a5cb49e8c881483fb83a5c3f308ed56e372b50a4c766fdb1b1db09d4c10aa49b

Analysis

max time kernel
150s
max time network
127s
platform
windows10-2004_x64
resource
win10v2004-20240508-en
resource tags

arch:x64arch:x86image:win10v2004-20240508-enlocale:en-usos:windows10-2004-x64system
submitted
24-05-2024 04:20

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

a5cb49e8c881483fb83a5c3f308ed56e372b50a4c766fdb1b1db09d4c10aa49b.exe
Size

51KB
MD5

1bf80a7456ddcb18c10740eb6b8ab760
SHA1

16b0c789ab9b0e509e03811af834b438e016dd53
SHA256

a5cb49e8c881483fb83a5c3f308ed56e372b50a4c766fdb1b1db09d4c10aa49b
SHA512

5abdbe77ff14374d47867040c54df6a53094b228e8c7c96490567cdaf4a5d614c9343dd612c46f90bc83cf5cca2936edff42b794e5f43d78ff8b44b16f284cef
SSDEEP

768:nNAGAkIo/juokwoL7627d9rIiClJAxiFkJT22euOiya6lHOYxY0x0KS34888888s:nNJb/HkwoLe29UjQ4wqQOLIMVnS3j

Score

10^/10

evasion persistence upx

Malware Config

Signatures

Modifies WinLogon for persistence 2 TTPs 1 IoCs

persistence

Winlogon Helper DLL

T1547.004

Modify Registry

T1112

Processes:

userinit.exe

description	ioc	process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\shell = "C:\\Windows\\explorer.exe, c:\\windows\\system\\userinit.exe"	userinit.exe

Modifies visiblity of hidden/system files in Explorer 2 TTPs 1 IoCs

evasion

Hidden Files and Directories

T1564.001

Modify Registry

T1112

Processes:

userinit.exe

description	ioc	process
Set value (int)	\REGISTRY\USER\S-1-5-21-1181767204-2009306918-3718769404-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden = "0"	userinit.exe

Drops file in Drivers directory 3 IoCs

Processes:

userinit.exetaskmgr.exe

description	ioc	process
File opened for modification	\??\c:\windows\SysWOW64\drivers\taskmgr.exe	userinit.exe
File opened for modification	\??\c:\windows\SysWOW64\drivers\csrss.exe	taskmgr.exe
File opened for modification	C:\Windows\SysWOW64\drivers\udsys.exe	userinit.exe

Modifies Installed Components in the registry 2 TTPs 2 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

Processes:

userinit.exe

description	ioc	process
Key created	\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}	userinit.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}\StubPath = "C:\\Users\\Admin\\AppData\\Local\\mrkl.exe MR"	userinit.exe

Executes dropped EXE 64 IoCs

Processes:

userinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exe

pid	process
3808	userinit.exe
628	taskmgr.exe
2384	csrss.exe
3952	userinit.exe
2136	taskmgr.exe
5028	csrss.exe
2900	userinit.exe
4700	taskmgr.exe
2256	csrss.exe
2220	userinit.exe
2304	taskmgr.exe
1876	csrss.exe
4804	userinit.exe
116	taskmgr.exe
852	csrss.exe
4848	userinit.exe
4436	taskmgr.exe
2616	csrss.exe
3944	userinit.exe
3552	taskmgr.exe
4332	csrss.exe
1480	userinit.exe
2276	taskmgr.exe
1036	csrss.exe
1320	userinit.exe
1120	taskmgr.exe
4588	csrss.exe
4844	userinit.exe
4740	taskmgr.exe
468	csrss.exe
4244	userinit.exe
2220	taskmgr.exe
4536	csrss.exe
3420	userinit.exe
1868	taskmgr.exe
1280	csrss.exe
228	userinit.exe
1752	taskmgr.exe
2972	csrss.exe
1848	userinit.exe
2872	taskmgr.exe
5072	csrss.exe
3044	userinit.exe
4600	taskmgr.exe
3304	csrss.exe
2432	userinit.exe
3532	taskmgr.exe
4884	csrss.exe
2540	userinit.exe
2196	taskmgr.exe
2256	csrss.exe
4244	userinit.exe
864	taskmgr.exe
3420	csrss.exe
4796	userinit.exe
5064	taskmgr.exe
940	csrss.exe
2172	userinit.exe
1848	taskmgr.exe
3800	csrss.exe
3224	userinit.exe
4600	taskmgr.exe
2312	csrss.exe
1852	userinit.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

Processes:

resource	yara_rule
behavioral2/memory/1832-0-0x0000000000400000-0x0000000000426000-memory.dmp	upx
C:\Windows\System\userinit.exe	upx
C:\Windows\SysWOW64\drivers\taskmgr.exe	upx
C:\Windows\SysWOW64\drivers\csrss.exe	upx
behavioral2/memory/3952-28-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2384-30-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/628-34-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1832-36-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2136-38-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2900-45-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2900-48-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/5028-50-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2136-52-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2220-63-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2256-65-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4700-67-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3808-69-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4804-79-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1876-80-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2304-82-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4848-93-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/852-95-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/116-97-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3944-105-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3944-109-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4436-113-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2616-111-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1480-124-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3552-127-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1320-138-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1036-140-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2276-142-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4588-147-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4844-153-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1120-156-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4740-158-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4244-168-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4740-170-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3420-181-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4536-183-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2220-185-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/228-196-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1868-199-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1848-209-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2972-210-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1752-212-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3044-223-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2872-226-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3304-237-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4600-239-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2540-250-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4884-252-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3532-254-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4244-265-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2256-267-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2196-269-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4796-280-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3420-282-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/864-284-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2172-295-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/5064-298-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/940-297-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3224-309-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3800-311-0x0000000000400000-0x0000000000426000-memory.dmp	upx

Adds Run key to start application 2 TTPs 2 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

Processes:

userinit.exe

description	ioc	process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce\userinit = "c:\\windows\\system\\userinit.exe RO"	userinit.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce\csrss = "c:\\windows\\system32\\drivers\\csrss.exe RO"	userinit.exe

Drops file in Windows directory 2 IoCs

Processes:

a5cb49e8c881483fb83a5c3f308ed56e372b50a4c766fdb1b1db09d4c10aa49b.exeuserinit.exe

description	ioc	process
File opened for modification	\??\c:\windows\system\userinit.exe	a5cb49e8c881483fb83a5c3f308ed56e372b50a4c766fdb1b1db09d4c10aa49b.exe
File opened for modification	\??\c:\windows\system\userinit.exe	userinit.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

Suspicious behavior: EnumeratesProcesses 64 IoCs

Processes:

a5cb49e8c881483fb83a5c3f308ed56e372b50a4c766fdb1b1db09d4c10aa49b.exeuserinit.exe

pid	process
1832	a5cb49e8c881483fb83a5c3f308ed56e372b50a4c766fdb1b1db09d4c10aa49b.exe
1832	a5cb49e8c881483fb83a5c3f308ed56e372b50a4c766fdb1b1db09d4c10aa49b.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe
3808	userinit.exe

Suspicious behavior: GetForegroundWindowSpam 1 IoCs

Processes:

userinit.exe

pid process

3808 userinit.exe

Suspicious use of SetWindowsHookEx 64 IoCs

Processes:

a5cb49e8c881483fb83a5c3f308ed56e372b50a4c766fdb1b1db09d4c10aa49b.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.execsrss.exeuserinit.exetaskmgr.exe

pid	process
1832	a5cb49e8c881483fb83a5c3f308ed56e372b50a4c766fdb1b1db09d4c10aa49b.exe
3808	userinit.exe
628	taskmgr.exe
2384	csrss.exe
3952	userinit.exe
3808	userinit.exe
2136	taskmgr.exe
5028	csrss.exe
2900	userinit.exe
4700	taskmgr.exe
2256	csrss.exe
2220	userinit.exe
2304	taskmgr.exe
1876	csrss.exe
4804	userinit.exe
116	taskmgr.exe
852	csrss.exe
4848	userinit.exe
4436	taskmgr.exe
2616	csrss.exe
3944	userinit.exe
3552	taskmgr.exe
4332	csrss.exe
1480	userinit.exe
2276	taskmgr.exe
1036	csrss.exe
1320	userinit.exe
1120	taskmgr.exe
4588	csrss.exe
4844	userinit.exe
4740	taskmgr.exe
468	csrss.exe
4244	userinit.exe
2220	taskmgr.exe
4536	csrss.exe
3420	userinit.exe
1868	taskmgr.exe
1280	csrss.exe
228	userinit.exe
1752	taskmgr.exe
2972	csrss.exe
1848	userinit.exe
2872	taskmgr.exe
5072	csrss.exe
3044	userinit.exe
4600	taskmgr.exe
3304	csrss.exe
2432	userinit.exe
3532	taskmgr.exe
4884	csrss.exe
2540	userinit.exe
2196	taskmgr.exe
2256	csrss.exe
4244	userinit.exe
864	taskmgr.exe
3420	csrss.exe
4796	userinit.exe
5064	taskmgr.exe
940	csrss.exe
2172	userinit.exe
1848	taskmgr.exe
3800	csrss.exe
3224	userinit.exe
4600	taskmgr.exe

Suspicious use of WriteProcessMemory 64 IoCs

Processes:

a5cb49e8c881483fb83a5c3f308ed56e372b50a4c766fdb1b1db09d4c10aa49b.exeuserinit.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exetaskmgr.execsrss.exe

description	pid	process	target process
PID 1832 wrote to memory of 3808	1832	a5cb49e8c881483fb83a5c3f308ed56e372b50a4c766fdb1b1db09d4c10aa49b.exe	userinit.exe
PID 1832 wrote to memory of 3808	1832	a5cb49e8c881483fb83a5c3f308ed56e372b50a4c766fdb1b1db09d4c10aa49b.exe	userinit.exe
PID 1832 wrote to memory of 3808	1832	a5cb49e8c881483fb83a5c3f308ed56e372b50a4c766fdb1b1db09d4c10aa49b.exe	userinit.exe
PID 3808 wrote to memory of 628	3808	userinit.exe	taskmgr.exe
PID 3808 wrote to memory of 628	3808	userinit.exe	taskmgr.exe
PID 3808 wrote to memory of 628	3808	userinit.exe	taskmgr.exe
PID 628 wrote to memory of 2384	628	taskmgr.exe	csrss.exe
PID 628 wrote to memory of 2384	628	taskmgr.exe	csrss.exe
PID 628 wrote to memory of 2384	628	taskmgr.exe	csrss.exe
PID 2384 wrote to memory of 3952	2384	csrss.exe	userinit.exe
PID 2384 wrote to memory of 3952	2384	csrss.exe	userinit.exe
PID 2384 wrote to memory of 3952	2384	csrss.exe	userinit.exe
PID 3808 wrote to memory of 2136	3808	userinit.exe	taskmgr.exe
PID 3808 wrote to memory of 2136	3808	userinit.exe	taskmgr.exe
PID 3808 wrote to memory of 2136	3808	userinit.exe	taskmgr.exe
PID 2136 wrote to memory of 5028	2136	taskmgr.exe	csrss.exe
PID 2136 wrote to memory of 5028	2136	taskmgr.exe	csrss.exe
PID 2136 wrote to memory of 5028	2136	taskmgr.exe	csrss.exe
PID 5028 wrote to memory of 2900	5028	csrss.exe	userinit.exe
PID 5028 wrote to memory of 2900	5028	csrss.exe	userinit.exe
PID 5028 wrote to memory of 2900	5028	csrss.exe	userinit.exe
PID 3808 wrote to memory of 4700	3808	userinit.exe	taskmgr.exe
PID 3808 wrote to memory of 4700	3808	userinit.exe	taskmgr.exe
PID 3808 wrote to memory of 4700	3808	userinit.exe	taskmgr.exe
PID 4700 wrote to memory of 2256	4700	taskmgr.exe	csrss.exe
PID 4700 wrote to memory of 2256	4700	taskmgr.exe	csrss.exe
PID 4700 wrote to memory of 2256	4700	taskmgr.exe	csrss.exe
PID 2256 wrote to memory of 2220	2256	csrss.exe	userinit.exe
PID 2256 wrote to memory of 2220	2256	csrss.exe	userinit.exe
PID 2256 wrote to memory of 2220	2256	csrss.exe	userinit.exe
PID 3808 wrote to memory of 2304	3808	userinit.exe	taskmgr.exe
PID 3808 wrote to memory of 2304	3808	userinit.exe	taskmgr.exe
PID 3808 wrote to memory of 2304	3808	userinit.exe	taskmgr.exe
PID 2304 wrote to memory of 1876	2304	taskmgr.exe	csrss.exe
PID 2304 wrote to memory of 1876	2304	taskmgr.exe	csrss.exe
PID 2304 wrote to memory of 1876	2304	taskmgr.exe	csrss.exe
PID 1876 wrote to memory of 4804	1876	csrss.exe	userinit.exe
PID 1876 wrote to memory of 4804	1876	csrss.exe	userinit.exe
PID 1876 wrote to memory of 4804	1876	csrss.exe	userinit.exe
PID 3808 wrote to memory of 116	3808	userinit.exe	taskmgr.exe
PID 3808 wrote to memory of 116	3808	userinit.exe	taskmgr.exe
PID 3808 wrote to memory of 116	3808	userinit.exe	taskmgr.exe
PID 116 wrote to memory of 852	116	taskmgr.exe	csrss.exe
PID 116 wrote to memory of 852	116	taskmgr.exe	csrss.exe
PID 116 wrote to memory of 852	116	taskmgr.exe	csrss.exe
PID 852 wrote to memory of 4848	852	csrss.exe	userinit.exe
PID 852 wrote to memory of 4848	852	csrss.exe	userinit.exe
PID 852 wrote to memory of 4848	852	csrss.exe	userinit.exe
PID 3808 wrote to memory of 4436	3808	userinit.exe	taskmgr.exe
PID 3808 wrote to memory of 4436	3808	userinit.exe	taskmgr.exe
PID 3808 wrote to memory of 4436	3808	userinit.exe	taskmgr.exe
PID 4436 wrote to memory of 2616	4436	taskmgr.exe	csrss.exe
PID 4436 wrote to memory of 2616	4436	taskmgr.exe	csrss.exe
PID 4436 wrote to memory of 2616	4436	taskmgr.exe	csrss.exe
PID 2616 wrote to memory of 3944	2616	csrss.exe	userinit.exe
PID 2616 wrote to memory of 3944	2616	csrss.exe	userinit.exe
PID 2616 wrote to memory of 3944	2616	csrss.exe	userinit.exe
PID 3808 wrote to memory of 3552	3808	userinit.exe	taskmgr.exe
PID 3808 wrote to memory of 3552	3808	userinit.exe	taskmgr.exe
PID 3808 wrote to memory of 3552	3808	userinit.exe	taskmgr.exe
PID 3552 wrote to memory of 4332	3552	taskmgr.exe	csrss.exe
PID 3552 wrote to memory of 4332	3552	taskmgr.exe	csrss.exe
PID 3552 wrote to memory of 4332	3552	taskmgr.exe	csrss.exe
PID 4332 wrote to memory of 1480	4332	csrss.exe	userinit.exe

C:\Users\Admin\AppData\Local\Temp\a5cb49e8c881483fb83a5c3f308ed56e372b50a4c766fdb1b1db09d4c10aa49b.exe
"C:\Users\Admin\AppData\Local\Temp\a5cb49e8c881483fb83a5c3f308ed56e372b50a4c766fdb1b1db09d4c10aa49b.exe"
1⤵
- Drops file in Windows directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:1832

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
2⤵
- Modifies WinLogon for persistence
- Modifies visiblity of hidden/system files in Explorer
- Drops file in Drivers directory
- Modifies Installed Components in the registry
- Executes dropped EXE
- Adds Run key to start application
- Drops file in Windows directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious behavior: GetForegroundWindowSpam
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:3808

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Drops file in Drivers directory
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:628

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2384

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:3952

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2136

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:5028

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2900

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:4700

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2256

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2220

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2304

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:1876

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:4804

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:116

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:852

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:4848

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:4436

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:2616

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:3944

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:3552

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:4332

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1480

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2276

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1036

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1320

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1120

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:4588

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:4844

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:4740

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:468

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:4244

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2220

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:4536

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:3420

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1868

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1280

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:228

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1752

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2972

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1848

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2872

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:5072

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:3044

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:4600

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:3304

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2432

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:3532

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:4884

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2540

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2196

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2256

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:4244

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:864

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:3420

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:4796

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:5064

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:940

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:2172

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:1848

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:3800

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:3224

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
- Executes dropped EXE
- Suspicious use of SetWindowsHookEx
PID:4600

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
- Executes dropped EXE
PID:2312

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
- Executes dropped EXE
PID:1852

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4632

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:5008

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4140

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1404

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4692

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4576

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:5040

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4796

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4848

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4188

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:852

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4260

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4428

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1480

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2348

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4600

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2784

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2540

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1300

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4324

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4548

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3888

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2992

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2388

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1492

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2204

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4868

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1848

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1480

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1296

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4480

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1484

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4464

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4700

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2540

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1404

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3936

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3956

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1152

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:5092

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2388

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4288

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4768

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2032

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2312

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3304

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3920

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3948

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2924

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2348

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4600

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4140

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4464

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2196

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2588

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3772

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3520

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3888

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1068

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1852

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1488

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:5064

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:388

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4276

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1188

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4628

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4776

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4480

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:984

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3916

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4432

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2956

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1948

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:964

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4184

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4588

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4440

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4428

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2312

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3948

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1952

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1272

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4628

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3080

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3752

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:984

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1692

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:228

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3932

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:5076

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3412

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3292

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2548

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4440

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1036

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1188

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4632

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4276

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2196

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3628

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4776

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:864

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4140

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3916

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:380

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3956

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:5000

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4596

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2548

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3292

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3468

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2204

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1480

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1996

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2056

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3940

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3984

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2956

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3812

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3264

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3296

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3916

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1120

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2644

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3544

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:5000

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4884

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3292

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:916

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2328

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4740

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4220

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:5040

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2312

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3928

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2280

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1272

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4432

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4268

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:964

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3520

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3956

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4348

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2992

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1068

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2884

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:5108

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:916

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1996

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3460

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4220

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2056

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3488

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3928

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1692

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1272

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:228

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3520

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1904

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4208

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:5064

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2332

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1188

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3412

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1488

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4768

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1284

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1996

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2796

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3488

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4600

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2956

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:5048

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1692

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4260

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:5076

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2900

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:5012

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3444

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3508

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2992

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3468

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3292

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1188

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:916

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3768

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4768

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1952

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4684

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2796

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2560

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2280

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3812

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3752

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4268

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2256

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2144

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3304

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:5012

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2136

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4588

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2992

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1036

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4580

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1948

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2312

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2056

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4768

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3928

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3264

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1692

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:5076

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3752

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2644

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3956

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4260

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3304

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3468

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2872

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2204

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1488

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1036

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3420

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4136

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1996

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3944

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2304

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:5048

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4428

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2276

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:228

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1644

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1852

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3044

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2644

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2320

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4588

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:468

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2176

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:388

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1484

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3768

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3652

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3932

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1276

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:380

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4776

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3024

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3520

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3064

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3660

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4536

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1644

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:5012

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1068

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2644

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1488

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3292

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2196

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1280

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3768

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4764

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4140

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3080

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2488

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1320

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4208

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:396

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3752

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3420

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4328

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4576

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1284

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2872

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2644

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4300

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1484

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2924

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1276

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1996

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4868

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4480

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3444

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4776

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1272

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2172

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1692

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2144

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3120

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2632

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:5012

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4548

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4300

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3488

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3768

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1840

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2196

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2796

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:5008

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1616

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3096

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2900

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4756

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:396

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2784

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3468

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:456

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3460

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2052

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4616

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:388

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4908

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3488

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:5048

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3932

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4012

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1120

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4464

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4768

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2304

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4796

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2256

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:228

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4756

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3468

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4692

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1488

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1284

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2316

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:468

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4300

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4052

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4616

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1316

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:5040

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1276

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1852

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3924

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3616

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4480

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:848

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3520

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2540

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:396

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2784

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:456

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2052

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3940

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4908

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4700

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1484

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1276

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1280

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3492

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3648

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4868

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:5064

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3372

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4768

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4184

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1964

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:864

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4276

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2056

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2052

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:380

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1648

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3832

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3544

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:5076

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4272

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4512

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3924

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4764

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2748

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:5064

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1616

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:848

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4176

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:5008

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4588

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2540

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:396

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:388

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3264

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:5012

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4052

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1156

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4896

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3552

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3080

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:984

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3916

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4428

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2196

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1120

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4632

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4432

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1484

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2588

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:5088

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4588

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4220

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3120

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2212

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4852

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2328

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4052

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2560

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3964

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2100

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4512

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2280

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1272

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2748

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2884

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1068

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2784

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4184

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3628

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4756

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3412

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4328

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1952

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1964

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3264

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3772

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4700

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4052

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4272

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3752

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2100

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3080

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3492

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1320

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4480

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4260

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1852

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1268

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:228

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:5064

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4136

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4860

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4588

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4268

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2184

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:5068

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1952

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2856

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2924

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2644

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2560

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2488

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1924

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2468

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3024

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3492

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1316

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:848

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2136

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2884

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1036

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4536

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1228

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2540

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2956

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4756

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4848

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3768

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4304

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3812

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:5076

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3552

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2632

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2256

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3964

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4428

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:5048

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2320

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1320

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2224

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3304

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1484

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:5008

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2900

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1036

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3944

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2540

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1152

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2212

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4624

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2956

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4796

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1188

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3488

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2924

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2376

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1276

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1288

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3196

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:5000

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3068

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1692

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4512

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4440

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1404

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3080

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3856

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2348

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3412

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1964

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1616

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4516

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3544

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4756

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4768

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1952

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4832

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4852

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2644

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3064

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2204

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:468

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3772

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1288

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:5048

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:5108

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4244

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4432

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3372

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3492

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4324

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4480

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4940

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3508

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:5064

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2176

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4220

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2212

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2548

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4416

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3044

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4560

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3552

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4380

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1848

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2276

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1068

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2312

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3068

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4260

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3848

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2256

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3296

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1492

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4184

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2900

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3412

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:5040

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:380

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1856

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4628

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4756

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4328

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3832

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1156

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4796

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4616

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2632

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4884

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:5092

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1852

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1068

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2312

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1320

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:5108

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3848

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3492

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2348

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3940

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4588

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1648

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1280

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2176

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4052

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3768

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1644

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4328

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4032

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:5076

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4272

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3552

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1848

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2644

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1844

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1852

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3932

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4512

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3068

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2604

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3320

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2256

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3848

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3124

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1616

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3940

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2540

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1152

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1800

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4628

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:456

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4220

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4796

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4832

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4596

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:468

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2748

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2376

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1288

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2320

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4260

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2136

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3080

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2588

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2304

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4692

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3752

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4632

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1268

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4940

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:436

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3520

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4516

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1856

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4548

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4852

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2796

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3064

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:5028

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2204

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3488

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4796

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1272

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3292

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:468

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3924

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1692

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1040

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4740

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2604

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2588

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3492

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4692

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3848

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4588

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2788

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3124

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1188

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3940

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1648

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3140

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4768

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1644

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4220

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3064

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:5076

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:864

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4832

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1848

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4784

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2644

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1272

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2280

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:5108

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4440

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1964

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3460

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3068

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1616

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3372

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4600

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1108

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4632

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4536

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1876

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3304

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3688

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1648

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4032

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1276

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1644

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2632

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4272

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3948

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2172

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4832

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4884

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3264

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2100

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4784

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3924

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4244

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2280

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2588

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2604

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1964

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3848

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4692

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1616

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:848

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3008

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2956

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4812

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4488

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1800

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4032

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1648

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4428

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1480

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3964

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1156

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2276

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3652

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1284

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2196

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:5088

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1040

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1272

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4520

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2348

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4440

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4356

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:380

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3752

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1108

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:964

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1616

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2620

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4416

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3120

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4756

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:5012

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3420

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:5028

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2872

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3488

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2172

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3812

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:436

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3652

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:640

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3772

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3628

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1316

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:5088

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4276

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:396

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4868

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3484

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4184

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:5004

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3752

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4600

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1856

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3124

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4980

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4768

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4488

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3044

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4616

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4088

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4692

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4684

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2212

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3676

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1844

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:436

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4796

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1488

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:468

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1068

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4176

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:5088

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4276

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4324

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:228

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4052

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1996

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:5004

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3688

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4268

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:964

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3756

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1324

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3120

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4768

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2620

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4628

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4756

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1800

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:5040

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4684

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1480

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4752

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:5080

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2100

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1156

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3628

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4512

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3264

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4176

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1068

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1852

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1040

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1980

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4536

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3204

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4052

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2540

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4268

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3688

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4812

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1324

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3756

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2056

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2620

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:456

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2992

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4428

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4756

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2276

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4304

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2172

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3772

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4484

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3812

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1492

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1588

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3652

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3944

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3856

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3460

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4184

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2900

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4740

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2176

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4940

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:388

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3304

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3024

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3780

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2788

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3120

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1276

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2144

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4768

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4416

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4752

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4764

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4616

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:436

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3292

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1480

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2784

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1288

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3812

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2224

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2052

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3652

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4012

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:380

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4700

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4804

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1856

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4328

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4796

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3916

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3204

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:2856

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3420

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3140

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:5024

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3544

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1276

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3120

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1188

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2620

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1800

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:932

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3044

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4764

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4088

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1480

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4892

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3264

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1492

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1984

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4356

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3652

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4012

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3068

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4124

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1040

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1964

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:396

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3008

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4940

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3064

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4908

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1872

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3140

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3124

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3764

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:2440

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3120

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3196

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:5108

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1800

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4756

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1156

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4692

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3292

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:5088

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4832

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1924

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:5080

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4884

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1876

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3492

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3944

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2900

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1912

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1280

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:3608

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4740

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:5028

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:448

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4588

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4520

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2144

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4528

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:1276

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1152

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1324

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4580

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:1800

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1976

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:3196

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4764

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:1844

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4692

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4892

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:3660

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4832

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:4484

\??\c:\windows\SysWOW64\drivers\csrss.exe
c:\windows\system32\drivers\csrss.exe
4⤵
PID:4536

\??\c:\windows\system\userinit.exe
c:\windows\system\userinit.exe
5⤵
PID:4176

\??\c:\windows\SysWOW64\drivers\taskmgr.exe
c:\windows\system32\drivers\taskmgr.exe SE
3⤵
PID:2588

C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
"C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --type=utility --utility-sub-type=asset_store.mojom.AssetStoreService --lang=en-US --service-sandbox-type=asset_store_service --no-appcompat-clear --field-trial-handle=4360,i,17096020621006928097,15544233752327415349,262144 --variations-seed-version --mojo-platform-channel-handle=3244 /prefetch:8
1⤵
PID:4132

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Defense Evasion

Hide Artifacts

T1564

Hidden Files and Directories

T1564.001

Modify Registry

T1112

Credential Access

Discovery

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\SysWOW64\drivers\csrss.exe
Filesize
51KB

MD5
04430116e355d534f2e74090c3ad4fd4

SHA1
203b32ec2c704611e11880ea9a08740b4b83f637

SHA256
e38084787034a55d564e900962beb38d676fbfba73c415ce86e06787b5a3c7d8

SHA512
008b55769b06aaa31db2be532f8b292fc96b85734d0277592f3ffe320796a3286fe814382894fdfd1f1fffda49ca2429e439bebe50724df1a256028785a381ad

Download Submit
C:\Windows\SysWOW64\drivers\taskmgr.exe
Filesize
51KB

MD5
5f6d81315277ad0b4339c34a6a6709f3

SHA1
b6d1963d7f8a545e92bfc4c8d246a9cb86ad345d

SHA256
942ee90ec2a20c406b62005c560798f1bc4de32bd5cb275609242d7a1acfb589

SHA512
3ddd0bd983c0e1f03c0bdf07f9498e0b96b788a9836d5ffe93c8b5f0bd6456a9bb9dd2470df439b5c76b25a534163664c508df22a624a4361295493322541d4f

Download Submit
C:\Windows\System\userinit.exe
Filesize
51KB

MD5
689e40a521af4a2b115d7b84a1bcf235

SHA1
fd447fa3df7ed9746109c5ccaefa45828f9c6bee

SHA256
29a2519db271262ba4a0412174c6be147dff5d3aedc8baa57af036b4763adcb5

SHA512
80e052d1a4b7fd15c8ebd6f73a9cb91fa14b5de59aee12181bc97c529a30fa5cc1f005adbc572abaa600c05b57cd2a8e1510b4b075d0453f67693c3fa514aee3

Download Submit
memory/116-97-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/228-196-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/628-34-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/852-95-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/864-284-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/940-297-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1036-140-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1120-156-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1152-471-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1296-438-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1300-407-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1320-138-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1404-460-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1404-347-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1480-124-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1480-380-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1492-430-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1752-212-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1832-36-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1832-0-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1848-209-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1848-441-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1848-313-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1852-321-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1868-199-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1876-80-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2032-496-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2136-52-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2136-38-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2172-295-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2196-269-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2204-428-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2220-63-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2220-185-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2256-65-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2256-267-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2276-142-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2304-82-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2312-322-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2312-494-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2348-378-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2384-30-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2388-415-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2540-250-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2540-391-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2616-111-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2784-393-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2872-226-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2900-45-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2900-48-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2972-210-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2992-417-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3044-223-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3224-309-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3304-237-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3304-509-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3420-181-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3420-282-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3532-254-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3552-127-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3800-311-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3808-69-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3936-474-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3944-105-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3944-109-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3948-506-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3952-28-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4140-332-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4188-370-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4244-265-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4244-168-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4260-367-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4288-482-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4324-405-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4428-382-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4436-113-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4464-449-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4480-452-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4536-183-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4548-403-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4576-343-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4588-147-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4600-324-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4600-239-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4600-383-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4600-395-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4632-335-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4692-345-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4700-463-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4700-67-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4740-170-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4740-158-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4768-498-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4796-357-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4796-280-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4804-79-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4844-153-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4848-93-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4848-355-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4868-426-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4884-252-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/5028-50-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/5040-359-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/5064-298-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/5092-485-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download