xmrig | 15633f7d3dccc3aa0e40c95c8d4b8af8f7a05b07c458fd8be68f303da2aa880c

Analysis

max time kernel
149s
max time network
151s
platform
windows10-2004_x64
resource
win10v2004-20240508-en
resource tags

arch:x64arch:x86image:win10v2004-20240508-enlocale:en-usos:windows10-2004-x64system
submitted
27/05/2024, 17:51

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
Size

1.3MB
MD5

0662e5fa2a699870b18227fd7331e3c0
SHA1

1295e84888e0eae9f7d63fda0f44830504e6e358
SHA256

15633f7d3dccc3aa0e40c95c8d4b8af8f7a05b07c458fd8be68f303da2aa880c
SHA512

891d5a7cecea1d493f6e19712e976401949b3952a0263266f611c8ffecc5dbe2d3bbbe09d0962e33ddb9e67d9600fadb93851495ebddadf21be38be75454b7af
SSDEEP

24576:JanwhSe11QSONCpGJCjETPlWXWZ5PbcmsQpv+ICTcc6Y0dfv/LV2hIH9b:knw9oUUEEDl37jcmntcR09wEb

Score

10^/10

xmrig miner upx

Malware Config

Signatures

xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 49 IoCs

miner

resource	yara_rule
behavioral2/memory/4196-38-0x00007FF7D7160000-0x00007FF7D7551000-memory.dmp	xmrig
behavioral2/memory/3104-39-0x00007FF738C30000-0x00007FF739021000-memory.dmp	xmrig
behavioral2/memory/2192-413-0x00007FF7F89F0000-0x00007FF7F8DE1000-memory.dmp	xmrig
behavioral2/memory/1940-40-0x00007FF7FD8D0000-0x00007FF7FDCC1000-memory.dmp	xmrig
behavioral2/memory/448-37-0x00007FF66BCA0000-0x00007FF66C091000-memory.dmp	xmrig
behavioral2/memory/3352-14-0x00007FF620BD0000-0x00007FF620FC1000-memory.dmp	xmrig
behavioral2/memory/184-414-0x00007FF6AFA60000-0x00007FF6AFE51000-memory.dmp	xmrig
behavioral2/memory/2892-415-0x00007FF663B70000-0x00007FF663F61000-memory.dmp	xmrig
behavioral2/memory/1224-416-0x00007FF7F1750000-0x00007FF7F1B41000-memory.dmp	xmrig
behavioral2/memory/3200-418-0x00007FF626A70000-0x00007FF626E61000-memory.dmp	xmrig
behavioral2/memory/2004-417-0x00007FF6B5D90000-0x00007FF6B6181000-memory.dmp	xmrig
behavioral2/memory/4836-419-0x00007FF62D150000-0x00007FF62D541000-memory.dmp	xmrig
behavioral2/memory/1548-420-0x00007FF71D920000-0x00007FF71DD11000-memory.dmp	xmrig
behavioral2/memory/4692-421-0x00007FF756D50000-0x00007FF757141000-memory.dmp	xmrig
behavioral2/memory/4204-422-0x00007FF66A5D0000-0x00007FF66A9C1000-memory.dmp	xmrig
behavioral2/memory/872-430-0x00007FF7516A0000-0x00007FF751A91000-memory.dmp	xmrig
behavioral2/memory/2820-438-0x00007FF606E00000-0x00007FF6071F1000-memory.dmp	xmrig
behavioral2/memory/2060-452-0x00007FF68EDB0000-0x00007FF68F1A1000-memory.dmp	xmrig
behavioral2/memory/4048-446-0x00007FF6C6E70000-0x00007FF6C7261000-memory.dmp	xmrig
behavioral2/memory/2960-459-0x00007FF6542F0000-0x00007FF6546E1000-memory.dmp	xmrig
behavioral2/memory/1800-464-0x00007FF702720000-0x00007FF702B11000-memory.dmp	xmrig
behavioral2/memory/5100-462-0x00007FF78FA90000-0x00007FF78FE81000-memory.dmp	xmrig
behavioral2/memory/932-1977-0x00007FF6F62F0000-0x00007FF6F66E1000-memory.dmp	xmrig
behavioral2/memory/3352-1978-0x00007FF620BD0000-0x00007FF620FC1000-memory.dmp	xmrig
behavioral2/memory/4464-1979-0x00007FF740DF0000-0x00007FF7411E1000-memory.dmp	xmrig
behavioral2/memory/932-1986-0x00007FF6F62F0000-0x00007FF6F66E1000-memory.dmp	xmrig
behavioral2/memory/448-1988-0x00007FF66BCA0000-0x00007FF66C091000-memory.dmp	xmrig
behavioral2/memory/4196-1992-0x00007FF7D7160000-0x00007FF7D7551000-memory.dmp	xmrig
behavioral2/memory/1940-1994-0x00007FF7FD8D0000-0x00007FF7FDCC1000-memory.dmp	xmrig
behavioral2/memory/4464-1998-0x00007FF740DF0000-0x00007FF7411E1000-memory.dmp	xmrig
behavioral2/memory/2192-2000-0x00007FF7F89F0000-0x00007FF7F8DE1000-memory.dmp	xmrig
behavioral2/memory/3352-1996-0x00007FF620BD0000-0x00007FF620FC1000-memory.dmp	xmrig
behavioral2/memory/3104-1990-0x00007FF738C30000-0x00007FF739021000-memory.dmp	xmrig
behavioral2/memory/1224-2004-0x00007FF7F1750000-0x00007FF7F1B41000-memory.dmp	xmrig
behavioral2/memory/2820-2014-0x00007FF606E00000-0x00007FF6071F1000-memory.dmp	xmrig
behavioral2/memory/2060-2028-0x00007FF68EDB0000-0x00007FF68F1A1000-memory.dmp	xmrig
behavioral2/memory/1800-2032-0x00007FF702720000-0x00007FF702B11000-memory.dmp	xmrig
behavioral2/memory/5100-2030-0x00007FF78FA90000-0x00007FF78FE81000-memory.dmp	xmrig
behavioral2/memory/2960-2026-0x00007FF6542F0000-0x00007FF6546E1000-memory.dmp	xmrig
behavioral2/memory/4204-2012-0x00007FF66A5D0000-0x00007FF66A9C1000-memory.dmp	xmrig
behavioral2/memory/4048-2024-0x00007FF6C6E70000-0x00007FF6C7261000-memory.dmp	xmrig
behavioral2/memory/1548-2010-0x00007FF71D920000-0x00007FF71DD11000-memory.dmp	xmrig
behavioral2/memory/4836-2022-0x00007FF62D150000-0x00007FF62D541000-memory.dmp	xmrig
behavioral2/memory/3200-2008-0x00007FF626A70000-0x00007FF626E61000-memory.dmp	xmrig
behavioral2/memory/4692-2006-0x00007FF756D50000-0x00007FF757141000-memory.dmp	xmrig
behavioral2/memory/2004-2020-0x00007FF6B5D90000-0x00007FF6B6181000-memory.dmp	xmrig
behavioral2/memory/2892-2018-0x00007FF663B70000-0x00007FF663F61000-memory.dmp	xmrig
behavioral2/memory/872-2016-0x00007FF7516A0000-0x00007FF751A91000-memory.dmp	xmrig
behavioral2/memory/184-2002-0x00007FF6AFA60000-0x00007FF6AFE51000-memory.dmp	xmrig

Executes dropped EXE 64 IoCs

pid	Process
932	pnmlFVo.exe
3352	QuqvhPS.exe
448	YvWodfj.exe
4196	xXTLVXw.exe
3104	Qyufljo.exe
1940	bzqyeFP.exe
4464	gGIAwAz.exe
2192	CwzSmwl.exe
184	xTGRBwB.exe
2892	kiHlFPU.exe
1224	KoTKyEL.exe
2004	JwofOLl.exe
3200	acmskVd.exe
4836	dmlJYJN.exe
1548	XdtAAbf.exe
4692	BypCqEr.exe
4204	aUMIeOD.exe
872	ZTSqhZt.exe
2820	oVIecRR.exe
4048	gXQNAFX.exe
2060	HFGAufC.exe
2960	amHMnht.exe
5100	nEKlAaV.exe
1800	OauwqeC.exe
4676	pFZMVwm.exe
1952	GCdeDuE.exe
3060	bhTkRfY.exe
644	jzogaQq.exe
4552	LxiAuYz.exe
3360	CXpfVaq.exe
4416	LhPRoSt.exe
2420	uErYSyL.exe
4564	xlsCaCp.exe
3836	XDFHVky.exe
2040	VLjNPMx.exe
3804	HeiKLkb.exe
3036	grjBngY.exe
4476	GPKIETJ.exe
3968	ebcSsoz.exe
3476	RqHopdW.exe
1300	vyoYoBB.exe
1488	cARznCO.exe
1016	bEkvoQu.exe
4740	zOwsgvI.exe
2136	sVinalZ.exe
4744	ysRSqli.exe
2616	tPLwncI.exe
4580	ZSZtXoT.exe
4844	mQCylBH.exe
3820	sajNzzz.exe
740	bcRTlmr.exe
3860	eAwycsR.exe
1960	AmerOsU.exe
1340	xgHfWZD.exe
5036	JYWmaBw.exe
624	FvhtsNJ.exe
1064	FNBYHLH.exe
1556	RKcQVTy.exe
1040	PLGQsZV.exe
1368	YnyjwCe.exe
2800	bMlauGe.exe
5008	bVAPRbz.exe
3312	KSJXgtx.exe
2028	yHiYkdh.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/2904-0-0x00007FF760070000-0x00007FF760461000-memory.dmp	upx
behavioral2/files/0x00080000000233fe-5.dat	upx
behavioral2/files/0x0007000000023402-10.dat	upx
behavioral2/files/0x0007000000023403-11.dat	upx
behavioral2/files/0x0007000000023404-22.dat	upx
behavioral2/files/0x0007000000023405-27.dat	upx
behavioral2/files/0x0007000000023406-32.dat	upx
behavioral2/files/0x0007000000023407-36.dat	upx
behavioral2/memory/4196-38-0x00007FF7D7160000-0x00007FF7D7551000-memory.dmp	upx
behavioral2/memory/3104-39-0x00007FF738C30000-0x00007FF739021000-memory.dmp	upx
behavioral2/memory/4464-41-0x00007FF740DF0000-0x00007FF7411E1000-memory.dmp	upx
behavioral2/files/0x0007000000023408-51.dat	upx
behavioral2/files/0x0007000000023409-53.dat	upx
behavioral2/files/0x000700000002340b-62.dat	upx
behavioral2/files/0x0007000000023410-91.dat	upx
behavioral2/files/0x0007000000023412-96.dat	upx
behavioral2/files/0x0007000000023418-128.dat	upx
behavioral2/memory/2192-413-0x00007FF7F89F0000-0x00007FF7F8DE1000-memory.dmp	upx
behavioral2/files/0x0007000000023420-168.dat	upx
behavioral2/files/0x000700000002341f-163.dat	upx
behavioral2/files/0x000700000002341e-161.dat	upx
behavioral2/files/0x000700000002341d-153.dat	upx
behavioral2/files/0x000700000002341c-148.dat	upx
behavioral2/files/0x000700000002341b-143.dat	upx
behavioral2/files/0x000700000002341a-138.dat	upx
behavioral2/files/0x0007000000023419-133.dat	upx
behavioral2/files/0x0007000000023417-123.dat	upx
behavioral2/files/0x0007000000023416-118.dat	upx
behavioral2/files/0x0007000000023415-113.dat	upx
behavioral2/files/0x0007000000023414-108.dat	upx
behavioral2/files/0x0007000000023413-103.dat	upx
behavioral2/files/0x0007000000023411-93.dat	upx
behavioral2/files/0x000700000002340f-83.dat	upx
behavioral2/files/0x000700000002340e-78.dat	upx
behavioral2/files/0x000700000002340d-73.dat	upx
behavioral2/files/0x000700000002340c-68.dat	upx
behavioral2/files/0x000700000002340a-58.dat	upx
behavioral2/memory/1940-40-0x00007FF7FD8D0000-0x00007FF7FDCC1000-memory.dmp	upx
behavioral2/memory/448-37-0x00007FF66BCA0000-0x00007FF66C091000-memory.dmp	upx
behavioral2/memory/3352-14-0x00007FF620BD0000-0x00007FF620FC1000-memory.dmp	upx
behavioral2/memory/932-8-0x00007FF6F62F0000-0x00007FF6F66E1000-memory.dmp	upx
behavioral2/memory/184-414-0x00007FF6AFA60000-0x00007FF6AFE51000-memory.dmp	upx
behavioral2/memory/2892-415-0x00007FF663B70000-0x00007FF663F61000-memory.dmp	upx
behavioral2/memory/1224-416-0x00007FF7F1750000-0x00007FF7F1B41000-memory.dmp	upx
behavioral2/memory/3200-418-0x00007FF626A70000-0x00007FF626E61000-memory.dmp	upx
behavioral2/memory/2004-417-0x00007FF6B5D90000-0x00007FF6B6181000-memory.dmp	upx
behavioral2/memory/4836-419-0x00007FF62D150000-0x00007FF62D541000-memory.dmp	upx
behavioral2/memory/1548-420-0x00007FF71D920000-0x00007FF71DD11000-memory.dmp	upx
behavioral2/memory/4692-421-0x00007FF756D50000-0x00007FF757141000-memory.dmp	upx
behavioral2/memory/4204-422-0x00007FF66A5D0000-0x00007FF66A9C1000-memory.dmp	upx
behavioral2/memory/872-430-0x00007FF7516A0000-0x00007FF751A91000-memory.dmp	upx
behavioral2/memory/2820-438-0x00007FF606E00000-0x00007FF6071F1000-memory.dmp	upx
behavioral2/memory/2060-452-0x00007FF68EDB0000-0x00007FF68F1A1000-memory.dmp	upx
behavioral2/memory/4048-446-0x00007FF6C6E70000-0x00007FF6C7261000-memory.dmp	upx
behavioral2/memory/2960-459-0x00007FF6542F0000-0x00007FF6546E1000-memory.dmp	upx
behavioral2/memory/1800-464-0x00007FF702720000-0x00007FF702B11000-memory.dmp	upx
behavioral2/memory/5100-462-0x00007FF78FA90000-0x00007FF78FE81000-memory.dmp	upx
behavioral2/memory/932-1977-0x00007FF6F62F0000-0x00007FF6F66E1000-memory.dmp	upx
behavioral2/memory/3352-1978-0x00007FF620BD0000-0x00007FF620FC1000-memory.dmp	upx
behavioral2/memory/4464-1979-0x00007FF740DF0000-0x00007FF7411E1000-memory.dmp	upx
behavioral2/memory/932-1986-0x00007FF6F62F0000-0x00007FF6F66E1000-memory.dmp	upx
behavioral2/memory/448-1988-0x00007FF66BCA0000-0x00007FF66C091000-memory.dmp	upx
behavioral2/memory/4196-1992-0x00007FF7D7160000-0x00007FF7D7551000-memory.dmp	upx
behavioral2/memory/1940-1994-0x00007FF7FD8D0000-0x00007FF7FDCC1000-memory.dmp	upx

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\System32\vKCLrRw.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\mujWjaD.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\bkjnwrc.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\eoWKqxw.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\otHABQe.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\hDFFgur.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\qssgyCG.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\drAWmpy.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\PVenZBX.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\wDDCqQQ.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\OHIfDAl.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\zgJHvCB.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\svYAUBf.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\YvWodfj.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\xXTLVXw.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\XdtAAbf.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\oJpGRdZ.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\qOrPGXl.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\lHlsgLe.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\YHYZNwE.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\grjBngY.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\ztrnaoh.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\HshzcKn.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\GnDOjwb.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\XNivnIK.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\kPyNtVp.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\oGpuYff.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\hPFnBvw.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\ZKfudpL.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\zhOPhHn.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\ixqCpSH.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\PhTJyRh.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\joVtCio.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\ydvyJFK.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\FSigFsz.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\JQZzbeR.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\qaBCRMM.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\ZNTWuvR.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\KmIrwmF.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\bHhZzWH.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\fYzomlr.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\pIWxEHR.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\AYzPPkN.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\xKvfuiz.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\yyFtmtW.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\UTHBoMZ.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\bftjmEE.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\QDLWhqY.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\euFWeWY.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\NXgxChs.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\diJVzrF.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\qOIljPG.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\UbGnETU.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\JcDTgrF.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\pPTJCoY.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\uNNoEwI.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\emuNLnN.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\GPiROXC.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\uEnEoMD.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\GZuGEkt.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\owXdKvA.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\XDFHVky.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\gLduVjH.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
File created	C:\Windows\System32\GAwQGga.exe	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe

Checks SCSI registry key(s) 3 TTPs 6 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_DADY&PROD_HARDDISK\4&215468A5&0&000000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\ConfigFlags	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\HardwareID	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_QEMU&PROD_QEMU_DVD-ROM\4&215468A5&0&010000	dwm.exe

Enumerates system info in registry 2 TTPs 2 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe

Modifies data under HKEY_USERS 18 IoCs

description	ioc	Process
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2a\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe

Suspicious use of AdjustPrivilegeToken 6 IoCs

description	pid	Process
Token: SeCreateGlobalPrivilege	860	dwm.exe
Token: SeChangeNotifyPrivilege	860	dwm.exe
Token: 33	860	dwm.exe
Token: SeIncBasePriorityPrivilege	860	dwm.exe
Token: SeShutdownPrivilege	860	dwm.exe
Token: SeCreatePagefilePrivilege	860	dwm.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 2904 wrote to memory of 932	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	84
PID 2904 wrote to memory of 932	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	84
PID 2904 wrote to memory of 3352	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	85
PID 2904 wrote to memory of 3352	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	85
PID 2904 wrote to memory of 448	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	86
PID 2904 wrote to memory of 448	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	86
PID 2904 wrote to memory of 4196	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	87
PID 2904 wrote to memory of 4196	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	87
PID 2904 wrote to memory of 3104	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	88
PID 2904 wrote to memory of 3104	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	88
PID 2904 wrote to memory of 1940	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	89
PID 2904 wrote to memory of 1940	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	89
PID 2904 wrote to memory of 4464	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	90
PID 2904 wrote to memory of 4464	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	90
PID 2904 wrote to memory of 2192	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	91
PID 2904 wrote to memory of 2192	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	91
PID 2904 wrote to memory of 184	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	92
PID 2904 wrote to memory of 184	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	92
PID 2904 wrote to memory of 2892	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	93
PID 2904 wrote to memory of 2892	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	93
PID 2904 wrote to memory of 1224	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	94
PID 2904 wrote to memory of 1224	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	94
PID 2904 wrote to memory of 2004	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	95
PID 2904 wrote to memory of 2004	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	95
PID 2904 wrote to memory of 3200	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	96
PID 2904 wrote to memory of 3200	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	96
PID 2904 wrote to memory of 4836	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	97
PID 2904 wrote to memory of 4836	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	97
PID 2904 wrote to memory of 1548	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	98
PID 2904 wrote to memory of 1548	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	98
PID 2904 wrote to memory of 4692	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	99
PID 2904 wrote to memory of 4692	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	99
PID 2904 wrote to memory of 4204	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	100
PID 2904 wrote to memory of 4204	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	100
PID 2904 wrote to memory of 872	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	101
PID 2904 wrote to memory of 872	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	101
PID 2904 wrote to memory of 2820	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	102
PID 2904 wrote to memory of 2820	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	102
PID 2904 wrote to memory of 4048	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	103
PID 2904 wrote to memory of 4048	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	103
PID 2904 wrote to memory of 2060	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	104
PID 2904 wrote to memory of 2060	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	104
PID 2904 wrote to memory of 2960	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	105
PID 2904 wrote to memory of 2960	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	105
PID 2904 wrote to memory of 5100	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	106
PID 2904 wrote to memory of 5100	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	106
PID 2904 wrote to memory of 1800	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	107
PID 2904 wrote to memory of 1800	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	107
PID 2904 wrote to memory of 4676	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	108
PID 2904 wrote to memory of 4676	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	108
PID 2904 wrote to memory of 1952	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	109
PID 2904 wrote to memory of 1952	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	109
PID 2904 wrote to memory of 3060	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	110
PID 2904 wrote to memory of 3060	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	110
PID 2904 wrote to memory of 644	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	111
PID 2904 wrote to memory of 644	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	111
PID 2904 wrote to memory of 4552	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	112
PID 2904 wrote to memory of 4552	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	112
PID 2904 wrote to memory of 3360	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	113
PID 2904 wrote to memory of 3360	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	113
PID 2904 wrote to memory of 4416	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	114
PID 2904 wrote to memory of 4416	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	114
PID 2904 wrote to memory of 2420	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	115
PID 2904 wrote to memory of 2420	2904	0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe	115

C:\Users\Admin\AppData\Local\Temp\0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe
"C:\Users\Admin\AppData\Local\Temp\0662e5fa2a699870b18227fd7331e3c0_NeikiAnalytics.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:2904
- C:\Windows\System32\pnmlFVo.exe
  C:\Windows\System32\pnmlFVo.exe
  2⤵
  - Executes dropped EXE
  PID:932
- C:\Windows\System32\QuqvhPS.exe
  C:\Windows\System32\QuqvhPS.exe
  2⤵
  - Executes dropped EXE
  PID:3352
- C:\Windows\System32\YvWodfj.exe
  C:\Windows\System32\YvWodfj.exe
  2⤵
  - Executes dropped EXE
  PID:448
- C:\Windows\System32\xXTLVXw.exe
  C:\Windows\System32\xXTLVXw.exe
  2⤵
  - Executes dropped EXE
  PID:4196
- C:\Windows\System32\Qyufljo.exe
  C:\Windows\System32\Qyufljo.exe
  2⤵
  - Executes dropped EXE
  PID:3104
- C:\Windows\System32\bzqyeFP.exe
  C:\Windows\System32\bzqyeFP.exe
  2⤵
  - Executes dropped EXE
  PID:1940
- C:\Windows\System32\gGIAwAz.exe
  C:\Windows\System32\gGIAwAz.exe
  2⤵
  - Executes dropped EXE
  PID:4464
- C:\Windows\System32\CwzSmwl.exe
  C:\Windows\System32\CwzSmwl.exe
  2⤵
  - Executes dropped EXE
  PID:2192
- C:\Windows\System32\xTGRBwB.exe
  C:\Windows\System32\xTGRBwB.exe
  2⤵
  - Executes dropped EXE
  PID:184
- C:\Windows\System32\kiHlFPU.exe
  C:\Windows\System32\kiHlFPU.exe
  2⤵
  - Executes dropped EXE
  PID:2892
- C:\Windows\System32\KoTKyEL.exe
  C:\Windows\System32\KoTKyEL.exe
  2⤵
  - Executes dropped EXE
  PID:1224
- C:\Windows\System32\JwofOLl.exe
  C:\Windows\System32\JwofOLl.exe
  2⤵
  - Executes dropped EXE
  PID:2004
- C:\Windows\System32\acmskVd.exe
  C:\Windows\System32\acmskVd.exe
  2⤵
  - Executes dropped EXE
  PID:3200
- C:\Windows\System32\dmlJYJN.exe
  C:\Windows\System32\dmlJYJN.exe
  2⤵
  - Executes dropped EXE
  PID:4836
- C:\Windows\System32\XdtAAbf.exe
  C:\Windows\System32\XdtAAbf.exe
  2⤵
  - Executes dropped EXE
  PID:1548
- C:\Windows\System32\BypCqEr.exe
  C:\Windows\System32\BypCqEr.exe
  2⤵
  - Executes dropped EXE
  PID:4692
- C:\Windows\System32\aUMIeOD.exe
  C:\Windows\System32\aUMIeOD.exe
  2⤵
  - Executes dropped EXE
  PID:4204
- C:\Windows\System32\ZTSqhZt.exe
  C:\Windows\System32\ZTSqhZt.exe
  2⤵
  - Executes dropped EXE
  PID:872
- C:\Windows\System32\oVIecRR.exe
  C:\Windows\System32\oVIecRR.exe
  2⤵
  - Executes dropped EXE
  PID:2820
- C:\Windows\System32\gXQNAFX.exe
  C:\Windows\System32\gXQNAFX.exe
  2⤵
  - Executes dropped EXE
  PID:4048
- C:\Windows\System32\HFGAufC.exe
  C:\Windows\System32\HFGAufC.exe
  2⤵
  - Executes dropped EXE
  PID:2060
- C:\Windows\System32\amHMnht.exe
  C:\Windows\System32\amHMnht.exe
  2⤵
  - Executes dropped EXE
  PID:2960
- C:\Windows\System32\nEKlAaV.exe
  C:\Windows\System32\nEKlAaV.exe
  2⤵
  - Executes dropped EXE
  PID:5100
- C:\Windows\System32\OauwqeC.exe
  C:\Windows\System32\OauwqeC.exe
  2⤵
  - Executes dropped EXE
  PID:1800
- C:\Windows\System32\pFZMVwm.exe
  C:\Windows\System32\pFZMVwm.exe
  2⤵
  - Executes dropped EXE
  PID:4676
- C:\Windows\System32\GCdeDuE.exe
  C:\Windows\System32\GCdeDuE.exe
  2⤵
  - Executes dropped EXE
  PID:1952
- C:\Windows\System32\bhTkRfY.exe
  C:\Windows\System32\bhTkRfY.exe
  2⤵
  - Executes dropped EXE
  PID:3060
- C:\Windows\System32\jzogaQq.exe
  C:\Windows\System32\jzogaQq.exe
  2⤵
  - Executes dropped EXE
  PID:644
- C:\Windows\System32\LxiAuYz.exe
  C:\Windows\System32\LxiAuYz.exe
  2⤵
  - Executes dropped EXE
  PID:4552
- C:\Windows\System32\CXpfVaq.exe
  C:\Windows\System32\CXpfVaq.exe
  2⤵
  - Executes dropped EXE
  PID:3360
- C:\Windows\System32\LhPRoSt.exe
  C:\Windows\System32\LhPRoSt.exe
  2⤵
  - Executes dropped EXE
  PID:4416
- C:\Windows\System32\uErYSyL.exe
  C:\Windows\System32\uErYSyL.exe
  2⤵
  - Executes dropped EXE
  PID:2420
- C:\Windows\System32\xlsCaCp.exe
  C:\Windows\System32\xlsCaCp.exe
  2⤵
  - Executes dropped EXE
  PID:4564
- C:\Windows\System32\XDFHVky.exe
  C:\Windows\System32\XDFHVky.exe
  2⤵
  - Executes dropped EXE
  PID:3836
- C:\Windows\System32\VLjNPMx.exe
  C:\Windows\System32\VLjNPMx.exe
  2⤵
  - Executes dropped EXE
  PID:2040
- C:\Windows\System32\HeiKLkb.exe
  C:\Windows\System32\HeiKLkb.exe
  2⤵
  - Executes dropped EXE
  PID:3804
- C:\Windows\System32\grjBngY.exe
  C:\Windows\System32\grjBngY.exe
  2⤵
  - Executes dropped EXE
  PID:3036
- C:\Windows\System32\GPKIETJ.exe
  C:\Windows\System32\GPKIETJ.exe
  2⤵
  - Executes dropped EXE
  PID:4476
- C:\Windows\System32\ebcSsoz.exe
  C:\Windows\System32\ebcSsoz.exe
  2⤵
  - Executes dropped EXE
  PID:3968
- C:\Windows\System32\RqHopdW.exe
  C:\Windows\System32\RqHopdW.exe
  2⤵
  - Executes dropped EXE
  PID:3476
- C:\Windows\System32\vyoYoBB.exe
  C:\Windows\System32\vyoYoBB.exe
  2⤵
  - Executes dropped EXE
  PID:1300
- C:\Windows\System32\cARznCO.exe
  C:\Windows\System32\cARznCO.exe
  2⤵
  - Executes dropped EXE
  PID:1488
- C:\Windows\System32\bEkvoQu.exe
  C:\Windows\System32\bEkvoQu.exe
  2⤵
  - Executes dropped EXE
  PID:1016
- C:\Windows\System32\zOwsgvI.exe
  C:\Windows\System32\zOwsgvI.exe
  2⤵
  - Executes dropped EXE
  PID:4740
- C:\Windows\System32\sVinalZ.exe
  C:\Windows\System32\sVinalZ.exe
  2⤵
  - Executes dropped EXE
  PID:2136
- C:\Windows\System32\ysRSqli.exe
  C:\Windows\System32\ysRSqli.exe
  2⤵
  - Executes dropped EXE
  PID:4744
- C:\Windows\System32\tPLwncI.exe
  C:\Windows\System32\tPLwncI.exe
  2⤵
  - Executes dropped EXE
  PID:2616
- C:\Windows\System32\ZSZtXoT.exe
  C:\Windows\System32\ZSZtXoT.exe
  2⤵
  - Executes dropped EXE
  PID:4580
- C:\Windows\System32\mQCylBH.exe
  C:\Windows\System32\mQCylBH.exe
  2⤵
  - Executes dropped EXE
  PID:4844
- C:\Windows\System32\sajNzzz.exe
  C:\Windows\System32\sajNzzz.exe
  2⤵
  - Executes dropped EXE
  PID:3820
- C:\Windows\System32\bcRTlmr.exe
  C:\Windows\System32\bcRTlmr.exe
  2⤵
  - Executes dropped EXE
  PID:740
- C:\Windows\System32\eAwycsR.exe
  C:\Windows\System32\eAwycsR.exe
  2⤵
  - Executes dropped EXE
  PID:3860
- C:\Windows\System32\AmerOsU.exe
  C:\Windows\System32\AmerOsU.exe
  2⤵
  - Executes dropped EXE
  PID:1960
- C:\Windows\System32\xgHfWZD.exe
  C:\Windows\System32\xgHfWZD.exe
  2⤵
  - Executes dropped EXE
  PID:1340
- C:\Windows\System32\JYWmaBw.exe
  C:\Windows\System32\JYWmaBw.exe
  2⤵
  - Executes dropped EXE
  PID:5036
- C:\Windows\System32\FvhtsNJ.exe
  C:\Windows\System32\FvhtsNJ.exe
  2⤵
  - Executes dropped EXE
  PID:624
- C:\Windows\System32\FNBYHLH.exe
  C:\Windows\System32\FNBYHLH.exe
  2⤵
  - Executes dropped EXE
  PID:1064
- C:\Windows\System32\RKcQVTy.exe
  C:\Windows\System32\RKcQVTy.exe
  2⤵
  - Executes dropped EXE
  PID:1556
- C:\Windows\System32\PLGQsZV.exe
  C:\Windows\System32\PLGQsZV.exe
  2⤵
  - Executes dropped EXE
  PID:1040
- C:\Windows\System32\YnyjwCe.exe
  C:\Windows\System32\YnyjwCe.exe
  2⤵
  - Executes dropped EXE
  PID:1368
- C:\Windows\System32\bMlauGe.exe
  C:\Windows\System32\bMlauGe.exe
  2⤵
  - Executes dropped EXE
  PID:2800
- C:\Windows\System32\bVAPRbz.exe
  C:\Windows\System32\bVAPRbz.exe
  2⤵
  - Executes dropped EXE
  PID:5008
- C:\Windows\System32\KSJXgtx.exe
  C:\Windows\System32\KSJXgtx.exe
  2⤵
  - Executes dropped EXE
  PID:3312
- C:\Windows\System32\yHiYkdh.exe
  C:\Windows\System32\yHiYkdh.exe
  2⤵
  - Executes dropped EXE
  PID:2028
- C:\Windows\System32\FjqXyLV.exe
  C:\Windows\System32\FjqXyLV.exe
  2⤵
  PID:1056
- C:\Windows\System32\ggSaKVo.exe
  C:\Windows\System32\ggSaKVo.exe
  2⤵
  PID:1568
- C:\Windows\System32\sIIVSnh.exe
  C:\Windows\System32\sIIVSnh.exe
  2⤵
  PID:3636
- C:\Windows\System32\scefgYB.exe
  C:\Windows\System32\scefgYB.exe
  2⤵
  PID:3732
- C:\Windows\System32\hDjCyeg.exe
  C:\Windows\System32\hDjCyeg.exe
  2⤵
  PID:3332
- C:\Windows\System32\RsWVFar.exe
  C:\Windows\System32\RsWVFar.exe
  2⤵
  PID:4928
- C:\Windows\System32\DvoiyKg.exe
  C:\Windows\System32\DvoiyKg.exe
  2⤵
  PID:2728
- C:\Windows\System32\cjrkjdb.exe
  C:\Windows\System32\cjrkjdb.exe
  2⤵
  PID:1412
- C:\Windows\System32\ztrnaoh.exe
  C:\Windows\System32\ztrnaoh.exe
  2⤵
  PID:1332
- C:\Windows\System32\rfOWLrh.exe
  C:\Windows\System32\rfOWLrh.exe
  2⤵
  PID:4560
- C:\Windows\System32\FQYaHHa.exe
  C:\Windows\System32\FQYaHHa.exe
  2⤵
  PID:4892
- C:\Windows\System32\JcDTgrF.exe
  C:\Windows\System32\JcDTgrF.exe
  2⤵
  PID:3252
- C:\Windows\System32\tTdVlyb.exe
  C:\Windows\System32\tTdVlyb.exe
  2⤵
  PID:2216
- C:\Windows\System32\gLduVjH.exe
  C:\Windows\System32\gLduVjH.exe
  2⤵
  PID:8
- C:\Windows\System32\CozlKBq.exe
  C:\Windows\System32\CozlKBq.exe
  2⤵
  PID:4576
- C:\Windows\System32\kPyNtVp.exe
  C:\Windows\System32\kPyNtVp.exe
  2⤵
  PID:3848
- C:\Windows\System32\jlSGLir.exe
  C:\Windows\System32\jlSGLir.exe
  2⤵
  PID:1136
- C:\Windows\System32\gARGAJN.exe
  C:\Windows\System32\gARGAJN.exe
  2⤵
  PID:1612
- C:\Windows\System32\mprGVxn.exe
  C:\Windows\System32\mprGVxn.exe
  2⤵
  PID:5132
- C:\Windows\System32\hTCkcJh.exe
  C:\Windows\System32\hTCkcJh.exe
  2⤵
  PID:5148
- C:\Windows\System32\HrWzlWr.exe
  C:\Windows\System32\HrWzlWr.exe
  2⤵
  PID:5188
- C:\Windows\System32\xLSjdsV.exe
  C:\Windows\System32\xLSjdsV.exe
  2⤵
  PID:5204
- C:\Windows\System32\xKvfuiz.exe
  C:\Windows\System32\xKvfuiz.exe
  2⤵
  PID:5232
- C:\Windows\System32\LYyrOZi.exe
  C:\Windows\System32\LYyrOZi.exe
  2⤵
  PID:5260
- C:\Windows\System32\MMUqOWK.exe
  C:\Windows\System32\MMUqOWK.exe
  2⤵
  PID:5288
- C:\Windows\System32\OhJUkAM.exe
  C:\Windows\System32\OhJUkAM.exe
  2⤵
  PID:5328
- C:\Windows\System32\zThOBpj.exe
  C:\Windows\System32\zThOBpj.exe
  2⤵
  PID:5356
- C:\Windows\System32\ixqCpSH.exe
  C:\Windows\System32\ixqCpSH.exe
  2⤵
  PID:5372
- C:\Windows\System32\PmpGZXP.exe
  C:\Windows\System32\PmpGZXP.exe
  2⤵
  PID:5400
- C:\Windows\System32\TebRPma.exe
  C:\Windows\System32\TebRPma.exe
  2⤵
  PID:5440
- C:\Windows\System32\gemjPFb.exe
  C:\Windows\System32\gemjPFb.exe
  2⤵
  PID:5456
- C:\Windows\System32\QlGOnAz.exe
  C:\Windows\System32\QlGOnAz.exe
  2⤵
  PID:5492
- C:\Windows\System32\JBFLNRz.exe
  C:\Windows\System32\JBFLNRz.exe
  2⤵
  PID:5516
- C:\Windows\System32\gCuqcYD.exe
  C:\Windows\System32\gCuqcYD.exe
  2⤵
  PID:5540
- C:\Windows\System32\WBzBeyJ.exe
  C:\Windows\System32\WBzBeyJ.exe
  2⤵
  PID:5580
- C:\Windows\System32\FzywnRh.exe
  C:\Windows\System32\FzywnRh.exe
  2⤵
  PID:5596
- C:\Windows\System32\gDUCFDE.exe
  C:\Windows\System32\gDUCFDE.exe
  2⤵
  PID:5624
- C:\Windows\System32\UkzxoNX.exe
  C:\Windows\System32\UkzxoNX.exe
  2⤵
  PID:5664
- C:\Windows\System32\PVenZBX.exe
  C:\Windows\System32\PVenZBX.exe
  2⤵
  PID:5680
- C:\Windows\System32\wDAFBfD.exe
  C:\Windows\System32\wDAFBfD.exe
  2⤵
  PID:5708
- C:\Windows\System32\DdHxQQk.exe
  C:\Windows\System32\DdHxQQk.exe
  2⤵
  PID:5736
- C:\Windows\System32\yDgVFif.exe
  C:\Windows\System32\yDgVFif.exe
  2⤵
  PID:5764
- C:\Windows\System32\pXVIpvr.exe
  C:\Windows\System32\pXVIpvr.exe
  2⤵
  PID:5792
- C:\Windows\System32\mMOltWn.exe
  C:\Windows\System32\mMOltWn.exe
  2⤵
  PID:5816
- C:\Windows\System32\BJvvZEZ.exe
  C:\Windows\System32\BJvvZEZ.exe
  2⤵
  PID:5848
- C:\Windows\System32\LrEXLCI.exe
  C:\Windows\System32\LrEXLCI.exe
  2⤵
  PID:5888
- C:\Windows\System32\JvtUnLN.exe
  C:\Windows\System32\JvtUnLN.exe
  2⤵
  PID:5904
- C:\Windows\System32\rZehbdG.exe
  C:\Windows\System32\rZehbdG.exe
  2⤵
  PID:5932
- C:\Windows\System32\mloLqOB.exe
  C:\Windows\System32\mloLqOB.exe
  2⤵
  PID:5960
- C:\Windows\System32\wPIQYha.exe
  C:\Windows\System32\wPIQYha.exe
  2⤵
  PID:5988
- C:\Windows\System32\KxSyQPj.exe
  C:\Windows\System32\KxSyQPj.exe
  2⤵
  PID:6112
- C:\Windows\System32\Pgfftld.exe
  C:\Windows\System32\Pgfftld.exe
  2⤵
  PID:3232
- C:\Windows\System32\DWKopLV.exe
  C:\Windows\System32\DWKopLV.exe
  2⤵
  PID:5080
- C:\Windows\System32\PhGshJU.exe
  C:\Windows\System32\PhGshJU.exe
  2⤵
  PID:3528
- C:\Windows\System32\dgChXRa.exe
  C:\Windows\System32\dgChXRa.exe
  2⤵
  PID:4772
- C:\Windows\System32\klSTNZo.exe
  C:\Windows\System32\klSTNZo.exe
  2⤵
  PID:4424
- C:\Windows\System32\vKCLrRw.exe
  C:\Windows\System32\vKCLrRw.exe
  2⤵
  PID:3660
- C:\Windows\System32\YTPHClz.exe
  C:\Windows\System32\YTPHClz.exe
  2⤵
  PID:5180
- C:\Windows\System32\bkjnwrc.exe
  C:\Windows\System32\bkjnwrc.exe
  2⤵
  PID:4732
- C:\Windows\System32\FbeJBTP.exe
  C:\Windows\System32\FbeJBTP.exe
  2⤵
  PID:5312
- C:\Windows\System32\nWGTfKY.exe
  C:\Windows\System32\nWGTfKY.exe
  2⤵
  PID:1208
- C:\Windows\System32\yyFtmtW.exe
  C:\Windows\System32\yyFtmtW.exe
  2⤵
  PID:5480
- C:\Windows\System32\KmIrwmF.exe
  C:\Windows\System32\KmIrwmF.exe
  2⤵
  PID:2176
- C:\Windows\System32\DDVbOnB.exe
  C:\Windows\System32\DDVbOnB.exe
  2⤵
  PID:5636
- C:\Windows\System32\wDDCqQQ.exe
  C:\Windows\System32\wDDCqQQ.exe
  2⤵
  PID:5656
- C:\Windows\System32\KJAkAPj.exe
  C:\Windows\System32\KJAkAPj.exe
  2⤵
  PID:5720
- C:\Windows\System32\bHhZzWH.exe
  C:\Windows\System32\bHhZzWH.exe
  2⤵
  PID:3864
- C:\Windows\System32\nViUZjR.exe
  C:\Windows\System32\nViUZjR.exe
  2⤵
  PID:5780
- C:\Windows\System32\FyLdHYJ.exe
  C:\Windows\System32\FyLdHYJ.exe
  2⤵
  PID:5880
- C:\Windows\System32\GAwQGga.exe
  C:\Windows\System32\GAwQGga.exe
  2⤵
  PID:5896
- C:\Windows\System32\fHMrxrg.exe
  C:\Windows\System32\fHMrxrg.exe
  2⤵
  PID:1580
- C:\Windows\System32\kZqsltO.exe
  C:\Windows\System32\kZqsltO.exe
  2⤵
  PID:5928
- C:\Windows\System32\IyQYZec.exe
  C:\Windows\System32\IyQYZec.exe
  2⤵
  PID:3364
- C:\Windows\System32\ZIdlJWT.exe
  C:\Windows\System32\ZIdlJWT.exe
  2⤵
  PID:2536
- C:\Windows\System32\DZklQyL.exe
  C:\Windows\System32\DZklQyL.exe
  2⤵
  PID:3560
- C:\Windows\System32\qsvQcss.exe
  C:\Windows\System32\qsvQcss.exe
  2⤵
  PID:6044
- C:\Windows\System32\zgzFubJ.exe
  C:\Windows\System32\zgzFubJ.exe
  2⤵
  PID:6072
- C:\Windows\System32\vvvcQeR.exe
  C:\Windows\System32\vvvcQeR.exe
  2⤵
  PID:1388
- C:\Windows\System32\mrNgnII.exe
  C:\Windows\System32\mrNgnII.exe
  2⤵
  PID:432
- C:\Windows\System32\NVaOiLl.exe
  C:\Windows\System32\NVaOiLl.exe
  2⤵
  PID:5032
- C:\Windows\System32\niAqWYP.exe
  C:\Windows\System32\niAqWYP.exe
  2⤵
  PID:1776
- C:\Windows\System32\RVjkTAS.exe
  C:\Windows\System32\RVjkTAS.exe
  2⤵
  PID:2468
- C:\Windows\System32\mzikCYq.exe
  C:\Windows\System32\mzikCYq.exe
  2⤵
  PID:5220
- C:\Windows\System32\TnCjPXX.exe
  C:\Windows\System32\TnCjPXX.exe
  2⤵
  PID:5468
- C:\Windows\System32\OulBXOC.exe
  C:\Windows\System32\OulBXOC.exe
  2⤵
  PID:4540
- C:\Windows\System32\olJyWMw.exe
  C:\Windows\System32\olJyWMw.exe
  2⤵
  PID:5620
- C:\Windows\System32\eoWKqxw.exe
  C:\Windows\System32\eoWKqxw.exe
  2⤵
  PID:5776
- C:\Windows\System32\HbRMiTD.exe
  C:\Windows\System32\HbRMiTD.exe
  2⤵
  PID:5340
- C:\Windows\System32\YrLxOfu.exe
  C:\Windows\System32\YrLxOfu.exe
  2⤵
  PID:3180
- C:\Windows\System32\UJoZNaB.exe
  C:\Windows\System32\UJoZNaB.exe
  2⤵
  PID:1804
- C:\Windows\System32\RbRCtSv.exe
  C:\Windows\System32\RbRCtSv.exe
  2⤵
  PID:4184
- C:\Windows\System32\IXcAdGu.exe
  C:\Windows\System32\IXcAdGu.exe
  2⤵
  PID:4748
- C:\Windows\System32\QczSAtw.exe
  C:\Windows\System32\QczSAtw.exe
  2⤵
  PID:1032
- C:\Windows\System32\oMXTvsM.exe
  C:\Windows\System32\oMXTvsM.exe
  2⤵
  PID:5336
- C:\Windows\System32\hWmqXSV.exe
  C:\Windows\System32\hWmqXSV.exe
  2⤵
  PID:5532
- C:\Windows\System32\HshzcKn.exe
  C:\Windows\System32\HshzcKn.exe
  2⤵
  PID:1432
- C:\Windows\System32\kNSkxGc.exe
  C:\Windows\System32\kNSkxGc.exe
  2⤵
  PID:5860
- C:\Windows\System32\SLOTsfB.exe
  C:\Windows\System32\SLOTsfB.exe
  2⤵
  PID:5984
- C:\Windows\System32\CglZxvO.exe
  C:\Windows\System32\CglZxvO.exe
  2⤵
  PID:5200
- C:\Windows\System32\UQWLddr.exe
  C:\Windows\System32\UQWLddr.exe
  2⤵
  PID:2044
- C:\Windows\System32\bAnyKBu.exe
  C:\Windows\System32\bAnyKBu.exe
  2⤵
  PID:5648
- C:\Windows\System32\pEiHyos.exe
  C:\Windows\System32\pEiHyos.exe
  2⤵
  PID:6152
- C:\Windows\System32\tLdVroz.exe
  C:\Windows\System32\tLdVroz.exe
  2⤵
  PID:6168
- C:\Windows\System32\pNcBlxd.exe
  C:\Windows\System32\pNcBlxd.exe
  2⤵
  PID:6188
- C:\Windows\System32\fYzomlr.exe
  C:\Windows\System32\fYzomlr.exe
  2⤵
  PID:6212
- C:\Windows\System32\mHJmTJi.exe
  C:\Windows\System32\mHJmTJi.exe
  2⤵
  PID:6232
- C:\Windows\System32\SjIgLpM.exe
  C:\Windows\System32\SjIgLpM.exe
  2⤵
  PID:6276
- C:\Windows\System32\oKEyUOS.exe
  C:\Windows\System32\oKEyUOS.exe
  2⤵
  PID:6312
- C:\Windows\System32\UrfXzWy.exe
  C:\Windows\System32\UrfXzWy.exe
  2⤵
  PID:6328
- C:\Windows\System32\otHABQe.exe
  C:\Windows\System32\otHABQe.exe
  2⤵
  PID:6360
- C:\Windows\System32\NKExZPw.exe
  C:\Windows\System32\NKExZPw.exe
  2⤵
  PID:6376
- C:\Windows\System32\DzBzTqm.exe
  C:\Windows\System32\DzBzTqm.exe
  2⤵
  PID:6400
- C:\Windows\System32\PhTJyRh.exe
  C:\Windows\System32\PhTJyRh.exe
  2⤵
  PID:6444
- C:\Windows\System32\Saoatmu.exe
  C:\Windows\System32\Saoatmu.exe
  2⤵
  PID:6460
- C:\Windows\System32\bEeYboU.exe
  C:\Windows\System32\bEeYboU.exe
  2⤵
  PID:6508
- C:\Windows\System32\VszYJcR.exe
  C:\Windows\System32\VszYJcR.exe
  2⤵
  PID:6548
- C:\Windows\System32\QYAPHKM.exe
  C:\Windows\System32\QYAPHKM.exe
  2⤵
  PID:6572
- C:\Windows\System32\WmuqbGk.exe
  C:\Windows\System32\WmuqbGk.exe
  2⤵
  PID:6600
- C:\Windows\System32\gMDsCyb.exe
  C:\Windows\System32\gMDsCyb.exe
  2⤵
  PID:6616
- C:\Windows\System32\oxqUrFg.exe
  C:\Windows\System32\oxqUrFg.exe
  2⤵
  PID:6636
- C:\Windows\System32\BXUmWML.exe
  C:\Windows\System32\BXUmWML.exe
  2⤵
  PID:6664
- C:\Windows\System32\heSdvfc.exe
  C:\Windows\System32\heSdvfc.exe
  2⤵
  PID:6684
- C:\Windows\System32\UTHBoMZ.exe
  C:\Windows\System32\UTHBoMZ.exe
  2⤵
  PID:6700
- C:\Windows\System32\VzfsFSC.exe
  C:\Windows\System32\VzfsFSC.exe
  2⤵
  PID:6728
- C:\Windows\System32\KtRzvbP.exe
  C:\Windows\System32\KtRzvbP.exe
  2⤵
  PID:6756
- C:\Windows\System32\dOgkZqw.exe
  C:\Windows\System32\dOgkZqw.exe
  2⤵
  PID:6800
- C:\Windows\System32\fGNQljE.exe
  C:\Windows\System32\fGNQljE.exe
  2⤵
  PID:6832
- C:\Windows\System32\ldbiLRO.exe
  C:\Windows\System32\ldbiLRO.exe
  2⤵
  PID:6852
- C:\Windows\System32\MOyiLxn.exe
  C:\Windows\System32\MOyiLxn.exe
  2⤵
  PID:6868
- C:\Windows\System32\CLOFhIL.exe
  C:\Windows\System32\CLOFhIL.exe
  2⤵
  PID:6892
- C:\Windows\System32\sndMMZC.exe
  C:\Windows\System32\sndMMZC.exe
  2⤵
  PID:6912
- C:\Windows\System32\qqHyATs.exe
  C:\Windows\System32\qqHyATs.exe
  2⤵
  PID:6936
- C:\Windows\System32\LSKmhGf.exe
  C:\Windows\System32\LSKmhGf.exe
  2⤵
  PID:7024
- C:\Windows\System32\IwUYZxg.exe
  C:\Windows\System32\IwUYZxg.exe
  2⤵
  PID:7048
- C:\Windows\System32\maZybAU.exe
  C:\Windows\System32\maZybAU.exe
  2⤵
  PID:7092
- C:\Windows\System32\KwIXXVT.exe
  C:\Windows\System32\KwIXXVT.exe
  2⤵
  PID:7112
- C:\Windows\System32\OKXrCBK.exe
  C:\Windows\System32\OKXrCBK.exe
  2⤵
  PID:7128
- C:\Windows\System32\sMmjTVK.exe
  C:\Windows\System32\sMmjTVK.exe
  2⤵
  PID:7156
- C:\Windows\System32\zEHmNAF.exe
  C:\Windows\System32\zEHmNAF.exe
  2⤵
  PID:6164
- C:\Windows\System32\yTEWKPy.exe
  C:\Windows\System32\yTEWKPy.exe
  2⤵
  PID:6204
- C:\Windows\System32\zuNcKPJ.exe
  C:\Windows\System32\zuNcKPJ.exe
  2⤵
  PID:6228
- C:\Windows\System32\aEFVOvW.exe
  C:\Windows\System32\aEFVOvW.exe
  2⤵
  PID:6324
- C:\Windows\System32\OeRbTtV.exe
  C:\Windows\System32\OeRbTtV.exe
  2⤵
  PID:6420
- C:\Windows\System32\YpRJmEu.exe
  C:\Windows\System32\YpRJmEu.exe
  2⤵
  PID:6472
- C:\Windows\System32\AOshrDp.exe
  C:\Windows\System32\AOshrDp.exe
  2⤵
  PID:6564
- C:\Windows\System32\QlJyXrZ.exe
  C:\Windows\System32\QlJyXrZ.exe
  2⤵
  PID:6628
- C:\Windows\System32\ILkFbzF.exe
  C:\Windows\System32\ILkFbzF.exe
  2⤵
  PID:6696
- C:\Windows\System32\ZHSWfDn.exe
  C:\Windows\System32\ZHSWfDn.exe
  2⤵
  PID:6740
- C:\Windows\System32\eTvmVxd.exe
  C:\Windows\System32\eTvmVxd.exe
  2⤵
  PID:6788
- C:\Windows\System32\zuVzgaq.exe
  C:\Windows\System32\zuVzgaq.exe
  2⤵
  PID:6864
- C:\Windows\System32\oJpGRdZ.exe
  C:\Windows\System32\oJpGRdZ.exe
  2⤵
  PID:6956
- C:\Windows\System32\gzPQSMy.exe
  C:\Windows\System32\gzPQSMy.exe
  2⤵
  PID:7036
- C:\Windows\System32\chAhHsR.exe
  C:\Windows\System32\chAhHsR.exe
  2⤵
  PID:7060
- C:\Windows\System32\kjKAaMc.exe
  C:\Windows\System32\kjKAaMc.exe
  2⤵
  PID:7124
- C:\Windows\System32\iktIuzU.exe
  C:\Windows\System32\iktIuzU.exe
  2⤵
  PID:6148
- C:\Windows\System32\PoITUrZ.exe
  C:\Windows\System32\PoITUrZ.exe
  2⤵
  PID:6416
- C:\Windows\System32\MgEKSPi.exe
  C:\Windows\System32\MgEKSPi.exe
  2⤵
  PID:6524
- C:\Windows\System32\dTYulDS.exe
  C:\Windows\System32\dTYulDS.exe
  2⤵
  PID:6632
- C:\Windows\System32\GWPxGFC.exe
  C:\Windows\System32\GWPxGFC.exe
  2⤵
  PID:6708
- C:\Windows\System32\tQbrFcR.exe
  C:\Windows\System32\tQbrFcR.exe
  2⤵
  PID:6816
- C:\Windows\System32\EUZagVU.exe
  C:\Windows\System32\EUZagVU.exe
  2⤵
  PID:6968
- C:\Windows\System32\zGFDziD.exe
  C:\Windows\System32\zGFDziD.exe
  2⤵
  PID:7148
- C:\Windows\System32\IZnuEMU.exe
  C:\Windows\System32\IZnuEMU.exe
  2⤵
  PID:6340
- C:\Windows\System32\PEgnKuz.exe
  C:\Windows\System32\PEgnKuz.exe
  2⤵
  PID:6372
- C:\Windows\System32\BDSocTZ.exe
  C:\Windows\System32\BDSocTZ.exe
  2⤵
  PID:5976
- C:\Windows\System32\joVtCio.exe
  C:\Windows\System32\joVtCio.exe
  2⤵
  PID:7176
- C:\Windows\System32\SlhkAIG.exe
  C:\Windows\System32\SlhkAIG.exe
  2⤵
  PID:7208
- C:\Windows\System32\clYYZXs.exe
  C:\Windows\System32\clYYZXs.exe
  2⤵
  PID:7248
- C:\Windows\System32\jmMGmzl.exe
  C:\Windows\System32\jmMGmzl.exe
  2⤵
  PID:7272
- C:\Windows\System32\RumVxPB.exe
  C:\Windows\System32\RumVxPB.exe
  2⤵
  PID:7292
- C:\Windows\System32\RZTigrO.exe
  C:\Windows\System32\RZTigrO.exe
  2⤵
  PID:7320
- C:\Windows\System32\PvosJwg.exe
  C:\Windows\System32\PvosJwg.exe
  2⤵
  PID:7344
- C:\Windows\System32\lCVVaJg.exe
  C:\Windows\System32\lCVVaJg.exe
  2⤵
  PID:7384
- C:\Windows\System32\NrJjObi.exe
  C:\Windows\System32\NrJjObi.exe
  2⤵
  PID:7404
- C:\Windows\System32\RtZGZpL.exe
  C:\Windows\System32\RtZGZpL.exe
  2⤵
  PID:7456
- C:\Windows\System32\ZlQcbbj.exe
  C:\Windows\System32\ZlQcbbj.exe
  2⤵
  PID:7480
- C:\Windows\System32\UxPfRFR.exe
  C:\Windows\System32\UxPfRFR.exe
  2⤵
  PID:7496
- C:\Windows\System32\HeXXHnD.exe
  C:\Windows\System32\HeXXHnD.exe
  2⤵
  PID:7524
- C:\Windows\System32\aEicTdu.exe
  C:\Windows\System32\aEicTdu.exe
  2⤵
  PID:7544
- C:\Windows\System32\nsIiCIX.exe
  C:\Windows\System32\nsIiCIX.exe
  2⤵
  PID:7576
- C:\Windows\System32\kwSdOdM.exe
  C:\Windows\System32\kwSdOdM.exe
  2⤵
  PID:7608
- C:\Windows\System32\pPTJCoY.exe
  C:\Windows\System32\pPTJCoY.exe
  2⤵
  PID:7628
- C:\Windows\System32\cohgPRK.exe
  C:\Windows\System32\cohgPRK.exe
  2⤵
  PID:7652
- C:\Windows\System32\LyajpcF.exe
  C:\Windows\System32\LyajpcF.exe
  2⤵
  PID:7704
- C:\Windows\System32\LXkeeQW.exe
  C:\Windows\System32\LXkeeQW.exe
  2⤵
  PID:7724
- C:\Windows\System32\grPmFxn.exe
  C:\Windows\System32\grPmFxn.exe
  2⤵
  PID:7748
- C:\Windows\System32\LPzldZy.exe
  C:\Windows\System32\LPzldZy.exe
  2⤵
  PID:7784
- C:\Windows\System32\KOtveaU.exe
  C:\Windows\System32\KOtveaU.exe
  2⤵
  PID:7800
- C:\Windows\System32\SJkWQvv.exe
  C:\Windows\System32\SJkWQvv.exe
  2⤵
  PID:7832
- C:\Windows\System32\guzLbUp.exe
  C:\Windows\System32\guzLbUp.exe
  2⤵
  PID:7872
- C:\Windows\System32\kmeatry.exe
  C:\Windows\System32\kmeatry.exe
  2⤵
  PID:7888
- C:\Windows\System32\yYdKsLZ.exe
  C:\Windows\System32\yYdKsLZ.exe
  2⤵
  PID:7928
- C:\Windows\System32\sFBGftF.exe
  C:\Windows\System32\sFBGftF.exe
  2⤵
  PID:7956
- C:\Windows\System32\YiqAXJV.exe
  C:\Windows\System32\YiqAXJV.exe
  2⤵
  PID:7984
- C:\Windows\System32\LcsVRwP.exe
  C:\Windows\System32\LcsVRwP.exe
  2⤵
  PID:8008
- C:\Windows\System32\JueAxpe.exe
  C:\Windows\System32\JueAxpe.exe
  2⤵
  PID:8028
- C:\Windows\System32\TocpSYG.exe
  C:\Windows\System32\TocpSYG.exe
  2⤵
  PID:8064
- C:\Windows\System32\CgIdWvO.exe
  C:\Windows\System32\CgIdWvO.exe
  2⤵
  PID:8080
- C:\Windows\System32\Gewsjwe.exe
  C:\Windows\System32\Gewsjwe.exe
  2⤵
  PID:8100
- C:\Windows\System32\elBBhIc.exe
  C:\Windows\System32\elBBhIc.exe
  2⤵
  PID:8132
- C:\Windows\System32\QDLWhqY.exe
  C:\Windows\System32\QDLWhqY.exe
  2⤵
  PID:8152
- C:\Windows\System32\ZRODJIW.exe
  C:\Windows\System32\ZRODJIW.exe
  2⤵
  PID:6384
- C:\Windows\System32\NFppniI.exe
  C:\Windows\System32\NFppniI.exe
  2⤵
  PID:7220
- C:\Windows\System32\bGLBSkH.exe
  C:\Windows\System32\bGLBSkH.exe
  2⤵
  PID:7256
- C:\Windows\System32\diJVzrF.exe
  C:\Windows\System32\diJVzrF.exe
  2⤵
  PID:7400
- C:\Windows\System32\tItYKZu.exe
  C:\Windows\System32\tItYKZu.exe
  2⤵
  PID:7424
- C:\Windows\System32\aVGbEMq.exe
  C:\Windows\System32\aVGbEMq.exe
  2⤵
  PID:7488
- C:\Windows\System32\aLHoOMD.exe
  C:\Windows\System32\aLHoOMD.exe
  2⤵
  PID:7536
- C:\Windows\System32\JKQGGcD.exe
  C:\Windows\System32\JKQGGcD.exe
  2⤵
  PID:7616
- C:\Windows\System32\euFWeWY.exe
  C:\Windows\System32\euFWeWY.exe
  2⤵
  PID:7696
- C:\Windows\System32\RIEdNaS.exe
  C:\Windows\System32\RIEdNaS.exe
  2⤵
  PID:7764
- C:\Windows\System32\HewKKkz.exe
  C:\Windows\System32\HewKKkz.exe
  2⤵
  PID:7812
- C:\Windows\System32\BiINIQW.exe
  C:\Windows\System32\BiINIQW.exe
  2⤵
  PID:7884
- C:\Windows\System32\xfrYlBD.exe
  C:\Windows\System32\xfrYlBD.exe
  2⤵
  PID:7944
- C:\Windows\System32\RPOKBLA.exe
  C:\Windows\System32\RPOKBLA.exe
  2⤵
  PID:7972
- C:\Windows\System32\YJQemdG.exe
  C:\Windows\System32\YJQemdG.exe
  2⤵
  PID:8024
- C:\Windows\System32\QkOpLkE.exe
  C:\Windows\System32\QkOpLkE.exe
  2⤵
  PID:8144
- C:\Windows\System32\mujWjaD.exe
  C:\Windows\System32\mujWjaD.exe
  2⤵
  PID:8188
- C:\Windows\System32\QfoeqIf.exe
  C:\Windows\System32\QfoeqIf.exe
  2⤵
  PID:7312
- C:\Windows\System32\SpUvtaz.exe
  C:\Windows\System32\SpUvtaz.exe
  2⤵
  PID:7360
- C:\Windows\System32\hpsfJBk.exe
  C:\Windows\System32\hpsfJBk.exe
  2⤵
  PID:7532
- C:\Windows\System32\XUdaNgr.exe
  C:\Windows\System32\XUdaNgr.exe
  2⤵
  PID:7768
- C:\Windows\System32\HhCVrJC.exe
  C:\Windows\System32\HhCVrJC.exe
  2⤵
  PID:8004
- C:\Windows\System32\BflljCd.exe
  C:\Windows\System32\BflljCd.exe
  2⤵
  PID:8140
- C:\Windows\System32\QHRxINc.exe
  C:\Windows\System32\QHRxINc.exe
  2⤵
  PID:6476
- C:\Windows\System32\GnDOjwb.exe
  C:\Windows\System32\GnDOjwb.exe
  2⤵
  PID:7468
- C:\Windows\System32\oUTjoVT.exe
  C:\Windows\System32\oUTjoVT.exe
  2⤵
  PID:6844
- C:\Windows\System32\uEnEoMD.exe
  C:\Windows\System32\uEnEoMD.exe
  2⤵
  PID:8116
- C:\Windows\System32\IEIthFd.exe
  C:\Windows\System32\IEIthFd.exe
  2⤵
  PID:8296
- C:\Windows\System32\NwyUFFb.exe
  C:\Windows\System32\NwyUFFb.exe
  2⤵
  PID:8316
- C:\Windows\System32\UaeLnSk.exe
  C:\Windows\System32\UaeLnSk.exe
  2⤵
  PID:8332
- C:\Windows\System32\ZvDtFEw.exe
  C:\Windows\System32\ZvDtFEw.exe
  2⤵
  PID:8348
- C:\Windows\System32\bAbCMzK.exe
  C:\Windows\System32\bAbCMzK.exe
  2⤵
  PID:8364
- C:\Windows\System32\ZFaakqe.exe
  C:\Windows\System32\ZFaakqe.exe
  2⤵
  PID:8380
- C:\Windows\System32\KkNLOZy.exe
  C:\Windows\System32\KkNLOZy.exe
  2⤵
  PID:8396
- C:\Windows\System32\qclnxrU.exe
  C:\Windows\System32\qclnxrU.exe
  2⤵
  PID:8412
- C:\Windows\System32\gTrVtOM.exe
  C:\Windows\System32\gTrVtOM.exe
  2⤵
  PID:8428
- C:\Windows\System32\ydvyJFK.exe
  C:\Windows\System32\ydvyJFK.exe
  2⤵
  PID:8448
- C:\Windows\System32\ZXWkLdl.exe
  C:\Windows\System32\ZXWkLdl.exe
  2⤵
  PID:8464
- C:\Windows\System32\daigvji.exe
  C:\Windows\System32\daigvji.exe
  2⤵
  PID:8480
- C:\Windows\System32\plAWFbd.exe
  C:\Windows\System32\plAWFbd.exe
  2⤵
  PID:8496
- C:\Windows\System32\VMtelnR.exe
  C:\Windows\System32\VMtelnR.exe
  2⤵
  PID:8512
- C:\Windows\System32\IScLeVy.exe
  C:\Windows\System32\IScLeVy.exe
  2⤵
  PID:8528
- C:\Windows\System32\NfvcCyw.exe
  C:\Windows\System32\NfvcCyw.exe
  2⤵
  PID:8544
- C:\Windows\System32\GZuGEkt.exe
  C:\Windows\System32\GZuGEkt.exe
  2⤵
  PID:8560
- C:\Windows\System32\sAxEghv.exe
  C:\Windows\System32\sAxEghv.exe
  2⤵
  PID:8596
- C:\Windows\System32\YrlUmyF.exe
  C:\Windows\System32\YrlUmyF.exe
  2⤵
  PID:8612
- C:\Windows\System32\ERodbPM.exe
  C:\Windows\System32\ERodbPM.exe
  2⤵
  PID:8644
- C:\Windows\System32\lDkXRbL.exe
  C:\Windows\System32\lDkXRbL.exe
  2⤵
  PID:8660
- C:\Windows\System32\JpspymX.exe
  C:\Windows\System32\JpspymX.exe
  2⤵
  PID:8724
- C:\Windows\System32\hZCHutB.exe
  C:\Windows\System32\hZCHutB.exe
  2⤵
  PID:8744
- C:\Windows\System32\zFYLGoW.exe
  C:\Windows\System32\zFYLGoW.exe
  2⤵
  PID:8972
- C:\Windows\System32\NYdPVrF.exe
  C:\Windows\System32\NYdPVrF.exe
  2⤵
  PID:9012
- C:\Windows\System32\cqHbGAa.exe
  C:\Windows\System32\cqHbGAa.exe
  2⤵
  PID:9040
- C:\Windows\System32\JZNUXEA.exe
  C:\Windows\System32\JZNUXEA.exe
  2⤵
  PID:9068
- C:\Windows\System32\pdGaZgF.exe
  C:\Windows\System32\pdGaZgF.exe
  2⤵
  PID:9088
- C:\Windows\System32\UcNDUiu.exe
  C:\Windows\System32\UcNDUiu.exe
  2⤵
  PID:9112
- C:\Windows\System32\MvKCoFX.exe
  C:\Windows\System32\MvKCoFX.exe
  2⤵
  PID:9132
- C:\Windows\System32\QQGorGJ.exe
  C:\Windows\System32\QQGorGJ.exe
  2⤵
  PID:9156
- C:\Windows\System32\kKJaJkT.exe
  C:\Windows\System32\kKJaJkT.exe
  2⤵
  PID:9204
- C:\Windows\System32\GUxIMln.exe
  C:\Windows\System32\GUxIMln.exe
  2⤵
  PID:7592
- C:\Windows\System32\gTNnOra.exe
  C:\Windows\System32\gTNnOra.exe
  2⤵
  PID:7364
- C:\Windows\System32\utLgwUU.exe
  C:\Windows\System32\utLgwUU.exe
  2⤵
  PID:8312
- C:\Windows\System32\FLByvHD.exe
  C:\Windows\System32\FLByvHD.exe
  2⤵
  PID:8392
- C:\Windows\System32\frASKNY.exe
  C:\Windows\System32\frASKNY.exe
  2⤵
  PID:8572
- C:\Windows\System32\dPCigqQ.exe
  C:\Windows\System32\dPCigqQ.exe
  2⤵
  PID:8248
- C:\Windows\System32\lPakJLw.exe
  C:\Windows\System32\lPakJLw.exe
  2⤵
  PID:8372
- C:\Windows\System32\MNmAtaL.exe
  C:\Windows\System32\MNmAtaL.exe
  2⤵
  PID:8520
- C:\Windows\System32\OAlVMPX.exe
  C:\Windows\System32\OAlVMPX.exe
  2⤵
  PID:8624
- C:\Windows\System32\dDKrLBF.exe
  C:\Windows\System32\dDKrLBF.exe
  2⤵
  PID:8440
- C:\Windows\System32\OHIfDAl.exe
  C:\Windows\System32\OHIfDAl.exe
  2⤵
  PID:8556
- C:\Windows\System32\xmtdnwG.exe
  C:\Windows\System32\xmtdnwG.exe
  2⤵
  PID:8656
- C:\Windows\System32\aWefEDz.exe
  C:\Windows\System32\aWefEDz.exe
  2⤵
  PID:8720
- C:\Windows\System32\dkBYOgF.exe
  C:\Windows\System32\dkBYOgF.exe
  2⤵
  PID:8860
- C:\Windows\System32\bftjmEE.exe
  C:\Windows\System32\bftjmEE.exe
  2⤵
  PID:8780
- C:\Windows\System32\edTbffW.exe
  C:\Windows\System32\edTbffW.exe
  2⤵
  PID:8992
- C:\Windows\System32\SOEjzqL.exe
  C:\Windows\System32\SOEjzqL.exe
  2⤵
  PID:9032
- C:\Windows\System32\hDFFgur.exe
  C:\Windows\System32\hDFFgur.exe
  2⤵
  PID:9140
- C:\Windows\System32\zIkCLeC.exe
  C:\Windows\System32\zIkCLeC.exe
  2⤵
  PID:9184
- C:\Windows\System32\itUHeOL.exe
  C:\Windows\System32\itUHeOL.exe
  2⤵
  PID:7520
- C:\Windows\System32\tRuSxZZ.exe
  C:\Windows\System32\tRuSxZZ.exe
  2⤵
  PID:8204
- C:\Windows\System32\qrzvRrg.exe
  C:\Windows\System32\qrzvRrg.exe
  2⤵
  PID:8408
- C:\Windows\System32\RcLVHdK.exe
  C:\Windows\System32\RcLVHdK.exe
  2⤵
  PID:8536
- C:\Windows\System32\FlmLTrw.exe
  C:\Windows\System32\FlmLTrw.exe
  2⤵
  PID:8508
- C:\Windows\System32\JEskwjN.exe
  C:\Windows\System32\JEskwjN.exe
  2⤵
  PID:3628
- C:\Windows\System32\oGpuYff.exe
  C:\Windows\System32\oGpuYff.exe
  2⤵
  PID:8764
- C:\Windows\System32\kJBWKXt.exe
  C:\Windows\System32\kJBWKXt.exe
  2⤵
  PID:8828
- C:\Windows\System32\fWJFYHB.exe
  C:\Windows\System32\fWJFYHB.exe
  2⤵
  PID:9128
- C:\Windows\System32\oxmwPXW.exe
  C:\Windows\System32\oxmwPXW.exe
  2⤵
  PID:8272
- C:\Windows\System32\jJwTLHU.exe
  C:\Windows\System32\jJwTLHU.exe
  2⤵
  PID:8244
- C:\Windows\System32\mgvGfNX.exe
  C:\Windows\System32\mgvGfNX.exe
  2⤵
  PID:8756
- C:\Windows\System32\KoMpcMq.exe
  C:\Windows\System32\KoMpcMq.exe
  2⤵
  PID:9164
- C:\Windows\System32\RjVtbye.exe
  C:\Windows\System32\RjVtbye.exe
  2⤵
  PID:684
- C:\Windows\System32\HTYcNRV.exe
  C:\Windows\System32\HTYcNRV.exe
  2⤵
  PID:9108
- C:\Windows\System32\inATMCK.exe
  C:\Windows\System32\inATMCK.exe
  2⤵
  PID:9240
- C:\Windows\System32\NeBEBRl.exe
  C:\Windows\System32\NeBEBRl.exe
  2⤵
  PID:9260
- C:\Windows\System32\zyeagMG.exe
  C:\Windows\System32\zyeagMG.exe
  2⤵
  PID:9280
- C:\Windows\System32\Qzpbmbc.exe
  C:\Windows\System32\Qzpbmbc.exe
  2⤵
  PID:9316
- C:\Windows\System32\tCyDcmL.exe
  C:\Windows\System32\tCyDcmL.exe
  2⤵
  PID:9352
- C:\Windows\System32\RoXqaFU.exe
  C:\Windows\System32\RoXqaFU.exe
  2⤵
  PID:9384
- C:\Windows\System32\uNNoEwI.exe
  C:\Windows\System32\uNNoEwI.exe
  2⤵
  PID:9400
- C:\Windows\System32\IeeRqAc.exe
  C:\Windows\System32\IeeRqAc.exe
  2⤵
  PID:9428
- C:\Windows\System32\lhRnsOu.exe
  C:\Windows\System32\lhRnsOu.exe
  2⤵
  PID:9448
- C:\Windows\System32\gcLuEvp.exe
  C:\Windows\System32\gcLuEvp.exe
  2⤵
  PID:9496
- C:\Windows\System32\SsilPOP.exe
  C:\Windows\System32\SsilPOP.exe
  2⤵
  PID:9524
- C:\Windows\System32\iPOEHvU.exe
  C:\Windows\System32\iPOEHvU.exe
  2⤵
  PID:9540
- C:\Windows\System32\TKyBpVe.exe
  C:\Windows\System32\TKyBpVe.exe
  2⤵
  PID:9572
- C:\Windows\System32\QJyIomZ.exe
  C:\Windows\System32\QJyIomZ.exe
  2⤵
  PID:9604
- C:\Windows\System32\KAiRbGE.exe
  C:\Windows\System32\KAiRbGE.exe
  2⤵
  PID:9644
- C:\Windows\System32\rUAYcjd.exe
  C:\Windows\System32\rUAYcjd.exe
  2⤵
  PID:9664
- C:\Windows\System32\YdBxQUv.exe
  C:\Windows\System32\YdBxQUv.exe
  2⤵
  PID:9688
- C:\Windows\System32\DuSdiWD.exe
  C:\Windows\System32\DuSdiWD.exe
  2⤵
  PID:9728
- C:\Windows\System32\rLuoSyk.exe
  C:\Windows\System32\rLuoSyk.exe
  2⤵
  PID:9752
- C:\Windows\System32\chUvEvQ.exe
  C:\Windows\System32\chUvEvQ.exe
  2⤵
  PID:9768
- C:\Windows\System32\kljgquR.exe
  C:\Windows\System32\kljgquR.exe
  2⤵
  PID:9788
- C:\Windows\System32\wDFfAYL.exe
  C:\Windows\System32\wDFfAYL.exe
  2⤵
  PID:9804
- C:\Windows\System32\WviXaKc.exe
  C:\Windows\System32\WviXaKc.exe
  2⤵
  PID:9844
- C:\Windows\System32\DVRwjdp.exe
  C:\Windows\System32\DVRwjdp.exe
  2⤵
  PID:9872
- C:\Windows\System32\zgJHvCB.exe
  C:\Windows\System32\zgJHvCB.exe
  2⤵
  PID:9900
- C:\Windows\System32\mXOkzVt.exe
  C:\Windows\System32\mXOkzVt.exe
  2⤵
  PID:9916
- C:\Windows\System32\UGbcspK.exe
  C:\Windows\System32\UGbcspK.exe
  2⤵
  PID:9948
- C:\Windows\System32\melLmpj.exe
  C:\Windows\System32\melLmpj.exe
  2⤵
  PID:9980
- C:\Windows\System32\PVDHAwk.exe
  C:\Windows\System32\PVDHAwk.exe
  2⤵
  PID:9996
- C:\Windows\System32\jqCGOFD.exe
  C:\Windows\System32\jqCGOFD.exe
  2⤵
  PID:10016
- C:\Windows\System32\SpmFumM.exe
  C:\Windows\System32\SpmFumM.exe
  2⤵
  PID:10100
- C:\Windows\System32\WuslPsm.exe
  C:\Windows\System32\WuslPsm.exe
  2⤵
  PID:10124
- C:\Windows\System32\mXUwgXV.exe
  C:\Windows\System32\mXUwgXV.exe
  2⤵
  PID:10144
- C:\Windows\System32\NfZduyK.exe
  C:\Windows\System32\NfZduyK.exe
  2⤵
  PID:10180
- C:\Windows\System32\xuiimpg.exe
  C:\Windows\System32\xuiimpg.exe
  2⤵
  PID:10204
- C:\Windows\System32\TMEwyPu.exe
  C:\Windows\System32\TMEwyPu.exe
  2⤵
  PID:10228
- C:\Windows\System32\LTbQDZJ.exe
  C:\Windows\System32\LTbQDZJ.exe
  2⤵
  PID:7732
- C:\Windows\System32\hzrXJKn.exe
  C:\Windows\System32\hzrXJKn.exe
  2⤵
  PID:9300
- C:\Windows\System32\oPjzhyi.exe
  C:\Windows\System32\oPjzhyi.exe
  2⤵
  PID:9380
- C:\Windows\System32\oOMHnnQ.exe
  C:\Windows\System32\oOMHnnQ.exe
  2⤵
  PID:9412
- C:\Windows\System32\CtHUZyH.exe
  C:\Windows\System32\CtHUZyH.exe
  2⤵
  PID:3096
- C:\Windows\System32\qDlNzkr.exe
  C:\Windows\System32\qDlNzkr.exe
  2⤵
  PID:9560
- C:\Windows\System32\XBxhDHz.exe
  C:\Windows\System32\XBxhDHz.exe
  2⤵
  PID:9600
- C:\Windows\System32\DksCimH.exe
  C:\Windows\System32\DksCimH.exe
  2⤵
  PID:9680
- C:\Windows\System32\kLwwQWn.exe
  C:\Windows\System32\kLwwQWn.exe
  2⤵
  PID:9740
- C:\Windows\System32\owXdKvA.exe
  C:\Windows\System32\owXdKvA.exe
  2⤵
  PID:9796
- C:\Windows\System32\BTrwWMi.exe
  C:\Windows\System32\BTrwWMi.exe
  2⤵
  PID:9884
- C:\Windows\System32\ArxbZRD.exe
  C:\Windows\System32\ArxbZRD.exe
  2⤵
  PID:368
- C:\Windows\System32\hQbEYfg.exe
  C:\Windows\System32\hQbEYfg.exe
  2⤵
  PID:9924
- C:\Windows\System32\qOrPGXl.exe
  C:\Windows\System32\qOrPGXl.exe
  2⤵
  PID:10012
- C:\Windows\System32\lTKkRIp.exe
  C:\Windows\System32\lTKkRIp.exe
  2⤵
  PID:10132
- C:\Windows\System32\MGzePTN.exe
  C:\Windows\System32\MGzePTN.exe
  2⤵
  PID:10172
- C:\Windows\System32\svYAUBf.exe
  C:\Windows\System32\svYAUBf.exe
  2⤵
  PID:10216
- C:\Windows\System32\MCJcVmF.exe
  C:\Windows\System32\MCJcVmF.exe
  2⤵
  PID:9312
- C:\Windows\System32\XNivnIK.exe
  C:\Windows\System32\XNivnIK.exe
  2⤵
  PID:9332
- C:\Windows\System32\lHlsgLe.exe
  C:\Windows\System32\lHlsgLe.exe
  2⤵
  PID:9504
- C:\Windows\System32\hnZrTef.exe
  C:\Windows\System32\hnZrTef.exe
  2⤵
  PID:9712
- C:\Windows\System32\Hgcleoy.exe
  C:\Windows\System32\Hgcleoy.exe
  2⤵
  PID:9912
- C:\Windows\System32\IHMUwjM.exe
  C:\Windows\System32\IHMUwjM.exe
  2⤵
  PID:10028
- C:\Windows\System32\DMRXDUu.exe
  C:\Windows\System32\DMRXDUu.exe
  2⤵
  PID:2092
- C:\Windows\System32\SimPjEx.exe
  C:\Windows\System32\SimPjEx.exe
  2⤵
  PID:9516
- C:\Windows\System32\pkFKbes.exe
  C:\Windows\System32\pkFKbes.exe
  2⤵
  PID:9436
- C:\Windows\System32\hPFnBvw.exe
  C:\Windows\System32\hPFnBvw.exe
  2⤵
  PID:9820
- C:\Windows\System32\SODELXu.exe
  C:\Windows\System32\SODELXu.exe
  2⤵
  PID:10080
- C:\Windows\System32\cnQHjLC.exe
  C:\Windows\System32\cnQHjLC.exe
  2⤵
  PID:9220
- C:\Windows\System32\yHSTlpf.exe
  C:\Windows\System32\yHSTlpf.exe
  2⤵
  PID:9988
- C:\Windows\System32\QjnzTcR.exe
  C:\Windows\System32\QjnzTcR.exe
  2⤵
  PID:10260
- C:\Windows\System32\ZKfudpL.exe
  C:\Windows\System32\ZKfudpL.exe
  2⤵
  PID:10284
- C:\Windows\System32\mIaxVnw.exe
  C:\Windows\System32\mIaxVnw.exe
  2⤵
  PID:10308
- C:\Windows\System32\oUKKOfz.exe
  C:\Windows\System32\oUKKOfz.exe
  2⤵
  PID:10328
- C:\Windows\System32\hJpWzlV.exe
  C:\Windows\System32\hJpWzlV.exe
  2⤵
  PID:10376
- C:\Windows\System32\tPntIQW.exe
  C:\Windows\System32\tPntIQW.exe
  2⤵
  PID:10424
- C:\Windows\System32\drAWmpy.exe
  C:\Windows\System32\drAWmpy.exe
  2⤵
  PID:10460
- C:\Windows\System32\gcvPgPK.exe
  C:\Windows\System32\gcvPgPK.exe
  2⤵
  PID:10476
- C:\Windows\System32\rDWZsfs.exe
  C:\Windows\System32\rDWZsfs.exe
  2⤵
  PID:10496
- C:\Windows\System32\pIWxEHR.exe
  C:\Windows\System32\pIWxEHR.exe
  2⤵
  PID:10524
- C:\Windows\System32\xbihVtA.exe
  C:\Windows\System32\xbihVtA.exe
  2⤵
  PID:10544
- C:\Windows\System32\iozXQXh.exe
  C:\Windows\System32\iozXQXh.exe
  2⤵
  PID:10588
- C:\Windows\System32\cgBbCrz.exe
  C:\Windows\System32\cgBbCrz.exe
  2⤵
  PID:10616
- C:\Windows\System32\qssgyCG.exe
  C:\Windows\System32\qssgyCG.exe
  2⤵
  PID:10644
- C:\Windows\System32\AYzPPkN.exe
  C:\Windows\System32\AYzPPkN.exe
  2⤵
  PID:10668
- C:\Windows\System32\MEfwMQg.exe
  C:\Windows\System32\MEfwMQg.exe
  2⤵
  PID:10720
- C:\Windows\System32\qaBCRMM.exe
  C:\Windows\System32\qaBCRMM.exe
  2⤵
  PID:10740
- C:\Windows\System32\eWrElzH.exe
  C:\Windows\System32\eWrElzH.exe
  2⤵
  PID:10760
- C:\Windows\System32\aGcYDZa.exe
  C:\Windows\System32\aGcYDZa.exe
  2⤵
  PID:10784
- C:\Windows\System32\NhqcsVi.exe
  C:\Windows\System32\NhqcsVi.exe
  2⤵
  PID:10824
- C:\Windows\System32\FFCxDFb.exe
  C:\Windows\System32\FFCxDFb.exe
  2⤵
  PID:10864
- C:\Windows\System32\TEURfsE.exe
  C:\Windows\System32\TEURfsE.exe
  2⤵
  PID:10892
- C:\Windows\System32\cmuWpSZ.exe
  C:\Windows\System32\cmuWpSZ.exe
  2⤵
  PID:10920
- C:\Windows\System32\ZjhAhWr.exe
  C:\Windows\System32\ZjhAhWr.exe
  2⤵
  PID:10944
- C:\Windows\System32\IYCjGyx.exe
  C:\Windows\System32\IYCjGyx.exe
  2⤵
  PID:10972
- C:\Windows\System32\KDTiQBT.exe
  C:\Windows\System32\KDTiQBT.exe
  2⤵
  PID:10988
- C:\Windows\System32\wsgwmVv.exe
  C:\Windows\System32\wsgwmVv.exe
  2⤵
  PID:11012
- C:\Windows\System32\DBMeqUv.exe
  C:\Windows\System32\DBMeqUv.exe
  2⤵
  PID:11052
- C:\Windows\System32\JoeQETX.exe
  C:\Windows\System32\JoeQETX.exe
  2⤵
  PID:11068
- C:\Windows\System32\FBTXmzF.exe
  C:\Windows\System32\FBTXmzF.exe
  2⤵
  PID:11108
- C:\Windows\System32\emuNLnN.exe
  C:\Windows\System32\emuNLnN.exe
  2⤵
  PID:11124
- C:\Windows\System32\QRkrckv.exe
  C:\Windows\System32\QRkrckv.exe
  2⤵
  PID:11152
- C:\Windows\System32\cJVTHjv.exe
  C:\Windows\System32\cJVTHjv.exe
  2⤵
  PID:11208
- C:\Windows\System32\byCQJpa.exe
  C:\Windows\System32\byCQJpa.exe
  2⤵
  PID:11228
- C:\Windows\System32\bhHQcVU.exe
  C:\Windows\System32\bhHQcVU.exe
  2⤵
  PID:11256
- C:\Windows\System32\CppoAAG.exe
  C:\Windows\System32\CppoAAG.exe
  2⤵
  PID:10296
- C:\Windows\System32\ZUlQKpm.exe
  C:\Windows\System32\ZUlQKpm.exe
  2⤵
  PID:10324
- C:\Windows\System32\QFLUdKh.exe
  C:\Windows\System32\QFLUdKh.exe
  2⤵
  PID:10392
- C:\Windows\System32\WOMeEeV.exe
  C:\Windows\System32\WOMeEeV.exe
  2⤵
  PID:10044
- C:\Windows\System32\GeRPAIk.exe
  C:\Windows\System32\GeRPAIk.exe
  2⤵
  PID:10512
- C:\Windows\System32\owNvVtq.exe
  C:\Windows\System32\owNvVtq.exe
  2⤵
  PID:10564
- C:\Windows\System32\HitZyPy.exe
  C:\Windows\System32\HitZyPy.exe
  2⤵
  PID:10612
- C:\Windows\System32\nZuENzU.exe
  C:\Windows\System32\nZuENzU.exe
  2⤵
  PID:10688
- C:\Windows\System32\qegfvqS.exe
  C:\Windows\System32\qegfvqS.exe
  2⤵
  PID:10728
- C:\Windows\System32\qXmHBxC.exe
  C:\Windows\System32\qXmHBxC.exe
  2⤵
  PID:10792
- C:\Windows\System32\vOaOANR.exe
  C:\Windows\System32\vOaOANR.exe
  2⤵
  PID:10708
- C:\Windows\System32\XkvmiiR.exe
  C:\Windows\System32\XkvmiiR.exe
  2⤵
  PID:10928
- C:\Windows\System32\EpBlrfs.exe
  C:\Windows\System32\EpBlrfs.exe
  2⤵
  PID:11024
- C:\Windows\System32\aMnqjAx.exe
  C:\Windows\System32\aMnqjAx.exe
  2⤵
  PID:11088
- C:\Windows\System32\wOtIATg.exe
  C:\Windows\System32\wOtIATg.exe
  2⤵
  PID:11116
- C:\Windows\System32\YHYZNwE.exe
  C:\Windows\System32\YHYZNwE.exe
  2⤵
  PID:11240
- C:\Windows\System32\jBBdIiU.exe
  C:\Windows\System32\jBBdIiU.exe
  2⤵
  PID:10320
- C:\Windows\System32\fvcNHBs.exe
  C:\Windows\System32\fvcNHBs.exe
  2⤵
  PID:10400
- C:\Windows\System32\XgGVXwY.exe
  C:\Windows\System32\XgGVXwY.exe
  2⤵
  PID:10604
- C:\Windows\System32\DRPNmzZ.exe
  C:\Windows\System32\DRPNmzZ.exe
  2⤵
  PID:10660
- C:\Windows\System32\JzjPvAl.exe
  C:\Windows\System32\JzjPvAl.exe
  2⤵
  PID:10756
- C:\Windows\System32\UxcsPgh.exe
  C:\Windows\System32\UxcsPgh.exe
  2⤵
  PID:10984
- C:\Windows\System32\EmZVHqh.exe
  C:\Windows\System32\EmZVHqh.exe
  2⤵
  PID:11204
- C:\Windows\System32\VigEiYr.exe
  C:\Windows\System32\VigEiYr.exe
  2⤵
  PID:10436
- C:\Windows\System32\UnPkwap.exe
  C:\Windows\System32\UnPkwap.exe
  2⤵
  PID:10732
- C:\Windows\System32\GBAMTrX.exe
  C:\Windows\System32\GBAMTrX.exe
  2⤵
  PID:11076
- C:\Windows\System32\UAbdwTa.exe
  C:\Windows\System32\UAbdwTa.exe
  2⤵
  PID:11160
- C:\Windows\System32\irApsOa.exe
  C:\Windows\System32\irApsOa.exe
  2⤵
  PID:11272
- C:\Windows\System32\qxOIStT.exe
  C:\Windows\System32\qxOIStT.exe
  2⤵
  PID:11332
- C:\Windows\System32\QohcjsM.exe
  C:\Windows\System32\QohcjsM.exe
  2⤵
  PID:11360
- C:\Windows\System32\kvtDwqf.exe
  C:\Windows\System32\kvtDwqf.exe
  2⤵
  PID:11388
- C:\Windows\System32\ZRpSnDj.exe
  C:\Windows\System32\ZRpSnDj.exe
  2⤵
  PID:11408
- C:\Windows\System32\QkCjvsm.exe
  C:\Windows\System32\QkCjvsm.exe
  2⤵
  PID:11436
- C:\Windows\System32\jLUePVc.exe
  C:\Windows\System32\jLUePVc.exe
  2⤵
  PID:11464
- C:\Windows\System32\PEMuyWr.exe
  C:\Windows\System32\PEMuyWr.exe
  2⤵
  PID:11500
- C:\Windows\System32\ywFyzRJ.exe
  C:\Windows\System32\ywFyzRJ.exe
  2⤵
  PID:11524
- C:\Windows\System32\fhfPpuA.exe
  C:\Windows\System32\fhfPpuA.exe
  2⤵
  PID:11544
- C:\Windows\System32\wmGmeeF.exe
  C:\Windows\System32\wmGmeeF.exe
  2⤵
  PID:11564
- C:\Windows\System32\SrCIeWm.exe
  C:\Windows\System32\SrCIeWm.exe
  2⤵
  PID:11580
- C:\Windows\System32\FSigFsz.exe
  C:\Windows\System32\FSigFsz.exe
  2⤵
  PID:11616
- C:\Windows\System32\laUUrqv.exe
  C:\Windows\System32\laUUrqv.exe
  2⤵
  PID:11652
- C:\Windows\System32\gHHTNBU.exe
  C:\Windows\System32\gHHTNBU.exe
  2⤵
  PID:11668
- C:\Windows\System32\GPiROXC.exe
  C:\Windows\System32\GPiROXC.exe
  2⤵
  PID:11724
- C:\Windows\System32\UaVJFFV.exe
  C:\Windows\System32\UaVJFFV.exe
  2⤵
  PID:11744
- C:\Windows\System32\jcTyLah.exe
  C:\Windows\System32\jcTyLah.exe
  2⤵
  PID:11768
- C:\Windows\System32\YxFYiTo.exe
  C:\Windows\System32\YxFYiTo.exe
  2⤵
  PID:11796
- C:\Windows\System32\xKtPLfS.exe
  C:\Windows\System32\xKtPLfS.exe
  2⤵
  PID:11836
- C:\Windows\System32\SJQrIBI.exe
  C:\Windows\System32\SJQrIBI.exe
  2⤵
  PID:11856
- C:\Windows\System32\WbdqLUl.exe
  C:\Windows\System32\WbdqLUl.exe
  2⤵
  PID:11872
- C:\Windows\System32\qQeeFvg.exe
  C:\Windows\System32\qQeeFvg.exe
  2⤵
  PID:11896
- C:\Windows\System32\yLIfAEC.exe
  C:\Windows\System32\yLIfAEC.exe
  2⤵
  PID:11940
- C:\Windows\System32\lhcWhgk.exe
  C:\Windows\System32\lhcWhgk.exe
  2⤵
  PID:11972
- C:\Windows\System32\WprTGye.exe
  C:\Windows\System32\WprTGye.exe
  2⤵
  PID:11992
- C:\Windows\System32\EuiFHEL.exe
  C:\Windows\System32\EuiFHEL.exe
  2⤵
  PID:12024
- C:\Windows\System32\xRlUiQh.exe
  C:\Windows\System32\xRlUiQh.exe
  2⤵
  PID:12044
- C:\Windows\System32\IAknMXZ.exe
  C:\Windows\System32\IAknMXZ.exe
  2⤵
  PID:12092
- C:\Windows\System32\OUrGEgl.exe
  C:\Windows\System32\OUrGEgl.exe
  2⤵
  PID:12116
- C:\Windows\System32\hVgCWTz.exe
  C:\Windows\System32\hVgCWTz.exe
  2⤵
  PID:12132
- C:\Windows\System32\vfELMDv.exe
  C:\Windows\System32\vfELMDv.exe
  2⤵
  PID:12152
- C:\Windows\System32\mfhOvtQ.exe
  C:\Windows\System32\mfhOvtQ.exe
  2⤵
  PID:12184
- C:\Windows\System32\JQZzbeR.exe
  C:\Windows\System32\JQZzbeR.exe
  2⤵
  PID:12208
- C:\Windows\System32\mshZHjd.exe
  C:\Windows\System32\mshZHjd.exe
  2⤵
  PID:12228
- C:\Windows\System32\FFnPAua.exe
  C:\Windows\System32\FFnPAua.exe
  2⤵
  PID:12252
- C:\Windows\System32\VoBOyyv.exe
  C:\Windows\System32\VoBOyyv.exe
  2⤵
  PID:12268
- C:\Windows\System32\AqYphHj.exe
  C:\Windows\System32\AqYphHj.exe
  2⤵
  PID:11316
- C:\Windows\System32\XXSwQbH.exe
  C:\Windows\System32\XXSwQbH.exe
  2⤵
  PID:11380
- C:\Windows\System32\rsnlNny.exe
  C:\Windows\System32\rsnlNny.exe
  2⤵
  PID:11420
- C:\Windows\System32\rHlgaPG.exe
  C:\Windows\System32\rHlgaPG.exe
  2⤵
  PID:11492
- C:\Windows\System32\ACEkhXS.exe
  C:\Windows\System32\ACEkhXS.exe
  2⤵
  PID:11612
- C:\Windows\System32\iyiuQlc.exe
  C:\Windows\System32\iyiuQlc.exe
  2⤵
  PID:11644
- C:\Windows\System32\RyyQGgG.exe
  C:\Windows\System32\RyyQGgG.exe
  2⤵
  PID:11720
- C:\Windows\System32\UxXWTgZ.exe
  C:\Windows\System32\UxXWTgZ.exe
  2⤵
  PID:11792
- C:\Windows\System32\dPTmOJm.exe
  C:\Windows\System32\dPTmOJm.exe
  2⤵
  PID:11880
- C:\Windows\System32\BUPlQKn.exe
  C:\Windows\System32\BUPlQKn.exe
  2⤵
  PID:11892
- C:\Windows\System32\GRUiVfb.exe
  C:\Windows\System32\GRUiVfb.exe
  2⤵
  PID:11948
- C:\Windows\System32\OcxEPqF.exe
  C:\Windows\System32\OcxEPqF.exe
  2⤵
  PID:12036
- C:\Windows\System32\QOfanfo.exe
  C:\Windows\System32\QOfanfo.exe
  2⤵
  PID:12108
- C:\Windows\System32\mQqtbuQ.exe
  C:\Windows\System32\mQqtbuQ.exe
  2⤵
  PID:12196
- C:\Windows\System32\zgnRqrk.exe
  C:\Windows\System32\zgnRqrk.exe
  2⤵
  PID:2644
- C:\Windows\System32\HIIlWPz.exe
  C:\Windows\System32\HIIlWPz.exe
  2⤵
  PID:12276
- C:\Windows\System32\zhOPhHn.exe
  C:\Windows\System32\zhOPhHn.exe
  2⤵
  PID:11396
- C:\Windows\System32\NXgxChs.exe
  C:\Windows\System32\NXgxChs.exe
  2⤵
  PID:11352
- C:\Windows\System32\BAMLHsp.exe
  C:\Windows\System32\BAMLHsp.exe
  2⤵
  PID:11488
- C:\Windows\System32\UTWrLSR.exe
  C:\Windows\System32\UTWrLSR.exe
  2⤵
  PID:11784
- C:\Windows\System32\xDAXNcg.exe
  C:\Windows\System32\xDAXNcg.exe
  2⤵
  PID:11820
- C:\Windows\System32\JWsKAng.exe
  C:\Windows\System32\JWsKAng.exe
  2⤵
  PID:12032
- C:\Windows\System32\oQnSrLq.exe
  C:\Windows\System32\oQnSrLq.exe
  2⤵
  PID:12068
- C:\Windows\System32\NvujebT.exe
  C:\Windows\System32\NvujebT.exe
  2⤵
  PID:12224
- C:\Windows\System32\gVnTOXx.exe
  C:\Windows\System32\gVnTOXx.exe
  2⤵
  PID:11636
- C:\Windows\System32\WUiDVnb.exe
  C:\Windows\System32\WUiDVnb.exe
  2⤵
  PID:11660
- C:\Windows\System32\uOVfrsS.exe
  C:\Windows\System32\uOVfrsS.exe
  2⤵
  PID:12204
- C:\Windows\System32\JjOyDDw.exe
  C:\Windows\System32\JjOyDDw.exe
  2⤵
  PID:11592
- C:\Windows\System32\gRpfLxb.exe
  C:\Windows\System32\gRpfLxb.exe
  2⤵
  PID:4180
- C:\Windows\System32\ZNTWuvR.exe
  C:\Windows\System32\ZNTWuvR.exe
  2⤵
  PID:12308
- C:\Windows\System32\VJZTSDM.exe
  C:\Windows\System32\VJZTSDM.exe
  2⤵
  PID:12356
- C:\Windows\System32\zLXBaAz.exe
  C:\Windows\System32\zLXBaAz.exe
  2⤵
  PID:12392
- C:\Windows\System32\bUoIbCj.exe
  C:\Windows\System32\bUoIbCj.exe
  2⤵
  PID:12408
- C:\Windows\System32\qmTGaWU.exe
  C:\Windows\System32\qmTGaWU.exe
  2⤵
  PID:12428
- C:\Windows\System32\xIjYFmL.exe
  C:\Windows\System32\xIjYFmL.exe
  2⤵
  PID:12448
- C:\Windows\System32\SJLDWfr.exe
  C:\Windows\System32\SJLDWfr.exe
  2⤵
  PID:12464
- C:\Windows\System32\UIBVKlH.exe
  C:\Windows\System32\UIBVKlH.exe
  2⤵
  PID:12512
- C:\Windows\System32\pgonzuk.exe
  C:\Windows\System32\pgonzuk.exe
  2⤵
  PID:12540
- C:\Windows\System32\BDwmFNZ.exe
  C:\Windows\System32\BDwmFNZ.exe
  2⤵
  PID:12572
- C:\Windows\System32\reZKlbj.exe
  C:\Windows\System32\reZKlbj.exe
  2⤵
  PID:12592
- C:\Windows\System32\XXTdbfl.exe
  C:\Windows\System32\XXTdbfl.exe
  2⤵
  PID:12612
- C:\Windows\System32\eWoPomN.exe
  C:\Windows\System32\eWoPomN.exe
  2⤵
  PID:12632
- C:\Windows\System32\NGJPECh.exe
  C:\Windows\System32\NGJPECh.exe
  2⤵
  PID:12648
- C:\Windows\System32\cbJQxcg.exe
  C:\Windows\System32\cbJQxcg.exe
  2⤵
  PID:12712
- C:\Windows\System32\QZGatQc.exe
  C:\Windows\System32\QZGatQc.exe
  2⤵
  PID:12744
- C:\Windows\System32\DfezBkS.exe
  C:\Windows\System32\DfezBkS.exe
  2⤵
  PID:12764
- C:\Windows\System32\PqKxhPT.exe
  C:\Windows\System32\PqKxhPT.exe
  2⤵
  PID:12800
- C:\Windows\System32\wVjUNIk.exe
  C:\Windows\System32\wVjUNIk.exe
  2⤵
  PID:12824
- C:\Windows\System32\EYVpjIP.exe
  C:\Windows\System32\EYVpjIP.exe
  2⤵
  PID:12844
- C:\Windows\System32\ZlASepG.exe
  C:\Windows\System32\ZlASepG.exe
  2⤵
  PID:12888
- C:\Windows\System32\yJMaoXj.exe
  C:\Windows\System32\yJMaoXj.exe
  2⤵
  PID:12912
- C:\Windows\System32\XmHTnAe.exe
  C:\Windows\System32\XmHTnAe.exe
  2⤵
  PID:12932
- C:\Windows\System32\qhQZIOr.exe
  C:\Windows\System32\qhQZIOr.exe
  2⤵
  PID:12952
- C:\Windows\System32\JnPJdXg.exe
  C:\Windows\System32\JnPJdXg.exe
  2⤵
  PID:12988
- C:\Windows\System32\FhREEzE.exe
  C:\Windows\System32\FhREEzE.exe
  2⤵
  PID:13004
- C:\Windows\System32\JuypOXT.exe
  C:\Windows\System32\JuypOXT.exe
  2⤵
  PID:13048
- C:\Windows\System32\GyfIYyf.exe
  C:\Windows\System32\GyfIYyf.exe
  2⤵
  PID:13072
- C:\Windows\System32\UbGnETU.exe
  C:\Windows\System32\UbGnETU.exe
  2⤵
  PID:13100
- C:\Windows\System32\GtCqoxo.exe
  C:\Windows\System32\GtCqoxo.exe
  2⤵
  PID:13124
- C:\Windows\System32\uJtQpQG.exe
  C:\Windows\System32\uJtQpQG.exe
  2⤵
  PID:13156
- C:\Windows\System32\vZSihXU.exe
  C:\Windows\System32\vZSihXU.exe
  2⤵
  PID:13180
- C:\Windows\System32\defPREO.exe
  C:\Windows\System32\defPREO.exe
  2⤵
  PID:13212
- C:\Windows\System32\pSPkzOA.exe
  C:\Windows\System32\pSPkzOA.exe
  2⤵
  PID:13252
- C:\Windows\System32\GxfTxis.exe
  C:\Windows\System32\GxfTxis.exe
  2⤵
  PID:13268
- C:\Windows\System32\hQryHYc.exe
  C:\Windows\System32\hQryHYc.exe
  2⤵
  PID:13288
- C:\Windows\System32\EvufhtW.exe
  C:\Windows\System32\EvufhtW.exe
  2⤵
  PID:11704
- C:\Windows\System32\fqszEKJ.exe
  C:\Windows\System32\fqszEKJ.exe
  2⤵
  PID:12372
- C:\Windows\System32\QskvmeK.exe
  C:\Windows\System32\QskvmeK.exe
  2⤵
  PID:12460
- C:\Windows\System32\AgyHmZC.exe
  C:\Windows\System32\AgyHmZC.exe
  2⤵
  PID:12456
- C:\Windows\System32\zclBqKp.exe
  C:\Windows\System32\zclBqKp.exe
  2⤵
  PID:12528
- C:\Windows\System32\hvvlqhv.exe
  C:\Windows\System32\hvvlqhv.exe
  2⤵
  PID:12584
- C:\Windows\System32\XeIPthj.exe
  C:\Windows\System32\XeIPthj.exe
  2⤵
  PID:12640

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:860

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\BypCqEr.exe

Filesize
1.3MB

MD5
b60700c7759ed570e37dccd7cde30b7d

SHA1
bfce1aec91b2a3ca64cdef416811ea5f0e07e1c6

SHA256
941c0500d9f3de5c8dbdafe13a14edf200248cca7168a031da3fd7b957149e2e

SHA512
e6f497243d5f7b98b7ab8ea6311b6977271e08953312b68c9a8c1485849791919556541d7e2f0ed5626afebb73fac51aa400722fc120b875ba4c8347eaf12c18

Download Submit
C:\Windows\System32\CXpfVaq.exe

Filesize
1.3MB

MD5
cfe3d3bb8305a50212e404a71333770a

SHA1
9a7d92288cb52652f7b28bb148e1801ddf39ab44

SHA256
fcf57aa429530f1efb4b2e198f1e718a131e0d909b7aafe541f9406e6a9bbc6e

SHA512
cdbb1a7f62cc943254987fea32842798a17ef3b94b1dbd6ef65f5d5da736d44bd9e03a9a16087e2662cd4fcff9d2673d58fc490b4cb352f11e8d8ae79954993a

Download Submit
C:\Windows\System32\CwzSmwl.exe

Filesize
1.3MB

MD5
01c968af1b2bb88ca7817e98c199e1c6

SHA1
af4b8cf2e08935afb346dddae93a5caa0ff9c4da

SHA256
d983cd94d8e98af6100aa6f367390f3acbe0154e369c1aa5cfc62c825212a9de

SHA512
985e607d5d9c4cb99328524c87513c00c024dfd32a8ce6c0c584c1ec8cdaad5c7054fa1a349a96fdb666b5862fcb6f2475f3d283488e19462e63f7c3a6b9e029

Download Submit
C:\Windows\System32\GCdeDuE.exe

Filesize
1.3MB

MD5
0b6317fb77586e3ef96634ac062de7d1

SHA1
74c6bb2f1b25fca04c197e0d0b1d9cdcfd814cc6

SHA256
cf0759bdb9e1d99cce58e203106c40590f19346e984504c6e47934c76d8f66e1

SHA512
6aa2a92e1f2ed2822658593cd975869144afa49a4cb3f2aaf02667c548308bdbc893c29e6d1848a28b3774ed310542e3108a21edd58197f2a325172365b33ec4

Download Submit
C:\Windows\System32\HFGAufC.exe

Filesize
1.3MB

MD5
e1ee1ba95d9a4328f362b8f72c2a8f8a

SHA1
4837c79489ed363d5728cc2271c1e88d36d9f88b

SHA256
79586c599d61f712e031ce907571ae37abf15eaa481d8bfddb00408f7038fb10

SHA512
3c925906414ae560f678a6b598c484b906e76ebe41b2920dae1be523cd27a0c7f4e76269dbb490f9c9c68af3ca946c429f0a2ba4238b6ad98851953ad45442b2

Download Submit
C:\Windows\System32\JwofOLl.exe

Filesize
1.3MB

MD5
9b0ec09e45134f65495998fe35cde5e0

SHA1
b3493ec112b78cf611ad60fe591114c184ad5989

SHA256
ae46e76943e14703e4cd517925a38890b6eefadaae98eb2795398ecf8cce9c90

SHA512
7952bd31856f0fb7995f4c063285d2b3c156c68f3ace99f176c53e8f2e3002289af61fde8c4ac22678f8f6ae2c9c50b6afdae13ca3e80742dc0c491439caa3ee

Download Submit
C:\Windows\System32\KoTKyEL.exe

Filesize
1.3MB

MD5
dae232f68b835d928e704a2548a76b2d

SHA1
df9531fdd908b70bef63207f03de0c69e7437200

SHA256
7c004535d26a9197abad87d2af1bc1495f399f39ef1b8dbb130373f04614c717

SHA512
ff0253fb2e68135ebe4764189c8474a4a07a216b22d8a5c2e5f69ade52fe983d9a348820dad4e6dbc7b6627ca0d6f547fd609241eb3d73fba9f85d1b04599231

Download Submit
C:\Windows\System32\LhPRoSt.exe

Filesize
1.3MB

MD5
33942a38215709959dd4c945288f2b82

SHA1
85fa27e6a6d81cf7075365f1116f7b3e4f805d66

SHA256
9ae5706f3c53ee9ca910d9c8027e64549f99d8cdf7d2a4663e2b686725a2052f

SHA512
a41a121c968bec2c4527548c75eb49ca7588c9439fee14f3966cbd72277eed096df66a47abf444b5147f5b0eaf499055d9f13a478647109382aa166853827f1d

Download Submit
C:\Windows\System32\LxiAuYz.exe

Filesize
1.3MB

MD5
43a7af626025b182751c577405e90ba7

SHA1
075ea6b9490a9ee7cd1d3d70391f9ab24a8048e2

SHA256
4db88357c44b93e9966c47054cd74e2eb59cf92e5c5466c6c46f12513a33532f

SHA512
a6c2201ef969368934018f9396a7892b807c756cf94dd8315194f255c3488a88e5a49ecc685a75aaab582442d132b9483f398a262a3a85b782e4b7722219b5cf

Download Submit
C:\Windows\System32\OauwqeC.exe

Filesize
1.3MB

MD5
3cf7ddcda9da1daeb5e61081dfad2520

SHA1
d133082d7026f3ca634fa6a88be41fcdca8583ad

SHA256
4a1fa7094aa02a1dc7cf85f9c228d2a9aa9f3e45436488589c4bc5382341fd4b

SHA512
0905b5d3e357211ebe458d6479293f3ce8872085816049e9d71ac1cc66caeae3260ffafd46dc8ec7a8d67995919078a8aef8393d7ee70833bff22dfeef1f5e90

Download Submit
C:\Windows\System32\QuqvhPS.exe

Filesize
1.3MB

MD5
d8b0191bc913d003651f627d0b956293

SHA1
5d4b2e74a7113a058d2e2a4095728e8a92b9049f

SHA256
956393f18f68b1cbc596962e463682485846a9f874c05f9d383f596e293d73e3

SHA512
52342ea802ae75a476a36f16ca4e5cc04f06f634f3457850f4b2edbeb755a998c65c7bcc1d64f701f2eb089b42d12ca7d31570721ddffd2a6223f964e332ac57

Download Submit
C:\Windows\System32\Qyufljo.exe

Filesize
1.3MB

MD5
bb22619f37a23b77a96f0efa8a28501a

SHA1
52d8c4d5b8392eb9857f6f3644a7e3a1af42ad8d

SHA256
63f03000a4ab6299133e58fb2b86bb91d771c75fcc5c04535b7fcdf352994da6

SHA512
7f1047aeb03e5a6466ac7db153213d5f4c5bd0a432bb2e20df3836fea3e7fa418439f3e596253273b73c0c02e103385a0dc8227c40d2fe31208815833b28affa

Download Submit
C:\Windows\System32\XdtAAbf.exe

Filesize
1.3MB

MD5
178aa198a2877bd533a490ecafe65466

SHA1
a724f5c172d3c3dfd1fc062771dc36dc1a79d150

SHA256
b6055b558162e95b53394ed2e6490a65a6673ed7e1e08a1dc365c74665eba156

SHA512
dbbcb44b8d4fe97233bc491cf2db94cc2a354730a3b4ce9b734fc9edf2f79402755a62a563b563714d854017bacc6fc6eb5537a7f73b91ccd607f0cd3f811d59

Download Submit
C:\Windows\System32\YvWodfj.exe

Filesize
1.3MB

MD5
a3633bad2164aad48d70ae71423cb5f8

SHA1
d8aea909cd2df3f8c2e6abb5998357da4ca126ba

SHA256
cee5dd31b7c101d0c77875be09b37dc4161b81a80013dea05517c228c1cb25e5

SHA512
d83597753699c5876f1a92ce03f5f05f4d53461e571dcdc218420ad57cac8f5dcf3739087015b8052b9cb2314c0d5b4f7c451e5cacbe64d9318e876e825316f2

Download Submit
C:\Windows\System32\ZTSqhZt.exe

Filesize
1.3MB

MD5
0b2ddaf007a7ba22fc2ad84ba8eda1bd

SHA1
695dd1fef4c9983afa0d93598e40cdb72ad3d0d6

SHA256
4b5fe614ca976237632a06cfe66d91185c5804bbdb2e4af9317970251c7b716c

SHA512
55c70f8aa2822e9ae7f92bafc3e276b34b4104e4cb470ac528bd56d4e16f6da5bc30e2adaaef67e0ebabaa4416df03fc0e6000616c579131dc9c47278d9ebddb

Download Submit
C:\Windows\System32\aUMIeOD.exe

Filesize
1.3MB

MD5
0fa321ead3ffbf8e7996598826f9a4af

SHA1
a82e3790b24e44882066ab05b1f32d383122112a

SHA256
f82069ad69b3806a2e2438d16078330bf58da0ddf8b0d35a06753e4926738e39

SHA512
dfc8cf637e31d6bba67cf82b9b9bc34a2bf62932adaa0177ef6cefd7de77a8e5954a6ffe0db98dc5a3426431ea0b7d83965eec0a4d83bfb5498f28cb10bf2fd8

Download Submit
C:\Windows\System32\acmskVd.exe

Filesize
1.3MB

MD5
fb7b91984c44a92f510bb9c0cbb4644e

SHA1
fd7a1d382eb78a5bb3bd4daeb5f978b6c3012b48

SHA256
973ffb294a413c67950bd152b0f6c0a9434c21814f2d4e328e826a456229218e

SHA512
296eb6875cf91629ce0f34ed4f699ccbb6163861a9c2f5fff2f1d9531f0df82739ca94fc6a46543a30605881f77a50d2729f3a8ab1f852394429be6c9aa604f3

Download Submit
C:\Windows\System32\amHMnht.exe

Filesize
1.3MB

MD5
274594c3f1965ac43f3493a230f5f6eb

SHA1
dd570405210379fac7e3ad5da8bcd7044678b8ae

SHA256
7f6f38f18f2ee7aae309cc0411d83e7bf1dfcbd31559837ca3a9613ca2d56c87

SHA512
666b6fc7006166460c556c5c7dbc0892ca5c883c7bb2572743258b8f9957dcb73bd0672adaf941f44af2724ac80e5721a5dab3907be88f00efcb04e5b4bb23d9

Download Submit
C:\Windows\System32\bhTkRfY.exe

Filesize
1.3MB

MD5
c3727104cfc7b3a09be77f3b71ea7050

SHA1
fc2014e57b07eada55f710f203d8181ffad988d7

SHA256
33ae5fa43eaa6ba06e90bda550de945b95dbc9a0f86f91dfece0f60fd3364d8f

SHA512
898102622ae7f925344ff2faa4cd7639fd12fd4d6d4912b2aab1870e9349089af5dee7f10222d41318ba5c68de8c46dae7a544e57dc18dcedc87ddab5bfb66f6

Download Submit
C:\Windows\System32\bzqyeFP.exe

Filesize
1.3MB

MD5
3a4e97e4abcef52f8b13ef2791c7909a

SHA1
f8bc23dccc7ccc0581e0132fa3ba6754cf8300c3

SHA256
25339e961d9822234fe71c8329e5768242e15fe0a18f5e2f380d59e3c04eb0b6

SHA512
bc5e57079e2d0dadc2988eb28f8b8061775c5ca4872f2c724dfaeae165eaa368fe8d44e93b64e84bcbac448e40dfbd0083aae6c275a4fc2054433a2673c55937

Download Submit
C:\Windows\System32\dmlJYJN.exe

Filesize
1.3MB

MD5
3e14308aee46bd362191c38811a4e10b

SHA1
7f436c846c2606e3021a5f1faa33589985815de2

SHA256
678e9132a48b0d2ca6b694c1281115288642ea312173eddbe83e8a4c834929c8

SHA512
96bf39e949e1424823de13677ee97291d8eb639122f1425b04623d6ed52e495258f3e4a6002dde7b4417e8a90388ebc56cc24f0f561b88328bdda9a345f8f26a

Download Submit
C:\Windows\System32\gGIAwAz.exe

Filesize
1.3MB

MD5
a116efd910557ac51616a7d440bc1904

SHA1
24d9dbbca032735e45d0c1acad2359a073460156

SHA256
a7ac34e8638baa7f74b8ff8cf6f452d9a5351555c1591f6155e15056837dfadd

SHA512
cd9e8eccc3091094fd1ab114c134c265a700e4f30856198823fdb5aa704df30fbd2bebfc7f39bc6fccd8275d78759df0b42f96f1ab8a75199755ebfc27ab1eed

Download Submit
C:\Windows\System32\gXQNAFX.exe

Filesize
1.3MB

MD5
46cc14c6a9d029d379a3fb23973e7f27

SHA1
81e9134c6dde3dc560b3439cf17d3b789202b590

SHA256
45352276b6d580536371ee2a7c760526a6623ff3da05d9bb628eadd34eb817d3

SHA512
de57b147bf884493e1f843020ca994e9dbe5ab53d1a8c88e23a94b61de94e7892c8a762740727a5431ed629dc2f74635effcefc27662d6425a580343b71c2c78

Download Submit
C:\Windows\System32\jzogaQq.exe

Filesize
1.3MB

MD5
9a934cb43447ce046a1e3763cd9697cb

SHA1
8218b328fea2beee495c102e8163547d5a475553

SHA256
f53a0876f6b6142e66eaee2408b5b2e953db317f67e1367470d835752de4c2a7

SHA512
7f93177a8718714618b07ca336182198848c254bbd8718387f63296b365ca7c0ac81b8ff8e2e1ff905e98e9f825037d80a470759cccb8cac830dacf99ad545e6

Download Submit
C:\Windows\System32\kiHlFPU.exe

Filesize
1.3MB

MD5
05a0e036270c3f9592aabf625fa10f6c

SHA1
738dc9772d20e60fcf3ac6338c2231bae45c5e5b

SHA256
a59aed385a04d45cdb28a72163785c2a28a91ea92d1459d09ed8e79f1b0304da

SHA512
0175293fb55ee4577f1823331b943330156836436701048bc9938f7c6e91e7c82254b951e87f69bf220690c1d298443395d3310a54d11e5370deece3cc4b3af1

Download Submit
C:\Windows\System32\nEKlAaV.exe

Filesize
1.3MB

MD5
4a306bbec1f613589bb0ab6bbe18db07

SHA1
0f4c2c431ab89032ceb8af298d6345b548e250bc

SHA256
72f93be2218c2a6548e8dfa1a9a42c250e8f159acdbf73c3841e11a1630c333f

SHA512
0a58a563674aaae54531d8efbb41c4e4bc3dc92489b0e7fa3018438cc17d249470e15ca1f26ae303fcfd0700cc232bd0c487c0263555ad3c9bd42694d736e2fd

Download Submit
C:\Windows\System32\oVIecRR.exe

Filesize
1.3MB

MD5
a09fb08b142b5ca0095113761a8f5ffb

SHA1
d974476b29367d447bdac923099277e565af4e26

SHA256
63854f791039c9c21c93be368990b5826eef67839a53207e5350c6486920ae60

SHA512
7babb1e6f37b408638f5d38befcae269933bc4714be7c6ca8f58d775836e30d034ca53dadd0de474f1a6253f61471377f164df855aee0d6ec4dc35f1943116dc

Download Submit
C:\Windows\System32\pFZMVwm.exe

Filesize
1.3MB

MD5
165aa0777df87dc44baff68827e1735e

SHA1
57449226cb517cb7b3566fb8ea568145f7c02b3b

SHA256
acc74a6b54750caa54a8e9a598649614f655f70779abffba1d826d495bba6acb

SHA512
809cf7320b63a734997b2ec6f75f3ccbfb39a003ad4871467c47effcfb98efeb8e27e5f4b781cbf046d166cdf8a8e7ca39a5f6178d5e80e98f58729ff9ead1db

Download Submit
C:\Windows\System32\pnmlFVo.exe

Filesize
1.3MB

MD5
ea67f8aee70ddccbaebe869815c121a3

SHA1
03c6c359a8befaf7a98fa4e2e7442e9bde81c5df

SHA256
c8e6b1832cf73952984dac7df41f8235ed74fe87edfef0c100b1712ea548ac14

SHA512
064cb00b5094562302c3cc63bddac70e882728b47fc6b939d307b5973b5beb1e38c923b16438176a585d2d1bfe0126eae0e2403d0c8694d9ba67cdacc3e7abf7

Download Submit
C:\Windows\System32\uErYSyL.exe

Filesize
1.3MB

MD5
153a423cf06945502fac44e0ca49256c

SHA1
c915c71bb5f7a3da0df88f19bcac0cbf207df0d9

SHA256
800605633fe3e5290172350af43cfa7752c36fdf2fe52d2cb29a6f21424c9f2a

SHA512
90e883dc4f255d4fbaf1555499507e52e943165c0f148719274616e885f81f10a93891e282b6eedd61b5b93d801545793c44fd55960d9c55ab2b7171fe0e3764

Download Submit
C:\Windows\System32\xTGRBwB.exe

Filesize
1.3MB

MD5
b0032c9d0d13cf8d3cda6822cdcbb17c

SHA1
75639cd81cf6719d40fe2ca9616e1895df7073be

SHA256
d0741631db05dc040a557f2b87ae625e9bb05cf2805d4685f181c9ea0bde5318

SHA512
26bc6f9ad0728df4dab7717575bf14b99f33dc6cb0b3e69542a441e87afe90def0481048104b8446547d51eedfe28b447b85cfd1083c377335fd261845a61357

Download Submit
C:\Windows\System32\xXTLVXw.exe

Filesize
1.3MB

MD5
c4492cbdd3c766ae53f6dafaf642ac16

SHA1
330d871fc8e7469fcf09d64134a5d069486f4e79

SHA256
e696d2cd1fd1200c91ad1a3cc4f091752e5946c8995751c31da89b0424ad549e

SHA512
a812850fb68adf85783c2b74ad7178c04361c6505068cdb2ebdabbb908c5df00790952e693977e73c2be5edfd77f048fbe69adf25aae114fca4cee33a1ea8f3d

Download Submit
memory/184-414-0x00007FF6AFA60000-0x00007FF6AFE51000-memory.dmp

Filesize
3.9MB

Download
memory/184-2002-0x00007FF6AFA60000-0x00007FF6AFE51000-memory.dmp

Filesize
3.9MB

Download
memory/448-37-0x00007FF66BCA0000-0x00007FF66C091000-memory.dmp

Filesize
3.9MB

Download
memory/448-1988-0x00007FF66BCA0000-0x00007FF66C091000-memory.dmp

Filesize
3.9MB

Download
memory/872-430-0x00007FF7516A0000-0x00007FF751A91000-memory.dmp

Filesize
3.9MB

Download
memory/872-2016-0x00007FF7516A0000-0x00007FF751A91000-memory.dmp

Filesize
3.9MB

Download
memory/932-8-0x00007FF6F62F0000-0x00007FF6F66E1000-memory.dmp

Filesize
3.9MB

Download
memory/932-1986-0x00007FF6F62F0000-0x00007FF6F66E1000-memory.dmp

Filesize
3.9MB

Download
memory/932-1977-0x00007FF6F62F0000-0x00007FF6F66E1000-memory.dmp

Filesize
3.9MB

Download
memory/1224-2004-0x00007FF7F1750000-0x00007FF7F1B41000-memory.dmp

Filesize
3.9MB

Download
memory/1224-416-0x00007FF7F1750000-0x00007FF7F1B41000-memory.dmp

Filesize
3.9MB

Download
memory/1548-420-0x00007FF71D920000-0x00007FF71DD11000-memory.dmp

Filesize
3.9MB

Download
memory/1548-2010-0x00007FF71D920000-0x00007FF71DD11000-memory.dmp

Filesize
3.9MB

Download
memory/1800-2032-0x00007FF702720000-0x00007FF702B11000-memory.dmp

Filesize
3.9MB

Download
memory/1800-464-0x00007FF702720000-0x00007FF702B11000-memory.dmp

Filesize
3.9MB

Download
memory/1940-40-0x00007FF7FD8D0000-0x00007FF7FDCC1000-memory.dmp

Filesize
3.9MB

Download
memory/1940-1994-0x00007FF7FD8D0000-0x00007FF7FDCC1000-memory.dmp

Filesize
3.9MB

Download
memory/2004-417-0x00007FF6B5D90000-0x00007FF6B6181000-memory.dmp

Filesize
3.9MB

Download
memory/2004-2020-0x00007FF6B5D90000-0x00007FF6B6181000-memory.dmp

Filesize
3.9MB

Download
memory/2060-2028-0x00007FF68EDB0000-0x00007FF68F1A1000-memory.dmp

Filesize
3.9MB

Download
memory/2060-452-0x00007FF68EDB0000-0x00007FF68F1A1000-memory.dmp

Filesize
3.9MB

Download
memory/2192-413-0x00007FF7F89F0000-0x00007FF7F8DE1000-memory.dmp

Filesize
3.9MB

Download
memory/2192-2000-0x00007FF7F89F0000-0x00007FF7F8DE1000-memory.dmp

Filesize
3.9MB

Download
memory/2820-438-0x00007FF606E00000-0x00007FF6071F1000-memory.dmp

Filesize
3.9MB

Download
memory/2820-2014-0x00007FF606E00000-0x00007FF6071F1000-memory.dmp

Filesize
3.9MB

Download
memory/2892-2018-0x00007FF663B70000-0x00007FF663F61000-memory.dmp

Filesize
3.9MB

Download
memory/2892-415-0x00007FF663B70000-0x00007FF663F61000-memory.dmp

Filesize
3.9MB

Download
memory/2904-0-0x00007FF760070000-0x00007FF760461000-memory.dmp

Filesize
3.9MB

Download
memory/2904-1-0x000001D4C2540000-0x000001D4C2550000-memory.dmp

Filesize
64KB

Download
memory/2960-459-0x00007FF6542F0000-0x00007FF6546E1000-memory.dmp

Filesize
3.9MB

Download
memory/2960-2026-0x00007FF6542F0000-0x00007FF6546E1000-memory.dmp

Filesize
3.9MB

Download
memory/3104-1990-0x00007FF738C30000-0x00007FF739021000-memory.dmp

Filesize
3.9MB

Download
memory/3104-39-0x00007FF738C30000-0x00007FF739021000-memory.dmp

Filesize
3.9MB

Download
memory/3200-418-0x00007FF626A70000-0x00007FF626E61000-memory.dmp

Filesize
3.9MB

Download
memory/3200-2008-0x00007FF626A70000-0x00007FF626E61000-memory.dmp

Filesize
3.9MB

Download
memory/3352-14-0x00007FF620BD0000-0x00007FF620FC1000-memory.dmp

Filesize
3.9MB

Download
memory/3352-1978-0x00007FF620BD0000-0x00007FF620FC1000-memory.dmp

Filesize
3.9MB

Download
memory/3352-1996-0x00007FF620BD0000-0x00007FF620FC1000-memory.dmp

Filesize
3.9MB

Download
memory/4048-446-0x00007FF6C6E70000-0x00007FF6C7261000-memory.dmp

Filesize
3.9MB

Download
memory/4048-2024-0x00007FF6C6E70000-0x00007FF6C7261000-memory.dmp

Filesize
3.9MB

Download
memory/4196-38-0x00007FF7D7160000-0x00007FF7D7551000-memory.dmp

Filesize
3.9MB

Download
memory/4196-1992-0x00007FF7D7160000-0x00007FF7D7551000-memory.dmp

Filesize
3.9MB

Download
memory/4204-422-0x00007FF66A5D0000-0x00007FF66A9C1000-memory.dmp

Filesize
3.9MB

Download
memory/4204-2012-0x00007FF66A5D0000-0x00007FF66A9C1000-memory.dmp

Filesize
3.9MB

Download
memory/4464-1998-0x00007FF740DF0000-0x00007FF7411E1000-memory.dmp

Filesize
3.9MB

Download
memory/4464-1979-0x00007FF740DF0000-0x00007FF7411E1000-memory.dmp

Filesize
3.9MB

Download
memory/4464-41-0x00007FF740DF0000-0x00007FF7411E1000-memory.dmp

Filesize
3.9MB

Download
memory/4692-2006-0x00007FF756D50000-0x00007FF757141000-memory.dmp

Filesize
3.9MB

Download
memory/4692-421-0x00007FF756D50000-0x00007FF757141000-memory.dmp

Filesize
3.9MB

Download
memory/4836-2022-0x00007FF62D150000-0x00007FF62D541000-memory.dmp

Filesize
3.9MB

Download
memory/4836-419-0x00007FF62D150000-0x00007FF62D541000-memory.dmp

Filesize
3.9MB

Download
memory/5100-2030-0x00007FF78FA90000-0x00007FF78FE81000-memory.dmp

Filesize
3.9MB

Download
memory/5100-462-0x00007FF78FA90000-0x00007FF78FE81000-memory.dmp

Filesize
3.9MB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads