xmrig | 9609a7ddac4d1f38fc74fded2b1ece43369ed641d310f8bfe183bb1ea68dc04f

Analysis

max time kernel
136s
max time network
124s
platform
windows10-2004_x64
resource
win10v2004-20240508-en
resource tags

arch:x64arch:x86image:win10v2004-20240508-enlocale:en-usos:windows10-2004-x64system
submitted
23-05-2024 06:06

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
Size

3.1MB
MD5

2fbe3306057c49dac2b0d340f58b7a60
SHA1

5eb1e2c1f71ab0c9fd0174683dc4f31ee6f68306
SHA256

9609a7ddac4d1f38fc74fded2b1ece43369ed641d310f8bfe183bb1ea68dc04f
SHA512

3f3dcdca28bb5ceb461e4671f4e3dd219714350b1d544490f8594a826c9f684937f3cea5d6cfbf1079861a70af0757af299ab1abd9c78ce7287e9fca8ac2a0c4
SSDEEP

98304:N0GnJMOWPClFdx6e0EALKWVTffZiPAcRq6jHjc40b:NFWPClFkb

Score

10^/10

xmrig miner upx

Malware Config

Signatures

xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 64 IoCs

miner

Processes:

resource	yara_rule
behavioral2/memory/4020-0-0x00007FF7D5CE0000-0x00007FF7D60D5000-memory.dmp	xmrig
C:\Windows\System32\XOFxPPr.exe	xmrig
C:\Windows\System32\aFHxsml.exe	xmrig
C:\Windows\System32\cShMlDf.exe	xmrig
behavioral2/memory/1756-26-0x00007FF74F9E0000-0x00007FF74FDD5000-memory.dmp	xmrig
C:\Windows\System32\CMxsfHw.exe	xmrig
C:\Windows\System32\kUwowtX.exe	xmrig
C:\Windows\System32\PwWeGdN.exe	xmrig
C:\Windows\System32\pIbTniH.exe	xmrig
C:\Windows\System32\pRgxZtN.exe	xmrig
C:\Windows\System32\RMdTPBp.exe	xmrig
C:\Windows\System32\LxbXNGP.exe	xmrig
C:\Windows\System32\CwAqhex.exe	xmrig
behavioral2/memory/1604-837-0x00007FF73ADA0000-0x00007FF73B195000-memory.dmp	xmrig
C:\Windows\System32\LScabhP.exe	xmrig
C:\Windows\System32\krZuBUP.exe	xmrig
C:\Windows\System32\cOOtBAS.exe	xmrig
C:\Windows\System32\SooEtNZ.exe	xmrig
C:\Windows\System32\NMYpqYR.exe	xmrig
C:\Windows\System32\WZjsFMI.exe	xmrig
C:\Windows\System32\KzhiVof.exe	xmrig
C:\Windows\System32\gofTyxs.exe	xmrig
C:\Windows\System32\yDCPiSO.exe	xmrig
C:\Windows\System32\WakzAbm.exe	xmrig
C:\Windows\System32\YVWCKHb.exe	xmrig
C:\Windows\System32\bhtasbg.exe	xmrig
C:\Windows\System32\sUxhuKF.exe	xmrig
C:\Windows\System32\KPDBITX.exe	xmrig
C:\Windows\System32\QPhDmpm.exe	xmrig
C:\Windows\System32\zUohcRj.exe	xmrig
C:\Windows\System32\XrBImdh.exe	xmrig
C:\Windows\System32\pZKbnrT.exe	xmrig
C:\Windows\System32\ubAGkrS.exe	xmrig
C:\Windows\System32\kyiXJbS.exe	xmrig
behavioral2/memory/4908-31-0x00007FF660260000-0x00007FF660655000-memory.dmp	xmrig
behavioral2/memory/3096-19-0x00007FF68E540000-0x00007FF68E935000-memory.dmp	xmrig
C:\Windows\System32\aahdLgT.exe	xmrig
behavioral2/memory/1320-13-0x00007FF797650000-0x00007FF797A45000-memory.dmp	xmrig
behavioral2/memory/2572-840-0x00007FF64D420000-0x00007FF64D815000-memory.dmp	xmrig
behavioral2/memory/4992-843-0x00007FF6F8B20000-0x00007FF6F8F15000-memory.dmp	xmrig
behavioral2/memory/1648-847-0x00007FF6902E0000-0x00007FF6906D5000-memory.dmp	xmrig
behavioral2/memory/1200-851-0x00007FF6E2340000-0x00007FF6E2735000-memory.dmp	xmrig
behavioral2/memory/2120-853-0x00007FF62FAE0000-0x00007FF62FED5000-memory.dmp	xmrig
behavioral2/memory/1952-860-0x00007FF73DDC0000-0x00007FF73E1B5000-memory.dmp	xmrig
behavioral2/memory/4716-865-0x00007FF786420000-0x00007FF786815000-memory.dmp	xmrig
behavioral2/memory/3680-869-0x00007FF729430000-0x00007FF729825000-memory.dmp	xmrig
behavioral2/memory/1508-874-0x00007FF6EF640000-0x00007FF6EFA35000-memory.dmp	xmrig
behavioral2/memory/4928-880-0x00007FF6BE6B0000-0x00007FF6BEAA5000-memory.dmp	xmrig
behavioral2/memory/1424-882-0x00007FF7194E0000-0x00007FF7198D5000-memory.dmp	xmrig
behavioral2/memory/1940-893-0x00007FF639880000-0x00007FF639C75000-memory.dmp	xmrig
behavioral2/memory/4332-894-0x00007FF6D0C00000-0x00007FF6D0FF5000-memory.dmp	xmrig
behavioral2/memory/1848-899-0x00007FF69C690000-0x00007FF69CA85000-memory.dmp	xmrig
behavioral2/memory/448-900-0x00007FF641CE0000-0x00007FF6420D5000-memory.dmp	xmrig
behavioral2/memory/5016-901-0x00007FF740CF0000-0x00007FF7410E5000-memory.dmp	xmrig
behavioral2/memory/3556-902-0x00007FF6C97C0000-0x00007FF6C9BB5000-memory.dmp	xmrig
behavioral2/memory/2652-895-0x00007FF737F60000-0x00007FF738355000-memory.dmp	xmrig
behavioral2/memory/1556-892-0x00007FF7A71B0000-0x00007FF7A75A5000-memory.dmp	xmrig
behavioral2/memory/4020-1881-0x00007FF7D5CE0000-0x00007FF7D60D5000-memory.dmp	xmrig
behavioral2/memory/4908-1882-0x00007FF660260000-0x00007FF660655000-memory.dmp	xmrig
behavioral2/memory/1320-1883-0x00007FF797650000-0x00007FF797A45000-memory.dmp	xmrig
behavioral2/memory/3096-1884-0x00007FF68E540000-0x00007FF68E935000-memory.dmp	xmrig
behavioral2/memory/1756-1885-0x00007FF74F9E0000-0x00007FF74FDD5000-memory.dmp	xmrig
behavioral2/memory/1604-1886-0x00007FF73ADA0000-0x00007FF73B195000-memory.dmp	xmrig
behavioral2/memory/4908-1887-0x00007FF660260000-0x00007FF660655000-memory.dmp	xmrig

Executes dropped EXE 64 IoCs

Processes:

XOFxPPr.exeaFHxsml.exeaahdLgT.execShMlDf.exeCMxsfHw.exekyiXJbS.exekUwowtX.exePwWeGdN.exeubAGkrS.exepZKbnrT.exeXrBImdh.exezUohcRj.exeQPhDmpm.exepIbTniH.exeKPDBITX.exepRgxZtN.exesUxhuKF.exeRMdTPBp.exebhtasbg.exeLxbXNGP.exeYVWCKHb.exeWakzAbm.exeyDCPiSO.exegofTyxs.exeKzhiVof.exeWZjsFMI.exeNMYpqYR.exeCwAqhex.exeSooEtNZ.execOOtBAS.exekrZuBUP.exeLScabhP.exeiMkAnhr.exeVrCpGzb.exeLMYhEHi.exeLGechAV.exePQFTiVY.exeJLvcCHK.exeKuRSiUm.exejvWkDLU.exevQfsUfV.exeQoUWsDd.exexIurDFT.exedZEDcZz.exeUCNSvcn.exerJAhLFF.exeEyOXsWj.exeHsjbCgj.exebybAeSO.exengsiQqw.exeYqyCVnS.exeXfsLxja.exerhdRvkY.exezrIvcei.exedtCeAyy.exefWIdiMN.exehRicXLt.exeOcDGbRl.exegUoMotn.exeWhyESRf.exeeyctItL.exeuWycEdZ.exeeWfvsFY.exenynNHXn.exe

pid	process
1320	XOFxPPr.exe
3096	aFHxsml.exe
1756	aahdLgT.exe
1604	cShMlDf.exe
4908	CMxsfHw.exe
3556	kyiXJbS.exe
2572	kUwowtX.exe
4992	PwWeGdN.exe
1648	ubAGkrS.exe
1200	pZKbnrT.exe
2120	XrBImdh.exe
1952	zUohcRj.exe
4716	QPhDmpm.exe
3680	pIbTniH.exe
1508	KPDBITX.exe
4928	pRgxZtN.exe
1424	sUxhuKF.exe
1556	RMdTPBp.exe
1940	bhtasbg.exe
4332	LxbXNGP.exe
2652	YVWCKHb.exe
1848	WakzAbm.exe
448	yDCPiSO.exe
5016	gofTyxs.exe
3160	KzhiVof.exe
392	WZjsFMI.exe
4456	NMYpqYR.exe
2172	CwAqhex.exe
404	SooEtNZ.exe
1976	cOOtBAS.exe
1636	krZuBUP.exe
1968	LScabhP.exe
4768	iMkAnhr.exe
1324	VrCpGzb.exe
3844	LMYhEHi.exe
1272	LGechAV.exe
4472	PQFTiVY.exe
64	JLvcCHK.exe
1416	KuRSiUm.exe
3736	jvWkDLU.exe
1696	vQfsUfV.exe
1660	QoUWsDd.exe
4364	xIurDFT.exe
5108	dZEDcZz.exe
820	UCNSvcn.exe
4204	rJAhLFF.exe
4828	EyOXsWj.exe
2040	HsjbCgj.exe
4976	bybAeSO.exe
4432	ngsiQqw.exe
4440	YqyCVnS.exe
604	XfsLxja.exe
3168	rhdRvkY.exe
1948	zrIvcei.exe
868	dtCeAyy.exe
1004	fWIdiMN.exe
2372	hRicXLt.exe
2964	OcDGbRl.exe
3304	gUoMotn.exe
3548	WhyESRf.exe
2296	eyctItL.exe
1248	uWycEdZ.exe
3884	eWfvsFY.exe
1348	nynNHXn.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

Processes:

resource	yara_rule
behavioral2/memory/4020-0-0x00007FF7D5CE0000-0x00007FF7D60D5000-memory.dmp	upx
C:\Windows\System32\XOFxPPr.exe	upx
C:\Windows\System32\aFHxsml.exe	upx
C:\Windows\System32\cShMlDf.exe	upx
behavioral2/memory/1756-26-0x00007FF74F9E0000-0x00007FF74FDD5000-memory.dmp	upx
C:\Windows\System32\CMxsfHw.exe	upx
C:\Windows\System32\kUwowtX.exe	upx
C:\Windows\System32\PwWeGdN.exe	upx
C:\Windows\System32\pIbTniH.exe	upx
C:\Windows\System32\pRgxZtN.exe	upx
C:\Windows\System32\RMdTPBp.exe	upx
C:\Windows\System32\LxbXNGP.exe	upx
C:\Windows\System32\CwAqhex.exe	upx
behavioral2/memory/1604-837-0x00007FF73ADA0000-0x00007FF73B195000-memory.dmp	upx
C:\Windows\System32\LScabhP.exe	upx
C:\Windows\System32\krZuBUP.exe	upx
C:\Windows\System32\cOOtBAS.exe	upx
C:\Windows\System32\SooEtNZ.exe	upx
C:\Windows\System32\NMYpqYR.exe	upx
C:\Windows\System32\WZjsFMI.exe	upx
C:\Windows\System32\KzhiVof.exe	upx
C:\Windows\System32\gofTyxs.exe	upx
C:\Windows\System32\yDCPiSO.exe	upx
C:\Windows\System32\WakzAbm.exe	upx
C:\Windows\System32\YVWCKHb.exe	upx
C:\Windows\System32\bhtasbg.exe	upx
C:\Windows\System32\sUxhuKF.exe	upx
C:\Windows\System32\KPDBITX.exe	upx
C:\Windows\System32\QPhDmpm.exe	upx
C:\Windows\System32\zUohcRj.exe	upx
C:\Windows\System32\XrBImdh.exe	upx
C:\Windows\System32\pZKbnrT.exe	upx
C:\Windows\System32\ubAGkrS.exe	upx
C:\Windows\System32\kyiXJbS.exe	upx
behavioral2/memory/4908-31-0x00007FF660260000-0x00007FF660655000-memory.dmp	upx
behavioral2/memory/3096-19-0x00007FF68E540000-0x00007FF68E935000-memory.dmp	upx
C:\Windows\System32\aahdLgT.exe	upx
behavioral2/memory/1320-13-0x00007FF797650000-0x00007FF797A45000-memory.dmp	upx
behavioral2/memory/2572-840-0x00007FF64D420000-0x00007FF64D815000-memory.dmp	upx
behavioral2/memory/4992-843-0x00007FF6F8B20000-0x00007FF6F8F15000-memory.dmp	upx
behavioral2/memory/1648-847-0x00007FF6902E0000-0x00007FF6906D5000-memory.dmp	upx
behavioral2/memory/1200-851-0x00007FF6E2340000-0x00007FF6E2735000-memory.dmp	upx
behavioral2/memory/2120-853-0x00007FF62FAE0000-0x00007FF62FED5000-memory.dmp	upx
behavioral2/memory/1952-860-0x00007FF73DDC0000-0x00007FF73E1B5000-memory.dmp	upx
behavioral2/memory/4716-865-0x00007FF786420000-0x00007FF786815000-memory.dmp	upx
behavioral2/memory/3680-869-0x00007FF729430000-0x00007FF729825000-memory.dmp	upx
behavioral2/memory/1508-874-0x00007FF6EF640000-0x00007FF6EFA35000-memory.dmp	upx
behavioral2/memory/4928-880-0x00007FF6BE6B0000-0x00007FF6BEAA5000-memory.dmp	upx
behavioral2/memory/1424-882-0x00007FF7194E0000-0x00007FF7198D5000-memory.dmp	upx
behavioral2/memory/1940-893-0x00007FF639880000-0x00007FF639C75000-memory.dmp	upx
behavioral2/memory/4332-894-0x00007FF6D0C00000-0x00007FF6D0FF5000-memory.dmp	upx
behavioral2/memory/1848-899-0x00007FF69C690000-0x00007FF69CA85000-memory.dmp	upx
behavioral2/memory/448-900-0x00007FF641CE0000-0x00007FF6420D5000-memory.dmp	upx
behavioral2/memory/5016-901-0x00007FF740CF0000-0x00007FF7410E5000-memory.dmp	upx
behavioral2/memory/3556-902-0x00007FF6C97C0000-0x00007FF6C9BB5000-memory.dmp	upx
behavioral2/memory/2652-895-0x00007FF737F60000-0x00007FF738355000-memory.dmp	upx
behavioral2/memory/1556-892-0x00007FF7A71B0000-0x00007FF7A75A5000-memory.dmp	upx
behavioral2/memory/4020-1881-0x00007FF7D5CE0000-0x00007FF7D60D5000-memory.dmp	upx
behavioral2/memory/4908-1882-0x00007FF660260000-0x00007FF660655000-memory.dmp	upx
behavioral2/memory/1320-1883-0x00007FF797650000-0x00007FF797A45000-memory.dmp	upx
behavioral2/memory/3096-1884-0x00007FF68E540000-0x00007FF68E935000-memory.dmp	upx
behavioral2/memory/1756-1885-0x00007FF74F9E0000-0x00007FF74FDD5000-memory.dmp	upx
behavioral2/memory/1604-1886-0x00007FF73ADA0000-0x00007FF73B195000-memory.dmp	upx
behavioral2/memory/4908-1887-0x00007FF660260000-0x00007FF660655000-memory.dmp	upx

Drops file in System32 directory 64 IoCs

Processes:

2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe

description	ioc	process
File created	C:\Windows\System32\UAKNvsd.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\odkXjnL.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\ZBcmtKa.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\CcvnjSf.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\fKJyKPV.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\kehUZeI.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\GzNZOxo.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\MJTidMC.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\gnKOvaH.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\asggmgL.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\zOqPjJS.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\LSaqdrc.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\pciHyhm.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\HsjbCgj.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\FFxdUjb.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\FuudoNd.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\cIFiznP.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\YsgRGBy.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\gtPArqq.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\TgfGYdN.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\cVnaBIJ.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\lmwTFUf.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\zrTuCPh.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\enmjfOG.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\mAsQUMK.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\dVCuwxP.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\njWtomQ.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\HDWQcau.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\qhofOCF.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\tZnIHba.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\ewaXJnZ.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\MyAIEpI.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\BYrtAwK.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\MIZWztS.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\EGLlKux.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\EdexTDn.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\lHcuRKg.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\VclBfrV.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\CkVpEIl.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\jcXsdRr.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\ckwJmhT.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\aahdLgT.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\LScabhP.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\FoHXIOv.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\NhBtNxQ.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\IUtiGyc.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\MPRhJrK.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\GeOwSrL.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\TbSfkAy.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\cFziAHf.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\ZXWrust.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\ImuxBvL.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\STQxkxB.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\LNuzOOS.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\BRLBfel.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\KzhiVof.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\fhFQybj.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\KSHuEnb.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\YZozsbB.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\hKfPzzz.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\SKOVTEY.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\vEHoqND.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\ccNQjei.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
File created	C:\Windows\System32\dZEDcZz.exe	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe

Checks SCSI registry key(s) 3 TTPs 6 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

Processes:

dwm.exe

description	ioc	process
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\HardwareID	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_QEMU&PROD_QEMU_DVD-ROM\4&215468A5&0&010000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_DADY&PROD_HARDDISK\4&215468A5&0&000000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\ConfigFlags	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe

Enumerates system info in registry 2 TTPs 2 IoCs

Query Registry

T1012

System Information Discovery

T1082

Processes:

dwm.exe

description	ioc	process
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe

Modifies data under HKEY_USERS 18 IoCs

Processes:

dwm.exe

description	ioc	process
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2a\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe

Suspicious use of AdjustPrivilegeToken 6 IoCs

Processes:

dwm.exe

description	pid	process
Token: SeCreateGlobalPrivilege	552	dwm.exe
Token: SeChangeNotifyPrivilege	552	dwm.exe
Token: 33	552	dwm.exe
Token: SeIncBasePriorityPrivilege	552	dwm.exe
Token: SeShutdownPrivilege	552	dwm.exe
Token: SeCreatePagefilePrivilege	552	dwm.exe

Suspicious use of WriteProcessMemory 64 IoCs

Processes:

2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe

description	pid	process	target process
PID 4020 wrote to memory of 1320	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	XOFxPPr.exe
PID 4020 wrote to memory of 1320	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	XOFxPPr.exe
PID 4020 wrote to memory of 3096	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	aFHxsml.exe
PID 4020 wrote to memory of 3096	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	aFHxsml.exe
PID 4020 wrote to memory of 1756	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	aahdLgT.exe
PID 4020 wrote to memory of 1756	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	aahdLgT.exe
PID 4020 wrote to memory of 1604	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	cShMlDf.exe
PID 4020 wrote to memory of 1604	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	cShMlDf.exe
PID 4020 wrote to memory of 4908	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	CMxsfHw.exe
PID 4020 wrote to memory of 4908	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	CMxsfHw.exe
PID 4020 wrote to memory of 3556	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	kyiXJbS.exe
PID 4020 wrote to memory of 3556	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	kyiXJbS.exe
PID 4020 wrote to memory of 2572	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	kUwowtX.exe
PID 4020 wrote to memory of 2572	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	kUwowtX.exe
PID 4020 wrote to memory of 4992	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	PwWeGdN.exe
PID 4020 wrote to memory of 4992	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	PwWeGdN.exe
PID 4020 wrote to memory of 1648	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	ubAGkrS.exe
PID 4020 wrote to memory of 1648	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	ubAGkrS.exe
PID 4020 wrote to memory of 1200	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	pZKbnrT.exe
PID 4020 wrote to memory of 1200	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	pZKbnrT.exe
PID 4020 wrote to memory of 2120	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	XrBImdh.exe
PID 4020 wrote to memory of 2120	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	XrBImdh.exe
PID 4020 wrote to memory of 1952	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	zUohcRj.exe
PID 4020 wrote to memory of 1952	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	zUohcRj.exe
PID 4020 wrote to memory of 4716	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	QPhDmpm.exe
PID 4020 wrote to memory of 4716	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	QPhDmpm.exe
PID 4020 wrote to memory of 3680	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	pIbTniH.exe
PID 4020 wrote to memory of 3680	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	pIbTniH.exe
PID 4020 wrote to memory of 1508	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	KPDBITX.exe
PID 4020 wrote to memory of 1508	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	KPDBITX.exe
PID 4020 wrote to memory of 4928	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	pRgxZtN.exe
PID 4020 wrote to memory of 4928	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	pRgxZtN.exe
PID 4020 wrote to memory of 1424	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	sUxhuKF.exe
PID 4020 wrote to memory of 1424	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	sUxhuKF.exe
PID 4020 wrote to memory of 1556	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	RMdTPBp.exe
PID 4020 wrote to memory of 1556	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	RMdTPBp.exe
PID 4020 wrote to memory of 1940	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	bhtasbg.exe
PID 4020 wrote to memory of 1940	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	bhtasbg.exe
PID 4020 wrote to memory of 4332	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	LxbXNGP.exe
PID 4020 wrote to memory of 4332	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	LxbXNGP.exe
PID 4020 wrote to memory of 2652	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	YVWCKHb.exe
PID 4020 wrote to memory of 2652	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	YVWCKHb.exe
PID 4020 wrote to memory of 1848	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	WakzAbm.exe
PID 4020 wrote to memory of 1848	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	WakzAbm.exe
PID 4020 wrote to memory of 448	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	yDCPiSO.exe
PID 4020 wrote to memory of 448	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	yDCPiSO.exe
PID 4020 wrote to memory of 5016	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	gofTyxs.exe
PID 4020 wrote to memory of 5016	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	gofTyxs.exe
PID 4020 wrote to memory of 3160	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	KzhiVof.exe
PID 4020 wrote to memory of 3160	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	KzhiVof.exe
PID 4020 wrote to memory of 392	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	WZjsFMI.exe
PID 4020 wrote to memory of 392	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	WZjsFMI.exe
PID 4020 wrote to memory of 4456	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	NMYpqYR.exe
PID 4020 wrote to memory of 4456	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	NMYpqYR.exe
PID 4020 wrote to memory of 2172	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	CwAqhex.exe
PID 4020 wrote to memory of 2172	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	CwAqhex.exe
PID 4020 wrote to memory of 404	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	SooEtNZ.exe
PID 4020 wrote to memory of 404	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	SooEtNZ.exe
PID 4020 wrote to memory of 1976	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	cOOtBAS.exe
PID 4020 wrote to memory of 1976	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	cOOtBAS.exe
PID 4020 wrote to memory of 1636	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	krZuBUP.exe
PID 4020 wrote to memory of 1636	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	krZuBUP.exe
PID 4020 wrote to memory of 1968	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	LScabhP.exe
PID 4020 wrote to memory of 1968	4020	2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe	LScabhP.exe

C:\Users\Admin\AppData\Local\Temp\2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe
"C:\Users\Admin\AppData\Local\Temp\2fbe3306057c49dac2b0d340f58b7a60_NeikiAnalytics.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:4020

C:\Windows\System32\XOFxPPr.exe
C:\Windows\System32\XOFxPPr.exe
2⤵
- Executes dropped EXE
PID:1320

C:\Windows\System32\aFHxsml.exe
C:\Windows\System32\aFHxsml.exe
2⤵
- Executes dropped EXE
PID:3096

C:\Windows\System32\aahdLgT.exe
C:\Windows\System32\aahdLgT.exe
2⤵
- Executes dropped EXE
PID:1756

C:\Windows\System32\cShMlDf.exe
C:\Windows\System32\cShMlDf.exe
2⤵
- Executes dropped EXE
PID:1604

C:\Windows\System32\CMxsfHw.exe
C:\Windows\System32\CMxsfHw.exe
2⤵
- Executes dropped EXE
PID:4908

C:\Windows\System32\kyiXJbS.exe
C:\Windows\System32\kyiXJbS.exe
2⤵
- Executes dropped EXE
PID:3556

C:\Windows\System32\kUwowtX.exe
C:\Windows\System32\kUwowtX.exe
2⤵
- Executes dropped EXE
PID:2572

C:\Windows\System32\PwWeGdN.exe
C:\Windows\System32\PwWeGdN.exe
2⤵
- Executes dropped EXE
PID:4992

C:\Windows\System32\ubAGkrS.exe
C:\Windows\System32\ubAGkrS.exe
2⤵
- Executes dropped EXE
PID:1648

C:\Windows\System32\pZKbnrT.exe
C:\Windows\System32\pZKbnrT.exe
2⤵
- Executes dropped EXE
PID:1200

C:\Windows\System32\XrBImdh.exe
C:\Windows\System32\XrBImdh.exe
2⤵
- Executes dropped EXE
PID:2120

C:\Windows\System32\zUohcRj.exe
C:\Windows\System32\zUohcRj.exe
2⤵
- Executes dropped EXE
PID:1952

C:\Windows\System32\QPhDmpm.exe
C:\Windows\System32\QPhDmpm.exe
2⤵
- Executes dropped EXE
PID:4716

C:\Windows\System32\pIbTniH.exe
C:\Windows\System32\pIbTniH.exe
2⤵
- Executes dropped EXE
PID:3680

C:\Windows\System32\KPDBITX.exe
C:\Windows\System32\KPDBITX.exe
2⤵
- Executes dropped EXE
PID:1508

C:\Windows\System32\pRgxZtN.exe
C:\Windows\System32\pRgxZtN.exe
2⤵
- Executes dropped EXE
PID:4928

C:\Windows\System32\sUxhuKF.exe
C:\Windows\System32\sUxhuKF.exe
2⤵
- Executes dropped EXE
PID:1424

C:\Windows\System32\RMdTPBp.exe
C:\Windows\System32\RMdTPBp.exe
2⤵
- Executes dropped EXE
PID:1556

C:\Windows\System32\bhtasbg.exe
C:\Windows\System32\bhtasbg.exe
2⤵
- Executes dropped EXE
PID:1940

C:\Windows\System32\LxbXNGP.exe
C:\Windows\System32\LxbXNGP.exe
2⤵
- Executes dropped EXE
PID:4332

C:\Windows\System32\YVWCKHb.exe
C:\Windows\System32\YVWCKHb.exe
2⤵
- Executes dropped EXE
PID:2652

C:\Windows\System32\WakzAbm.exe
C:\Windows\System32\WakzAbm.exe
2⤵
- Executes dropped EXE
PID:1848

C:\Windows\System32\yDCPiSO.exe
C:\Windows\System32\yDCPiSO.exe
2⤵
- Executes dropped EXE
PID:448

C:\Windows\System32\gofTyxs.exe
C:\Windows\System32\gofTyxs.exe
2⤵
- Executes dropped EXE
PID:5016

C:\Windows\System32\KzhiVof.exe
C:\Windows\System32\KzhiVof.exe
2⤵
- Executes dropped EXE
PID:3160

C:\Windows\System32\WZjsFMI.exe
C:\Windows\System32\WZjsFMI.exe
2⤵
- Executes dropped EXE
PID:392

C:\Windows\System32\NMYpqYR.exe
C:\Windows\System32\NMYpqYR.exe
2⤵
- Executes dropped EXE
PID:4456

C:\Windows\System32\CwAqhex.exe
C:\Windows\System32\CwAqhex.exe
2⤵
- Executes dropped EXE
PID:2172

C:\Windows\System32\SooEtNZ.exe
C:\Windows\System32\SooEtNZ.exe
2⤵
- Executes dropped EXE
PID:404

C:\Windows\System32\cOOtBAS.exe
C:\Windows\System32\cOOtBAS.exe
2⤵
- Executes dropped EXE
PID:1976

C:\Windows\System32\krZuBUP.exe
C:\Windows\System32\krZuBUP.exe
2⤵
- Executes dropped EXE
PID:1636

C:\Windows\System32\LScabhP.exe
C:\Windows\System32\LScabhP.exe
2⤵
- Executes dropped EXE
PID:1968

C:\Windows\System32\iMkAnhr.exe
C:\Windows\System32\iMkAnhr.exe
2⤵
- Executes dropped EXE
PID:4768

C:\Windows\System32\VrCpGzb.exe
C:\Windows\System32\VrCpGzb.exe
2⤵
- Executes dropped EXE
PID:1324

C:\Windows\System32\LMYhEHi.exe
C:\Windows\System32\LMYhEHi.exe
2⤵
- Executes dropped EXE
PID:3844

C:\Windows\System32\LGechAV.exe
C:\Windows\System32\LGechAV.exe
2⤵
- Executes dropped EXE
PID:1272

C:\Windows\System32\PQFTiVY.exe
C:\Windows\System32\PQFTiVY.exe
2⤵
- Executes dropped EXE
PID:4472

C:\Windows\System32\JLvcCHK.exe
C:\Windows\System32\JLvcCHK.exe
2⤵
- Executes dropped EXE
PID:64

C:\Windows\System32\KuRSiUm.exe
C:\Windows\System32\KuRSiUm.exe
2⤵
- Executes dropped EXE
PID:1416

C:\Windows\System32\jvWkDLU.exe
C:\Windows\System32\jvWkDLU.exe
2⤵
- Executes dropped EXE
PID:3736

C:\Windows\System32\vQfsUfV.exe
C:\Windows\System32\vQfsUfV.exe
2⤵
- Executes dropped EXE
PID:1696

C:\Windows\System32\QoUWsDd.exe
C:\Windows\System32\QoUWsDd.exe
2⤵
- Executes dropped EXE
PID:1660

C:\Windows\System32\xIurDFT.exe
C:\Windows\System32\xIurDFT.exe
2⤵
- Executes dropped EXE
PID:4364

C:\Windows\System32\dZEDcZz.exe
C:\Windows\System32\dZEDcZz.exe
2⤵
- Executes dropped EXE
PID:5108

C:\Windows\System32\UCNSvcn.exe
C:\Windows\System32\UCNSvcn.exe
2⤵
- Executes dropped EXE
PID:820

C:\Windows\System32\rJAhLFF.exe
C:\Windows\System32\rJAhLFF.exe
2⤵
- Executes dropped EXE
PID:4204

C:\Windows\System32\EyOXsWj.exe
C:\Windows\System32\EyOXsWj.exe
2⤵
- Executes dropped EXE
PID:4828

C:\Windows\System32\HsjbCgj.exe
C:\Windows\System32\HsjbCgj.exe
2⤵
- Executes dropped EXE
PID:2040

C:\Windows\System32\bybAeSO.exe
C:\Windows\System32\bybAeSO.exe
2⤵
- Executes dropped EXE
PID:4976

C:\Windows\System32\ngsiQqw.exe
C:\Windows\System32\ngsiQqw.exe
2⤵
- Executes dropped EXE
PID:4432

C:\Windows\System32\YqyCVnS.exe
C:\Windows\System32\YqyCVnS.exe
2⤵
- Executes dropped EXE
PID:4440

C:\Windows\System32\XfsLxja.exe
C:\Windows\System32\XfsLxja.exe
2⤵
- Executes dropped EXE
PID:604

C:\Windows\System32\rhdRvkY.exe
C:\Windows\System32\rhdRvkY.exe
2⤵
- Executes dropped EXE
PID:3168

C:\Windows\System32\zrIvcei.exe
C:\Windows\System32\zrIvcei.exe
2⤵
- Executes dropped EXE
PID:1948

C:\Windows\System32\dtCeAyy.exe
C:\Windows\System32\dtCeAyy.exe
2⤵
- Executes dropped EXE
PID:868

C:\Windows\System32\fWIdiMN.exe
C:\Windows\System32\fWIdiMN.exe
2⤵
- Executes dropped EXE
PID:1004

C:\Windows\System32\hRicXLt.exe
C:\Windows\System32\hRicXLt.exe
2⤵
- Executes dropped EXE
PID:2372

C:\Windows\System32\OcDGbRl.exe
C:\Windows\System32\OcDGbRl.exe
2⤵
- Executes dropped EXE
PID:2964

C:\Windows\System32\gUoMotn.exe
C:\Windows\System32\gUoMotn.exe
2⤵
- Executes dropped EXE
PID:3304

C:\Windows\System32\WhyESRf.exe
C:\Windows\System32\WhyESRf.exe
2⤵
- Executes dropped EXE
PID:3548

C:\Windows\System32\eyctItL.exe
C:\Windows\System32\eyctItL.exe
2⤵
- Executes dropped EXE
PID:2296

C:\Windows\System32\uWycEdZ.exe
C:\Windows\System32\uWycEdZ.exe
2⤵
- Executes dropped EXE
PID:1248

C:\Windows\System32\eWfvsFY.exe
C:\Windows\System32\eWfvsFY.exe
2⤵
- Executes dropped EXE
PID:3884

C:\Windows\System32\nynNHXn.exe
C:\Windows\System32\nynNHXn.exe
2⤵
- Executes dropped EXE
PID:1348

C:\Windows\System32\CcSLDpx.exe
C:\Windows\System32\CcSLDpx.exe
2⤵
PID:3988

C:\Windows\System32\QWzAeak.exe
C:\Windows\System32\QWzAeak.exe
2⤵
PID:1720

C:\Windows\System32\oTpxSJK.exe
C:\Windows\System32\oTpxSJK.exe
2⤵
PID:3252

C:\Windows\System32\PIuGwjB.exe
C:\Windows\System32\PIuGwjB.exe
2⤵
PID:4736

C:\Windows\System32\rcdRJtO.exe
C:\Windows\System32\rcdRJtO.exe
2⤵
PID:2052

C:\Windows\System32\eJIpWRb.exe
C:\Windows\System32\eJIpWRb.exe
2⤵
PID:3720

C:\Windows\System32\sunpCoK.exe
C:\Windows\System32\sunpCoK.exe
2⤵
PID:2292

C:\Windows\System32\xzOYkex.exe
C:\Windows\System32\xzOYkex.exe
2⤵
PID:960

C:\Windows\System32\FoHXIOv.exe
C:\Windows\System32\FoHXIOv.exe
2⤵
PID:1408

C:\Windows\System32\DbltoOb.exe
C:\Windows\System32\DbltoOb.exe
2⤵
PID:2980

C:\Windows\System32\JCcVgyc.exe
C:\Windows\System32\JCcVgyc.exe
2⤵
PID:2880

C:\Windows\System32\GeOwSrL.exe
C:\Windows\System32\GeOwSrL.exe
2⤵
PID:3872

C:\Windows\System32\HwmrGCI.exe
C:\Windows\System32\HwmrGCI.exe
2⤵
PID:1088

C:\Windows\System32\fhJzLPm.exe
C:\Windows\System32\fhJzLPm.exe
2⤵
PID:3788

C:\Windows\System32\dVCuwxP.exe
C:\Windows\System32\dVCuwxP.exe
2⤵
PID:416

C:\Windows\System32\dTxRjAb.exe
C:\Windows\System32\dTxRjAb.exe
2⤵
PID:3768

C:\Windows\System32\INaonHa.exe
C:\Windows\System32\INaonHa.exe
2⤵
PID:5148

C:\Windows\System32\TgfGYdN.exe
C:\Windows\System32\TgfGYdN.exe
2⤵
PID:5164

C:\Windows\System32\vwKUZJe.exe
C:\Windows\System32\vwKUZJe.exe
2⤵
PID:5204

C:\Windows\System32\aMewOQZ.exe
C:\Windows\System32\aMewOQZ.exe
2⤵
PID:5220

C:\Windows\System32\gXjaHkW.exe
C:\Windows\System32\gXjaHkW.exe
2⤵
PID:5260

C:\Windows\System32\mQJxlVl.exe
C:\Windows\System32\mQJxlVl.exe
2⤵
PID:5288

C:\Windows\System32\ZNiEWKE.exe
C:\Windows\System32\ZNiEWKE.exe
2⤵
PID:5304

C:\Windows\System32\yKeGnmp.exe
C:\Windows\System32\yKeGnmp.exe
2⤵
PID:5344

C:\Windows\System32\InlszmE.exe
C:\Windows\System32\InlszmE.exe
2⤵
PID:5372

C:\Windows\System32\hjdvlrC.exe
C:\Windows\System32\hjdvlrC.exe
2⤵
PID:5400

C:\Windows\System32\HMzfshl.exe
C:\Windows\System32\HMzfshl.exe
2⤵
PID:5416

C:\Windows\System32\cdQOUEM.exe
C:\Windows\System32\cdQOUEM.exe
2⤵
PID:5444

C:\Windows\System32\ecUosRD.exe
C:\Windows\System32\ecUosRD.exe
2⤵
PID:5484

C:\Windows\System32\sexZKuY.exe
C:\Windows\System32\sexZKuY.exe
2⤵
PID:5500

C:\Windows\System32\JbYrmJS.exe
C:\Windows\System32\JbYrmJS.exe
2⤵
PID:5540

C:\Windows\System32\WzaKHzJ.exe
C:\Windows\System32\WzaKHzJ.exe
2⤵
PID:5556

C:\Windows\System32\ySHFSjZ.exe
C:\Windows\System32\ySHFSjZ.exe
2⤵
PID:5596

C:\Windows\System32\JghvngO.exe
C:\Windows\System32\JghvngO.exe
2⤵
PID:5612

C:\Windows\System32\ktYZLRF.exe
C:\Windows\System32\ktYZLRF.exe
2⤵
PID:5640

C:\Windows\System32\PoJYbJu.exe
C:\Windows\System32\PoJYbJu.exe
2⤵
PID:5668

C:\Windows\System32\hatxqig.exe
C:\Windows\System32\hatxqig.exe
2⤵
PID:5696

C:\Windows\System32\EqnAWed.exe
C:\Windows\System32\EqnAWed.exe
2⤵
PID:5724

C:\Windows\System32\CZsmJSm.exe
C:\Windows\System32\CZsmJSm.exe
2⤵
PID:5752

C:\Windows\System32\oeBZAWk.exe
C:\Windows\System32\oeBZAWk.exe
2⤵
PID:5792

C:\Windows\System32\KCWusTk.exe
C:\Windows\System32\KCWusTk.exe
2⤵
PID:5820

C:\Windows\System32\mIENDMy.exe
C:\Windows\System32\mIENDMy.exe
2⤵
PID:5848

C:\Windows\System32\venlKxY.exe
C:\Windows\System32\venlKxY.exe
2⤵
PID:5864

C:\Windows\System32\rcWuDCX.exe
C:\Windows\System32\rcWuDCX.exe
2⤵
PID:5892

C:\Windows\System32\ZMNsjHw.exe
C:\Windows\System32\ZMNsjHw.exe
2⤵
PID:5932

C:\Windows\System32\AjKFMxB.exe
C:\Windows\System32\AjKFMxB.exe
2⤵
PID:5948

C:\Windows\System32\YPziaQG.exe
C:\Windows\System32\YPziaQG.exe
2⤵
PID:5988

C:\Windows\System32\fhFQybj.exe
C:\Windows\System32\fhFQybj.exe
2⤵
PID:6004

C:\Windows\System32\tjOlxcq.exe
C:\Windows\System32\tjOlxcq.exe
2⤵
PID:6044

C:\Windows\System32\wNRoIIw.exe
C:\Windows\System32\wNRoIIw.exe
2⤵
PID:6060

C:\Windows\System32\OdCUgzM.exe
C:\Windows\System32\OdCUgzM.exe
2⤵
PID:6088

C:\Windows\System32\rJdlptr.exe
C:\Windows\System32\rJdlptr.exe
2⤵
PID:6128

C:\Windows\System32\cVnaBIJ.exe
C:\Windows\System32\cVnaBIJ.exe
2⤵
PID:3208

C:\Windows\System32\ogTrYoc.exe
C:\Windows\System32\ogTrYoc.exe
2⤵
PID:4392

C:\Windows\System32\TbSfkAy.exe
C:\Windows\System32\TbSfkAy.exe
2⤵
PID:4520

C:\Windows\System32\scdGdCK.exe
C:\Windows\System32\scdGdCK.exe
2⤵
PID:4508

C:\Windows\System32\fPCSNLs.exe
C:\Windows\System32\fPCSNLs.exe
2⤵
PID:4948

C:\Windows\System32\ewaXJnZ.exe
C:\Windows\System32\ewaXJnZ.exe
2⤵
PID:5124

C:\Windows\System32\nCETrtp.exe
C:\Windows\System32\nCETrtp.exe
2⤵
PID:5188

C:\Windows\System32\boVMqmc.exe
C:\Windows\System32\boVMqmc.exe
2⤵
PID:5236

C:\Windows\System32\nTvRPzd.exe
C:\Windows\System32\nTvRPzd.exe
2⤵
PID:5328

C:\Windows\System32\GzNZOxo.exe
C:\Windows\System32\GzNZOxo.exe
2⤵
PID:5384

C:\Windows\System32\ZSsSLSd.exe
C:\Windows\System32\ZSsSLSd.exe
2⤵
PID:5432

C:\Windows\System32\PFKqcAS.exe
C:\Windows\System32\PFKqcAS.exe
2⤵
PID:5516

C:\Windows\System32\ElIaAza.exe
C:\Windows\System32\ElIaAza.exe
2⤵
PID:5608

C:\Windows\System32\qAMdKhc.exe
C:\Windows\System32\qAMdKhc.exe
2⤵
PID:5656

C:\Windows\System32\PtUnhsl.exe
C:\Windows\System32\PtUnhsl.exe
2⤵
PID:5736

C:\Windows\System32\sBbBQZE.exe
C:\Windows\System32\sBbBQZE.exe
2⤵
PID:5784

C:\Windows\System32\dpWrPdB.exe
C:\Windows\System32\dpWrPdB.exe
2⤵
PID:5856

C:\Windows\System32\jUxTlwl.exe
C:\Windows\System32\jUxTlwl.exe
2⤵
PID:5908

C:\Windows\System32\rmLJeUb.exe
C:\Windows\System32\rmLJeUb.exe
2⤵
PID:5972

C:\Windows\System32\seooUyl.exe
C:\Windows\System32\seooUyl.exe
2⤵
PID:6036

C:\Windows\System32\UbScNcH.exe
C:\Windows\System32\UbScNcH.exe
2⤵
PID:6100

C:\Windows\System32\FFxdUjb.exe
C:\Windows\System32\FFxdUjb.exe
2⤵
PID:4352

C:\Windows\System32\nShvxNW.exe
C:\Windows\System32\nShvxNW.exe
2⤵
PID:3080

C:\Windows\System32\UfciKSl.exe
C:\Windows\System32\UfciKSl.exe
2⤵
PID:5212

C:\Windows\System32\vSFpuaZ.exe
C:\Windows\System32\vSFpuaZ.exe
2⤵
PID:5356

C:\Windows\System32\cgfeMCz.exe
C:\Windows\System32\cgfeMCz.exe
2⤵
PID:5476

C:\Windows\System32\flhnebB.exe
C:\Windows\System32\flhnebB.exe
2⤵
PID:5572

C:\Windows\System32\WujXUeU.exe
C:\Windows\System32\WujXUeU.exe
2⤵
PID:5748

C:\Windows\System32\EkIGEcW.exe
C:\Windows\System32\EkIGEcW.exe
2⤵
PID:5944

C:\Windows\System32\aSTnMDJ.exe
C:\Windows\System32\aSTnMDJ.exe
2⤵
PID:6156

C:\Windows\System32\IfGtkCc.exe
C:\Windows\System32\IfGtkCc.exe
2⤵
PID:6196

C:\Windows\System32\DZlMFGd.exe
C:\Windows\System32\DZlMFGd.exe
2⤵
PID:6224

C:\Windows\System32\BjmXfXg.exe
C:\Windows\System32\BjmXfXg.exe
2⤵
PID:6252

C:\Windows\System32\dQyjLDP.exe
C:\Windows\System32\dQyjLDP.exe
2⤵
PID:6280

C:\Windows\System32\nljNvCd.exe
C:\Windows\System32\nljNvCd.exe
2⤵
PID:6296

C:\Windows\System32\mEGSmda.exe
C:\Windows\System32\mEGSmda.exe
2⤵
PID:6336

C:\Windows\System32\leKSdNc.exe
C:\Windows\System32\leKSdNc.exe
2⤵
PID:6352

C:\Windows\System32\hOdNlZw.exe
C:\Windows\System32\hOdNlZw.exe
2⤵
PID:6392

C:\Windows\System32\ngPPJpS.exe
C:\Windows\System32\ngPPJpS.exe
2⤵
PID:6420

C:\Windows\System32\MJTidMC.exe
C:\Windows\System32\MJTidMC.exe
2⤵
PID:6436

C:\Windows\System32\WdBWiFm.exe
C:\Windows\System32\WdBWiFm.exe
2⤵
PID:6476

C:\Windows\System32\URgGkMw.exe
C:\Windows\System32\URgGkMw.exe
2⤵
PID:6492

C:\Windows\System32\BGnIImL.exe
C:\Windows\System32\BGnIImL.exe
2⤵
PID:6520

C:\Windows\System32\WYicqPv.exe
C:\Windows\System32\WYicqPv.exe
2⤵
PID:6560

C:\Windows\System32\mezJqWx.exe
C:\Windows\System32\mezJqWx.exe
2⤵
PID:6576

C:\Windows\System32\ubtqYct.exe
C:\Windows\System32\ubtqYct.exe
2⤵
PID:6616

C:\Windows\System32\BvKGleY.exe
C:\Windows\System32\BvKGleY.exe
2⤵
PID:6644

C:\Windows\System32\WMYdZLQ.exe
C:\Windows\System32\WMYdZLQ.exe
2⤵
PID:6660

C:\Windows\System32\rmEcWCR.exe
C:\Windows\System32\rmEcWCR.exe
2⤵
PID:6688

C:\Windows\System32\LzyUnVv.exe
C:\Windows\System32\LzyUnVv.exe
2⤵
PID:6728

C:\Windows\System32\ZHQuBMJ.exe
C:\Windows\System32\ZHQuBMJ.exe
2⤵
PID:6756

C:\Windows\System32\eyWssrk.exe
C:\Windows\System32\eyWssrk.exe
2⤵
PID:6784

C:\Windows\System32\cTiqOZB.exe
C:\Windows\System32\cTiqOZB.exe
2⤵
PID:6800

C:\Windows\System32\NhBtNxQ.exe
C:\Windows\System32\NhBtNxQ.exe
2⤵
PID:6840

C:\Windows\System32\hoFkRfI.exe
C:\Windows\System32\hoFkRfI.exe
2⤵
PID:6856

C:\Windows\System32\EedNfIy.exe
C:\Windows\System32\EedNfIy.exe
2⤵
PID:6896

C:\Windows\System32\subhjsS.exe
C:\Windows\System32\subhjsS.exe
2⤵
PID:6912

C:\Windows\System32\ZjwkpGb.exe
C:\Windows\System32\ZjwkpGb.exe
2⤵
PID:6952

C:\Windows\System32\ofEhCWX.exe
C:\Windows\System32\ofEhCWX.exe
2⤵
PID:6968

C:\Windows\System32\lmwTFUf.exe
C:\Windows\System32\lmwTFUf.exe
2⤵
PID:7008

C:\Windows\System32\yaONdaZ.exe
C:\Windows\System32\yaONdaZ.exe
2⤵
PID:7036

C:\Windows\System32\hCMobHt.exe
C:\Windows\System32\hCMobHt.exe
2⤵
PID:7064

C:\Windows\System32\WodjLte.exe
C:\Windows\System32\WodjLte.exe
2⤵
PID:7080

C:\Windows\System32\upicOEy.exe
C:\Windows\System32\upicOEy.exe
2⤵
PID:7120

C:\Windows\System32\GDzBLWd.exe
C:\Windows\System32\GDzBLWd.exe
2⤵
PID:7148

C:\Windows\System32\AACLVCB.exe
C:\Windows\System32\AACLVCB.exe
2⤵
PID:6052

C:\Windows\System32\RtPcmyf.exe
C:\Windows\System32\RtPcmyf.exe
2⤵
PID:2496

C:\Windows\System32\Pmdtsvr.exe
C:\Windows\System32\Pmdtsvr.exe
2⤵
PID:3236

C:\Windows\System32\krDEENs.exe
C:\Windows\System32\krDEENs.exe
2⤵
PID:5624

C:\Windows\System32\elgJCNh.exe
C:\Windows\System32\elgJCNh.exe
2⤵
PID:5916

C:\Windows\System32\XwOUBVM.exe
C:\Windows\System32\XwOUBVM.exe
2⤵
PID:6188

C:\Windows\System32\PRtAMwC.exe
C:\Windows\System32\PRtAMwC.exe
2⤵
PID:6236

C:\Windows\System32\bkrRRjQ.exe
C:\Windows\System32\bkrRRjQ.exe
2⤵
PID:6312

C:\Windows\System32\tDwBpBh.exe
C:\Windows\System32\tDwBpBh.exe
2⤵
PID:6404

C:\Windows\System32\CkVpEIl.exe
C:\Windows\System32\CkVpEIl.exe
2⤵
PID:6468

C:\Windows\System32\rMHchUS.exe
C:\Windows\System32\rMHchUS.exe
2⤵
PID:6504

C:\Windows\System32\AtJkTuF.exe
C:\Windows\System32\AtJkTuF.exe
2⤵
PID:6588

C:\Windows\System32\OjMLiSX.exe
C:\Windows\System32\OjMLiSX.exe
2⤵
PID:6656

C:\Windows\System32\jkhPOSw.exe
C:\Windows\System32\jkhPOSw.exe
2⤵
PID:6684

C:\Windows\System32\ZUgPmrq.exe
C:\Windows\System32\ZUgPmrq.exe
2⤵
PID:6736

C:\Windows\System32\QPGfcdY.exe
C:\Windows\System32\QPGfcdY.exe
2⤵
PID:6848

C:\Windows\System32\ooGAsMe.exe
C:\Windows\System32\ooGAsMe.exe
2⤵
PID:6908

C:\Windows\System32\qhyFmFX.exe
C:\Windows\System32\qhyFmFX.exe
2⤵
PID:6980

C:\Windows\System32\hqotQJt.exe
C:\Windows\System32\hqotQJt.exe
2⤵
PID:7020

C:\Windows\System32\VZFxrQt.exe
C:\Windows\System32\VZFxrQt.exe
2⤵
PID:7112

C:\Windows\System32\lUQyYza.exe
C:\Windows\System32\lUQyYza.exe
2⤵
PID:7132

C:\Windows\System32\GytYxDp.exe
C:\Windows\System32\GytYxDp.exe
2⤵
PID:5176

C:\Windows\System32\EGLlKux.exe
C:\Windows\System32\EGLlKux.exe
2⤵
PID:5272

C:\Windows\System32\AwaURUu.exe
C:\Windows\System32\AwaURUu.exe
2⤵
PID:6272

C:\Windows\System32\YBZFXpy.exe
C:\Windows\System32\YBZFXpy.exe
2⤵
PID:6428

C:\Windows\System32\YBccISR.exe
C:\Windows\System32\YBccISR.exe
2⤵
PID:6484

C:\Windows\System32\oicjAGC.exe
C:\Windows\System32\oicjAGC.exe
2⤵
PID:6676

C:\Windows\System32\mLFMbPj.exe
C:\Windows\System32\mLFMbPj.exe
2⤵
PID:6792

C:\Windows\System32\yzRmeci.exe
C:\Windows\System32\yzRmeci.exe
2⤵
PID:6868

C:\Windows\System32\qmLPuJC.exe
C:\Windows\System32\qmLPuJC.exe
2⤵
PID:7104

C:\Windows\System32\DVYoQVz.exe
C:\Windows\System32\DVYoQVz.exe
2⤵
PID:3804

C:\Windows\System32\vSvmJdH.exe
C:\Windows\System32\vSvmJdH.exe
2⤵
PID:7192

C:\Windows\System32\XksgjmW.exe
C:\Windows\System32\XksgjmW.exe
2⤵
PID:7232

C:\Windows\System32\grDKxCU.exe
C:\Windows\System32\grDKxCU.exe
2⤵
PID:7260

C:\Windows\System32\DLVvcjk.exe
C:\Windows\System32\DLVvcjk.exe
2⤵
PID:7276

C:\Windows\System32\mQGkxBd.exe
C:\Windows\System32\mQGkxBd.exe
2⤵
PID:7316

C:\Windows\System32\JRXroWJ.exe
C:\Windows\System32\JRXroWJ.exe
2⤵
PID:7344

C:\Windows\System32\XsCttIj.exe
C:\Windows\System32\XsCttIj.exe
2⤵
PID:7360

C:\Windows\System32\UAKNvsd.exe
C:\Windows\System32\UAKNvsd.exe
2⤵
PID:7388

C:\Windows\System32\gHZGAjA.exe
C:\Windows\System32\gHZGAjA.exe
2⤵
PID:7416

C:\Windows\System32\KSHuEnb.exe
C:\Windows\System32\KSHuEnb.exe
2⤵
PID:7456

C:\Windows\System32\YsDdHAp.exe
C:\Windows\System32\YsDdHAp.exe
2⤵
PID:7472

C:\Windows\System32\LWkTMHZ.exe
C:\Windows\System32\LWkTMHZ.exe
2⤵
PID:7512

C:\Windows\System32\IFCZTtL.exe
C:\Windows\System32\IFCZTtL.exe
2⤵
PID:7528

C:\Windows\System32\FiocTTJ.exe
C:\Windows\System32\FiocTTJ.exe
2⤵
PID:7568

C:\Windows\System32\wuSEaxr.exe
C:\Windows\System32\wuSEaxr.exe
2⤵
PID:7584

C:\Windows\System32\xSzYtZF.exe
C:\Windows\System32\xSzYtZF.exe
2⤵
PID:7612

C:\Windows\System32\ymUkQtS.exe
C:\Windows\System32\ymUkQtS.exe
2⤵
PID:7652

C:\Windows\System32\lfFzsFj.exe
C:\Windows\System32\lfFzsFj.exe
2⤵
PID:7668

C:\Windows\System32\zrTuCPh.exe
C:\Windows\System32\zrTuCPh.exe
2⤵
PID:7696

C:\Windows\System32\hytMfHs.exe
C:\Windows\System32\hytMfHs.exe
2⤵
PID:7736

C:\Windows\System32\hGxvFuc.exe
C:\Windows\System32\hGxvFuc.exe
2⤵
PID:7764

C:\Windows\System32\ZmlPlgK.exe
C:\Windows\System32\ZmlPlgK.exe
2⤵
PID:7792

C:\Windows\System32\pSBBHUp.exe
C:\Windows\System32\pSBBHUp.exe
2⤵
PID:7820

C:\Windows\System32\AmXrwqw.exe
C:\Windows\System32\AmXrwqw.exe
2⤵
PID:7836

C:\Windows\System32\cFnDpzT.exe
C:\Windows\System32\cFnDpzT.exe
2⤵
PID:7864

C:\Windows\System32\civfQHH.exe
C:\Windows\System32\civfQHH.exe
2⤵
PID:7892

C:\Windows\System32\rGugkxn.exe
C:\Windows\System32\rGugkxn.exe
2⤵
PID:7920

C:\Windows\System32\ncWbbYj.exe
C:\Windows\System32\ncWbbYj.exe
2⤵
PID:7948

C:\Windows\System32\aXJFSwK.exe
C:\Windows\System32\aXJFSwK.exe
2⤵
PID:7976

C:\Windows\System32\fQKiVdl.exe
C:\Windows\System32\fQKiVdl.exe
2⤵
PID:8004

C:\Windows\System32\bUVklGc.exe
C:\Windows\System32\bUVklGc.exe
2⤵
PID:8044

C:\Windows\System32\cFziAHf.exe
C:\Windows\System32\cFziAHf.exe
2⤵
PID:8072

C:\Windows\System32\MtFBfUe.exe
C:\Windows\System32\MtFBfUe.exe
2⤵
PID:8100

C:\Windows\System32\wnKiHtD.exe
C:\Windows\System32\wnKiHtD.exe
2⤵
PID:8128

C:\Windows\System32\OhcdIhj.exe
C:\Windows\System32\OhcdIhj.exe
2⤵
PID:8144

C:\Windows\System32\mCuVmqk.exe
C:\Windows\System32\mCuVmqk.exe
2⤵
PID:8184

C:\Windows\System32\IZXdobr.exe
C:\Windows\System32\IZXdobr.exe
2⤵
PID:2504

C:\Windows\System32\DmTFPtF.exe
C:\Windows\System32\DmTFPtF.exe
2⤵
PID:6592

C:\Windows\System32\gnKOvaH.exe
C:\Windows\System32\gnKOvaH.exe
2⤵
PID:6764

C:\Windows\System32\eBcjWiz.exe
C:\Windows\System32\eBcjWiz.exe
2⤵
PID:7092

C:\Windows\System32\DGCEuvi.exe
C:\Windows\System32\DGCEuvi.exe
2⤵
PID:7208

C:\Windows\System32\AKrxNrh.exe
C:\Windows\System32\AKrxNrh.exe
2⤵
PID:7272

C:\Windows\System32\CRnwVqL.exe
C:\Windows\System32\CRnwVqL.exe
2⤵
PID:7292

C:\Windows\System32\hgWgJLO.exe
C:\Windows\System32\hgWgJLO.exe
2⤵
PID:7372

C:\Windows\System32\JvvFiqz.exe
C:\Windows\System32\JvvFiqz.exe
2⤵
PID:7608

C:\Windows\System32\Xeqvyij.exe
C:\Windows\System32\Xeqvyij.exe
2⤵
PID:7660

C:\Windows\System32\UDwoDiH.exe
C:\Windows\System32\UDwoDiH.exe
2⤵
PID:7728

C:\Windows\System32\FuudoNd.exe
C:\Windows\System32\FuudoNd.exe
2⤵
PID:7800

C:\Windows\System32\IdHQBqf.exe
C:\Windows\System32\IdHQBqf.exe
2⤵
PID:1532

C:\Windows\System32\vQYlsUd.exe
C:\Windows\System32\vQYlsUd.exe
2⤵
PID:2528

C:\Windows\System32\njWtomQ.exe
C:\Windows\System32\njWtomQ.exe
2⤵
PID:3356

C:\Windows\System32\DOeEXSd.exe
C:\Windows\System32\DOeEXSd.exe
2⤵
PID:8056

C:\Windows\System32\SNRFXge.exe
C:\Windows\System32\SNRFXge.exe
2⤵
PID:8084

C:\Windows\System32\lDpNCRm.exe
C:\Windows\System32\lDpNCRm.exe
2⤵
PID:8136

C:\Windows\System32\PPTtFrw.exe
C:\Windows\System32\PPTtFrw.exe
2⤵
PID:6168

C:\Windows\System32\EPxnEjP.exe
C:\Windows\System32\EPxnEjP.exe
2⤵
PID:3396

C:\Windows\System32\vAFlLhw.exe
C:\Windows\System32\vAFlLhw.exe
2⤵
PID:6028

C:\Windows\System32\TeogGcr.exe
C:\Windows\System32\TeogGcr.exe
2⤵
PID:4100

C:\Windows\System32\MyAIEpI.exe
C:\Windows\System32\MyAIEpI.exe
2⤵
PID:2896

C:\Windows\System32\LymAkKo.exe
C:\Windows\System32\LymAkKo.exe
2⤵
PID:564

C:\Windows\System32\YYzSzun.exe
C:\Windows\System32\YYzSzun.exe
2⤵
PID:2804

C:\Windows\System32\LuOvwMT.exe
C:\Windows\System32\LuOvwMT.exe
2⤵
PID:3960

C:\Windows\System32\pPvzQLI.exe
C:\Windows\System32\pPvzQLI.exe
2⤵
PID:7756

C:\Windows\System32\jcXsdRr.exe
C:\Windows\System32\jcXsdRr.exe
2⤵
PID:7944

C:\Windows\System32\enmjfOG.exe
C:\Windows\System32\enmjfOG.exe
2⤵
PID:8020

C:\Windows\System32\kalVkdA.exe
C:\Windows\System32\kalVkdA.exe
2⤵
PID:3456

C:\Windows\System32\xxkHAHx.exe
C:\Windows\System32\xxkHAHx.exe
2⤵
PID:2848

C:\Windows\System32\ZXWrust.exe
C:\Windows\System32\ZXWrust.exe
2⤵
PID:7300

C:\Windows\System32\NoGFeRN.exe
C:\Windows\System32\NoGFeRN.exe
2⤵
PID:7748

C:\Windows\System32\vEHoqND.exe
C:\Windows\System32\vEHoqND.exe
2⤵
PID:7400

C:\Windows\System32\tFYgEhM.exe
C:\Windows\System32\tFYgEhM.exe
2⤵
PID:3932

C:\Windows\System32\qteoKoH.exe
C:\Windows\System32\qteoKoH.exe
2⤵
PID:7628

C:\Windows\System32\nNDfonr.exe
C:\Windows\System32\nNDfonr.exe
2⤵
PID:8168

C:\Windows\System32\ImuxBvL.exe
C:\Windows\System32\ImuxBvL.exe
2⤵
PID:7240

C:\Windows\System32\aYGFjyW.exe
C:\Windows\System32\aYGFjyW.exe
2⤵
PID:7684

C:\Windows\System32\asggmgL.exe
C:\Windows\System32\asggmgL.exe
2⤵
PID:2596

C:\Windows\System32\iDeFNhw.exe
C:\Windows\System32\iDeFNhw.exe
2⤵
PID:3352

C:\Windows\System32\YtZjqcN.exe
C:\Windows\System32\YtZjqcN.exe
2⤵
PID:2584

C:\Windows\System32\HKoICSD.exe
C:\Windows\System32\HKoICSD.exe
2⤵
PID:2264

C:\Windows\System32\isDoisr.exe
C:\Windows\System32\isDoisr.exe
2⤵
PID:8204

C:\Windows\System32\DiDyOqv.exe
C:\Windows\System32\DiDyOqv.exe
2⤵
PID:8236

C:\Windows\System32\mutiDBt.exe
C:\Windows\System32\mutiDBt.exe
2⤵
PID:8260

C:\Windows\System32\AeHOBeX.exe
C:\Windows\System32\AeHOBeX.exe
2⤵
PID:8296

C:\Windows\System32\lnGtOhA.exe
C:\Windows\System32\lnGtOhA.exe
2⤵
PID:8324

C:\Windows\System32\ZngfNxu.exe
C:\Windows\System32\ZngfNxu.exe
2⤵
PID:8352

C:\Windows\System32\ywLzRWk.exe
C:\Windows\System32\ywLzRWk.exe
2⤵
PID:8380

C:\Windows\System32\KiYAswW.exe
C:\Windows\System32\KiYAswW.exe
2⤵
PID:8412

C:\Windows\System32\oRKkakH.exe
C:\Windows\System32\oRKkakH.exe
2⤵
PID:8448

C:\Windows\System32\VAJnOit.exe
C:\Windows\System32\VAJnOit.exe
2⤵
PID:8488

C:\Windows\System32\TcVxoZx.exe
C:\Windows\System32\TcVxoZx.exe
2⤵
PID:8516

C:\Windows\System32\RrLSGNw.exe
C:\Windows\System32\RrLSGNw.exe
2⤵
PID:8544

C:\Windows\System32\TzyqorP.exe
C:\Windows\System32\TzyqorP.exe
2⤵
PID:8572

C:\Windows\System32\VApopzE.exe
C:\Windows\System32\VApopzE.exe
2⤵
PID:8600

C:\Windows\System32\TbNRvmW.exe
C:\Windows\System32\TbNRvmW.exe
2⤵
PID:8628

C:\Windows\System32\xJIGelK.exe
C:\Windows\System32\xJIGelK.exe
2⤵
PID:8644

C:\Windows\System32\JHgzfra.exe
C:\Windows\System32\JHgzfra.exe
2⤵
PID:8684

C:\Windows\System32\cIFiznP.exe
C:\Windows\System32\cIFiznP.exe
2⤵
PID:8708

C:\Windows\System32\fUtZWFw.exe
C:\Windows\System32\fUtZWFw.exe
2⤵
PID:8732

C:\Windows\System32\STQxkxB.exe
C:\Windows\System32\STQxkxB.exe
2⤵
PID:8776

C:\Windows\System32\zOqPjJS.exe
C:\Windows\System32\zOqPjJS.exe
2⤵
PID:8816

C:\Windows\System32\TXDOlVY.exe
C:\Windows\System32\TXDOlVY.exe
2⤵
PID:8836

C:\Windows\System32\CAgenbl.exe
C:\Windows\System32\CAgenbl.exe
2⤵
PID:8876

C:\Windows\System32\eWQyjHu.exe
C:\Windows\System32\eWQyjHu.exe
2⤵
PID:8904

C:\Windows\System32\YsgRGBy.exe
C:\Windows\System32\YsgRGBy.exe
2⤵
PID:8920

C:\Windows\System32\cZfcCpd.exe
C:\Windows\System32\cZfcCpd.exe
2⤵
PID:8960

C:\Windows\System32\JbnYWVa.exe
C:\Windows\System32\JbnYWVa.exe
2⤵
PID:8984

C:\Windows\System32\WRUxclL.exe
C:\Windows\System32\WRUxclL.exe
2⤵
PID:9028

C:\Windows\System32\EJDyPMK.exe
C:\Windows\System32\EJDyPMK.exe
2⤵
PID:9048

C:\Windows\System32\ccBPjTO.exe
C:\Windows\System32\ccBPjTO.exe
2⤵
PID:9080

C:\Windows\System32\ROmFohT.exe
C:\Windows\System32\ROmFohT.exe
2⤵
PID:9100

C:\Windows\System32\qTdvHZW.exe
C:\Windows\System32\qTdvHZW.exe
2⤵
PID:9128

C:\Windows\System32\onLqzoD.exe
C:\Windows\System32\onLqzoD.exe
2⤵
PID:9156

C:\Windows\System32\lUnjIve.exe
C:\Windows\System32\lUnjIve.exe
2⤵
PID:9204

C:\Windows\System32\xuFaCBK.exe
C:\Windows\System32\xuFaCBK.exe
2⤵
PID:8212

C:\Windows\System32\ojCoDjD.exe
C:\Windows\System32\ojCoDjD.exe
2⤵
PID:8252

C:\Windows\System32\WHuctdy.exe
C:\Windows\System32\WHuctdy.exe
2⤵
PID:8312

C:\Windows\System32\uYsZnRY.exe
C:\Windows\System32\uYsZnRY.exe
2⤵
PID:8424

C:\Windows\System32\bYkavuO.exe
C:\Windows\System32\bYkavuO.exe
2⤵
PID:8536

C:\Windows\System32\EdexTDn.exe
C:\Windows\System32\EdexTDn.exe
2⤵
PID:8640

C:\Windows\System32\LgwcTgT.exe
C:\Windows\System32\LgwcTgT.exe
2⤵
PID:8668

C:\Windows\System32\GrKAkVy.exe
C:\Windows\System32\GrKAkVy.exe
2⤵
PID:8768

C:\Windows\System32\tlmSiEW.exe
C:\Windows\System32\tlmSiEW.exe
2⤵
PID:8824

C:\Windows\System32\sDHMJZw.exe
C:\Windows\System32\sDHMJZw.exe
2⤵
PID:8892

C:\Windows\System32\PTjnqLn.exe
C:\Windows\System32\PTjnqLn.exe
2⤵
PID:8956

C:\Windows\System32\djdvwhB.exe
C:\Windows\System32\djdvwhB.exe
2⤵
PID:9036

C:\Windows\System32\NJUVRaP.exe
C:\Windows\System32\NJUVRaP.exe
2⤵
PID:9096

C:\Windows\System32\mAsQUMK.exe
C:\Windows\System32\mAsQUMK.exe
2⤵
PID:9144

C:\Windows\System32\eZvXGhd.exe
C:\Windows\System32\eZvXGhd.exe
2⤵
PID:384

C:\Windows\System32\PYTmJJd.exe
C:\Windows\System32\PYTmJJd.exe
2⤵
PID:8508

C:\Windows\System32\MuHBKhf.exe
C:\Windows\System32\MuHBKhf.exe
2⤵
PID:8620

C:\Windows\System32\AoRPsJs.exe
C:\Windows\System32\AoRPsJs.exe
2⤵
PID:8728

C:\Windows\System32\IPAUjcm.exe
C:\Windows\System32\IPAUjcm.exe
2⤵
PID:9000

C:\Windows\System32\sOHCwyn.exe
C:\Windows\System32\sOHCwyn.exe
2⤵
PID:9116

C:\Windows\System32\KJCmgvd.exe
C:\Windows\System32\KJCmgvd.exe
2⤵
PID:8468

C:\Windows\System32\sjDxitV.exe
C:\Windows\System32\sjDxitV.exe
2⤵
PID:8476

C:\Windows\System32\QpufuJH.exe
C:\Windows\System32\QpufuJH.exe
2⤵
PID:8656

C:\Windows\System32\jImecPW.exe
C:\Windows\System32\jImecPW.exe
2⤵
PID:8868

C:\Windows\System32\VJRRqLu.exe
C:\Windows\System32\VJRRqLu.exe
2⤵
PID:2668

C:\Windows\System32\PvGBMdx.exe
C:\Windows\System32\PvGBMdx.exe
2⤵
PID:8460

C:\Windows\System32\NHzuqxN.exe
C:\Windows\System32\NHzuqxN.exe
2⤵
PID:9168

C:\Windows\System32\HDWQcau.exe
C:\Windows\System32\HDWQcau.exe
2⤵
PID:2256

C:\Windows\System32\gBEvcUt.exe
C:\Windows\System32\gBEvcUt.exe
2⤵
PID:9228

C:\Windows\System32\sKYeBXy.exe
C:\Windows\System32\sKYeBXy.exe
2⤵
PID:9264

C:\Windows\System32\eIevkXw.exe
C:\Windows\System32\eIevkXw.exe
2⤵
PID:9292

C:\Windows\System32\lLgqzqw.exe
C:\Windows\System32\lLgqzqw.exe
2⤵
PID:9320

C:\Windows\System32\SLtMsSt.exe
C:\Windows\System32\SLtMsSt.exe
2⤵
PID:9348

C:\Windows\System32\YofxcSs.exe
C:\Windows\System32\YofxcSs.exe
2⤵
PID:9376

C:\Windows\System32\LQGhbaJ.exe
C:\Windows\System32\LQGhbaJ.exe
2⤵
PID:9404

C:\Windows\System32\pUcnuUJ.exe
C:\Windows\System32\pUcnuUJ.exe
2⤵
PID:9432

C:\Windows\System32\gWThgjS.exe
C:\Windows\System32\gWThgjS.exe
2⤵
PID:9460

C:\Windows\System32\NaVkEbr.exe
C:\Windows\System32\NaVkEbr.exe
2⤵
PID:9476

C:\Windows\System32\DHgaGYc.exe
C:\Windows\System32\DHgaGYc.exe
2⤵
PID:9516

C:\Windows\System32\LIlsnvT.exe
C:\Windows\System32\LIlsnvT.exe
2⤵
PID:9552

C:\Windows\System32\dYfXZTN.exe
C:\Windows\System32\dYfXZTN.exe
2⤵
PID:9584

C:\Windows\System32\dqJPJBA.exe
C:\Windows\System32\dqJPJBA.exe
2⤵
PID:9632

C:\Windows\System32\sSfpYoT.exe
C:\Windows\System32\sSfpYoT.exe
2⤵
PID:9660

C:\Windows\System32\wupjgzF.exe
C:\Windows\System32\wupjgzF.exe
2⤵
PID:9688

C:\Windows\System32\MqjigqL.exe
C:\Windows\System32\MqjigqL.exe
2⤵
PID:9716

C:\Windows\System32\EKZvyvR.exe
C:\Windows\System32\EKZvyvR.exe
2⤵
PID:9736

C:\Windows\System32\NIOQLoU.exe
C:\Windows\System32\NIOQLoU.exe
2⤵
PID:9776

C:\Windows\System32\lHcuRKg.exe
C:\Windows\System32\lHcuRKg.exe
2⤵
PID:9804

C:\Windows\System32\RcdrSJK.exe
C:\Windows\System32\RcdrSJK.exe
2⤵
PID:9836

C:\Windows\System32\tcdlJZJ.exe
C:\Windows\System32\tcdlJZJ.exe
2⤵
PID:9864

C:\Windows\System32\kioLYBP.exe
C:\Windows\System32\kioLYBP.exe
2⤵
PID:9884

C:\Windows\System32\dPUjQgT.exe
C:\Windows\System32\dPUjQgT.exe
2⤵
PID:9912

C:\Windows\System32\lTQxRkZ.exe
C:\Windows\System32\lTQxRkZ.exe
2⤵
PID:9936

C:\Windows\System32\mCEYjCJ.exe
C:\Windows\System32\mCEYjCJ.exe
2⤵
PID:9976

C:\Windows\System32\SxzEqVb.exe
C:\Windows\System32\SxzEqVb.exe
2⤵
PID:9992

C:\Windows\System32\KcmayJM.exe
C:\Windows\System32\KcmayJM.exe
2⤵
PID:10032

C:\Windows\System32\lXOTBvW.exe
C:\Windows\System32\lXOTBvW.exe
2⤵
PID:10060

C:\Windows\System32\lDGzvAx.exe
C:\Windows\System32\lDGzvAx.exe
2⤵
PID:10076

C:\Windows\System32\EuXRhkL.exe
C:\Windows\System32\EuXRhkL.exe
2⤵
PID:10116

C:\Windows\System32\GgiPpYD.exe
C:\Windows\System32\GgiPpYD.exe
2⤵
PID:10144

C:\Windows\System32\YnElBab.exe
C:\Windows\System32\YnElBab.exe
2⤵
PID:10172

C:\Windows\System32\Brlombm.exe
C:\Windows\System32\Brlombm.exe
2⤵
PID:10188

C:\Windows\System32\OSlPcsL.exe
C:\Windows\System32\OSlPcsL.exe
2⤵
PID:10204

C:\Windows\System32\DERIuWF.exe
C:\Windows\System32\DERIuWF.exe
2⤵
PID:4968

C:\Windows\System32\fqPCRiW.exe
C:\Windows\System32\fqPCRiW.exe
2⤵
PID:9284

C:\Windows\System32\gWGjvid.exe
C:\Windows\System32\gWGjvid.exe
2⤵
PID:3052

C:\Windows\System32\RxVCGgm.exe
C:\Windows\System32\RxVCGgm.exe
2⤵
PID:9416

C:\Windows\System32\dCgZJyA.exe
C:\Windows\System32\dCgZJyA.exe
2⤵
PID:9488

C:\Windows\System32\uwhswGj.exe
C:\Windows\System32\uwhswGj.exe
2⤵
PID:9576

C:\Windows\System32\XrQKtkz.exe
C:\Windows\System32\XrQKtkz.exe
2⤵
PID:9620

C:\Windows\System32\SOjFfdW.exe
C:\Windows\System32\SOjFfdW.exe
2⤵
PID:9708

C:\Windows\System32\rUyEcDs.exe
C:\Windows\System32\rUyEcDs.exe
2⤵
PID:9788

C:\Windows\System32\mrNwYxj.exe
C:\Windows\System32\mrNwYxj.exe
2⤵
PID:9856

C:\Windows\System32\qqHcfyT.exe
C:\Windows\System32\qqHcfyT.exe
2⤵
PID:9920

C:\Windows\System32\YoOUMMx.exe
C:\Windows\System32\YoOUMMx.exe
2⤵
PID:3220

C:\Windows\System32\tJHgqJp.exe
C:\Windows\System32\tJHgqJp.exe
2⤵
PID:10044

C:\Windows\System32\QIVZGng.exe
C:\Windows\System32\QIVZGng.exe
2⤵
PID:10104

C:\Windows\System32\YZozsbB.exe
C:\Windows\System32\YZozsbB.exe
2⤵
PID:10168

C:\Windows\System32\oVOihGy.exe
C:\Windows\System32\oVOihGy.exe
2⤵
PID:10180

C:\Windows\System32\kqbiVfI.exe
C:\Windows\System32\kqbiVfI.exe
2⤵
PID:9304

C:\Windows\System32\siZGlit.exe
C:\Windows\System32\siZGlit.exe
2⤵
PID:4120

C:\Windows\System32\fLWPVoF.exe
C:\Windows\System32\fLWPVoF.exe
2⤵
PID:9624

C:\Windows\System32\IUtiGyc.exe
C:\Windows\System32\IUtiGyc.exe
2⤵
PID:9760

C:\Windows\System32\OQPaXkH.exe
C:\Windows\System32\OQPaXkH.exe
2⤵
PID:9908

C:\Windows\System32\OSyakzA.exe
C:\Windows\System32\OSyakzA.exe
2⤵
PID:10016

C:\Windows\System32\odkXjnL.exe
C:\Windows\System32\odkXjnL.exe
2⤵
PID:10200

C:\Windows\System32\VclBfrV.exe
C:\Windows\System32\VclBfrV.exe
2⤵
PID:9360

C:\Windows\System32\kgcfDcl.exe
C:\Windows\System32\kgcfDcl.exe
2⤵
PID:9644

C:\Windows\System32\NOxspIP.exe
C:\Windows\System32\NOxspIP.exe
2⤵
PID:9952

C:\Windows\System32\fRtcWJH.exe
C:\Windows\System32\fRtcWJH.exe
2⤵
PID:9876

C:\Windows\System32\eTXehYn.exe
C:\Windows\System32\eTXehYn.exe
2⤵
PID:10156

C:\Windows\System32\iSaqRTO.exe
C:\Windows\System32\iSaqRTO.exe
2⤵
PID:10268

C:\Windows\System32\mSpdZDV.exe
C:\Windows\System32\mSpdZDV.exe
2⤵
PID:10288

C:\Windows\System32\mqDZsim.exe
C:\Windows\System32\mqDZsim.exe
2⤵
PID:10324

C:\Windows\System32\emeKrvr.exe
C:\Windows\System32\emeKrvr.exe
2⤵
PID:10352

C:\Windows\System32\gJHUDYB.exe
C:\Windows\System32\gJHUDYB.exe
2⤵
PID:10380

C:\Windows\System32\RTMOFQP.exe
C:\Windows\System32\RTMOFQP.exe
2⤵
PID:10416

C:\Windows\System32\YcfrBKn.exe
C:\Windows\System32\YcfrBKn.exe
2⤵
PID:10444

C:\Windows\System32\VmXCUyR.exe
C:\Windows\System32\VmXCUyR.exe
2⤵
PID:10472

C:\Windows\System32\LDceYHK.exe
C:\Windows\System32\LDceYHK.exe
2⤵
PID:10500

C:\Windows\System32\EtdkuSs.exe
C:\Windows\System32\EtdkuSs.exe
2⤵
PID:10532

C:\Windows\System32\kCcOjAt.exe
C:\Windows\System32\kCcOjAt.exe
2⤵
PID:10576

C:\Windows\System32\UDbDucA.exe
C:\Windows\System32\UDbDucA.exe
2⤵
PID:10628

C:\Windows\System32\qhofOCF.exe
C:\Windows\System32\qhofOCF.exe
2⤵
PID:10660

C:\Windows\System32\BDuFDiv.exe
C:\Windows\System32\BDuFDiv.exe
2⤵
PID:10688

C:\Windows\System32\iwCFSSK.exe
C:\Windows\System32\iwCFSSK.exe
2⤵
PID:10716

C:\Windows\System32\hKfPzzz.exe
C:\Windows\System32\hKfPzzz.exe
2⤵
PID:10752

C:\Windows\System32\qMZWBcg.exe
C:\Windows\System32\qMZWBcg.exe
2⤵
PID:10780

C:\Windows\System32\SKOVTEY.exe
C:\Windows\System32\SKOVTEY.exe
2⤵
PID:10812

C:\Windows\System32\MocMdkX.exe
C:\Windows\System32\MocMdkX.exe
2⤵
PID:10840

C:\Windows\System32\lzrJZBj.exe
C:\Windows\System32\lzrJZBj.exe
2⤵
PID:10872

C:\Windows\System32\wnUeXLJ.exe
C:\Windows\System32\wnUeXLJ.exe
2⤵
PID:10916

C:\Windows\System32\yPdJYCD.exe
C:\Windows\System32\yPdJYCD.exe
2⤵
PID:10944

C:\Windows\System32\vUOkuKg.exe
C:\Windows\System32\vUOkuKg.exe
2⤵
PID:10980

C:\Windows\System32\LTksDdx.exe
C:\Windows\System32\LTksDdx.exe
2⤵
PID:11004

C:\Windows\System32\qhpPDYw.exe
C:\Windows\System32\qhpPDYw.exe
2⤵
PID:11036

C:\Windows\System32\KSJNrsl.exe
C:\Windows\System32\KSJNrsl.exe
2⤵
PID:11064

C:\Windows\System32\OjvTekJ.exe
C:\Windows\System32\OjvTekJ.exe
2⤵
PID:11092

C:\Windows\System32\ONrCwpW.exe
C:\Windows\System32\ONrCwpW.exe
2⤵
PID:11124

C:\Windows\System32\egLBcIX.exe
C:\Windows\System32\egLBcIX.exe
2⤵
PID:11152

C:\Windows\System32\NyyWcqw.exe
C:\Windows\System32\NyyWcqw.exe
2⤵
PID:11180

C:\Windows\System32\fQUwYwR.exe
C:\Windows\System32\fQUwYwR.exe
2⤵
PID:11208

C:\Windows\System32\BQMWuiL.exe
C:\Windows\System32\BQMWuiL.exe
2⤵
PID:11236

C:\Windows\System32\EOEYgZT.exe
C:\Windows\System32\EOEYgZT.exe
2⤵
PID:9308

C:\Windows\System32\oMEeuin.exe
C:\Windows\System32\oMEeuin.exe
2⤵
PID:10276

C:\Windows\System32\KkOCwHd.exe
C:\Windows\System32\KkOCwHd.exe
2⤵
PID:10348

C:\Windows\System32\TcOwFNd.exe
C:\Windows\System32\TcOwFNd.exe
2⤵
PID:10428

C:\Windows\System32\bQpSMUs.exe
C:\Windows\System32\bQpSMUs.exe
2⤵
PID:10468

C:\Windows\System32\IRxuoMr.exe
C:\Windows\System32\IRxuoMr.exe
2⤵
PID:10528

C:\Windows\System32\HHmVgsp.exe
C:\Windows\System32\HHmVgsp.exe
2⤵
PID:10624

C:\Windows\System32\jHxqGhv.exe
C:\Windows\System32\jHxqGhv.exe
2⤵
PID:10704

C:\Windows\System32\DaQIgAX.exe
C:\Windows\System32\DaQIgAX.exe
2⤵
PID:10768

C:\Windows\System32\GacMQdL.exe
C:\Windows\System32\GacMQdL.exe
2⤵
PID:10836

C:\Windows\System32\bCoEJxy.exe
C:\Windows\System32\bCoEJxy.exe
2⤵
PID:10928

C:\Windows\System32\jMKGAEW.exe
C:\Windows\System32\jMKGAEW.exe
2⤵
PID:11020

C:\Windows\System32\FdDyfka.exe
C:\Windows\System32\FdDyfka.exe
2⤵
PID:11084

C:\Windows\System32\LLTOLmC.exe
C:\Windows\System32\LLTOLmC.exe
2⤵
PID:11148

C:\Windows\System32\QLnTqTM.exe
C:\Windows\System32\QLnTqTM.exe
2⤵
PID:11220

C:\Windows\System32\rifOlnL.exe
C:\Windows\System32\rifOlnL.exe
2⤵
PID:10344

C:\Windows\System32\VGhkFWH.exe
C:\Windows\System32\VGhkFWH.exe
2⤵
PID:3504

C:\Windows\System32\AlzWhux.exe
C:\Windows\System32\AlzWhux.exe
2⤵
PID:10680

C:\Windows\System32\mbOTvlk.exe
C:\Windows\System32\mbOTvlk.exe
2⤵
PID:10824

C:\Windows\System32\xcawNYI.exe
C:\Windows\System32\xcawNYI.exe
2⤵
PID:11176

C:\Windows\System32\nAcjIng.exe
C:\Windows\System32\nAcjIng.exe
2⤵
PID:10740

C:\Windows\System32\CnaZpTZ.exe
C:\Windows\System32\CnaZpTZ.exe
2⤵
PID:11268

C:\Windows\System32\hQjSMPw.exe
C:\Windows\System32\hQjSMPw.exe
2⤵
PID:11300

C:\Windows\System32\ZBcmtKa.exe
C:\Windows\System32\ZBcmtKa.exe
2⤵
PID:11360

C:\Windows\System32\mDcePCN.exe
C:\Windows\System32\mDcePCN.exe
2⤵
PID:11384

C:\Windows\System32\gTxnQii.exe
C:\Windows\System32\gTxnQii.exe
2⤵
PID:11424

C:\Windows\System32\NYkvgoo.exe
C:\Windows\System32\NYkvgoo.exe
2⤵
PID:11460

C:\Windows\System32\JlZChil.exe
C:\Windows\System32\JlZChil.exe
2⤵
PID:11516

C:\Windows\System32\KgpxVdI.exe
C:\Windows\System32\KgpxVdI.exe
2⤵
PID:11544

C:\Windows\System32\YmpCBye.exe
C:\Windows\System32\YmpCBye.exe
2⤵
PID:11564

C:\Windows\System32\TpRXZeW.exe
C:\Windows\System32\TpRXZeW.exe
2⤵
PID:11604

C:\Windows\System32\XbeUQyO.exe
C:\Windows\System32\XbeUQyO.exe
2⤵
PID:11632

C:\Windows\System32\JPKlCFp.exe
C:\Windows\System32\JPKlCFp.exe
2⤵
PID:11660

C:\Windows\System32\RksJZkl.exe
C:\Windows\System32\RksJZkl.exe
2⤵
PID:11688

C:\Windows\System32\lQfWiPV.exe
C:\Windows\System32\lQfWiPV.exe
2⤵
PID:11716

C:\Windows\System32\JAGsvIQ.exe
C:\Windows\System32\JAGsvIQ.exe
2⤵
PID:11744

C:\Windows\System32\cAcnmRG.exe
C:\Windows\System32\cAcnmRG.exe
2⤵
PID:11772

C:\Windows\System32\TtUYTuQ.exe
C:\Windows\System32\TtUYTuQ.exe
2⤵
PID:11808

C:\Windows\System32\yjTlyMg.exe
C:\Windows\System32\yjTlyMg.exe
2⤵
PID:11836

C:\Windows\System32\VJncwEK.exe
C:\Windows\System32\VJncwEK.exe
2⤵
PID:11864

C:\Windows\System32\BYrtAwK.exe
C:\Windows\System32\BYrtAwK.exe
2⤵
PID:11896

C:\Windows\System32\AlVdYXb.exe
C:\Windows\System32\AlVdYXb.exe
2⤵
PID:11912

C:\Windows\System32\MPRhJrK.exe
C:\Windows\System32\MPRhJrK.exe
2⤵
PID:11952

C:\Windows\System32\ZiOXYYp.exe
C:\Windows\System32\ZiOXYYp.exe
2⤵
PID:11984

C:\Windows\System32\bmxEJYP.exe
C:\Windows\System32\bmxEJYP.exe
2⤵
PID:12020

C:\Windows\System32\ZRJXOes.exe
C:\Windows\System32\ZRJXOes.exe
2⤵
PID:12060

C:\Windows\System32\RpASTwN.exe
C:\Windows\System32\RpASTwN.exe
2⤵
PID:12088

C:\Windows\System32\pmmSheo.exe
C:\Windows\System32\pmmSheo.exe
2⤵
PID:12120

C:\Windows\System32\ycVcfBd.exe
C:\Windows\System32\ycVcfBd.exe
2⤵
PID:12148

C:\Windows\System32\FjMxmlB.exe
C:\Windows\System32\FjMxmlB.exe
2⤵
PID:12176

C:\Windows\System32\OTxoIzW.exe
C:\Windows\System32\OTxoIzW.exe
2⤵
PID:12204

C:\Windows\System32\HxdNLXh.exe
C:\Windows\System32\HxdNLXh.exe
2⤵
PID:12232

C:\Windows\System32\bAvRADf.exe
C:\Windows\System32\bAvRADf.exe
2⤵
PID:12260

C:\Windows\System32\OEpTnQu.exe
C:\Windows\System32\OEpTnQu.exe
2⤵
PID:11136

C:\Windows\System32\kLbfiDY.exe
C:\Windows\System32\kLbfiDY.exe
2⤵
PID:11376

C:\Windows\System32\LNuzOOS.exe
C:\Windows\System32\LNuzOOS.exe
2⤵
PID:11468

C:\Windows\System32\DuuDodf.exe
C:\Windows\System32\DuuDodf.exe
2⤵
PID:11528

C:\Windows\System32\IqhjweS.exe
C:\Windows\System32\IqhjweS.exe
2⤵
PID:11612

C:\Windows\System32\cMHUosQ.exe
C:\Windows\System32\cMHUosQ.exe
2⤵
PID:11684

C:\Windows\System32\CcvnjSf.exe
C:\Windows\System32\CcvnjSf.exe
2⤵
PID:11732

C:\Windows\System32\nUGSiCq.exe
C:\Windows\System32\nUGSiCq.exe
2⤵
PID:11800

C:\Windows\System32\szuUJGE.exe
C:\Windows\System32\szuUJGE.exe
2⤵
PID:11876

C:\Windows\System32\MQuleJU.exe
C:\Windows\System32\MQuleJU.exe
2⤵
PID:11948

C:\Windows\System32\MLsEinz.exe
C:\Windows\System32\MLsEinz.exe
2⤵
PID:12012

C:\Windows\System32\EPXYwHp.exe
C:\Windows\System32\EPXYwHp.exe
2⤵
PID:12100

C:\Windows\System32\FVegCAz.exe
C:\Windows\System32\FVegCAz.exe
2⤵
PID:12188

C:\Windows\System32\AmSKlux.exe
C:\Windows\System32\AmSKlux.exe
2⤵
PID:12252

C:\Windows\System32\bpskUut.exe
C:\Windows\System32\bpskUut.exe
2⤵
PID:11484

C:\Windows\System32\ztLSFQU.exe
C:\Windows\System32\ztLSFQU.exe
2⤵
PID:11652

C:\Windows\System32\UHDdxry.exe
C:\Windows\System32\UHDdxry.exe
2⤵
PID:4220

C:\Windows\System32\tXirzcL.exe
C:\Windows\System32\tXirzcL.exe
2⤵
PID:11736

C:\Windows\System32\BKwMFsA.exe
C:\Windows\System32\BKwMFsA.exe
2⤵
PID:11908

C:\Windows\System32\olbjYLg.exe
C:\Windows\System32\olbjYLg.exe
2⤵
PID:12080

C:\Windows\System32\PcFSyav.exe
C:\Windows\System32\PcFSyav.exe
2⤵
PID:12248

C:\Windows\System32\QqSsZoB.exe
C:\Windows\System32\QqSsZoB.exe
2⤵
PID:4748

C:\Windows\System32\vIdTynp.exe
C:\Windows\System32\vIdTynp.exe
2⤵
PID:11728

C:\Windows\System32\wSjFJPQ.exe
C:\Windows\System32\wSjFJPQ.exe
2⤵
PID:12144

C:\Windows\System32\qGWrKsc.exe
C:\Windows\System32\qGWrKsc.exe
2⤵
PID:3816

C:\Windows\System32\RjvJCFX.exe
C:\Windows\System32\RjvJCFX.exe
2⤵
PID:1012

C:\Windows\System32\alWaNMe.exe
C:\Windows\System32\alWaNMe.exe
2⤵
PID:12304

C:\Windows\System32\jGnwGgD.exe
C:\Windows\System32\jGnwGgD.exe
2⤵
PID:12332

C:\Windows\System32\apoBHAb.exe
C:\Windows\System32\apoBHAb.exe
2⤵
PID:12360

C:\Windows\System32\aOGBJyq.exe
C:\Windows\System32\aOGBJyq.exe
2⤵
PID:12388

C:\Windows\System32\ZFlfyCp.exe
C:\Windows\System32\ZFlfyCp.exe
2⤵
PID:12416

C:\Windows\System32\PzAjjeX.exe
C:\Windows\System32\PzAjjeX.exe
2⤵
PID:12444

C:\Windows\System32\ckwJmhT.exe
C:\Windows\System32\ckwJmhT.exe
2⤵
PID:12476

C:\Windows\System32\qQIxPaO.exe
C:\Windows\System32\qQIxPaO.exe
2⤵
PID:12504

C:\Windows\System32\wXmIsVr.exe
C:\Windows\System32\wXmIsVr.exe
2⤵
PID:12536

C:\Windows\System32\CqdKgdt.exe
C:\Windows\System32\CqdKgdt.exe
2⤵
PID:12560

C:\Windows\System32\CmWquko.exe
C:\Windows\System32\CmWquko.exe
2⤵
PID:12588

C:\Windows\System32\XcphXUB.exe
C:\Windows\System32\XcphXUB.exe
2⤵
PID:12616

C:\Windows\System32\NtZEBJD.exe
C:\Windows\System32\NtZEBJD.exe
2⤵
PID:12644

C:\Windows\System32\JVzVKEj.exe
C:\Windows\System32\JVzVKEj.exe
2⤵
PID:12672

C:\Windows\System32\XloYuoX.exe
C:\Windows\System32\XloYuoX.exe
2⤵
PID:12700

C:\Windows\System32\pQxiyrr.exe
C:\Windows\System32\pQxiyrr.exe
2⤵
PID:12728

C:\Windows\System32\iIfHqWo.exe
C:\Windows\System32\iIfHqWo.exe
2⤵
PID:12756

C:\Windows\System32\QoOXpcW.exe
C:\Windows\System32\QoOXpcW.exe
2⤵
PID:12784

C:\Windows\System32\QOenoHF.exe
C:\Windows\System32\QOenoHF.exe
2⤵
PID:12812

C:\Windows\System32\VWKFeAx.exe
C:\Windows\System32\VWKFeAx.exe
2⤵
PID:12840

C:\Windows\System32\DAdyRec.exe
C:\Windows\System32\DAdyRec.exe
2⤵
PID:12868

C:\Windows\System32\lTDIQpU.exe
C:\Windows\System32\lTDIQpU.exe
2⤵
PID:12916

C:\Windows\System32\RDMRLtO.exe
C:\Windows\System32\RDMRLtO.exe
2⤵
PID:12932

C:\Windows\System32\AIDLNej.exe
C:\Windows\System32\AIDLNej.exe
2⤵
PID:12960

C:\Windows\System32\SwZwGlH.exe
C:\Windows\System32\SwZwGlH.exe
2⤵
PID:12988

C:\Windows\System32\egXQgVE.exe
C:\Windows\System32\egXQgVE.exe
2⤵
PID:13020

C:\Windows\System32\iWMLckx.exe
C:\Windows\System32\iWMLckx.exe
2⤵
PID:13048

C:\Windows\System32\epcSueQ.exe
C:\Windows\System32\epcSueQ.exe
2⤵
PID:13076

C:\Windows\System32\dvZYrSp.exe
C:\Windows\System32\dvZYrSp.exe
2⤵
PID:13104

C:\Windows\System32\sQHyLFJ.exe
C:\Windows\System32\sQHyLFJ.exe
2⤵
PID:13132

C:\Windows\System32\gtPArqq.exe
C:\Windows\System32\gtPArqq.exe
2⤵
PID:13160

C:\Windows\System32\HFyCSab.exe
C:\Windows\System32\HFyCSab.exe
2⤵
PID:13188

C:\Windows\System32\VPmzrzh.exe
C:\Windows\System32\VPmzrzh.exe
2⤵
PID:13216

C:\Windows\System32\KzleKjB.exe
C:\Windows\System32\KzleKjB.exe
2⤵
PID:13244

C:\Windows\System32\FEInIUK.exe
C:\Windows\System32\FEInIUK.exe
2⤵
PID:13272

C:\Windows\System32\UeYVtZV.exe
C:\Windows\System32\UeYVtZV.exe
2⤵
PID:13304

C:\Windows\System32\BRLBfel.exe
C:\Windows\System32\BRLBfel.exe
2⤵
PID:12328

C:\Windows\System32\rlYxQJY.exe
C:\Windows\System32\rlYxQJY.exe
2⤵
PID:12400

C:\Windows\System32\RsJUiuX.exe
C:\Windows\System32\RsJUiuX.exe
2⤵
PID:12468

C:\Windows\System32\xwcOaBG.exe
C:\Windows\System32\xwcOaBG.exe
2⤵
PID:12516

C:\Windows\System32\kszEnPg.exe
C:\Windows\System32\kszEnPg.exe
2⤵
PID:12600

C:\Windows\System32\CWnHiaQ.exe
C:\Windows\System32\CWnHiaQ.exe
2⤵
PID:12664

C:\Windows\System32\fqLHBDW.exe
C:\Windows\System32\fqLHBDW.exe
2⤵
PID:12724

C:\Windows\System32\LSaqdrc.exe
C:\Windows\System32\LSaqdrc.exe
2⤵
PID:12808

C:\Windows\System32\tZnIHba.exe
C:\Windows\System32\tZnIHba.exe
2⤵
PID:12852

C:\Windows\System32\NFLJDjx.exe
C:\Windows\System32\NFLJDjx.exe
2⤵
PID:12952

C:\Windows\System32\ubpeKPS.exe
C:\Windows\System32\ubpeKPS.exe
2⤵
PID:13016

C:\Windows\System32\UakOFyg.exe
C:\Windows\System32\UakOFyg.exe
2⤵
PID:13116

C:\Windows\System32\DCSQSbQ.exe
C:\Windows\System32\DCSQSbQ.exe
2⤵
PID:13180

C:\Windows\System32\kehUZeI.exe
C:\Windows\System32\kehUZeI.exe
2⤵
PID:13240

C:\Windows\System32\XUfUcRf.exe
C:\Windows\System32\XUfUcRf.exe
2⤵
PID:12300

C:\Windows\System32\asQvpsR.exe
C:\Windows\System32\asQvpsR.exe
2⤵
PID:12440

C:\Windows\System32\bcmQggk.exe
C:\Windows\System32\bcmQggk.exe
2⤵
PID:12628

C:\Windows\System32\RSckJHL.exe
C:\Windows\System32\RSckJHL.exe
2⤵
PID:12804

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:552

Network

MITRE ATT&CK Matrix ATT&CK v13

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

Lateral Movement

Collection

Exfiltration

Command and Control

Impact

Resource Development

Reconnaissance

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\CMxsfHw.exe
Filesize
3.1MB

MD5
a927b5ecef2f233562f8e440e5ac6e55

SHA1
1aecb486dd06beaae8c3afc0dc17d5720f60eeb4

SHA256
0527b9c27a693bd00209c7c19e97719c632cb33de539bdc7d4f19a49a5eeb7e7

SHA512
e23623354e296599278b0be7be60d16d58f61e12e6d3fbf7289b03dea2eafa23032994c084792de90b2a8c83d6c05304a116f5ba93d299dddba64384ebff51d5

Download Submit
C:\Windows\System32\CwAqhex.exe
Filesize
3.1MB

MD5
b2c7b3c2a8daacc931a5eb7e905148a2

SHA1
6989f954458733ead4444ed55aa0ab7d370f8d5c

SHA256
97ff3a9e20fb6ea4f2aa3fc08c28342b9bdabc57f99f27ef906fd3eeee542b30

SHA512
f64bbbcae3646aa9809698ff62719c47e53680632a75574ea4f10ce7cf1211e93292131a9aeb70aa9d2d181ea66ded7a571a96edc01f61a90fc4720a874aec81

Download Submit
C:\Windows\System32\KPDBITX.exe
Filesize
3.1MB

MD5
c1fd6d7cf80d5f00b70ea4514ef4fe7e

SHA1
4d12563b8f0d0b48be89c9d63d2236cf19c58b11

SHA256
69c44bf720b8abd8b6b2add3c810f579b54246ec585d1dd3192eca9cfe4ec118

SHA512
a083a5d74d0d8fd6a124e6019f4553abb81f9a1af15a446e354dce8c706ee4a249d79fb8de04333244089665b08178efce0e6e7a0fc3bacd490d17dc4460682c

Download Submit
C:\Windows\System32\KzhiVof.exe
Filesize
3.1MB

MD5
9fcd4371fa26d2a0e072a248a2a97082

SHA1
fa31f6beff67f9108eaaa1d9decd9ec85c579979

SHA256
478bae085599713fd15d0c63d9722102c9f62d92c9f3a56e108a25849a6b55e4

SHA512
af686148d81e5de5f0fe92a53c7c9e96b563e858527e66b86ac8e9feb93052888e2c40f06a857191fbd8d9d2662f0082caac549a1312f603d5975e7860afa116

Download Submit
C:\Windows\System32\LScabhP.exe
Filesize
3.1MB

MD5
3bce51e8b96a913ce05cf79e11267b94

SHA1
aec84077ab6fb2a0211def0e39b5b1ffd5457475

SHA256
142b02ad41151cdeab9031e6da144083f0913cff0a44f717681512d32fb796ea

SHA512
a3387a3d4fa84830467aa9ff6391b877c90f9acdcea541d09b9f8245ad786dc9eb3a58ced567566fec72fd823d36e8974bf19dc2db49ab6c42badfcdfb1d349f

Download Submit
C:\Windows\System32\LxbXNGP.exe
Filesize
3.1MB

MD5
39bb202fed49301d7f472b72623eb17e

SHA1
285d036518ee844c94f48111f6f248b5c170426d

SHA256
ffa6c01a8bb6f588f5f6857f6b09e7c19136ca8e53c845432b9399597381f483

SHA512
ebdc8f8e6a4a47f21083411af247df56159d2791422577f780b52d9fc98ffc2dce29b789286d6007522976a0bcc9195d8931d6f1b47bc3b4166d5b2beb3c5d46

Download Submit
C:\Windows\System32\NMYpqYR.exe
Filesize
3.1MB

MD5
98439859798e17e5fa4f0277bdb779af

SHA1
6c7b5e8199860341f06dbdf6560a897765e60cc1

SHA256
7f936f63f2cc38cb5af8abc69a1053a56d61f88cc6d7889ad0f99a5bc28697e3

SHA512
7823ad78b12b3b94cf2c1e3ee19c87842c6bc17f42b6cb059082874a7b74cc84ba726522bef93dff6b996cfe3e3ef8d9a8f27b6f03deaebabaaeaec415028b79

Download Submit
C:\Windows\System32\PwWeGdN.exe
Filesize
3.1MB

MD5
8158519c53e61b6960a3eb404e85bdf7

SHA1
a11d2d1d5e33bc288ee842a4928b7f2d49a9fe80

SHA256
cff759d7d8ee1fc4e2f36e2261483d032445153b3e8bd81722fdc0929f5ffbea

SHA512
8bd3cd781c1e3444fc24368496b475197f2c28d2006e979bb4892cbd7ac5c6d1910afea89fc1f0edf97919285c6b6fc9b3fd68371d1dce00ef3e8f44bc5571ff

Download Submit
C:\Windows\System32\QPhDmpm.exe
Filesize
3.1MB

MD5
2f4e1693c7e88000fbd4152804cd02fb

SHA1
e75c549dc04fb29b312df594fc29a9cc81936b33

SHA256
6631c8d5bd6a3bb65ded7986ebc5c256886f025ccabcf171320e28fda1205109

SHA512
e1618658a5d75a22ffb9a6947094979c3e94a6053e674b3d106ef700dfc368eee93b657b4e175c7bd230a72029ee92a250cdee1a96027e00d388b45a7271ee79

Download Submit
C:\Windows\System32\RMdTPBp.exe
Filesize
3.1MB

MD5
8b2a517f9d65657c4234b05f1cb27e85

SHA1
f63919ee2836df4acf1345f8d6296bff762d2d38

SHA256
015d4b455814f7a3de2b461ce46448441aee9d3aeaa762f0d6e3211ec2b020ac

SHA512
f9045ace0c8ee4cd1d47004d405043cbe1c8e94546ad735b5147e219ff6e9b4befce4961ff27fa3ec2323615351c3c52232e829edcbc3e8f47a07e7c4ad24c57

Download Submit
C:\Windows\System32\SooEtNZ.exe
Filesize
3.1MB

MD5
84c29ad10e50c13367bb2ffadb587f5d

SHA1
72e3e26cf7205b05713b4229fa24b317ea713c30

SHA256
84cf8ccbea03f4acd55dc78cf24f8701f82756e09685dd01953e05d9853af93e

SHA512
3b9f744e2a872d525710f8d5c07955ffea6eefcd8d6a30b0dc7791af4678d07e5d1b606f4a8acfefdeffec81f4fa700f4f7c5bef30f9d75b65c20fd7490647f2

Download Submit
C:\Windows\System32\WZjsFMI.exe
Filesize
3.1MB

MD5
6af4cce1c2337136b01e179c89a6c3f5

SHA1
68559550821b9970dec526998c7b701b0ed4be37

SHA256
1de451ea3acf79f6c40fadc15b9cc577fa6dec43a027105f9557e56ff38ab02b

SHA512
3c4830a594d80c6bc40d73095b266483d467b77f4ef9f11d11b2a15d5cce66c1a3fc3d2b56d5e18907d0ed96a7a4e9bc4115d14373a6f0a1241e69c685c2d15d

Download Submit
C:\Windows\System32\WakzAbm.exe
Filesize
3.1MB

MD5
404ae4a39ef6490b4852be9d3042180c

SHA1
83f3c32b821ef4bb8f0ab5302418985c837e5898

SHA256
007b6bf41d2a2b3aa8b03144824a59ce251c969a8c930264c32bc4431993f3f1

SHA512
821d5e92f02748903a0ffdfef91bb3c374c76260b7d4b450c7f3119ef266ff3ecfa14f5d27cb25e82a4696bab401da6ef640f8c0735f28ff510d6f4c1e6659e5

Download Submit
C:\Windows\System32\XOFxPPr.exe
Filesize
3.1MB

MD5
0c4eae866b4a681cf0801ef5ffdf3710

SHA1
dda92383a830df611316b67229defbad1067c41c

SHA256
ea370ec172114d400abb50a33eb48066421aecbf68b5643fafd03351383d6b81

SHA512
1b29d6eb806578ed1a3ff04557ca3946e70fd2f7818485c2e6f84e48a19aa046e944fa861c4388bb296cbbec46f2efc68d24f499581700965083357d8171d89f

Download Submit
C:\Windows\System32\XrBImdh.exe
Filesize
3.1MB

MD5
59051e7b68fdae32b5b2e95c3e0cddaf

SHA1
5b63ae15e6ede5b4633041a80a9cd4e136d344e4

SHA256
b11609111dc4384c4fb20b2b58b216ee430ba23e2904187b8d8136516a794e0b

SHA512
5f753de14e168d8a0cb5c76b42be0224f36ae60f0e28d0558cbef1bcc6519fcd0be0d1f3363f1da16006410c9ffb3b01bab652d8f7dafb83370bf0257937b8a0

Download Submit
C:\Windows\System32\YVWCKHb.exe
Filesize
3.1MB

MD5
de8b4412c839da8f5dc1efc6446f2653

SHA1
c821099bd6f4af1763ffdca263f119440753e2c2

SHA256
90eba9f657840adecd94be4475eb999e192496fc55e3a768e05779f8574fbfd5

SHA512
9844f024e5f9357ee2f44fc4e7a7e994328522f7c227c23f1221cfc34fb263a95feb2ae255a177fc92e21e07063237d1560ae31c9619723d9fb54afecbda83d6

Download Submit
C:\Windows\System32\aFHxsml.exe
Filesize
3.1MB

MD5
a573e3514f9cdaae893c4fb2fcfcba18

SHA1
243ab06442e0696bb6856fb5a881c1c325f9c198

SHA256
d4aa878f7efc93e0d1e7e6f0fab15827b406888bb758673dab50648aeeb8b5e0

SHA512
48f228fff02afa76f950c3423d623fd724d15eb1dba85c26309f4990b9547a88bb3b545c045c8567d2553e77ff0412939f40d664dc20962b37e0722bc11bef17

Download Submit
C:\Windows\System32\aahdLgT.exe
Filesize
3.1MB

MD5
f52c3aa11216111f810926e2c81feb74

SHA1
43565a8e4e0a190d1a7a393d054b0af7ba2f07ae

SHA256
71c2366ac42f322b7a1767d07c5e90f6e818cf8012859664fd11a21572904968

SHA512
4c905bcb5398be1fbba89916da54b4ddf647895f701bd1f1406cfdecb27543902fb6c5dea28a0312d9aae638d07541e76885ada621e348f1e9b0f99847cb1f2b

Download Submit
C:\Windows\System32\bhtasbg.exe
Filesize
3.1MB

MD5
3980cca43dac1facc639b7969cb68ba8

SHA1
9d4d306b9d25afecd3656091d3f44173e1b4e470

SHA256
da0025c2bd292bd4e234d429419f350beddd69a80b0297410c28fa49fead6c5a

SHA512
c70ab642e41626f545e20e2deae98c3ed9c3e8cf5cb7491170386a5b87fdff0a85ceffdcd6b366e2ccbdff5b0d5796739ce5a4fc6c8562e368daeb61e349e525

Download Submit
C:\Windows\System32\cOOtBAS.exe
Filesize
3.1MB

MD5
76cd0b53cfc3f46486c1fe17cdd61f54

SHA1
c01ece1d10b960853905a39102d4285335a36bd2

SHA256
2b3c81842b4511b1a305ba692a2cabfdefdc8910c09b118cec7802d945e9ecef

SHA512
8d99c7fb8b76c83de452c05cba2c68b057c409647d554ad33686012bd5c9564e2ba1753ccedea82f5c5839f81da465912bfcf60c047f47a90c060e19574d7b49

Download Submit
C:\Windows\System32\cShMlDf.exe
Filesize
3.1MB

MD5
6bac38200a98013b34abb82904bfad85

SHA1
fb371f642a346addfa2d92f22a409842f9aae26e

SHA256
a1269fc5c2fe2c4525fc0a3f32b0b3345ebc2af235a81ae78ea9c54eb4a5ee82

SHA512
5878a9f5f6004c9fd05d57a0ec2e342f70fef1eeefd2ad7edca8b14eea9c12f533226f22e6d105a0eb528457bd4b91fd7fb1dfc50d5f935ba166ae134976de08

Download Submit
C:\Windows\System32\gofTyxs.exe
Filesize
3.1MB

MD5
eeb0ea2285aa3f71604014fec56364f5

SHA1
ea2f02042ca5e53f41659663e8e5c15bd6c5e3c4

SHA256
fee498385c049374053bdea42317a30a4eb2b6ac3b4f07adf03a5ba66e7a89d4

SHA512
dd970bebb13b8c5dbd0cb01bf515b9422e5f328a61d50e15d202aac6d4974125ff65595935551eea71624decd971b71677ba1a5d98fd878d7af21d523d897eac

Download Submit
C:\Windows\System32\kUwowtX.exe
Filesize
3.1MB

MD5
e128ff70ab7cada72ea9a25b0bf79ede

SHA1
44fbbfa9f4782972b0c5ba5ed41dbb35044ccf11

SHA256
4f47a18ff9fc22c6cb00cbb31883aea2cf69b6de8152bb58e4d89f82e4b0c3d8

SHA512
990321428ff903d29d241346e010c45ac11dc284d46ed75fa893a1bf43b9742841cd154913d9e3146d5bd56999832263a10157578d3fc1f9c03e80589f1fc9f6

Download Submit
C:\Windows\System32\krZuBUP.exe
Filesize
3.1MB

MD5
6da84f8034d06bfa2ee0ffec3800b896

SHA1
363149e673a30dc2b41d92ed512cad287f2d2342

SHA256
bb800cff399211ffbe98a9df265d04ed2911da7c81b72abcff6957144d114b7c

SHA512
2f27e2aad10ddca370ad47764c5b779f582b004416bf684a71e2fb729373e0df4876281ba8ffa0bce2090072ce6fd322fe914d5161ce726c11bc1c121bf0a55f

Download Submit
C:\Windows\System32\kyiXJbS.exe
Filesize
3.1MB

MD5
3a5a38d0a9588f32e214062a643a65c0

SHA1
6599472e549d5f6855700e0aa9af2b1f00494f94

SHA256
4b88ff0a42aaeeb3da7d626070dc788a4a6c369b04438310fba471908074721f

SHA512
bc17635a37c185a638aa62601e464ae2cdaa4165d21bac3113d2e8d1587528dd7041853722a20039dbb091bff544e6c30c3fadb4419d87fe76d4f7d1264201b7

Download Submit
C:\Windows\System32\pIbTniH.exe
Filesize
3.1MB

MD5
8bc71ed2d42c287da8e8c9c6a25e39e0

SHA1
4de8793c31f79b335d1d18e44eeb68a10deec0f9

SHA256
04bc6569a1e75c3c3ebc01bd20fe14edbe520398b006912800e0798662424524

SHA512
4a0c1fd1c8430cf12c6f895aea4ac823105dc09eb65274bdce1640778ac6a115a535dce0610824c10a53764fec69da66ddc0d10414f8d2d35b07d43ccca98503

Download Submit
C:\Windows\System32\pRgxZtN.exe
Filesize
3.1MB

MD5
143a7976606fe5bb8bfabe1288f8d559

SHA1
7ed31c31667640f5618c1fcee12095cf1becc53d

SHA256
11e5f2e9b0bf0cf028446ff0b618d8987d4f6e4cef837b12609c59b0bdb177cf

SHA512
4a971c5b39a283f4b9f38d717a85cbf18befe322e308571aaa60ae9356029f8ef30f8945c0f606fc3f36e1154af3a8bdd88c9212b9d46bede2c1604f03ec8b32

Download Submit
C:\Windows\System32\pZKbnrT.exe
Filesize
3.1MB

MD5
1c60d9ed62179bb007c5b6bd9828e695

SHA1
a312f3c9786f32139feae74d6a5ffd5904ed70c8

SHA256
026685587d6878bbcbf7681f52757c6c4de99c3c89f8c96c4394392127bb7204

SHA512
f63a77d507908684edc4f9f36327e0b6e1eac557604f4a7e7d7d1c5d55a70f0005cfee1be1adebf9dceb8a46295cd262f773291ff48f5e7b949ff0992d4a31c5

Download Submit
C:\Windows\System32\sUxhuKF.exe
Filesize
3.1MB

MD5
ce15214f68843202bd4ebc1557a57e57

SHA1
f9e22cbedabca8235bda712089450605f6322959

SHA256
4cb9fbe821ad5bf679148fc177776d19b901142dcb89b62faaea921c190b627a

SHA512
127bd5c28d43705f51298a870c68c3d6f996474dea0b70c81261f96bebbba62fdeec6b8cc6c6f77a42357316fa39b1b8ad455495772e2c7054cd3bc237024384

Download Submit
C:\Windows\System32\ubAGkrS.exe
Filesize
3.1MB

MD5
b28f0ae55dec9dbf33f51ca4304e4487

SHA1
64434e73994bf07dd087687b44ad8c6851b5d864

SHA256
37cd96fcc50b0a7545975dea341484cdc17068c2e26e9f5c633989fa51c47e78

SHA512
9a1803b178f0f3bf88854be28d9ee261794bac314430d3e1f792613cc3ad1e303906a4392073438f1d7e095ad200c4d584cf9c389db7cdfccdf84e6d7b834305

Download Submit
C:\Windows\System32\yDCPiSO.exe
Filesize
3.1MB

MD5
e1d24f4b94c477ac90acbef3e0fb1a5d

SHA1
0d1724c34951f0f00466b609cc4c7cea119f4949

SHA256
d6f6acc00654bee973d5913fd6ffd1d0893d45982cb2c47784e343a707cbdcac

SHA512
1b52beba19c67aa52a3d82a691f6f7c2921d3180d9e063ab32d91aa775c6f77ecc12eb8915c9b9eed2a9e43ea0c65712bae6d770ac51893accbc9f5d05e757a9

Download Submit
C:\Windows\System32\zUohcRj.exe
Filesize
3.1MB

MD5
d4f07f184f1efcf06ef2c98947ade557

SHA1
295eaf555322eae1cb346556e889ab13c6086482

SHA256
bf6eff26821f1fddd5809bd58aea58f1fc02529c2d8fae8b6fe4fe393b507cf1

SHA512
1be5a220e38480c8855631d9a9c82bd44b925b8aa4f5e79edefcd4011d42a0c7d12a1d9476ef9ba995179b5c87043e11f3948fd9768efe4b81f172df560d0459

Download Submit
memory/448-900-0x00007FF641CE0000-0x00007FF6420D5000-memory.dmp

Filesize
4.0MB

Download
memory/448-1904-0x00007FF641CE0000-0x00007FF6420D5000-memory.dmp

Filesize
4.0MB

Download
memory/1200-1895-0x00007FF6E2340000-0x00007FF6E2735000-memory.dmp

Filesize
4.0MB

Download
memory/1200-851-0x00007FF6E2340000-0x00007FF6E2735000-memory.dmp

Filesize
4.0MB

Download
memory/1320-13-0x00007FF797650000-0x00007FF797A45000-memory.dmp

Filesize
4.0MB

Download
memory/1320-1883-0x00007FF797650000-0x00007FF797A45000-memory.dmp

Filesize
4.0MB

Download
memory/1424-1899-0x00007FF7194E0000-0x00007FF7198D5000-memory.dmp

Filesize
4.0MB

Download
memory/1424-882-0x00007FF7194E0000-0x00007FF7198D5000-memory.dmp

Filesize
4.0MB

Download
memory/1508-1897-0x00007FF6EF640000-0x00007FF6EFA35000-memory.dmp

Filesize
4.0MB

Download
memory/1508-874-0x00007FF6EF640000-0x00007FF6EFA35000-memory.dmp

Filesize
4.0MB

Download
memory/1556-1905-0x00007FF7A71B0000-0x00007FF7A75A5000-memory.dmp

Filesize
4.0MB

Download
memory/1556-892-0x00007FF7A71B0000-0x00007FF7A75A5000-memory.dmp

Filesize
4.0MB

Download
memory/1604-837-0x00007FF73ADA0000-0x00007FF73B195000-memory.dmp

Filesize
4.0MB

Download
memory/1604-1886-0x00007FF73ADA0000-0x00007FF73B195000-memory.dmp

Filesize
4.0MB

Download
memory/1648-847-0x00007FF6902E0000-0x00007FF6906D5000-memory.dmp

Filesize
4.0MB

Download
memory/1648-1893-0x00007FF6902E0000-0x00007FF6906D5000-memory.dmp

Filesize
4.0MB

Download
memory/1756-1885-0x00007FF74F9E0000-0x00007FF74FDD5000-memory.dmp

Filesize
4.0MB

Download
memory/1756-26-0x00007FF74F9E0000-0x00007FF74FDD5000-memory.dmp

Filesize
4.0MB

Download
memory/1848-1906-0x00007FF69C690000-0x00007FF69CA85000-memory.dmp

Filesize
4.0MB

Download
memory/1848-899-0x00007FF69C690000-0x00007FF69CA85000-memory.dmp

Filesize
4.0MB

Download
memory/1940-1902-0x00007FF639880000-0x00007FF639C75000-memory.dmp

Filesize
4.0MB

Download
memory/1940-893-0x00007FF639880000-0x00007FF639C75000-memory.dmp

Filesize
4.0MB

Download
memory/1952-1891-0x00007FF73DDC0000-0x00007FF73E1B5000-memory.dmp

Filesize
4.0MB

Download
memory/1952-860-0x00007FF73DDC0000-0x00007FF73E1B5000-memory.dmp

Filesize
4.0MB

Download
memory/2120-853-0x00007FF62FAE0000-0x00007FF62FED5000-memory.dmp

Filesize
4.0MB

Download
memory/2120-1892-0x00007FF62FAE0000-0x00007FF62FED5000-memory.dmp

Filesize
4.0MB

Download
memory/2572-840-0x00007FF64D420000-0x00007FF64D815000-memory.dmp

Filesize
4.0MB

Download
memory/2572-1890-0x00007FF64D420000-0x00007FF64D815000-memory.dmp

Filesize
4.0MB

Download
memory/2652-895-0x00007FF737F60000-0x00007FF738355000-memory.dmp

Filesize
4.0MB

Download
memory/2652-1900-0x00007FF737F60000-0x00007FF738355000-memory.dmp

Filesize
4.0MB

Download
memory/3096-1884-0x00007FF68E540000-0x00007FF68E935000-memory.dmp

Filesize
4.0MB

Download
memory/3096-19-0x00007FF68E540000-0x00007FF68E935000-memory.dmp

Filesize
4.0MB

Download
memory/3556-1888-0x00007FF6C97C0000-0x00007FF6C9BB5000-memory.dmp

Filesize
4.0MB

Download
memory/3556-902-0x00007FF6C97C0000-0x00007FF6C9BB5000-memory.dmp

Filesize
4.0MB

Download
memory/3680-869-0x00007FF729430000-0x00007FF729825000-memory.dmp

Filesize
4.0MB

Download
memory/3680-1896-0x00007FF729430000-0x00007FF729825000-memory.dmp

Filesize
4.0MB

Download
memory/4020-0-0x00007FF7D5CE0000-0x00007FF7D60D5000-memory.dmp

Filesize
4.0MB

Download
memory/4020-1-0x000001B103F70000-0x000001B103F80000-memory.dmp

Filesize
64KB

Download
memory/4020-1881-0x00007FF7D5CE0000-0x00007FF7D60D5000-memory.dmp

Filesize
4.0MB

Download
memory/4332-894-0x00007FF6D0C00000-0x00007FF6D0FF5000-memory.dmp

Filesize
4.0MB

Download
memory/4332-1901-0x00007FF6D0C00000-0x00007FF6D0FF5000-memory.dmp

Filesize
4.0MB

Download
memory/4716-1894-0x00007FF786420000-0x00007FF786815000-memory.dmp

Filesize
4.0MB

Download
memory/4716-865-0x00007FF786420000-0x00007FF786815000-memory.dmp

Filesize
4.0MB

Download
memory/4908-31-0x00007FF660260000-0x00007FF660655000-memory.dmp

Filesize
4.0MB

Download
memory/4908-1887-0x00007FF660260000-0x00007FF660655000-memory.dmp

Filesize
4.0MB

Download
memory/4908-1882-0x00007FF660260000-0x00007FF660655000-memory.dmp

Filesize
4.0MB

Download
memory/4928-1898-0x00007FF6BE6B0000-0x00007FF6BEAA5000-memory.dmp

Filesize
4.0MB

Download
memory/4928-880-0x00007FF6BE6B0000-0x00007FF6BEAA5000-memory.dmp

Filesize
4.0MB

Download
memory/4992-1889-0x00007FF6F8B20000-0x00007FF6F8F15000-memory.dmp

Filesize
4.0MB

Download
memory/4992-843-0x00007FF6F8B20000-0x00007FF6F8F15000-memory.dmp

Filesize
4.0MB

Download
memory/5016-1903-0x00007FF740CF0000-0x00007FF7410E5000-memory.dmp

Filesize
4.0MB

Download
memory/5016-901-0x00007FF740CF0000-0x00007FF7410E5000-memory.dmp

Filesize
4.0MB

Download