2067901ddba47a063d6047941e381761f0654246cae5cf67fe6d82bd3f410dbf

Analysis

max time kernel
150s
max time network
124s
platform
windows7_x64
resource
win7-20240221-en
resource tags

arch:x64arch:x86image:win7-20240221-enlocale:en-usos:windows7-x64system
submitted
23-05-2024 02:33

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

78b95986246ddab26cabaabcfe19f290_NeikiAnalytics.exe
Size

51KB
MD5

78b95986246ddab26cabaabcfe19f290
SHA1

1b4f18ce26052cf24cee7a6052b2cb321a4a6ace
SHA256

2067901ddba47a063d6047941e381761f0654246cae5cf67fe6d82bd3f410dbf
SHA512

7a30f497144983f2a31a8112a27def6607360f5cf07d6b892fef77bac76b2b3e92ce9f653bcc56a1e79b9be095570cd4ae943579b890d7d0e00b050148f3d552
SSDEEP

768:nNAGAkIo/juokwoL7627d9rIiClJAxiFkJT22euOiya6lHOYxY0x0KS3J:nNJb/HkwoLe29UjQ4wqQOLIMVnS3J

Score

10^/10

evasion persistence upx

Malware Config

Signatures

Modifies WinLogon for persistence 2 TTPs 1 IoCs

persistence

Winlogon Helper DLL

T1547.004

Modify Registry

T1112

Processes:

userinit.exe

description	ioc	process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\shell = "C:\\Windows\\explorer.exe, c:\\windows\\system\\userinit.exe"	userinit.exe

Modifies visiblity of hidden/system files in Explorer 2 TTPs 1 IoCs

evasion

Hidden Files and Directories

T1564.001

Modify Registry

T1112

Processes:

userinit.exe

description	ioc	process
Set value (int)	\REGISTRY\USER\S-1-5-21-3452737119-3959686427-228443150-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden = "0"	userinit.exe

Drops file in Drivers directory 3 IoCs

Processes:

taskmgr.exeuserinit.exe

description	ioc	process
File opened for modification	\??\c:\windows\SysWOW64\drivers\csrss.exe	taskmgr.exe
File opened for modification	C:\Windows\SysWOW64\drivers\udsys.exe	userinit.exe
File opened for modification	\??\c:\windows\SysWOW64\drivers\taskmgr.exe	userinit.exe

Modifies Installed Components in the registry 2 TTPs 2 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

Processes:

userinit.exe

description	ioc	process
Key created	\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}	userinit.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}\StubPath = "C:\\Users\\Admin\\AppData\\Local\\mrkl.exe MR"	userinit.exe

Executes dropped EXE 64 IoCs

Processes:

userinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exe

pid	process
2356	userinit.exe
2840	taskmgr.exe
2644	csrss.exe
3024	userinit.exe
2952	taskmgr.exe
2444	csrss.exe
2516	userinit.exe
1640	taskmgr.exe
2788	csrss.exe
2832	userinit.exe
1288	taskmgr.exe
1092	csrss.exe
2176	userinit.exe
2428	taskmgr.exe
2688	csrss.exe
1272	userinit.exe
2112	taskmgr.exe
2076	csrss.exe
1616	userinit.exe
1964	taskmgr.exe
348	csrss.exe
788	userinit.exe
2272	taskmgr.exe
1812	csrss.exe
1324	userinit.exe
1880	taskmgr.exe
1192	csrss.exe
3060	userinit.exe
2900	taskmgr.exe
1392	csrss.exe
1724	userinit.exe
876	taskmgr.exe
2256	csrss.exe
2308	userinit.exe
1696	taskmgr.exe
2520	csrss.exe
2740	userinit.exe
2540	taskmgr.exe
2628	csrss.exe
2588	userinit.exe
2724	taskmgr.exe
2476	csrss.exe
1708	userinit.exe
2700	taskmgr.exe
2460	csrss.exe
2516	userinit.exe
2492	taskmgr.exe
2444	csrss.exe
2820	userinit.exe
2824	taskmgr.exe
2772	csrss.exe
856	userinit.exe
1216	taskmgr.exe
1520	csrss.exe
1084	userinit.exe
2752	taskmgr.exe
1752	csrss.exe
1344	userinit.exe
2748	taskmgr.exe
2428	csrss.exe
2016	userinit.exe
2876	taskmgr.exe
2116	csrss.exe
2028	userinit.exe

Loads dropped DLL 64 IoCs

Processes:

78b95986246ddab26cabaabcfe19f290_NeikiAnalytics.exeuserinit.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exe

pid	process
2120	78b95986246ddab26cabaabcfe19f290_NeikiAnalytics.exe
2120	78b95986246ddab26cabaabcfe19f290_NeikiAnalytics.exe
2356	userinit.exe
2356	userinit.exe
2840	taskmgr.exe
2840	taskmgr.exe
2644	csrss.exe
2644	csrss.exe
2356	userinit.exe
2356	userinit.exe
2952	taskmgr.exe
2952	taskmgr.exe
2444	csrss.exe
2444	csrss.exe
2356	userinit.exe
2356	userinit.exe
1640	taskmgr.exe
1640	taskmgr.exe
2788	csrss.exe
2788	csrss.exe
2356	userinit.exe
2356	userinit.exe
1288	taskmgr.exe
1288	taskmgr.exe
1092	csrss.exe
1092	csrss.exe
2356	userinit.exe
2356	userinit.exe
2428	taskmgr.exe
2428	taskmgr.exe
2688	csrss.exe
2688	csrss.exe
2356	userinit.exe
2356	userinit.exe
2112	taskmgr.exe
2112	taskmgr.exe
2076	csrss.exe
2076	csrss.exe
2356	userinit.exe
2356	userinit.exe
1964	taskmgr.exe
1964	taskmgr.exe
348	csrss.exe
348	csrss.exe
2356	userinit.exe
2356	userinit.exe
2272	taskmgr.exe
2272	taskmgr.exe
1812	csrss.exe
2356	userinit.exe
2356	userinit.exe
1880	taskmgr.exe
1880	taskmgr.exe
1192	csrss.exe
2356	userinit.exe
2356	userinit.exe
2900	taskmgr.exe
2900	taskmgr.exe
1392	csrss.exe
2356	userinit.exe
2356	userinit.exe
876	taskmgr.exe
876	taskmgr.exe
2256	csrss.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

Processes:

resource	yara_rule
behavioral1/memory/2120-0-0x0000000000400000-0x0000000000426000-memory.dmp	upx
\Windows\system\userinit.exe	upx
behavioral1/memory/2120-11-0x0000000000550000-0x0000000000576000-memory.dmp	upx
\Windows\SysWOW64\drivers\taskmgr.exe	upx
behavioral1/memory/2840-27-0x0000000000400000-0x0000000000426000-memory.dmp	upx
\Windows\SysWOW64\drivers\csrss.exe	upx
behavioral1/memory/2644-41-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2840-53-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/3024-55-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2120-58-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2644-57-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2952-64-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2516-79-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2444-83-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2952-82-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2356-90-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2788-100-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2832-102-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1640-104-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2356-108-0x0000000001EC0000-0x0000000001EE6000-memory.dmp	upx
behavioral1/memory/2356-123-0x0000000001EC0000-0x0000000001EE6000-memory.dmp	upx
behavioral1/memory/2176-127-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1288-130-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2356-134-0x0000000001EC0000-0x0000000001EE6000-memory.dmp	upx
behavioral1/memory/2688-143-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1272-152-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2688-151-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2428-153-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2112-159-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2112-174-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1964-180-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/788-191-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1964-194-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/348-195-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2272-199-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1324-204-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1324-206-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1812-207-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1880-211-0x00000000005C0000-0x00000000005E6000-memory.dmp	upx
behavioral1/memory/1192-214-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2356-215-0x0000000001EC0000-0x0000000001EE6000-memory.dmp	upx
behavioral1/memory/3060-218-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1880-222-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1192-220-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2356-225-0x0000000001EC0000-0x0000000001EE6000-memory.dmp	upx
behavioral1/memory/2900-226-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1724-231-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1392-233-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2900-235-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2256-240-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2308-245-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/876-247-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2356-250-0x0000000001EC0000-0x0000000001EE6000-memory.dmp	upx
behavioral1/memory/2520-258-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2628-264-0x0000000000440000-0x0000000000466000-memory.dmp	upx
behavioral1/memory/2588-267-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2628-270-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2540-269-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2724-273-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/1708-278-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2724-281-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2476-283-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral1/memory/2356-285-0x0000000001EC0000-0x0000000001EE6000-memory.dmp	upx
behavioral1/memory/2460-291-0x0000000000400000-0x0000000000426000-memory.dmp	upx

Adds Run key to start application 2 TTPs 2 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

Processes:

userinit.exe

description	ioc	process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\csrss = "c:\\windows\\system32\\drivers\\csrss.exe RO"	userinit.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce\userinit = "c:\\windows\\system\\userinit.exe RO"	userinit.exe

Drops file in Windows directory 2 IoCs

Processes:

78b95986246ddab26cabaabcfe19f290_NeikiAnalytics.exeuserinit.exe

description	ioc	process
File opened for modification	\??\c:\windows\system\userinit.exe	78b95986246ddab26cabaabcfe19f290_NeikiAnalytics.exe
File opened for modification	\??\c:\windows\system\userinit.exe	userinit.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

Suspicious behavior: EnumeratesProcesses 64 IoCs

Processes:

78b95986246ddab26cabaabcfe19f290_NeikiAnalytics.exeuserinit.exe

pid	process
2120	78b95986246ddab26cabaabcfe19f290_NeikiAnalytics.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe
2356	userinit.exe

Suspicious behavior: GetForegroundWindowSpam 1 IoCs

Processes:

userinit.exe

pid process

2356 userinit.exe

Suspicious use of SetWindowsHookEx 64 IoCs

Processes:

78b95986246ddab26cabaabcfe19f290_NeikiAnalytics.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.exe

pid	process
2120	78b95986246ddab26cabaabcfe19f290_NeikiAnalytics.exe
2356	userinit.exe
2840	taskmgr.exe
2644	csrss.exe
3024	userinit.exe
2356	userinit.exe
2952	taskmgr.exe
2444	csrss.exe
2516	userinit.exe
1640	taskmgr.exe
2788	csrss.exe
2832	userinit.exe
1288	taskmgr.exe
1092	csrss.exe
2176	userinit.exe
2428	taskmgr.exe
2688	csrss.exe
1272	userinit.exe
2112	taskmgr.exe
2076	csrss.exe
1616	userinit.exe
1964	taskmgr.exe
348	csrss.exe
788	userinit.exe
2272	taskmgr.exe
1812	csrss.exe
1324	userinit.exe
1880	taskmgr.exe
1192	csrss.exe
3060	userinit.exe
2900	taskmgr.exe
1392	csrss.exe
1724	userinit.exe
876	taskmgr.exe
2256	csrss.exe
2308	userinit.exe
1696	taskmgr.exe
2520	csrss.exe
2740	userinit.exe
2540	taskmgr.exe
2628	csrss.exe
2588	userinit.exe
2724	taskmgr.exe
2476	csrss.exe
1708	userinit.exe
2700	taskmgr.exe
2460	csrss.exe
2516	userinit.exe
2492	taskmgr.exe
2444	csrss.exe
2820	userinit.exe
2824	taskmgr.exe
2772	csrss.exe
856	userinit.exe
1216	taskmgr.exe
1520	csrss.exe
1084	userinit.exe
2752	taskmgr.exe
1752	csrss.exe
1344	userinit.exe
2748	taskmgr.exe
2428	csrss.exe
2016	userinit.exe
2876	taskmgr.exe

Suspicious use of WriteProcessMemory 64 IoCs

Processes:

78b95986246ddab26cabaabcfe19f290_NeikiAnalytics.exeuserinit.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exe

description	pid	process	target process
PID 2120 wrote to memory of 2356	2120	78b95986246ddab26cabaabcfe19f290_NeikiAnalytics.exe	userinit.exe
PID 2120 wrote to memory of 2356	2120	78b95986246ddab26cabaabcfe19f290_NeikiAnalytics.exe	userinit.exe
PID 2120 wrote to memory of 2356	2120	78b95986246ddab26cabaabcfe19f290_NeikiAnalytics.exe	userinit.exe
PID 2120 wrote to memory of 2356	2120	78b95986246ddab26cabaabcfe19f290_NeikiAnalytics.exe	userinit.exe
PID 2356 wrote to memory of 2840	2356	userinit.exe	taskmgr.exe
PID 2356 wrote to memory of 2840	2356	userinit.exe	taskmgr.exe
PID 2356 wrote to memory of 2840	2356	userinit.exe	taskmgr.exe
PID 2356 wrote to memory of 2840	2356	userinit.exe	taskmgr.exe
PID 2840 wrote to memory of 2644	2840	taskmgr.exe	csrss.exe
PID 2840 wrote to memory of 2644	2840	taskmgr.exe	csrss.exe
PID 2840 wrote to memory of 2644	2840	taskmgr.exe	csrss.exe
PID 2840 wrote to memory of 2644	2840	taskmgr.exe	csrss.exe
PID 2644 wrote to memory of 3024	2644	csrss.exe	userinit.exe
PID 2644 wrote to memory of 3024	2644	csrss.exe	userinit.exe
PID 2644 wrote to memory of 3024	2644	csrss.exe	userinit.exe
PID 2644 wrote to memory of 3024	2644	csrss.exe	userinit.exe
PID 2356 wrote to memory of 2952	2356	userinit.exe	taskmgr.exe
PID 2356 wrote to memory of 2952	2356	userinit.exe	taskmgr.exe
PID 2356 wrote to memory of 2952	2356	userinit.exe	taskmgr.exe
PID 2356 wrote to memory of 2952	2356	userinit.exe	taskmgr.exe
PID 2952 wrote to memory of 2444	2952	taskmgr.exe	csrss.exe
PID 2952 wrote to memory of 2444	2952	taskmgr.exe	csrss.exe
PID 2952 wrote to memory of 2444	2952	taskmgr.exe	csrss.exe
PID 2952 wrote to memory of 2444	2952	taskmgr.exe	csrss.exe
PID 2444 wrote to memory of 2516	2444	csrss.exe	userinit.exe
PID 2444 wrote to memory of 2516	2444	csrss.exe	userinit.exe
PID 2444 wrote to memory of 2516	2444	csrss.exe	userinit.exe
PID 2444 wrote to memory of 2516	2444	csrss.exe	userinit.exe
PID 2356 wrote to memory of 1640	2356	userinit.exe	taskmgr.exe
PID 2356 wrote to memory of 1640	2356	userinit.exe	taskmgr.exe
PID 2356 wrote to memory of 1640	2356	userinit.exe	taskmgr.exe
PID 2356 wrote to memory of 1640	2356	userinit.exe	taskmgr.exe
PID 1640 wrote to memory of 2788	1640	taskmgr.exe	csrss.exe
PID 1640 wrote to memory of 2788	1640	taskmgr.exe	csrss.exe
PID 1640 wrote to memory of 2788	1640	taskmgr.exe	csrss.exe
PID 1640 wrote to memory of 2788	1640	taskmgr.exe	csrss.exe
PID 2788 wrote to memory of 2832	2788	csrss.exe	userinit.exe
PID 2788 wrote to memory of 2832	2788	csrss.exe	userinit.exe
PID 2788 wrote to memory of 2832	2788	csrss.exe	userinit.exe
PID 2788 wrote to memory of 2832	2788	csrss.exe	userinit.exe
PID 2356 wrote to memory of 1288	2356	userinit.exe	taskmgr.exe
PID 2356 wrote to memory of 1288	2356	userinit.exe	taskmgr.exe
PID 2356 wrote to memory of 1288	2356	userinit.exe	taskmgr.exe
PID 2356 wrote to memory of 1288	2356	userinit.exe	taskmgr.exe
PID 1288 wrote to memory of 1092	1288	taskmgr.exe	csrss.exe
PID 1288 wrote to memory of 1092	1288	taskmgr.exe	csrss.exe
PID 1288 wrote to memory of 1092	1288	taskmgr.exe	csrss.exe
PID 1288 wrote to memory of 1092	1288	taskmgr.exe	csrss.exe
PID 1092 wrote to memory of 2176	1092	csrss.exe	userinit.exe
PID 1092 wrote to memory of 2176	1092	csrss.exe	userinit.exe
PID 1092 wrote to memory of 2176	1092	csrss.exe	userinit.exe
PID 1092 wrote to memory of 2176	1092	csrss.exe	userinit.exe
PID 2356 wrote to memory of 2428	2356	userinit.exe	taskmgr.exe
PID 2356 wrote to memory of 2428	2356	userinit.exe	taskmgr.exe
PID 2356 wrote to memory of 2428	2356	userinit.exe	taskmgr.exe
PID 2356 wrote to memory of 2428	2356	userinit.exe	taskmgr.exe
PID 2428 wrote to memory of 2688	2428	taskmgr.exe	csrss.exe
PID 2428 wrote to memory of 2688	2428	taskmgr.exe	csrss.exe
PID 2428 wrote to memory of 2688	2428	taskmgr.exe	csrss.exe
PID 2428 wrote to memory of 2688	2428	taskmgr.exe	csrss.exe
PID 2688 wrote to memory of 1272	2688	csrss.exe	userinit.exe
PID 2688 wrote to memory of 1272	2688	csrss.exe	userinit.exe
PID 2688 wrote to memory of 1272	2688	csrss.exe	userinit.exe
PID 2688 wrote to memory of 1272	2688	csrss.exe	userinit.exe

C:\Users\Admin\AppData\Local\Temp\78b95986246ddab26cabaabcfe19f290_NeikiAnalytics.exe
"C:\Users\Admin\AppData\Local\Temp\78b95986246ddab26cabaabcfe19f290_NeikiAnalytics.exe"
1⤵
- Loads dropped DLL
- Drops file in Windows directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2120

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
2⤵
- Modifies WinLogon for persistence
- Modifies visiblity of hidden/system files in Explorer
- Drops file in Drivers directory
- Modifies Installed Components in the registry
- Executes dropped EXE
- Loads dropped DLL
- Adds Run key to start application
- Drops file in Windows directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious behavior: GetForegroundWindowSpam
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2356

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Drops file in Drivers directory
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2840

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2644

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:3024

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2952

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2444

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2516

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:1640

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2788

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2832

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:1288

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:1092

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2176

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2428

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2688

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1272

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:2112

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:2076

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1616

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:1964

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:348

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:788

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:2272

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:1812

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1324

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:1880

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:1192

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:3060

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:2900

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:1392

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1724

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:876

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Loads dropped DLL
- Suspicious use of SetWindowsHookEx
PID:2256

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2308

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1696

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2520

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2740

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2540

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2628

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2588

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2724

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2476

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1708

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2700

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2460

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2516

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2492

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2444

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2820

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2824

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2772

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:856

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1216

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1520

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1084

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2752

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1752

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1344

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2748

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2428

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2016

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2876

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
PID:2116

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
PID:2028

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1500

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:496

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1992

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1940

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:952

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1096

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1196

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:912

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:612

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2904

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1968

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2164

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1952

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2896

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:876

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2376

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2984

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2340

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2560

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2588

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2716

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2448

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1708

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2584

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2484

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2956

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2452

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2512

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2948

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2664

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2480

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2168

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2832

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2680

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2972

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1916

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1084

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:804

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1312

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2316

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2752

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2072

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2064

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2304

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1876

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1628

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2300

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:932

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:308

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1596

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1644

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:948

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1820

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1940

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:292

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1196

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:912

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2248

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2164

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1744

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2008

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2180

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1728

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2036

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2376

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2544

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2568

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2864

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2708

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2584

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2600

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2452

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2484

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1512

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1892

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2512

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1688

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2832

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2168

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1588

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2176

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1216

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2672

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1292

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2688

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:568

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2768

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2428

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:324

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1740

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1616

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1168

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:488

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:580

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1784

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1944

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:868

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1700

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:880

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1820

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:948

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2920

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:840

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1736

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1968

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2200

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:996

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2308

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2208

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2532

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2576

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2716

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2996

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2260

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2728

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2708

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2676

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2456

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2472

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2496

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1604

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2664

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2484

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2828

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2780

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2416

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1920

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2500

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2188

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1564

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1084

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2672

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1984

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2752

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1372

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2748

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2104

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:324

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2304

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1112

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2076

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:788

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1668

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1500

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:580

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:764

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1812

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2272

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1768

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1760

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1820

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2904

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1988

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3068

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1444

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1064

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2200

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1728

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2576

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2740

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2636

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2260

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2816

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2648

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2676

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2708

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2488

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2516

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:756

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2236

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1892

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2956

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2492

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2936

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2780

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2480

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1684

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2176

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2972

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2336

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2736

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1216

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1204

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2316

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1272

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:568

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2872

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2616

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2748

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:932

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2116

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2304

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2988

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1784

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1668

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1596

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1700

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1304

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1900

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1404

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:912

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1828

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1656

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1736

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2960

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2256

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2284

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:840

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2020

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2248

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2392

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1652

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1264

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1192

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2580

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2340

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2692

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1708

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2108

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2668

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2548

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2608

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2496

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1512

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1892

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3036

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2764

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1696

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1624

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1960

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1684

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1588

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1440

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1292

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2296

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2176

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1244

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1524

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1316

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2924

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2092

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1740

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2796

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2328

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2784

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1492

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2304

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:636

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2292

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:616

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2988

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1940

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1304

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1556

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:808

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3060

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2224

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1368

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1736

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1828

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2204

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2268

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1064

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1716

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:876

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3068

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2576

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2532

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2036

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2856

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2596

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2552

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2816

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2648

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2572

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2460

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2604

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2548

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2820

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1732

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2456

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:856

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1696

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2492

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1704

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2832

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1688

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2568

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2680

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1588

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:860

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1520

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1916

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:536

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1216

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1564

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2428

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2104

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1876

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2748

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1156

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2784

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1628

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1380

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1040

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1964

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1940

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2888

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1700

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:952

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:764

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2920

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2224

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1368

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1656

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2204

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2308

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1724

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1820

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1716

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2020

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2576

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2136

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1652

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2740

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2260

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2996

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3052

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2544

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2552

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2012

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2692

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2648

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2804

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2668

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2516

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2536

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1512

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2936

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:628

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2812

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2912

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2320

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1088

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2832

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1756

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1440

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2088

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2100

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2768

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1208

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2264

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1344

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2068

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1308

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2092

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1372

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1992

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1112

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2784

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1904

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2076

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1040

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1924

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:904

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1944

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1760

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1304

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:952

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1952

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1392

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2224

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2180

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2308

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2904

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2896

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2984

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1820

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3000

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1600

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2376

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2532

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2588

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2696

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2504

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2544

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3052

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2932

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1896

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2712

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2944

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2608

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2772

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:404

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2536

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2792

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2416

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2812

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2788

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2760

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1920

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2500

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2176

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2824

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2080

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1520

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2336

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2064

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1564

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1316

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1168

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1372

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1308

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2116

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2880

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2784

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1964

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:812

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1956

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3012

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1940

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1596

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2920

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1812

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:764

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1656

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1832

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3060

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2844

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1736

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1608

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2020

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1712

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2524

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2576

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2628

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1660

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2260

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2036

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2996

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1708

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3052

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1436

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2656

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1744

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2712

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2548

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2556

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2664

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2624

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:856

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2536

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1960

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1640

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2780

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1084

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:804

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2568

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1440

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:892

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1524

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2744

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1888

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1272

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2428

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1740

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1876

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1492

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:696

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:784

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1992

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1488

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2880

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:932

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:880

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2076

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2032

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:580

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1940

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:912

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1968

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1812

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2900

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1824

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1368

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2180

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2020

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1608

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2984

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2136

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2372

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2636

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2260

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1264

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3064

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2552

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2476

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2816

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2656

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1436

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2604

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2012

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2804

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1068

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2624

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2664

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1652

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1092

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2536

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2492

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2672

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3036

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2956

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1440

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2680

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1544

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2768

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2824

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:536

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2428

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1344

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1316

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1928

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1876

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1156

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1628

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:784

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2304

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1784

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:616

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1904

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:560

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2076

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1700

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2908

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:952

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1164

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2900

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1392

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2164

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2308

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1832

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2732

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2896

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2592

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2576

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2524

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2564

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2560

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2252

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2800

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2460

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2544

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2476

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2580

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2548

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2728

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2596

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2948

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2776

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1396

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2388

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2556

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2936

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1312

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2492

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1288

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2684

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1920

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2672

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:804

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1100

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2752

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2884

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2424

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:384

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2316

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1216

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2072

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1564

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1004

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2092

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1876

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1380

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:696

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1628

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1880

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2240

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:904

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2212

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1500

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:836

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2224

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1900

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1196

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:896

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2900

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2520

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2732

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3060

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2916

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2540

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3068

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2280

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2560

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2440

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2260

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2448

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2252

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2720

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2852

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2476

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2496

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2712

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2668

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2488

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1396

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2948

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2624

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:756

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:404

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2704

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2832

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2912

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1588

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1920

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2736

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2752

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2796

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:804

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:860

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1916

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2028

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2616

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2688

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1168

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:588

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2528

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2868

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1644

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1912

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1956

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2968

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2880

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1668

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1944

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:812

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2272

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1356

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1764

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1812

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2904

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3032

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2844

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1824

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2732

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2208

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:876

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2896

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:956

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1712

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2108

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2652

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3064

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2816

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2648

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2464

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2808

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3052

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2668

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1724

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2804

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2948

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1396

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:628

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1292

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2972

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2536

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1884

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2480

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1244

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2824

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2568

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:892

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1604

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1888

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2424

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1216

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1156

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1316

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:108

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2116

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2024

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1324

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1956

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:496

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2988

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2076

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1880

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1040

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1900

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1940

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1948

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2164

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2008

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1196

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2844

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:760

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1828

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3068

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2732

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1608

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1600

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2564

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1660

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2340

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1708

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2036

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2516

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2448

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2580

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2944

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2656

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1896

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2804

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1724

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1744

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2828

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1960

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2188

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2536

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1312

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2088

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1244

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1884

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:804

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2796

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2336

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1916

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2884

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1740

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2420

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1308

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1564

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2024

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2876

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2300

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:496

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:616

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1628

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1880

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:612

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1924

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1940

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:952

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:324

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2044

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:836

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2248

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3032

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1988

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1832

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2732

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2520

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2716

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2564

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:876

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2392

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2440

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1892

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2700

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2544

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2236

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2720

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2656

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2504

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1068

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2692

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1732

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2812

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2792

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1680

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2468

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1652

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2788

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3036

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2480

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2492

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2752

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2748

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2796

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2072

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1740

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2292

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2104

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1216

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1308

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2528

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2032

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2304

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1616

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1488

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1876

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3012

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:580

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1500

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1612

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:324

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:952

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1940

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2248

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2164

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1952

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1580

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2844

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2208

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2784

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:996

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1600

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2628

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2588

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1708

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2700

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1712

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2448

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2204

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2852

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3052

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1068

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1080

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1704

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2812

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1960

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2776

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1084

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1680

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2972

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1312

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1288

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1652

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2752

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2832

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2756

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2084

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2100

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2748

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2104

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1916

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1564

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2420

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:588

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:696

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:488

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2876

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2880

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3012

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:560

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2076

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:612

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1500

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:580

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1392

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2908

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:324

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1720

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:836

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1368

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3068

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1728

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2844

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1608

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2896

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2520

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2340

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1700

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2996

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2532

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2280

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2456

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2464

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1436

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2764

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2580

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1704

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1068

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2556

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1960

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2936

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2188

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1204

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1084

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2088

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1288

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1312

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:804

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2508

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2832

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1604

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:536

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:332

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2688

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2012

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2116

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1912

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2316

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1156

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1284

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2880

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2924

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2600

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1876

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:616

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1944

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2900

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1356

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1948

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:324

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1392

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2960

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2008

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2208

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2724

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1988

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1820

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2252

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2520

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1660

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2816

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2856

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2392

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2516

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2260

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2532

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2496

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2036

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1896

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2692

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2656

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1080

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2940

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2776

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1960

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2912

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:956

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1204

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1244

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:568

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1884

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2072

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2832

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2508

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1004

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2328

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2100

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2292

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2104

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2688

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1616

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:808

MITRE ATT&CK Matrix ATT&CK v13

Initial Access

Execution

Persistence

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Defense Evasion

Modify Registry

T1112

Hide Artifacts

T1564

Hidden Files and Directories

T1564.001

Credential Access

Discovery

System Information Discovery

T1082

Lateral Movement

Collection

Exfiltration

Command and Control

Impact

Resource Development

Reconnaissance

Replay Monitor

Loading Replay Monitor...

Downloads

\Windows\SysWOW64\drivers\csrss.exe
Filesize
51KB

MD5
0d7e74b405367990d8a8b7c9379f4281

SHA1
07e2f55895bc3ba774051ddb22049ed2a04f58ea

SHA256
c9bab7daeb1ed49b9b5ab0bd23b59abb8558584c3d9e65cb8a4af14fc5078370

SHA512
e84fb58ae12ec95f919f6e351750546165199d9aa82bf25d8723bec006dcf626364a4e190aa7f12acf065b5d4c8fe3f6436a19d99dc58bf053d74be03e1019eb

Download Submit
\Windows\SysWOW64\drivers\taskmgr.exe
Filesize
51KB

MD5
999bf8f6b9a2fa99c41151eae93c200b

SHA1
2705e46e4e6af508360a841c2c5a812d503ae753

SHA256
15ea4b1cca452739b28479f8a6c57119d9fbb1a4dacf6a062aa2b3906cb0f757

SHA512
a690109df7930409df84a59315a878f826c2363a9b942f621a9f38dcd11deb61c339bb175629670937581e324edf728e26c55b2de202d013eab1e4399be9c32c

Download Submit
\Windows\system\userinit.exe
Filesize
51KB

MD5
373f1212ab12b5bc4c7041c52d0ee13f

SHA1
968fe85214a7c68796a0e77b16e7a0da203a1c01

SHA256
dddf0dea7a93dc332e695d8ad8f2ecc7dd619146880699eefa29893523a83bb6

SHA512
5f34e78123bbc5c7d106cf08d4b9ca101d73a1f56e33cced3d4a3dbef30468377f1d94f6118a98c51354d74bb190fa97e76f92270b3c9438f2c4030ebc3d58c3

Download Submit
memory/348-195-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/348-188-0x0000000000530000-0x0000000000556000-memory.dmp

Filesize
152KB

Download
memory/348-187-0x0000000000530000-0x0000000000556000-memory.dmp

Filesize
152KB

Download
memory/788-191-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/876-247-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1084-340-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1084-342-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1092-121-0x0000000001D30000-0x0000000001D56000-memory.dmp

Filesize
152KB

Download
memory/1192-214-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1192-220-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1216-331-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1272-152-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1288-113-0x00000000002C0000-0x00000000002E6000-memory.dmp

Filesize
152KB

Download
memory/1288-130-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1288-116-0x00000000003D0000-0x00000000003F6000-memory.dmp

Filesize
152KB

Download
memory/1324-206-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1324-204-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1392-233-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1520-334-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1520-345-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1520-338-0x00000000024A0000-0x00000000024C6000-memory.dmp

Filesize
152KB

Download
memory/1640-104-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1696-252-0x00000000003D0000-0x00000000003F6000-memory.dmp

Filesize
152KB

Download
memory/1708-278-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1724-231-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1752-355-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1812-207-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1880-211-0x00000000005C0000-0x00000000005E6000-memory.dmp

Filesize
152KB

Download
memory/1880-222-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1964-180-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1964-194-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2076-168-0x0000000000470000-0x0000000000496000-memory.dmp

Filesize
152KB

Download
memory/2112-174-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2112-159-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2112-163-0x0000000002580000-0x00000000025A6000-memory.dmp

Filesize
152KB

Download
memory/2120-0-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2120-11-0x0000000000550000-0x0000000000576000-memory.dmp

Filesize
152KB

Download
memory/2120-58-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2176-127-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2256-240-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2272-199-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2308-245-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2356-225-0x0000000001EC0000-0x0000000001EE6000-memory.dmp

Filesize
152KB

Download
memory/2356-215-0x0000000001EC0000-0x0000000001EE6000-memory.dmp

Filesize
152KB

Download
memory/2356-184-0x0000000001EC0000-0x0000000001EE6000-memory.dmp

Filesize
152KB

Download
memory/2356-346-0x0000000001EC0000-0x0000000001EE6000-memory.dmp

Filesize
152KB

Download
memory/2356-179-0x0000000001EC0000-0x0000000001EE6000-memory.dmp

Filesize
152KB

Download
memory/2356-90-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2356-108-0x0000000001EC0000-0x0000000001EE6000-memory.dmp

Filesize
152KB

Download
memory/2356-198-0x0000000001EC0000-0x0000000001EE6000-memory.dmp

Filesize
152KB

Download
memory/2356-109-0x0000000001EC0000-0x0000000001EE6000-memory.dmp

Filesize
152KB

Download
memory/2356-333-0x0000000001EC0000-0x0000000001EE6000-memory.dmp

Filesize
152KB

Download
memory/2356-332-0x0000000001EC0000-0x0000000001EE6000-memory.dmp

Filesize
152KB

Download
memory/2356-134-0x0000000001EC0000-0x0000000001EE6000-memory.dmp

Filesize
152KB

Download
memory/2356-330-0x0000000001EC0000-0x0000000001EE6000-memory.dmp

Filesize
152KB

Download
memory/2356-302-0x0000000001EC0000-0x0000000001EE6000-memory.dmp

Filesize
152KB

Download
memory/2356-26-0x0000000001EC0000-0x0000000001EE6000-memory.dmp

Filesize
152KB

Download
memory/2356-135-0x0000000001EC0000-0x0000000001EE6000-memory.dmp

Filesize
152KB

Download
memory/2356-328-0x0000000001EC0000-0x0000000001EE6000-memory.dmp

Filesize
152KB

Download
memory/2356-301-0x0000000001EC0000-0x0000000001EE6000-memory.dmp

Filesize
152KB

Download
memory/2356-316-0x0000000001EC0000-0x0000000001EE6000-memory.dmp

Filesize
152KB

Download
memory/2356-63-0x0000000001EC0000-0x0000000001EE6000-memory.dmp

Filesize
152KB

Download
memory/2356-62-0x0000000001EC0000-0x0000000001EE6000-memory.dmp

Filesize
152KB

Download
memory/2356-284-0x0000000001EC0000-0x0000000001EE6000-memory.dmp

Filesize
152KB

Download
memory/2356-123-0x0000000001EC0000-0x0000000001EE6000-memory.dmp

Filesize
152KB

Download
memory/2356-285-0x0000000001EC0000-0x0000000001EE6000-memory.dmp

Filesize
152KB

Download
memory/2356-25-0x0000000001EC0000-0x0000000001EE6000-memory.dmp

Filesize
152KB

Download
memory/2356-250-0x0000000001EC0000-0x0000000001EE6000-memory.dmp

Filesize
152KB

Download
memory/2356-249-0x0000000001EC0000-0x0000000001EE6000-memory.dmp

Filesize
152KB

Download
memory/2428-153-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2444-308-0x0000000002420000-0x0000000002446000-memory.dmp

Filesize
152KB

Download
memory/2444-75-0x0000000002710000-0x0000000002736000-memory.dmp

Filesize
152KB

Download
memory/2444-83-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2460-291-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2476-283-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2492-303-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2516-79-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2516-295-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2520-258-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2540-269-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2588-267-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2628-264-0x0000000000440000-0x0000000000466000-memory.dmp

Filesize
152KB

Download
memory/2628-270-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2644-41-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2644-57-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2688-151-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2688-143-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2700-288-0x00000000003C0000-0x00000000003E6000-memory.dmp

Filesize
152KB

Download
memory/2700-298-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2724-281-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2724-273-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2772-325-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2772-320-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2788-100-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2820-309-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2820-311-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2824-319-0x0000000001C20000-0x0000000001C46000-memory.dmp

Filesize
152KB

Download
memory/2832-102-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2840-53-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2840-40-0x0000000000470000-0x0000000000496000-memory.dmp

Filesize
152KB

Download
memory/2840-27-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2900-235-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2900-226-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2952-64-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2952-82-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3024-55-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3060-218-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Matrix ATT&CK v13

Replay Monitor

Loading Replay Monitor...

Downloads