863b7f2b2e4a1a909f4ac12b3c6f721e47f4096ed01810fe9ca3766fe6e1eb03

Analysis

max time kernel
150s
max time network
149s
platform
windows10-2004_x64
resource
win10v2004-20240508-en
resource tags

arch:x64arch:x86image:win10v2004-20240508-enlocale:en-usos:windows10-2004-x64system
submitted
26/05/2024, 06:35

Sharing

Copy URL Twitter E-mail

Report Analysis Logs

General

Target

7df59ad892eff1e376bf7bc1a8d1b530_NeikiAnalytics.exe
Size

51KB
MD5

7df59ad892eff1e376bf7bc1a8d1b530
SHA1

11e090cc5c5885adff315b7c1b3ff9e9e9916bed
SHA256

863b7f2b2e4a1a909f4ac12b3c6f721e47f4096ed01810fe9ca3766fe6e1eb03
SHA512

30ba64f170c15429d453e82cfe3ff0dad9bb46c943002bd6acb36bae2223e624c8ef9b613e72f75b04b2291e1cc5180c5b5891580f9aa41c0216f9db85074e56
SSDEEP

768:nNAGAkIo/juokwoL7627d9rIiClJAxiFkJT22euOiya6lHOYxY0x0KS35:nNJb/HkwoLe29UjQ4wqQOLIMVnS35

Score

10^/10

evasion persistence upx

Malware Config

Signatures

Modifies WinLogon for persistence 2 TTPs 1 IoCs

persistence

Winlogon Helper DLL

T1547.004

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\shell = "C:\\Windows\\explorer.exe, c:\\windows\\system\\userinit.exe"	userinit.exe

Modifies visiblity of hidden/system files in Explorer 2 TTPs 1 IoCs

evasion

Hidden Files and Directories

T1564.001

Modify Registry

T1112

description	ioc	Process
Set value (int)	\REGISTRY\USER\S-1-5-21-3558294865-3673844354-2255444939-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden = "0"	userinit.exe

Drops file in Drivers directory 3 IoCs

description	ioc	Process
File opened for modification	C:\Windows\SysWOW64\drivers\udsys.exe	userinit.exe
File opened for modification	\??\c:\windows\SysWOW64\drivers\taskmgr.exe	userinit.exe
File opened for modification	\??\c:\windows\SysWOW64\drivers\csrss.exe	taskmgr.exe

Modifies Installed Components in the registry 2 TTPs 2 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

description	ioc	Process
Key created	\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}	userinit.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}\StubPath = "C:\\Users\\Admin\\AppData\\Local\\mrkl.exe MR"	userinit.exe

Executes dropped EXE 64 IoCs

pid	Process
3632	userinit.exe
3900	taskmgr.exe
2780	csrss.exe
2104	userinit.exe
2652	taskmgr.exe
4724	csrss.exe
2464	userinit.exe
2320	taskmgr.exe
748	csrss.exe
420	userinit.exe
3276	taskmgr.exe
4140	csrss.exe
1988	userinit.exe
2668	taskmgr.exe
2140	csrss.exe
3600	userinit.exe
3524	taskmgr.exe
3352	csrss.exe
2928	userinit.exe
1100	taskmgr.exe
4508	csrss.exe
4244	userinit.exe
5044	taskmgr.exe
3064	csrss.exe
1084	userinit.exe
3100	taskmgr.exe
1420	csrss.exe
3040	userinit.exe
4232	taskmgr.exe
5000	csrss.exe
1688	userinit.exe
1380	taskmgr.exe
1552	csrss.exe
3260	userinit.exe
2264	taskmgr.exe
1508	csrss.exe
2484	userinit.exe
1292	taskmgr.exe
3504	csrss.exe
552	userinit.exe
3264	taskmgr.exe
2112	csrss.exe
1032	userinit.exe
228	taskmgr.exe
3984	csrss.exe
4608	userinit.exe
536	taskmgr.exe
3200	csrss.exe
2928	userinit.exe
3352	taskmgr.exe
1016	csrss.exe
2352	userinit.exe
2516	taskmgr.exe
4980	csrss.exe
2748	userinit.exe
2148	taskmgr.exe
3196	csrss.exe
3040	userinit.exe
3120	taskmgr.exe
2380	csrss.exe
4552	userinit.exe
2188	taskmgr.exe
4392	csrss.exe
4324	userinit.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/936-0-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/files/0x0008000000023431-6.dat	upx
behavioral2/memory/3632-8-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/files/0x0008000000023433-12.dat	upx
behavioral2/files/0x0008000000023435-21.dat	upx
behavioral2/memory/2104-29-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2780-33-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/936-37-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3900-35-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4724-42-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2464-49-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4724-51-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2652-53-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2320-55-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/420-65-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/748-67-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2320-69-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3632-71-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1988-81-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4140-83-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3276-85-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3600-96-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2140-97-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2668-99-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2928-110-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3352-112-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3524-114-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4244-125-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4508-127-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1100-129-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1084-140-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/5044-143-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1420-148-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3040-155-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3100-158-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1688-168-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/5000-171-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4232-172-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3260-183-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1552-185-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1380-187-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2484-198-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1508-200-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2264-202-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/552-213-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1292-216-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1032-227-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2112-229-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3264-231-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4608-242-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/228-245-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2928-256-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3200-258-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/536-260-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2352-271-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1016-273-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3352-275-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2748-286-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4980-288-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2516-290-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3040-301-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3196-303-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2148-305-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4552-315-0x0000000000400000-0x0000000000426000-memory.dmp	upx

Adds Run key to start application 2 TTPs 2 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce\userinit = "c:\\windows\\system\\userinit.exe RO"	userinit.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce\csrss = "c:\\windows\\system32\\drivers\\csrss.exe RO"	userinit.exe

Drops file in Windows directory 2 IoCs

description	ioc	Process
File opened for modification	\??\c:\windows\system\userinit.exe	7df59ad892eff1e376bf7bc1a8d1b530_NeikiAnalytics.exe
File opened for modification	\??\c:\windows\system\userinit.exe	userinit.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

Suspicious behavior: EnumeratesProcesses 64 IoCs

pid	Process
936	7df59ad892eff1e376bf7bc1a8d1b530_NeikiAnalytics.exe
936	7df59ad892eff1e376bf7bc1a8d1b530_NeikiAnalytics.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe
3632	userinit.exe

Suspicious behavior: GetForegroundWindowSpam 1 IoCs

pid	Process
3632	userinit.exe

Suspicious use of SetWindowsHookEx 64 IoCs

pid	Process
936	7df59ad892eff1e376bf7bc1a8d1b530_NeikiAnalytics.exe
3632	userinit.exe
3900	taskmgr.exe
2780	csrss.exe
2104	userinit.exe
3632	userinit.exe
2652	taskmgr.exe
4724	csrss.exe
2464	userinit.exe
2320	taskmgr.exe
748	csrss.exe
420	userinit.exe
3276	taskmgr.exe
4140	csrss.exe
1988	userinit.exe
2668	taskmgr.exe
2140	csrss.exe
3600	userinit.exe
3524	taskmgr.exe
3352	csrss.exe
2928	userinit.exe
1100	taskmgr.exe
4508	csrss.exe
4244	userinit.exe
5044	taskmgr.exe
3064	csrss.exe
1084	userinit.exe
3100	taskmgr.exe
1420	csrss.exe
3040	userinit.exe
4232	taskmgr.exe
5000	csrss.exe
1688	userinit.exe
1380	taskmgr.exe
1552	csrss.exe
3260	userinit.exe
2264	taskmgr.exe
1508	csrss.exe
2484	userinit.exe
1292	taskmgr.exe
3504	csrss.exe
552	userinit.exe
3264	taskmgr.exe
2112	csrss.exe
1032	userinit.exe
228	taskmgr.exe
3984	csrss.exe
4608	userinit.exe
536	taskmgr.exe
3200	csrss.exe
2928	userinit.exe
3352	taskmgr.exe
1016	csrss.exe
2352	userinit.exe
2516	taskmgr.exe
4980	csrss.exe
2748	userinit.exe
2148	taskmgr.exe
3196	csrss.exe
3040	userinit.exe
3120	taskmgr.exe
2380	csrss.exe
4552	userinit.exe
2188	taskmgr.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 936 wrote to memory of 3632	936	7df59ad892eff1e376bf7bc1a8d1b530_NeikiAnalytics.exe	82
PID 936 wrote to memory of 3632	936	7df59ad892eff1e376bf7bc1a8d1b530_NeikiAnalytics.exe	82
PID 936 wrote to memory of 3632	936	7df59ad892eff1e376bf7bc1a8d1b530_NeikiAnalytics.exe	82
PID 3632 wrote to memory of 3900	3632	userinit.exe	83
PID 3632 wrote to memory of 3900	3632	userinit.exe	83
PID 3632 wrote to memory of 3900	3632	userinit.exe	83
PID 3900 wrote to memory of 2780	3900	taskmgr.exe	84
PID 3900 wrote to memory of 2780	3900	taskmgr.exe	84
PID 3900 wrote to memory of 2780	3900	taskmgr.exe	84
PID 2780 wrote to memory of 2104	2780	csrss.exe	85
PID 2780 wrote to memory of 2104	2780	csrss.exe	85
PID 2780 wrote to memory of 2104	2780	csrss.exe	85
PID 3632 wrote to memory of 2652	3632	userinit.exe	86
PID 3632 wrote to memory of 2652	3632	userinit.exe	86
PID 3632 wrote to memory of 2652	3632	userinit.exe	86
PID 2652 wrote to memory of 4724	2652	taskmgr.exe	87
PID 2652 wrote to memory of 4724	2652	taskmgr.exe	87
PID 2652 wrote to memory of 4724	2652	taskmgr.exe	87
PID 4724 wrote to memory of 2464	4724	csrss.exe	88
PID 4724 wrote to memory of 2464	4724	csrss.exe	88
PID 4724 wrote to memory of 2464	4724	csrss.exe	88
PID 3632 wrote to memory of 2320	3632	userinit.exe	89
PID 3632 wrote to memory of 2320	3632	userinit.exe	89
PID 3632 wrote to memory of 2320	3632	userinit.exe	89
PID 2320 wrote to memory of 748	2320	taskmgr.exe	90
PID 2320 wrote to memory of 748	2320	taskmgr.exe	90
PID 2320 wrote to memory of 748	2320	taskmgr.exe	90
PID 748 wrote to memory of 420	748	csrss.exe	91
PID 748 wrote to memory of 420	748	csrss.exe	91
PID 748 wrote to memory of 420	748	csrss.exe	91
PID 3632 wrote to memory of 3276	3632	userinit.exe	92
PID 3632 wrote to memory of 3276	3632	userinit.exe	92
PID 3632 wrote to memory of 3276	3632	userinit.exe	92
PID 3276 wrote to memory of 4140	3276	taskmgr.exe	93
PID 3276 wrote to memory of 4140	3276	taskmgr.exe	93
PID 3276 wrote to memory of 4140	3276	taskmgr.exe	93
PID 4140 wrote to memory of 1988	4140	csrss.exe	94
PID 4140 wrote to memory of 1988	4140	csrss.exe	94
PID 4140 wrote to memory of 1988	4140	csrss.exe	94
PID 3632 wrote to memory of 2668	3632	userinit.exe	96
PID 3632 wrote to memory of 2668	3632	userinit.exe	96
PID 3632 wrote to memory of 2668	3632	userinit.exe	96
PID 2668 wrote to memory of 2140	2668	taskmgr.exe	97
PID 2668 wrote to memory of 2140	2668	taskmgr.exe	97
PID 2668 wrote to memory of 2140	2668	taskmgr.exe	97
PID 2140 wrote to memory of 3600	2140	csrss.exe	99
PID 2140 wrote to memory of 3600	2140	csrss.exe	99
PID 2140 wrote to memory of 3600	2140	csrss.exe	99
PID 3632 wrote to memory of 3524	3632	userinit.exe	100
PID 3632 wrote to memory of 3524	3632	userinit.exe	100
PID 3632 wrote to memory of 3524	3632	userinit.exe	100
PID 3524 wrote to memory of 3352	3524	taskmgr.exe	101
PID 3524 wrote to memory of 3352	3524	taskmgr.exe	101
PID 3524 wrote to memory of 3352	3524	taskmgr.exe	101
PID 3352 wrote to memory of 2928	3352	csrss.exe	103
PID 3352 wrote to memory of 2928	3352	csrss.exe	103
PID 3352 wrote to memory of 2928	3352	csrss.exe	103
PID 3632 wrote to memory of 1100	3632	userinit.exe	104
PID 3632 wrote to memory of 1100	3632	userinit.exe	104
PID 3632 wrote to memory of 1100	3632	userinit.exe	104
PID 1100 wrote to memory of 4508	1100	taskmgr.exe	105
PID 1100 wrote to memory of 4508	1100	taskmgr.exe	105
PID 1100 wrote to memory of 4508	1100	taskmgr.exe	105
PID 4508 wrote to memory of 4244	4508	csrss.exe	106

C:\Users\Admin\AppData\Local\Temp\7df59ad892eff1e376bf7bc1a8d1b530_NeikiAnalytics.exe
"C:\Users\Admin\AppData\Local\Temp\7df59ad892eff1e376bf7bc1a8d1b530_NeikiAnalytics.exe"
1⤵
- Drops file in Windows directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:936
- \??\c:\windows\system\userinit.exe
  c:\windows\system\userinit.exe
  2⤵
  - Modifies WinLogon for persistence
  - Modifies visiblity of hidden/system files in Explorer
  - Drops file in Drivers directory
  - Modifies Installed Components in the registry
  - Executes dropped EXE
  - Adds Run key to start application
  - Drops file in Windows directory
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious behavior: GetForegroundWindowSpam
  - Suspicious use of SetWindowsHookEx
  - Suspicious use of WriteProcessMemory
  PID:3632
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Drops file in Drivers directory
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    - Suspicious use of WriteProcessMemory
    PID:3900
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      Suspicious use of WriteProcessMemory
      PID:2780
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:2104
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    - Suspicious use of WriteProcessMemory
    PID:2652
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      Suspicious use of WriteProcessMemory
      PID:4724
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:2464
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    - Suspicious use of WriteProcessMemory
    PID:2320
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      Suspicious use of WriteProcessMemory
      PID:748
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:420
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    - Suspicious use of WriteProcessMemory
    PID:3276
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      Suspicious use of WriteProcessMemory
      PID:4140
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:1988
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    - Suspicious use of WriteProcessMemory
    PID:2668
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      Suspicious use of WriteProcessMemory
      PID:2140
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:3600
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    - Suspicious use of WriteProcessMemory
    PID:3524
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      Suspicious use of WriteProcessMemory
      PID:3352
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:2928
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    - Suspicious use of WriteProcessMemory
    PID:1100
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      Suspicious use of WriteProcessMemory
      PID:4508
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:4244
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:5044
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:3064
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:1084
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:3100
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:1420
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:3040
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:4232
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:5000
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:1688
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:1380
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:1552
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:3260
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:2264
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:1508
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:2484
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:1292
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:3504
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:552
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:3264
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:2112
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:1032
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:228
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:3984
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:4608
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:536
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:3200
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:2928
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:3352
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:1016
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:2352
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:2516
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:4980
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:2748
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:2148
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:3196
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:3040
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:3120
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:2380
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:4552
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:2188
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      PID:4392
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        
        PID:4324
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3096
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3588
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2192
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4724
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2548
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2720
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4656
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3084
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2112
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:392
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1684
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3828
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1184
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:852
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1400
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3524
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2436
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4628
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:636
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3736
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2748
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2828
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:788
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1612
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3196
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2148
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3284
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4568
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3120
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:824
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1508
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2192
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4424
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2548
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4708
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3256
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4644
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2668
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4268
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:228
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1108
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:5072
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3880
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:880
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1484
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2944
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1100
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2756
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3524
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:540
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3764
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4664
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2972
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1368
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:5016
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2400
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4080
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1592
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1912
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3280
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4340
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3512
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2464
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:5100
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3628
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3412
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4656
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1488
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2112
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4644
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4032
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:5056
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:912
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1252
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2300
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3880
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3032
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4520
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2944
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3736
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1472
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:540
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:788
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:636
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4664
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2148
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3840
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2828
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1468
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4404
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3904
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3096
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4364
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2380
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4996
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:772
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4788
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3412
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3628
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4536
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2980
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3600
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4872
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1108
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2140
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4436
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3200
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2836
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3620
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2300
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4508
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4764
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2756
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4736
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3736
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4416
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2972
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3764
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:636
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3040
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:5008
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3840
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3344
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3760
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4404
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1796
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4176
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2464
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1236
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4396
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1640
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1988
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3496
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4780
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4656
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1408
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4536
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:216
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1108
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1464
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4524
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3200
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:396
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4888
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2300
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3620
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4660
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:64
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:5112
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1276
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2592
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:788
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2916
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4076
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4344
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4664
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3260
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3244
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4216
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:600
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3536
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3904
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4812
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1676
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1092
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4732
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:5020
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1988
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4460
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2980
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1212
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:216
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2328
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:5056
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:236
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2140
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1184
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4716
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:396
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2824
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2540
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3620
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4660
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1784
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:5112
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1276
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2312
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4416
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:636
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2644
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:540
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1080
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:5008
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1192
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3760
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3284
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:5036
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1588
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2464
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:748
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1640
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4036
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3412
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1988
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3496
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4464
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1212
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4608
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4840
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4852
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1464
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1536
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3996
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4588
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2836
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:5028
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2300
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1612
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1972
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2972
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3352
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4760
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4972
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4416
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3444
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2828
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3120
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3756
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4320
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1192
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:5008
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1236
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4176
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1588
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1092
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4356
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1324
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1684
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:896
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4332
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:392
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:336
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2336
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2668
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3964
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:236
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4624
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2836
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2952
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4764
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:880
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3304
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2972
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3512
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:824
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1148
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:564
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4996
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4216
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:5016
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3536
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2332
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4264
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3828
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4032
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4440
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3984
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4556
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2112
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1860
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4480
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2336
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3200
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1464
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:236
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:5028
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4736
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2912
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2592
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1612
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4764
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:5012
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3040
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1412
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3756
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4724
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2380
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1796
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3268
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1604
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4504
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3536
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4900
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4500
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3292
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3252
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2416
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4264
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2980
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:228
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4656
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4440
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3984
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:996
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1016
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:392
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2056
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4888
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:396
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1460
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1472
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4508
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4980
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2540
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4660
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4352
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3100
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1080
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1432
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2296
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4808
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2828
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:5008
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1796
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2916
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4216
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2244
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4716
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3484
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2548
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4364
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1208
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2416
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:896
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:232
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4396
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4032
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:772
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4656
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1860
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1016
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:996
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4520
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2228
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2056
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1568
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2668
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2464
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3416
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3016
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1972
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4712
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2832
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3304
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2280
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3512
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4076
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4820
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2720
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1368
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4504
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4216
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2916
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4196
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3484
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2224
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4176
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3980
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4364
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:228
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4568
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:896
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4608
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:772
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4032
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3880
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1016
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4052
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2056
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:64
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4452
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:424
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2604
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4232
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2352
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2152
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:116
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1412
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:928
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4664
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4724
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4320
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3120
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2956
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:5036
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3996
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2244
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1604
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1488
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:380
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:688
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4416
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3412
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4644
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2248
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3056
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1316
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4576
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1788
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1876
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:772
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4436
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4852
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3264
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:5028
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2484
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2228
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:428
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4992
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4552
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4972
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3416
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1612
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3756
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4712
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3100
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1412
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3760
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3208
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3120
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3284
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3840
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:5020
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4504
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4216
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:5072
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2224
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4640
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3516
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3828
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3252
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4556
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4440
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2980
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:5052
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1184
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3020
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:772
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:396
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:5024
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3324
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1460
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2400
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1472
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4588
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4736
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:880
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3016
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:824
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3656
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:220
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4708
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4392
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4320
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1508
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1432
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:600
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2720
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2996
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2808
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1236
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4812
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:912
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3084
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1488
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4332
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1884
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2328
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:232
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4576
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2248
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4656
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3004
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:5052
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1860
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:336
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2952
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:852
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4520
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3736
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:788
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4552
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2540
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2184
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1972
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2152
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:824
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2232
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3100
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2004
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4076
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2108
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4664
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1368
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2312
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3840
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3860
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4732
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1236
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2748
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4196
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4812
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1068
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3980
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3412
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4440
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2128
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2084
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1408
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:404
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2112
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4888
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:5112
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4036
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2400
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2484
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:5024
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2496
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3800
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4324
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1472
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1612
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1084
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:928
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1864
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:220
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4352
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3096
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4320
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4076
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3060
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3696
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3904
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1200
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1604
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:5008
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3728
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3536
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1912
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2460
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4644
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1760
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1536
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:552
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1780
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:932
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4604
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4568
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4028
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2248
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4656
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4304
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4036
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3524
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4624
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4520
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2484
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4324
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3444
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2148
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4344
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:5056
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3132
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2756
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:564
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3580
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4320
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4760
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1368
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3268
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3764
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2244
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4340
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4500
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2748
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3612
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:5020
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1100
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3984
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4032
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:216
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4380
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:232
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4604
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4476
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4048
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4052
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1860
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:428
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4868
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3736
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2012
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3304
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:996
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2464
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:5076
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4120
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2944
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3232
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4996
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:636
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3580
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:600
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3212
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3764
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3600
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2224
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4780
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4204
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1488
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1100
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1780
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4576
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3012
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:396
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4584
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1016
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4052
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2228
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3016
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3652
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2684
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3324
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4460
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3800
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:824
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:996
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3132
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2152
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1740
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:220
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4504
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3100
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1432
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:5036
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2312
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:8
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1324
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:5052
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:852
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3056
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2332
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2380
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2036
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1100
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1488
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3256
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3012
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3284
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2328
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1856
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1184
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3096
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4364
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1760
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:704
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3064
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3740
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:428
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2668
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3756
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4520
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2968
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1472
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:928
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3736
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2824
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4344
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2232
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2152
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2752
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2756
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4504
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3344
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1432
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1336
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1324
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:8
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:5116
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2400
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1756
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4340
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1588
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4524
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3204
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1200
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1788
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4204
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4316
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:240
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4032
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4480
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3708
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4584
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4380
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4788
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3188
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3484
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2140
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3264
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:5000
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3140
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:5012
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2972
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:788
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3444
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3488
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4352
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2944
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4460
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2108
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:636
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1692
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2828
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2908
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2956
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4732
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1192
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3100
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4508
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2748
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2996
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3412
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4840
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2472
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4760
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3860
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4780
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:5100
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1908
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1876
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4888
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4012
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2112
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:932
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3512
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2928
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3268
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4024
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:704
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2836
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3484
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2460
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1400
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:5000
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2464
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3020
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3800
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2148
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1084
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3488
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4980
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4820
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2004
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4120
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3232
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1692
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4708
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3764
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1208
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1236
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1324
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:5008
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4388
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4028
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4448
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:5072
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3620
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2332
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1604
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3280
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:552
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3828
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4576
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1876
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4396
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1808
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:240
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1184
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2860
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3956
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2448
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4356
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4024
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4788
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3348
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2952
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3740
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1872
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4256
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1784
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1768
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4364
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:848
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2972
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3244
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3132
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2012
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1864
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1676
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3904
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4120
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:5056
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1064
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3728
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:380
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4664
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:336
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3664
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2436
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:5052
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3032
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4448
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2184
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2380
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:652
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4440
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4804
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2748
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4780
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4480
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:5084
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1216
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4176
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1016
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2368
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1256
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2916
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4552
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2832
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4592
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2912
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3484
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2336
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:428
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3652
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:5000
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3028
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1868
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3128
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4364
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3020
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:824
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2364
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2668
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1612
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1428
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2012
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4996
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1884
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3904
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2312
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4708
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1064
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:852
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:336
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3292
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4840
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4388
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2436
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1316
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4196
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4448
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1988
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3620
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:652
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4816
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4500
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4612
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:232
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3256
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:5084
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3084
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4888
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3512
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3268
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4552
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3328
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4788
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4024
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1420
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3264
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2604
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4232
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:5048
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:984
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:424
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3196
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3340
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2592
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3304
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1108
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4980
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1864
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:636
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:5108
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4460
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2756
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1672
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4708
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2312
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4820
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:336
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:852
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4508
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3496
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4840
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2472
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4724
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1780
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1488
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1604
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1988
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4480
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4500
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4816
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4176
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1760
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:232
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2860
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4048
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3084
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2832
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4272
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3268
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4244
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1048
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2228
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2044
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:828
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:428
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:708
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1740
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3040
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:64
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:820
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2944
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2924
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4128
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3696
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2280
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3580
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3896
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:748
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1324
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:852
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2320
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2184
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4268

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Defense Evasion

Hide Artifacts

T1564

Hidden Files and Directories

T1564.001

Modify Registry

T1112

Credential Access

Discovery

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\SysWOW64\drivers\csrss.exe

Filesize
51KB

MD5
8db3c9bda891d59e4c98cd8cb87a5284

SHA1
a3dcd0e8e8b9cbcf62f10c255decee5b3b06f3a8

SHA256
3fe043be8c81a7ae3ed2bccc8c24f79b6042a2166d34fc7b3e944ab66f4da7d4

SHA512
6769f73bd5b1f9991ea0b5666f01cd8e2703c6997dd6493aaa15b6ac3867ef2b81c0132f4e848e74b4d543c51cd8a6810922d89af5734fd7e7976c47232cad60

Download Submit
C:\Windows\SysWOW64\drivers\taskmgr.exe

Filesize
51KB

MD5
14f44de45034c82405b89b28deb21b6a

SHA1
d8c3256686f611a1fa82be78059195edcbdc4ca1

SHA256
3fde76865e3e2df0c5e71e58bf759bb199f59e014801f325bc4505687c09f6df

SHA512
07df6e8c81b57bc66ce27605eadab38eab78885969eaf0d41c2ba2a10bc77ac8bad16d5a26d203e2db433f5009589d735466596cd09869d34abef80ae560e2ba

Download Submit
C:\Windows\System\userinit.exe

Filesize
51KB

MD5
6a21229313852b534413a59f639eb18c

SHA1
ef2df9e2f8249b95035cb13d5a4f6ad968667f74

SHA256
f299a834cdca187251261072ecec6b37cd989b2b40b563b0511afa935db8eed9

SHA512
7ba17b3b38b7b5a13cbce29070e76a8666ac191bfde7005002d351db4b881f47682b60f4886503351bd95f0e4b7c63b220bfc1116e373323a3872e3897d6fbf5

Download Submit
memory/228-245-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/392-379-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/420-65-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/536-260-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/552-213-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/636-415-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/748-67-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/824-446-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/852-389-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/936-37-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/936-0-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1016-273-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1032-227-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1084-140-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1100-129-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1184-391-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1292-216-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1380-187-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1400-387-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1420-148-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1508-462-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1508-200-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1552-185-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1612-423-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1684-369-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1684-377-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1688-168-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1988-81-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2104-29-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2112-229-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2112-362-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2140-97-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2148-436-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2148-305-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2188-330-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2192-338-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2192-459-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2264-202-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2320-55-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2320-69-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2352-271-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2380-316-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2436-401-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2464-49-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2484-198-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2516-290-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2548-352-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2652-53-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2668-99-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2720-350-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2748-286-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2748-411-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2780-33-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2828-426-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2928-256-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2928-110-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3040-155-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3040-301-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3084-364-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3096-342-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3100-158-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3120-318-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3120-448-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3196-438-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3196-303-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3200-258-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3256-471-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3260-183-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3264-231-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3276-85-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3284-434-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3352-112-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3352-275-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3524-403-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3524-114-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3588-340-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3600-96-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3632-8-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3632-71-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3736-413-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3828-375-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3900-35-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4140-83-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4232-172-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4244-125-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4324-326-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4392-329-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4424-460-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4508-127-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4552-315-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4568-450-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4608-242-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4628-399-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4656-366-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4724-51-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4724-42-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4724-354-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4980-288-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/5000-171-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/5044-143-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download