xmrig | 3ca3c2c60ed1f63ed995a07ef64963cbc02fe88e7e0f69709683f785cab3c430

Analysis

max time kernel
122s
max time network
124s
platform
windows10-2004_x64
resource
win10v2004-20240508-en
resource tags

arch:x64arch:x86image:win10v2004-20240508-enlocale:en-usos:windows10-2004-x64system
submitted
26-05-2024 00:26

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
Size

3.4MB
MD5

3ee07424a072420061c3e576862580f0
SHA1

ca009ba8013c0a9149268d232a592acc55fbeea8
SHA256

3ca3c2c60ed1f63ed995a07ef64963cbc02fe88e7e0f69709683f785cab3c430
SHA512

008b9351fd5b2516b9a345ba6b6d162d7c86180db6e8df40d211c271bd7e363b7124b9fdb3db6d10ff4bbd4e1024d8eb82f35693fba2778fb6e224bd34f15b3e
SSDEEP

98304:N0GnJMOWPClFdx6e0EALKWVTffZiPAcRq6jHjc402:NFWPClFk2

Score

10^/10

xmrig miner upx

Malware Config

Signatures

xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 64 IoCs

miner

resource	yara_rule
behavioral2/memory/320-0-0x00007FF626CC0000-0x00007FF6270B5000-memory.dmp	xmrig
behavioral2/files/0x000800000002328e-5.dat	xmrig
behavioral2/files/0x00070000000233fb-10.dat	xmrig
behavioral2/files/0x00070000000233fe-33.dat	xmrig
behavioral2/files/0x0007000000023400-43.dat	xmrig
behavioral2/files/0x0007000000023402-53.dat	xmrig
behavioral2/files/0x0007000000023404-61.dat	xmrig
behavioral2/files/0x0007000000023406-73.dat	xmrig
behavioral2/files/0x0007000000023408-81.dat	xmrig
behavioral2/files/0x000700000002340a-91.dat	xmrig
behavioral2/files/0x000700000002340b-98.dat	xmrig
behavioral2/files/0x000700000002340f-111.dat	xmrig
behavioral2/files/0x0007000000023419-163.dat	xmrig
behavioral2/memory/4912-730-0x00007FF6226A0000-0x00007FF622A95000-memory.dmp	xmrig
behavioral2/memory/1196-731-0x00007FF76DAC0000-0x00007FF76DEB5000-memory.dmp	xmrig
behavioral2/memory/3648-732-0x00007FF64C8E0000-0x00007FF64CCD5000-memory.dmp	xmrig
behavioral2/memory/4268-733-0x00007FF760050000-0x00007FF760445000-memory.dmp	xmrig
behavioral2/memory/1912-734-0x00007FF771E80000-0x00007FF772275000-memory.dmp	xmrig
behavioral2/memory/2876-735-0x00007FF64A090000-0x00007FF64A485000-memory.dmp	xmrig
behavioral2/memory/3584-736-0x00007FF6C6090000-0x00007FF6C6485000-memory.dmp	xmrig
behavioral2/memory/4816-737-0x00007FF75CBF0000-0x00007FF75CFE5000-memory.dmp	xmrig
behavioral2/memory/2192-738-0x00007FF685670000-0x00007FF685A65000-memory.dmp	xmrig
behavioral2/memory/1648-745-0x00007FF65FC90000-0x00007FF660085000-memory.dmp	xmrig
behavioral2/memory/5048-742-0x00007FF6FC450000-0x00007FF6FC845000-memory.dmp	xmrig
behavioral2/files/0x0007000000023418-158.dat	xmrig
behavioral2/files/0x0007000000023417-153.dat	xmrig
behavioral2/files/0x0007000000023416-148.dat	xmrig
behavioral2/files/0x0007000000023415-143.dat	xmrig
behavioral2/files/0x0007000000023414-138.dat	xmrig
behavioral2/memory/1324-752-0x00007FF7CAC10000-0x00007FF7CB005000-memory.dmp	xmrig
behavioral2/memory/3376-757-0x00007FF725A40000-0x00007FF725E35000-memory.dmp	xmrig
behavioral2/memory/4536-755-0x00007FF6C46F0000-0x00007FF6C4AE5000-memory.dmp	xmrig
behavioral2/memory/1048-761-0x00007FF68B6C0000-0x00007FF68BAB5000-memory.dmp	xmrig
behavioral2/memory/5072-765-0x00007FF61B4B0000-0x00007FF61B8A5000-memory.dmp	xmrig
behavioral2/memory/1500-767-0x00007FF7C1180000-0x00007FF7C1575000-memory.dmp	xmrig
behavioral2/memory/3612-772-0x00007FF6C3A40000-0x00007FF6C3E35000-memory.dmp	xmrig
behavioral2/memory/3536-777-0x00007FF62B750000-0x00007FF62BB45000-memory.dmp	xmrig
behavioral2/memory/4808-775-0x00007FF6F8D70000-0x00007FF6F9165000-memory.dmp	xmrig
behavioral2/memory/2576-782-0x00007FF6215A0000-0x00007FF621995000-memory.dmp	xmrig
behavioral2/memory/1272-781-0x00007FF7EDB00000-0x00007FF7EDEF5000-memory.dmp	xmrig
behavioral2/files/0x0007000000023413-133.dat	xmrig
behavioral2/files/0x0007000000023412-128.dat	xmrig
behavioral2/files/0x0007000000023411-123.dat	xmrig
behavioral2/files/0x0007000000023410-118.dat	xmrig
behavioral2/files/0x000700000002340e-108.dat	xmrig
behavioral2/files/0x000700000002340c-103.dat	xmrig
behavioral2/files/0x0007000000023409-88.dat	xmrig
behavioral2/files/0x0007000000023407-78.dat	xmrig
behavioral2/files/0x0007000000023405-68.dat	xmrig
behavioral2/files/0x0007000000023403-58.dat	xmrig
behavioral2/files/0x0007000000023401-48.dat	xmrig
behavioral2/files/0x00070000000233ff-38.dat	xmrig
behavioral2/files/0x00070000000233fd-28.dat	xmrig
behavioral2/files/0x00070000000233fc-23.dat	xmrig
behavioral2/memory/4920-16-0x00007FF619380000-0x00007FF619775000-memory.dmp	xmrig
behavioral2/files/0x00080000000233f7-12.dat	xmrig
behavioral2/memory/764-8-0x00007FF6CB2D0000-0x00007FF6CB6C5000-memory.dmp	xmrig
behavioral2/memory/764-1898-0x00007FF6CB2D0000-0x00007FF6CB6C5000-memory.dmp	xmrig
behavioral2/memory/4920-1899-0x00007FF619380000-0x00007FF619775000-memory.dmp	xmrig
behavioral2/memory/1196-1902-0x00007FF76DAC0000-0x00007FF76DEB5000-memory.dmp	xmrig
behavioral2/memory/3648-1905-0x00007FF64C8E0000-0x00007FF64CCD5000-memory.dmp	xmrig
behavioral2/memory/2876-1904-0x00007FF64A090000-0x00007FF64A485000-memory.dmp	xmrig
behavioral2/memory/4268-1903-0x00007FF760050000-0x00007FF760445000-memory.dmp	xmrig
behavioral2/memory/1912-1901-0x00007FF771E80000-0x00007FF772275000-memory.dmp	xmrig

Executes dropped EXE 64 IoCs

pid	Process
764	pGEnqei.exe
4920	JxSkoWP.exe
4912	UHluDIi.exe
1196	RUQuTQX.exe
3648	DZWZnla.exe
4268	CKXBgGF.exe
1912	AgUCvpL.exe
2876	ncPPfOO.exe
3584	mqblSZg.exe
4816	pYlzBCJ.exe
2192	CaWfmib.exe
5048	legJosc.exe
1648	GZYXnZb.exe
1324	GuLVOLU.exe
4536	GAAxrKo.exe
3376	QEqKjnQ.exe
1048	hQcwKVl.exe
5072	UdKJcFM.exe
1500	gBMWBbn.exe
3612	JPfoWMT.exe
4808	EBzLgkC.exe
3536	RCzextW.exe
1272	HOikldF.exe
2576	fSAlAur.exe
2376	ywJnDaB.exe
3180	aXTEEOp.exe
4264	eSmGDwk.exe
1460	yxrHYPZ.exe
2420	tKXgYhg.exe
1428	baZMfMa.exe
2544	bEfbMKn.exe
4348	BjMoZeB.exe
3620	eFJWiAy.exe
4516	dDkSyQS.exe
3068	fjlzIkS.exe
3804	iiTyewU.exe
3120	MFBhnZd.exe
5008	IMTeXot.exe
636	TZqqpif.exe
3576	SnUaCGq.exe
1860	AkKyFGN.exe
3980	gwccVcL.exe
2732	RmRhWgs.exe
4360	gSXHLZw.exe
2340	alphFOR.exe
3420	RhxxIAI.exe
2448	smLQGcj.exe
756	McQUWFy.exe
3988	UFTfNXp.exe
4560	LzEhjuB.exe
3572	umZAUKN.exe
828	CRpdNlp.exe
4860	ArdqdQa.exe
1872	nepnveW.exe
868	WrvvPhd.exe
3380	lBBpRZd.exe
2408	KBdQIrh.exe
1804	bfEpxTC.exe
1248	WDcVokH.exe
1436	nbjeMYY.exe
1388	jTEvAJm.exe
712	ryqzPQu.exe
1284	YkYTbMF.exe
4308	zBBotJH.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/320-0-0x00007FF626CC0000-0x00007FF6270B5000-memory.dmp	upx
behavioral2/files/0x000800000002328e-5.dat	upx
behavioral2/files/0x00070000000233fb-10.dat	upx
behavioral2/files/0x00070000000233fe-33.dat	upx
behavioral2/files/0x0007000000023400-43.dat	upx
behavioral2/files/0x0007000000023402-53.dat	upx
behavioral2/files/0x0007000000023404-61.dat	upx
behavioral2/files/0x0007000000023406-73.dat	upx
behavioral2/files/0x0007000000023408-81.dat	upx
behavioral2/files/0x000700000002340a-91.dat	upx
behavioral2/files/0x000700000002340b-98.dat	upx
behavioral2/files/0x000700000002340f-111.dat	upx
behavioral2/files/0x0007000000023419-163.dat	upx
behavioral2/memory/4912-730-0x00007FF6226A0000-0x00007FF622A95000-memory.dmp	upx
behavioral2/memory/1196-731-0x00007FF76DAC0000-0x00007FF76DEB5000-memory.dmp	upx
behavioral2/memory/3648-732-0x00007FF64C8E0000-0x00007FF64CCD5000-memory.dmp	upx
behavioral2/memory/4268-733-0x00007FF760050000-0x00007FF760445000-memory.dmp	upx
behavioral2/memory/1912-734-0x00007FF771E80000-0x00007FF772275000-memory.dmp	upx
behavioral2/memory/2876-735-0x00007FF64A090000-0x00007FF64A485000-memory.dmp	upx
behavioral2/memory/3584-736-0x00007FF6C6090000-0x00007FF6C6485000-memory.dmp	upx
behavioral2/memory/4816-737-0x00007FF75CBF0000-0x00007FF75CFE5000-memory.dmp	upx
behavioral2/memory/2192-738-0x00007FF685670000-0x00007FF685A65000-memory.dmp	upx
behavioral2/memory/1648-745-0x00007FF65FC90000-0x00007FF660085000-memory.dmp	upx
behavioral2/memory/5048-742-0x00007FF6FC450000-0x00007FF6FC845000-memory.dmp	upx
behavioral2/files/0x0007000000023418-158.dat	upx
behavioral2/files/0x0007000000023417-153.dat	upx
behavioral2/files/0x0007000000023416-148.dat	upx
behavioral2/files/0x0007000000023415-143.dat	upx
behavioral2/files/0x0007000000023414-138.dat	upx
behavioral2/memory/1324-752-0x00007FF7CAC10000-0x00007FF7CB005000-memory.dmp	upx
behavioral2/memory/3376-757-0x00007FF725A40000-0x00007FF725E35000-memory.dmp	upx
behavioral2/memory/4536-755-0x00007FF6C46F0000-0x00007FF6C4AE5000-memory.dmp	upx
behavioral2/memory/1048-761-0x00007FF68B6C0000-0x00007FF68BAB5000-memory.dmp	upx
behavioral2/memory/5072-765-0x00007FF61B4B0000-0x00007FF61B8A5000-memory.dmp	upx
behavioral2/memory/1500-767-0x00007FF7C1180000-0x00007FF7C1575000-memory.dmp	upx
behavioral2/memory/3612-772-0x00007FF6C3A40000-0x00007FF6C3E35000-memory.dmp	upx
behavioral2/memory/3536-777-0x00007FF62B750000-0x00007FF62BB45000-memory.dmp	upx
behavioral2/memory/4808-775-0x00007FF6F8D70000-0x00007FF6F9165000-memory.dmp	upx
behavioral2/memory/2576-782-0x00007FF6215A0000-0x00007FF621995000-memory.dmp	upx
behavioral2/memory/1272-781-0x00007FF7EDB00000-0x00007FF7EDEF5000-memory.dmp	upx
behavioral2/files/0x0007000000023413-133.dat	upx
behavioral2/files/0x0007000000023412-128.dat	upx
behavioral2/files/0x0007000000023411-123.dat	upx
behavioral2/files/0x0007000000023410-118.dat	upx
behavioral2/files/0x000700000002340e-108.dat	upx
behavioral2/files/0x000700000002340c-103.dat	upx
behavioral2/files/0x0007000000023409-88.dat	upx
behavioral2/files/0x0007000000023407-78.dat	upx
behavioral2/files/0x0007000000023405-68.dat	upx
behavioral2/files/0x0007000000023403-58.dat	upx
behavioral2/files/0x0007000000023401-48.dat	upx
behavioral2/files/0x00070000000233ff-38.dat	upx
behavioral2/files/0x00070000000233fd-28.dat	upx
behavioral2/files/0x00070000000233fc-23.dat	upx
behavioral2/memory/4920-16-0x00007FF619380000-0x00007FF619775000-memory.dmp	upx
behavioral2/files/0x00080000000233f7-12.dat	upx
behavioral2/memory/764-8-0x00007FF6CB2D0000-0x00007FF6CB6C5000-memory.dmp	upx
behavioral2/memory/764-1898-0x00007FF6CB2D0000-0x00007FF6CB6C5000-memory.dmp	upx
behavioral2/memory/4920-1899-0x00007FF619380000-0x00007FF619775000-memory.dmp	upx
behavioral2/memory/1196-1902-0x00007FF76DAC0000-0x00007FF76DEB5000-memory.dmp	upx
behavioral2/memory/3648-1905-0x00007FF64C8E0000-0x00007FF64CCD5000-memory.dmp	upx
behavioral2/memory/2876-1904-0x00007FF64A090000-0x00007FF64A485000-memory.dmp	upx
behavioral2/memory/4268-1903-0x00007FF760050000-0x00007FF760445000-memory.dmp	upx
behavioral2/memory/1912-1901-0x00007FF771E80000-0x00007FF772275000-memory.dmp	upx

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\System32\WZzEbRW.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\njyDdUM.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\bqQmpxc.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\PfIgEYV.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\mDSWJtt.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\UiptshQ.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\sTfjxKN.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\hYQRMcH.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\EhSuWYv.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\mpLVeja.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\Odldyql.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\VFpBtEP.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\hbjqLUC.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\ZgQHhMc.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\KEQcWJL.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\dDkSyQS.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\IcpVUzH.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\jIcLvRE.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\JXcfTxI.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\xjmPiuP.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\jDKJLiF.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\ldnfXoW.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\cmEhsti.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\vxdWrgD.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\mqMvJxZ.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\UwWCjpX.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\OyguOip.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\ZENKKmm.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\BoljECh.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\xGktAfv.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\oXULVsR.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\QYdlfGT.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\HDaumVQ.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\ltQitMn.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\mbosMlA.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\VOmOTZe.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\puOTInH.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\fOPbtel.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\LHNVdnI.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\XfOvRhC.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\aUUcCTw.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\UHluDIi.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\VZbnmgC.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\rtCCRgp.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\KsbTxZi.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\WYDGSMh.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\AYpWicc.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\OWSlitP.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\CaWfmib.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\GZYXnZb.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\McQUWFy.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\LzEhjuB.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\vzKTQHn.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\OVqCcHR.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\AjyUrbQ.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\MznRtrU.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\tqyYcir.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\RmRhWgs.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\miOZDWO.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\DZiKeVA.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\zDLcJCO.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\nwoDwiG.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\ywJnDaB.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
File created	C:\Windows\System32\QfTrLnR.exe	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe

Checks SCSI registry key(s) 3 TTPs 6 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_QEMU&PROD_QEMU_DVD-ROM\4&215468A5&0&010000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_DADY&PROD_HARDDISK\4&215468A5&0&000000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\ConfigFlags	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\HardwareID	dwm.exe

Enumerates system info in registry 2 TTPs 2 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe

Modifies data under HKEY_USERS 18 IoCs

description	ioc	Process
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2a\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe

Suspicious use of AdjustPrivilegeToken 6 IoCs

description	pid	Process
Token: SeCreateGlobalPrivilege	4548	dwm.exe
Token: SeChangeNotifyPrivilege	4548	dwm.exe
Token: 33	4548	dwm.exe
Token: SeIncBasePriorityPrivilege	4548	dwm.exe
Token: SeShutdownPrivilege	4548	dwm.exe
Token: SeCreatePagefilePrivilege	4548	dwm.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 320 wrote to memory of 764	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	84
PID 320 wrote to memory of 764	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	84
PID 320 wrote to memory of 4920	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	85
PID 320 wrote to memory of 4920	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	85
PID 320 wrote to memory of 4912	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	86
PID 320 wrote to memory of 4912	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	86
PID 320 wrote to memory of 1196	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	87
PID 320 wrote to memory of 1196	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	87
PID 320 wrote to memory of 3648	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	88
PID 320 wrote to memory of 3648	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	88
PID 320 wrote to memory of 4268	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	89
PID 320 wrote to memory of 4268	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	89
PID 320 wrote to memory of 1912	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	90
PID 320 wrote to memory of 1912	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	90
PID 320 wrote to memory of 2876	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	91
PID 320 wrote to memory of 2876	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	91
PID 320 wrote to memory of 3584	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	92
PID 320 wrote to memory of 3584	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	92
PID 320 wrote to memory of 4816	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	93
PID 320 wrote to memory of 4816	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	93
PID 320 wrote to memory of 2192	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	94
PID 320 wrote to memory of 2192	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	94
PID 320 wrote to memory of 5048	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	95
PID 320 wrote to memory of 5048	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	95
PID 320 wrote to memory of 1648	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	96
PID 320 wrote to memory of 1648	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	96
PID 320 wrote to memory of 1324	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	97
PID 320 wrote to memory of 1324	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	97
PID 320 wrote to memory of 4536	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	98
PID 320 wrote to memory of 4536	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	98
PID 320 wrote to memory of 3376	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	99
PID 320 wrote to memory of 3376	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	99
PID 320 wrote to memory of 1048	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	100
PID 320 wrote to memory of 1048	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	100
PID 320 wrote to memory of 5072	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	101
PID 320 wrote to memory of 5072	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	101
PID 320 wrote to memory of 1500	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	102
PID 320 wrote to memory of 1500	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	102
PID 320 wrote to memory of 3612	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	103
PID 320 wrote to memory of 3612	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	103
PID 320 wrote to memory of 4808	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	104
PID 320 wrote to memory of 4808	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	104
PID 320 wrote to memory of 3536	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	105
PID 320 wrote to memory of 3536	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	105
PID 320 wrote to memory of 1272	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	106
PID 320 wrote to memory of 1272	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	106
PID 320 wrote to memory of 2576	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	107
PID 320 wrote to memory of 2576	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	107
PID 320 wrote to memory of 2376	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	108
PID 320 wrote to memory of 2376	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	108
PID 320 wrote to memory of 3180	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	109
PID 320 wrote to memory of 3180	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	109
PID 320 wrote to memory of 4264	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	110
PID 320 wrote to memory of 4264	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	110
PID 320 wrote to memory of 1460	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	111
PID 320 wrote to memory of 1460	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	111
PID 320 wrote to memory of 2420	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	112
PID 320 wrote to memory of 2420	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	112
PID 320 wrote to memory of 1428	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	113
PID 320 wrote to memory of 1428	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	113
PID 320 wrote to memory of 2544	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	114
PID 320 wrote to memory of 2544	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	114
PID 320 wrote to memory of 4348	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	115
PID 320 wrote to memory of 4348	320	3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe	115

C:\Users\Admin\AppData\Local\Temp\3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe
"C:\Users\Admin\AppData\Local\Temp\3ee07424a072420061c3e576862580f0_NeikiAnalytics.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:320
- C:\Windows\System32\pGEnqei.exe
  C:\Windows\System32\pGEnqei.exe
  2⤵
  - Executes dropped EXE
  PID:764
- C:\Windows\System32\JxSkoWP.exe
  C:\Windows\System32\JxSkoWP.exe
  2⤵
  - Executes dropped EXE
  PID:4920
- C:\Windows\System32\UHluDIi.exe
  C:\Windows\System32\UHluDIi.exe
  2⤵
  - Executes dropped EXE
  PID:4912
- C:\Windows\System32\RUQuTQX.exe
  C:\Windows\System32\RUQuTQX.exe
  2⤵
  - Executes dropped EXE
  PID:1196
- C:\Windows\System32\DZWZnla.exe
  C:\Windows\System32\DZWZnla.exe
  2⤵
  - Executes dropped EXE
  PID:3648
- C:\Windows\System32\CKXBgGF.exe
  C:\Windows\System32\CKXBgGF.exe
  2⤵
  - Executes dropped EXE
  PID:4268
- C:\Windows\System32\AgUCvpL.exe
  C:\Windows\System32\AgUCvpL.exe
  2⤵
  - Executes dropped EXE
  PID:1912
- C:\Windows\System32\ncPPfOO.exe
  C:\Windows\System32\ncPPfOO.exe
  2⤵
  - Executes dropped EXE
  PID:2876
- C:\Windows\System32\mqblSZg.exe
  C:\Windows\System32\mqblSZg.exe
  2⤵
  - Executes dropped EXE
  PID:3584
- C:\Windows\System32\pYlzBCJ.exe
  C:\Windows\System32\pYlzBCJ.exe
  2⤵
  - Executes dropped EXE
  PID:4816
- C:\Windows\System32\CaWfmib.exe
  C:\Windows\System32\CaWfmib.exe
  2⤵
  - Executes dropped EXE
  PID:2192
- C:\Windows\System32\legJosc.exe
  C:\Windows\System32\legJosc.exe
  2⤵
  - Executes dropped EXE
  PID:5048
- C:\Windows\System32\GZYXnZb.exe
  C:\Windows\System32\GZYXnZb.exe
  2⤵
  - Executes dropped EXE
  PID:1648
- C:\Windows\System32\GuLVOLU.exe
  C:\Windows\System32\GuLVOLU.exe
  2⤵
  - Executes dropped EXE
  PID:1324
- C:\Windows\System32\GAAxrKo.exe
  C:\Windows\System32\GAAxrKo.exe
  2⤵
  - Executes dropped EXE
  PID:4536
- C:\Windows\System32\QEqKjnQ.exe
  C:\Windows\System32\QEqKjnQ.exe
  2⤵
  - Executes dropped EXE
  PID:3376
- C:\Windows\System32\hQcwKVl.exe
  C:\Windows\System32\hQcwKVl.exe
  2⤵
  - Executes dropped EXE
  PID:1048
- C:\Windows\System32\UdKJcFM.exe
  C:\Windows\System32\UdKJcFM.exe
  2⤵
  - Executes dropped EXE
  PID:5072
- C:\Windows\System32\gBMWBbn.exe
  C:\Windows\System32\gBMWBbn.exe
  2⤵
  - Executes dropped EXE
  PID:1500
- C:\Windows\System32\JPfoWMT.exe
  C:\Windows\System32\JPfoWMT.exe
  2⤵
  - Executes dropped EXE
  PID:3612
- C:\Windows\System32\EBzLgkC.exe
  C:\Windows\System32\EBzLgkC.exe
  2⤵
  - Executes dropped EXE
  PID:4808
- C:\Windows\System32\RCzextW.exe
  C:\Windows\System32\RCzextW.exe
  2⤵
  - Executes dropped EXE
  PID:3536
- C:\Windows\System32\HOikldF.exe
  C:\Windows\System32\HOikldF.exe
  2⤵
  - Executes dropped EXE
  PID:1272
- C:\Windows\System32\fSAlAur.exe
  C:\Windows\System32\fSAlAur.exe
  2⤵
  - Executes dropped EXE
  PID:2576
- C:\Windows\System32\ywJnDaB.exe
  C:\Windows\System32\ywJnDaB.exe
  2⤵
  - Executes dropped EXE
  PID:2376
- C:\Windows\System32\aXTEEOp.exe
  C:\Windows\System32\aXTEEOp.exe
  2⤵
  - Executes dropped EXE
  PID:3180
- C:\Windows\System32\eSmGDwk.exe
  C:\Windows\System32\eSmGDwk.exe
  2⤵
  - Executes dropped EXE
  PID:4264
- C:\Windows\System32\yxrHYPZ.exe
  C:\Windows\System32\yxrHYPZ.exe
  2⤵
  - Executes dropped EXE
  PID:1460
- C:\Windows\System32\tKXgYhg.exe
  C:\Windows\System32\tKXgYhg.exe
  2⤵
  - Executes dropped EXE
  PID:2420
- C:\Windows\System32\baZMfMa.exe
  C:\Windows\System32\baZMfMa.exe
  2⤵
  - Executes dropped EXE
  PID:1428
- C:\Windows\System32\bEfbMKn.exe
  C:\Windows\System32\bEfbMKn.exe
  2⤵
  - Executes dropped EXE
  PID:2544
- C:\Windows\System32\BjMoZeB.exe
  C:\Windows\System32\BjMoZeB.exe
  2⤵
  - Executes dropped EXE
  PID:4348
- C:\Windows\System32\eFJWiAy.exe
  C:\Windows\System32\eFJWiAy.exe
  2⤵
  - Executes dropped EXE
  PID:3620
- C:\Windows\System32\dDkSyQS.exe
  C:\Windows\System32\dDkSyQS.exe
  2⤵
  - Executes dropped EXE
  PID:4516
- C:\Windows\System32\fjlzIkS.exe
  C:\Windows\System32\fjlzIkS.exe
  2⤵
  - Executes dropped EXE
  PID:3068
- C:\Windows\System32\iiTyewU.exe
  C:\Windows\System32\iiTyewU.exe
  2⤵
  - Executes dropped EXE
  PID:3804
- C:\Windows\System32\MFBhnZd.exe
  C:\Windows\System32\MFBhnZd.exe
  2⤵
  - Executes dropped EXE
  PID:3120
- C:\Windows\System32\IMTeXot.exe
  C:\Windows\System32\IMTeXot.exe
  2⤵
  - Executes dropped EXE
  PID:5008
- C:\Windows\System32\TZqqpif.exe
  C:\Windows\System32\TZqqpif.exe
  2⤵
  - Executes dropped EXE
  PID:636
- C:\Windows\System32\SnUaCGq.exe
  C:\Windows\System32\SnUaCGq.exe
  2⤵
  - Executes dropped EXE
  PID:3576
- C:\Windows\System32\AkKyFGN.exe
  C:\Windows\System32\AkKyFGN.exe
  2⤵
  - Executes dropped EXE
  PID:1860
- C:\Windows\System32\gwccVcL.exe
  C:\Windows\System32\gwccVcL.exe
  2⤵
  - Executes dropped EXE
  PID:3980
- C:\Windows\System32\RmRhWgs.exe
  C:\Windows\System32\RmRhWgs.exe
  2⤵
  - Executes dropped EXE
  PID:2732
- C:\Windows\System32\gSXHLZw.exe
  C:\Windows\System32\gSXHLZw.exe
  2⤵
  - Executes dropped EXE
  PID:4360
- C:\Windows\System32\alphFOR.exe
  C:\Windows\System32\alphFOR.exe
  2⤵
  - Executes dropped EXE
  PID:2340
- C:\Windows\System32\RhxxIAI.exe
  C:\Windows\System32\RhxxIAI.exe
  2⤵
  - Executes dropped EXE
  PID:3420
- C:\Windows\System32\smLQGcj.exe
  C:\Windows\System32\smLQGcj.exe
  2⤵
  - Executes dropped EXE
  PID:2448
- C:\Windows\System32\McQUWFy.exe
  C:\Windows\System32\McQUWFy.exe
  2⤵
  - Executes dropped EXE
  PID:756
- C:\Windows\System32\UFTfNXp.exe
  C:\Windows\System32\UFTfNXp.exe
  2⤵
  - Executes dropped EXE
  PID:3988
- C:\Windows\System32\LzEhjuB.exe
  C:\Windows\System32\LzEhjuB.exe
  2⤵
  - Executes dropped EXE
  PID:4560
- C:\Windows\System32\umZAUKN.exe
  C:\Windows\System32\umZAUKN.exe
  2⤵
  - Executes dropped EXE
  PID:3572
- C:\Windows\System32\CRpdNlp.exe
  C:\Windows\System32\CRpdNlp.exe
  2⤵
  - Executes dropped EXE
  PID:828
- C:\Windows\System32\ArdqdQa.exe
  C:\Windows\System32\ArdqdQa.exe
  2⤵
  - Executes dropped EXE
  PID:4860
- C:\Windows\System32\nepnveW.exe
  C:\Windows\System32\nepnveW.exe
  2⤵
  - Executes dropped EXE
  PID:1872
- C:\Windows\System32\WrvvPhd.exe
  C:\Windows\System32\WrvvPhd.exe
  2⤵
  - Executes dropped EXE
  PID:868
- C:\Windows\System32\lBBpRZd.exe
  C:\Windows\System32\lBBpRZd.exe
  2⤵
  - Executes dropped EXE
  PID:3380
- C:\Windows\System32\KBdQIrh.exe
  C:\Windows\System32\KBdQIrh.exe
  2⤵
  - Executes dropped EXE
  PID:2408
- C:\Windows\System32\bfEpxTC.exe
  C:\Windows\System32\bfEpxTC.exe
  2⤵
  - Executes dropped EXE
  PID:1804
- C:\Windows\System32\WDcVokH.exe
  C:\Windows\System32\WDcVokH.exe
  2⤵
  - Executes dropped EXE
  PID:1248
- C:\Windows\System32\nbjeMYY.exe
  C:\Windows\System32\nbjeMYY.exe
  2⤵
  - Executes dropped EXE
  PID:1436
- C:\Windows\System32\jTEvAJm.exe
  C:\Windows\System32\jTEvAJm.exe
  2⤵
  - Executes dropped EXE
  PID:1388
- C:\Windows\System32\ryqzPQu.exe
  C:\Windows\System32\ryqzPQu.exe
  2⤵
  - Executes dropped EXE
  PID:712
- C:\Windows\System32\YkYTbMF.exe
  C:\Windows\System32\YkYTbMF.exe
  2⤵
  - Executes dropped EXE
  PID:1284
- C:\Windows\System32\zBBotJH.exe
  C:\Windows\System32\zBBotJH.exe
  2⤵
  - Executes dropped EXE
  PID:4308
- C:\Windows\System32\ltQitMn.exe
  C:\Windows\System32\ltQitMn.exe
  2⤵
  PID:3632
- C:\Windows\System32\AqaYgZx.exe
  C:\Windows\System32\AqaYgZx.exe
  2⤵
  PID:1244
- C:\Windows\System32\pcxiliW.exe
  C:\Windows\System32\pcxiliW.exe
  2⤵
  PID:1000
- C:\Windows\System32\WZzEbRW.exe
  C:\Windows\System32\WZzEbRW.exe
  2⤵
  PID:544
- C:\Windows\System32\GRTazFT.exe
  C:\Windows\System32\GRTazFT.exe
  2⤵
  PID:2440
- C:\Windows\System32\zDZpsOp.exe
  C:\Windows\System32\zDZpsOp.exe
  2⤵
  PID:2500
- C:\Windows\System32\RlyvhsS.exe
  C:\Windows\System32\RlyvhsS.exe
  2⤵
  PID:4424
- C:\Windows\System32\aRQWfDQ.exe
  C:\Windows\System32\aRQWfDQ.exe
  2⤵
  PID:3580
- C:\Windows\System32\eMYVYkk.exe
  C:\Windows\System32\eMYVYkk.exe
  2⤵
  PID:676
- C:\Windows\System32\rTkovJU.exe
  C:\Windows\System32\rTkovJU.exe
  2⤵
  PID:5044
- C:\Windows\System32\xnPoVGW.exe
  C:\Windows\System32\xnPoVGW.exe
  2⤵
  PID:4324
- C:\Windows\System32\hJrBbBx.exe
  C:\Windows\System32\hJrBbBx.exe
  2⤵
  PID:632
- C:\Windows\System32\DrqSgZi.exe
  C:\Windows\System32\DrqSgZi.exe
  2⤵
  PID:404
- C:\Windows\System32\eKFAlzx.exe
  C:\Windows\System32\eKFAlzx.exe
  2⤵
  PID:4480
- C:\Windows\System32\RKZzDRw.exe
  C:\Windows\System32\RKZzDRw.exe
  2⤵
  PID:4496
- C:\Windows\System32\oaHcbzX.exe
  C:\Windows\System32\oaHcbzX.exe
  2⤵
  PID:1368
- C:\Windows\System32\NVXuYkc.exe
  C:\Windows\System32\NVXuYkc.exe
  2⤵
  PID:5136
- C:\Windows\System32\rVwpxvz.exe
  C:\Windows\System32\rVwpxvz.exe
  2⤵
  PID:5164
- C:\Windows\System32\JHcnqBo.exe
  C:\Windows\System32\JHcnqBo.exe
  2⤵
  PID:5204
- C:\Windows\System32\BJbLAte.exe
  C:\Windows\System32\BJbLAte.exe
  2⤵
  PID:5220
- C:\Windows\System32\GqdPcKG.exe
  C:\Windows\System32\GqdPcKG.exe
  2⤵
  PID:5260
- C:\Windows\System32\nJYYNbs.exe
  C:\Windows\System32\nJYYNbs.exe
  2⤵
  PID:5276
- C:\Windows\System32\xGktAfv.exe
  C:\Windows\System32\xGktAfv.exe
  2⤵
  PID:5316
- C:\Windows\System32\JJKPGGF.exe
  C:\Windows\System32\JJKPGGF.exe
  2⤵
  PID:5344
- C:\Windows\System32\EhSuWYv.exe
  C:\Windows\System32\EhSuWYv.exe
  2⤵
  PID:5360
- C:\Windows\System32\tBUhZgx.exe
  C:\Windows\System32\tBUhZgx.exe
  2⤵
  PID:5400
- C:\Windows\System32\FencGTf.exe
  C:\Windows\System32\FencGTf.exe
  2⤵
  PID:5416
- C:\Windows\System32\hWiHXvZ.exe
  C:\Windows\System32\hWiHXvZ.exe
  2⤵
  PID:5456
- C:\Windows\System32\hbjqLUC.exe
  C:\Windows\System32\hbjqLUC.exe
  2⤵
  PID:5472
- C:\Windows\System32\VZbnmgC.exe
  C:\Windows\System32\VZbnmgC.exe
  2⤵
  PID:5512
- C:\Windows\System32\qYXBvfA.exe
  C:\Windows\System32\qYXBvfA.exe
  2⤵
  PID:5528
- C:\Windows\System32\bDKFGID.exe
  C:\Windows\System32\bDKFGID.exe
  2⤵
  PID:5568
- C:\Windows\System32\BeNdSUA.exe
  C:\Windows\System32\BeNdSUA.exe
  2⤵
  PID:5584
- C:\Windows\System32\VCyPnjz.exe
  C:\Windows\System32\VCyPnjz.exe
  2⤵
  PID:5624
- C:\Windows\System32\wzhwfBA.exe
  C:\Windows\System32\wzhwfBA.exe
  2⤵
  PID:5640
- C:\Windows\System32\nJJQWrM.exe
  C:\Windows\System32\nJJQWrM.exe
  2⤵
  PID:5680
- C:\Windows\System32\KtBBiaK.exe
  C:\Windows\System32\KtBBiaK.exe
  2⤵
  PID:5708
- C:\Windows\System32\pXBKEiV.exe
  C:\Windows\System32\pXBKEiV.exe
  2⤵
  PID:5724
- C:\Windows\System32\BVygOyl.exe
  C:\Windows\System32\BVygOyl.exe
  2⤵
  PID:5764
- C:\Windows\System32\miOZDWO.exe
  C:\Windows\System32\miOZDWO.exe
  2⤵
  PID:5792
- C:\Windows\System32\VGhfiJA.exe
  C:\Windows\System32\VGhfiJA.exe
  2⤵
  PID:5808
- C:\Windows\System32\NrezTkh.exe
  C:\Windows\System32\NrezTkh.exe
  2⤵
  PID:5848
- C:\Windows\System32\erFVVQr.exe
  C:\Windows\System32\erFVVQr.exe
  2⤵
  PID:5864
- C:\Windows\System32\CUoVwqR.exe
  C:\Windows\System32\CUoVwqR.exe
  2⤵
  PID:5904
- C:\Windows\System32\AWElXGe.exe
  C:\Windows\System32\AWElXGe.exe
  2⤵
  PID:5920
- C:\Windows\System32\zBVFltE.exe
  C:\Windows\System32\zBVFltE.exe
  2⤵
  PID:5960
- C:\Windows\System32\TxIrrJI.exe
  C:\Windows\System32\TxIrrJI.exe
  2⤵
  PID:5988
- C:\Windows\System32\OqIlSTQ.exe
  C:\Windows\System32\OqIlSTQ.exe
  2⤵
  PID:6016
- C:\Windows\System32\gPqhoVF.exe
  C:\Windows\System32\gPqhoVF.exe
  2⤵
  PID:6032
- C:\Windows\System32\mpLVeja.exe
  C:\Windows\System32\mpLVeja.exe
  2⤵
  PID:6072
- C:\Windows\System32\pSNWvsx.exe
  C:\Windows\System32\pSNWvsx.exe
  2⤵
  PID:6088
- C:\Windows\System32\uIdZfFF.exe
  C:\Windows\System32\uIdZfFF.exe
  2⤵
  PID:6116
- C:\Windows\System32\kMLVJra.exe
  C:\Windows\System32\kMLVJra.exe
  2⤵
  PID:3772
- C:\Windows\System32\tPyNjXo.exe
  C:\Windows\System32\tPyNjXo.exe
  2⤵
  PID:988
- C:\Windows\System32\CuXVVjO.exe
  C:\Windows\System32\CuXVVjO.exe
  2⤵
  PID:4116
- C:\Windows\System32\sCxcQAA.exe
  C:\Windows\System32\sCxcQAA.exe
  2⤵
  PID:4660
- C:\Windows\System32\FlwZFxK.exe
  C:\Windows\System32\FlwZFxK.exe
  2⤵
  PID:2020
- C:\Windows\System32\YSwBtft.exe
  C:\Windows\System32\YSwBtft.exe
  2⤵
  PID:5180
- C:\Windows\System32\QkPGKor.exe
  C:\Windows\System32\QkPGKor.exe
  2⤵
  PID:5244
- C:\Windows\System32\YsoouUP.exe
  C:\Windows\System32\YsoouUP.exe
  2⤵
  PID:5336
- C:\Windows\System32\AtJaInj.exe
  C:\Windows\System32\AtJaInj.exe
  2⤵
  PID:5372
- C:\Windows\System32\yZacNcd.exe
  C:\Windows\System32\yZacNcd.exe
  2⤵
  PID:5464
- C:\Windows\System32\jVFxuPk.exe
  C:\Windows\System32\jVFxuPk.exe
  2⤵
  PID:5504
- C:\Windows\System32\sNCvaQt.exe
  C:\Windows\System32\sNCvaQt.exe
  2⤵
  PID:5580
- C:\Windows\System32\orwFpBy.exe
  C:\Windows\System32\orwFpBy.exe
  2⤵
  PID:5600
- C:\Windows\System32\AXpRyCI.exe
  C:\Windows\System32\AXpRyCI.exe
  2⤵
  PID:5692
- C:\Windows\System32\KuSXOCx.exe
  C:\Windows\System32\KuSXOCx.exe
  2⤵
  PID:5772
- C:\Windows\System32\LmVqkXz.exe
  C:\Windows\System32\LmVqkXz.exe
  2⤵
  PID:5820
- C:\Windows\System32\LNPyCwL.exe
  C:\Windows\System32\LNPyCwL.exe
  2⤵
  PID:5888
- C:\Windows\System32\XMXkuHP.exe
  C:\Windows\System32\XMXkuHP.exe
  2⤵
  PID:5968
- C:\Windows\System32\ZgQHhMc.exe
  C:\Windows\System32\ZgQHhMc.exe
  2⤵
  PID:6008
- C:\Windows\System32\WvPWSOB.exe
  C:\Windows\System32\WvPWSOB.exe
  2⤵
  PID:6104
- C:\Windows\System32\dFtkQwG.exe
  C:\Windows\System32\dFtkQwG.exe
  2⤵
  PID:6132
- C:\Windows\System32\aqlCYOK.exe
  C:\Windows\System32\aqlCYOK.exe
  2⤵
  PID:3820
- C:\Windows\System32\JYPrMfR.exe
  C:\Windows\System32\JYPrMfR.exe
  2⤵
  PID:5196
- C:\Windows\System32\pDCRnLU.exe
  C:\Windows\System32\pDCRnLU.exe
  2⤵
  PID:5356
- C:\Windows\System32\OOfKUsV.exe
  C:\Windows\System32\OOfKUsV.exe
  2⤵
  PID:5520
- C:\Windows\System32\ptkaxtI.exe
  C:\Windows\System32\ptkaxtI.exe
  2⤵
  PID:5672
- C:\Windows\System32\qznWAQu.exe
  C:\Windows\System32\qznWAQu.exe
  2⤵
  PID:5740
- C:\Windows\System32\dZGQPua.exe
  C:\Windows\System32\dZGQPua.exe
  2⤵
  PID:5912
- C:\Windows\System32\tMiswQd.exe
  C:\Windows\System32\tMiswQd.exe
  2⤵
  PID:6056
- C:\Windows\System32\KkkOpry.exe
  C:\Windows\System32\KkkOpry.exe
  2⤵
  PID:4472
- C:\Windows\System32\UxhtjWC.exe
  C:\Windows\System32\UxhtjWC.exe
  2⤵
  PID:5448
- C:\Windows\System32\YBSCaEC.exe
  C:\Windows\System32\YBSCaEC.exe
  2⤵
  PID:5800
- C:\Windows\System32\JsydDeu.exe
  C:\Windows\System32\JsydDeu.exe
  2⤵
  PID:6148
- C:\Windows\System32\Yjhmquv.exe
  C:\Windows\System32\Yjhmquv.exe
  2⤵
  PID:6176
- C:\Windows\System32\HcapQyT.exe
  C:\Windows\System32\HcapQyT.exe
  2⤵
  PID:6212
- C:\Windows\System32\REvXLUq.exe
  C:\Windows\System32\REvXLUq.exe
  2⤵
  PID:6244
- C:\Windows\System32\ZZYtCvU.exe
  C:\Windows\System32\ZZYtCvU.exe
  2⤵
  PID:6260
- C:\Windows\System32\cXIbZuw.exe
  C:\Windows\System32\cXIbZuw.exe
  2⤵
  PID:6300
- C:\Windows\System32\uvxnPcP.exe
  C:\Windows\System32\uvxnPcP.exe
  2⤵
  PID:6316
- C:\Windows\System32\vzKTQHn.exe
  C:\Windows\System32\vzKTQHn.exe
  2⤵
  PID:6344
- C:\Windows\System32\XHVugih.exe
  C:\Windows\System32\XHVugih.exe
  2⤵
  PID:6372
- C:\Windows\System32\XTmByUs.exe
  C:\Windows\System32\XTmByUs.exe
  2⤵
  PID:6412
- C:\Windows\System32\pvIagwY.exe
  C:\Windows\System32\pvIagwY.exe
  2⤵
  PID:6428
- C:\Windows\System32\qDJneph.exe
  C:\Windows\System32\qDJneph.exe
  2⤵
  PID:6468
- C:\Windows\System32\vBFvLwd.exe
  C:\Windows\System32\vBFvLwd.exe
  2⤵
  PID:6484
- C:\Windows\System32\JmJCnHM.exe
  C:\Windows\System32\JmJCnHM.exe
  2⤵
  PID:6524
- C:\Windows\System32\WPUipBC.exe
  C:\Windows\System32\WPUipBC.exe
  2⤵
  PID:6552
- C:\Windows\System32\zPnWkgC.exe
  C:\Windows\System32\zPnWkgC.exe
  2⤵
  PID:6580
- C:\Windows\System32\hVYrhSH.exe
  C:\Windows\System32\hVYrhSH.exe
  2⤵
  PID:6608
- C:\Windows\System32\dVfBiJU.exe
  C:\Windows\System32\dVfBiJU.exe
  2⤵
  PID:6624
- C:\Windows\System32\HInrUmS.exe
  C:\Windows\System32\HInrUmS.exe
  2⤵
  PID:6664
- C:\Windows\System32\yCSisVh.exe
  C:\Windows\System32\yCSisVh.exe
  2⤵
  PID:6680
- C:\Windows\System32\mqMvJxZ.exe
  C:\Windows\System32\mqMvJxZ.exe
  2⤵
  PID:6708
- C:\Windows\System32\fTCMonc.exe
  C:\Windows\System32\fTCMonc.exe
  2⤵
  PID:6748
- C:\Windows\System32\llQDDbK.exe
  C:\Windows\System32\llQDDbK.exe
  2⤵
  PID:6776
- C:\Windows\System32\YhqqfQj.exe
  C:\Windows\System32\YhqqfQj.exe
  2⤵
  PID:6804
- C:\Windows\System32\LfOmZsL.exe
  C:\Windows\System32\LfOmZsL.exe
  2⤵
  PID:6832
- C:\Windows\System32\knimUra.exe
  C:\Windows\System32\knimUra.exe
  2⤵
  PID:6848
- C:\Windows\System32\IcpVUzH.exe
  C:\Windows\System32\IcpVUzH.exe
  2⤵
  PID:6888
- C:\Windows\System32\CFuUNrz.exe
  C:\Windows\System32\CFuUNrz.exe
  2⤵
  PID:6904
- C:\Windows\System32\EvlWgPT.exe
  C:\Windows\System32\EvlWgPT.exe
  2⤵
  PID:6932
- C:\Windows\System32\qPYvgGL.exe
  C:\Windows\System32\qPYvgGL.exe
  2⤵
  PID:6972
- C:\Windows\System32\ETPJhkI.exe
  C:\Windows\System32\ETPJhkI.exe
  2⤵
  PID:7000
- C:\Windows\System32\NJcnixH.exe
  C:\Windows\System32\NJcnixH.exe
  2⤵
  PID:7028
- C:\Windows\System32\SSKhsci.exe
  C:\Windows\System32\SSKhsci.exe
  2⤵
  PID:7044
- C:\Windows\System32\tCjDFEx.exe
  C:\Windows\System32\tCjDFEx.exe
  2⤵
  PID:7084
- C:\Windows\System32\FDkzjSK.exe
  C:\Windows\System32\FDkzjSK.exe
  2⤵
  PID:7100
- C:\Windows\System32\YYmQHNE.exe
  C:\Windows\System32\YYmQHNE.exe
  2⤵
  PID:7140
- C:\Windows\System32\QIwyAQB.exe
  C:\Windows\System32\QIwyAQB.exe
  2⤵
  PID:6044
- C:\Windows\System32\Khruxlt.exe
  C:\Windows\System32\Khruxlt.exe
  2⤵
  PID:5128
- C:\Windows\System32\DBIwTfz.exe
  C:\Windows\System32\DBIwTfz.exe
  2⤵
  PID:5552
- C:\Windows\System32\nvqNJlQ.exe
  C:\Windows\System32\nvqNJlQ.exe
  2⤵
  PID:6208
- C:\Windows\System32\nAEGPcQ.exe
  C:\Windows\System32\nAEGPcQ.exe
  2⤵
  PID:6236
- C:\Windows\System32\JeikMRq.exe
  C:\Windows\System32\JeikMRq.exe
  2⤵
  PID:6340
- C:\Windows\System32\OJparLl.exe
  C:\Windows\System32\OJparLl.exe
  2⤵
  PID:6404
- C:\Windows\System32\KZNNGyT.exe
  C:\Windows\System32\KZNNGyT.exe
  2⤵
  PID:6460
- C:\Windows\System32\ingfPok.exe
  C:\Windows\System32\ingfPok.exe
  2⤵
  PID:6480
- C:\Windows\System32\tqyYcir.exe
  C:\Windows\System32\tqyYcir.exe
  2⤵
  PID:6564
- C:\Windows\System32\NpeCWZN.exe
  C:\Windows\System32\NpeCWZN.exe
  2⤵
  PID:3832
- C:\Windows\System32\qNkkuGa.exe
  C:\Windows\System32\qNkkuGa.exe
  2⤵
  PID:6676
- C:\Windows\System32\tuNzvBM.exe
  C:\Windows\System32\tuNzvBM.exe
  2⤵
  PID:6756
- C:\Windows\System32\jjhjFYa.exe
  C:\Windows\System32\jjhjFYa.exe
  2⤵
  PID:6784
- C:\Windows\System32\njyDdUM.exe
  C:\Windows\System32\njyDdUM.exe
  2⤵
  PID:6860
- C:\Windows\System32\jhYbBwD.exe
  C:\Windows\System32\jhYbBwD.exe
  2⤵
  PID:6944
- C:\Windows\System32\rtCCRgp.exe
  C:\Windows\System32\rtCCRgp.exe
  2⤵
  PID:6992
- C:\Windows\System32\LScRdPl.exe
  C:\Windows\System32\LScRdPl.exe
  2⤵
  PID:7036
- C:\Windows\System32\repoiEI.exe
  C:\Windows\System32\repoiEI.exe
  2⤵
  PID:7096
- C:\Windows\System32\VDaxgdR.exe
  C:\Windows\System32\VDaxgdR.exe
  2⤵
  PID:7160
- C:\Windows\System32\KhGAaiU.exe
  C:\Windows\System32\KhGAaiU.exe
  2⤵
  PID:3276
- C:\Windows\System32\UnCMOfu.exe
  C:\Windows\System32\UnCMOfu.exe
  2⤵
  PID:6272
- C:\Windows\System32\TvQYGoW.exe
  C:\Windows\System32\TvQYGoW.exe
  2⤵
  PID:6276
- C:\Windows\System32\rUXuerd.exe
  C:\Windows\System32\rUXuerd.exe
  2⤵
  PID:2348
- C:\Windows\System32\UiptshQ.exe
  C:\Windows\System32\UiptshQ.exe
  2⤵
  PID:5100
- C:\Windows\System32\qprINaB.exe
  C:\Windows\System32\qprINaB.exe
  2⤵
  PID:6740
- C:\Windows\System32\kUYmqeA.exe
  C:\Windows\System32\kUYmqeA.exe
  2⤵
  PID:6844
- C:\Windows\System32\bfCpKjV.exe
  C:\Windows\System32\bfCpKjV.exe
  2⤵
  PID:536
- C:\Windows\System32\RSIsmRl.exe
  C:\Windows\System32\RSIsmRl.exe
  2⤵
  PID:7076
- C:\Windows\System32\swmUkpl.exe
  C:\Windows\System32\swmUkpl.exe
  2⤵
  PID:7124
- C:\Windows\System32\rJUZhZC.exe
  C:\Windows\System32\rJUZhZC.exe
  2⤵
  PID:5824
- C:\Windows\System32\NgWgUUM.exe
  C:\Windows\System32\NgWgUUM.exe
  2⤵
  PID:3040
- C:\Windows\System32\ZbdbjmK.exe
  C:\Windows\System32\ZbdbjmK.exe
  2⤵
  PID:6704
- C:\Windows\System32\JeCbkSM.exe
  C:\Windows\System32\JeCbkSM.exe
  2⤵
  PID:7068
- C:\Windows\System32\wwtRQMT.exe
  C:\Windows\System32\wwtRQMT.exe
  2⤵
  PID:1856
- C:\Windows\System32\IRxaBJO.exe
  C:\Windows\System32\IRxaBJO.exe
  2⤵
  PID:5088
- C:\Windows\System32\qlevZKI.exe
  C:\Windows\System32\qlevZKI.exe
  2⤵
  PID:3872
- C:\Windows\System32\jIcLvRE.exe
  C:\Windows\System32\jIcLvRE.exe
  2⤵
  PID:7132
- C:\Windows\System32\CgQvhLm.exe
  C:\Windows\System32\CgQvhLm.exe
  2⤵
  PID:7216
- C:\Windows\System32\eHrHCIn.exe
  C:\Windows\System32\eHrHCIn.exe
  2⤵
  PID:7240
- C:\Windows\System32\dOVZxdL.exe
  C:\Windows\System32\dOVZxdL.exe
  2⤵
  PID:7276
- C:\Windows\System32\TbPyGLV.exe
  C:\Windows\System32\TbPyGLV.exe
  2⤵
  PID:7300
- C:\Windows\System32\RotZffz.exe
  C:\Windows\System32\RotZffz.exe
  2⤵
  PID:7324
- C:\Windows\System32\GTaUbdn.exe
  C:\Windows\System32\GTaUbdn.exe
  2⤵
  PID:7356
- C:\Windows\System32\eqFLulY.exe
  C:\Windows\System32\eqFLulY.exe
  2⤵
  PID:7388
- C:\Windows\System32\MWBrdIV.exe
  C:\Windows\System32\MWBrdIV.exe
  2⤵
  PID:7416
- C:\Windows\System32\rxLIUmt.exe
  C:\Windows\System32\rxLIUmt.exe
  2⤵
  PID:7464
- C:\Windows\System32\gGVZkit.exe
  C:\Windows\System32\gGVZkit.exe
  2⤵
  PID:7500
- C:\Windows\System32\aOIMsNE.exe
  C:\Windows\System32\aOIMsNE.exe
  2⤵
  PID:7560
- C:\Windows\System32\CIMGwpy.exe
  C:\Windows\System32\CIMGwpy.exe
  2⤵
  PID:7588
- C:\Windows\System32\pMdvRJB.exe
  C:\Windows\System32\pMdvRJB.exe
  2⤵
  PID:7648
- C:\Windows\System32\wcXwrKX.exe
  C:\Windows\System32\wcXwrKX.exe
  2⤵
  PID:7664
- C:\Windows\System32\HEWEhSs.exe
  C:\Windows\System32\HEWEhSs.exe
  2⤵
  PID:7680
- C:\Windows\System32\UwWCjpX.exe
  C:\Windows\System32\UwWCjpX.exe
  2⤵
  PID:7708
- C:\Windows\System32\UJfzfNM.exe
  C:\Windows\System32\UJfzfNM.exe
  2⤵
  PID:7756
- C:\Windows\System32\GlCkQKO.exe
  C:\Windows\System32\GlCkQKO.exe
  2⤵
  PID:7784
- C:\Windows\System32\WvsHxqj.exe
  C:\Windows\System32\WvsHxqj.exe
  2⤵
  PID:7812
- C:\Windows\System32\bqQmpxc.exe
  C:\Windows\System32\bqQmpxc.exe
  2⤵
  PID:7832
- C:\Windows\System32\kUkmibg.exe
  C:\Windows\System32\kUkmibg.exe
  2⤵
  PID:7868
- C:\Windows\System32\fpIuazu.exe
  C:\Windows\System32\fpIuazu.exe
  2⤵
  PID:7896
- C:\Windows\System32\AATLKQF.exe
  C:\Windows\System32\AATLKQF.exe
  2⤵
  PID:7920
- C:\Windows\System32\FkxhTWr.exe
  C:\Windows\System32\FkxhTWr.exe
  2⤵
  PID:7952
- C:\Windows\System32\LTodTWX.exe
  C:\Windows\System32\LTodTWX.exe
  2⤵
  PID:7968
- C:\Windows\System32\JyyqBdr.exe
  C:\Windows\System32\JyyqBdr.exe
  2⤵
  PID:8008
- C:\Windows\System32\VWjOMQT.exe
  C:\Windows\System32\VWjOMQT.exe
  2⤵
  PID:8036
- C:\Windows\System32\KEwxTTR.exe
  C:\Windows\System32\KEwxTTR.exe
  2⤵
  PID:8064
- C:\Windows\System32\rmwcXYT.exe
  C:\Windows\System32\rmwcXYT.exe
  2⤵
  PID:8080
- C:\Windows\System32\qFHyJaz.exe
  C:\Windows\System32\qFHyJaz.exe
  2⤵
  PID:8108
- C:\Windows\System32\OESMhUO.exe
  C:\Windows\System32\OESMhUO.exe
  2⤵
  PID:8148
- C:\Windows\System32\HZXkwut.exe
  C:\Windows\System32\HZXkwut.exe
  2⤵
  PID:8168
- C:\Windows\System32\vcibpnE.exe
  C:\Windows\System32\vcibpnE.exe
  2⤵
  PID:2776
- C:\Windows\System32\YymzNis.exe
  C:\Windows\System32\YymzNis.exe
  2⤵
  PID:3808
- C:\Windows\System32\ECcxtrv.exe
  C:\Windows\System32\ECcxtrv.exe
  2⤵
  PID:3824
- C:\Windows\System32\jNFZJJK.exe
  C:\Windows\System32\jNFZJJK.exe
  2⤵
  PID:7236
- C:\Windows\System32\wlErtrF.exe
  C:\Windows\System32\wlErtrF.exe
  2⤵
  PID:7340
- C:\Windows\System32\xyqtypY.exe
  C:\Windows\System32\xyqtypY.exe
  2⤵
  PID:7380
- C:\Windows\System32\ovdlUhd.exe
  C:\Windows\System32\ovdlUhd.exe
  2⤵
  PID:7456
- C:\Windows\System32\RRniBCx.exe
  C:\Windows\System32\RRniBCx.exe
  2⤵
  PID:3828
- C:\Windows\System32\JnVbndN.exe
  C:\Windows\System32\JnVbndN.exe
  2⤵
  PID:4928
- C:\Windows\System32\JXcfTxI.exe
  C:\Windows\System32\JXcfTxI.exe
  2⤵
  PID:7292
- C:\Windows\System32\pgcIPFf.exe
  C:\Windows\System32\pgcIPFf.exe
  2⤵
  PID:7452
- C:\Windows\System32\kjWHwWk.exe
  C:\Windows\System32\kjWHwWk.exe
  2⤵
  PID:7676
- C:\Windows\System32\RBJbTXH.exe
  C:\Windows\System32\RBJbTXH.exe
  2⤵
  PID:7752
- C:\Windows\System32\rFRMyLJ.exe
  C:\Windows\System32\rFRMyLJ.exe
  2⤵
  PID:7776
- C:\Windows\System32\jJLvEjv.exe
  C:\Windows\System32\jJLvEjv.exe
  2⤵
  PID:7840
- C:\Windows\System32\mzhqYJl.exe
  C:\Windows\System32\mzhqYJl.exe
  2⤵
  PID:7908
- C:\Windows\System32\DNyKRFN.exe
  C:\Windows\System32\DNyKRFN.exe
  2⤵
  PID:7984
- C:\Windows\System32\SQDdToI.exe
  C:\Windows\System32\SQDdToI.exe
  2⤵
  PID:8024
- C:\Windows\System32\OyguOip.exe
  C:\Windows\System32\OyguOip.exe
  2⤵
  PID:8092
- C:\Windows\System32\sGvRYbg.exe
  C:\Windows\System32\sGvRYbg.exe
  2⤵
  PID:8160
- C:\Windows\System32\pcmsJgO.exe
  C:\Windows\System32\pcmsJgO.exe
  2⤵
  PID:4124
- C:\Windows\System32\kdOTOiK.exe
  C:\Windows\System32\kdOTOiK.exe
  2⤵
  PID:7284
- C:\Windows\System32\HoQtTid.exe
  C:\Windows\System32\HoQtTid.exe
  2⤵
  PID:7404
- C:\Windows\System32\wbLCzVA.exe
  C:\Windows\System32\wbLCzVA.exe
  2⤵
  PID:7612
- C:\Windows\System32\PMioHdS.exe
  C:\Windows\System32\PMioHdS.exe
  2⤵
  PID:7736
- C:\Windows\System32\XRTezEW.exe
  C:\Windows\System32\XRTezEW.exe
  2⤵
  PID:7804
- C:\Windows\System32\MICxhOn.exe
  C:\Windows\System32\MICxhOn.exe
  2⤵
  PID:7944
- C:\Windows\System32\DqyFqgY.exe
  C:\Windows\System32\DqyFqgY.exe
  2⤵
  PID:8056
- C:\Windows\System32\SeUbQnY.exe
  C:\Windows\System32\SeUbQnY.exe
  2⤵
  PID:7212
- C:\Windows\System32\UnUBYyI.exe
  C:\Windows\System32\UnUBYyI.exe
  2⤵
  PID:6540
- C:\Windows\System32\rnwOhpc.exe
  C:\Windows\System32\rnwOhpc.exe
  2⤵
  PID:7640
- C:\Windows\System32\yezpKbm.exe
  C:\Windows\System32\yezpKbm.exe
  2⤵
  PID:7368
- C:\Windows\System32\HghUQtO.exe
  C:\Windows\System32\HghUQtO.exe
  2⤵
  PID:7268
- C:\Windows\System32\wsvxMal.exe
  C:\Windows\System32\wsvxMal.exe
  2⤵
  PID:7252
- C:\Windows\System32\miFrwik.exe
  C:\Windows\System32\miFrwik.exe
  2⤵
  PID:7644
- C:\Windows\System32\KsbTxZi.exe
  C:\Windows\System32\KsbTxZi.exe
  2⤵
  PID:8220
- C:\Windows\System32\OukbDcl.exe
  C:\Windows\System32\OukbDcl.exe
  2⤵
  PID:8236
- C:\Windows\System32\wGBNXXt.exe
  C:\Windows\System32\wGBNXXt.exe
  2⤵
  PID:8264
- C:\Windows\System32\HcUguad.exe
  C:\Windows\System32\HcUguad.exe
  2⤵
  PID:8292
- C:\Windows\System32\mlvWiMQ.exe
  C:\Windows\System32\mlvWiMQ.exe
  2⤵
  PID:8312
- C:\Windows\System32\Wdbugze.exe
  C:\Windows\System32\Wdbugze.exe
  2⤵
  PID:8360
- C:\Windows\System32\PTdtQuN.exe
  C:\Windows\System32\PTdtQuN.exe
  2⤵
  PID:8388
- C:\Windows\System32\djzMMjF.exe
  C:\Windows\System32\djzMMjF.exe
  2⤵
  PID:8420
- C:\Windows\System32\uZRWTlR.exe
  C:\Windows\System32\uZRWTlR.exe
  2⤵
  PID:8472
- C:\Windows\System32\avgAqSk.exe
  C:\Windows\System32\avgAqSk.exe
  2⤵
  PID:8520
- C:\Windows\System32\cmEhsti.exe
  C:\Windows\System32\cmEhsti.exe
  2⤵
  PID:8548
- C:\Windows\System32\tqABphZ.exe
  C:\Windows\System32\tqABphZ.exe
  2⤵
  PID:8564
- C:\Windows\System32\YUDloEd.exe
  C:\Windows\System32\YUDloEd.exe
  2⤵
  PID:8592
- C:\Windows\System32\MoFpTYA.exe
  C:\Windows\System32\MoFpTYA.exe
  2⤵
  PID:8616
- C:\Windows\System32\EJlidoB.exe
  C:\Windows\System32\EJlidoB.exe
  2⤵
  PID:8660
- C:\Windows\System32\MwnAfNd.exe
  C:\Windows\System32\MwnAfNd.exe
  2⤵
  PID:8692
- C:\Windows\System32\RxhfpRt.exe
  C:\Windows\System32\RxhfpRt.exe
  2⤵
  PID:8720
- C:\Windows\System32\ySOBXFQ.exe
  C:\Windows\System32\ySOBXFQ.exe
  2⤵
  PID:8748
- C:\Windows\System32\szUMbpY.exe
  C:\Windows\System32\szUMbpY.exe
  2⤵
  PID:8776
- C:\Windows\System32\QnDHnTB.exe
  C:\Windows\System32\QnDHnTB.exe
  2⤵
  PID:8792
- C:\Windows\System32\gRyGnYo.exe
  C:\Windows\System32\gRyGnYo.exe
  2⤵
  PID:8832
- C:\Windows\System32\YOUmjPO.exe
  C:\Windows\System32\YOUmjPO.exe
  2⤵
  PID:8860
- C:\Windows\System32\rJklOYT.exe
  C:\Windows\System32\rJklOYT.exe
  2⤵
  PID:8888
- C:\Windows\System32\GKPSIMC.exe
  C:\Windows\System32\GKPSIMC.exe
  2⤵
  PID:8904
- C:\Windows\System32\GQrqpqZ.exe
  C:\Windows\System32\GQrqpqZ.exe
  2⤵
  PID:8944
- C:\Windows\System32\tdZCLkw.exe
  C:\Windows\System32\tdZCLkw.exe
  2⤵
  PID:8964
- C:\Windows\System32\jSZLSRk.exe
  C:\Windows\System32\jSZLSRk.exe
  2⤵
  PID:8988
- C:\Windows\System32\vQNIbLP.exe
  C:\Windows\System32\vQNIbLP.exe
  2⤵
  PID:9016
- C:\Windows\System32\kTcLZoC.exe
  C:\Windows\System32\kTcLZoC.exe
  2⤵
  PID:9056
- C:\Windows\System32\bFyXMFY.exe
  C:\Windows\System32\bFyXMFY.exe
  2⤵
  PID:9084
- C:\Windows\System32\ozFITRf.exe
  C:\Windows\System32\ozFITRf.exe
  2⤵
  PID:9112
- C:\Windows\System32\UDEHxmt.exe
  C:\Windows\System32\UDEHxmt.exe
  2⤵
  PID:9140
- C:\Windows\System32\uMWMZjp.exe
  C:\Windows\System32\uMWMZjp.exe
  2⤵
  PID:9168
- C:\Windows\System32\RxUFTXV.exe
  C:\Windows\System32\RxUFTXV.exe
  2⤵
  PID:9200
- C:\Windows\System32\Hilmedf.exe
  C:\Windows\System32\Hilmedf.exe
  2⤵
  PID:8216
- C:\Windows\System32\IdbxYbK.exe
  C:\Windows\System32\IdbxYbK.exe
  2⤵
  PID:8288
- C:\Windows\System32\nduUaQN.exe
  C:\Windows\System32\nduUaQN.exe
  2⤵
  PID:8336
- C:\Windows\System32\aDnSiCt.exe
  C:\Windows\System32\aDnSiCt.exe
  2⤵
  PID:8416
- C:\Windows\System32\xblXToi.exe
  C:\Windows\System32\xblXToi.exe
  2⤵
  PID:8452
- C:\Windows\System32\NVZOKuI.exe
  C:\Windows\System32\NVZOKuI.exe
  2⤵
  PID:8560
- C:\Windows\System32\PItaDHH.exe
  C:\Windows\System32\PItaDHH.exe
  2⤵
  PID:8580
- C:\Windows\System32\dNvPQhr.exe
  C:\Windows\System32\dNvPQhr.exe
  2⤵
  PID:8680
- C:\Windows\System32\kHhGajC.exe
  C:\Windows\System32\kHhGajC.exe
  2⤵
  PID:8784
- C:\Windows\System32\tpWkymr.exe
  C:\Windows\System32\tpWkymr.exe
  2⤵
  PID:8852
- C:\Windows\System32\LGYbgxH.exe
  C:\Windows\System32\LGYbgxH.exe
  2⤵
  PID:8916
- C:\Windows\System32\fOPbtel.exe
  C:\Windows\System32\fOPbtel.exe
  2⤵
  PID:7696
- C:\Windows\System32\WNQqAGD.exe
  C:\Windows\System32\WNQqAGD.exe
  2⤵
  PID:9040
- C:\Windows\System32\zxPeBkU.exe
  C:\Windows\System32\zxPeBkU.exe
  2⤵
  PID:9104
- C:\Windows\System32\SHujJDb.exe
  C:\Windows\System32\SHujJDb.exe
  2⤵
  PID:9164
- C:\Windows\System32\vsxHfpw.exe
  C:\Windows\System32\vsxHfpw.exe
  2⤵
  PID:8248
- C:\Windows\System32\txaxIql.exe
  C:\Windows\System32\txaxIql.exe
  2⤵
  PID:8408
- C:\Windows\System32\RYPEMzh.exe
  C:\Windows\System32\RYPEMzh.exe
  2⤵
  PID:8540
- C:\Windows\System32\qtNrLGq.exe
  C:\Windows\System32\qtNrLGq.exe
  2⤵
  PID:8656
- C:\Windows\System32\mKlbfKg.exe
  C:\Windows\System32\mKlbfKg.exe
  2⤵
  PID:8884
- C:\Windows\System32\xjmPiuP.exe
  C:\Windows\System32\xjmPiuP.exe
  2⤵
  PID:9076
- C:\Windows\System32\nUUnFDh.exe
  C:\Windows\System32\nUUnFDh.exe
  2⤵
  PID:8212
- C:\Windows\System32\mbosMlA.exe
  C:\Windows\System32\mbosMlA.exe
  2⤵
  PID:8544
- C:\Windows\System32\GRgEPME.exe
  C:\Windows\System32\GRgEPME.exe
  2⤵
  PID:8952
- C:\Windows\System32\rfwMfZw.exe
  C:\Windows\System32\rfwMfZw.exe
  2⤵
  PID:8828
- C:\Windows\System32\sZVqArL.exe
  C:\Windows\System32\sZVqArL.exe
  2⤵
  PID:9132
- C:\Windows\System32\ZENKKmm.exe
  C:\Windows\System32\ZENKKmm.exe
  2⤵
  PID:9232
- C:\Windows\System32\nrKkbRg.exe
  C:\Windows\System32\nrKkbRg.exe
  2⤵
  PID:9260
- C:\Windows\System32\CWRQKmb.exe
  C:\Windows\System32\CWRQKmb.exe
  2⤵
  PID:9288
- C:\Windows\System32\uFllkMG.exe
  C:\Windows\System32\uFllkMG.exe
  2⤵
  PID:9304
- C:\Windows\System32\JyNTiWv.exe
  C:\Windows\System32\JyNTiWv.exe
  2⤵
  PID:9344
- C:\Windows\System32\vxdWrgD.exe
  C:\Windows\System32\vxdWrgD.exe
  2⤵
  PID:9384
- C:\Windows\System32\tzcCQZu.exe
  C:\Windows\System32\tzcCQZu.exe
  2⤵
  PID:9420
- C:\Windows\System32\CXhPmJC.exe
  C:\Windows\System32\CXhPmJC.exe
  2⤵
  PID:9448
- C:\Windows\System32\YOqUvxq.exe
  C:\Windows\System32\YOqUvxq.exe
  2⤵
  PID:9488
- C:\Windows\System32\BUcXqxZ.exe
  C:\Windows\System32\BUcXqxZ.exe
  2⤵
  PID:9536
- C:\Windows\System32\LxILqRN.exe
  C:\Windows\System32\LxILqRN.exe
  2⤵
  PID:9564
- C:\Windows\System32\HXfbeoY.exe
  C:\Windows\System32\HXfbeoY.exe
  2⤵
  PID:9596
- C:\Windows\System32\PGTkZQQ.exe
  C:\Windows\System32\PGTkZQQ.exe
  2⤵
  PID:9624
- C:\Windows\System32\lXtbBZL.exe
  C:\Windows\System32\lXtbBZL.exe
  2⤵
  PID:9644
- C:\Windows\System32\TfSVNRe.exe
  C:\Windows\System32\TfSVNRe.exe
  2⤵
  PID:9680
- C:\Windows\System32\LNMbDUH.exe
  C:\Windows\System32\LNMbDUH.exe
  2⤵
  PID:9708
- C:\Windows\System32\eCvkiwq.exe
  C:\Windows\System32\eCvkiwq.exe
  2⤵
  PID:9736
- C:\Windows\System32\fDSeMgB.exe
  C:\Windows\System32\fDSeMgB.exe
  2⤵
  PID:9772
- C:\Windows\System32\DWFKJck.exe
  C:\Windows\System32\DWFKJck.exe
  2⤵
  PID:9796
- C:\Windows\System32\ltnxfpp.exe
  C:\Windows\System32\ltnxfpp.exe
  2⤵
  PID:9812
- C:\Windows\System32\MldiUtK.exe
  C:\Windows\System32\MldiUtK.exe
  2⤵
  PID:9852
- C:\Windows\System32\ktDSqBM.exe
  C:\Windows\System32\ktDSqBM.exe
  2⤵
  PID:9880
- C:\Windows\System32\gNPuhHd.exe
  C:\Windows\System32\gNPuhHd.exe
  2⤵
  PID:9912
- C:\Windows\System32\BDxAzhO.exe
  C:\Windows\System32\BDxAzhO.exe
  2⤵
  PID:9940
- C:\Windows\System32\GocjEje.exe
  C:\Windows\System32\GocjEje.exe
  2⤵
  PID:9968
- C:\Windows\System32\dYhfpcY.exe
  C:\Windows\System32\dYhfpcY.exe
  2⤵
  PID:9992
- C:\Windows\System32\ulgaiJf.exe
  C:\Windows\System32\ulgaiJf.exe
  2⤵
  PID:10012
- C:\Windows\System32\mZeJuFI.exe
  C:\Windows\System32\mZeJuFI.exe
  2⤵
  PID:10052
- C:\Windows\System32\URYkKVd.exe
  C:\Windows\System32\URYkKVd.exe
  2⤵
  PID:10080
- C:\Windows\System32\LHNVdnI.exe
  C:\Windows\System32\LHNVdnI.exe
  2⤵
  PID:10112
- C:\Windows\System32\EpWsoHf.exe
  C:\Windows\System32\EpWsoHf.exe
  2⤵
  PID:10140
- C:\Windows\System32\VRLxPgs.exe
  C:\Windows\System32\VRLxPgs.exe
  2⤵
  PID:10168
- C:\Windows\System32\JYsKDDK.exe
  C:\Windows\System32\JYsKDDK.exe
  2⤵
  PID:10196
- C:\Windows\System32\vFvnVGY.exe
  C:\Windows\System32\vFvnVGY.exe
  2⤵
  PID:10224
- C:\Windows\System32\OVqCcHR.exe
  C:\Windows\System32\OVqCcHR.exe
  2⤵
  PID:9272
- C:\Windows\System32\IzUAurF.exe
  C:\Windows\System32\IzUAurF.exe
  2⤵
  PID:9412
- C:\Windows\System32\vcxQojo.exe
  C:\Windows\System32\vcxQojo.exe
  2⤵
  PID:9472
- C:\Windows\System32\DaDVwKV.exe
  C:\Windows\System32\DaDVwKV.exe
  2⤵
  PID:3552
- C:\Windows\System32\MBEvIiV.exe
  C:\Windows\System32\MBEvIiV.exe
  2⤵
  PID:9632
- C:\Windows\System32\lYnvfkH.exe
  C:\Windows\System32\lYnvfkH.exe
  2⤵
  PID:9760
- C:\Windows\System32\MsgCIvT.exe
  C:\Windows\System32\MsgCIvT.exe
  2⤵
  PID:9876
- C:\Windows\System32\qReFSMk.exe
  C:\Windows\System32\qReFSMk.exe
  2⤵
  PID:9932
- C:\Windows\System32\lbFmreI.exe
  C:\Windows\System32\lbFmreI.exe
  2⤵
  PID:10072
- C:\Windows\System32\hwHIaEO.exe
  C:\Windows\System32\hwHIaEO.exe
  2⤵
  PID:10180
- C:\Windows\System32\TCvepTe.exe
  C:\Windows\System32\TCvepTe.exe
  2⤵
  PID:7568
- C:\Windows\System32\elPBvNa.exe
  C:\Windows\System32\elPBvNa.exe
  2⤵
  PID:2512
- C:\Windows\System32\NTdhCHm.exe
  C:\Windows\System32\NTdhCHm.exe
  2⤵
  PID:9460
- C:\Windows\System32\QinPSDW.exe
  C:\Windows\System32\QinPSDW.exe
  2⤵
  PID:9664
- C:\Windows\System32\jYeUMNb.exe
  C:\Windows\System32\jYeUMNb.exe
  2⤵
  PID:9824
- C:\Windows\System32\pGtMPQY.exe
  C:\Windows\System32\pGtMPQY.exe
  2⤵
  PID:9964
- C:\Windows\System32\bKQdAga.exe
  C:\Windows\System32\bKQdAga.exe
  2⤵
  PID:1628
- C:\Windows\System32\sTfjxKN.exe
  C:\Windows\System32\sTfjxKN.exe
  2⤵
  PID:8468
- C:\Windows\System32\qCWCSmi.exe
  C:\Windows\System32\qCWCSmi.exe
  2⤵
  PID:9808
- C:\Windows\System32\KFXAooi.exe
  C:\Windows\System32\KFXAooi.exe
  2⤵
  PID:9356
- C:\Windows\System32\UXNafvK.exe
  C:\Windows\System32\UXNafvK.exe
  2⤵
  PID:10284
- C:\Windows\System32\RogMAVm.exe
  C:\Windows\System32\RogMAVm.exe
  2⤵
  PID:10312
- C:\Windows\System32\AGuXNLi.exe
  C:\Windows\System32\AGuXNLi.exe
  2⤵
  PID:10340
- C:\Windows\System32\crIODzF.exe
  C:\Windows\System32\crIODzF.exe
  2⤵
  PID:10368
- C:\Windows\System32\hhzdvSh.exe
  C:\Windows\System32\hhzdvSh.exe
  2⤵
  PID:10396
- C:\Windows\System32\ACyxJgy.exe
  C:\Windows\System32\ACyxJgy.exe
  2⤵
  PID:10424
- C:\Windows\System32\yUghcpM.exe
  C:\Windows\System32\yUghcpM.exe
  2⤵
  PID:10452
- C:\Windows\System32\roLGpso.exe
  C:\Windows\System32\roLGpso.exe
  2⤵
  PID:10488
- C:\Windows\System32\lJcSkwj.exe
  C:\Windows\System32\lJcSkwj.exe
  2⤵
  PID:10520
- C:\Windows\System32\iMYdysb.exe
  C:\Windows\System32\iMYdysb.exe
  2⤵
  PID:10548
- C:\Windows\System32\rMsPXld.exe
  C:\Windows\System32\rMsPXld.exe
  2⤵
  PID:10584
- C:\Windows\System32\uEuskBs.exe
  C:\Windows\System32\uEuskBs.exe
  2⤵
  PID:10612
- C:\Windows\System32\mROdTdJ.exe
  C:\Windows\System32\mROdTdJ.exe
  2⤵
  PID:10640
- C:\Windows\System32\JiKWReD.exe
  C:\Windows\System32\JiKWReD.exe
  2⤵
  PID:10672
- C:\Windows\System32\aIpEHJc.exe
  C:\Windows\System32\aIpEHJc.exe
  2⤵
  PID:10700
- C:\Windows\System32\xoJqWGy.exe
  C:\Windows\System32\xoJqWGy.exe
  2⤵
  PID:10732
- C:\Windows\System32\WYDGSMh.exe
  C:\Windows\System32\WYDGSMh.exe
  2⤵
  PID:10764
- C:\Windows\System32\OuBIlYz.exe
  C:\Windows\System32\OuBIlYz.exe
  2⤵
  PID:10792
- C:\Windows\System32\oCFRGuZ.exe
  C:\Windows\System32\oCFRGuZ.exe
  2⤵
  PID:10824
- C:\Windows\System32\jlYXEQq.exe
  C:\Windows\System32\jlYXEQq.exe
  2⤵
  PID:10856
- C:\Windows\System32\cvRuXeR.exe
  C:\Windows\System32\cvRuXeR.exe
  2⤵
  PID:10884
- C:\Windows\System32\oWefxDZ.exe
  C:\Windows\System32\oWefxDZ.exe
  2⤵
  PID:10912
- C:\Windows\System32\KEQcWJL.exe
  C:\Windows\System32\KEQcWJL.exe
  2⤵
  PID:10940
- C:\Windows\System32\ALtTUSn.exe
  C:\Windows\System32\ALtTUSn.exe
  2⤵
  PID:10968
- C:\Windows\System32\BSoFlVh.exe
  C:\Windows\System32\BSoFlVh.exe
  2⤵
  PID:11008
- C:\Windows\System32\rEPmBto.exe
  C:\Windows\System32\rEPmBto.exe
  2⤵
  PID:11036
- C:\Windows\System32\oXULVsR.exe
  C:\Windows\System32\oXULVsR.exe
  2⤵
  PID:11064
- C:\Windows\System32\lPszuIF.exe
  C:\Windows\System32\lPszuIF.exe
  2⤵
  PID:11092
- C:\Windows\System32\fwIDxDr.exe
  C:\Windows\System32\fwIDxDr.exe
  2⤵
  PID:11120
- C:\Windows\System32\UkKgfSo.exe
  C:\Windows\System32\UkKgfSo.exe
  2⤵
  PID:11148
- C:\Windows\System32\gWmPnvr.exe
  C:\Windows\System32\gWmPnvr.exe
  2⤵
  PID:11176
- C:\Windows\System32\AkKglnQ.exe
  C:\Windows\System32\AkKglnQ.exe
  2⤵
  PID:11208
- C:\Windows\System32\DAoHxGv.exe
  C:\Windows\System32\DAoHxGv.exe
  2⤵
  PID:11236
- C:\Windows\System32\PDdvPxa.exe
  C:\Windows\System32\PDdvPxa.exe
  2⤵
  PID:7192
- C:\Windows\System32\PSZISCL.exe
  C:\Windows\System32\PSZISCL.exe
  2⤵
  PID:10328
- C:\Windows\System32\AjFgkNI.exe
  C:\Windows\System32\AjFgkNI.exe
  2⤵
  PID:10388
- C:\Windows\System32\vGbxJBH.exe
  C:\Windows\System32\vGbxJBH.exe
  2⤵
  PID:10448
- C:\Windows\System32\xnSphrM.exe
  C:\Windows\System32\xnSphrM.exe
  2⤵
  PID:10540
- C:\Windows\System32\WnvwiyN.exe
  C:\Windows\System32\WnvwiyN.exe
  2⤵
  PID:10604
- C:\Windows\System32\vnDGTYp.exe
  C:\Windows\System32\vnDGTYp.exe
  2⤵
  PID:10668
- C:\Windows\System32\UPkEvHM.exe
  C:\Windows\System32\UPkEvHM.exe
  2⤵
  PID:10752
- C:\Windows\System32\wfnArfe.exe
  C:\Windows\System32\wfnArfe.exe
  2⤵
  PID:1424
- C:\Windows\System32\QYdlfGT.exe
  C:\Windows\System32\QYdlfGT.exe
  2⤵
  PID:10872
- C:\Windows\System32\OAcfadR.exe
  C:\Windows\System32\OAcfadR.exe
  2⤵
  PID:10952
- C:\Windows\System32\sYRGxMz.exe
  C:\Windows\System32\sYRGxMz.exe
  2⤵
  PID:11024
- C:\Windows\System32\OqdRoMa.exe
  C:\Windows\System32\OqdRoMa.exe
  2⤵
  PID:11084
- C:\Windows\System32\MFqGfVf.exe
  C:\Windows\System32\MFqGfVf.exe
  2⤵
  PID:11140
- C:\Windows\System32\GbvmEPx.exe
  C:\Windows\System32\GbvmEPx.exe
  2⤵
  PID:11204
- C:\Windows\System32\QfTrLnR.exe
  C:\Windows\System32\QfTrLnR.exe
  2⤵
  PID:10300
- C:\Windows\System32\MXGyScx.exe
  C:\Windows\System32\MXGyScx.exe
  2⤵
  PID:1692
- C:\Windows\System32\smrbPzn.exe
  C:\Windows\System32\smrbPzn.exe
  2⤵
  PID:10600
- C:\Windows\System32\iNYPMrc.exe
  C:\Windows\System32\iNYPMrc.exe
  2⤵
  PID:10756
- C:\Windows\System32\LTvCOea.exe
  C:\Windows\System32\LTvCOea.exe
  2⤵
  PID:10876
- C:\Windows\System32\QCRhvrG.exe
  C:\Windows\System32\QCRhvrG.exe
  2⤵
  PID:11048
- C:\Windows\System32\AtrQSmh.exe
  C:\Windows\System32\AtrQSmh.exe
  2⤵
  PID:11188
- C:\Windows\System32\AuOoJoR.exe
  C:\Windows\System32\AuOoJoR.exe
  2⤵
  PID:10572
- C:\Windows\System32\EhkPIzM.exe
  C:\Windows\System32\EhkPIzM.exe
  2⤵
  PID:10868
- C:\Windows\System32\AIfEhoe.exe
  C:\Windows\System32\AIfEhoe.exe
  2⤵
  PID:10416
- C:\Windows\System32\ewxlSlF.exe
  C:\Windows\System32\ewxlSlF.exe
  2⤵
  PID:11004
- C:\Windows\System32\OcvxdPR.exe
  C:\Windows\System32\OcvxdPR.exe
  2⤵
  PID:11280
- C:\Windows\System32\awqtjIF.exe
  C:\Windows\System32\awqtjIF.exe
  2⤵
  PID:11308
- C:\Windows\System32\HDaumVQ.exe
  C:\Windows\System32\HDaumVQ.exe
  2⤵
  PID:11336
- C:\Windows\System32\TxFDiTl.exe
  C:\Windows\System32\TxFDiTl.exe
  2⤵
  PID:11364
- C:\Windows\System32\qmjnYyA.exe
  C:\Windows\System32\qmjnYyA.exe
  2⤵
  PID:11392
- C:\Windows\System32\joukjIq.exe
  C:\Windows\System32\joukjIq.exe
  2⤵
  PID:11420
- C:\Windows\System32\lQHOfre.exe
  C:\Windows\System32\lQHOfre.exe
  2⤵
  PID:11448
- C:\Windows\System32\kZMEbpA.exe
  C:\Windows\System32\kZMEbpA.exe
  2⤵
  PID:11476
- C:\Windows\System32\BGWswxc.exe
  C:\Windows\System32\BGWswxc.exe
  2⤵
  PID:11508
- C:\Windows\System32\mQyMElM.exe
  C:\Windows\System32\mQyMElM.exe
  2⤵
  PID:11536
- C:\Windows\System32\tLDuDiJ.exe
  C:\Windows\System32\tLDuDiJ.exe
  2⤵
  PID:11564
- C:\Windows\System32\EKqMgII.exe
  C:\Windows\System32\EKqMgII.exe
  2⤵
  PID:11596
- C:\Windows\System32\KEMeHnV.exe
  C:\Windows\System32\KEMeHnV.exe
  2⤵
  PID:11624
- C:\Windows\System32\faYYecn.exe
  C:\Windows\System32\faYYecn.exe
  2⤵
  PID:11652
- C:\Windows\System32\SAlEzPK.exe
  C:\Windows\System32\SAlEzPK.exe
  2⤵
  PID:11680
- C:\Windows\System32\wXvMwoB.exe
  C:\Windows\System32\wXvMwoB.exe
  2⤵
  PID:11712
- C:\Windows\System32\BAfACKO.exe
  C:\Windows\System32\BAfACKO.exe
  2⤵
  PID:11744
- C:\Windows\System32\LUQgXjT.exe
  C:\Windows\System32\LUQgXjT.exe
  2⤵
  PID:11772
- C:\Windows\System32\nmmiECi.exe
  C:\Windows\System32\nmmiECi.exe
  2⤵
  PID:11800
- C:\Windows\System32\JLQWnny.exe
  C:\Windows\System32\JLQWnny.exe
  2⤵
  PID:11844
- C:\Windows\System32\tbacMSA.exe
  C:\Windows\System32\tbacMSA.exe
  2⤵
  PID:11872
- C:\Windows\System32\BWqWxbF.exe
  C:\Windows\System32\BWqWxbF.exe
  2⤵
  PID:11920
- C:\Windows\System32\DZiKeVA.exe
  C:\Windows\System32\DZiKeVA.exe
  2⤵
  PID:11948
- C:\Windows\System32\HtLXCAS.exe
  C:\Windows\System32\HtLXCAS.exe
  2⤵
  PID:11976
- C:\Windows\System32\MhpcEjR.exe
  C:\Windows\System32\MhpcEjR.exe
  2⤵
  PID:12008
- C:\Windows\System32\iuLDwaZ.exe
  C:\Windows\System32\iuLDwaZ.exe
  2⤵
  PID:12048
- C:\Windows\System32\soKGMWx.exe
  C:\Windows\System32\soKGMWx.exe
  2⤵
  PID:12076
- C:\Windows\System32\ZbjRLpS.exe
  C:\Windows\System32\ZbjRLpS.exe
  2⤵
  PID:12104
- C:\Windows\System32\lguWCXu.exe
  C:\Windows\System32\lguWCXu.exe
  2⤵
  PID:12132
- C:\Windows\System32\WQaxZCW.exe
  C:\Windows\System32\WQaxZCW.exe
  2⤵
  PID:12160
- C:\Windows\System32\cdnPqQW.exe
  C:\Windows\System32\cdnPqQW.exe
  2⤵
  PID:12188
- C:\Windows\System32\oSRSqpG.exe
  C:\Windows\System32\oSRSqpG.exe
  2⤵
  PID:12216
- C:\Windows\System32\yLWnpZf.exe
  C:\Windows\System32\yLWnpZf.exe
  2⤵
  PID:12244
- C:\Windows\System32\UKhykEP.exe
  C:\Windows\System32\UKhykEP.exe
  2⤵
  PID:12272
- C:\Windows\System32\DJOwJHw.exe
  C:\Windows\System32\DJOwJHw.exe
  2⤵
  PID:11300
- C:\Windows\System32\yDKYlMd.exe
  C:\Windows\System32\yDKYlMd.exe
  2⤵
  PID:11360
- C:\Windows\System32\ZAXbCZR.exe
  C:\Windows\System32\ZAXbCZR.exe
  2⤵
  PID:11432
- C:\Windows\System32\hjckRGv.exe
  C:\Windows\System32\hjckRGv.exe
  2⤵
  PID:11488
- C:\Windows\System32\vYmopze.exe
  C:\Windows\System32\vYmopze.exe
  2⤵
  PID:11528
- C:\Windows\System32\zDLcJCO.exe
  C:\Windows\System32\zDLcJCO.exe
  2⤵
  PID:11620
- C:\Windows\System32\PKiEIft.exe
  C:\Windows\System32\PKiEIft.exe
  2⤵
  PID:11692
- C:\Windows\System32\APPGYrf.exe
  C:\Windows\System32\APPGYrf.exe
  2⤵
  PID:11764
- C:\Windows\System32\XfOvRhC.exe
  C:\Windows\System32\XfOvRhC.exe
  2⤵
  PID:11836
- C:\Windows\System32\Odldyql.exe
  C:\Windows\System32\Odldyql.exe
  2⤵
  PID:11916
- C:\Windows\System32\gfLdAkN.exe
  C:\Windows\System32\gfLdAkN.exe
  2⤵
  PID:11988
- C:\Windows\System32\TXuLEDH.exe
  C:\Windows\System32\TXuLEDH.exe
  2⤵
  PID:12068
- C:\Windows\System32\MZdtKFX.exe
  C:\Windows\System32\MZdtKFX.exe
  2⤵
  PID:12128
- C:\Windows\System32\KyarXeD.exe
  C:\Windows\System32\KyarXeD.exe
  2⤵
  PID:12200
- C:\Windows\System32\HlhqUIU.exe
  C:\Windows\System32\HlhqUIU.exe
  2⤵
  PID:12264
- C:\Windows\System32\LnGfYLa.exe
  C:\Windows\System32\LnGfYLa.exe
  2⤵
  PID:11356
- C:\Windows\System32\AXOWrti.exe
  C:\Windows\System32\AXOWrti.exe
  2⤵
  PID:11468
- C:\Windows\System32\LCZFArv.exe
  C:\Windows\System32\LCZFArv.exe
  2⤵
  PID:11676
- C:\Windows\System32\ClFJoHK.exe
  C:\Windows\System32\ClFJoHK.exe
  2⤵
  PID:11868
- C:\Windows\System32\njXDHtT.exe
  C:\Windows\System32\njXDHtT.exe
  2⤵
  PID:12044
- C:\Windows\System32\DvuHHyW.exe
  C:\Windows\System32\DvuHHyW.exe
  2⤵
  PID:12184
- C:\Windows\System32\jamkXHW.exe
  C:\Windows\System32\jamkXHW.exe
  2⤵
  PID:11348
- C:\Windows\System32\cYnhqny.exe
  C:\Windows\System32\cYnhqny.exe
  2⤵
  PID:4728
- C:\Windows\System32\CUvoAFI.exe
  C:\Windows\System32\CUvoAFI.exe
  2⤵
  PID:11648
- C:\Windows\System32\RTHFdOV.exe
  C:\Windows\System32\RTHFdOV.exe
  2⤵
  PID:2872
- C:\Windows\System32\aUUcCTw.exe
  C:\Windows\System32\aUUcCTw.exe
  2⤵
  PID:11332
- C:\Windows\System32\jDKJLiF.exe
  C:\Windows\System32\jDKJLiF.exe
  2⤵
  PID:11968
- C:\Windows\System32\rywkDoH.exe
  C:\Windows\System32\rywkDoH.exe
  2⤵
  PID:5004
- C:\Windows\System32\uCIuobh.exe
  C:\Windows\System32\uCIuobh.exe
  2⤵
  PID:11276
- C:\Windows\System32\kjUBNWB.exe
  C:\Windows\System32\kjUBNWB.exe
  2⤵
  PID:12316
- C:\Windows\System32\jdBFROz.exe
  C:\Windows\System32\jdBFROz.exe
  2⤵
  PID:12344
- C:\Windows\System32\qvuXOLh.exe
  C:\Windows\System32\qvuXOLh.exe
  2⤵
  PID:12372
- C:\Windows\System32\tWKOodO.exe
  C:\Windows\System32\tWKOodO.exe
  2⤵
  PID:12400
- C:\Windows\System32\NcCWiPd.exe
  C:\Windows\System32\NcCWiPd.exe
  2⤵
  PID:12428
- C:\Windows\System32\AFdoHfG.exe
  C:\Windows\System32\AFdoHfG.exe
  2⤵
  PID:12456
- C:\Windows\System32\xMeMIWf.exe
  C:\Windows\System32\xMeMIWf.exe
  2⤵
  PID:12484
- C:\Windows\System32\nNctVPj.exe
  C:\Windows\System32\nNctVPj.exe
  2⤵
  PID:12512
- C:\Windows\System32\AjyUrbQ.exe
  C:\Windows\System32\AjyUrbQ.exe
  2⤵
  PID:12540
- C:\Windows\System32\ZApKDUV.exe
  C:\Windows\System32\ZApKDUV.exe
  2⤵
  PID:12568
- C:\Windows\System32\gnkZMXa.exe
  C:\Windows\System32\gnkZMXa.exe
  2⤵
  PID:12596
- C:\Windows\System32\sbpCVoS.exe
  C:\Windows\System32\sbpCVoS.exe
  2⤵
  PID:12624
- C:\Windows\System32\mIHIrhE.exe
  C:\Windows\System32\mIHIrhE.exe
  2⤵
  PID:12652
- C:\Windows\System32\ldnfXoW.exe
  C:\Windows\System32\ldnfXoW.exe
  2⤵
  PID:12684
- C:\Windows\System32\bacdZQh.exe
  C:\Windows\System32\bacdZQh.exe
  2⤵
  PID:12712
- C:\Windows\System32\btYKnsG.exe
  C:\Windows\System32\btYKnsG.exe
  2⤵
  PID:12740
- C:\Windows\System32\klqAAlM.exe
  C:\Windows\System32\klqAAlM.exe
  2⤵
  PID:12768
- C:\Windows\System32\uOVHlre.exe
  C:\Windows\System32\uOVHlre.exe
  2⤵
  PID:12796
- C:\Windows\System32\xzocmby.exe
  C:\Windows\System32\xzocmby.exe
  2⤵
  PID:12824
- C:\Windows\System32\gZjLzpr.exe
  C:\Windows\System32\gZjLzpr.exe
  2⤵
  PID:12856
- C:\Windows\System32\MXkyOYH.exe
  C:\Windows\System32\MXkyOYH.exe
  2⤵
  PID:12884
- C:\Windows\System32\iEKwlqm.exe
  C:\Windows\System32\iEKwlqm.exe
  2⤵
  PID:12912
- C:\Windows\System32\AYpWicc.exe
  C:\Windows\System32\AYpWicc.exe
  2⤵
  PID:12940
- C:\Windows\System32\VOmOTZe.exe
  C:\Windows\System32\VOmOTZe.exe
  2⤵
  PID:12968
- C:\Windows\System32\mbKzvnG.exe
  C:\Windows\System32\mbKzvnG.exe
  2⤵
  PID:12996
- C:\Windows\System32\UQKHdGD.exe
  C:\Windows\System32\UQKHdGD.exe
  2⤵
  PID:13024
- C:\Windows\System32\NCctYYl.exe
  C:\Windows\System32\NCctYYl.exe
  2⤵
  PID:13060
- C:\Windows\System32\YEmAVdi.exe
  C:\Windows\System32\YEmAVdi.exe
  2⤵
  PID:13096
- C:\Windows\System32\ungTCYi.exe
  C:\Windows\System32\ungTCYi.exe
  2⤵
  PID:13124
- C:\Windows\System32\SuOdQCW.exe
  C:\Windows\System32\SuOdQCW.exe
  2⤵
  PID:13156
- C:\Windows\System32\vYgUKrt.exe
  C:\Windows\System32\vYgUKrt.exe
  2⤵
  PID:13188
- C:\Windows\System32\iVGOSjY.exe
  C:\Windows\System32\iVGOSjY.exe
  2⤵
  PID:13216
- C:\Windows\System32\UsnkTWx.exe
  C:\Windows\System32\UsnkTWx.exe
  2⤵
  PID:13244
- C:\Windows\System32\apATOun.exe
  C:\Windows\System32\apATOun.exe
  2⤵
  PID:13272
- C:\Windows\System32\ihYWtYm.exe
  C:\Windows\System32\ihYWtYm.exe
  2⤵
  PID:13300
- C:\Windows\System32\FOufslj.exe
  C:\Windows\System32\FOufslj.exe
  2⤵
  PID:12340
- C:\Windows\System32\UZEIBvO.exe
  C:\Windows\System32\UZEIBvO.exe
  2⤵
  PID:12412
- C:\Windows\System32\zMCkbhh.exe
  C:\Windows\System32\zMCkbhh.exe
  2⤵
  PID:12480
- C:\Windows\System32\jYQpPyC.exe
  C:\Windows\System32\jYQpPyC.exe
  2⤵
  PID:12552
- C:\Windows\System32\btneXND.exe
  C:\Windows\System32\btneXND.exe
  2⤵
  PID:12620
- C:\Windows\System32\HChcJng.exe
  C:\Windows\System32\HChcJng.exe
  2⤵
  PID:12700
- C:\Windows\System32\tHTgNqV.exe
  C:\Windows\System32\tHTgNqV.exe
  2⤵
  PID:12760
- C:\Windows\System32\ncBUJkf.exe
  C:\Windows\System32\ncBUJkf.exe
  2⤵
  PID:12816
- C:\Windows\System32\EWqumwG.exe
  C:\Windows\System32\EWqumwG.exe
  2⤵
  PID:12880
- C:\Windows\System32\PfIgEYV.exe
  C:\Windows\System32\PfIgEYV.exe
  2⤵
  PID:12956
- C:\Windows\System32\OwthMXu.exe
  C:\Windows\System32\OwthMXu.exe
  2⤵
  PID:13016
- C:\Windows\System32\VLUXlAd.exe
  C:\Windows\System32\VLUXlAd.exe
  2⤵
  PID:13092
- C:\Windows\System32\BoljECh.exe
  C:\Windows\System32\BoljECh.exe
  2⤵
  PID:13152
- C:\Windows\System32\MznRtrU.exe
  C:\Windows\System32\MznRtrU.exe
  2⤵
  PID:5068
- C:\Windows\System32\cNKlMQt.exe
  C:\Windows\System32\cNKlMQt.exe
  2⤵
  PID:13268
- C:\Windows\System32\IzamHsI.exe
  C:\Windows\System32\IzamHsI.exe
  2⤵
  PID:12368
- C:\Windows\System32\VHeyzzB.exe
  C:\Windows\System32\VHeyzzB.exe
  2⤵
  PID:12508
- C:\Windows\System32\jsDSQzv.exe
  C:\Windows\System32\jsDSQzv.exe
  2⤵
  PID:12676
- C:\Windows\System32\XEmmWqe.exe
  C:\Windows\System32\XEmmWqe.exe
  2⤵
  PID:12792
- C:\Windows\System32\puOTInH.exe
  C:\Windows\System32\puOTInH.exe
  2⤵
  PID:12952

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:4548

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\AgUCvpL.exe

Filesize
3.4MB

MD5
1647995d0e146e2a0b4c1c060e6610ac

SHA1
f3f459c92b8267e3918a8c1e1c751de4042e6a80

SHA256
82ee9b3329e8775b024772bd664de2dfbfb12766593885c8cf576f9ea4992001

SHA512
a4981ab8e1603862c80af3d8506367c73d861b922f91facc39c9337b688779a288250c078cbaebc2d789f1e28edc71fe90067dfa6107dd283f341c0c3bf75dd0

Download Submit
C:\Windows\System32\BjMoZeB.exe

Filesize
3.4MB

MD5
8562f0600b33249455ab64fb94509f68

SHA1
c2eb1543dfdff5edbc7e9f0cccd79d5f235a710f

SHA256
a8258f49c090a2df91e2a12e69b7f7c2494223da51ec9dc7c501b5fa25897d03

SHA512
500cb2cb366507a3bf7debea6f3314421a1c3bee86a806b9e50a0d7d712ba8e8fa4525e909e9c11c729a7f5db6ecdb7cb09ea06a27cba5d5e3cb65585e492d0a

Download Submit
C:\Windows\System32\CKXBgGF.exe

Filesize
3.4MB

MD5
34245c6b559c6a7fd46789a53a2311d2

SHA1
6ca8182cfd09b0b5f7c7744d0abd2194188b7a6f

SHA256
ef479c9856bb488ed9ad5d836c259580ce99bb51a1b71690a8bc78e68fa86891

SHA512
5804ec8857bbeccb1d9b98cbf873899f900fdc8c6309a101e3291c36ff72bba0de4d5c7a06acc4a4afaee1a6e6d8806b85afb1b0f1f98a1675e16521ab806f9d

Download Submit
C:\Windows\System32\CaWfmib.exe

Filesize
3.4MB

MD5
1a4832e40edea077afada35bce5d5481

SHA1
90d573e88d77e2dcc3fd0492c16b9d9ddee86a5d

SHA256
5595508499a698d975d2d40e9d55fa932f01fc89e5636eb521c2bba5d0716471

SHA512
ca7f5eee27b58abf708fbc7f653fbc49763f9faee03f5931cffa3b43398f2230920623ff83f4e6a954727a881ab3d4e51e86dc91b46311f76941fe24a76edcc1

Download Submit
C:\Windows\System32\DZWZnla.exe

Filesize
3.4MB

MD5
ffbcf527b09fe3e96be7385347f4ab54

SHA1
68c7da1a2ab6536101eb764285faae72ea5f9330

SHA256
aa75c99c2f68fae645fc8a25b7efe4be106d2088b1f31f811b4e5f2b6ff51fdf

SHA512
57a3e8284ec960ea0feb69b098426356ab03fe367233d1584b3bce062833ec823c8b15cb3460231411ce093c6b9b13407de4a0db35e9f50c45d0ffb2667e1c3d

Download Submit
C:\Windows\System32\EBzLgkC.exe

Filesize
3.4MB

MD5
5065374a3f2a3615a3eebd860056700c

SHA1
766e5aae187c41272f5bc1e06fcf98f9794fda48

SHA256
422b11f5bf35dcff8bb136ac8d15e710dd6ac4c134f7c1d29ffe5455ba9cf432

SHA512
aace7de594a73cc4317d094780eb1657701cc6544579742e6d6692672db1f9c70dd2cac87f65df45b73c640def93bf8ecf611a993ff9ec18cf7ec7f03e24be97

Download Submit
C:\Windows\System32\GAAxrKo.exe

Filesize
3.4MB

MD5
1b2a6e3f5f9f2bab9fe65301ae235ffb

SHA1
e30f32335a2fe68799570d7fa62504e91f5ac09d

SHA256
381d9adc2311d046d784fecc8e80b6ba56f52b96b9389f072b2692cda6947df8

SHA512
2b46a8218b772eee702fa2411ad12f592d0a34a6759e9d76b62b1522f0cd4fed1093b32a4257eb0ca2eb589c23518c3b7bbdc0f646f9f404f84d8a32ae56cfcb

Download Submit
C:\Windows\System32\GZYXnZb.exe

Filesize
3.4MB

MD5
8a93b2f9dea485b23f08ab587f12743e

SHA1
d229df17cfa9c129b78863e8c4ffb71cb339039e

SHA256
f3bcd868382a3d8d9f9fdf88b0a5f95c1ca83e31c4a9be5639e3307d08be4638

SHA512
67a8966e6d7da34ef5aad9473055bc627ce8317a4e5e6318e925d2d88699a25088f96186e29bbb6c136d70ce5e1ec48d44fe9fbe701e68b569879ceb99ce6423

Download Submit
C:\Windows\System32\GuLVOLU.exe

Filesize
3.4MB

MD5
575651d3d04fbc8d141f0ae66a2aec41

SHA1
e8f468707bd52b48767dfaf34be2c51c1b519b89

SHA256
9fe824530e3a8d3d854346f8276e68cac5aff1b926c140814bcd937df48ede0a

SHA512
a8f3274c647312c088fd62d89aef82630f553310413bc254f39eab91ee91aa6a89d933d33fdae7fc4953e8a3714fb90ee5fc995303ce072874116ff3426fc22a

Download Submit
C:\Windows\System32\HOikldF.exe

Filesize
3.4MB

MD5
41ab6e5e7ed09a5ba3043545813c71bc

SHA1
db860fc48aeae218fa4f4b9b883cb2578d3dfcfe

SHA256
0389cb55de15c8a2e59004bf46ebe41b99089d23cca7284b102593bdfccbfa3c

SHA512
0362fa3b7b2c0f8ce4a5dbffda431dd5d783bcd083705aee4b789fb035142186d4f749210f6fcdedfed2d0f1eb3342e14724087868febfa908fc205efe12e95d

Download Submit
C:\Windows\System32\JPfoWMT.exe

Filesize
3.4MB

MD5
59a87103846280b013782be693947372

SHA1
91363f4603eb576724aa30c8728120c08e0f9946

SHA256
c4ee2d2fc0f79fc9da18385f8b076ab9a21c5c9ef62351528834f8fdd48e2621

SHA512
4e9912365d649702e09216119ca6d94901e82ea8227a02be1c9b4f3d4a79c23828e7057b5d08db72a02c3680a9461cac3d5304e41ab226a786cf98a61f54e4a6

Download Submit
C:\Windows\System32\JxSkoWP.exe

Filesize
3.4MB

MD5
81054edfdcb8682d15d43c68be45d5eb

SHA1
401c51be97320fdb727f0580a65cd2c4eaa12664

SHA256
b9d2e8a2ba6c9980d84686b29615fc7ff7e2cb089f725b96ca69c115ca687c21

SHA512
f74429490d7b6cb5e9179aa5a08911e0c97bab9b771b1afe351947762f81a814c0ba00647b1127ed9ffeebb82f1bd92d641a9a535d86323a741f94c2dbe51b1a

Download Submit
C:\Windows\System32\QEqKjnQ.exe

Filesize
3.4MB

MD5
f0a9ab40379082373ba797c8f38bf5a5

SHA1
f4ad88160e147de7625b8bd20b7b8bd12c6a17bd

SHA256
efe7a7939b48a20b85ce25115e1cd1ac86a787f723a2080ef2171025d22deb92

SHA512
a1f8199d915ba7723f32d4b7eb42cec9002c08bb320fa8b5a6473d3ad0a38bfbc37d7d197bdc34c7a14583d913d376038213297b610cd18c535ee1b5ad90caaa

Download Submit
C:\Windows\System32\RCzextW.exe

Filesize
3.4MB

MD5
d46521a2a2f76e03cbfb14cdda737d74

SHA1
fc7b540212dcc7fbf9e097d22a04f3192c9f4ec8

SHA256
9475479067383d8fe2f03b1aa214ecb954139c3753f6280ff80995af00e2acd0

SHA512
b08d7b70c49f1582ac46edd02dd4bb279791abad5e2e7d002741e5538d72c5f136379eadf4ea6e62823475c2d416178066fd9e09fbdc6731d96849d963307a23

Download Submit
C:\Windows\System32\RUQuTQX.exe

Filesize
3.4MB

MD5
af41d8e1212e1ed0f937e1636cb50108

SHA1
687c12a8cc9c2539ffc4c2157fedeb68e4215967

SHA256
63638e8b6e48de9419c986a5ab2330cc5a2694de9942c242cabd41f4be6f4668

SHA512
9e28654e69355cfc22cbf5b25949c70cd2390619284d054d27f567d3acc58a63935a4d1d781e45f985d224f35549c383901777963eaaee5150ce5ac83b4b793f

Download Submit
C:\Windows\System32\UHluDIi.exe

Filesize
3.4MB

MD5
3c41cb680a43d81fa6695b8c2dc92238

SHA1
0b6d4633ac2792827c052aa19eeca1f4f8082fd4

SHA256
cccabee9e577bca9e14253616bdc08407711cdbdb0519afc8c44d1647f300d57

SHA512
eb2f032981b1a82b279215c76865de6fb93d869a4c5db160e13cd70f56db226a714bce8d959e5930809d64773fc25bef52a1f317dc39e1f9319828bbc5c3b5dc

Download Submit
C:\Windows\System32\UdKJcFM.exe

Filesize
3.4MB

MD5
d9a9f4a8d92e256be2654f7ff51140ff

SHA1
c87501538e86016da785c56aa625456a040a1a0b

SHA256
0b3512b05e78928c9551a0a43c1bf5d31e995077bdaf5b5e781ce05ac1f246fd

SHA512
4608b1b2cb4c76808603498afcbd95946f075f75a79128512cc46e73a6d81a96775ead976f60a1971eaaec6b55b42cd982d41b81fef39531cc1d6ff01916ba62

Download Submit
C:\Windows\System32\aXTEEOp.exe

Filesize
3.4MB

MD5
de906c5f9b187049f9b1b95dc8246948

SHA1
bf2d05582d5a64c82daa91791e4644d6fcc14255

SHA256
9059f3ce9112a39a4217a016871586621865d5bad209540e6a3a23aea6ab9d66

SHA512
156b9ed15b8f0dc2e3c3ac1bb9a03ceb0becbc270dd2ff3ae8944322161ba8ce2325a2ec080d065b6466b4b12579657e8c53fb779a77f522d6e10bb231421aab

Download Submit
C:\Windows\System32\bEfbMKn.exe

Filesize
3.4MB

MD5
f980a170693c4cd36e76068bfa97a931

SHA1
17c2e339f9f4924c9dd65b73125832459d3dd6c1

SHA256
d362324112e2bc8b4994e8df8768f575157bf9b8679fa7722e0bba04f2263105

SHA512
dee23703af08d67934250f7936d706c3ea24443d9222dfbf3a652c7312fe0f3de7f44912dfa1085e589013b2f34f1c043fd9167f67f25cda12ca42c1dc377627

Download Submit
C:\Windows\System32\baZMfMa.exe

Filesize
3.4MB

MD5
0360465bc6696c4764f371c468b052db

SHA1
6e05cbcdf6e851317eb1999c0a8ecfa1c4713985

SHA256
7d72424594b5ce04a0ad2cca18c6e5cb0f983221db40f67042d7573aaa6f1f9c

SHA512
8f45c9102fb072ee0541d2ae13fa9139b0d7f1f67cbce98ce14b9c5578260569e237e1a70d0bb0c77037638724cfeceb46f5cd1a20851bd646a866e8e1fddb0a

Download Submit
C:\Windows\System32\eSmGDwk.exe

Filesize
3.4MB

MD5
cfd0eaed1975a64092330e214be3091d

SHA1
f665376b36102bfcd800a036d6b5924d3fb8a9d2

SHA256
53597d96bf441370f5e05c54c542df77e45b88c2a56666d9815cccc6825fc259

SHA512
dca2af796fc8ffa81ea13dd7ab294394906a8ff8a387b9f186395db884c126c08a1acc7b34671ce1a03790b816533c23deb79f131d46e3f2a14b9bb523e6df46

Download Submit
C:\Windows\System32\fSAlAur.exe

Filesize
3.4MB

MD5
5853308ee0bc335d8d18b52a459c4543

SHA1
2589c2ffcf3d554436f7025f8bc53b29d9fbd1c9

SHA256
26c1844673012753eb478ae04d1900de2bd26ab198249c50542bd83b608822b9

SHA512
dfa7d8005dfdc20db055e208bc3861e06a56e3460e46a2cd147016afeb62cce753b1d34f509ac3ea94022f2a1cecd3ac6bbe4c83f9f0920642ab50711cc3649a

Download Submit
C:\Windows\System32\gBMWBbn.exe

Filesize
3.4MB

MD5
a0f02d374b999b24c10ecd69ef880d4c

SHA1
4bd5161edf991640bf3b568b0bb36d3412c01365

SHA256
1732a32cc915b950f491ac164e7352eb1768bb93116553240a6b173032747b32

SHA512
6e0a0c8cbe510270213c8a81fefba378447f0a7eeaedeb2e07ccb7aeb811da6eb6af9ce971553e80ba797841efaa9b2046113d6239be73c53769ecbe97170107

Download Submit
C:\Windows\System32\hQcwKVl.exe

Filesize
3.4MB

MD5
7b4fa6e0a986df554f12ba5457f8d2d5

SHA1
b2d73cf0021c4e6669978ee8e22c3b21268baeef

SHA256
763eba46e2beaab8fc8e0b034979ef86106dbe0af5b4550daf85ece24726e43e

SHA512
f172a56e75b75e724f9faef7a8a921368fd5d28b029f81989e193963f9ca25e18b1261fe51ff450bb738269711e8f2b5edaac2cb82dc1262155fbf75f88cccf5

Download Submit
C:\Windows\System32\legJosc.exe

Filesize
3.4MB

MD5
1adbf6f28b0d0591d20fd9cc9d5f5d9f

SHA1
591e3a9428db244d4cc699f72442fbd1b7c40c9d

SHA256
d163f3b501b818e0cadfc3e624cf448c4bc5244c7e0f03da0fc72d3bb6066c59

SHA512
3bcafa068cc412235cad8d22b91c399384be8940d9247746099c3ca08a0018cb9db25ae08c0094b8e0692ecd2c114503cbbd9e881529c9663e6e9282ec5164f3

Download Submit
C:\Windows\System32\mqblSZg.exe

Filesize
3.4MB

MD5
c99deec9db15c9cbf87e60b80d4a2c35

SHA1
cdde9d4a3a0e34bb0ec239c9280b29f7963642be

SHA256
a93341e61588f0aa4024f71f1239ee0f1d68ddd41ebacb2efedf43e8da623dc9

SHA512
d14d3ce02e14b146a402333358a9bfa34caf7e471aa31a56a69a6c4f98310afba4671f63a263704fd1e100dee1cddcbd18e611d898af92e322a18474b4b64bb0

Download Submit
C:\Windows\System32\ncPPfOO.exe

Filesize
3.4MB

MD5
40e5bbc07e90a3e1d161ce1cf10fe5d4

SHA1
dd287a3f88894bc4127bff912138dfb762f121f3

SHA256
2fcd9da73ade8160f7c9c1eb7158657b7bd0278415c617c0d532227295b925e3

SHA512
da8ebbfd37f35de8ceb2b5e7883e47c98e3e5567837222a2d795b5a06bdb928bde8b1e729674cbb2b63ac1cee6d400220e30c7e24321b784719319c7a12ca759

Download Submit
C:\Windows\System32\pGEnqei.exe

Filesize
3.4MB

MD5
67d9a5d58561b5d561d5e9ed7f73d294

SHA1
732bd51c3062bd9cb1ba53e4e982bc7e4cc58232

SHA256
4841d23e24ceb938b96950e01d0404c3df1de2e033c62b129ee202b38994a82a

SHA512
bbdb68d6d294bcdf5b3e96444b4ab8c332f22f3d905238c5421f240a9c86b26bd20a7ad7bb6cae1eae3d416b4e14e25008fe7c4fceed0a047cabe4c0886b80c8

Download Submit
C:\Windows\System32\pYlzBCJ.exe

Filesize
3.4MB

MD5
746513297809f617802e88113c1f1452

SHA1
f732989449c2b6be63d7d7d42f682cbf6ec72991

SHA256
4178786f23233d81cce0c96cae6d5fc7e5ec28d0a8263726757a1b410d953e95

SHA512
b746fe23676a95bf9c5e2a500172267464f011c40d18c6b2f307ad5729fceca30042693d85f80da536da8606a30c5aaddbfd2f9c198eb32f4f7c27b93b0ae71a

Download Submit
C:\Windows\System32\tKXgYhg.exe

Filesize
3.4MB

MD5
ad9732087ab73186eda6956bc744978b

SHA1
a456026e30194d5f6d6d94ded989cdad561b77a8

SHA256
86bffe490af4260a69a1f4c4e4309c3d04e6eacc0f713ed9921e77c825e20e30

SHA512
2758cfc1a6e71021efeb1029395c8b8247dd42f52422aac21b2116ac33ee647e8b8f5b408fcb07f4a9ea7dabcb252300d1a26a580ef0fcd8004018730e5981ab

Download Submit
C:\Windows\System32\ywJnDaB.exe

Filesize
3.4MB

MD5
8e6fab2aad84b75b6e5b74b1559c9190

SHA1
15b4556fceec83f0fcf97c7d89d6a7f931a302df

SHA256
7530dd4d045fda0be72d995cec97b52e5ed05008eeba94cc23ee39ed878ddd3b

SHA512
7046f547db58e3b01115b97ed2ba4f24d41605e92f4d29645558edefc5f304cc9d0042811f03a71a3e289748a4838da76eecb41e629b6026f4a740d4a263121e

Download Submit
C:\Windows\System32\yxrHYPZ.exe

Filesize
3.4MB

MD5
5ff96d77f464638d1cbb3d45d9dda3dd

SHA1
020a22c1ae39f430c58102aaaa066cf4426abb96

SHA256
e4637ecb891e95acbab27641cd7e5a9d2ef12c3380bc441b9d09b205f0baab05

SHA512
09a0b27f27ee849a77ca9c03599ed5d9a2ff19a3ceced97da0140525f87824bda2867690effead4f7fc86bfac61c529a61a8364924a36ff2b0ac066c63dba5ed

Download Submit
memory/320-0-0x00007FF626CC0000-0x00007FF6270B5000-memory.dmp

Filesize
4.0MB

Download
memory/320-1-0x000001E884BA0000-0x000001E884BB0000-memory.dmp

Filesize
64KB

Download
memory/764-8-0x00007FF6CB2D0000-0x00007FF6CB6C5000-memory.dmp

Filesize
4.0MB

Download
memory/764-1898-0x00007FF6CB2D0000-0x00007FF6CB6C5000-memory.dmp

Filesize
4.0MB

Download
memory/1048-761-0x00007FF68B6C0000-0x00007FF68BAB5000-memory.dmp

Filesize
4.0MB

Download
memory/1048-1919-0x00007FF68B6C0000-0x00007FF68BAB5000-memory.dmp

Filesize
4.0MB

Download
memory/1196-1902-0x00007FF76DAC0000-0x00007FF76DEB5000-memory.dmp

Filesize
4.0MB

Download
memory/1196-731-0x00007FF76DAC0000-0x00007FF76DEB5000-memory.dmp

Filesize
4.0MB

Download
memory/1272-1912-0x00007FF7EDB00000-0x00007FF7EDEF5000-memory.dmp

Filesize
4.0MB

Download
memory/1272-781-0x00007FF7EDB00000-0x00007FF7EDEF5000-memory.dmp

Filesize
4.0MB

Download
memory/1324-752-0x00007FF7CAC10000-0x00007FF7CB005000-memory.dmp

Filesize
4.0MB

Download
memory/1324-1917-0x00007FF7CAC10000-0x00007FF7CB005000-memory.dmp

Filesize
4.0MB

Download
memory/1500-1913-0x00007FF7C1180000-0x00007FF7C1575000-memory.dmp

Filesize
4.0MB

Download
memory/1500-767-0x00007FF7C1180000-0x00007FF7C1575000-memory.dmp

Filesize
4.0MB

Download
memory/1648-745-0x00007FF65FC90000-0x00007FF660085000-memory.dmp

Filesize
4.0MB

Download
memory/1648-1921-0x00007FF65FC90000-0x00007FF660085000-memory.dmp

Filesize
4.0MB

Download
memory/1912-734-0x00007FF771E80000-0x00007FF772275000-memory.dmp

Filesize
4.0MB

Download
memory/1912-1901-0x00007FF771E80000-0x00007FF772275000-memory.dmp

Filesize
4.0MB

Download
memory/2192-1908-0x00007FF685670000-0x00007FF685A65000-memory.dmp

Filesize
4.0MB

Download
memory/2192-738-0x00007FF685670000-0x00007FF685A65000-memory.dmp

Filesize
4.0MB

Download
memory/2576-1909-0x00007FF6215A0000-0x00007FF621995000-memory.dmp

Filesize
4.0MB

Download
memory/2576-782-0x00007FF6215A0000-0x00007FF621995000-memory.dmp

Filesize
4.0MB

Download
memory/2876-735-0x00007FF64A090000-0x00007FF64A485000-memory.dmp

Filesize
4.0MB

Download
memory/2876-1904-0x00007FF64A090000-0x00007FF64A485000-memory.dmp

Filesize
4.0MB

Download
memory/3376-1916-0x00007FF725A40000-0x00007FF725E35000-memory.dmp

Filesize
4.0MB

Download
memory/3376-757-0x00007FF725A40000-0x00007FF725E35000-memory.dmp

Filesize
4.0MB

Download
memory/3536-777-0x00007FF62B750000-0x00007FF62BB45000-memory.dmp

Filesize
4.0MB

Download
memory/3536-1910-0x00007FF62B750000-0x00007FF62BB45000-memory.dmp

Filesize
4.0MB

Download
memory/3584-736-0x00007FF6C6090000-0x00007FF6C6485000-memory.dmp

Filesize
4.0MB

Download
memory/3584-1906-0x00007FF6C6090000-0x00007FF6C6485000-memory.dmp

Filesize
4.0MB

Download
memory/3612-1914-0x00007FF6C3A40000-0x00007FF6C3E35000-memory.dmp

Filesize
4.0MB

Download
memory/3612-772-0x00007FF6C3A40000-0x00007FF6C3E35000-memory.dmp

Filesize
4.0MB

Download
memory/3648-1905-0x00007FF64C8E0000-0x00007FF64CCD5000-memory.dmp

Filesize
4.0MB

Download
memory/3648-732-0x00007FF64C8E0000-0x00007FF64CCD5000-memory.dmp

Filesize
4.0MB

Download
memory/4268-733-0x00007FF760050000-0x00007FF760445000-memory.dmp

Filesize
4.0MB

Download
memory/4268-1903-0x00007FF760050000-0x00007FF760445000-memory.dmp

Filesize
4.0MB

Download
memory/4536-755-0x00007FF6C46F0000-0x00007FF6C4AE5000-memory.dmp

Filesize
4.0MB

Download
memory/4536-1915-0x00007FF6C46F0000-0x00007FF6C4AE5000-memory.dmp

Filesize
4.0MB

Download
memory/4808-775-0x00007FF6F8D70000-0x00007FF6F9165000-memory.dmp

Filesize
4.0MB

Download
memory/4808-1911-0x00007FF6F8D70000-0x00007FF6F9165000-memory.dmp

Filesize
4.0MB

Download
memory/4816-1907-0x00007FF75CBF0000-0x00007FF75CFE5000-memory.dmp

Filesize
4.0MB

Download
memory/4816-737-0x00007FF75CBF0000-0x00007FF75CFE5000-memory.dmp

Filesize
4.0MB

Download
memory/4912-1900-0x00007FF6226A0000-0x00007FF622A95000-memory.dmp

Filesize
4.0MB

Download
memory/4912-730-0x00007FF6226A0000-0x00007FF622A95000-memory.dmp

Filesize
4.0MB

Download
memory/4920-16-0x00007FF619380000-0x00007FF619775000-memory.dmp

Filesize
4.0MB

Download
memory/4920-1899-0x00007FF619380000-0x00007FF619775000-memory.dmp

Filesize
4.0MB

Download
memory/5048-742-0x00007FF6FC450000-0x00007FF6FC845000-memory.dmp

Filesize
4.0MB

Download
memory/5048-1918-0x00007FF6FC450000-0x00007FF6FC845000-memory.dmp

Filesize
4.0MB

Download
memory/5072-1920-0x00007FF61B4B0000-0x00007FF61B8A5000-memory.dmp

Filesize
4.0MB

Download
memory/5072-765-0x00007FF61B4B0000-0x00007FF61B8A5000-memory.dmp

Filesize
4.0MB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads