xmrig | 2cd77c20e010df880c50346f36ed06ff04d991817910b88cb4deaa204a3339c0

Analysis

max time kernel
109s
max time network
111s
platform
windows10-2004_x64
resource
win10v2004-20240508-en
resource tags

arch:x64arch:x86image:win10v2004-20240508-enlocale:en-usos:windows10-2004-x64system
submitted
28/05/2024, 09:44

Sharing

Copy URL Twitter E-mail

Report Analysis Logs

General

Target

3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
Size

1.4MB
MD5

3de56c7fa9b5c3d1494eace80d9b3630
SHA1

52d9e00e3cab8d07bd14961f2d0b289a75e320a4
SHA256

2cd77c20e010df880c50346f36ed06ff04d991817910b88cb4deaa204a3339c0
SHA512

9e8900fe2147387b30434fb32d8e5b64c21d9b2e5467d9351ba696ca8969bebafe540323dbd398aeae2ac08d7dc525360432ee8302cec2242aed844bfb4cc27c
SSDEEP

24576:JanwhSe11QSONCpGJCjETPlWXWZ5PbcmC3f/DFNkTQIi2Wc/Bt1Fqu9g/+GElJU:knw9oUUEEDl37jcmWH/xW/X18u9g/BeU

Score

10^/10

xmrig miner upx

Malware Config

Signatures

Suspicious use of NtCreateUserProcessOtherParentProcess 1 IoCs

description	pid	Process	procid_target
PID 13052 created 4696	13052	WerFaultSecure.exe	79

xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 47 IoCs

miner

resource	yara_rule
behavioral2/memory/4380-417-0x00007FF63AEE0000-0x00007FF63B2D1000-memory.dmp	xmrig
behavioral2/memory/1216-418-0x00007FF768740000-0x00007FF768B31000-memory.dmp	xmrig
behavioral2/memory/4228-419-0x00007FF7C7AD0000-0x00007FF7C7EC1000-memory.dmp	xmrig
behavioral2/memory/704-420-0x00007FF62F0C0000-0x00007FF62F4B1000-memory.dmp	xmrig
behavioral2/memory/1972-421-0x00007FF65D720000-0x00007FF65DB11000-memory.dmp	xmrig
behavioral2/memory/4848-422-0x00007FF6D8150000-0x00007FF6D8541000-memory.dmp	xmrig
behavioral2/memory/2604-423-0x00007FF731970000-0x00007FF731D61000-memory.dmp	xmrig
behavioral2/memory/2776-424-0x00007FF600E90000-0x00007FF601281000-memory.dmp	xmrig
behavioral2/memory/3152-425-0x00007FF6A2870000-0x00007FF6A2C61000-memory.dmp	xmrig
behavioral2/memory/964-427-0x00007FF7AE5C0000-0x00007FF7AE9B1000-memory.dmp	xmrig
behavioral2/memory/3924-426-0x00007FF758140000-0x00007FF758531000-memory.dmp	xmrig
behavioral2/memory/2276-428-0x00007FF71D200000-0x00007FF71D5F1000-memory.dmp	xmrig
behavioral2/memory/1592-429-0x00007FF6720F0000-0x00007FF6724E1000-memory.dmp	xmrig
behavioral2/memory/3244-430-0x00007FF7FDC90000-0x00007FF7FE081000-memory.dmp	xmrig
behavioral2/memory/848-431-0x00007FF64DE50000-0x00007FF64E241000-memory.dmp	xmrig
behavioral2/memory/3260-439-0x00007FF7216C0000-0x00007FF721AB1000-memory.dmp	xmrig
behavioral2/memory/2952-433-0x00007FF60BD30000-0x00007FF60C121000-memory.dmp	xmrig
behavioral2/memory/8-445-0x00007FF7FF700000-0x00007FF7FFAF1000-memory.dmp	xmrig
behavioral2/memory/3764-452-0x00007FF693EB0000-0x00007FF6942A1000-memory.dmp	xmrig
behavioral2/memory/4864-458-0x00007FF7B6E40000-0x00007FF7B7231000-memory.dmp	xmrig
behavioral2/memory/1696-1962-0x00007FF638870000-0x00007FF638C61000-memory.dmp	xmrig
behavioral2/memory/1020-1964-0x00007FF68DBA0000-0x00007FF68DF91000-memory.dmp	xmrig
behavioral2/memory/3436-1963-0x00007FF79A950000-0x00007FF79AD41000-memory.dmp	xmrig
behavioral2/memory/1696-1970-0x00007FF638870000-0x00007FF638C61000-memory.dmp	xmrig
behavioral2/memory/3168-1972-0x00007FF67D530000-0x00007FF67D921000-memory.dmp	xmrig
behavioral2/memory/4380-1974-0x00007FF63AEE0000-0x00007FF63B2D1000-memory.dmp	xmrig
behavioral2/memory/8-1976-0x00007FF7FF700000-0x00007FF7FFAF1000-memory.dmp	xmrig
behavioral2/memory/3764-1980-0x00007FF693EB0000-0x00007FF6942A1000-memory.dmp	xmrig
behavioral2/memory/1020-1982-0x00007FF68DBA0000-0x00007FF68DF91000-memory.dmp	xmrig
behavioral2/memory/4228-1978-0x00007FF7C7AD0000-0x00007FF7C7EC1000-memory.dmp	xmrig
behavioral2/memory/4864-1984-0x00007FF7B6E40000-0x00007FF7B7231000-memory.dmp	xmrig
behavioral2/memory/2604-1996-0x00007FF731970000-0x00007FF731D61000-memory.dmp	xmrig
behavioral2/memory/2776-2000-0x00007FF600E90000-0x00007FF601281000-memory.dmp	xmrig
behavioral2/memory/3152-1998-0x00007FF6A2870000-0x00007FF6A2C61000-memory.dmp	xmrig
behavioral2/memory/4848-1994-0x00007FF6D8150000-0x00007FF6D8541000-memory.dmp	xmrig
behavioral2/memory/704-1990-0x00007FF62F0C0000-0x00007FF62F4B1000-memory.dmp	xmrig
behavioral2/memory/3436-1988-0x00007FF79A950000-0x00007FF79AD41000-memory.dmp	xmrig
behavioral2/memory/1216-1986-0x00007FF768740000-0x00007FF768B31000-memory.dmp	xmrig
behavioral2/memory/1972-1992-0x00007FF65D720000-0x00007FF65DB11000-memory.dmp	xmrig
behavioral2/memory/2952-2061-0x00007FF60BD30000-0x00007FF60C121000-memory.dmp	xmrig
behavioral2/memory/3244-2020-0x00007FF7FDC90000-0x00007FF7FE081000-memory.dmp	xmrig
behavioral2/memory/3260-2058-0x00007FF7216C0000-0x00007FF721AB1000-memory.dmp	xmrig
behavioral2/memory/2276-2015-0x00007FF71D200000-0x00007FF71D5F1000-memory.dmp	xmrig
behavioral2/memory/964-2014-0x00007FF7AE5C0000-0x00007FF7AE9B1000-memory.dmp	xmrig
behavioral2/memory/3924-2012-0x00007FF758140000-0x00007FF758531000-memory.dmp	xmrig
behavioral2/memory/848-2025-0x00007FF64DE50000-0x00007FF64E241000-memory.dmp	xmrig
behavioral2/memory/1592-2023-0x00007FF6720F0000-0x00007FF6724E1000-memory.dmp	xmrig

Executes dropped EXE 64 IoCs

pid	Process
1696	mFipuEr.exe
3168	uomEYcM.exe
8	fIajwMw.exe
3436	MdJVGJz.exe
1020	BEbLdnT.exe
4380	PWQcrnX.exe
3764	aMTpZWG.exe
1216	gieVfJF.exe
4864	ATJAgTV.exe
4228	sgqNzwq.exe
704	oVmLjPw.exe
1972	tfHsYYV.exe
4848	LSQiwDV.exe
2604	cFwtiDk.exe
2776	akUyRAA.exe
3152	wCjMYBc.exe
3924	bmPmmDt.exe
964	bAPAnZn.exe
2276	ZVlPBZj.exe
1592	wQQbjWJ.exe
3244	ipXGUdl.exe
848	DTRrYkU.exe
2952	NqZAVtX.exe
3260	wTDLKAe.exe
5092	tBZdJHR.exe
3084	wKBMyhg.exe
2788	fMWoPfE.exe
4480	mNcoaks.exe
4544	lXSQtuZ.exe
3036	MbIyVZk.exe
1732	OcFONlI.exe
2592	XIMXGqW.exe
5000	jBnDPrM.exe
1540	vdfJZFp.exe
3308	NfxYoOc.exe
4624	soRVdsV.exe
3408	cLBoALU.exe
1988	GJUkuRK.exe
3052	GQZhfHN.exe
3000	Douvnyk.exe
4952	rHlLvTu.exe
1396	ceetrwe.exe
3100	YmWdYAV.exe
4876	zaCiNmb.exe
4520	CUyxWal.exe
2504	pPOLQNT.exe
216	QGcNSJh.exe
1992	IuwJPlE.exe
4308	rAtPzlT.exe
4396	pSsbKVw.exe
3184	wrJUlXs.exe
3012	lSbcbxN.exe
3160	RYlDJVe.exe
2996	FtimEog.exe
1688	hKaWWmb.exe
836	qmfsWvF.exe
3684	ytQrAQp.exe
4504	kkFPBdj.exe
2524	iYhtojD.exe
1232	CjIudhC.exe
884	VskRRPB.exe
3348	ZNLDhcV.exe
2816	ToitGfy.exe
1712	rbxgHKJ.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/3344-0-0x00007FF679320000-0x00007FF679711000-memory.dmp	upx
behavioral2/files/0x000900000002328e-5.dat	upx
behavioral2/files/0x0007000000023407-22.dat	upx
behavioral2/memory/3168-33-0x00007FF67D530000-0x00007FF67D921000-memory.dmp	upx
behavioral2/files/0x000700000002340e-40.dat	upx
behavioral2/files/0x000700000002340b-44.dat	upx
behavioral2/files/0x000700000002340c-51.dat	upx
behavioral2/files/0x000700000002340d-56.dat	upx
behavioral2/files/0x0007000000023411-66.dat	upx
behavioral2/files/0x0007000000023414-81.dat	upx
behavioral2/files/0x000700000002341b-116.dat	upx
behavioral2/files/0x000700000002341d-126.dat	upx
behavioral2/files/0x000700000002341f-136.dat	upx
behavioral2/files/0x0007000000023421-152.dat	upx
behavioral2/files/0x0007000000023424-164.dat	upx
behavioral2/files/0x0007000000023423-162.dat	upx
behavioral2/files/0x0007000000023422-157.dat	upx
behavioral2/files/0x0007000000023420-147.dat	upx
behavioral2/files/0x000700000002341e-135.dat	upx
behavioral2/files/0x000700000002341c-125.dat	upx
behavioral2/files/0x000700000002341a-115.dat	upx
behavioral2/files/0x0007000000023419-109.dat	upx
behavioral2/files/0x0007000000023418-107.dat	upx
behavioral2/files/0x0007000000023417-99.dat	upx
behavioral2/files/0x0007000000023416-97.dat	upx
behavioral2/files/0x0007000000023415-89.dat	upx
behavioral2/files/0x0007000000023413-79.dat	upx
behavioral2/files/0x0007000000023412-77.dat	upx
behavioral2/files/0x0007000000023410-64.dat	upx
behavioral2/files/0x000700000002340f-59.dat	upx
behavioral2/files/0x0007000000023408-53.dat	upx
behavioral2/memory/1020-415-0x00007FF68DBA0000-0x00007FF68DF91000-memory.dmp	upx
behavioral2/memory/4380-417-0x00007FF63AEE0000-0x00007FF63B2D1000-memory.dmp	upx
behavioral2/memory/1216-418-0x00007FF768740000-0x00007FF768B31000-memory.dmp	upx
behavioral2/memory/4228-419-0x00007FF7C7AD0000-0x00007FF7C7EC1000-memory.dmp	upx
behavioral2/memory/704-420-0x00007FF62F0C0000-0x00007FF62F4B1000-memory.dmp	upx
behavioral2/files/0x0007000000023409-42.dat	upx
behavioral2/memory/3436-38-0x00007FF79A950000-0x00007FF79AD41000-memory.dmp	upx
behavioral2/files/0x000700000002340a-37.dat	upx
behavioral2/files/0x0008000000023405-32.dat	upx
behavioral2/memory/1696-8-0x00007FF638870000-0x00007FF638C61000-memory.dmp	upx
behavioral2/memory/1972-421-0x00007FF65D720000-0x00007FF65DB11000-memory.dmp	upx
behavioral2/memory/4848-422-0x00007FF6D8150000-0x00007FF6D8541000-memory.dmp	upx
behavioral2/memory/2604-423-0x00007FF731970000-0x00007FF731D61000-memory.dmp	upx
behavioral2/memory/2776-424-0x00007FF600E90000-0x00007FF601281000-memory.dmp	upx
behavioral2/memory/3152-425-0x00007FF6A2870000-0x00007FF6A2C61000-memory.dmp	upx
behavioral2/memory/964-427-0x00007FF7AE5C0000-0x00007FF7AE9B1000-memory.dmp	upx
behavioral2/memory/3924-426-0x00007FF758140000-0x00007FF758531000-memory.dmp	upx
behavioral2/memory/2276-428-0x00007FF71D200000-0x00007FF71D5F1000-memory.dmp	upx
behavioral2/memory/1592-429-0x00007FF6720F0000-0x00007FF6724E1000-memory.dmp	upx
behavioral2/memory/3244-430-0x00007FF7FDC90000-0x00007FF7FE081000-memory.dmp	upx
behavioral2/memory/848-431-0x00007FF64DE50000-0x00007FF64E241000-memory.dmp	upx
behavioral2/memory/3260-439-0x00007FF7216C0000-0x00007FF721AB1000-memory.dmp	upx
behavioral2/memory/2952-433-0x00007FF60BD30000-0x00007FF60C121000-memory.dmp	upx
behavioral2/memory/8-445-0x00007FF7FF700000-0x00007FF7FFAF1000-memory.dmp	upx
behavioral2/memory/3764-452-0x00007FF693EB0000-0x00007FF6942A1000-memory.dmp	upx
behavioral2/memory/4864-458-0x00007FF7B6E40000-0x00007FF7B7231000-memory.dmp	upx
behavioral2/memory/1696-1962-0x00007FF638870000-0x00007FF638C61000-memory.dmp	upx
behavioral2/memory/1020-1964-0x00007FF68DBA0000-0x00007FF68DF91000-memory.dmp	upx
behavioral2/memory/3436-1963-0x00007FF79A950000-0x00007FF79AD41000-memory.dmp	upx
behavioral2/memory/1696-1970-0x00007FF638870000-0x00007FF638C61000-memory.dmp	upx
behavioral2/memory/3168-1972-0x00007FF67D530000-0x00007FF67D921000-memory.dmp	upx
behavioral2/memory/4380-1974-0x00007FF63AEE0000-0x00007FF63B2D1000-memory.dmp	upx
behavioral2/memory/8-1976-0x00007FF7FF700000-0x00007FF7FFAF1000-memory.dmp	upx

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\System32\LEEgigv.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\SsfjYVG.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\ucBdAlu.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\EkmmtFR.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\WjCicAE.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\PCEliEo.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\VYPVogO.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\GsxcSXn.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\yUbKEba.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\ZNLDhcV.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\TXzLfQd.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\rWPeLYu.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\LJwcBUk.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\gMpgYfl.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\cFwtiDk.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\mNcoaks.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\Douvnyk.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\AsSAPWQ.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\yttUPkQ.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\LVxhmXe.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\aLYXqpo.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\oPLkCyd.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\aBdnoQV.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\WfpYpol.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\FqEFQFo.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\QsaBOzM.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\XumXhRf.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\AidGNdb.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\NJpbTRa.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\PXHtaGG.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\vPLPMIR.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\WOzvVan.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\PyqJxpn.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\kishnao.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\TsMgrqJ.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\ccDVCJq.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\lJVoBDD.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\PKsHKqP.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\eFBBUvI.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\HBzVqQM.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\vOnLSIV.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\Mmfpfbj.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\RkoExpR.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\fSJqNtC.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\GUZxHgU.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\EjPaLuO.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\utNgZbO.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\nqfdkTR.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\oGBcMTH.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\qjVSMDi.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\QodyNUk.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\MNfZUIa.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\yiPynQk.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\rWzYkYq.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\AbBajre.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\zQtCnxL.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\oveWsyO.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\JLaqISZ.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\UTzettr.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\EVLnFQD.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\oGziIfD.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\DuKOKgp.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\RudFHRC.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
File created	C:\Windows\System32\obcepHj.exe	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe

Checks SCSI registry key(s) 3 TTPs 6 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_DADY&PROD_HARDDISK\4&215468A5&0&000000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\ConfigFlags	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\HardwareID	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_QEMU&PROD_QEMU_DVD-ROM\4&215468A5&0&010000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe

Checks processor information in registry 2 TTPs 3 IoCs

Processor information is often read in order to detect sandboxing environments.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	WerFaultSecure.exe
Key opened	\REGISTRY\MACHINE\Hardware\Description\System\CentralProcessor\0	WerFaultSecure.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\~MHz	WerFaultSecure.exe

Enumerates system info in registry 2 TTPs 4 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\Hardware\Description\System\BIOS	WerFaultSecure.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	WerFaultSecure.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe

Modifies data under HKEY_USERS 18 IoCs

description	ioc	Process
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2a\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe

Suspicious behavior: EnumeratesProcesses 2 IoCs

pid	Process
336	WerFaultSecure.exe
336	WerFaultSecure.exe

Suspicious use of AdjustPrivilegeToken 6 IoCs

description	pid	Process
Token: SeCreateGlobalPrivilege	12792	dwm.exe
Token: SeChangeNotifyPrivilege	12792	dwm.exe
Token: 33	12792	dwm.exe
Token: SeIncBasePriorityPrivilege	12792	dwm.exe
Token: SeShutdownPrivilege	12792	dwm.exe
Token: SeCreatePagefilePrivilege	12792	dwm.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 3344 wrote to memory of 1696	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	84
PID 3344 wrote to memory of 1696	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	84
PID 3344 wrote to memory of 3168	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	85
PID 3344 wrote to memory of 3168	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	85
PID 3344 wrote to memory of 8	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	86
PID 3344 wrote to memory of 8	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	86
PID 3344 wrote to memory of 3436	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	87
PID 3344 wrote to memory of 3436	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	87
PID 3344 wrote to memory of 1020	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	88
PID 3344 wrote to memory of 1020	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	88
PID 3344 wrote to memory of 4380	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	89
PID 3344 wrote to memory of 4380	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	89
PID 3344 wrote to memory of 4228	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	90
PID 3344 wrote to memory of 4228	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	90
PID 3344 wrote to memory of 3764	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	91
PID 3344 wrote to memory of 3764	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	91
PID 3344 wrote to memory of 1216	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	92
PID 3344 wrote to memory of 1216	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	92
PID 3344 wrote to memory of 4864	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	93
PID 3344 wrote to memory of 4864	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	93
PID 3344 wrote to memory of 704	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	94
PID 3344 wrote to memory of 704	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	94
PID 3344 wrote to memory of 1972	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	95
PID 3344 wrote to memory of 1972	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	95
PID 3344 wrote to memory of 4848	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	96
PID 3344 wrote to memory of 4848	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	96
PID 3344 wrote to memory of 2604	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	97
PID 3344 wrote to memory of 2604	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	97
PID 3344 wrote to memory of 2776	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	98
PID 3344 wrote to memory of 2776	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	98
PID 3344 wrote to memory of 3152	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	99
PID 3344 wrote to memory of 3152	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	99
PID 3344 wrote to memory of 3924	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	100
PID 3344 wrote to memory of 3924	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	100
PID 3344 wrote to memory of 964	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	101
PID 3344 wrote to memory of 964	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	101
PID 3344 wrote to memory of 2276	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	102
PID 3344 wrote to memory of 2276	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	102
PID 3344 wrote to memory of 1592	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	103
PID 3344 wrote to memory of 1592	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	103
PID 3344 wrote to memory of 3244	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	104
PID 3344 wrote to memory of 3244	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	104
PID 3344 wrote to memory of 848	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	105
PID 3344 wrote to memory of 848	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	105
PID 3344 wrote to memory of 2952	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	106
PID 3344 wrote to memory of 2952	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	106
PID 3344 wrote to memory of 3260	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	107
PID 3344 wrote to memory of 3260	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	107
PID 3344 wrote to memory of 5092	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	108
PID 3344 wrote to memory of 5092	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	108
PID 3344 wrote to memory of 3084	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	109
PID 3344 wrote to memory of 3084	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	109
PID 3344 wrote to memory of 2788	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	110
PID 3344 wrote to memory of 2788	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	110
PID 3344 wrote to memory of 4480	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	111
PID 3344 wrote to memory of 4480	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	111
PID 3344 wrote to memory of 4544	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	112
PID 3344 wrote to memory of 4544	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	112
PID 3344 wrote to memory of 3036	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	113
PID 3344 wrote to memory of 3036	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	113
PID 3344 wrote to memory of 1732	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	114
PID 3344 wrote to memory of 1732	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	114
PID 3344 wrote to memory of 2592	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	115
PID 3344 wrote to memory of 2592	3344	3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe	115

C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe -k wusvcs -p -s WaaSMedicSvc
1⤵
PID:4696
- C:\Windows\system32\WerFaultSecure.exe
  C:\Windows\system32\WerFaultSecure.exe -u -p 4696 -s 1668
  2⤵
  - Checks processor information in registry
  - Enumerates system info in registry
  - Suspicious behavior: EnumeratesProcesses
  PID:336

C:\Users\Admin\AppData\Local\Temp\3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe
"C:\Users\Admin\AppData\Local\Temp\3de56c7fa9b5c3d1494eace80d9b3630_NeikiAnalytics.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:3344
- C:\Windows\System32\mFipuEr.exe
  C:\Windows\System32\mFipuEr.exe
  2⤵
  - Executes dropped EXE
  PID:1696
- C:\Windows\System32\uomEYcM.exe
  C:\Windows\System32\uomEYcM.exe
  2⤵
  - Executes dropped EXE
  PID:3168
- C:\Windows\System32\fIajwMw.exe
  C:\Windows\System32\fIajwMw.exe
  2⤵
  - Executes dropped EXE
  PID:8
- C:\Windows\System32\MdJVGJz.exe
  C:\Windows\System32\MdJVGJz.exe
  2⤵
  - Executes dropped EXE
  PID:3436
- C:\Windows\System32\BEbLdnT.exe
  C:\Windows\System32\BEbLdnT.exe
  2⤵
  - Executes dropped EXE
  PID:1020
- C:\Windows\System32\PWQcrnX.exe
  C:\Windows\System32\PWQcrnX.exe
  2⤵
  - Executes dropped EXE
  PID:4380
- C:\Windows\System32\sgqNzwq.exe
  C:\Windows\System32\sgqNzwq.exe
  2⤵
  - Executes dropped EXE
  PID:4228
- C:\Windows\System32\aMTpZWG.exe
  C:\Windows\System32\aMTpZWG.exe
  2⤵
  - Executes dropped EXE
  PID:3764
- C:\Windows\System32\gieVfJF.exe
  C:\Windows\System32\gieVfJF.exe
  2⤵
  - Executes dropped EXE
  PID:1216
- C:\Windows\System32\ATJAgTV.exe
  C:\Windows\System32\ATJAgTV.exe
  2⤵
  - Executes dropped EXE
  PID:4864
- C:\Windows\System32\oVmLjPw.exe
  C:\Windows\System32\oVmLjPw.exe
  2⤵
  - Executes dropped EXE
  PID:704
- C:\Windows\System32\tfHsYYV.exe
  C:\Windows\System32\tfHsYYV.exe
  2⤵
  - Executes dropped EXE
  PID:1972
- C:\Windows\System32\LSQiwDV.exe
  C:\Windows\System32\LSQiwDV.exe
  2⤵
  - Executes dropped EXE
  PID:4848
- C:\Windows\System32\cFwtiDk.exe
  C:\Windows\System32\cFwtiDk.exe
  2⤵
  - Executes dropped EXE
  PID:2604
- C:\Windows\System32\akUyRAA.exe
  C:\Windows\System32\akUyRAA.exe
  2⤵
  - Executes dropped EXE
  PID:2776
- C:\Windows\System32\wCjMYBc.exe
  C:\Windows\System32\wCjMYBc.exe
  2⤵
  - Executes dropped EXE
  PID:3152
- C:\Windows\System32\bmPmmDt.exe
  C:\Windows\System32\bmPmmDt.exe
  2⤵
  - Executes dropped EXE
  PID:3924
- C:\Windows\System32\bAPAnZn.exe
  C:\Windows\System32\bAPAnZn.exe
  2⤵
  - Executes dropped EXE
  PID:964
- C:\Windows\System32\ZVlPBZj.exe
  C:\Windows\System32\ZVlPBZj.exe
  2⤵
  - Executes dropped EXE
  PID:2276
- C:\Windows\System32\wQQbjWJ.exe
  C:\Windows\System32\wQQbjWJ.exe
  2⤵
  - Executes dropped EXE
  PID:1592
- C:\Windows\System32\ipXGUdl.exe
  C:\Windows\System32\ipXGUdl.exe
  2⤵
  - Executes dropped EXE
  PID:3244
- C:\Windows\System32\DTRrYkU.exe
  C:\Windows\System32\DTRrYkU.exe
  2⤵
  - Executes dropped EXE
  PID:848
- C:\Windows\System32\NqZAVtX.exe
  C:\Windows\System32\NqZAVtX.exe
  2⤵
  - Executes dropped EXE
  PID:2952
- C:\Windows\System32\wTDLKAe.exe
  C:\Windows\System32\wTDLKAe.exe
  2⤵
  - Executes dropped EXE
  PID:3260
- C:\Windows\System32\tBZdJHR.exe
  C:\Windows\System32\tBZdJHR.exe
  2⤵
  - Executes dropped EXE
  PID:5092
- C:\Windows\System32\wKBMyhg.exe
  C:\Windows\System32\wKBMyhg.exe
  2⤵
  - Executes dropped EXE
  PID:3084
- C:\Windows\System32\fMWoPfE.exe
  C:\Windows\System32\fMWoPfE.exe
  2⤵
  - Executes dropped EXE
  PID:2788
- C:\Windows\System32\mNcoaks.exe
  C:\Windows\System32\mNcoaks.exe
  2⤵
  - Executes dropped EXE
  PID:4480
- C:\Windows\System32\lXSQtuZ.exe
  C:\Windows\System32\lXSQtuZ.exe
  2⤵
  - Executes dropped EXE
  PID:4544
- C:\Windows\System32\MbIyVZk.exe
  C:\Windows\System32\MbIyVZk.exe
  2⤵
  - Executes dropped EXE
  PID:3036
- C:\Windows\System32\OcFONlI.exe
  C:\Windows\System32\OcFONlI.exe
  2⤵
  - Executes dropped EXE
  PID:1732
- C:\Windows\System32\XIMXGqW.exe
  C:\Windows\System32\XIMXGqW.exe
  2⤵
  - Executes dropped EXE
  PID:2592
- C:\Windows\System32\jBnDPrM.exe
  C:\Windows\System32\jBnDPrM.exe
  2⤵
  - Executes dropped EXE
  PID:5000
- C:\Windows\System32\vdfJZFp.exe
  C:\Windows\System32\vdfJZFp.exe
  2⤵
  - Executes dropped EXE
  PID:1540
- C:\Windows\System32\NfxYoOc.exe
  C:\Windows\System32\NfxYoOc.exe
  2⤵
  - Executes dropped EXE
  PID:3308
- C:\Windows\System32\soRVdsV.exe
  C:\Windows\System32\soRVdsV.exe
  2⤵
  - Executes dropped EXE
  PID:4624
- C:\Windows\System32\cLBoALU.exe
  C:\Windows\System32\cLBoALU.exe
  2⤵
  - Executes dropped EXE
  PID:3408
- C:\Windows\System32\GJUkuRK.exe
  C:\Windows\System32\GJUkuRK.exe
  2⤵
  - Executes dropped EXE
  PID:1988
- C:\Windows\System32\GQZhfHN.exe
  C:\Windows\System32\GQZhfHN.exe
  2⤵
  - Executes dropped EXE
  PID:3052
- C:\Windows\System32\Douvnyk.exe
  C:\Windows\System32\Douvnyk.exe
  2⤵
  - Executes dropped EXE
  PID:3000
- C:\Windows\System32\rHlLvTu.exe
  C:\Windows\System32\rHlLvTu.exe
  2⤵
  - Executes dropped EXE
  PID:4952
- C:\Windows\System32\ceetrwe.exe
  C:\Windows\System32\ceetrwe.exe
  2⤵
  - Executes dropped EXE
  PID:1396
- C:\Windows\System32\YmWdYAV.exe
  C:\Windows\System32\YmWdYAV.exe
  2⤵
  - Executes dropped EXE
  PID:3100
- C:\Windows\System32\zaCiNmb.exe
  C:\Windows\System32\zaCiNmb.exe
  2⤵
  - Executes dropped EXE
  PID:4876
- C:\Windows\System32\CUyxWal.exe
  C:\Windows\System32\CUyxWal.exe
  2⤵
  - Executes dropped EXE
  PID:4520
- C:\Windows\System32\pPOLQNT.exe
  C:\Windows\System32\pPOLQNT.exe
  2⤵
  - Executes dropped EXE
  PID:2504
- C:\Windows\System32\QGcNSJh.exe
  C:\Windows\System32\QGcNSJh.exe
  2⤵
  - Executes dropped EXE
  PID:216
- C:\Windows\System32\IuwJPlE.exe
  C:\Windows\System32\IuwJPlE.exe
  2⤵
  - Executes dropped EXE
  PID:1992
- C:\Windows\System32\rAtPzlT.exe
  C:\Windows\System32\rAtPzlT.exe
  2⤵
  - Executes dropped EXE
  PID:4308
- C:\Windows\System32\pSsbKVw.exe
  C:\Windows\System32\pSsbKVw.exe
  2⤵
  - Executes dropped EXE
  PID:4396
- C:\Windows\System32\wrJUlXs.exe
  C:\Windows\System32\wrJUlXs.exe
  2⤵
  - Executes dropped EXE
  PID:3184
- C:\Windows\System32\lSbcbxN.exe
  C:\Windows\System32\lSbcbxN.exe
  2⤵
  - Executes dropped EXE
  PID:3012
- C:\Windows\System32\RYlDJVe.exe
  C:\Windows\System32\RYlDJVe.exe
  2⤵
  - Executes dropped EXE
  PID:3160
- C:\Windows\System32\FtimEog.exe
  C:\Windows\System32\FtimEog.exe
  2⤵
  - Executes dropped EXE
  PID:2996
- C:\Windows\System32\hKaWWmb.exe
  C:\Windows\System32\hKaWWmb.exe
  2⤵
  - Executes dropped EXE
  PID:1688
- C:\Windows\System32\qmfsWvF.exe
  C:\Windows\System32\qmfsWvF.exe
  2⤵
  - Executes dropped EXE
  PID:836
- C:\Windows\System32\ytQrAQp.exe
  C:\Windows\System32\ytQrAQp.exe
  2⤵
  - Executes dropped EXE
  PID:3684
- C:\Windows\System32\kkFPBdj.exe
  C:\Windows\System32\kkFPBdj.exe
  2⤵
  - Executes dropped EXE
  PID:4504
- C:\Windows\System32\iYhtojD.exe
  C:\Windows\System32\iYhtojD.exe
  2⤵
  - Executes dropped EXE
  PID:2524
- C:\Windows\System32\CjIudhC.exe
  C:\Windows\System32\CjIudhC.exe
  2⤵
  - Executes dropped EXE
  PID:1232
- C:\Windows\System32\VskRRPB.exe
  C:\Windows\System32\VskRRPB.exe
  2⤵
  - Executes dropped EXE
  PID:884
- C:\Windows\System32\ZNLDhcV.exe
  C:\Windows\System32\ZNLDhcV.exe
  2⤵
  - Executes dropped EXE
  PID:3348
- C:\Windows\System32\ToitGfy.exe
  C:\Windows\System32\ToitGfy.exe
  2⤵
  - Executes dropped EXE
  PID:2816
- C:\Windows\System32\rbxgHKJ.exe
  C:\Windows\System32\rbxgHKJ.exe
  2⤵
  - Executes dropped EXE
  PID:1712
- C:\Windows\System32\XWHFydM.exe
  C:\Windows\System32\XWHFydM.exe
  2⤵
  PID:4208
- C:\Windows\System32\XHBLTBX.exe
  C:\Windows\System32\XHBLTBX.exe
  2⤵
  PID:1488
- C:\Windows\System32\oPiPhiW.exe
  C:\Windows\System32\oPiPhiW.exe
  2⤵
  PID:3620
- C:\Windows\System32\vXdtxBl.exe
  C:\Windows\System32\vXdtxBl.exe
  2⤵
  PID:2384
- C:\Windows\System32\ZUdBHkR.exe
  C:\Windows\System32\ZUdBHkR.exe
  2⤵
  PID:2856
- C:\Windows\System32\QuLlYdw.exe
  C:\Windows\System32\QuLlYdw.exe
  2⤵
  PID:744
- C:\Windows\System32\VYPVogO.exe
  C:\Windows\System32\VYPVogO.exe
  2⤵
  PID:748
- C:\Windows\System32\MQStczx.exe
  C:\Windows\System32\MQStczx.exe
  2⤵
  PID:4404
- C:\Windows\System32\eFdzVdj.exe
  C:\Windows\System32\eFdzVdj.exe
  2⤵
  PID:3016
- C:\Windows\System32\UEubbrB.exe
  C:\Windows\System32\UEubbrB.exe
  2⤵
  PID:1628
- C:\Windows\System32\kvnMlui.exe
  C:\Windows\System32\kvnMlui.exe
  2⤵
  PID:2572
- C:\Windows\System32\PttEWZM.exe
  C:\Windows\System32\PttEWZM.exe
  2⤵
  PID:1152
- C:\Windows\System32\ssmcVnq.exe
  C:\Windows\System32\ssmcVnq.exe
  2⤵
  PID:1960
- C:\Windows\System32\OSwelGN.exe
  C:\Windows\System32\OSwelGN.exe
  2⤵
  PID:2152
- C:\Windows\System32\rIhSXBX.exe
  C:\Windows\System32\rIhSXBX.exe
  2⤵
  PID:3632
- C:\Windows\System32\LMVkMgi.exe
  C:\Windows\System32\LMVkMgi.exe
  2⤵
  PID:972
- C:\Windows\System32\UplIIzJ.exe
  C:\Windows\System32\UplIIzJ.exe
  2⤵
  PID:5040
- C:\Windows\System32\XBWZLFs.exe
  C:\Windows\System32\XBWZLFs.exe
  2⤵
  PID:4484
- C:\Windows\System32\kZyXqNt.exe
  C:\Windows\System32\kZyXqNt.exe
  2⤵
  PID:4384
- C:\Windows\System32\TXzLfQd.exe
  C:\Windows\System32\TXzLfQd.exe
  2⤵
  PID:5008
- C:\Windows\System32\IKblvsZ.exe
  C:\Windows\System32\IKblvsZ.exe
  2⤵
  PID:2392
- C:\Windows\System32\hqVZURI.exe
  C:\Windows\System32\hqVZURI.exe
  2⤵
  PID:1180
- C:\Windows\System32\LxXjWJD.exe
  C:\Windows\System32\LxXjWJD.exe
  2⤵
  PID:4924
- C:\Windows\System32\luxOmlY.exe
  C:\Windows\System32\luxOmlY.exe
  2⤵
  PID:5144
- C:\Windows\System32\lEKGYuT.exe
  C:\Windows\System32\lEKGYuT.exe
  2⤵
  PID:5172
- C:\Windows\System32\huaigWf.exe
  C:\Windows\System32\huaigWf.exe
  2⤵
  PID:5204
- C:\Windows\System32\XOXsfOQ.exe
  C:\Windows\System32\XOXsfOQ.exe
  2⤵
  PID:5228
- C:\Windows\System32\lvoaYgz.exe
  C:\Windows\System32\lvoaYgz.exe
  2⤵
  PID:5256
- C:\Windows\System32\ehqVwtI.exe
  C:\Windows\System32\ehqVwtI.exe
  2⤵
  PID:5284
- C:\Windows\System32\ITaiVYG.exe
  C:\Windows\System32\ITaiVYG.exe
  2⤵
  PID:5312
- C:\Windows\System32\DeTEeUC.exe
  C:\Windows\System32\DeTEeUC.exe
  2⤵
  PID:5340
- C:\Windows\System32\EQQcAMQ.exe
  C:\Windows\System32\EQQcAMQ.exe
  2⤵
  PID:5368
- C:\Windows\System32\OpnNOAe.exe
  C:\Windows\System32\OpnNOAe.exe
  2⤵
  PID:5396
- C:\Windows\System32\UvnCRoS.exe
  C:\Windows\System32\UvnCRoS.exe
  2⤵
  PID:5420
- C:\Windows\System32\WSNOzpA.exe
  C:\Windows\System32\WSNOzpA.exe
  2⤵
  PID:5452
- C:\Windows\System32\qZBSYZk.exe
  C:\Windows\System32\qZBSYZk.exe
  2⤵
  PID:5480
- C:\Windows\System32\WpdDlGC.exe
  C:\Windows\System32\WpdDlGC.exe
  2⤵
  PID:5504
- C:\Windows\System32\PIWOojc.exe
  C:\Windows\System32\PIWOojc.exe
  2⤵
  PID:5536
- C:\Windows\System32\EBooSJc.exe
  C:\Windows\System32\EBooSJc.exe
  2⤵
  PID:5564
- C:\Windows\System32\MQaKvQR.exe
  C:\Windows\System32\MQaKvQR.exe
  2⤵
  PID:5592
- C:\Windows\System32\ePKBDVD.exe
  C:\Windows\System32\ePKBDVD.exe
  2⤵
  PID:5628
- C:\Windows\System32\bpSENeZ.exe
  C:\Windows\System32\bpSENeZ.exe
  2⤵
  PID:5648
- C:\Windows\System32\WWpyJVm.exe
  C:\Windows\System32\WWpyJVm.exe
  2⤵
  PID:5672
- C:\Windows\System32\thGxtUx.exe
  C:\Windows\System32\thGxtUx.exe
  2⤵
  PID:5704
- C:\Windows\System32\AykFgDY.exe
  C:\Windows\System32\AykFgDY.exe
  2⤵
  PID:5732
- C:\Windows\System32\FhnnKOn.exe
  C:\Windows\System32\FhnnKOn.exe
  2⤵
  PID:5760
- C:\Windows\System32\chNOohx.exe
  C:\Windows\System32\chNOohx.exe
  2⤵
  PID:5788
- C:\Windows\System32\sJUVvDJ.exe
  C:\Windows\System32\sJUVvDJ.exe
  2⤵
  PID:5816
- C:\Windows\System32\XumXhRf.exe
  C:\Windows\System32\XumXhRf.exe
  2⤵
  PID:5844
- C:\Windows\System32\hAIWDCy.exe
  C:\Windows\System32\hAIWDCy.exe
  2⤵
  PID:5872
- C:\Windows\System32\rLLyDHY.exe
  C:\Windows\System32\rLLyDHY.exe
  2⤵
  PID:5900
- C:\Windows\System32\GHGNLKZ.exe
  C:\Windows\System32\GHGNLKZ.exe
  2⤵
  PID:5928
- C:\Windows\System32\dMQOevp.exe
  C:\Windows\System32\dMQOevp.exe
  2⤵
  PID:6100
- C:\Windows\System32\zaWaEhF.exe
  C:\Windows\System32\zaWaEhF.exe
  2⤵
  PID:6124
- C:\Windows\System32\lOeYpAq.exe
  C:\Windows\System32\lOeYpAq.exe
  2⤵
  PID:6140
- C:\Windows\System32\zVONXBz.exe
  C:\Windows\System32\zVONXBz.exe
  2⤵
  PID:4020
- C:\Windows\System32\TEGrwmi.exe
  C:\Windows\System32\TEGrwmi.exe
  2⤵
  PID:1284
- C:\Windows\System32\qyxNCoO.exe
  C:\Windows\System32\qyxNCoO.exe
  2⤵
  PID:1068
- C:\Windows\System32\wgsJjQP.exe
  C:\Windows\System32\wgsJjQP.exe
  2⤵
  PID:5184
- C:\Windows\System32\JRNzluM.exe
  C:\Windows\System32\JRNzluM.exe
  2⤵
  PID:5236
- C:\Windows\System32\utNgZbO.exe
  C:\Windows\System32\utNgZbO.exe
  2⤵
  PID:5320
- C:\Windows\System32\CezCSdl.exe
  C:\Windows\System32\CezCSdl.exe
  2⤵
  PID:5404
- C:\Windows\System32\DlEPHPJ.exe
  C:\Windows\System32\DlEPHPJ.exe
  2⤵
  PID:5436
- C:\Windows\System32\WpIJIXL.exe
  C:\Windows\System32\WpIJIXL.exe
  2⤵
  PID:5512
- C:\Windows\System32\pRbdBae.exe
  C:\Windows\System32\pRbdBae.exe
  2⤵
  PID:5548
- C:\Windows\System32\sdKfoUZ.exe
  C:\Windows\System32\sdKfoUZ.exe
  2⤵
  PID:5576
- C:\Windows\System32\WOzvVan.exe
  C:\Windows\System32\WOzvVan.exe
  2⤵
  PID:5624
- C:\Windows\System32\NLBkgiJ.exe
  C:\Windows\System32\NLBkgiJ.exe
  2⤵
  PID:5644
- C:\Windows\System32\QzzILyn.exe
  C:\Windows\System32\QzzILyn.exe
  2⤵
  PID:5668
- C:\Windows\System32\EwBZhnK.exe
  C:\Windows\System32\EwBZhnK.exe
  2⤵
  PID:5740
- C:\Windows\System32\EVLnFQD.exe
  C:\Windows\System32\EVLnFQD.exe
  2⤵
  PID:4744
- C:\Windows\System32\xkuWYGU.exe
  C:\Windows\System32\xkuWYGU.exe
  2⤵
  PID:5864
- C:\Windows\System32\rWzYkYq.exe
  C:\Windows\System32\rWzYkYq.exe
  2⤵
  PID:5936
- C:\Windows\System32\gtImxJk.exe
  C:\Windows\System32\gtImxJk.exe
  2⤵
  PID:5892
- C:\Windows\System32\kyYpENX.exe
  C:\Windows\System32\kyYpENX.exe
  2⤵
  PID:1892
- C:\Windows\System32\mhSeMYA.exe
  C:\Windows\System32\mhSeMYA.exe
  2⤵
  PID:3776
- C:\Windows\System32\mSQwgQP.exe
  C:\Windows\System32\mSQwgQP.exe
  2⤵
  PID:5976
- C:\Windows\System32\TxjCBxQ.exe
  C:\Windows\System32\TxjCBxQ.exe
  2⤵
  PID:6040
- C:\Windows\System32\GmmQVpU.exe
  C:\Windows\System32\GmmQVpU.exe
  2⤵
  PID:6076
- C:\Windows\System32\likYjdb.exe
  C:\Windows\System32\likYjdb.exe
  2⤵
  PID:1940
- C:\Windows\System32\vXpwyCW.exe
  C:\Windows\System32\vXpwyCW.exe
  2⤵
  PID:6112
- C:\Windows\System32\vmmrSQQ.exe
  C:\Windows\System32\vmmrSQQ.exe
  2⤵
  PID:3800
- C:\Windows\System32\CIMcGiJ.exe
  C:\Windows\System32\CIMcGiJ.exe
  2⤵
  PID:1228
- C:\Windows\System32\bjqZfYa.exe
  C:\Windows\System32\bjqZfYa.exe
  2⤵
  PID:5276
- C:\Windows\System32\KQUZbRL.exe
  C:\Windows\System32\KQUZbRL.exe
  2⤵
  PID:5572
- C:\Windows\System32\uusaVZi.exe
  C:\Windows\System32\uusaVZi.exe
  2⤵
  PID:3552
- C:\Windows\System32\biJUbFE.exe
  C:\Windows\System32\biJUbFE.exe
  2⤵
  PID:5768
- C:\Windows\System32\eFBBUvI.exe
  C:\Windows\System32\eFBBUvI.exe
  2⤵
  PID:1352
- C:\Windows\System32\DshZaJv.exe
  C:\Windows\System32\DshZaJv.exe
  2⤵
  PID:6084
- C:\Windows\System32\xPRdTPA.exe
  C:\Windows\System32\xPRdTPA.exe
  2⤵
  PID:5264
- C:\Windows\System32\DtdotiY.exe
  C:\Windows\System32\DtdotiY.exe
  2⤵
  PID:5984
- C:\Windows\System32\OurKFkE.exe
  C:\Windows\System32\OurKFkE.exe
  2⤵
  PID:5988
- C:\Windows\System32\KlAmwWS.exe
  C:\Windows\System32\KlAmwWS.exe
  2⤵
  PID:6028
- C:\Windows\System32\nqfdkTR.exe
  C:\Windows\System32\nqfdkTR.exe
  2⤵
  PID:1448
- C:\Windows\System32\PagTDLW.exe
  C:\Windows\System32\PagTDLW.exe
  2⤵
  PID:5348
- C:\Windows\System32\AbBajre.exe
  C:\Windows\System32\AbBajre.exe
  2⤵
  PID:5388
- C:\Windows\System32\oSyFBBY.exe
  C:\Windows\System32\oSyFBBY.exe
  2⤵
  PID:3192
- C:\Windows\System32\JtkIvjK.exe
  C:\Windows\System32\JtkIvjK.exe
  2⤵
  PID:4368
- C:\Windows\System32\LYONgpr.exe
  C:\Windows\System32\LYONgpr.exe
  2⤵
  PID:6072
- C:\Windows\System32\noouzEg.exe
  C:\Windows\System32\noouzEg.exe
  2⤵
  PID:5968
- C:\Windows\System32\oGziIfD.exe
  C:\Windows\System32\oGziIfD.exe
  2⤵
  PID:1080
- C:\Windows\System32\SRYDFlj.exe
  C:\Windows\System32\SRYDFlj.exe
  2⤵
  PID:6168
- C:\Windows\System32\UDJWhnD.exe
  C:\Windows\System32\UDJWhnD.exe
  2⤵
  PID:6196
- C:\Windows\System32\WEfdpMR.exe
  C:\Windows\System32\WEfdpMR.exe
  2⤵
  PID:6220
- C:\Windows\System32\IgxNAFN.exe
  C:\Windows\System32\IgxNAFN.exe
  2⤵
  PID:6240
- C:\Windows\System32\FXWnSDo.exe
  C:\Windows\System32\FXWnSDo.exe
  2⤵
  PID:6264
- C:\Windows\System32\oGBcMTH.exe
  C:\Windows\System32\oGBcMTH.exe
  2⤵
  PID:6284
- C:\Windows\System32\ZRBmlaE.exe
  C:\Windows\System32\ZRBmlaE.exe
  2⤵
  PID:6312
- C:\Windows\System32\lAzrcxq.exe
  C:\Windows\System32\lAzrcxq.exe
  2⤵
  PID:6328
- C:\Windows\System32\LIEPTnk.exe
  C:\Windows\System32\LIEPTnk.exe
  2⤵
  PID:6348
- C:\Windows\System32\WpMBKJC.exe
  C:\Windows\System32\WpMBKJC.exe
  2⤵
  PID:6364
- C:\Windows\System32\NlyVZfO.exe
  C:\Windows\System32\NlyVZfO.exe
  2⤵
  PID:6412
- C:\Windows\System32\pmidDkV.exe
  C:\Windows\System32\pmidDkV.exe
  2⤵
  PID:6428
- C:\Windows\System32\KxUSDac.exe
  C:\Windows\System32\KxUSDac.exe
  2⤵
  PID:6460
- C:\Windows\System32\RudFHRC.exe
  C:\Windows\System32\RudFHRC.exe
  2⤵
  PID:6500
- C:\Windows\System32\WyIVvvm.exe
  C:\Windows\System32\WyIVvvm.exe
  2⤵
  PID:6520
- C:\Windows\System32\lXPPeGz.exe
  C:\Windows\System32\lXPPeGz.exe
  2⤵
  PID:6544
- C:\Windows\System32\aFARNZb.exe
  C:\Windows\System32\aFARNZb.exe
  2⤵
  PID:6560
- C:\Windows\System32\ucBdAlu.exe
  C:\Windows\System32\ucBdAlu.exe
  2⤵
  PID:6580
- C:\Windows\System32\YryeGoZ.exe
  C:\Windows\System32\YryeGoZ.exe
  2⤵
  PID:6620
- C:\Windows\System32\mlLGRKp.exe
  C:\Windows\System32\mlLGRKp.exe
  2⤵
  PID:6648
- C:\Windows\System32\FAyMpZv.exe
  C:\Windows\System32\FAyMpZv.exe
  2⤵
  PID:6668
- C:\Windows\System32\CAdGIvr.exe
  C:\Windows\System32\CAdGIvr.exe
  2⤵
  PID:6688
- C:\Windows\System32\bxGDpQn.exe
  C:\Windows\System32\bxGDpQn.exe
  2⤵
  PID:6768
- C:\Windows\System32\uOPzepO.exe
  C:\Windows\System32\uOPzepO.exe
  2⤵
  PID:6784
- C:\Windows\System32\qthYcGj.exe
  C:\Windows\System32\qthYcGj.exe
  2⤵
  PID:6804
- C:\Windows\System32\KoAgZll.exe
  C:\Windows\System32\KoAgZll.exe
  2⤵
  PID:6824
- C:\Windows\System32\EWIqiBw.exe
  C:\Windows\System32\EWIqiBw.exe
  2⤵
  PID:6852
- C:\Windows\System32\GRWWkiB.exe
  C:\Windows\System32\GRWWkiB.exe
  2⤵
  PID:6876
- C:\Windows\System32\tLUPKhH.exe
  C:\Windows\System32\tLUPKhH.exe
  2⤵
  PID:6896
- C:\Windows\System32\jkJYLbH.exe
  C:\Windows\System32\jkJYLbH.exe
  2⤵
  PID:6916
- C:\Windows\System32\lJnZvxN.exe
  C:\Windows\System32\lJnZvxN.exe
  2⤵
  PID:6936
- C:\Windows\System32\IGvsVCf.exe
  C:\Windows\System32\IGvsVCf.exe
  2⤵
  PID:6968
- C:\Windows\System32\inyPbsC.exe
  C:\Windows\System32\inyPbsC.exe
  2⤵
  PID:7028
- C:\Windows\System32\ZBusqbR.exe
  C:\Windows\System32\ZBusqbR.exe
  2⤵
  PID:7068
- C:\Windows\System32\ozobHXV.exe
  C:\Windows\System32\ozobHXV.exe
  2⤵
  PID:7092
- C:\Windows\System32\idgrbKv.exe
  C:\Windows\System32\idgrbKv.exe
  2⤵
  PID:7108
- C:\Windows\System32\xBIucgC.exe
  C:\Windows\System32\xBIucgC.exe
  2⤵
  PID:7136
- C:\Windows\System32\ZELXeXj.exe
  C:\Windows\System32\ZELXeXj.exe
  2⤵
  PID:5332
- C:\Windows\System32\DuKOKgp.exe
  C:\Windows\System32\DuKOKgp.exe
  2⤵
  PID:6148
- C:\Windows\System32\nEkrFTr.exe
  C:\Windows\System32\nEkrFTr.exe
  2⤵
  PID:6176
- C:\Windows\System32\ylZNZYs.exe
  C:\Windows\System32\ylZNZYs.exe
  2⤵
  PID:6184
- C:\Windows\System32\nplZLol.exe
  C:\Windows\System32\nplZLol.exe
  2⤵
  PID:6340
- C:\Windows\System32\ETIhgoD.exe
  C:\Windows\System32\ETIhgoD.exe
  2⤵
  PID:6424
- C:\Windows\System32\IyxoNCd.exe
  C:\Windows\System32\IyxoNCd.exe
  2⤵
  PID:6480
- C:\Windows\System32\kbXBKcb.exe
  C:\Windows\System32\kbXBKcb.exe
  2⤵
  PID:6568
- C:\Windows\System32\MALhLxV.exe
  C:\Windows\System32\MALhLxV.exe
  2⤵
  PID:6640
- C:\Windows\System32\KlzyrZn.exe
  C:\Windows\System32\KlzyrZn.exe
  2⤵
  PID:6820
- C:\Windows\System32\LYiOGXs.exe
  C:\Windows\System32\LYiOGXs.exe
  2⤵
  PID:6848
- C:\Windows\System32\EkmmtFR.exe
  C:\Windows\System32\EkmmtFR.exe
  2⤵
  PID:6796
- C:\Windows\System32\GQekYBa.exe
  C:\Windows\System32\GQekYBa.exe
  2⤵
  PID:6928
- C:\Windows\System32\HHxspff.exe
  C:\Windows\System32\HHxspff.exe
  2⤵
  PID:6996
- C:\Windows\System32\HGoXtsI.exe
  C:\Windows\System32\HGoXtsI.exe
  2⤵
  PID:7080
- C:\Windows\System32\uPIYFbp.exe
  C:\Windows\System32\uPIYFbp.exe
  2⤵
  PID:7128
- C:\Windows\System32\YKYStQH.exe
  C:\Windows\System32\YKYStQH.exe
  2⤵
  PID:7148
- C:\Windows\System32\BuZFUXS.exe
  C:\Windows\System32\BuZFUXS.exe
  2⤵
  PID:6252
- C:\Windows\System32\DKncTUs.exe
  C:\Windows\System32\DKncTUs.exe
  2⤵
  PID:3672
- C:\Windows\System32\rxrWglZ.exe
  C:\Windows\System32\rxrWglZ.exe
  2⤵
  PID:6528
- C:\Windows\System32\kroKQSv.exe
  C:\Windows\System32\kroKQSv.exe
  2⤵
  PID:6588
- C:\Windows\System32\VCcIVUS.exe
  C:\Windows\System32\VCcIVUS.exe
  2⤵
  PID:6776
- C:\Windows\System32\sWFABVU.exe
  C:\Windows\System32\sWFABVU.exe
  2⤵
  PID:7036
- C:\Windows\System32\PfSPvdx.exe
  C:\Windows\System32\PfSPvdx.exe
  2⤵
  PID:6664
- C:\Windows\System32\ZShsigE.exe
  C:\Windows\System32\ZShsigE.exe
  2⤵
  PID:6248
- C:\Windows\System32\yoeJuMV.exe
  C:\Windows\System32\yoeJuMV.exe
  2⤵
  PID:6868
- C:\Windows\System32\qDZWqez.exe
  C:\Windows\System32\qDZWqez.exe
  2⤵
  PID:7044
- C:\Windows\System32\nzhHiyj.exe
  C:\Windows\System32\nzhHiyj.exe
  2⤵
  PID:6216
- C:\Windows\System32\WjCicAE.exe
  C:\Windows\System32\WjCicAE.exe
  2⤵
  PID:7180
- C:\Windows\System32\tbJZteg.exe
  C:\Windows\System32\tbJZteg.exe
  2⤵
  PID:7196
- C:\Windows\System32\QAoTISw.exe
  C:\Windows\System32\QAoTISw.exe
  2⤵
  PID:7220
- C:\Windows\System32\UVcUkAS.exe
  C:\Windows\System32\UVcUkAS.exe
  2⤵
  PID:7236
- C:\Windows\System32\KOOHgkn.exe
  C:\Windows\System32\KOOHgkn.exe
  2⤵
  PID:7296
- C:\Windows\System32\YTbGhTE.exe
  C:\Windows\System32\YTbGhTE.exe
  2⤵
  PID:7332
- C:\Windows\System32\HBzVqQM.exe
  C:\Windows\System32\HBzVqQM.exe
  2⤵
  PID:7356
- C:\Windows\System32\vBARhzn.exe
  C:\Windows\System32\vBARhzn.exe
  2⤵
  PID:7376
- C:\Windows\System32\KvbnNwI.exe
  C:\Windows\System32\KvbnNwI.exe
  2⤵
  PID:7400
- C:\Windows\System32\uYlWlch.exe
  C:\Windows\System32\uYlWlch.exe
  2⤵
  PID:7452
- C:\Windows\System32\pMxWqjU.exe
  C:\Windows\System32\pMxWqjU.exe
  2⤵
  PID:7476
- C:\Windows\System32\OBmXUTl.exe
  C:\Windows\System32\OBmXUTl.exe
  2⤵
  PID:7500
- C:\Windows\System32\UlNkFRD.exe
  C:\Windows\System32\UlNkFRD.exe
  2⤵
  PID:7516
- C:\Windows\System32\nLpzLTZ.exe
  C:\Windows\System32\nLpzLTZ.exe
  2⤵
  PID:7536
- C:\Windows\System32\Jdvrzrn.exe
  C:\Windows\System32\Jdvrzrn.exe
  2⤵
  PID:7564
- C:\Windows\System32\AidGNdb.exe
  C:\Windows\System32\AidGNdb.exe
  2⤵
  PID:7584
- C:\Windows\System32\erYYzLr.exe
  C:\Windows\System32\erYYzLr.exe
  2⤵
  PID:7608
- C:\Windows\System32\BRDgIxO.exe
  C:\Windows\System32\BRDgIxO.exe
  2⤵
  PID:7624
- C:\Windows\System32\XYcXWzg.exe
  C:\Windows\System32\XYcXWzg.exe
  2⤵
  PID:7664
- C:\Windows\System32\TGccKTn.exe
  C:\Windows\System32\TGccKTn.exe
  2⤵
  PID:7708
- C:\Windows\System32\QcOcLgO.exe
  C:\Windows\System32\QcOcLgO.exe
  2⤵
  PID:7732
- C:\Windows\System32\PyqJxpn.exe
  C:\Windows\System32\PyqJxpn.exe
  2⤵
  PID:7752
- C:\Windows\System32\vOnLSIV.exe
  C:\Windows\System32\vOnLSIV.exe
  2⤵
  PID:7784
- C:\Windows\System32\jeXASCZ.exe
  C:\Windows\System32\jeXASCZ.exe
  2⤵
  PID:7804
- C:\Windows\System32\LEEgigv.exe
  C:\Windows\System32\LEEgigv.exe
  2⤵
  PID:7848
- C:\Windows\System32\LvFtfAs.exe
  C:\Windows\System32\LvFtfAs.exe
  2⤵
  PID:7868
- C:\Windows\System32\RzsrEyC.exe
  C:\Windows\System32\RzsrEyC.exe
  2⤵
  PID:7892
- C:\Windows\System32\WlfoULj.exe
  C:\Windows\System32\WlfoULj.exe
  2⤵
  PID:7968
- C:\Windows\System32\hOYeneC.exe
  C:\Windows\System32\hOYeneC.exe
  2⤵
  PID:7988
- C:\Windows\System32\zQtCnxL.exe
  C:\Windows\System32\zQtCnxL.exe
  2⤵
  PID:8020
- C:\Windows\System32\AAAkuQT.exe
  C:\Windows\System32\AAAkuQT.exe
  2⤵
  PID:8056
- C:\Windows\System32\SsfjYVG.exe
  C:\Windows\System32\SsfjYVG.exe
  2⤵
  PID:8076
- C:\Windows\System32\FRwsbKk.exe
  C:\Windows\System32\FRwsbKk.exe
  2⤵
  PID:8092
- C:\Windows\System32\mGKBEBe.exe
  C:\Windows\System32\mGKBEBe.exe
  2⤵
  PID:8116
- C:\Windows\System32\OFoBJJR.exe
  C:\Windows\System32\OFoBJJR.exe
  2⤵
  PID:8136
- C:\Windows\System32\lNUTKBf.exe
  C:\Windows\System32\lNUTKBf.exe
  2⤵
  PID:8160
- C:\Windows\System32\BFbqGaX.exe
  C:\Windows\System32\BFbqGaX.exe
  2⤵
  PID:8188
- C:\Windows\System32\TcmhAfs.exe
  C:\Windows\System32\TcmhAfs.exe
  2⤵
  PID:7216
- C:\Windows\System32\tlFAkIZ.exe
  C:\Windows\System32\tlFAkIZ.exe
  2⤵
  PID:7212
- C:\Windows\System32\XcfWcKh.exe
  C:\Windows\System32\XcfWcKh.exe
  2⤵
  PID:7324
- C:\Windows\System32\btHkyQc.exe
  C:\Windows\System32\btHkyQc.exe
  2⤵
  PID:7368
- C:\Windows\System32\XLlKXoO.exe
  C:\Windows\System32\XLlKXoO.exe
  2⤵
  PID:7552
- C:\Windows\System32\XCUijdQ.exe
  C:\Windows\System32\XCUijdQ.exe
  2⤵
  PID:7576
- C:\Windows\System32\AItkJyx.exe
  C:\Windows\System32\AItkJyx.exe
  2⤵
  PID:7672
- C:\Windows\System32\zGrymxc.exe
  C:\Windows\System32\zGrymxc.exe
  2⤵
  PID:7720
- C:\Windows\System32\KZYeMdy.exe
  C:\Windows\System32\KZYeMdy.exe
  2⤵
  PID:7740
- C:\Windows\System32\FFtXTjN.exe
  C:\Windows\System32\FFtXTjN.exe
  2⤵
  PID:7832
- C:\Windows\System32\xzvkqVN.exe
  C:\Windows\System32\xzvkqVN.exe
  2⤵
  PID:7888
- C:\Windows\System32\zhmKdsO.exe
  C:\Windows\System32\zhmKdsO.exe
  2⤵
  PID:7912
- C:\Windows\System32\sZTpcZy.exe
  C:\Windows\System32\sZTpcZy.exe
  2⤵
  PID:7964
- C:\Windows\System32\aSiTsqS.exe
  C:\Windows\System32\aSiTsqS.exe
  2⤵
  PID:8072
- C:\Windows\System32\WfpYpol.exe
  C:\Windows\System32\WfpYpol.exe
  2⤵
  PID:6208
- C:\Windows\System32\UgMwbHu.exe
  C:\Windows\System32\UgMwbHu.exe
  2⤵
  PID:7256
- C:\Windows\System32\iAzXyis.exe
  C:\Windows\System32\iAzXyis.exe
  2⤵
  PID:7508
- C:\Windows\System32\XOjOIwI.exe
  C:\Windows\System32\XOjOIwI.exe
  2⤵
  PID:7652
- C:\Windows\System32\iHWisPT.exe
  C:\Windows\System32\iHWisPT.exe
  2⤵
  PID:7800
- C:\Windows\System32\QybLiQx.exe
  C:\Windows\System32\QybLiQx.exe
  2⤵
  PID:7856
- C:\Windows\System32\mdnOMqu.exe
  C:\Windows\System32\mdnOMqu.exe
  2⤵
  PID:7884
- C:\Windows\System32\pvSWMdZ.exe
  C:\Windows\System32\pvSWMdZ.exe
  2⤵
  PID:8016
- C:\Windows\System32\IYSCJwX.exe
  C:\Windows\System32\IYSCJwX.exe
  2⤵
  PID:7172
- C:\Windows\System32\CIAkHPF.exe
  C:\Windows\System32\CIAkHPF.exe
  2⤵
  PID:7580
- C:\Windows\System32\EmQDCrz.exe
  C:\Windows\System32\EmQDCrz.exe
  2⤵
  PID:7812
- C:\Windows\System32\obcepHj.exe
  C:\Windows\System32\obcepHj.exe
  2⤵
  PID:8048
- C:\Windows\System32\yrcRgzw.exe
  C:\Windows\System32\yrcRgzw.exe
  2⤵
  PID:8204
- C:\Windows\System32\OEOJzFO.exe
  C:\Windows\System32\OEOJzFO.exe
  2⤵
  PID:8220
- C:\Windows\System32\XuIpnRn.exe
  C:\Windows\System32\XuIpnRn.exe
  2⤵
  PID:8248
- C:\Windows\System32\mhiJFaE.exe
  C:\Windows\System32\mhiJFaE.exe
  2⤵
  PID:8308
- C:\Windows\System32\CfvNdwi.exe
  C:\Windows\System32\CfvNdwi.exe
  2⤵
  PID:8336
- C:\Windows\System32\BlhuTlW.exe
  C:\Windows\System32\BlhuTlW.exe
  2⤵
  PID:8356
- C:\Windows\System32\JeokdEN.exe
  C:\Windows\System32\JeokdEN.exe
  2⤵
  PID:8380
- C:\Windows\System32\tuAALKo.exe
  C:\Windows\System32\tuAALKo.exe
  2⤵
  PID:8408
- C:\Windows\System32\RYfhjHe.exe
  C:\Windows\System32\RYfhjHe.exe
  2⤵
  PID:8440
- C:\Windows\System32\JflgvTT.exe
  C:\Windows\System32\JflgvTT.exe
  2⤵
  PID:8460
- C:\Windows\System32\bSBcHXk.exe
  C:\Windows\System32\bSBcHXk.exe
  2⤵
  PID:8524
- C:\Windows\System32\zgENISQ.exe
  C:\Windows\System32\zgENISQ.exe
  2⤵
  PID:8552
- C:\Windows\System32\aiNsglh.exe
  C:\Windows\System32\aiNsglh.exe
  2⤵
  PID:8568
- C:\Windows\System32\mXGIKyU.exe
  C:\Windows\System32\mXGIKyU.exe
  2⤵
  PID:8596
- C:\Windows\System32\LaBIMXI.exe
  C:\Windows\System32\LaBIMXI.exe
  2⤵
  PID:8612
- C:\Windows\System32\BUBNTqT.exe
  C:\Windows\System32\BUBNTqT.exe
  2⤵
  PID:8632
- C:\Windows\System32\kkuduhX.exe
  C:\Windows\System32\kkuduhX.exe
  2⤵
  PID:8680
- C:\Windows\System32\kcNiWXh.exe
  C:\Windows\System32\kcNiWXh.exe
  2⤵
  PID:8700
- C:\Windows\System32\qjVSMDi.exe
  C:\Windows\System32\qjVSMDi.exe
  2⤵
  PID:8728
- C:\Windows\System32\zMrbvzJ.exe
  C:\Windows\System32\zMrbvzJ.exe
  2⤵
  PID:8752
- C:\Windows\System32\ycHYhPD.exe
  C:\Windows\System32\ycHYhPD.exe
  2⤵
  PID:8800
- C:\Windows\System32\TvZetiT.exe
  C:\Windows\System32\TvZetiT.exe
  2⤵
  PID:8820
- C:\Windows\System32\ixwSVOV.exe
  C:\Windows\System32\ixwSVOV.exe
  2⤵
  PID:8836
- C:\Windows\System32\EOfIYJT.exe
  C:\Windows\System32\EOfIYJT.exe
  2⤵
  PID:8856
- C:\Windows\System32\TsMgrqJ.exe
  C:\Windows\System32\TsMgrqJ.exe
  2⤵
  PID:8880
- C:\Windows\System32\xGmOIqx.exe
  C:\Windows\System32\xGmOIqx.exe
  2⤵
  PID:8928
- C:\Windows\System32\mPrAJSo.exe
  C:\Windows\System32\mPrAJSo.exe
  2⤵
  PID:8956
- C:\Windows\System32\GfNyzyv.exe
  C:\Windows\System32\GfNyzyv.exe
  2⤵
  PID:8976
- C:\Windows\System32\Mmfpfbj.exe
  C:\Windows\System32\Mmfpfbj.exe
  2⤵
  PID:8996
- C:\Windows\System32\KfIkYXp.exe
  C:\Windows\System32\KfIkYXp.exe
  2⤵
  PID:9028
- C:\Windows\System32\DNycWfx.exe
  C:\Windows\System32\DNycWfx.exe
  2⤵
  PID:9048
- C:\Windows\System32\IbCcoHe.exe
  C:\Windows\System32\IbCcoHe.exe
  2⤵
  PID:9064
- C:\Windows\System32\BPuOWqs.exe
  C:\Windows\System32\BPuOWqs.exe
  2⤵
  PID:9100
- C:\Windows\System32\eQGOsdw.exe
  C:\Windows\System32\eQGOsdw.exe
  2⤵
  PID:9156
- C:\Windows\System32\oZKgAxm.exe
  C:\Windows\System32\oZKgAxm.exe
  2⤵
  PID:9192
- C:\Windows\System32\lDwyYWz.exe
  C:\Windows\System32\lDwyYWz.exe
  2⤵
  PID:7936
- C:\Windows\System32\GsxcSXn.exe
  C:\Windows\System32\GsxcSXn.exe
  2⤵
  PID:8288
- C:\Windows\System32\ZOYywOB.exe
  C:\Windows\System32\ZOYywOB.exe
  2⤵
  PID:8352
- C:\Windows\System32\RVELzZL.exe
  C:\Windows\System32\RVELzZL.exe
  2⤵
  PID:8404
- C:\Windows\System32\jGaNqur.exe
  C:\Windows\System32\jGaNqur.exe
  2⤵
  PID:8548
- C:\Windows\System32\nvvCowP.exe
  C:\Windows\System32\nvvCowP.exe
  2⤵
  PID:8580
- C:\Windows\System32\cUtyEbT.exe
  C:\Windows\System32\cUtyEbT.exe
  2⤵
  PID:8640
- C:\Windows\System32\awsccyE.exe
  C:\Windows\System32\awsccyE.exe
  2⤵
  PID:8644
- C:\Windows\System32\tQSKSPZ.exe
  C:\Windows\System32\tQSKSPZ.exe
  2⤵
  PID:8716
- C:\Windows\System32\VsQkqBX.exe
  C:\Windows\System32\VsQkqBX.exe
  2⤵
  PID:8864
- C:\Windows\System32\mFVRwnr.exe
  C:\Windows\System32\mFVRwnr.exe
  2⤵
  PID:8896
- C:\Windows\System32\tWIdQRG.exe
  C:\Windows\System32\tWIdQRG.exe
  2⤵
  PID:8964
- C:\Windows\System32\QBRxGVQ.exe
  C:\Windows\System32\QBRxGVQ.exe
  2⤵
  PID:8988
- C:\Windows\System32\ccDVCJq.exe
  C:\Windows\System32\ccDVCJq.exe
  2⤵
  PID:9008
- C:\Windows\System32\qOBXaqr.exe
  C:\Windows\System32\qOBXaqr.exe
  2⤵
  PID:9092
- C:\Windows\System32\KLaxUQA.exe
  C:\Windows\System32\KLaxUQA.exe
  2⤵
  PID:9128
- C:\Windows\System32\CDvrjUV.exe
  C:\Windows\System32\CDvrjUV.exe
  2⤵
  PID:8316
- C:\Windows\System32\Dqiwwjo.exe
  C:\Windows\System32\Dqiwwjo.exe
  2⤵
  PID:8424
- C:\Windows\System32\oRJHckD.exe
  C:\Windows\System32\oRJHckD.exe
  2⤵
  PID:8816
- C:\Windows\System32\qknDgws.exe
  C:\Windows\System32\qknDgws.exe
  2⤵
  PID:8448
- C:\Windows\System32\kishnao.exe
  C:\Windows\System32\kishnao.exe
  2⤵
  PID:8560
- C:\Windows\System32\rKcdIRl.exe
  C:\Windows\System32\rKcdIRl.exe
  2⤵
  PID:9060
- C:\Windows\System32\GXdOXyw.exe
  C:\Windows\System32\GXdOXyw.exe
  2⤵
  PID:8712
- C:\Windows\System32\bLcRyLJ.exe
  C:\Windows\System32\bLcRyLJ.exe
  2⤵
  PID:8940
- C:\Windows\System32\txrisNn.exe
  C:\Windows\System32\txrisNn.exe
  2⤵
  PID:8348
- C:\Windows\System32\FZaCJBw.exe
  C:\Windows\System32\FZaCJBw.exe
  2⤵
  PID:8212
- C:\Windows\System32\UhpNqRd.exe
  C:\Windows\System32\UhpNqRd.exe
  2⤵
  PID:8396
- C:\Windows\System32\newGlaO.exe
  C:\Windows\System32\newGlaO.exe
  2⤵
  PID:8736
- C:\Windows\System32\mXFnXNR.exe
  C:\Windows\System32\mXFnXNR.exe
  2⤵
  PID:2120
- C:\Windows\System32\DNPlSzW.exe
  C:\Windows\System32\DNPlSzW.exe
  2⤵
  PID:8892
- C:\Windows\System32\NMhfqKY.exe
  C:\Windows\System32\NMhfqKY.exe
  2⤵
  PID:9116
- C:\Windows\System32\xkoeLFY.exe
  C:\Windows\System32\xkoeLFY.exe
  2⤵
  PID:9232
- C:\Windows\System32\mrKleKm.exe
  C:\Windows\System32\mrKleKm.exe
  2⤵
  PID:9248
- C:\Windows\System32\FAPiYJW.exe
  C:\Windows\System32\FAPiYJW.exe
  2⤵
  PID:9268
- C:\Windows\System32\boAaEpE.exe
  C:\Windows\System32\boAaEpE.exe
  2⤵
  PID:9288
- C:\Windows\System32\nLMRRUX.exe
  C:\Windows\System32\nLMRRUX.exe
  2⤵
  PID:9304
- C:\Windows\System32\bfDTJBv.exe
  C:\Windows\System32\bfDTJBv.exe
  2⤵
  PID:9336
- C:\Windows\System32\lJVoBDD.exe
  C:\Windows\System32\lJVoBDD.exe
  2⤵
  PID:9356
- C:\Windows\System32\RAKLWic.exe
  C:\Windows\System32\RAKLWic.exe
  2⤵
  PID:9404
- C:\Windows\System32\MgqvHQl.exe
  C:\Windows\System32\MgqvHQl.exe
  2⤵
  PID:9464
- C:\Windows\System32\khBnLIq.exe
  C:\Windows\System32\khBnLIq.exe
  2⤵
  PID:9480
- C:\Windows\System32\TKleels.exe
  C:\Windows\System32\TKleels.exe
  2⤵
  PID:9504
- C:\Windows\System32\FqEFQFo.exe
  C:\Windows\System32\FqEFQFo.exe
  2⤵
  PID:9544
- C:\Windows\System32\pqkUdTM.exe
  C:\Windows\System32\pqkUdTM.exe
  2⤵
  PID:9572
- C:\Windows\System32\BpcnVPz.exe
  C:\Windows\System32\BpcnVPz.exe
  2⤵
  PID:9592
- C:\Windows\System32\hwSHfYd.exe
  C:\Windows\System32\hwSHfYd.exe
  2⤵
  PID:9616
- C:\Windows\System32\cDOmtgQ.exe
  C:\Windows\System32\cDOmtgQ.exe
  2⤵
  PID:9636
- C:\Windows\System32\PopalTm.exe
  C:\Windows\System32\PopalTm.exe
  2⤵
  PID:9664
- C:\Windows\System32\MiCCUuW.exe
  C:\Windows\System32\MiCCUuW.exe
  2⤵
  PID:9700
- C:\Windows\System32\ZFnJaoW.exe
  C:\Windows\System32\ZFnJaoW.exe
  2⤵
  PID:9744
- C:\Windows\System32\duZpsKA.exe
  C:\Windows\System32\duZpsKA.exe
  2⤵
  PID:9768
- C:\Windows\System32\aNGOKej.exe
  C:\Windows\System32\aNGOKej.exe
  2⤵
  PID:9812
- C:\Windows\System32\diZiQLU.exe
  C:\Windows\System32\diZiQLU.exe
  2⤵
  PID:9828
- C:\Windows\System32\VcAVxFm.exe
  C:\Windows\System32\VcAVxFm.exe
  2⤵
  PID:9868
- C:\Windows\System32\aSMDdrx.exe
  C:\Windows\System32\aSMDdrx.exe
  2⤵
  PID:9892
- C:\Windows\System32\lbKHCdC.exe
  C:\Windows\System32\lbKHCdC.exe
  2⤵
  PID:9912
- C:\Windows\System32\NJpbTRa.exe
  C:\Windows\System32\NJpbTRa.exe
  2⤵
  PID:9928
- C:\Windows\System32\xnQjQBC.exe
  C:\Windows\System32\xnQjQBC.exe
  2⤵
  PID:9948
- C:\Windows\System32\EwNHhZm.exe
  C:\Windows\System32\EwNHhZm.exe
  2⤵
  PID:9972
- C:\Windows\System32\agGtmuF.exe
  C:\Windows\System32\agGtmuF.exe
  2⤵
  PID:9988
- C:\Windows\System32\QodyNUk.exe
  C:\Windows\System32\QodyNUk.exe
  2⤵
  PID:10016
- C:\Windows\System32\lbtAcWb.exe
  C:\Windows\System32\lbtAcWb.exe
  2⤵
  PID:10044
- C:\Windows\System32\CAqARcG.exe
  C:\Windows\System32\CAqARcG.exe
  2⤵
  PID:10068
- C:\Windows\System32\qXyDNux.exe
  C:\Windows\System32\qXyDNux.exe
  2⤵
  PID:10092
- C:\Windows\System32\uaCtbYr.exe
  C:\Windows\System32\uaCtbYr.exe
  2⤵
  PID:10120
- C:\Windows\System32\zvAKnvr.exe
  C:\Windows\System32\zvAKnvr.exe
  2⤵
  PID:10144
- C:\Windows\System32\iPaiAlz.exe
  C:\Windows\System32\iPaiAlz.exe
  2⤵
  PID:10216
- C:\Windows\System32\dPeTJYs.exe
  C:\Windows\System32\dPeTJYs.exe
  2⤵
  PID:9220
- C:\Windows\System32\heRSxeo.exe
  C:\Windows\System32\heRSxeo.exe
  2⤵
  PID:9312
- C:\Windows\System32\AEXkMlC.exe
  C:\Windows\System32\AEXkMlC.exe
  2⤵
  PID:1948
- C:\Windows\System32\ccBHvVE.exe
  C:\Windows\System32\ccBHvVE.exe
  2⤵
  PID:9372
- C:\Windows\System32\VoPvYht.exe
  C:\Windows\System32\VoPvYht.exe
  2⤵
  PID:9444
- C:\Windows\System32\EUvugRT.exe
  C:\Windows\System32\EUvugRT.exe
  2⤵
  PID:9488
- C:\Windows\System32\tfBAUeb.exe
  C:\Windows\System32\tfBAUeb.exe
  2⤵
  PID:9568
- C:\Windows\System32\onnorDI.exe
  C:\Windows\System32\onnorDI.exe
  2⤵
  PID:9584
- C:\Windows\System32\mNiBJZz.exe
  C:\Windows\System32\mNiBJZz.exe
  2⤵
  PID:9732
- C:\Windows\System32\SdWvfsX.exe
  C:\Windows\System32\SdWvfsX.exe
  2⤵
  PID:9824
- C:\Windows\System32\ZjqxbIU.exe
  C:\Windows\System32\ZjqxbIU.exe
  2⤵
  PID:9876
- C:\Windows\System32\LSXfUks.exe
  C:\Windows\System32\LSXfUks.exe
  2⤵
  PID:9908
- C:\Windows\System32\HUqfjdF.exe
  C:\Windows\System32\HUqfjdF.exe
  2⤵
  PID:9920
- C:\Windows\System32\ZiXhSNV.exe
  C:\Windows\System32\ZiXhSNV.exe
  2⤵
  PID:10060
- C:\Windows\System32\cRJxUnT.exe
  C:\Windows\System32\cRJxUnT.exe
  2⤵
  PID:10052
- C:\Windows\System32\taIeffI.exe
  C:\Windows\System32\taIeffI.exe
  2⤵
  PID:10168
- C:\Windows\System32\bhWGXzF.exe
  C:\Windows\System32\bhWGXzF.exe
  2⤵
  PID:9144
- C:\Windows\System32\hBmBQlL.exe
  C:\Windows\System32\hBmBQlL.exe
  2⤵
  PID:9320
- C:\Windows\System32\aHSaIfx.exe
  C:\Windows\System32\aHSaIfx.exe
  2⤵
  PID:9476
- C:\Windows\System32\eJjpRbE.exe
  C:\Windows\System32\eJjpRbE.exe
  2⤵
  PID:9440
- C:\Windows\System32\xJqBSdH.exe
  C:\Windows\System32\xJqBSdH.exe
  2⤵
  PID:9656
- C:\Windows\System32\MNfZUIa.exe
  C:\Windows\System32\MNfZUIa.exe
  2⤵
  PID:9796
- C:\Windows\System32\TewmcTJ.exe
  C:\Windows\System32\TewmcTJ.exe
  2⤵
  PID:9904
- C:\Windows\System32\yiPynQk.exe
  C:\Windows\System32\yiPynQk.exe
  2⤵
  PID:3236
- C:\Windows\System32\EHABZou.exe
  C:\Windows\System32\EHABZou.exe
  2⤵
  PID:9244
- C:\Windows\System32\QDOFWwa.exe
  C:\Windows\System32\QDOFWwa.exe
  2⤵
  PID:9328
- C:\Windows\System32\PwWkETa.exe
  C:\Windows\System32\PwWkETa.exe
  2⤵
  PID:9612
- C:\Windows\System32\RsrgWyQ.exe
  C:\Windows\System32\RsrgWyQ.exe
  2⤵
  PID:9516
- C:\Windows\System32\QipYVkt.exe
  C:\Windows\System32\QipYVkt.exe
  2⤵
  PID:5060
- C:\Windows\System32\kvOjblk.exe
  C:\Windows\System32\kvOjblk.exe
  2⤵
  PID:9860
- C:\Windows\System32\QFkQNEB.exe
  C:\Windows\System32\QFkQNEB.exe
  2⤵
  PID:10304
- C:\Windows\System32\qjdijGB.exe
  C:\Windows\System32\qjdijGB.exe
  2⤵
  PID:10320
- C:\Windows\System32\YCfVmIS.exe
  C:\Windows\System32\YCfVmIS.exe
  2⤵
  PID:10336
- C:\Windows\System32\lnWPCBe.exe
  C:\Windows\System32\lnWPCBe.exe
  2⤵
  PID:10360
- C:\Windows\System32\QbOSPex.exe
  C:\Windows\System32\QbOSPex.exe
  2⤵
  PID:10424
- C:\Windows\System32\EfCdcYh.exe
  C:\Windows\System32\EfCdcYh.exe
  2⤵
  PID:10444
- C:\Windows\System32\xqQuyOq.exe
  C:\Windows\System32\xqQuyOq.exe
  2⤵
  PID:10468
- C:\Windows\System32\WPinyyY.exe
  C:\Windows\System32\WPinyyY.exe
  2⤵
  PID:10488
- C:\Windows\System32\LVxhmXe.exe
  C:\Windows\System32\LVxhmXe.exe
  2⤵
  PID:10508
- C:\Windows\System32\ILfWROj.exe
  C:\Windows\System32\ILfWROj.exe
  2⤵
  PID:10536
- C:\Windows\System32\VjLmFuC.exe
  C:\Windows\System32\VjLmFuC.exe
  2⤵
  PID:10560
- C:\Windows\System32\WLIOixh.exe
  C:\Windows\System32\WLIOixh.exe
  2⤵
  PID:10592
- C:\Windows\System32\luRMUzz.exe
  C:\Windows\System32\luRMUzz.exe
  2⤵
  PID:10608
- C:\Windows\System32\avidxMQ.exe
  C:\Windows\System32\avidxMQ.exe
  2⤵
  PID:10644
- C:\Windows\System32\hJtqtBw.exe
  C:\Windows\System32\hJtqtBw.exe
  2⤵
  PID:10680
- C:\Windows\System32\kOgHVNF.exe
  C:\Windows\System32\kOgHVNF.exe
  2⤵
  PID:10704
- C:\Windows\System32\AupSyUH.exe
  C:\Windows\System32\AupSyUH.exe
  2⤵
  PID:10728
- C:\Windows\System32\QsaBOzM.exe
  C:\Windows\System32\QsaBOzM.exe
  2⤵
  PID:10756
- C:\Windows\System32\kTHUuGP.exe
  C:\Windows\System32\kTHUuGP.exe
  2⤵
  PID:10772
- C:\Windows\System32\KtcQGXA.exe
  C:\Windows\System32\KtcQGXA.exe
  2⤵
  PID:10832
- C:\Windows\System32\NZLecpo.exe
  C:\Windows\System32\NZLecpo.exe
  2⤵
  PID:10852
- C:\Windows\System32\hnFTzNV.exe
  C:\Windows\System32\hnFTzNV.exe
  2⤵
  PID:10872
- C:\Windows\System32\pPvvxis.exe
  C:\Windows\System32\pPvvxis.exe
  2⤵
  PID:10908
- C:\Windows\System32\GMQrDcx.exe
  C:\Windows\System32\GMQrDcx.exe
  2⤵
  PID:10928
- C:\Windows\System32\nHWCXoU.exe
  C:\Windows\System32\nHWCXoU.exe
  2⤵
  PID:10952
- C:\Windows\System32\GlrSzJT.exe
  C:\Windows\System32\GlrSzJT.exe
  2⤵
  PID:10992
- C:\Windows\System32\GMxJqMe.exe
  C:\Windows\System32\GMxJqMe.exe
  2⤵
  PID:11012
- C:\Windows\System32\RWtUzKx.exe
  C:\Windows\System32\RWtUzKx.exe
  2⤵
  PID:11032
- C:\Windows\System32\EtOJZaf.exe
  C:\Windows\System32\EtOJZaf.exe
  2⤵
  PID:11052
- C:\Windows\System32\fBmDDuw.exe
  C:\Windows\System32\fBmDDuw.exe
  2⤵
  PID:11076
- C:\Windows\System32\JRMbMJv.exe
  C:\Windows\System32\JRMbMJv.exe
  2⤵
  PID:11096
- C:\Windows\System32\aLYXqpo.exe
  C:\Windows\System32\aLYXqpo.exe
  2⤵
  PID:11124
- C:\Windows\System32\MeMdTtp.exe
  C:\Windows\System32\MeMdTtp.exe
  2⤵
  PID:11188
- C:\Windows\System32\nwRbKRk.exe
  C:\Windows\System32\nwRbKRk.exe
  2⤵
  PID:11216
- C:\Windows\System32\neLOoSS.exe
  C:\Windows\System32\neLOoSS.exe
  2⤵
  PID:11236
- C:\Windows\System32\TmNZLDd.exe
  C:\Windows\System32\TmNZLDd.exe
  2⤵
  PID:11260
- C:\Windows\System32\gfueMKu.exe
  C:\Windows\System32\gfueMKu.exe
  2⤵
  PID:9560
- C:\Windows\System32\VlVCirq.exe
  C:\Windows\System32\VlVCirq.exe
  2⤵
  PID:10328
- C:\Windows\System32\sjMOFWd.exe
  C:\Windows\System32\sjMOFWd.exe
  2⤵
  PID:10436
- C:\Windows\System32\CiHEzXW.exe
  C:\Windows\System32\CiHEzXW.exe
  2⤵
  PID:10456
- C:\Windows\System32\mreZdhj.exe
  C:\Windows\System32\mreZdhj.exe
  2⤵
  PID:10636
- C:\Windows\System32\bIjDZRc.exe
  C:\Windows\System32\bIjDZRc.exe
  2⤵
  PID:10656
- C:\Windows\System32\NJwtKUN.exe
  C:\Windows\System32\NJwtKUN.exe
  2⤵
  PID:10676
- C:\Windows\System32\MIRvaBV.exe
  C:\Windows\System32\MIRvaBV.exe
  2⤵
  PID:10748
- C:\Windows\System32\YApzAHP.exe
  C:\Windows\System32\YApzAHP.exe
  2⤵
  PID:10796
- C:\Windows\System32\iTZBZWv.exe
  C:\Windows\System32\iTZBZWv.exe
  2⤵
  PID:10880
- C:\Windows\System32\JdLBcYJ.exe
  C:\Windows\System32\JdLBcYJ.exe
  2⤵
  PID:10948
- C:\Windows\System32\FWfVFaz.exe
  C:\Windows\System32\FWfVFaz.exe
  2⤵
  PID:11048
- C:\Windows\System32\FXdPHZE.exe
  C:\Windows\System32\FXdPHZE.exe
  2⤵
  PID:11084
- C:\Windows\System32\SKLCzvz.exe
  C:\Windows\System32\SKLCzvz.exe
  2⤵
  PID:11140
- C:\Windows\System32\WwhMlkT.exe
  C:\Windows\System32\WwhMlkT.exe
  2⤵
  PID:11172
- C:\Windows\System32\HseCPOh.exe
  C:\Windows\System32\HseCPOh.exe
  2⤵
  PID:11256
- C:\Windows\System32\vxWKczl.exe
  C:\Windows\System32\vxWKczl.exe
  2⤵
  PID:10256
- C:\Windows\System32\IdzWvkV.exe
  C:\Windows\System32\IdzWvkV.exe
  2⤵
  PID:10396
- C:\Windows\System32\iaxeIkg.exe
  C:\Windows\System32\iaxeIkg.exe
  2⤵
  PID:10588
- C:\Windows\System32\oveWsyO.exe
  C:\Windows\System32\oveWsyO.exe
  2⤵
  PID:10652
- C:\Windows\System32\JeLXYvI.exe
  C:\Windows\System32\JeLXYvI.exe
  2⤵
  PID:10892
- C:\Windows\System32\QyazLVr.exe
  C:\Windows\System32\QyazLVr.exe
  2⤵
  PID:11024
- C:\Windows\System32\IGTOZug.exe
  C:\Windows\System32\IGTOZug.exe
  2⤵
  PID:11204
- C:\Windows\System32\eKBrwSH.exe
  C:\Windows\System32\eKBrwSH.exe
  2⤵
  PID:10312
- C:\Windows\System32\YVfCpLu.exe
  C:\Windows\System32\YVfCpLu.exe
  2⤵
  PID:10924
- C:\Windows\System32\IfcadOW.exe
  C:\Windows\System32\IfcadOW.exe
  2⤵
  PID:11224
- C:\Windows\System32\qMYOiPV.exe
  C:\Windows\System32\qMYOiPV.exe
  2⤵
  PID:10844
- C:\Windows\System32\oFCwUIs.exe
  C:\Windows\System32\oFCwUIs.exe
  2⤵
  PID:11112
- C:\Windows\System32\HdSLUlD.exe
  C:\Windows\System32\HdSLUlD.exe
  2⤵
  PID:11288
- C:\Windows\System32\NlbDdtO.exe
  C:\Windows\System32\NlbDdtO.exe
  2⤵
  PID:11304
- C:\Windows\System32\HvJLGMz.exe
  C:\Windows\System32\HvJLGMz.exe
  2⤵
  PID:11340
- C:\Windows\System32\vHToxgo.exe
  C:\Windows\System32\vHToxgo.exe
  2⤵
  PID:11356
- C:\Windows\System32\EeSPpdr.exe
  C:\Windows\System32\EeSPpdr.exe
  2⤵
  PID:11384
- C:\Windows\System32\sLOFPqz.exe
  C:\Windows\System32\sLOFPqz.exe
  2⤵
  PID:11404
- C:\Windows\System32\PXHtaGG.exe
  C:\Windows\System32\PXHtaGG.exe
  2⤵
  PID:11420
- C:\Windows\System32\TrOmZAY.exe
  C:\Windows\System32\TrOmZAY.exe
  2⤵
  PID:11468
- C:\Windows\System32\Yskksmz.exe
  C:\Windows\System32\Yskksmz.exe
  2⤵
  PID:11536
- C:\Windows\System32\DNTowYN.exe
  C:\Windows\System32\DNTowYN.exe
  2⤵
  PID:11564
- C:\Windows\System32\fvUfulN.exe
  C:\Windows\System32\fvUfulN.exe
  2⤵
  PID:11588
- C:\Windows\System32\aYRFIwS.exe
  C:\Windows\System32\aYRFIwS.exe
  2⤵
  PID:11612
- C:\Windows\System32\gxjIIqn.exe
  C:\Windows\System32\gxjIIqn.exe
  2⤵
  PID:11628
- C:\Windows\System32\aBdnoQV.exe
  C:\Windows\System32\aBdnoQV.exe
  2⤵
  PID:11664
- C:\Windows\System32\rWPeLYu.exe
  C:\Windows\System32\rWPeLYu.exe
  2⤵
  PID:11688
- C:\Windows\System32\qPJPOkt.exe
  C:\Windows\System32\qPJPOkt.exe
  2⤵
  PID:11740
- C:\Windows\System32\vWrQPJQ.exe
  C:\Windows\System32\vWrQPJQ.exe
  2⤵
  PID:11768
- C:\Windows\System32\PPYhSuk.exe
  C:\Windows\System32\PPYhSuk.exe
  2⤵
  PID:11784
- C:\Windows\System32\tzQhbqD.exe
  C:\Windows\System32\tzQhbqD.exe
  2⤵
  PID:11804
- C:\Windows\System32\rMwfyRI.exe
  C:\Windows\System32\rMwfyRI.exe
  2⤵
  PID:11828
- C:\Windows\System32\LdhxOjL.exe
  C:\Windows\System32\LdhxOjL.exe
  2⤵
  PID:11844
- C:\Windows\System32\baJhZOj.exe
  C:\Windows\System32\baJhZOj.exe
  2⤵
  PID:11900
- C:\Windows\System32\keYAios.exe
  C:\Windows\System32\keYAios.exe
  2⤵
  PID:11924
- C:\Windows\System32\RMjKrvq.exe
  C:\Windows\System32\RMjKrvq.exe
  2⤵
  PID:11944
- C:\Windows\System32\VLClNFF.exe
  C:\Windows\System32\VLClNFF.exe
  2⤵
  PID:11992
- C:\Windows\System32\glrSLvH.exe
  C:\Windows\System32\glrSLvH.exe
  2⤵
  PID:12008
- C:\Windows\System32\BBogyas.exe
  C:\Windows\System32\BBogyas.exe
  2⤵
  PID:12032
- C:\Windows\System32\JLaqISZ.exe
  C:\Windows\System32\JLaqISZ.exe
  2⤵
  PID:12076
- C:\Windows\System32\oxDsTFk.exe
  C:\Windows\System32\oxDsTFk.exe
  2⤵
  PID:12096
- C:\Windows\System32\PBtZRLM.exe
  C:\Windows\System32\PBtZRLM.exe
  2⤵
  PID:12120
- C:\Windows\System32\oPLkCyd.exe
  C:\Windows\System32\oPLkCyd.exe
  2⤵
  PID:12144
- C:\Windows\System32\PKsHKqP.exe
  C:\Windows\System32\PKsHKqP.exe
  2⤵
  PID:12164
- C:\Windows\System32\pEkUtsD.exe
  C:\Windows\System32\pEkUtsD.exe
  2⤵
  PID:12200
- C:\Windows\System32\AsSAPWQ.exe
  C:\Windows\System32\AsSAPWQ.exe
  2⤵
  PID:12244
- C:\Windows\System32\TDrEiLh.exe
  C:\Windows\System32\TDrEiLh.exe
  2⤵
  PID:12264
- C:\Windows\System32\BqLQzGg.exe
  C:\Windows\System32\BqLQzGg.exe
  2⤵
  PID:10276
- C:\Windows\System32\pcAFhHc.exe
  C:\Windows\System32\pcAFhHc.exe
  2⤵
  PID:11320
- C:\Windows\System32\RkoExpR.exe
  C:\Windows\System32\RkoExpR.exe
  2⤵
  PID:11416
- C:\Windows\System32\UmWadpV.exe
  C:\Windows\System32\UmWadpV.exe
  2⤵
  PID:11396
- C:\Windows\System32\WZiQqJG.exe
  C:\Windows\System32\WZiQqJG.exe
  2⤵
  PID:11496
- C:\Windows\System32\fSJqNtC.exe
  C:\Windows\System32\fSJqNtC.exe
  2⤵
  PID:11572
- C:\Windows\System32\LJwcBUk.exe
  C:\Windows\System32\LJwcBUk.exe
  2⤵
  PID:11636
- C:\Windows\System32\KbFrrqV.exe
  C:\Windows\System32\KbFrrqV.exe
  2⤵
  PID:11720
- C:\Windows\System32\jvEivvO.exe
  C:\Windows\System32\jvEivvO.exe
  2⤵
  PID:11760
- C:\Windows\System32\lquQBVr.exe
  C:\Windows\System32\lquQBVr.exe
  2⤵
  PID:11812
- C:\Windows\System32\bNVejYr.exe
  C:\Windows\System32\bNVejYr.exe
  2⤵
  PID:11876
- C:\Windows\System32\yttUPkQ.exe
  C:\Windows\System32\yttUPkQ.exe
  2⤵
  PID:11908
- C:\Windows\System32\gMpgYfl.exe
  C:\Windows\System32\gMpgYfl.exe
  2⤵
  PID:11952
- C:\Windows\System32\WdGBzFN.exe
  C:\Windows\System32\WdGBzFN.exe
  2⤵
  PID:12024
- C:\Windows\System32\TysyKNq.exe
  C:\Windows\System32\TysyKNq.exe
  2⤵
  PID:12132
- C:\Windows\System32\gRbYAeG.exe
  C:\Windows\System32\gRbYAeG.exe
  2⤵
  PID:12192
- C:\Windows\System32\InKTkcG.exe
  C:\Windows\System32\InKTkcG.exe
  2⤵
  PID:12256
- C:\Windows\System32\ytuAUsb.exe
  C:\Windows\System32\ytuAUsb.exe
  2⤵
  PID:11336
- C:\Windows\System32\lbDxNdv.exe
  C:\Windows\System32\lbDxNdv.exe
  2⤵
  PID:2472
- C:\Windows\System32\THlPsFE.exe
  C:\Windows\System32\THlPsFE.exe
  2⤵
  PID:4288
- C:\Windows\System32\SLcDYRE.exe
  C:\Windows\System32\SLcDYRE.exe
  2⤵
  PID:11864
- C:\Windows\System32\bGLJbBP.exe
  C:\Windows\System32\bGLJbBP.exe
  2⤵
  PID:11980
- C:\Windows\System32\ayqSADo.exe
  C:\Windows\System32\ayqSADo.exe
  2⤵
  PID:12276
- C:\Windows\System32\VOFWFYm.exe
  C:\Windows\System32\VOFWFYm.exe
  2⤵
  PID:11552
- C:\Windows\System32\tllmQcf.exe
  C:\Windows\System32\tllmQcf.exe
  2⤵
  PID:2116
- C:\Windows\System32\QnHHUOU.exe
  C:\Windows\System32\QnHHUOU.exe
  2⤵
  PID:520
- C:\Windows\System32\hTUkVhs.exe
  C:\Windows\System32\hTUkVhs.exe
  2⤵
  PID:11672
- C:\Windows\System32\FlLVFpI.exe
  C:\Windows\System32\FlLVFpI.exe
  2⤵
  PID:11912
- C:\Windows\System32\SAYoOXl.exe
  C:\Windows\System32\SAYoOXl.exe
  2⤵
  PID:3712
- C:\Windows\System32\ylKTRLV.exe
  C:\Windows\System32\ylKTRLV.exe
  2⤵
  PID:12316
- C:\Windows\System32\LrqxMpd.exe
  C:\Windows\System32\LrqxMpd.exe
  2⤵
  PID:12332
- C:\Windows\System32\lRbcrvs.exe
  C:\Windows\System32\lRbcrvs.exe
  2⤵
  PID:12368
- C:\Windows\System32\xzRtCPV.exe
  C:\Windows\System32\xzRtCPV.exe
  2⤵
  PID:12416
- C:\Windows\System32\voWKfUz.exe
  C:\Windows\System32\voWKfUz.exe
  2⤵
  PID:12436
- C:\Windows\System32\rtslCcj.exe
  C:\Windows\System32\rtslCcj.exe
  2⤵
  PID:12452
- C:\Windows\System32\sIMmBvV.exe
  C:\Windows\System32\sIMmBvV.exe
  2⤵
  PID:12480
- C:\Windows\System32\eJNYglw.exe
  C:\Windows\System32\eJNYglw.exe
  2⤵
  PID:12504
- C:\Windows\System32\prTYsLw.exe
  C:\Windows\System32\prTYsLw.exe
  2⤵
  PID:12532
- C:\Windows\System32\eKpmkYO.exe
  C:\Windows\System32\eKpmkYO.exe
  2⤵
  PID:12576
- C:\Windows\System32\HghSzcR.exe
  C:\Windows\System32\HghSzcR.exe
  2⤵
  PID:12596
- C:\Windows\System32\LtnpQWn.exe
  C:\Windows\System32\LtnpQWn.exe
  2⤵
  PID:12620
- C:\Windows\System32\MKsGWEg.exe
  C:\Windows\System32\MKsGWEg.exe
  2⤵
  PID:12636
- C:\Windows\System32\BoDjoTI.exe
  C:\Windows\System32\BoDjoTI.exe
  2⤵
  PID:12656
- C:\Windows\System32\AGebkJm.exe
  C:\Windows\System32\AGebkJm.exe
  2⤵
  PID:12704
- C:\Windows\System32\taBdbbe.exe
  C:\Windows\System32\taBdbbe.exe
  2⤵
  PID:12732
- C:\Windows\System32\CiDfPzs.exe
  C:\Windows\System32\CiDfPzs.exe
  2⤵
  PID:12752
- C:\Windows\System32\yUbKEba.exe
  C:\Windows\System32\yUbKEba.exe
  2⤵
  PID:12768
- C:\Windows\System32\kRvxkhV.exe
  C:\Windows\System32\kRvxkhV.exe
  2⤵
  PID:12796
- C:\Windows\System32\RiJKNgL.exe
  C:\Windows\System32\RiJKNgL.exe
  2⤵
  PID:12820
- C:\Windows\System32\jNargKY.exe
  C:\Windows\System32\jNargKY.exe
  2⤵
  PID:12836
- C:\Windows\System32\KehOTyC.exe
  C:\Windows\System32\KehOTyC.exe
  2⤵
  PID:12884
- C:\Windows\System32\ElPiJcg.exe
  C:\Windows\System32\ElPiJcg.exe
  2⤵
  PID:12904
- C:\Windows\System32\PblMDZM.exe
  C:\Windows\System32\PblMDZM.exe
  2⤵
  PID:12932
- C:\Windows\System32\jvCRdnV.exe
  C:\Windows\System32\jvCRdnV.exe
  2⤵
  PID:12960
- C:\Windows\System32\KNvPRiW.exe
  C:\Windows\System32\KNvPRiW.exe
  2⤵
  PID:12976
- C:\Windows\System32\upRFKvT.exe
  C:\Windows\System32\upRFKvT.exe
  2⤵
  PID:13044
- C:\Windows\System32\GUZxHgU.exe
  C:\Windows\System32\GUZxHgU.exe
  2⤵
  PID:13072
- C:\Windows\System32\LmfmKsK.exe
  C:\Windows\System32\LmfmKsK.exe
  2⤵
  PID:13092
- C:\Windows\System32\JmbeOIZ.exe
  C:\Windows\System32\JmbeOIZ.exe
  2⤵
  PID:13116
- C:\Windows\System32\mMHhmIN.exe
  C:\Windows\System32\mMHhmIN.exe
  2⤵
  PID:13136
- C:\Windows\System32\iqUOFiy.exe
  C:\Windows\System32\iqUOFiy.exe
  2⤵
  PID:13172
- C:\Windows\System32\CyCYqZE.exe
  C:\Windows\System32\CyCYqZE.exe
  2⤵
  PID:13224
- C:\Windows\System32\UTzettr.exe
  C:\Windows\System32\UTzettr.exe
  2⤵
  PID:13248
- C:\Windows\System32\huGclkJ.exe
  C:\Windows\System32\huGclkJ.exe
  2⤵
  PID:13268
- C:\Windows\System32\wKlnJjK.exe
  C:\Windows\System32\wKlnJjK.exe
  2⤵
  PID:13288
- C:\Windows\System32\dyVIZHW.exe
  C:\Windows\System32\dyVIZHW.exe
  2⤵
  PID:11888
- C:\Windows\System32\PNawwrl.exe
  C:\Windows\System32\PNawwrl.exe
  2⤵
  PID:11620
- C:\Windows\System32\rBNTDVj.exe
  C:\Windows\System32\rBNTDVj.exe
  2⤵
  PID:12348
- C:\Windows\System32\kBNXVKP.exe
  C:\Windows\System32\kBNXVKP.exe
  2⤵
  PID:12432
- C:\Windows\System32\UEZUSPA.exe
  C:\Windows\System32\UEZUSPA.exe
  2⤵
  PID:12524
- C:\Windows\System32\aeKwvMD.exe
  C:\Windows\System32\aeKwvMD.exe
  2⤵
  PID:12608

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:12792

C:\Windows\system32\WerFaultSecure.exe
"C:\Windows\system32\WerFaultSecure.exe" -protectedcrash -p 4696 -i 4696 -h 500 -j 504 -s 512 -d 12808
1⤵
- Suspicious use of NtCreateUserProcessOtherParentProcess
PID:13052

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\ATJAgTV.exe

Filesize
1.4MB

MD5
9b896c1ad87498fae6b79a43b4cabba2

SHA1
fe451908929991d3beca1ab6083e4ad7f9d75542

SHA256
5ee585efa489d827fde80175277da5128478f32750a77da21d570556635aa629

SHA512
1e98237fdf483c3a9e5277a7045f2575425a1e95391bc914e753975a9b6d54f1447e6adc16fcf7fc9f74421bfbbb5117f3274cb31ad01a7a37d97d339dece9f3

Download Submit
C:\Windows\System32\BEbLdnT.exe

Filesize
1.4MB

MD5
865ea3b6b9989fa4645d33125972358b

SHA1
2d7dc9b6e18e345310f447ca741da6f59d25d2e6

SHA256
994ff07109602ec0681de82a6f173ac66494fa4058917c78d1c481a3c805bb26

SHA512
d8e99a2bb80f52fa2e65d03db786f85d1430207439e5ee2d01721fd7f511fdfd157b56d7cd97508ec794774d923a57ae9de58e8934bbd7ee722f396f445c0869

Download Submit
C:\Windows\System32\DTRrYkU.exe

Filesize
1.4MB

MD5
c54ac92d178f04ecb6fc0df5896f529e

SHA1
f20065cb75ab4a12752a83d302df97342c501c06

SHA256
36040af33e642cb28b6e570c5bdc78cd86e0d64fc58397b5adfb404f846a66c6

SHA512
a588fcc8375e6cac3532430750c59866ede46723ac975cea72314633738c476a0484eee83dd6ad96825319e8c846b887e3cc6410b15271dd749ebca3e868b487

Download Submit
C:\Windows\System32\LSQiwDV.exe

Filesize
1.4MB

MD5
1103e2fc6fc19ad503f675101127e2a5

SHA1
ecaa55ed39da29aa529af2cbb1a8c85424d05786

SHA256
fd6ed7c0173da979777eb1f7012ff3e8a81b367e1da4bd8423449acef1438ada

SHA512
0bae697d8bbdda252f32433d6b4fd7cace5c9b1481bae8e1ee5cf1275e0e24af58fb1c0c5110101d79811c9fde057770029b2ffe4b3a7022682e57e32fb67ca5

Download Submit
C:\Windows\System32\MbIyVZk.exe

Filesize
1.4MB

MD5
59bbeba5c1ca5b34cc3b12e64c8ddea2

SHA1
f7eb79f361e90335bf77ad9f69f8a26a4c85473a

SHA256
90b305c20cd69c449b0ec6c559ccb92e2a04535965cfd30b3d613354d02cce6c

SHA512
19bc46e9046f258b9ad72f21d605e5f08f17dd3a2a795df9e01e2f9e2cae257f252e5ac90d281e9e4a52fd61816f571ead278eaa1ea90403ea290c3a26ea81db

Download Submit
C:\Windows\System32\MdJVGJz.exe

Filesize
1.4MB

MD5
96b339c7ec03046c01ea08304b4b66d3

SHA1
247f11d82f0f8fa3b0e724681ffbcb6538e53ec5

SHA256
951e1bd4e1f26fcc015dfd2edd2010fd4a7fb3fcfb8b6c671f10cb971f1e6d01

SHA512
b6396378ad936c62ba6426db7be0cc89c3027105a2e29bcc30d38c2668a336f4566fc312cb830b7304070b6d54418396ced9ee844adcc92eefde76334656897a

Download Submit
C:\Windows\System32\NqZAVtX.exe

Filesize
1.4MB

MD5
989590305214dddc50293c293ec9bad0

SHA1
fae768ff5203ed3cdd92b7eae2a69bd436e713af

SHA256
c04562fe3222f5cc3cfd4fc19a6247b4b92bc367c31918a0e79c56af65b8347f

SHA512
a65123a5fb130a6597c3567a988b0c4ca4594f56d96d908aed9e9c34d432f231f7ab0d91f3910ba7f33b47927dbbfcd5347cee83044552d0fcea33001710ce72

Download Submit
C:\Windows\System32\OcFONlI.exe

Filesize
1.4MB

MD5
d6dea5f32a7f78d5e93a741eca7b61ff

SHA1
e1898d2033b606a7582f8c86e4426bd459caaf0a

SHA256
32d2908284feb55c7ec9017f7ea5bf7aca8514d5de38f33b540c1cd7ee2becdc

SHA512
679fd3d1fa92cdf822249652f21769e0dab477545bea372a9b26d86d294e5dd1496ee0693f58b10e7490f111d46c315584125135ca01638786234f7125bacae1

Download Submit
C:\Windows\System32\PWQcrnX.exe

Filesize
1.4MB

MD5
644760c5d1979b6d9a54e9b8c70c7121

SHA1
87cbbbc14a73192f32c1fc75debc6b21c68524d4

SHA256
435ff56c817edad9915efce7bca5ca906252bd9d196d1e8a08a4aecbafd3c741

SHA512
ac9725527a36534f2c86603a388727f09fe2741b39e887a7d1e84c664c9a2c097e292214beb49eb6ff22ea54a891d0b363eda2735c42221e88dd657a5ac80fb1

Download Submit
C:\Windows\System32\XIMXGqW.exe

Filesize
1.4MB

MD5
4eb8cb1b11bd65a3986af22510bc092c

SHA1
ad22f35f987a1aac2acba017605433c19dec65d6

SHA256
db5098abf06398c2594b3fb9d26eda9e9a857bf5fb48d7085035b002ece687d0

SHA512
507f59169ce53627b59e8c0d22ee1fd5e8a11b2f3892c5f30e4446cafb760d20e1762a1415bbe68591df14a3f130930dc045b761c05c89d18fdce66ceef207c5

Download Submit
C:\Windows\System32\ZVlPBZj.exe

Filesize
1.4MB

MD5
b597dba118a1e1a66daccfa6e4c301c3

SHA1
15a6d18e989532fe1db7891d96a3d730b8af24ad

SHA256
91e393a6d6cebad586541eefd0af7ccdff9950ff75858ffd5aeb52d2c3177085

SHA512
2c413082de33b71b367306053ef253011953594edbf86fb5849fa4819f1b29af79d4615edc61e18a4e43f295934bb532adb49afa342001c933d891a5378aa198

Download Submit
C:\Windows\System32\aMTpZWG.exe

Filesize
1.4MB

MD5
d9e2ff8eca2410d04335e3399fe5e97a

SHA1
d712ca4e1f092ddf798df122f73b6156d68d465c

SHA256
4f9f7f8f8eb1f65448c4612a293b8812f3baa547b120bae47bf37658341b8ca4

SHA512
acc13cc291e5d4de81c09088de634b85ca3b57ca18d9a6a181acdce5efe8e17c26c056554cdaf619c9784f35135ecebaacfd09676f64b98fefba5a93f9bfca9e

Download Submit
C:\Windows\System32\akUyRAA.exe

Filesize
1.4MB

MD5
3bd629b91d49bc3a116a9ef5af25b2e4

SHA1
117e74075af480c5a17f7e4bd73f0009d483d2e1

SHA256
cf8fc0350286aa48ca233bcb3297f2362e4774d769b777c5ed0b55460b671e32

SHA512
80858911899f9af979a19f3e0687612f8b1fa52cc7bd7d2d16aded869a8dbc830e3947be08a29ee805c8a5af95f3c431c8466fa4161d131fd41d7a58189700e9

Download Submit
C:\Windows\System32\bAPAnZn.exe

Filesize
1.4MB

MD5
1b1a50c5951b67de5e7e9e921294a4c1

SHA1
65bcaf3ba2880205417b3c0f96d2439415555e05

SHA256
0efc674b6e57ced3712ea118e3b0262b4c110773570b4665031f1cbc98a177c3

SHA512
6c46541ca877d08cf149ea0fee3eb1175508aab25b9ba5236f3f946ae51be973d5b3c0a5c5a833652d4a45339478e1b77795ca3dca1591c872b73361040ab298

Download Submit
C:\Windows\System32\bmPmmDt.exe

Filesize
1.4MB

MD5
f38b51f89230de5144a05166055511ee

SHA1
db23aa65af1589c80dd246292f3042573fda14c0

SHA256
992d3ab9c773036ba24d98de02db88554e6ab7e72669842db899e44b03e8378b

SHA512
40c3404241eb98560d52f5f106a2528b13e40d6710e38bdad4394b509834fac9d4d354621bc63e46e62e932ee615d26aed56aec430d89139009142df9e1b8709

Download Submit
C:\Windows\System32\cFwtiDk.exe

Filesize
1.4MB

MD5
ee178d040a61be22829af9a49d28ce34

SHA1
5610e2cac945ba2a242332681cb9935b3763e7f2

SHA256
6b78662e7388f8860732855c123989f64274d9ed08128e60484b8afda0bfdb8d

SHA512
e9e8f18a6718d6489d992066dad8cdab7cc2efb6089d0aab659d1b33e722c16f8d7c628f7cfc4f4975aa9eeee0367c13e78a506e7d830ce9923fab515e4fd4e1

Download Submit
C:\Windows\System32\fIajwMw.exe

Filesize
1.4MB

MD5
199ade72490a399d508057142b8cfeb3

SHA1
9b5d9071616d4ef6c1cdb3dfc39270ab84ca348f

SHA256
e767abe8d05fca81b0201bd2d281d7d01151ee75161a20a36692eff1c1710c49

SHA512
4365463531aedf498f8d3f29986046795b1299bfb11bb87e55a8ff2c4b959a59c89c6ba652dfd729dce5f9e5a77ce0f34c0a7d8ae5a34b67002d3634d55be8ff

Download Submit
C:\Windows\System32\fMWoPfE.exe

Filesize
1.4MB

MD5
a2b45204f7e4230b1b39d0de0cde4d57

SHA1
c3df6a67e4614769804cc47def0e1c2d86bf8fe1

SHA256
24507c673159d8b05d9d7a388e68a05c71b41ac4708ddc226d1ab234ce9f0608

SHA512
0936643bfe60898fe3e66765cff428703e6a827ca0ab440364bc94d841776b4b4261913217d5ffaa8a4baf0d5b1fe2651942e28f76cd13e17711d9d29d90b4fa

Download Submit
C:\Windows\System32\gieVfJF.exe

Filesize
1.4MB

MD5
a684ec6a29cb3835754625b9c9226895

SHA1
ab8f1b1e0dbc13a72ea402c2bce33183fe132a93

SHA256
aea2c195fc9fa92bded616f6f93ebc74207fa0f1135448d7d1feadd0cc492f0d

SHA512
e4701feb7f1111140598a1ed4f1b2a501b987e5d5f809b320c41d768b2c4edb866c232cf7121b9a0de1723b820f7852ca2e35234087a0cf64f4a4ef3eac44a0a

Download Submit
C:\Windows\System32\ipXGUdl.exe

Filesize
1.4MB

MD5
bc871f02e62b05e7b35b680590d54a20

SHA1
0e99d62a6f868750705772d88798aa259ee686c3

SHA256
f3a1b9860751d0872fb39480bacab10bd930363b7d010f0bd5df5bcc22a5d906

SHA512
6df3f9a03689c4af7b4bb4bbeb052519074731189b737a9c272e2d67c431e2bba02369a845340ba06bfdd32d068122dcf14cb3ec8978c8193bbda9db54e68d72

Download Submit
C:\Windows\System32\lXSQtuZ.exe

Filesize
1.4MB

MD5
15eee6c7367aa733a0c73e9999afca03

SHA1
b49f46c1623cd1d28830ebd3caeefb112268d5db

SHA256
6df194024b01e454ac9b52f55a20b5216414a6b5535e32029d7ca0a468fe3a27

SHA512
7173014a4ee7d6d96e45f3ea5a396a04c7dad6afa9c1dee2b2d4887447615db717837d6420b33402dfa98ff1d27d96c89a4f5180b381030476d95e175ce2766a

Download Submit
C:\Windows\System32\mFipuEr.exe

Filesize
1.4MB

MD5
5b06577c7cf5fd88463909b3f47facb3

SHA1
294d1c17fc3249899c45103cd125ad2c521283f7

SHA256
098153b20c9afd5d789c016e1b9278ef9bc35c41f528eb4ba3decb24989af24f

SHA512
8a3d1e787e5af48e60439704892a1967a7bcf602bdb13978c87e8577bcfa5909bbf69903b72a0bbff3f4741beca1baf8c71417eb732019661070cd79d0c58fa5

Download Submit
C:\Windows\System32\mNcoaks.exe

Filesize
1.4MB

MD5
6c7bf866d764ce9093a7108f027275e7

SHA1
80ee8ef94f220b2eaebada540e1a12e379c0d6a1

SHA256
e2c09042f40f17b6302e0acce120f7e1d086ab225118f7ae9ad1a9d2accd1364

SHA512
ef89c5410a752ea66705c785e424f590177cc3fe66956bcf14828c4db4434b7a9064f6b59cfd40d15f3d6e91b29155cc4b55fe98c5c4b56669303397f05a84b4

Download Submit
C:\Windows\System32\oVmLjPw.exe

Filesize
1.4MB

MD5
1654470161aaf0cac07215573fcbd5f1

SHA1
d25e47d43b3403fd6ecbd37838ee1e72c319951f

SHA256
f667c6e5b45a2fd844d2dc0db52354896160f968e2edeb88e8f8f71b9ad96b29

SHA512
c2d216ab453c1b9ed2a473285b09296f3c94a5a085696aa46b935e724e4ce7a9cbfa79c08c2024e568891933b61aa5864758f216a7c975d0fc8f8c82bd149460

Download Submit
C:\Windows\System32\sgqNzwq.exe

Filesize
1.4MB

MD5
fe389515961b61fe58453e6cfb866b93

SHA1
82557feca046166604f54746e8bca87277d3e212

SHA256
bf3833d083b02cabeeced6af2b43e8c75f1ee4bd9cb1685763e35be5a466b491

SHA512
76d0196f82e62335d1e2663e3fdb73275133b74906313d41826811dde848cfcb24a20b08809f4486cbd37bbd5f92705de84ee3bd025ed349d13d883fbde41584

Download Submit
C:\Windows\System32\tBZdJHR.exe

Filesize
1.4MB

MD5
e3651a4e9fda536468ccc2aae0ec4594

SHA1
e4e4bfa68fd7a19652cfa071545d1ff6e8738064

SHA256
0576a9902ffab7391cfb3222b979ec922e7fdc4ce7285d5e380a74c6ff51f1fd

SHA512
3b7b4807722e7d17fe271ff1d82ae74971560e2f4efafca1a51a6878e838b7c26e781e3687dc639520bbe978c665a470bfd75962a62292e8933abf45b1acea70

Download Submit
C:\Windows\System32\tfHsYYV.exe

Filesize
1.4MB

MD5
9783d90933076cc4c129b69b03a17681

SHA1
76f0d391aab6cc67c501f64ea876311ddfecc579

SHA256
3a11690f3d64fef28f68a7a9a14d821384320440cad9c009a76d368bc36b942b

SHA512
5443556fa9c3fb7965ae41e47d0d76df7f7f172e66dfd60a942e0c44ecc464ae65fc3d3dacb5b61887653207dba1c0ca4788c508977ed1396ac19ec5188f0ce5

Download Submit
C:\Windows\System32\uomEYcM.exe

Filesize
1.4MB

MD5
ee0e8e54aeb169060d9d8e7fba930536

SHA1
6ab548f8d688a24c8484ce0af33e387f056bfc39

SHA256
d013814d4f89429e13e5bdf39d967766b36a0cd7ea82fc8364c39c1d6d3d7e3d

SHA512
7e8ffc890beb3bf8f1385867a214cf9deb8ef1f521cd36d7c4cbf8d7032b3dddb44f6ffb9fb4283c64af67a27944363657fa89c4b329336bde44384070faeb7b

Download Submit
C:\Windows\System32\wCjMYBc.exe

Filesize
1.4MB

MD5
7823cc48865afa6f4339124c62129b47

SHA1
d757ef3e8fa831fc27cfafa2eb456a10db2a8fee

SHA256
eb6da2c79e29e39dff9f1d1d73084c960ea97abbad8717e93f034cc8bb0cc406

SHA512
5c2aee2c95c4720315d8778c79218569a0758517e59601042fe3dee8b8891138a4d23e2fb4153bf77dfc905cff896680d926e36e783328e0ee2430627847a649

Download Submit
C:\Windows\System32\wKBMyhg.exe

Filesize
1.4MB

MD5
8787bd96964bf1a7cb688895385a0dad

SHA1
16c8693eaef6195b05aa5bfd172f4f6a6b3b898a

SHA256
67e3cad78c65ffa479cc14232b90a21c316eafd62f9b2cfdc0f51bef3b483e89

SHA512
025fd01523b1574be29c68c13242e786529a104d989a95cb0696c8f073bca9d73273834af3693c7ad4823b48c44e6466fc368bfd816190aed0cf693802e3802b

Download Submit
C:\Windows\System32\wQQbjWJ.exe

Filesize
1.4MB

MD5
e42bb4dc2270a61ef3ff8a3c8f952560

SHA1
a9aad1fd5b43325a65fc46da28cb11922ad6fed5

SHA256
c8eeea3503ddd8bfddc236927217eb4ed4c436186a6991ebc5039158ea8aa758

SHA512
da04317bfc235fe74bb7b23d8f0cfa6c23b4aed13fb92c2dce9341ac95649178911fbf60859611460bc5c84131f6f149b33b4a012ab9963ac9092f9706955979

Download Submit
C:\Windows\System32\wTDLKAe.exe

Filesize
1.4MB

MD5
b7b124e2e00aa1fcc53cb052afb0e352

SHA1
cae1df0bd391c3609fd8cf467ed426e154bcffbd

SHA256
623a0cf6adb3cb4571b93f34ad8850a36d2b8c4340fa7bf04ccfd36ae8ad1731

SHA512
4daf75d4a6843ffa751a52229fdfd718f830b95f516d08d9662f15dc76abe84e8a869c69696573ebced5c64acc862a36fe552e7a5990f9f0b50d045a85caca5f

Download Submit
memory/8-445-0x00007FF7FF700000-0x00007FF7FFAF1000-memory.dmp

Filesize
3.9MB

Download
memory/8-1976-0x00007FF7FF700000-0x00007FF7FFAF1000-memory.dmp

Filesize
3.9MB

Download
memory/704-420-0x00007FF62F0C0000-0x00007FF62F4B1000-memory.dmp

Filesize
3.9MB

Download
memory/704-1990-0x00007FF62F0C0000-0x00007FF62F4B1000-memory.dmp

Filesize
3.9MB

Download
memory/848-2025-0x00007FF64DE50000-0x00007FF64E241000-memory.dmp

Filesize
3.9MB

Download
memory/848-431-0x00007FF64DE50000-0x00007FF64E241000-memory.dmp

Filesize
3.9MB

Download
memory/964-2014-0x00007FF7AE5C0000-0x00007FF7AE9B1000-memory.dmp

Filesize
3.9MB

Download
memory/964-427-0x00007FF7AE5C0000-0x00007FF7AE9B1000-memory.dmp

Filesize
3.9MB

Download
memory/1020-1982-0x00007FF68DBA0000-0x00007FF68DF91000-memory.dmp

Filesize
3.9MB

Download
memory/1020-1964-0x00007FF68DBA0000-0x00007FF68DF91000-memory.dmp

Filesize
3.9MB

Download
memory/1020-415-0x00007FF68DBA0000-0x00007FF68DF91000-memory.dmp

Filesize
3.9MB

Download
memory/1216-1986-0x00007FF768740000-0x00007FF768B31000-memory.dmp

Filesize
3.9MB

Download
memory/1216-418-0x00007FF768740000-0x00007FF768B31000-memory.dmp

Filesize
3.9MB

Download
memory/1592-2023-0x00007FF6720F0000-0x00007FF6724E1000-memory.dmp

Filesize
3.9MB

Download
memory/1592-429-0x00007FF6720F0000-0x00007FF6724E1000-memory.dmp

Filesize
3.9MB

Download
memory/1696-8-0x00007FF638870000-0x00007FF638C61000-memory.dmp

Filesize
3.9MB

Download
memory/1696-1970-0x00007FF638870000-0x00007FF638C61000-memory.dmp

Filesize
3.9MB

Download
memory/1696-1962-0x00007FF638870000-0x00007FF638C61000-memory.dmp

Filesize
3.9MB

Download
memory/1972-421-0x00007FF65D720000-0x00007FF65DB11000-memory.dmp

Filesize
3.9MB

Download
memory/1972-1992-0x00007FF65D720000-0x00007FF65DB11000-memory.dmp

Filesize
3.9MB

Download
memory/2276-428-0x00007FF71D200000-0x00007FF71D5F1000-memory.dmp

Filesize
3.9MB

Download
memory/2276-2015-0x00007FF71D200000-0x00007FF71D5F1000-memory.dmp

Filesize
3.9MB

Download
memory/2604-1996-0x00007FF731970000-0x00007FF731D61000-memory.dmp

Filesize
3.9MB

Download
memory/2604-423-0x00007FF731970000-0x00007FF731D61000-memory.dmp

Filesize
3.9MB

Download
memory/2776-2000-0x00007FF600E90000-0x00007FF601281000-memory.dmp

Filesize
3.9MB

Download
memory/2776-424-0x00007FF600E90000-0x00007FF601281000-memory.dmp

Filesize
3.9MB

Download
memory/2952-2061-0x00007FF60BD30000-0x00007FF60C121000-memory.dmp

Filesize
3.9MB

Download
memory/2952-433-0x00007FF60BD30000-0x00007FF60C121000-memory.dmp

Filesize
3.9MB

Download
memory/3152-1998-0x00007FF6A2870000-0x00007FF6A2C61000-memory.dmp

Filesize
3.9MB

Download
memory/3152-425-0x00007FF6A2870000-0x00007FF6A2C61000-memory.dmp

Filesize
3.9MB

Download
memory/3168-33-0x00007FF67D530000-0x00007FF67D921000-memory.dmp

Filesize
3.9MB

Download
memory/3168-1972-0x00007FF67D530000-0x00007FF67D921000-memory.dmp

Filesize
3.9MB

Download
memory/3244-2020-0x00007FF7FDC90000-0x00007FF7FE081000-memory.dmp

Filesize
3.9MB

Download
memory/3244-430-0x00007FF7FDC90000-0x00007FF7FE081000-memory.dmp

Filesize
3.9MB

Download
memory/3260-2058-0x00007FF7216C0000-0x00007FF721AB1000-memory.dmp

Filesize
3.9MB

Download
memory/3260-439-0x00007FF7216C0000-0x00007FF721AB1000-memory.dmp

Filesize
3.9MB

Download
memory/3344-0-0x00007FF679320000-0x00007FF679711000-memory.dmp

Filesize
3.9MB

Download
memory/3344-1-0x000001C4AA4B0000-0x000001C4AA4C0000-memory.dmp

Filesize
64KB

Download
memory/3436-1963-0x00007FF79A950000-0x00007FF79AD41000-memory.dmp

Filesize
3.9MB

Download
memory/3436-38-0x00007FF79A950000-0x00007FF79AD41000-memory.dmp

Filesize
3.9MB

Download
memory/3436-1988-0x00007FF79A950000-0x00007FF79AD41000-memory.dmp

Filesize
3.9MB

Download
memory/3764-452-0x00007FF693EB0000-0x00007FF6942A1000-memory.dmp

Filesize
3.9MB

Download
memory/3764-1980-0x00007FF693EB0000-0x00007FF6942A1000-memory.dmp

Filesize
3.9MB

Download
memory/3924-426-0x00007FF758140000-0x00007FF758531000-memory.dmp

Filesize
3.9MB

Download
memory/3924-2012-0x00007FF758140000-0x00007FF758531000-memory.dmp

Filesize
3.9MB

Download
memory/4228-1978-0x00007FF7C7AD0000-0x00007FF7C7EC1000-memory.dmp

Filesize
3.9MB

Download
memory/4228-419-0x00007FF7C7AD0000-0x00007FF7C7EC1000-memory.dmp

Filesize
3.9MB

Download
memory/4380-417-0x00007FF63AEE0000-0x00007FF63B2D1000-memory.dmp

Filesize
3.9MB

Download
memory/4380-1974-0x00007FF63AEE0000-0x00007FF63B2D1000-memory.dmp

Filesize
3.9MB

Download
memory/4848-1994-0x00007FF6D8150000-0x00007FF6D8541000-memory.dmp

Filesize
3.9MB

Download
memory/4848-422-0x00007FF6D8150000-0x00007FF6D8541000-memory.dmp

Filesize
3.9MB

Download
memory/4864-1984-0x00007FF7B6E40000-0x00007FF7B7231000-memory.dmp

Filesize
3.9MB

Download
memory/4864-458-0x00007FF7B6E40000-0x00007FF7B7231000-memory.dmp

Filesize
3.9MB

Download