2e0cf6dbdbc904a5ae869cb1bad8ebff3d3c57fffbaaedc8b671c0f0105212fa

Analysis

max time kernel
150s
max time network
103s
platform
windows10-2004_x64
resource
win10v2004-20240508-en
resource tags

arch:x64arch:x86image:win10v2004-20240508-enlocale:en-usos:windows10-2004-x64system
submitted
29/05/2024, 01:57

Sharing

Copy URL Twitter E-mail

Report Analysis Logs

General

Target

2b1e38a8397334b00ea7d267fd5ecdd0_NeikiAnalytics.exe
Size

51KB
MD5

2b1e38a8397334b00ea7d267fd5ecdd0
SHA1

b34a9521e45c842a90660ff9ef66b17579a4a63e
SHA256

2e0cf6dbdbc904a5ae869cb1bad8ebff3d3c57fffbaaedc8b671c0f0105212fa
SHA512

daa02c514d86bfb4035ea60e2e5589773a6f369970baa903a928d5ed09b9c008ef04e45e238019087023b2c5e9276c68f6efd375ff38c3be0594c29daae8c4f2
SSDEEP

768:nNAGAkIo/juokwoL7627d9rIiClJAxiFkJT22euOiya6lHOYxY0x0KS3Z:nNJb/HkwoLe29UjQ4wqQOLIMVnS3Z

Score

10^/10

evasion persistence upx

Malware Config

Signatures

Modifies WinLogon for persistence 2 TTPs 1 IoCs

persistence

Winlogon Helper DLL

T1547.004

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\shell = "C:\\Windows\\explorer.exe, c:\\windows\\system\\userinit.exe"	userinit.exe

Modifies visiblity of hidden/system files in Explorer 2 TTPs 1 IoCs

evasion

Hidden Files and Directories

T1564.001

Modify Registry

T1112

description	ioc	Process
Set value (int)	\REGISTRY\USER\S-1-5-21-4124900551-4068476067-3491212533-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden = "0"	userinit.exe

Drops file in Drivers directory 3 IoCs

description	ioc	Process
File opened for modification	\??\c:\windows\SysWOW64\drivers\taskmgr.exe	userinit.exe
File opened for modification	\??\c:\windows\SysWOW64\drivers\csrss.exe	taskmgr.exe
File opened for modification	C:\Windows\SysWOW64\drivers\udsys.exe	userinit.exe

Modifies Installed Components in the registry 2 TTPs 2 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

description	ioc	Process
Key created	\REGISTRY\MACHINE\Software\WOW6432Node\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}	userinit.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}\StubPath = "C:\\Users\\Admin\\AppData\\Local\\mrkl.exe MR"	userinit.exe

Executes dropped EXE 64 IoCs

pid	Process
1496	userinit.exe
3932	taskmgr.exe
1992	csrss.exe
1896	userinit.exe
772	taskmgr.exe
1672	csrss.exe
3472	userinit.exe
3912	taskmgr.exe
2140	csrss.exe
4020	userinit.exe
2192	taskmgr.exe
3412	csrss.exe
2508	userinit.exe
4000	taskmgr.exe
4032	csrss.exe
4448	userinit.exe
2968	taskmgr.exe
1036	csrss.exe
1908	userinit.exe
2668	taskmgr.exe
2040	csrss.exe
3796	userinit.exe
4996	taskmgr.exe
4340	csrss.exe
2052	userinit.exe
4512	taskmgr.exe
2000	csrss.exe
4736	userinit.exe
2268	taskmgr.exe
1180	csrss.exe
2056	userinit.exe
4500	taskmgr.exe
2612	csrss.exe
1404	userinit.exe
4356	taskmgr.exe
1412	csrss.exe
1664	userinit.exe
4472	taskmgr.exe
3228	csrss.exe
448	userinit.exe
3888	taskmgr.exe
2448	csrss.exe
4960	userinit.exe
1388	taskmgr.exe
948	csrss.exe
1108	userinit.exe
1132	taskmgr.exe
4188	csrss.exe
5084	userinit.exe
1724	taskmgr.exe
1844	csrss.exe
396	userinit.exe
3136	taskmgr.exe
4996	csrss.exe
4904	userinit.exe
3260	taskmgr.exe
2460	csrss.exe
4320	userinit.exe
2016	taskmgr.exe
1920	csrss.exe
2876	userinit.exe
2436	taskmgr.exe
1252	csrss.exe
4756	userinit.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/4304-0-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/files/0x000800000002341b-6.dat	upx
behavioral2/memory/1496-8-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/files/0x000800000002341d-12.dat	upx
behavioral2/files/0x000800000002341f-21.dat	upx
behavioral2/memory/1896-29-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4304-37-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3932-35-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1992-33-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3472-45-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3472-49-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1672-51-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/772-53-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4020-64-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3912-68-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2140-67-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1496-70-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2508-80-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3412-81-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2192-83-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4448-94-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4032-96-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4000-98-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1908-108-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2968-112-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1036-111-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3796-122-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2668-126-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2040-125-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2052-137-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4340-139-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4996-141-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4736-152-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2000-154-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4512-156-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2056-166-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2268-170-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1180-169-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1404-181-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2612-183-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4500-185-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1664-196-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1412-198-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4356-200-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/448-211-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3228-213-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4472-215-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4960-226-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/2448-228-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3888-229-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1388-231-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1108-240-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1388-242-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/948-241-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/5084-253-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4188-255-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1132-256-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/396-267-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1844-269-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/1724-271-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4996-283-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3136-285-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/4320-296-0x0000000000400000-0x0000000000426000-memory.dmp	upx
behavioral2/memory/3260-298-0x0000000000400000-0x0000000000426000-memory.dmp	upx

Adds Run key to start application 2 TTPs 2 IoCs

persistence

Registry Run Keys / Startup Folder

T1547.001

Modify Registry

T1112

description	ioc	Process
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce\userinit = "c:\\windows\\system\\userinit.exe RO"	userinit.exe
Set value (str)	\REGISTRY\MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce\csrss = "c:\\windows\\system32\\drivers\\csrss.exe RO"	userinit.exe

Drops file in Windows directory 2 IoCs

description	ioc	Process
File opened for modification	\??\c:\windows\system\userinit.exe	2b1e38a8397334b00ea7d267fd5ecdd0_NeikiAnalytics.exe
File opened for modification	\??\c:\windows\system\userinit.exe	userinit.exe

Enumerates physical storage devices 1 TTPs
Attempts to interact with connected storage/optical drive(s).

System Information Discovery
T1082

Suspicious behavior: EnumeratesProcesses 64 IoCs

pid	Process
4304	2b1e38a8397334b00ea7d267fd5ecdd0_NeikiAnalytics.exe
4304	2b1e38a8397334b00ea7d267fd5ecdd0_NeikiAnalytics.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe
1496	userinit.exe

Suspicious behavior: GetForegroundWindowSpam 1 IoCs

pid	Process
1496	userinit.exe

Suspicious use of SetWindowsHookEx 64 IoCs

pid	Process
4304	2b1e38a8397334b00ea7d267fd5ecdd0_NeikiAnalytics.exe
1496	userinit.exe
3932	taskmgr.exe
1992	csrss.exe
1896	userinit.exe
1496	userinit.exe
772	taskmgr.exe
1672	csrss.exe
3472	userinit.exe
3912	taskmgr.exe
2140	csrss.exe
4020	userinit.exe
2192	taskmgr.exe
3412	csrss.exe
2508	userinit.exe
4000	taskmgr.exe
4032	csrss.exe
4448	userinit.exe
2968	taskmgr.exe
1036	csrss.exe
1908	userinit.exe
2668	taskmgr.exe
2040	csrss.exe
3796	userinit.exe
4996	taskmgr.exe
4340	csrss.exe
2052	userinit.exe
4512	taskmgr.exe
2000	csrss.exe
4736	userinit.exe
2268	taskmgr.exe
1180	csrss.exe
2056	userinit.exe
4500	taskmgr.exe
2612	csrss.exe
1404	userinit.exe
4356	taskmgr.exe
1412	csrss.exe
1664	userinit.exe
4472	taskmgr.exe
3228	csrss.exe
448	userinit.exe
3888	taskmgr.exe
2448	csrss.exe
4960	userinit.exe
1388	taskmgr.exe
948	csrss.exe
1108	userinit.exe
1132	taskmgr.exe
4188	csrss.exe
5084	userinit.exe
1724	taskmgr.exe
1844	csrss.exe
396	userinit.exe
3136	taskmgr.exe
4996	csrss.exe
4904	userinit.exe
3260	taskmgr.exe
2460	csrss.exe
4320	userinit.exe
2016	taskmgr.exe
1920	csrss.exe
2876	userinit.exe
2436	taskmgr.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 4304 wrote to memory of 1496	4304	2b1e38a8397334b00ea7d267fd5ecdd0_NeikiAnalytics.exe	83
PID 4304 wrote to memory of 1496	4304	2b1e38a8397334b00ea7d267fd5ecdd0_NeikiAnalytics.exe	83
PID 4304 wrote to memory of 1496	4304	2b1e38a8397334b00ea7d267fd5ecdd0_NeikiAnalytics.exe	83
PID 1496 wrote to memory of 3932	1496	userinit.exe	84
PID 1496 wrote to memory of 3932	1496	userinit.exe	84
PID 1496 wrote to memory of 3932	1496	userinit.exe	84
PID 3932 wrote to memory of 1992	3932	taskmgr.exe	85
PID 3932 wrote to memory of 1992	3932	taskmgr.exe	85
PID 3932 wrote to memory of 1992	3932	taskmgr.exe	85
PID 1992 wrote to memory of 1896	1992	csrss.exe	86
PID 1992 wrote to memory of 1896	1992	csrss.exe	86
PID 1992 wrote to memory of 1896	1992	csrss.exe	86
PID 1496 wrote to memory of 772	1496	userinit.exe	87
PID 1496 wrote to memory of 772	1496	userinit.exe	87
PID 1496 wrote to memory of 772	1496	userinit.exe	87
PID 772 wrote to memory of 1672	772	taskmgr.exe	88
PID 772 wrote to memory of 1672	772	taskmgr.exe	88
PID 772 wrote to memory of 1672	772	taskmgr.exe	88
PID 1672 wrote to memory of 3472	1672	csrss.exe	89
PID 1672 wrote to memory of 3472	1672	csrss.exe	89
PID 1672 wrote to memory of 3472	1672	csrss.exe	89
PID 1496 wrote to memory of 3912	1496	userinit.exe	90
PID 1496 wrote to memory of 3912	1496	userinit.exe	90
PID 1496 wrote to memory of 3912	1496	userinit.exe	90
PID 3912 wrote to memory of 2140	3912	taskmgr.exe	91
PID 3912 wrote to memory of 2140	3912	taskmgr.exe	91
PID 3912 wrote to memory of 2140	3912	taskmgr.exe	91
PID 2140 wrote to memory of 4020	2140	csrss.exe	92
PID 2140 wrote to memory of 4020	2140	csrss.exe	92
PID 2140 wrote to memory of 4020	2140	csrss.exe	92
PID 1496 wrote to memory of 2192	1496	userinit.exe	94
PID 1496 wrote to memory of 2192	1496	userinit.exe	94
PID 1496 wrote to memory of 2192	1496	userinit.exe	94
PID 2192 wrote to memory of 3412	2192	taskmgr.exe	96
PID 2192 wrote to memory of 3412	2192	taskmgr.exe	96
PID 2192 wrote to memory of 3412	2192	taskmgr.exe	96
PID 3412 wrote to memory of 2508	3412	csrss.exe	98
PID 3412 wrote to memory of 2508	3412	csrss.exe	98
PID 3412 wrote to memory of 2508	3412	csrss.exe	98
PID 1496 wrote to memory of 4000	1496	userinit.exe	99
PID 1496 wrote to memory of 4000	1496	userinit.exe	99
PID 1496 wrote to memory of 4000	1496	userinit.exe	99
PID 4000 wrote to memory of 4032	4000	taskmgr.exe	100
PID 4000 wrote to memory of 4032	4000	taskmgr.exe	100
PID 4000 wrote to memory of 4032	4000	taskmgr.exe	100
PID 4032 wrote to memory of 4448	4032	csrss.exe	101
PID 4032 wrote to memory of 4448	4032	csrss.exe	101
PID 4032 wrote to memory of 4448	4032	csrss.exe	101
PID 1496 wrote to memory of 2968	1496	userinit.exe	102
PID 1496 wrote to memory of 2968	1496	userinit.exe	102
PID 1496 wrote to memory of 2968	1496	userinit.exe	102
PID 2968 wrote to memory of 1036	2968	taskmgr.exe	103
PID 2968 wrote to memory of 1036	2968	taskmgr.exe	103
PID 2968 wrote to memory of 1036	2968	taskmgr.exe	103
PID 1036 wrote to memory of 1908	1036	csrss.exe	104
PID 1036 wrote to memory of 1908	1036	csrss.exe	104
PID 1036 wrote to memory of 1908	1036	csrss.exe	104
PID 1496 wrote to memory of 2668	1496	userinit.exe	105
PID 1496 wrote to memory of 2668	1496	userinit.exe	105
PID 1496 wrote to memory of 2668	1496	userinit.exe	105
PID 2668 wrote to memory of 2040	2668	taskmgr.exe	106
PID 2668 wrote to memory of 2040	2668	taskmgr.exe	106
PID 2668 wrote to memory of 2040	2668	taskmgr.exe	106
PID 2040 wrote to memory of 3796	2040	csrss.exe	107

C:\Users\Admin\AppData\Local\Temp\2b1e38a8397334b00ea7d267fd5ecdd0_NeikiAnalytics.exe
"C:\Users\Admin\AppData\Local\Temp\2b1e38a8397334b00ea7d267fd5ecdd0_NeikiAnalytics.exe"
1⤵
- Drops file in Windows directory
- Suspicious behavior: EnumeratesProcesses
- Suspicious use of SetWindowsHookEx
- Suspicious use of WriteProcessMemory
PID:4304
- \??\c:\windows\system\userinit.exe
  c:\windows\system\userinit.exe
  2⤵
  - Modifies WinLogon for persistence
  - Modifies visiblity of hidden/system files in Explorer
  - Drops file in Drivers directory
  - Modifies Installed Components in the registry
  - Executes dropped EXE
  - Adds Run key to start application
  - Drops file in Windows directory
  - Suspicious behavior: EnumeratesProcesses
  - Suspicious behavior: GetForegroundWindowSpam
  - Suspicious use of SetWindowsHookEx
  - Suspicious use of WriteProcessMemory
  PID:1496
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Drops file in Drivers directory
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    - Suspicious use of WriteProcessMemory
    PID:3932
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      Suspicious use of WriteProcessMemory
      PID:1992
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:1896
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    - Suspicious use of WriteProcessMemory
    PID:772
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      Suspicious use of WriteProcessMemory
      PID:1672
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:3472
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    - Suspicious use of WriteProcessMemory
    PID:3912
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      Suspicious use of WriteProcessMemory
      PID:2140
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:4020
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    - Suspicious use of WriteProcessMemory
    PID:2192
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      Suspicious use of WriteProcessMemory
      PID:3412
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:2508
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    - Suspicious use of WriteProcessMemory
    PID:4000
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      Suspicious use of WriteProcessMemory
      PID:4032
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:4448
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    - Suspicious use of WriteProcessMemory
    PID:2968
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      Suspicious use of WriteProcessMemory
      PID:1036
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:1908
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    - Suspicious use of WriteProcessMemory
    PID:2668
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      Suspicious use of WriteProcessMemory
      PID:2040
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:3796
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:4996
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:4340
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:2052
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:4512
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:2000
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:4736
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:2268
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:1180
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:2056
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:4500
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:2612
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:1404
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:4356
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:1412
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:1664
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:4472
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:3228
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:448
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:3888
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:2448
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:4960
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:1388
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:948
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:1108
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:1132
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:4188
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:5084
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:1724
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:1844
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:396
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:3136
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:4996
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:4904
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:3260
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:2460
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:4320
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:2016
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      Suspicious use of SetWindowsHookEx
      PID:1920
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        Suspicious use of SetWindowsHookEx
        
        PID:2876
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    - Executes dropped EXE
    - Suspicious use of SetWindowsHookEx
    PID:2436
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      Executes dropped EXE
      PID:1252
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        Executes dropped EXE
        
        PID:4756
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3576
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3584
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4124
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3728
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3912
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3268
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1704
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4716
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:5032
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2184
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:5052
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1516
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1132
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4476
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3900
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2040
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2360
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4596
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2728
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:5112
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:924
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4736
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4588
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4592
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:728
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1920
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1840
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1124
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3224
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:432
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4732
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3492
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2604
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2596
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1608
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2424
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:5032
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:5056
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4156
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:324
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:640
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2060
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4260
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1712
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4252
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3964
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3056
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:556
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1832
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4332
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4832
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:5088
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3484
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4588
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3212
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3788
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4152
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3372
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:412
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2612
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4972
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2604
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1656
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2420
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1916
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4188
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1372
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:464
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2888
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1044
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2088
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4716
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3700
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3028
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2360
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:5092
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4904
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3476
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4512
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1832
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:368
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2016
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1404
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1180
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2020
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:5008
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1836
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3628
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3372
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4540
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1748
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:772
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3736
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2192
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4864
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2028
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:212
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1516
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2580
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3356
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1372
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:5036
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4484
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1044
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2896
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2920
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1712
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4456
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4904
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:428
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1012
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1560
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:368
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:728
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4152
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2016
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4036
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3088
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:412
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4020
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2532
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4532
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4992
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4624
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2596
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3724
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:948
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1804
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4216
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4740
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4896
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2060
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1576
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4060
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4252
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2040
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:828
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4484
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4748
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3796
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2096
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3672
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:428
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1832
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3720
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2948
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4512
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3132
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4008
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3788
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3288
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1076
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3224
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4360
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:772
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1892
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3096
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:5108
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1300
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3724
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2076
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:208
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1320
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:404
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:380
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2060
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3904
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2088
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2912
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3900
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:828
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4484
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2460
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:960
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:5092
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2876
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:428
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1832
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2956
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1112
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4512
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4004
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4008
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3492
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1364
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3512
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3160
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4532
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3540
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3584
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4188
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3736
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:964
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1612
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3996
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3724
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:464
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1132
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:5032
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:5016
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1500
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:5036
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1040
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3028
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2216
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3964
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3056
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2096
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1424
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4596
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2148
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1560
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4132
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2056
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1112
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1840
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3212
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3088
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2408
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4588
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3520
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3288
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2640
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3588
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4908
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1092
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:948
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3944
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:324
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1172
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:5016
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1500
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:384
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4252
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2460
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2920
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4832
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2876
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4044
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1932
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4448
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2728
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1520
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2436
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2020
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:368
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4500
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1340
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3212
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3628
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3288
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4540
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:5056
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4908
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4864
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2028
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3596
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:404
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3144
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3548
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1532
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3136
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:5036
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1044
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1712
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3080
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3964
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2920
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2192
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:960
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4156
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3900
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3484
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1424
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2876
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4132
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4820
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2948
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1840
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2292
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2004
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3428
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2612
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3088
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4544
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4992
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1852
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3692
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3228
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3736
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4864
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3940
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3480
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2092
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4572
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3548
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:5080
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2896
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:5036
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:640
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3796
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2216
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2912
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2088
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4256
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1920
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2096
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:804
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3484
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2636
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3476
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1424
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4884
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2948
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4820
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3576
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2756
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1176
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4732
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3088
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4544
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4540
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1916
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1388
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4556
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1704
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2012
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4644
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4868
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1132
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2060
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3356
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4288
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1044
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4932
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3308
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1712
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2216
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3080
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2920
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4216
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2156
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4044
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4892
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1724
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3516
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1560
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:428
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:388
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2056
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4152
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4036
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2756
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3428
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1508
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2904
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3224
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4112
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3540
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1524
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3996
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4908
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4896
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:948
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:556
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3552
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:5032
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:436
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1532
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2360
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3964
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1044
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3788
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:212
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1712
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3724
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4256
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2920
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3484
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4132
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4044
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1580
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4568
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1836
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4500
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2392
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:368
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3576
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1100
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2292
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3212
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:5020
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1508
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3584
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4360
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1636
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4556
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:668
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4224
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3760
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:116
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:5000
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4748
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3028
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3356
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4832
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4712
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1924
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1928
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3012
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3700
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2460
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2000
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4216
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4972
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4332
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1520
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:428
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4400
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3844
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4900
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:5100
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1748
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3472
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4588
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2576
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2612
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4532
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2904
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1016
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1612
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1524
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3996
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:5016
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3096
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3552
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2664
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3548
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1576
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1012
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4288
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:384
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:692
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3308
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3700
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4484
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4244
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3108
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4256
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2896
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:396
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4736
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:5092
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2604
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1076
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:432
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4500
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1176
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:772
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3628
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2292
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4632
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:5020
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2420
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1508
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1536
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2012
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3692
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1300
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:824
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3172
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4856
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:436
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1828
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3408
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2912
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3028
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4288
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:212
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3492
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4596
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2812
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1712
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:804
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4216
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4592
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3108
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1520
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3900
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1124
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2408
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1076
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:432
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:5088
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1176
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:772
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4032
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4056
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1364
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:392
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2420
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4864
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1108
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1524
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3596
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:948
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1132
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3172
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:324
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1172
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3356
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3404
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2744
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3904
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:692
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:212
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4156
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:728
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3700
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2104
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3484
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2460
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4592
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4736
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1724
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4568
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4400
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3844
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1492
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1896
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1748
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4588
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:448
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1972
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1852
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4740
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:5020
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4104
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3736
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1092
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1120
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3096
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1300
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4868
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3552
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1320
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3616
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2360
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3404
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:552
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4456
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1924
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1928
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:644
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1040
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4904
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1032
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1560
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4044
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2408
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2604
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3844
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:432
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4036
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3576
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3628
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:448
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:392
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1364
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3212
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2580
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1612
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3584
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3996
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:5000
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4908
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:404
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1372
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2664
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1828
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1532
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2744
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4508
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3492
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2008
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4216
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1040
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1424
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2104
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2352
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1032
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1836
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4708
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1708
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2408
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1100
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2968
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4884
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3428
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4588
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2864
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3588
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1508
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:384
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4356
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:964
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1636
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1916
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4360
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2092
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2508
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:948
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:668
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3940
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2664
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4392
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4932
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2640
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1408
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3724
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1864
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3700
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2008
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:644
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:960
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1180
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2040
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4904
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2352
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2956
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3304
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3680
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1708
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:5100
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4152
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2408
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4732
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4056
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4132
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4716
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3048
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:448
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2488
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3228
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2356
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3480
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1500
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1348
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4360
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:5016
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4224
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:948
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1372
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4144
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4572
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:5060
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3356
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3280
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3716
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1516
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1408
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2016
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4156
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3700
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3720
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4216
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:960
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3632
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1032
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:5092
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:576
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2728
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1808
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4004
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2604
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1100
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:396
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4884
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1044
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1932
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2668
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4544
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:448
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:620
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4896
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1016
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1304
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3468
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:5000
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2092
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4860
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3140
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4928
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3940
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4908
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:916
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4932
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:5060
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1924
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4456
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2372
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4244
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4508
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1676
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2016
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2192
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3720
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4564
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1488
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3632
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4904
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1460
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:924
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3304
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1840
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2056
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3160
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:5072
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:396
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1892
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4740
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1932
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2060
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4356
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:392
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1364
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2568
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1016
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1304
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4224
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1348
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3468
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4320
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4260
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:5112
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2912
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:668
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4832
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3704
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:764
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2216
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1252
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4748
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:824
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1520
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1928
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4508
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4216
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:388
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4292
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1032
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1340
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3900
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1176
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:924
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1460
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2604
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2056
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1840
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4884
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:396
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:5072
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4716
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2096
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4740
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2488
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1388
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3844
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3480
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1092
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2568
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3096
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:5016
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4224
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3204
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3140
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1888
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4844
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4644
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:948
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1420
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3724
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4572
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4456
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3716
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1408
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2016
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2156
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1424
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1128
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1368
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:992
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4444
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4836
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4904
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1340
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3900
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4500
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4708
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1836
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4032
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1748
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2056
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1832
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:116
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4996
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1012
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2060
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1932
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3736
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3512
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3228
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4556
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1108
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2404
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1500
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:640
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4060
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1532
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3732
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:468
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1640
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1172
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:948
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3940
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2216
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4392
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3080
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:452
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4748
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:552
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4704
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2104
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2148
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:388
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2192
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:512
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2956
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4364
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4904
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4588
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4540
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4500
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3804
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:432
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4152
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4132
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2056
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3588
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3548
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3628
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4992
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1916
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3488
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3736
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1704
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3228
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1720
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4896
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:224
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1500
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4868
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4224
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2532
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3140
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4144
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1640
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4932
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4908
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:5060
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3408
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3848
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1380
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4456
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3716
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4736
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3484
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2156
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1068
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2936
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1284
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1124
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2956
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4036
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4540
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:924
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1492
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1944
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4412
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2612
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:792
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3136
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1892
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4104
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3736
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2568
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1536
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2716
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3944
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1108
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3888
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:5000
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4360
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4224
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3608
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1888
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1612
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2528
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1656
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2372
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:404
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4256
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1420
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1528
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3672
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:3716
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4456
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2148
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2192
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4624
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3900
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2912
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3700
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1460
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:924
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1012
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4412
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2968
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2096
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3008
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4516
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1704
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3512
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1720
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4864
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:2688
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2428
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3520
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3964
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:5112
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4644
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3904
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1372
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:2348
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:3284
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:4288
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3280
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1528
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:744
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:4704
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:1424
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2148
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:1176
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4624
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:1664
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3160
    - - \??\c:\windows\system\userinit.exe
        
        c:\windows\system\userinit.exe
        5⤵
        
        PID:4076
- - \??\c:\windows\SysWOW64\drivers\taskmgr.exe
    c:\windows\system32\drivers\taskmgr.exe SE
    3⤵
    PID:2728
  - - \??\c:\windows\SysWOW64\drivers\csrss.exe
      c:\windows\system32\drivers\csrss.exe
      4⤵
      PID:3796

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Privilege Escalation

Boot or Logon Autostart Execution

T1547

Registry Run Keys / Startup Folder

T1547.001

Winlogon Helper DLL

T1547.004

Defense Evasion

Hide Artifacts

T1564

Hidden Files and Directories

T1564.001

Modify Registry

T1112

Credential Access

Discovery

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\SysWOW64\drivers\csrss.exe

Filesize
51KB

MD5
bc8d3372b0ec9d02cb9a24cddf459773

SHA1
07937329df3d51bc77eda19ae0ee36345e2996df

SHA256
593e0ecc60cd5205a9cfefb1e09d632ed297b14758cf35b9185d7bf52fe34a0b

SHA512
a322b82df4fd0ebfa18c688b25c4a5f2ddc6dcb2a5900982017c11ffd72e2b049edcfd39cd862d6544c290f7405b8747f393c9c4d14a5d3f4f13da783da4ddcb

Download Submit
C:\Windows\SysWOW64\drivers\taskmgr.exe

Filesize
51KB

MD5
46ba891451e85dd6d7661267d15fd886

SHA1
83b2d4e9f789639f279d7bbbe3e2ea4945244597

SHA256
4b0983cffeea9410490a8acd0f88b9b9663e38b30579a3ea6322c2b983e097f1

SHA512
c92e2f1388963be08f66f544c6418dd8e6e1ecc3ec60ae10e61a525784139e612c2bfab108ddd28b4c9214d539923dc601cf34b52b87ead3861879c8c2695eb9

Download Submit
C:\Windows\System\userinit.exe

Filesize
51KB

MD5
6aff663da467043ae265df2ab0c828a5

SHA1
656b3d188281a9c1f59dbb7b813dd61618ca8959

SHA256
41deeb372a0551651a1b9a3283fec94eca9cd3c18ac906e29d7cc3958bea3fbf

SHA512
99c8c140be93e9d99ddeee71943347f63573288b068a9fefe68010d2a3ed8e89b9be58e5ddc02f20d1aa6a2b50f3b10cfc8dd76617269f2ee1fe2937ceaaa1c3

Download Submit
memory/324-486-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/396-267-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/432-436-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/448-211-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/556-506-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/640-484-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/728-427-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/772-53-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/924-401-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/948-241-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1036-111-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1108-240-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1124-440-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1132-382-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1132-256-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1180-169-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1252-315-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1388-242-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1388-231-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1404-181-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1412-198-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1496-70-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1496-8-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1516-364-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1516-368-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1664-196-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1672-51-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1704-359-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1712-496-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1724-271-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1844-269-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1896-29-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1908-108-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1920-425-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/1992-33-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2000-154-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2016-312-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2040-393-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2040-125-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2052-137-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2056-166-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2060-482-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2140-67-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2184-371-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2192-83-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2268-170-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2424-461-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2436-324-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2448-228-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2508-80-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2596-463-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2604-448-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2612-183-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2668-126-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2728-405-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2876-309-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/2968-112-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3136-285-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3224-438-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3228-213-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3260-298-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3268-344-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3412-81-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3472-49-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3472-45-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3492-450-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3576-336-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3584-334-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3728-348-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3796-122-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3888-229-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3900-379-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3912-347-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3912-68-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3932-35-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/3964-509-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4000-98-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4020-64-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4032-96-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4124-332-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4156-471-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4188-255-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4252-494-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4260-498-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4304-37-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4304-0-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4320-296-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4340-139-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4356-200-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4448-94-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4472-215-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4500-185-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4512-156-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4592-413-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4596-390-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4732-452-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4736-416-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4736-152-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4756-321-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4960-226-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4996-141-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/4996-283-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/5032-356-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/5032-474-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/5084-253-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download
memory/5112-403-0x0000000000400000-0x0000000000426000-memory.dmp

Filesize
152KB

Download