Windows\System32\EaerPQO.exe
2⤵
PID:10652

C:\Windows\System32\EZbQdXk.exe
C:\Windows\System32\EZbQdXk.exe
2⤵
PID:10680

C:\Windows\System32\DwgeJqw.exe
C:\Windows\System32\DwgeJqw.exe
2⤵
PID:10708

C:\Windows\System32\SXqdlhQ.exe
C:\Windows\System32\SXqdlhQ.exe
2⤵
PID:10744

C:\Windows\System32\lLTBfgu.exe
C:\Windows\System32\lLTBfgu.exe
2⤵
PID:10772

C:\Windows\System32\uoZyVGV.exe
C:\Windows\System32\uoZyVGV.exe
2⤵
PID:10800

C:\Windows\System32\ajxMJpr.exe
C:\Windows\System32\ajxMJpr.exe
2⤵
PID:10828

C:\Windows\System32\bAXPgfG.exe
C:\Windows\System32\bAXPgfG.exe
2⤵
PID:10856

C:\Windows\System32\JlbiYqO.exe
C:\Windows\System32\JlbiYqO.exe
2⤵
PID:10888

C:\Windows\System32\LJdXMFL.exe
C:\Windows\System32\LJdXMFL.exe
2⤵
PID:10916

C:\Windows\System32\VRqIBZI.exe
C:\Windows\System32\VRqIBZI.exe
2⤵
PID:10944

C:\Windows\System32\onXSkGy.exe
C:\Windows\System32\onXSkGy.exe
2⤵
PID:10972

C:\Windows\System32\TtPXDjG.exe
C:\Windows\System32\TtPXDjG.exe
2⤵
PID:11004

C:\Windows\System32\hTmiZjS.exe
C:\Windows\System32\hTmiZjS.exe
2⤵
PID:11032

C:\Windows\System32\fFkScoP.exe
C:\Windows\System32\fFkScoP.exe
2⤵
PID:11060

C:\Windows\System32\BdOMWuM.exe
C:\Windows\System32\BdOMWuM.exe
2⤵
PID:11088

C:\Windows\System32\ISHnITI.exe
C:\Windows\System32\ISHnITI.exe
2⤵
PID:11116

C:\Windows\System32\GTXDbjc.exe
C:\Windows\System32\GTXDbjc.exe
2⤵
PID:11144

C:\Windows\System32\vVBLVfg.exe
C:\Windows\System32\vVBLVfg.exe
2⤵
PID:11172

C:\Windows\System32\usMVbxz.exe
C:\Windows\System32\usMVbxz.exe
2⤵
PID:11200

C:\Windows\System32\zFEUbSO.exe
C:\Windows\System32\zFEUbSO.exe
2⤵
PID:11228

C:\Windows\System32\zvqyzAM.exe
C:\Windows\System32\zvqyzAM.exe
2⤵
PID:11256

C:\Windows\System32\obvcAZo.exe
C:\Windows\System32\obvcAZo.exe
2⤵
PID:10304

C:\Windows\System32\EsIDpSL.exe
C:\Windows\System32\EsIDpSL.exe
2⤵
PID:10332

C:\Windows\System32\oMcrINC.exe
C:\Windows\System32\oMcrINC.exe
2⤵
PID:10392

C:\Windows\System32\AbeuHdP.exe
C:\Windows\System32\AbeuHdP.exe
2⤵
PID:10448

C:\Windows\System32\ykUvoRh.exe
C:\Windows\System32\ykUvoRh.exe
2⤵
PID:10500

C:\Windows\System32\TDNjlhs.exe
C:\Windows\System32\TDNjlhs.exe
2⤵
PID:10588

C:\Windows\System32\ZBqBMZU.exe
C:\Windows\System32\ZBqBMZU.exe
2⤵
PID:10636

C:\Windows\System32\zTDWAsr.exe
C:\Windows\System32\zTDWAsr.exe
2⤵
PID:10732

C:\Windows\System32\uCgKoYW.exe
C:\Windows\System32\uCgKoYW.exe
2⤵
PID:10792

C:\Windows\System32\lLQwMxD.exe
C:\Windows\System32\lLQwMxD.exe
2⤵
PID:10868

C:\Windows\System32\PndYebg.exe
C:\Windows\System32\PndYebg.exe
2⤵
PID:10956

C:\Windows\System32\fsKasQE.exe
C:\Windows\System32\fsKasQE.exe
2⤵
PID:11024

C:\Windows\System32\ZdeZwEx.exe
C:\Windows\System32\ZdeZwEx.exe
2⤵
PID:11056

C:\Windows\System32\iOyqFCo.exe
C:\Windows\System32\iOyqFCo.exe
2⤵
PID:11164

C:\Windows\System32\lDMXTCV.exe
C:\Windows\System32\lDMXTCV.exe
2⤵
PID:11220

C:\Windows\System32\UvbsKXG.exe
C:\Windows\System32\UvbsKXG.exe
2⤵
PID:10280

C:\Windows\System32\KIArGRG.exe
C:\Windows\System32\KIArGRG.exe
2⤵
PID:10416

C:\Windows\System32\lcKVPhs.exe
C:\Windows\System32\lcKVPhs.exe
2⤵
PID:10560

C:\Windows\System32\PQXPlFm.exe
C:\Windows\System32\PQXPlFm.exe
2⤵
PID:10756

C:\Windows\System32\MEAhFBX.exe
C:\Windows\System32\MEAhFBX.exe
2⤵
PID:10912

C:\Windows\System32\aRgZfuK.exe
C:\Windows\System32\aRgZfuK.exe
2⤵
PID:11112

C:\Windows\System32\LxYiumf.exe
C:\Windows\System32\LxYiumf.exe
2⤵
PID:11212

C:\Windows\System32\ZwXCPJH.exe
C:\Windows\System32\ZwXCPJH.exe
2⤵
PID:10476

C:\Windows\System32\yCOapjx.exe
C:\Windows\System32\yCOapjx.exe
2⤵
PID:10884

C:\Windows\System32\xTIfUfi.exe
C:\Windows\System32\xTIfUfi.exe
2⤵
PID:11192

C:\Windows\System32\MdrBSAZ.exe
C:\Windows\System32\MdrBSAZ.exe
2⤵
PID:11052

C:\Windows\System32\YtFbLHR.exe
C:\Windows\System32\YtFbLHR.exe
2⤵
PID:11184

C:\Windows\System32\YsBpgEh.exe
C:\Windows\System32\YsBpgEh.exe
2⤵
PID:11284

C:\Windows\System32\mNNhMVc.exe
C:\Windows\System32\mNNhMVc.exe
2⤵
PID:11312

C:\Windows\System32\aPbRrwQ.exe
C:\Windows\System32\aPbRrwQ.exe
2⤵
PID:11340

C:\Windows\System32\xgXzMZI.exe
C:\Windows\System32\xgXzMZI.exe
2⤵
PID:11368

C:\Windows\System32\oqbIqku.exe
C:\Windows\System32\oqbIqku.exe
2⤵
PID:11396

C:\Windows\System32\ygiFWTZ.exe
C:\Windows\System32\ygiFWTZ.exe
2⤵
PID:11424

C:\Windows\System32\RtOGlnm.exe
C:\Windows\System32\RtOGlnm.exe
2⤵
PID:11452

C:\Windows\System32\iTWcYpk.exe
C:\Windows\System32\iTWcYpk.exe
2⤵
PID:11480

C:\Windows\System32\HCfifGB.exe
C:\Windows\System32\HCfifGB.exe
2⤵
PID:11512

C:\Windows\System32\WmXDYfx.exe
C:\Windows\System32\WmXDYfx.exe
2⤵
PID:11540

C:\Windows\System32\AmwDXHU.exe
C:\Windows\System32\AmwDXHU.exe
2⤵
PID:11568

C:\Windows\System32\jKxLyjo.exe
C:\Windows\System32\jKxLyjo.exe
2⤵
PID:11600

C:\Windows\System32\sKrTnFN.exe
C:\Windows\System32\sKrTnFN.exe
2⤵
PID:11628

C:\Windows\System32\pDxEMQo.exe
C:\Windows\System32\pDxEMQo.exe
2⤵
PID:11656

C:\Windows\System32\sNWgTIK.exe
C:\Windows\System32\sNWgTIK.exe
2⤵
PID:11684

C:\Windows\System32\IQjBsSv.exe
C:\Windows\System32\IQjBsSv.exe
2⤵
PID:11712

C:\Windows\System32\HHhcXPw.exe
C:\Windows\System32\HHhcXPw.exe
2⤵
PID:11740

C:\Windows\System32\mnESYgR.exe
C:\Windows\System32\mnESYgR.exe
2⤵
PID:11768

C:\Windows\System32\ayJRtRP.exe
C:\Windows\System32\ayJRtRP.exe
2⤵
PID:11796

C:\Windows\System32\kcregMI.exe
C:\Windows\System32\kcregMI.exe
2⤵
PID:11824

C:\Windows\System32\CJnTSMo.exe
C:\Windows\System32\CJnTSMo.exe
2⤵
PID:11852

C:\Windows\System32\XyojaCZ.exe
C:\Windows\System32\XyojaCZ.exe
2⤵
PID:11880

C:\Windows\System32\RKcODUY.exe
C:\Windows\System32\RKcODUY.exe
2⤵
PID:11908

C:\Windows\System32\wuqWvuC.exe
C:\Windows\System32\wuqWvuC.exe
2⤵
PID:11936

C:\Windows\System32\Rmeaaig.exe
C:\Windows\System32\Rmeaaig.exe
2⤵
PID:11964

C:\Windows\System32\KbVprip.exe
C:\Windows\System32\KbVprip.exe
2⤵
PID:11992

C:\Windows\System32\XlWKTRL.exe
C:\Windows\System32\XlWKTRL.exe
2⤵
PID:12020

C:\Windows\System32\dNjIqri.exe
C:\Windows\System32\dNjIqri.exe
2⤵
PID:12052

C:\Windows\System32\iYDhRFx.exe
C:\Windows\System32\iYDhRFx.exe
2⤵
PID:12096

C:\Windows\System32\IPPkbFX.exe
C:\Windows\System32\IPPkbFX.exe
2⤵
PID:12116

C:\Windows\System32\jreRUFn.exe
C:\Windows\System32\jreRUFn.exe
2⤵
PID:12144

C:\Windows\System32\biqtPMZ.exe
C:\Windows\System32\biqtPMZ.exe
2⤵
PID:12172

C:\Windows\System32\SWQtYtm.exe
C:\Windows\System32\SWQtYtm.exe
2⤵
PID:12200

C:\Windows\System32\ZzEvajc.exe
C:\Windows\System32\ZzEvajc.exe
2⤵
PID:12228

C:\Windows\System32\gZHlogt.exe
C:\Windows\System32\gZHlogt.exe
2⤵
PID:12256

C:\Windows\System32\zVphcZn.exe
C:\Windows\System32\zVphcZn.exe
2⤵
PID:11276

C:\Windows\System32\nuBCCmz.exe
C:\Windows\System32\nuBCCmz.exe
2⤵
PID:11324

C:\Windows\System32\yEJucko.exe
C:\Windows\System32\yEJucko.exe
2⤵
PID:11364

C:\Windows\System32\GgHZxzm.exe
C:\Windows\System32\GgHZxzm.exe
2⤵
PID:11436

C:\Windows\System32\BGUiYOZ.exe
C:\Windows\System32\BGUiYOZ.exe
2⤵
PID:11508

C:\Windows\System32\dMtXcnH.exe
C:\Windows\System32\dMtXcnH.exe
2⤵
PID:11588

C:\Windows\System32\ktCogim.exe
C:\Windows\System32\ktCogim.exe
2⤵
PID:11704

C:\Windows\System32\BKSMkPM.exe
C:\Windows\System32\BKSMkPM.exe
2⤵
PID:11792

C:\Windows\System32\cTSYXbx.exe
C:\Windows\System32\cTSYXbx.exe
2⤵
PID:11872

C:\Windows\System32\GNYotjV.exe
C:\Windows\System32\GNYotjV.exe
2⤵
PID:11932

C:\Windows\System32\XrHDvwx.exe
C:\Windows\System32\XrHDvwx.exe
2⤵
PID:11984

C:\Windows\System32\gnDFlvj.exe
C:\Windows\System32\gnDFlvj.exe
2⤵
PID:12044

C:\Windows\System32\AYkzJNL.exe
C:\Windows\System32\AYkzJNL.exe
2⤵
PID:12140

C:\Windows\System32\yPUpmGS.exe
C:\Windows\System32\yPUpmGS.exe
2⤵
PID:12212

C:\Windows\System32\orDSpdH.exe
C:\Windows\System32\orDSpdH.exe
2⤵
PID:12264

C:\Windows\System32\kwQzAef.exe
C:\Windows\System32\kwQzAef.exe
2⤵
PID:11388

C:\Windows\System32\mwrazuK.exe
C:\Windows\System32\mwrazuK.exe
2⤵
PID:11536

C:\Windows\System32\dKGalJb.exe
C:\Windows\System32\dKGalJb.exe
2⤵
PID:11732

C:\Windows\System32\fhOJEcB.exe
C:\Windows\System32\fhOJEcB.exe
2⤵
PID:11864

C:\Windows\System32\slABXyo.exe
C:\Windows\System32\slABXyo.exe
2⤵
PID:12016

C:\Windows\System32\smamUOP.exe
C:\Windows\System32\smamUOP.exe
2⤵
PID:12076

C:\Windows\System32\LJLxXua.exe
C:\Windows\System32\LJLxXua.exe
2⤵
PID:12240

C:\Windows\System32\WDPEYtT.exe
C:\Windows\System32\WDPEYtT.exe
2⤵
PID:11668

C:\Windows\System32\GFUKMak.exe
C:\Windows\System32\GFUKMak.exe
2⤵
PID:12192

C:\Windows\System32\TNwWLkT.exe
C:\Windows\System32\TNwWLkT.exe
2⤵
PID:12244

C:\Windows\System32\dvllgFt.exe
C:\Windows\System32\dvllgFt.exe
2⤵
PID:12316

C:\Windows\System32\bYtXeJd.exe
C:\Windows\System32\bYtXeJd.exe
2⤵
PID:12364

C:\Windows\System32\iGmQYkw.exe
C:\Windows\System32\iGmQYkw.exe
2⤵
PID:12384

C:\Windows\System32\ooVqgrQ.exe
C:\Windows\System32\ooVqgrQ.exe
2⤵
PID:12400

C:\Windows\System32\gZubGYo.exe
C:\Windows\System32\gZubGYo.exe
2⤵
PID:12452

C:\Windows\System32\ghQiCAa.exe
C:\Windows\System32\ghQiCAa.exe
2⤵
PID:12468

C:\Windows\System32\msQKakd.exe
C:\Windows\System32\msQKakd.exe
2⤵
PID:12488

C:\Windows\System32\fLhiwQT.exe
C:\Windows\System32\fLhiwQT.exe
2⤵
PID:12524

C:\Windows\System32\oTgmKpX.exe
C:\Windows\System32\oTgmKpX.exe
2⤵
PID:12552

C:\Windows\System32\QeQejcC.exe
C:\Windows\System32\QeQejcC.exe
2⤵
PID:12568

C:\Windows\System32\PXixneb.exe
C:\Windows\System32\PXixneb.exe
2⤵
PID:12588

C:\Windows\System32\OKBhcIE.exe
C:\Windows\System32\OKBhcIE.exe
2⤵
PID:12636

C:\Windows\System32\eOsRLwZ.exe
C:\Windows\System32\eOsRLwZ.exe
2⤵
PID:12664

C:\Windows\System32\egEXYpO.exe
C:\Windows\System32\egEXYpO.exe
2⤵
PID:12680

C:\Windows\System32\WudUYMx.exe
C:\Windows\System32\WudUYMx.exe
2⤵
PID:12716

C:\Windows\System32\BAxGBUC.exe
C:\Windows\System32\BAxGBUC.exe
2⤵
PID:12748

C:\Windows\System32\hcjMXGj.exe
C:\Windows\System32\hcjMXGj.exe
2⤵
PID:12776

C:\Windows\System32\VfGMudJ.exe
C:\Windows\System32\VfGMudJ.exe
2⤵
PID:12796

C:\Windows\System32\ulsLorK.exe
C:\Windows\System32\ulsLorK.exe
2⤵
PID:12844

C:\Windows\System32\pfjhZPA.exe
C:\Windows\System32\pfjhZPA.exe
2⤵
PID:12860

C:\Windows\System32\mvnqmMC.exe
C:\Windows\System32\mvnqmMC.exe
2⤵
PID:12880

C:\Windows\System32\dEzcCvh.exe
C:\Windows\System32\dEzcCvh.exe
2⤵
PID:12916

C:\Windows\System32\GjFEnWc.exe
C:\Windows\System32\GjFEnWc.exe
2⤵
PID:12940

C:\Windows\System32\iYErfgg.exe
C:\Windows\System32\iYErfgg.exe
2⤵
PID:12972

C:\Windows\System32\wCDWiuj.exe
C:\Windows\System32\wCDWiuj.exe
2⤵
PID:13000

C:\Windows\System32\bYXVkHZ.exe
C:\Windows\System32\bYXVkHZ.exe
2⤵
PID:13028

C:\Windows\System32\plfOkpL.exe
C:\Windows\System32\plfOkpL.exe
2⤵
PID:13052

C:\Windows\System32\whzciNb.exe
C:\Windows\System32\whzciNb.exe
2⤵
PID:13088

C:\Windows\System32\NtLAuIK.exe
C:\Windows\System32\NtLAuIK.exe
2⤵
PID:13112

C:\Windows\System32\FZaPQSh.exe
C:\Windows\System32\FZaPQSh.exe
2⤵
PID:13136

C:\Windows\System32\ajhaCEF.exe
C:\Windows\System32\ajhaCEF.exe
2⤵
PID:13168

C:\Windows\System32\bXMIvYU.exe
C:\Windows\System32\bXMIvYU.exe
2⤵
PID:13196

C:\Windows\System32\DlJXZtU.exe
C:\Windows\System32\DlJXZtU.exe
2⤵
PID:13224

C:\Windows\System32\zrSVjAQ.exe
C:\Windows\System32\zrSVjAQ.exe
2⤵
PID:13244

C:\Windows\System32\HAALCKW.exe
C:\Windows\System32\HAALCKW.exe
2⤵
PID:13272

C:\Windows\System32\HnHlCAy.exe
C:\Windows\System32\HnHlCAy.exe
2⤵
PID:12072

C:\Windows\System32\CMFvCge.exe
C:\Windows\System32\CMFvCge.exe
2⤵
PID:11648

C:\Windows\System32\jmQUqBN.exe
C:\Windows\System32\jmQUqBN.exe
2⤵
PID:12372

C:\Windows\System32\OZKcOAJ.exe
C:\Windows\System32\OZKcOAJ.exe
2⤵
PID:12392

C:\Windows\System32\bTtufwV.exe
C:\Windows\System32\bTtufwV.exe
2⤵
PID:12448

C:\Windows\System32\ktCUTyW.exe
C:\Windows\System32\ktCUTyW.exe
2⤵
PID:12540

C:\Windows\System32\HPGTRkW.exe
C:\Windows\System32\HPGTRkW.exe
2⤵
PID:12576

C:\Windows\System32\IFnJheU.exe
C:\Windows\System32\IFnJheU.exe
2⤵
PID:12648

C:\Windows\System32\wmiOnzV.exe
C:\Windows\System32\wmiOnzV.exe
2⤵
PID:12768

C:\Windows\System32\KsQfvOy.exe
C:\Windows\System32\KsQfvOy.exe
2⤵
PID:12820

C:\Windows\System32\bOiTwqM.exe
C:\Windows\System32\bOiTwqM.exe
2⤵
PID:12852

C:\Windows\System32\yXatFDa.exe
C:\Windows\System32\yXatFDa.exe
2⤵
PID:1080

C:\Windows\System32\yzGzzGk.exe
C:\Windows\System32\yzGzzGk.exe
2⤵
PID:12948

C:\Windows\System32\SULkRFI.exe
C:\Windows\System32\SULkRFI.exe
2⤵
PID:12984

C:\Windows\System32\dOmlDul.exe
C:\Windows\System32\dOmlDul.exe
2⤵
PID:13064

C:\Windows\System32\JggzuAH.exe
C:\Windows\System32\JggzuAH.exe
2⤵
PID:13132

C:\Windows\System32\qdgwnFX.exe
C:\Windows\System32\qdgwnFX.exe
2⤵
PID:13188

C:\Windows\System32\ZNyUKJp.exe
C:\Windows\System32\ZNyUKJp.exe
2⤵
PID:13292

C:\Windows\System32\sabpFcO.exe
C:\Windows\System32\sabpFcO.exe
2⤵
PID:12312

C:\Windows\System32\ylJUYXr.exe
C:\Windows\System32\ylJUYXr.exe
2⤵
PID:12464

C:\Windows\System32\aDBMAKa.exe
C:\Windows\System32\aDBMAKa.exe
2⤵
PID:12612

C:\Windows\System32\DqmBKik.exe
C:\Windows\System32\DqmBKik.exe
2⤵
PID:12784

C:\Windows\System32\fAZTSzi.exe
C:\Windows\System32\fAZTSzi.exe
2⤵
PID:1160

C:\Windows\System32\IGkeWVN.exe
C:\Windows\System32\IGkeWVN.exe
2⤵
PID:12960

C:\Windows\System32\XxTGWWj.exe
C:\Windows\System32\XxTGWWj.exe
2⤵
PID:13044

C:\Windows\System32\trWGhYr.exe
C:\Windows\System32\trWGhYr.exe
2⤵
PID:11844

C:\Windows\System32\jyvqNeL.exe
C:\Windows\System32\jyvqNeL.exe
2⤵
PID:12520

C:\Windows\System32\Qsvyhow.exe
C:\Windows\System32\Qsvyhow.exe
2⤵
PID:3376

C:\Windows\System32\YVhqQHW.exe
C:\Windows\System32\YVhqQHW.exe
2⤵
PID:13152

C:\Windows\System32\YFrVPjo.exe
C:\Windows\System32\YFrVPjo.exe
2⤵
PID:12732

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:13848

Network

MITRE ATT&CK Matrix ATT&CK v13

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

Lateral Movement

Collection

Exfiltration

Command and Control

Impact

Resource Development

Reconnaissance

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\ABSmZix.exe
Filesize
2.6MB

MD5
5e96553483ccd49ca6acc5481cf8c3f7

SHA1
f7c6189b5ec90e5dbbd88ea4606824a6943c73e2

SHA256
c72c3421711826c1ddeeb8293288ed67c6d4329926c73b68629a063628236dd8

SHA512
3eead5fdce66ba71877884fc7053d683375d231d21fb8abb73cb8ce75b6a2271f920b25715e1dbc0db36b714bec71745553a4bb66f165d9b308b53cd684241e3

Download Submit
C:\Windows\System32\ASJFrkX.exe
Filesize
2.6MB

MD5
89d4a9197473298fed33a7c4f9b35140

SHA1
47ce3dbf3ed2d08e4bf8411c1469f8376a066835

SHA256
865823f06c5a097a32151a3806edb43abdd3da67d4f94c3164187984066df793

SHA512
779ba4d885fde72c38237946a16f91f0e74dca49eddc74fc9072867ba88c874e993726a2167fa82a7e6aa18ec91e0d1f3f3f119216efef65a6e336911b313418

Download Submit
C:\Windows\System32\AUtzBkK.exe
Filesize
2.6MB

MD5
0c61cf8835e67a4ba65274ec2ae1e89c

SHA1
61a8dbfc832b91eb8c76c74d35ca84433ff0c4f8

SHA256
4dcba0bc491fbf7a52572f5fc5578654c30e954c29ae0eca83e55a4c4ed11179

SHA512
6589df524d22fdbd821710b81ec659881a7f09467861e7d6ee986aa71535de2afd18670f5fb04956df04b7edebadb51f8a09a33413800675a121ece7f3f9dbc2

Download Submit
C:\Windows\System32\DEvghsN.exe
Filesize
2.6MB

MD5
c3c0db570918ed11739fd9c0d2dd085e

SHA1
579f7d5d31d400a59b8fea36013dc1d045796c64

SHA256
7a4ced8fc6d8fe9afce43705c22a3d373a045dc5080d1a86305d9f1efc1f68cf

SHA512
f3b630001ba747a3e96f5f51d6f6977e5db1bc26a42ebf951feff28ee1197bdaf995f3128f8bb318edd2062e2dc4103f1a05704ce6ef1558def5bba4b04b6f91

Download Submit
C:\Windows\System32\EfDrWcq.exe
Filesize
2.6MB

MD5
8d989fa80149ac2992a3293f6e08d924

SHA1
dd0e9fa0e08c12208e365e0bc8b7c07f66a937bf

SHA256
046953cecd68919b76cd6b87d955935f108f3d364ed89aee0cf62f3d92da21eb

SHA512
15902f91394d7b95c1df8062aa0032799650e250d924460252247465788f47aafebaa85337660752218882ad15efa77d8ee508e93aab6d0aeb6449bdf6d280ba

Download Submit
C:\Windows\System32\GtfwtxK.exe
Filesize
2.6MB

MD5
dfd9119f8db1820363a9565cf382bf50

SHA1
dd0e5bf36161fec0c019e616ea30472d6543cb5c

SHA256
ae1c98b5d7296a8593ee2fe7a94e06da202229829c0eb3fdd8ad0054e88b3836

SHA512
453fa62723c1b377b81d4569d70dca075f6224cb8a5ceaaca877c8b0e13598d8feb20caf076edb4e38d4e33f4518cebc414628a5568248f149a4f094bc3ee6cb

Download Submit
C:\Windows\System32\LEbisNt.exe
Filesize
2.6MB

MD5
4cc6478177627cf1b8cc75806ba18ad8

SHA1
be8ecfb070693c06ee37e6873926ba860fa84bcb

SHA256
8edafec27416cf246d3ae430186b1de2156a5acf3c322c4f1fd34b42a6d2375e

SHA512
9ef4be8331839da8088261c59feb398f03d4bd8992e23f20e6c8dc2f40d98382e55a9433a4396d278cb20d8fe4a60d547f39bfcd86ba59b3c63d05d57fb98570

Download Submit
C:\Windows\System32\MgwMGBH.exe
Filesize
2.6MB

MD5
f208d45acaab08258abf2fa525343159

SHA1
a7df743b447d3261a87dc5789d3e6a5f077c4ec6

SHA256
57160c943fe5e848c6cc0fb50cd8822dae67a5a2d834f8156254aaf76e656e9e

SHA512
627bcd5e5ad96622b32b9bf96120899a8c51f7b4037d1c545eefc7915b2c6b0371abd03b41f89a7f01d44885ae85ca1dafdc202f82f9a3349c97faebaecad6ef

Download Submit
C:\Windows\System32\OFVdJSc.exe
Filesize
2.6MB

MD5
a33f9a74a82e4b3f5a211fd000855230

SHA1
7611f75013a34524774cc33fd50075aef32839d6

SHA256
23316b76301fdc2f02b6ba0bf60dcf7b64209e6b1d74f50d57d00e1bb83cb9ca

SHA512
64070912793c6340166f0d91dcc096a00fdf884666f0371bb478aa9287f885629af7c473312b7e1332dcdbc4dc1f6943588524c85f194c6addbe8a67c8381fb4

Download Submit
C:\Windows\System32\OXwdrFt.exe
Filesize
2.6MB

MD5
69c7a162a00ad6ec4a5e751ff81e7d44

SHA1
218a7f52785dc25f38d5061828de0e19c84957c9

SHA256
eafc87398a581d6fe1dffff10a01043a32843b141557e4234ba27f46d83730af

SHA512
50230cef1e480f84b4a0ecf6d2ea6625b1d23c709416bde21afcf138c52f3c55c7fd33757014fa54b1f56c0e4acfa55d6a3d6d1a5b98ee6b561670d604f312c5

Download Submit
C:\Windows\System32\PvZYnla.exe
Filesize
2.6MB

MD5
2c29dabc01c89e7dca934734b4063ef2

SHA1
a428adf382711c882c18295f0d6d338cb7473cca

SHA256
4d9cb69b05138247991696f9ac927212b1171b99ab46f04b1e644a1c6ccb42e1

SHA512
e63a2c7f41a574ae2d495dfa6ae912fd0a30a9bae445c75f9a99c583b73c9df7f6be6ca6205ec81d1b52ea725a86583da9698aa9b681e5ee39c131927e73d03a

Download Submit
C:\Windows\System32\RKMRNxK.exe
Filesize
2.6MB

MD5
6bd9951767bd814ee6415dfa6b813dc5

SHA1
7e2469c2e6e44c0f33e0fcb4fcf4084c4fe9e155

SHA256
f82c6510b25e77c6d7d0f9a7f2fc100b6b5627967c3814c147ac94f91faeff29

SHA512
05ab78a82644693f3cf84eb7973311778496635bc9c1d335e169aa38b0c26d3080b23a4d5c13d445d00c1f3072e29a5ec4b36325bfd3ddb47407c3e0897b42c9

Download Submit
C:\Windows\System32\USZXZIZ.exe
Filesize
2.6MB

MD5
69a99127ed3d0c7da1286bb909bbb4cb

SHA1
0d1e74f7f5f9a27df89eb40188a1c4084a61e526

SHA256
e6c172d6358546cf83a9462788fc5af0ada3680be4854687551fcf5250cd02b8

SHA512
c68f31b2878119bdb733370021cbe535e3b03f42fcbb7df4d552ad2a7b694de4ed5a42557114e02df61e774687e22624405146bcbcd696fef578e92379c57942

Download Submit
C:\Windows\System32\WkgZoby.exe
Filesize
2.6MB

MD5
bf4593374788b4ec6ff46fd9e1e5b567

SHA1
60d5552e3e9788fb72b80d64d8789644670a4e22

SHA256
11eb83a5dfef3a90d2ba309863e3a363632b0027459c2aa02c6cdfa5b568b61a

SHA512
fac69641b254d90c260f1215a6846f2b3e8bedbbd984c61e06aa3f99224692df4a2ac1c94ec9afcc4cf1c2c157432980ecc67e6f78f2024b488680fe8f4e2ebc

Download Submit
C:\Windows\System32\YnqVnTa.exe
Filesize
2.6MB

MD5
ccb7634ebe1378e58b3c79c488b475ff

SHA1
a73da731a5e9bdffcac6974ebf27fd9087ee5074

SHA256
aeb3bdd104959aa18f22daacd1bb569a4cbd0facbe03f96f1fa75acf9efe08a1

SHA512
4836028d16c4722975e3e2f2e4bdbeb4a76eb19721053d5712e7dca59489660e37e89a6bec2e41cb0f6d2f04591c53019cf25060bd16cdb6b661e637026cc6a0

Download Submit
C:\Windows\System32\belWhST.exe
Filesize
2.6MB

MD5
448867469fb7b007109b56c2d83c7ab9

SHA1
c80d6f44828f8df735ba174b1f2b2dfcf9706140

SHA256
b9274e9de4d76147312b955a65187c06c97a06265fb60f75955df985c5a61453

SHA512
0f79f5f56e8787f4b41e9505e774c0e14e75f34b1ad35f4494707ec5238c87f10df614f84524a8c1df3fa7ff6045c9ca44158d233989294bbe4884c28b14c43e

Download Submit
C:\Windows\System32\bvuxSoE.exe
Filesize
2.6MB

MD5
0818778ae9af764302b8375c51f0e145

SHA1
0c7751f0392b5df8439ac7a9dd1e5634a3ed8884

SHA256
c3f4171519644ed167e426a4aa6913d3a138207db349f810729e27877d1e0999

SHA512
e7d1c4e07a6cd9ee81d56059e109fe50840adf7be5102a15d0c44b5da39f050ba2b79a7e8c6d9a94cd73129c1fc547a6415034b346beee8221a692b0d7a10a42

Download Submit
C:\Windows\System32\coFqGYD.exe
Filesize
2.6MB

MD5
4ee9277f637a6680e947beece327d4a0

SHA1
ae456d24092e8f60aa6c71429c251d0c273059c0

SHA256
3e21ac4a3da5e41cdcad875e17bc3dc9499c6fe98834ff8663a77262316885c6

SHA512
20a1bd881c6300d56fd44ca30f833437d898108dda09eb84124ebd0403e2dd6296443fe02cacc0eb8232953ede5f63ea3e2df24dd6c449ae7904b68140eb113d

Download Submit
C:\Windows\System32\dfeLbrF.exe
Filesize
2.6MB

MD5
1d1bccd8f8e70de82dedf313d85d37fd

SHA1
f6dcc73bdaad6afee40e152a7c65a3c1116d2c80

SHA256
270667671dacd2c097dce5989374effc269f5ab037a26ec2a7b9ecca0b203071

SHA512
1b0a8f10ed62ec0453ac9912fad71510fe6e1d22ccd2d0644266800dd23b832f38438af96cda7d7cd20b07cfcfc8a71559890f1afc409b8f286852b543359d07

Download Submit
C:\Windows\System32\eKhrNeR.exe
Filesize
2.6MB

MD5
944d793a0b4b5a0f065e7cd3309175f8

SHA1
5699185b5c6de2086529aba0c6e06c7f3946a9dd

SHA256
5df30f2f65559ee7e25d28f1b6a38014d90dc37dda3f046ab3612978246547de

SHA512
194968e6724b68b637b8aa07d0a0bf06e7c3f9e06f75af031342c44c926efc346fadcad6701fbd4c45bf60cc9688822986d09d4d5f1811d93a22d03725ed14a9

Download Submit
C:\Windows\System32\fPpEvAO.exe
Filesize
2.6MB

MD5
2abd6fed23b500908c4dca145be142cd

SHA1
f3171b0e349e96cff9740a78e36ff138412abd3d

SHA256
5af84b176c05fae855cc2dd6b00c8df7895f47e9e95cbc054ead763609e6e129

SHA512
7b20041efb714d6532d82169022c9797fca6a8671a2875682018bf0a7267d53172064f926820cd6604001128f1ef8198e33e5b84938890e52238f3cb4352bcb6

Download Submit
C:\Windows\System32\gXSxesg.exe
Filesize
2.6MB

MD5
4665c3fe0e7a5c7cdb41bd870e7b6e7f

SHA1
f612f1c31a4034b0a60a641087464dc7c902b539

SHA256
5f07b61c2fdc95cba9f05e6b3c46b583a88399ebc86d53b94f99e7e13aa216a8

SHA512
d57a46527a27db51384eab6cb9903617c93dc28be435d28e863b3b20c3deb253ca2ece21e02a99cb68bd2f6117523a2780364524ec9bd4ee55c8eae2f191e8cc

Download Submit
C:\Windows\System32\hPsWqSF.exe
Filesize
2.6MB

MD5
4501f0bc80b496291752c0f71bc61727

SHA1
5953d145c90eff93731e6027047b508ccd7c82da

SHA256
26b2a6e5a3b4a8fa502d5faeb2deaec8d99d3fcf1d12bf820c4bdbb6c5591218

SHA512
8bb9288a593d2e659380ce0710a452e82aeb8c61f205cf4599d8da132054ec078de31232d753dedef07d6d2caabc9479fb115a3cb4259a6aa99ffcb6dea69c37

Download Submit
C:\Windows\System32\iFwtACr.exe
Filesize
2.6MB

MD5
b6192de059ef6b6dcaa79b1f8a0244f4

SHA1
87e919ce6e510d8ff267be771e20db3702bfae65

SHA256
1cdc5ddb795d619f446efbf325299693edaa4efa4c52d3c664a070d48024a52d

SHA512
c1a24d5ccf2aec8f93ebb9cfb0eee500cac5c040c3db1c50bbcad0712760a3ee7212054392fede9e0b979a74a7ee563e0cf2d7bdf2d8a8dd043aa70df298077b

Download Submit
C:\Windows\System32\jxgRVpD.exe
Filesize
2.6MB

MD5
e4fe6db8914fc5435d9f2f61e8c4781d

SHA1
7c9b492fef82676b706f089c89e8676bec0ecf58

SHA256
b7e1f9c60576491ed0ae4742d1e337329abaed0fa2a9c7dd4df019862997a571

SHA512
c27e2b5644d9aef0f90d4b16d567ee8834c6888dd698e4f6a84e11497054ef2395f5ce2dc328e3dac29405e9e912e4e5e551cc25c07dfdd2c693ab25e128a10f

Download Submit
C:\Windows\System32\knzQeXL.exe
Filesize
2.6MB

MD5
0e4b17fae9da623ca8a1b4ff7d7d2a00

SHA1
4ac3c45ed6c94a4b7ef3c22923573c1fe829596f

SHA256
0e54fe4da5289f10a14a36bb3ae1878f3382c7e37513dba6bae053977fa03bbd

SHA512
22f6b66dbbe4448711e21cdbfd86fa7fe4c53892e0950b9228776b533c153c223624138393dd120644b188c76af550062cc6abbde72b7db6655b8595701fc82a

Download Submit
C:\Windows\System32\odexHai.exe
Filesize
2.6MB

MD5
2d61a8c75d83afaf0a0c516ddaa22ec3

SHA1
343800f25cd98c621ed79c0fcbdf30c4c69259e8

SHA256
dbfd683ea20d3c29661cbe46a10806fc4a0705413ea1aee99426c1ced9f98a7e

SHA512
1dcf9062b889a1551aa762e5c14797ba4aea02f48f435b77edee2c117e0221dadcbbbdf9ad5e86fda95ee8c3b171feee68c26743e62e180758ba9a43040d5486

Download Submit
C:\Windows\System32\vQqDlId.exe
Filesize
2.6MB

MD5
e5d31edcee0fb9707d5b8a73a9e761c5

SHA1
3fdd050e9f14908a4d2b7de32f06ab2abd81e696

SHA256
e3c12893bfaa81feb1fd55e7b6c8a4fa17987f7c223ed0c3f1ec41690dec4f2c

SHA512
ac4f0695ae49cb0a0258fd2888af2b488f9197695bb00a762a65973d63408b68335abe7b785982e8f4bcdefcb17f2f546f5d65893e65465e0e215a9984b67724

Download Submit
C:\Windows\System32\voqyMUF.exe
Filesize
2.6MB

MD5
aa366ea06095eebdfe3df1f34c2bce20

SHA1
ff9cbc030e27271af553d5e36bae47dd8eebc266

SHA256
ed1b1990b0b84761fc2580535a091fed20be6dcdfdb7e10027f96cf96a171869

SHA512
53feffc50ae76b0cd7dd26ec25577f4f372148bf18727f1114df8b32d6129dc65502cff7a8f01e8dacf7c36f7d1583ffe188478574039a908e8ff9b44b33d370

Download Submit
C:\Windows\System32\vutIVpu.exe
Filesize
2.6MB

MD5
99c61af6d3c42fa013ee67206cc97f6e

SHA1
fe57d6e610e87c68999a8bfe68074a7fa59f4244

SHA256
48170bb988bd8eed6bd0fe97ccf0125c90abf26f277c634a4b0b3ed4abc2701b

SHA512
18092cf4bcb080b9fda44d5d012489ead87e2ea83b0530a39cc673bfa2b7f34e41da6cb68779814f3b97311f169ad86fb9f5368925fe3559cb136f16ea5f996b

Download Submit
C:\Windows\System32\wOqFvcz.exe
Filesize
2.6MB

MD5
3806e5429298c3005c5ee49207d9d2fc

SHA1
84023c76ee99b73525111c6eb1b7a449bf5c23e3

SHA256
85c9ea3e820d6dcdb076e56026626e47c4c9d63a4803588294dc6e8d8fe2dfca

SHA512
d02f77301499d39d05aa6ae9837e87b6c3228f872e19375d6459080f5d13c4324b6791fa04dc3331ee108c23a2ca0884dde2487e5f9303ac40296a4cae2f219f

Download Submit
C:\Windows\System32\wWzOJcX.exe
Filesize
2.6MB

MD5
48e6cd12299a2408cf6d9e80ba6b9ec0

SHA1
bb1cf4fdf234a152b4f51149c982656f89d2ee99

SHA256
f9ceb33b29f6280f0eaeb043115826b0fdb6a95823c930a6c4fecbe0e04797b8

SHA512
f6a55abed658515b0712105f2c88b166d19e374a0da250c177a909d66b421b6e219645c97cfefeea0eae9283ad3d6dc3823247d0f8560b86d6bba89e27a0cd34

Download Submit
C:\Windows\System32\ylDAJbd.exe
Filesize
2.6MB

MD5
fe742b228b3a528353c604e5acaa6a59

SHA1
840af9263b2409e8cdddaa894edd3e04550cc8d2

SHA256
0de95155e5ca0066766ecbd1dcffeaa751a2b932d38810d8e165b5526b620e42

SHA512
ef008d939fc79ead2484a5e41705e5c55353151f75803e9710d5c66713ee6c57f70ac715a8e2f6cef3f03af2b2cbc127fc3d3087ae9d5b84a07761eb4f62c631

Download Submit
memory/540-1932-0x00007FF6766A0000-0x00007FF676A95000-memory.dmp

Filesize
4.0MB

Download
memory/540-485-0x00007FF6766A0000-0x00007FF676A95000-memory.dmp

Filesize
4.0MB

Download
memory/732-625-0x00007FF6C2860000-0x00007FF6C2C55000-memory.dmp

Filesize
4.0MB

Download
memory/732-1951-0x00007FF6C2860000-0x00007FF6C2C55000-memory.dmp

Filesize
4.0MB

Download
memory/912-661-0x00007FF6266F0000-0x00007FF626AE5000-memory.dmp

Filesize
4.0MB

Download
memory/912-1949-0x00007FF6266F0000-0x00007FF626AE5000-memory.dmp

Filesize
4.0MB

Download
memory/1280-644-0x00007FF7E79D0000-0x00007FF7E7DC5000-memory.dmp

Filesize
4.0MB

Download
memory/1280-1947-0x00007FF7E79D0000-0x00007FF7E7DC5000-memory.dmp

Filesize
4.0MB

Download
memory/1456-632-0x00007FF717F20000-0x00007FF718315000-memory.dmp

Filesize
4.0MB

Download
memory/1456-1948-0x00007FF717F20000-0x00007FF718315000-memory.dmp

Filesize
4.0MB

Download
memory/1512-1939-0x00007FF6F6DD0000-0x00007FF6F71C5000-memory.dmp

Filesize
4.0MB

Download
memory/1512-573-0x00007FF6F6DD0000-0x00007FF6F71C5000-memory.dmp

Filesize
4.0MB

Download
memory/1652-566-0x00007FF757780000-0x00007FF757B75000-memory.dmp

Filesize
4.0MB

Download
memory/1652-1937-0x00007FF757780000-0x00007FF757B75000-memory.dmp

Filesize
4.0MB

Download
memory/1804-616-0x00007FF7918B0000-0x00007FF791CA5000-memory.dmp

Filesize
4.0MB

Download
memory/1804-1944-0x00007FF7918B0000-0x00007FF791CA5000-memory.dmp

Filesize
4.0MB

Download
memory/2148-653-0x00007FF777770000-0x00007FF777B65000-memory.dmp

Filesize
4.0MB

Download
memory/2148-1945-0x00007FF777770000-0x00007FF777B65000-memory.dmp

Filesize
4.0MB

Download
memory/2356-472-0x00007FF6EE400000-0x00007FF6EE7F5000-memory.dmp

Filesize
4.0MB

Download
memory/2356-1930-0x00007FF6EE400000-0x00007FF6EE7F5000-memory.dmp

Filesize
4.0MB

Download
memory/2612-1935-0x00007FF7BA400000-0x00007FF7BA7F5000-memory.dmp

Filesize
4.0MB

Download
memory/2612-492-0x00007FF7BA400000-0x00007FF7BA7F5000-memory.dmp

Filesize
4.0MB

Download
memory/3016-1-0x000001F3603D0000-0x000001F3603E0000-memory.dmp

Filesize
64KB

Download
memory/3016-0-0x00007FF66D970000-0x00007FF66DD65000-memory.dmp

Filesize
4.0MB

Download
memory/3416-1933-0x00007FF70D740000-0x00007FF70DB35000-memory.dmp

Filesize
4.0MB

Download
memory/3416-667-0x00007FF70D740000-0x00007FF70DB35000-memory.dmp

Filesize
4.0MB

Download
memory/3424-1936-0x00007FF6A91C0000-0x00007FF6A95B5000-memory.dmp

Filesize
4.0MB

Download
memory/3424-570-0x00007FF6A91C0000-0x00007FF6A95B5000-memory.dmp

Filesize
4.0MB

Download
memory/3600-1931-0x00007FF7D29B0000-0x00007FF7D2DA5000-memory.dmp

Filesize
4.0MB

Download
memory/3600-481-0x00007FF7D29B0000-0x00007FF7D2DA5000-memory.dmp

Filesize
4.0MB

Download
memory/3660-1941-0x00007FF7063D0000-0x00007FF7067C5000-memory.dmp

Filesize
4.0MB

Download
memory/3660-619-0x00007FF7063D0000-0x00007FF7067C5000-memory.dmp

Filesize
4.0MB

Download
memory/4008-491-0x00007FF76E320000-0x00007FF76E715000-memory.dmp

Filesize
4.0MB

Download
memory/4008-1934-0x00007FF76E320000-0x00007FF76E715000-memory.dmp

Filesize
4.0MB

Download
memory/4552-1943-0x00007FF7E7810000-0x00007FF7E7C05000-memory.dmp

Filesize
4.0MB

Download
memory/4552-610-0x00007FF7E7810000-0x00007FF7E7C05000-memory.dmp

Filesize
4.0MB

Download
memory/4580-1940-0x00007FF6071E0000-0x00007FF6075D5000-memory.dmp

Filesize
4.0MB

Download
memory/4580-589-0x00007FF6071E0000-0x00007FF6075D5000-memory.dmp

Filesize
4.0MB

Download
memory/4600-1928-0x00007FF712DD0000-0x00007FF7131C5000-memory.dmp

Filesize
4.0MB

Download
memory/4600-10-0x00007FF712DD0000-0x00007FF7131C5000-memory.dmp

Filesize
4.0MB

Download
memory/4660-1950-0x00007FF7B6A40000-0x00007FF7B6E35000-memory.dmp

Filesize
4.0MB

Download
memory/4660-647-0x00007FF7B6A40000-0x00007FF7B6E35000-memory.dmp

Filesize
4.0MB

Download
memory/4832-1929-0x00007FF6023C0000-0x00007FF6027B5000-memory.dmp

Filesize
4.0MB

Download
memory/4832-478-0x00007FF6023C0000-0x00007FF6027B5000-memory.dmp

Filesize
4.0MB

Download
memory/4836-1946-0x00007FF70E900000-0x00007FF70ECF5000-memory.dmp

Filesize
4.0MB

Download
memory/4836-594-0x00007FF70E900000-0x00007FF70ECF5000-memory.dmp

Filesize
4.0MB

Download
memory/5076-1938-0x00007FF65D8D0000-0x00007FF65DCC5000-memory.dmp

Filesize
4.0MB

Download
memory/5076-582-0x00007FF65D8D0000-0x00007FF65DCC5000-memory.dmp

Filesize
4.0MB

Download
memory/5092-1942-0x00007FF78C940000-0x00007FF78CD35000-memory.dmp

Filesize
4.0MB

Download
memory/5092-607-0x00007FF78C940000-0x00007FF78CD35000-memory.dmp

Filesize
4.0MB

Download