xmrig | 188d2f750971ce02bc70b384f59dc2bd7f3cb3f0e5c25d66488881e404ad4f91

Analysis

max time kernel
126s
max time network
133s
platform
windows10-2004_x64
resource
win10v2004-20240508-en
resource tags

arch:x64arch:x86image:win10v2004-20240508-enlocale:en-usos:windows10-2004-x64system
submitted
03/06/2024, 23:26

Sharing

Copy URL Twitter E-mail

Report Analysis Logs

General

Target

10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
Size

2.8MB
MD5

10f1b4df69cfbea916acd02dd89e1850
SHA1

77a43c1ba428c5b9800070a1b0a53deed78ded5c
SHA256

188d2f750971ce02bc70b384f59dc2bd7f3cb3f0e5c25d66488881e404ad4f91
SHA512

e909a21dace1baf72630dbebb0bcaa4a6710a558aa57132d5c873d9b9afb17676251b0bc3394d50bdc171f3bc5c53987bcaf0ad82598074d8c7d5101e423ea0c
SSDEEP

49152:w0wjnJMOWh50kC1/dVFdx6e0EALKWVTffZiPAcRq6jHjcz8DzzxTMS8Tg8rKZ24B:w0GnJMOWPClFdx6e0EALKWVTffZiPAcf

Score

10^/10

xmrig miner upx

Malware Config

Signatures

xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 64 IoCs

miner

resource	yara_rule
behavioral2/memory/676-0-0x00007FF6D2E10000-0x00007FF6D3205000-memory.dmp	xmrig
behavioral2/files/0x00080000000235de-5.dat	xmrig
behavioral2/files/0x00070000000235e2-8.dat	xmrig
behavioral2/files/0x00070000000235e3-7.dat	xmrig
behavioral2/memory/5092-12-0x00007FF7F8FD0000-0x00007FF7F93C5000-memory.dmp	xmrig
behavioral2/files/0x00070000000235e5-23.dat	xmrig
behavioral2/files/0x00070000000235e4-27.dat	xmrig
behavioral2/memory/696-33-0x00007FF72EA70000-0x00007FF72EE65000-memory.dmp	xmrig
behavioral2/files/0x00070000000235e7-36.dat	xmrig
behavioral2/files/0x00070000000235e6-38.dat	xmrig
behavioral2/memory/2468-39-0x00007FF64DE70000-0x00007FF64E265000-memory.dmp	xmrig
behavioral2/files/0x00070000000235e8-44.dat	xmrig
behavioral2/memory/3504-46-0x00007FF7ECD90000-0x00007FF7ED185000-memory.dmp	xmrig
behavioral2/memory/1352-45-0x00007FF7CD2E0000-0x00007FF7CD6D5000-memory.dmp	xmrig
behavioral2/memory/1192-41-0x00007FF68B370000-0x00007FF68B765000-memory.dmp	xmrig
behavioral2/memory/4712-37-0x00007FF72FFA0000-0x00007FF730395000-memory.dmp	xmrig
behavioral2/memory/4480-29-0x00007FF684930000-0x00007FF684D25000-memory.dmp	xmrig
behavioral2/files/0x00070000000235e9-54.dat	xmrig
behavioral2/memory/2028-56-0x00007FF6E3F20000-0x00007FF6E4315000-memory.dmp	xmrig
behavioral2/files/0x00070000000235ea-59.dat	xmrig
behavioral2/files/0x00040000000006d1-65.dat	xmrig
behavioral2/files/0x00070000000235eb-70.dat	xmrig
behavioral2/memory/1972-69-0x00007FF7F1380000-0x00007FF7F1775000-memory.dmp	xmrig
behavioral2/files/0x00070000000235ec-76.dat	xmrig
behavioral2/files/0x00070000000235ed-80.dat	xmrig
behavioral2/files/0x00070000000235ee-88.dat	xmrig
behavioral2/memory/3236-78-0x00007FF7662B0000-0x00007FF7666A5000-memory.dmp	xmrig
behavioral2/memory/2212-74-0x00007FF791E10000-0x00007FF792205000-memory.dmp	xmrig
behavioral2/memory/1944-90-0x00007FF780EE0000-0x00007FF7812D5000-memory.dmp	xmrig
behavioral2/memory/2784-91-0x00007FF6B49F0000-0x00007FF6B4DE5000-memory.dmp	xmrig
behavioral2/memory/1836-92-0x00007FF7029C0000-0x00007FF702DB5000-memory.dmp	xmrig
behavioral2/files/0x00070000000235ef-95.dat	xmrig
behavioral2/files/0x00070000000235f2-101.dat	xmrig
behavioral2/files/0x00070000000235f3-106.dat	xmrig
behavioral2/files/0x00070000000235f4-109.dat	xmrig
behavioral2/files/0x00070000000235f6-121.dat	xmrig
behavioral2/files/0x00070000000235f8-131.dat	xmrig
behavioral2/files/0x00070000000235fa-139.dat	xmrig
behavioral2/files/0x00070000000235fc-151.dat	xmrig
behavioral2/files/0x0007000000023600-171.dat	xmrig
behavioral2/files/0x0007000000023601-176.dat	xmrig
behavioral2/files/0x00070000000235ff-166.dat	xmrig
behavioral2/files/0x00070000000235fe-161.dat	xmrig
behavioral2/files/0x00070000000235fd-156.dat	xmrig
behavioral2/files/0x00070000000235fb-146.dat	xmrig
behavioral2/files/0x00070000000235f9-136.dat	xmrig
behavioral2/files/0x00070000000235f7-126.dat	xmrig
behavioral2/files/0x00070000000235f5-116.dat	xmrig
behavioral2/memory/2588-408-0x00007FF723740000-0x00007FF723B35000-memory.dmp	xmrig
behavioral2/memory/2808-414-0x00007FF697A80000-0x00007FF697E75000-memory.dmp	xmrig
behavioral2/memory/4692-419-0x00007FF72ACF0000-0x00007FF72B0E5000-memory.dmp	xmrig
behavioral2/memory/2612-426-0x00007FF6D5930000-0x00007FF6D5D25000-memory.dmp	xmrig
behavioral2/memory/324-430-0x00007FF7FE260000-0x00007FF7FE655000-memory.dmp	xmrig
behavioral2/memory/768-435-0x00007FF64BF40000-0x00007FF64C335000-memory.dmp	xmrig
behavioral2/memory/4888-452-0x00007FF6F4250000-0x00007FF6F4645000-memory.dmp	xmrig
behavioral2/memory/4020-448-0x00007FF673440000-0x00007FF673835000-memory.dmp	xmrig
behavioral2/memory/4912-443-0x00007FF62A020000-0x00007FF62A415000-memory.dmp	xmrig
behavioral2/memory/5092-401-0x00007FF7F8FD0000-0x00007FF7F93C5000-memory.dmp	xmrig
behavioral2/memory/676-398-0x00007FF6D2E10000-0x00007FF6D3205000-memory.dmp	xmrig
behavioral2/memory/1352-1051-0x00007FF7CD2E0000-0x00007FF7CD6D5000-memory.dmp	xmrig
behavioral2/memory/1192-1312-0x00007FF68B370000-0x00007FF68B765000-memory.dmp	xmrig
behavioral2/memory/3504-1583-0x00007FF7ECD90000-0x00007FF7ED185000-memory.dmp	xmrig
behavioral2/memory/3236-1901-0x00007FF7662B0000-0x00007FF7666A5000-memory.dmp	xmrig
behavioral2/memory/5092-1902-0x00007FF7F8FD0000-0x00007FF7F93C5000-memory.dmp	xmrig

Executes dropped EXE 64 IoCs

pid	Process
5092	IuKuxfC.exe
4480	KfUfxfC.exe
2468	IDyYReg.exe
696	zNQCqKW.exe
4712	tyJoaUJ.exe
1192	EaKfAJa.exe
1352	SxOgRQY.exe
3504	wvTjUQh.exe
2028	TZmjXHn.exe
1972	QfmPeGe.exe
2212	IqsmbJY.exe
1944	awAcYuq.exe
3236	mnOuhsj.exe
1836	iEcOJkR.exe
2784	sIhOhYU.exe
2588	TorNyTw.exe
2808	AqqLdSz.exe
4692	wUpftYd.exe
2612	aUGwRbE.exe
324	NBPODMC.exe
768	PMAVElH.exe
4912	XArwovx.exe
4020	jTDNHQa.exe
4888	sTIikTe.exe
3944	iXnubKM.exe
4044	XzQeuEB.exe
3052	QqOalqk.exe
752	lLpHCcS.exe
3256	cYxcQSf.exe
1692	GAHAwGh.exe
3696	bYNMAXN.exe
5044	woKowWe.exe
4940	VqNrrOv.exe
1480	BaqgVQI.exe
840	KwtYnLH.exe
1524	aGBBVSV.exe
3148	QbEasfT.exe
4836	lUETxwz.exe
3184	TpIbLIF.exe
1860	GoDcuMg.exe
4308	qujiHTb.exe
1400	BOXcFFO.exe
4412	zwrADRv.exe
1416	WPlccMr.exe
3248	qDVpiwZ.exe
1920	iuaXVXT.exe
3232	gvfljiO.exe
3396	LYAgDuE.exe
4436	ZEwPbnV.exe
1616	DsxISQa.exe
4564	BjDJDCM.exe
4652	VFwVqqI.exe
4300	DpJjnLC.exe
4944	kjJPAzw.exe
5128	OxaLYav.exe
5144	KBICFDp.exe
5184	pMfPghq.exe
5200	wRvpKVo.exe
5228	fjQPqJo.exe
5256	KSFgixo.exe
5296	ApXPdSV.exe
5312	wEvlBfH.exe
5340	KoqrRaY.exe
5380	iMFLDFT.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/676-0-0x00007FF6D2E10000-0x00007FF6D3205000-memory.dmp	upx
behavioral2/files/0x00080000000235de-5.dat	upx
behavioral2/files/0x00070000000235e2-8.dat	upx
behavioral2/files/0x00070000000235e3-7.dat	upx
behavioral2/memory/5092-12-0x00007FF7F8FD0000-0x00007FF7F93C5000-memory.dmp	upx
behavioral2/files/0x00070000000235e5-23.dat	upx
behavioral2/files/0x00070000000235e4-27.dat	upx
behavioral2/memory/696-33-0x00007FF72EA70000-0x00007FF72EE65000-memory.dmp	upx
behavioral2/files/0x00070000000235e7-36.dat	upx
behavioral2/files/0x00070000000235e6-38.dat	upx
behavioral2/memory/2468-39-0x00007FF64DE70000-0x00007FF64E265000-memory.dmp	upx
behavioral2/files/0x00070000000235e8-44.dat	upx
behavioral2/memory/3504-46-0x00007FF7ECD90000-0x00007FF7ED185000-memory.dmp	upx
behavioral2/memory/1352-45-0x00007FF7CD2E0000-0x00007FF7CD6D5000-memory.dmp	upx
behavioral2/memory/1192-41-0x00007FF68B370000-0x00007FF68B765000-memory.dmp	upx
behavioral2/memory/4712-37-0x00007FF72FFA0000-0x00007FF730395000-memory.dmp	upx
behavioral2/memory/4480-29-0x00007FF684930000-0x00007FF684D25000-memory.dmp	upx
behavioral2/files/0x00070000000235e9-54.dat	upx
behavioral2/memory/2028-56-0x00007FF6E3F20000-0x00007FF6E4315000-memory.dmp	upx
behavioral2/files/0x00070000000235ea-59.dat	upx
behavioral2/files/0x00040000000006d1-65.dat	upx
behavioral2/files/0x00070000000235eb-70.dat	upx
behavioral2/memory/1972-69-0x00007FF7F1380000-0x00007FF7F1775000-memory.dmp	upx
behavioral2/files/0x00070000000235ec-76.dat	upx
behavioral2/files/0x00070000000235ed-80.dat	upx
behavioral2/files/0x00070000000235ee-88.dat	upx
behavioral2/memory/3236-78-0x00007FF7662B0000-0x00007FF7666A5000-memory.dmp	upx
behavioral2/memory/2212-74-0x00007FF791E10000-0x00007FF792205000-memory.dmp	upx
behavioral2/memory/1944-90-0x00007FF780EE0000-0x00007FF7812D5000-memory.dmp	upx
behavioral2/memory/2784-91-0x00007FF6B49F0000-0x00007FF6B4DE5000-memory.dmp	upx
behavioral2/memory/1836-92-0x00007FF7029C0000-0x00007FF702DB5000-memory.dmp	upx
behavioral2/files/0x00070000000235ef-95.dat	upx
behavioral2/files/0x00070000000235f2-101.dat	upx
behavioral2/files/0x00070000000235f3-106.dat	upx
behavioral2/files/0x00070000000235f4-109.dat	upx
behavioral2/files/0x00070000000235f6-121.dat	upx
behavioral2/files/0x00070000000235f8-131.dat	upx
behavioral2/files/0x00070000000235fa-139.dat	upx
behavioral2/files/0x00070000000235fc-151.dat	upx
behavioral2/files/0x0007000000023600-171.dat	upx
behavioral2/files/0x0007000000023601-176.dat	upx
behavioral2/files/0x00070000000235ff-166.dat	upx
behavioral2/files/0x00070000000235fe-161.dat	upx
behavioral2/files/0x00070000000235fd-156.dat	upx
behavioral2/files/0x00070000000235fb-146.dat	upx
behavioral2/files/0x00070000000235f9-136.dat	upx
behavioral2/files/0x00070000000235f7-126.dat	upx
behavioral2/files/0x00070000000235f5-116.dat	upx
behavioral2/memory/2588-408-0x00007FF723740000-0x00007FF723B35000-memory.dmp	upx
behavioral2/memory/2808-414-0x00007FF697A80000-0x00007FF697E75000-memory.dmp	upx
behavioral2/memory/4692-419-0x00007FF72ACF0000-0x00007FF72B0E5000-memory.dmp	upx
behavioral2/memory/2612-426-0x00007FF6D5930000-0x00007FF6D5D25000-memory.dmp	upx
behavioral2/memory/324-430-0x00007FF7FE260000-0x00007FF7FE655000-memory.dmp	upx
behavioral2/memory/768-435-0x00007FF64BF40000-0x00007FF64C335000-memory.dmp	upx
behavioral2/memory/4888-452-0x00007FF6F4250000-0x00007FF6F4645000-memory.dmp	upx
behavioral2/memory/4020-448-0x00007FF673440000-0x00007FF673835000-memory.dmp	upx
behavioral2/memory/4912-443-0x00007FF62A020000-0x00007FF62A415000-memory.dmp	upx
behavioral2/memory/5092-401-0x00007FF7F8FD0000-0x00007FF7F93C5000-memory.dmp	upx
behavioral2/memory/676-398-0x00007FF6D2E10000-0x00007FF6D3205000-memory.dmp	upx
behavioral2/memory/1352-1051-0x00007FF7CD2E0000-0x00007FF7CD6D5000-memory.dmp	upx
behavioral2/memory/1192-1312-0x00007FF68B370000-0x00007FF68B765000-memory.dmp	upx
behavioral2/memory/3504-1583-0x00007FF7ECD90000-0x00007FF7ED185000-memory.dmp	upx
behavioral2/memory/3236-1901-0x00007FF7662B0000-0x00007FF7666A5000-memory.dmp	upx
behavioral2/memory/5092-1902-0x00007FF7F8FD0000-0x00007FF7F93C5000-memory.dmp	upx

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\System32\dmqpZqL.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\pKNCuRN.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\VgcYmGR.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\pNUmgmn.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\gUDjwEx.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\TRQEOHw.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\abeFocJ.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\QfmPeGe.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\RwAnkOt.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\LelZxZU.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\JRUnTTr.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\yHoptsQ.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\TeqIfpb.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\VXsmUrU.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\ryxlwJK.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\fhXIXmr.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\CSGizDW.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\yYByEFZ.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\xUqTSNd.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\olmgeRH.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\DxmfmwB.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\ShfBTuT.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\ZLnokEY.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\ToJXSzE.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\NVaNWSb.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\lXDpydQ.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\OcUhwUG.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\HvBuhKG.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\hIQhbVf.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\dEmpJVN.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\lqdZoNS.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\ohZBcLC.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\KfUfxfC.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\GJjiqOT.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\BkIcSGR.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\OGTrptx.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\XJapzgy.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\ZEaKQhg.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\QFBHHlX.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\gkJfUNA.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\rWkiAxf.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\rejmWvO.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\aOQZCfo.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\JTBrqfn.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\nosiEqA.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\eebrNYC.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\tyJoaUJ.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\pMfPghq.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\DnLMOOO.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\CTGKNUk.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\hlryCRh.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\BBHQYMh.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\pkquSbm.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\ZBnWCBP.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\gJIaXhO.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\CWwOmFk.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\QqOalqk.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\kZEihHh.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\veXvYSG.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\wjtiOTy.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\IfYIBwj.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\iMFLDFT.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\cTNGJCE.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
File created	C:\Windows\System32\xlqZchE.exe	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe

Checks SCSI registry key(s) 3 TTPs 6 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_QEMU&PROD_QEMU_DVD-ROM\4&215468A5&0&010000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_DADY&PROD_HARDDISK\4&215468A5&0&000000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\ConfigFlags	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\HardwareID	dwm.exe

Enumerates system info in registry 2 TTPs 2 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe

Modifies data under HKEY_USERS 18 IoCs

description	ioc	Process
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2a\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe

Suspicious use of AdjustPrivilegeToken 6 IoCs

description	pid	Process
Token: SeCreateGlobalPrivilege	13996	dwm.exe
Token: SeChangeNotifyPrivilege	13996	dwm.exe
Token: 33	13996	dwm.exe
Token: SeIncBasePriorityPrivilege	13996	dwm.exe
Token: SeShutdownPrivilege	13996	dwm.exe
Token: SeCreatePagefilePrivilege	13996	dwm.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 676 wrote to memory of 5092	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	93
PID 676 wrote to memory of 5092	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	93
PID 676 wrote to memory of 4480	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	94
PID 676 wrote to memory of 4480	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	94
PID 676 wrote to memory of 2468	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	95
PID 676 wrote to memory of 2468	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	95
PID 676 wrote to memory of 696	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	96
PID 676 wrote to memory of 696	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	96
PID 676 wrote to memory of 4712	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	97
PID 676 wrote to memory of 4712	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	97
PID 676 wrote to memory of 1192	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	98
PID 676 wrote to memory of 1192	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	98
PID 676 wrote to memory of 1352	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	99
PID 676 wrote to memory of 1352	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	99
PID 676 wrote to memory of 3504	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	100
PID 676 wrote to memory of 3504	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	100
PID 676 wrote to memory of 2028	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	101
PID 676 wrote to memory of 2028	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	101
PID 676 wrote to memory of 1972	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	102
PID 676 wrote to memory of 1972	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	102
PID 676 wrote to memory of 2212	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	103
PID 676 wrote to memory of 2212	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	103
PID 676 wrote to memory of 1944	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	104
PID 676 wrote to memory of 1944	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	104
PID 676 wrote to memory of 3236	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	105
PID 676 wrote to memory of 3236	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	105
PID 676 wrote to memory of 1836	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	106
PID 676 wrote to memory of 1836	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	106
PID 676 wrote to memory of 2784	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	107
PID 676 wrote to memory of 2784	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	107
PID 676 wrote to memory of 2588	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	109
PID 676 wrote to memory of 2588	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	109
PID 676 wrote to memory of 2808	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	110
PID 676 wrote to memory of 2808	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	110
PID 676 wrote to memory of 4692	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	111
PID 676 wrote to memory of 4692	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	111
PID 676 wrote to memory of 2612	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	112
PID 676 wrote to memory of 2612	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	112
PID 676 wrote to memory of 324	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	114
PID 676 wrote to memory of 324	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	114
PID 676 wrote to memory of 768	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	115
PID 676 wrote to memory of 768	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	115
PID 676 wrote to memory of 4912	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	116
PID 676 wrote to memory of 4912	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	116
PID 676 wrote to memory of 4020	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	117
PID 676 wrote to memory of 4020	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	117
PID 676 wrote to memory of 4888	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	118
PID 676 wrote to memory of 4888	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	118
PID 676 wrote to memory of 3944	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	119
PID 676 wrote to memory of 3944	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	119
PID 676 wrote to memory of 4044	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	120
PID 676 wrote to memory of 4044	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	120
PID 676 wrote to memory of 3052	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	121
PID 676 wrote to memory of 3052	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	121
PID 676 wrote to memory of 752	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	122
PID 676 wrote to memory of 752	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	122
PID 676 wrote to memory of 3256	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	123
PID 676 wrote to memory of 3256	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	123
PID 676 wrote to memory of 1692	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	124
PID 676 wrote to memory of 1692	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	124
PID 676 wrote to memory of 3696	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	125
PID 676 wrote to memory of 3696	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	125
PID 676 wrote to memory of 5044	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	126
PID 676 wrote to memory of 5044	676	10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe	126

C:\Users\Admin\AppData\Local\Temp\10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe
"C:\Users\Admin\AppData\Local\Temp\10f1b4df69cfbea916acd02dd89e1850_NeikiAnalytics.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:676
- C:\Windows\System32\IuKuxfC.exe
  C:\Windows\System32\IuKuxfC.exe
  2⤵
  - Executes dropped EXE
  PID:5092
- C:\Windows\System32\KfUfxfC.exe
  C:\Windows\System32\KfUfxfC.exe
  2⤵
  - Executes dropped EXE
  PID:4480
- C:\Windows\System32\IDyYReg.exe
  C:\Windows\System32\IDyYReg.exe
  2⤵
  - Executes dropped EXE
  PID:2468
- C:\Windows\System32\zNQCqKW.exe
  C:\Windows\System32\zNQCqKW.exe
  2⤵
  - Executes dropped EXE
  PID:696
- C:\Windows\System32\tyJoaUJ.exe
  C:\Windows\System32\tyJoaUJ.exe
  2⤵
  - Executes dropped EXE
  PID:4712
- C:\Windows\System32\EaKfAJa.exe
  C:\Windows\System32\EaKfAJa.exe
  2⤵
  - Executes dropped EXE
  PID:1192
- C:\Windows\System32\SxOgRQY.exe
  C:\Windows\System32\SxOgRQY.exe
  2⤵
  - Executes dropped EXE
  PID:1352
- C:\Windows\System32\wvTjUQh.exe
  C:\Windows\System32\wvTjUQh.exe
  2⤵
  - Executes dropped EXE
  PID:3504
- C:\Windows\System32\TZmjXHn.exe
  C:\Windows\System32\TZmjXHn.exe
  2⤵
  - Executes dropped EXE
  PID:2028
- C:\Windows\System32\QfmPeGe.exe
  C:\Windows\System32\QfmPeGe.exe
  2⤵
  - Executes dropped EXE
  PID:1972
- C:\Windows\System32\IqsmbJY.exe
  C:\Windows\System32\IqsmbJY.exe
  2⤵
  - Executes dropped EXE
  PID:2212
- C:\Windows\System32\awAcYuq.exe
  C:\Windows\System32\awAcYuq.exe
  2⤵
  - Executes dropped EXE
  PID:1944
- C:\Windows\System32\mnOuhsj.exe
  C:\Windows\System32\mnOuhsj.exe
  2⤵
  - Executes dropped EXE
  PID:3236
- C:\Windows\System32\iEcOJkR.exe
  C:\Windows\System32\iEcOJkR.exe
  2⤵
  - Executes dropped EXE
  PID:1836
- C:\Windows\System32\sIhOhYU.exe
  C:\Windows\System32\sIhOhYU.exe
  2⤵
  - Executes dropped EXE
  PID:2784
- C:\Windows\System32\TorNyTw.exe
  C:\Windows\System32\TorNyTw.exe
  2⤵
  - Executes dropped EXE
  PID:2588
- C:\Windows\System32\AqqLdSz.exe
  C:\Windows\System32\AqqLdSz.exe
  2⤵
  - Executes dropped EXE
  PID:2808
- C:\Windows\System32\wUpftYd.exe
  C:\Windows\System32\wUpftYd.exe
  2⤵
  - Executes dropped EXE
  PID:4692
- C:\Windows\System32\aUGwRbE.exe
  C:\Windows\System32\aUGwRbE.exe
  2⤵
  - Executes dropped EXE
  PID:2612
- C:\Windows\System32\NBPODMC.exe
  C:\Windows\System32\NBPODMC.exe
  2⤵
  - Executes dropped EXE
  PID:324
- C:\Windows\System32\PMAVElH.exe
  C:\Windows\System32\PMAVElH.exe
  2⤵
  - Executes dropped EXE
  PID:768
- C:\Windows\System32\XArwovx.exe
  C:\Windows\System32\XArwovx.exe
  2⤵
  - Executes dropped EXE
  PID:4912
- C:\Windows\System32\jTDNHQa.exe
  C:\Windows\System32\jTDNHQa.exe
  2⤵
  - Executes dropped EXE
  PID:4020
- C:\Windows\System32\sTIikTe.exe
  C:\Windows\System32\sTIikTe.exe
  2⤵
  - Executes dropped EXE
  PID:4888
- C:\Windows\System32\iXnubKM.exe
  C:\Windows\System32\iXnubKM.exe
  2⤵
  - Executes dropped EXE
  PID:3944
- C:\Windows\System32\XzQeuEB.exe
  C:\Windows\System32\XzQeuEB.exe
  2⤵
  - Executes dropped EXE
  PID:4044
- C:\Windows\System32\QqOalqk.exe
  C:\Windows\System32\QqOalqk.exe
  2⤵
  - Executes dropped EXE
  PID:3052
- C:\Windows\System32\lLpHCcS.exe
  C:\Windows\System32\lLpHCcS.exe
  2⤵
  - Executes dropped EXE
  PID:752
- C:\Windows\System32\cYxcQSf.exe
  C:\Windows\System32\cYxcQSf.exe
  2⤵
  - Executes dropped EXE
  PID:3256
- C:\Windows\System32\GAHAwGh.exe
  C:\Windows\System32\GAHAwGh.exe
  2⤵
  - Executes dropped EXE
  PID:1692
- C:\Windows\System32\bYNMAXN.exe
  C:\Windows\System32\bYNMAXN.exe
  2⤵
  - Executes dropped EXE
  PID:3696
- C:\Windows\System32\woKowWe.exe
  C:\Windows\System32\woKowWe.exe
  2⤵
  - Executes dropped EXE
  PID:5044
- C:\Windows\System32\VqNrrOv.exe
  C:\Windows\System32\VqNrrOv.exe
  2⤵
  - Executes dropped EXE
  PID:4940
- C:\Windows\System32\BaqgVQI.exe
  C:\Windows\System32\BaqgVQI.exe
  2⤵
  - Executes dropped EXE
  PID:1480
- C:\Windows\System32\KwtYnLH.exe
  C:\Windows\System32\KwtYnLH.exe
  2⤵
  - Executes dropped EXE
  PID:840
- C:\Windows\System32\aGBBVSV.exe
  C:\Windows\System32\aGBBVSV.exe
  2⤵
  - Executes dropped EXE
  PID:1524
- C:\Windows\System32\QbEasfT.exe
  C:\Windows\System32\QbEasfT.exe
  2⤵
  - Executes dropped EXE
  PID:3148
- C:\Windows\System32\lUETxwz.exe
  C:\Windows\System32\lUETxwz.exe
  2⤵
  - Executes dropped EXE
  PID:4836
- C:\Windows\System32\TpIbLIF.exe
  C:\Windows\System32\TpIbLIF.exe
  2⤵
  - Executes dropped EXE
  PID:3184
- C:\Windows\System32\GoDcuMg.exe
  C:\Windows\System32\GoDcuMg.exe
  2⤵
  - Executes dropped EXE
  PID:1860
- C:\Windows\System32\qujiHTb.exe
  C:\Windows\System32\qujiHTb.exe
  2⤵
  - Executes dropped EXE
  PID:4308
- C:\Windows\System32\BOXcFFO.exe
  C:\Windows\System32\BOXcFFO.exe
  2⤵
  - Executes dropped EXE
  PID:1400
- C:\Windows\System32\zwrADRv.exe
  C:\Windows\System32\zwrADRv.exe
  2⤵
  - Executes dropped EXE
  PID:4412
- C:\Windows\System32\WPlccMr.exe
  C:\Windows\System32\WPlccMr.exe
  2⤵
  - Executes dropped EXE
  PID:1416
- C:\Windows\System32\qDVpiwZ.exe
  C:\Windows\System32\qDVpiwZ.exe
  2⤵
  - Executes dropped EXE
  PID:3248
- C:\Windows\System32\iuaXVXT.exe
  C:\Windows\System32\iuaXVXT.exe
  2⤵
  - Executes dropped EXE
  PID:1920
- C:\Windows\System32\gvfljiO.exe
  C:\Windows\System32\gvfljiO.exe
  2⤵
  - Executes dropped EXE
  PID:3232
- C:\Windows\System32\LYAgDuE.exe
  C:\Windows\System32\LYAgDuE.exe
  2⤵
  - Executes dropped EXE
  PID:3396
- C:\Windows\System32\ZEwPbnV.exe
  C:\Windows\System32\ZEwPbnV.exe
  2⤵
  - Executes dropped EXE
  PID:4436
- C:\Windows\System32\DsxISQa.exe
  C:\Windows\System32\DsxISQa.exe
  2⤵
  - Executes dropped EXE
  PID:1616
- C:\Windows\System32\BjDJDCM.exe
  C:\Windows\System32\BjDJDCM.exe
  2⤵
  - Executes dropped EXE
  PID:4564
- C:\Windows\System32\VFwVqqI.exe
  C:\Windows\System32\VFwVqqI.exe
  2⤵
  - Executes dropped EXE
  PID:4652
- C:\Windows\System32\DpJjnLC.exe
  C:\Windows\System32\DpJjnLC.exe
  2⤵
  - Executes dropped EXE
  PID:4300
- C:\Windows\System32\kjJPAzw.exe
  C:\Windows\System32\kjJPAzw.exe
  2⤵
  - Executes dropped EXE
  PID:4944
- C:\Windows\System32\OxaLYav.exe
  C:\Windows\System32\OxaLYav.exe
  2⤵
  - Executes dropped EXE
  PID:5128
- C:\Windows\System32\KBICFDp.exe
  C:\Windows\System32\KBICFDp.exe
  2⤵
  - Executes dropped EXE
  PID:5144
- C:\Windows\System32\pMfPghq.exe
  C:\Windows\System32\pMfPghq.exe
  2⤵
  - Executes dropped EXE
  PID:5184
- C:\Windows\System32\wRvpKVo.exe
  C:\Windows\System32\wRvpKVo.exe
  2⤵
  - Executes dropped EXE
  PID:5200
- C:\Windows\System32\fjQPqJo.exe
  C:\Windows\System32\fjQPqJo.exe
  2⤵
  - Executes dropped EXE
  PID:5228
- C:\Windows\System32\KSFgixo.exe
  C:\Windows\System32\KSFgixo.exe
  2⤵
  - Executes dropped EXE
  PID:5256
- C:\Windows\System32\ApXPdSV.exe
  C:\Windows\System32\ApXPdSV.exe
  2⤵
  - Executes dropped EXE
  PID:5296
- C:\Windows\System32\wEvlBfH.exe
  C:\Windows\System32\wEvlBfH.exe
  2⤵
  - Executes dropped EXE
  PID:5312
- C:\Windows\System32\KoqrRaY.exe
  C:\Windows\System32\KoqrRaY.exe
  2⤵
  - Executes dropped EXE
  PID:5340
- C:\Windows\System32\iMFLDFT.exe
  C:\Windows\System32\iMFLDFT.exe
  2⤵
  - Executes dropped EXE
  PID:5380
- C:\Windows\System32\LuoaDwc.exe
  C:\Windows\System32\LuoaDwc.exe
  2⤵
  PID:5396
- C:\Windows\System32\lHYzSiZ.exe
  C:\Windows\System32\lHYzSiZ.exe
  2⤵
  PID:5436
- C:\Windows\System32\oonmBXL.exe
  C:\Windows\System32\oonmBXL.exe
  2⤵
  PID:5452
- C:\Windows\System32\yYByEFZ.exe
  C:\Windows\System32\yYByEFZ.exe
  2⤵
  PID:5492
- C:\Windows\System32\CZZZKOI.exe
  C:\Windows\System32\CZZZKOI.exe
  2⤵
  PID:5508
- C:\Windows\System32\XRWyiyo.exe
  C:\Windows\System32\XRWyiyo.exe
  2⤵
  PID:5536
- C:\Windows\System32\bkoPBiU.exe
  C:\Windows\System32\bkoPBiU.exe
  2⤵
  PID:5564
- C:\Windows\System32\rXvriSJ.exe
  C:\Windows\System32\rXvriSJ.exe
  2⤵
  PID:5604
- C:\Windows\System32\hUsxoXf.exe
  C:\Windows\System32\hUsxoXf.exe
  2⤵
  PID:5620
- C:\Windows\System32\TVhunVL.exe
  C:\Windows\System32\TVhunVL.exe
  2⤵
  PID:5648
- C:\Windows\System32\BLxecui.exe
  C:\Windows\System32\BLxecui.exe
  2⤵
  PID:5676
- C:\Windows\System32\hAgxfDW.exe
  C:\Windows\System32\hAgxfDW.exe
  2⤵
  PID:5716
- C:\Windows\System32\KpdUIKc.exe
  C:\Windows\System32\KpdUIKc.exe
  2⤵
  PID:5732
- C:\Windows\System32\HgEFyuZ.exe
  C:\Windows\System32\HgEFyuZ.exe
  2⤵
  PID:5760
- C:\Windows\System32\tDiBeNi.exe
  C:\Windows\System32\tDiBeNi.exe
  2⤵
  PID:5800
- C:\Windows\System32\sMJFbTJ.exe
  C:\Windows\System32\sMJFbTJ.exe
  2⤵
  PID:5816
- C:\Windows\System32\gUDjwEx.exe
  C:\Windows\System32\gUDjwEx.exe
  2⤵
  PID:5844
- C:\Windows\System32\lFWtVwB.exe
  C:\Windows\System32\lFWtVwB.exe
  2⤵
  PID:5884
- C:\Windows\System32\avKWZAe.exe
  C:\Windows\System32\avKWZAe.exe
  2⤵
  PID:5900
- C:\Windows\System32\PnyIPJE.exe
  C:\Windows\System32\PnyIPJE.exe
  2⤵
  PID:5928
- C:\Windows\System32\QlLTsET.exe
  C:\Windows\System32\QlLTsET.exe
  2⤵
  PID:5968
- C:\Windows\System32\HBYGLEU.exe
  C:\Windows\System32\HBYGLEU.exe
  2⤵
  PID:5996
- C:\Windows\System32\ypdptDE.exe
  C:\Windows\System32\ypdptDE.exe
  2⤵
  PID:6012
- C:\Windows\System32\QXgQsLn.exe
  C:\Windows\System32\QXgQsLn.exe
  2⤵
  PID:6052
- C:\Windows\System32\qMWBDeq.exe
  C:\Windows\System32\qMWBDeq.exe
  2⤵
  PID:6068
- C:\Windows\System32\tWIQfKX.exe
  C:\Windows\System32\tWIQfKX.exe
  2⤵
  PID:6096
- C:\Windows\System32\fsZKtXk.exe
  C:\Windows\System32\fsZKtXk.exe
  2⤵
  PID:6136
- C:\Windows\System32\TeqIfpb.exe
  C:\Windows\System32\TeqIfpb.exe
  2⤵
  PID:3264
- C:\Windows\System32\ezxUNCG.exe
  C:\Windows\System32\ezxUNCG.exe
  2⤵
  PID:3680
- C:\Windows\System32\BfJYzpf.exe
  C:\Windows\System32\BfJYzpf.exe
  2⤵
  PID:5140
- C:\Windows\System32\ZtaPOAz.exe
  C:\Windows\System32\ZtaPOAz.exe
  2⤵
  PID:5192
- C:\Windows\System32\aagxGAL.exe
  C:\Windows\System32\aagxGAL.exe
  2⤵
  PID:5272
- C:\Windows\System32\YTNIvhI.exe
  C:\Windows\System32\YTNIvhI.exe
  2⤵
  PID:5328
- C:\Windows\System32\WQxeRUb.exe
  C:\Windows\System32\WQxeRUb.exe
  2⤵
  PID:5420
- C:\Windows\System32\fuxhsHH.exe
  C:\Windows\System32\fuxhsHH.exe
  2⤵
  PID:5448
- C:\Windows\System32\FeIeTvw.exe
  C:\Windows\System32\FeIeTvw.exe
  2⤵
  PID:5548
- C:\Windows\System32\bIhnTdx.exe
  C:\Windows\System32\bIhnTdx.exe
  2⤵
  PID:5588
- C:\Windows\System32\wLrbIng.exe
  C:\Windows\System32\wLrbIng.exe
  2⤵
  PID:5636
- C:\Windows\System32\dmqpZqL.exe
  C:\Windows\System32\dmqpZqL.exe
  2⤵
  PID:5692
- C:\Windows\System32\CTGKNUk.exe
  C:\Windows\System32\CTGKNUk.exe
  2⤵
  PID:960
- C:\Windows\System32\aHBLfuc.exe
  C:\Windows\System32\aHBLfuc.exe
  2⤵
  PID:5840
- C:\Windows\System32\bcLenUV.exe
  C:\Windows\System32\bcLenUV.exe
  2⤵
  PID:5896
- C:\Windows\System32\bFGUMrw.exe
  C:\Windows\System32\bFGUMrw.exe
  2⤵
  PID:6044
- C:\Windows\System32\YaJEBMw.exe
  C:\Windows\System32\YaJEBMw.exe
  2⤵
  PID:6084
- C:\Windows\System32\LvMRQZb.exe
  C:\Windows\System32\LvMRQZb.exe
  2⤵
  PID:6120
- C:\Windows\System32\xlqZchE.exe
  C:\Windows\System32\xlqZchE.exe
  2⤵
  PID:4292
- C:\Windows\System32\dyaiYhH.exe
  C:\Windows\System32\dyaiYhH.exe
  2⤵
  PID:1140
- C:\Windows\System32\bsYMsPX.exe
  C:\Windows\System32\bsYMsPX.exe
  2⤵
  PID:5216
- C:\Windows\System32\xaArYum.exe
  C:\Windows\System32\xaArYum.exe
  2⤵
  PID:5444
- C:\Windows\System32\tWMknry.exe
  C:\Windows\System32\tWMknry.exe
  2⤵
  PID:5576
- C:\Windows\System32\ZPeyVGn.exe
  C:\Windows\System32\ZPeyVGn.exe
  2⤵
  PID:5612
- C:\Windows\System32\KExnzRa.exe
  C:\Windows\System32\KExnzRa.exe
  2⤵
  PID:3056
- C:\Windows\System32\jVixnPA.exe
  C:\Windows\System32\jVixnPA.exe
  2⤵
  PID:5792
- C:\Windows\System32\bgUqUGZ.exe
  C:\Windows\System32\bgUqUGZ.exe
  2⤵
  PID:3572
- C:\Windows\System32\yhpuoEi.exe
  C:\Windows\System32\yhpuoEi.exe
  2⤵
  PID:4460
- C:\Windows\System32\vnUuXZW.exe
  C:\Windows\System32\vnUuXZW.exe
  2⤵
  PID:6060
- C:\Windows\System32\GzvEncx.exe
  C:\Windows\System32\GzvEncx.exe
  2⤵
  PID:392
- C:\Windows\System32\YstzXAh.exe
  C:\Windows\System32\YstzXAh.exe
  2⤵
  PID:4600
- C:\Windows\System32\NdkyyLG.exe
  C:\Windows\System32\NdkyyLG.exe
  2⤵
  PID:3180
- C:\Windows\System32\VLSoaqj.exe
  C:\Windows\System32\VLSoaqj.exe
  2⤵
  PID:6212
- C:\Windows\System32\DVahwxR.exe
  C:\Windows\System32\DVahwxR.exe
  2⤵
  PID:6248
- C:\Windows\System32\xZpcjRW.exe
  C:\Windows\System32\xZpcjRW.exe
  2⤵
  PID:6268
- C:\Windows\System32\YmhWAJR.exe
  C:\Windows\System32\YmhWAJR.exe
  2⤵
  PID:6304
- C:\Windows\System32\iqtIFnO.exe
  C:\Windows\System32\iqtIFnO.exe
  2⤵
  PID:6332
- C:\Windows\System32\hTOlrVr.exe
  C:\Windows\System32\hTOlrVr.exe
  2⤵
  PID:6348
- C:\Windows\System32\fHyfoxh.exe
  C:\Windows\System32\fHyfoxh.exe
  2⤵
  PID:6376
- C:\Windows\System32\GQWIUdP.exe
  C:\Windows\System32\GQWIUdP.exe
  2⤵
  PID:6424
- C:\Windows\System32\MILoLjn.exe
  C:\Windows\System32\MILoLjn.exe
  2⤵
  PID:6444
- C:\Windows\System32\wizupBp.exe
  C:\Windows\System32\wizupBp.exe
  2⤵
  PID:6476
- C:\Windows\System32\VCTSSmM.exe
  C:\Windows\System32\VCTSSmM.exe
  2⤵
  PID:6500
- C:\Windows\System32\PEKhePL.exe
  C:\Windows\System32\PEKhePL.exe
  2⤵
  PID:6520
- C:\Windows\System32\XLyvkFR.exe
  C:\Windows\System32\XLyvkFR.exe
  2⤵
  PID:6556
- C:\Windows\System32\bkDoYRy.exe
  C:\Windows\System32\bkDoYRy.exe
  2⤵
  PID:6572
- C:\Windows\System32\UGqpsVQ.exe
  C:\Windows\System32\UGqpsVQ.exe
  2⤵
  PID:6604
- C:\Windows\System32\IsxLcBd.exe
  C:\Windows\System32\IsxLcBd.exe
  2⤵
  PID:6640
- C:\Windows\System32\lScVzfB.exe
  C:\Windows\System32\lScVzfB.exe
  2⤵
  PID:6668
- C:\Windows\System32\tbrfAxm.exe
  C:\Windows\System32\tbrfAxm.exe
  2⤵
  PID:6688
- C:\Windows\System32\wOpiwTU.exe
  C:\Windows\System32\wOpiwTU.exe
  2⤵
  PID:6716
- C:\Windows\System32\rsPrRiu.exe
  C:\Windows\System32\rsPrRiu.exe
  2⤵
  PID:6744
- C:\Windows\System32\zbfVINH.exe
  C:\Windows\System32\zbfVINH.exe
  2⤵
  PID:6780
- C:\Windows\System32\bvGxqot.exe
  C:\Windows\System32\bvGxqot.exe
  2⤵
  PID:6796
- C:\Windows\System32\sgNrUWm.exe
  C:\Windows\System32\sgNrUWm.exe
  2⤵
  PID:6836
- C:\Windows\System32\jcAcUjN.exe
  C:\Windows\System32\jcAcUjN.exe
  2⤵
  PID:6872
- C:\Windows\System32\QCKnSyl.exe
  C:\Windows\System32\QCKnSyl.exe
  2⤵
  PID:6892
- C:\Windows\System32\DFpVEFf.exe
  C:\Windows\System32\DFpVEFf.exe
  2⤵
  PID:6920
- C:\Windows\System32\uaJOIsN.exe
  C:\Windows\System32\uaJOIsN.exe
  2⤵
  PID:6936
- C:\Windows\System32\kDRzxxx.exe
  C:\Windows\System32\kDRzxxx.exe
  2⤵
  PID:6976
- C:\Windows\System32\BqXGjJV.exe
  C:\Windows\System32\BqXGjJV.exe
  2⤵
  PID:7004
- C:\Windows\System32\CiyRRBb.exe
  C:\Windows\System32\CiyRRBb.exe
  2⤵
  PID:7032
- C:\Windows\System32\MgnaHiX.exe
  C:\Windows\System32\MgnaHiX.exe
  2⤵
  PID:7048
- C:\Windows\System32\cWzdtpV.exe
  C:\Windows\System32\cWzdtpV.exe
  2⤵
  PID:7076
- C:\Windows\System32\IWTsJiX.exe
  C:\Windows\System32\IWTsJiX.exe
  2⤵
  PID:7116
- C:\Windows\System32\OIoxCTF.exe
  C:\Windows\System32\OIoxCTF.exe
  2⤵
  PID:7132
- C:\Windows\System32\bKnhXHr.exe
  C:\Windows\System32\bKnhXHr.exe
  2⤵
  PID:7160
- C:\Windows\System32\sLrAiJA.exe
  C:\Windows\System32\sLrAiJA.exe
  2⤵
  PID:5196
- C:\Windows\System32\RwAnkOt.exe
  C:\Windows\System32\RwAnkOt.exe
  2⤵
  PID:6260
- C:\Windows\System32\WJKUXEb.exe
  C:\Windows\System32\WJKUXEb.exe
  2⤵
  PID:6312
- C:\Windows\System32\YNbAoyn.exe
  C:\Windows\System32\YNbAoyn.exe
  2⤵
  PID:6408
- C:\Windows\System32\JQHdFwL.exe
  C:\Windows\System32\JQHdFwL.exe
  2⤵
  PID:6432
- C:\Windows\System32\TWUBbXJ.exe
  C:\Windows\System32\TWUBbXJ.exe
  2⤵
  PID:6508
- C:\Windows\System32\UZhVqpw.exe
  C:\Windows\System32\UZhVqpw.exe
  2⤵
  PID:6584
- C:\Windows\System32\CkWlwRo.exe
  C:\Windows\System32\CkWlwRo.exe
  2⤵
  PID:6652
- C:\Windows\System32\XVQWhfD.exe
  C:\Windows\System32\XVQWhfD.exe
  2⤵
  PID:6704
- C:\Windows\System32\iAsUZRF.exe
  C:\Windows\System32\iAsUZRF.exe
  2⤵
  PID:6772
- C:\Windows\System32\hGMGtQx.exe
  C:\Windows\System32\hGMGtQx.exe
  2⤵
  PID:5976
- C:\Windows\System32\ShKdIFU.exe
  C:\Windows\System32\ShKdIFU.exe
  2⤵
  PID:6908
- C:\Windows\System32\kxzdoSt.exe
  C:\Windows\System32\kxzdoSt.exe
  2⤵
  PID:6968
- C:\Windows\System32\lOVicnw.exe
  C:\Windows\System32\lOVicnw.exe
  2⤵
  PID:7000
- C:\Windows\System32\jWWtpKy.exe
  C:\Windows\System32\jWWtpKy.exe
  2⤵
  PID:7068
- C:\Windows\System32\YRXiZlo.exe
  C:\Windows\System32\YRXiZlo.exe
  2⤵
  PID:7124
- C:\Windows\System32\GMdAcoq.exe
  C:\Windows\System32\GMdAcoq.exe
  2⤵
  PID:6232
- C:\Windows\System32\dOSllNz.exe
  C:\Windows\System32\dOSllNz.exe
  2⤵
  PID:6388
- C:\Windows\System32\cWsyCQC.exe
  C:\Windows\System32\cWsyCQC.exe
  2⤵
  PID:6532
- C:\Windows\System32\lPnQsno.exe
  C:\Windows\System32\lPnQsno.exe
  2⤵
  PID:6632
- C:\Windows\System32\rejmWvO.exe
  C:\Windows\System32\rejmWvO.exe
  2⤵
  PID:6824
- C:\Windows\System32\MzwQjLa.exe
  C:\Windows\System32\MzwQjLa.exe
  2⤵
  PID:6952
- C:\Windows\System32\RxOvPBX.exe
  C:\Windows\System32\RxOvPBX.exe
  2⤵
  PID:7088
- C:\Windows\System32\aGLviny.exe
  C:\Windows\System32\aGLviny.exe
  2⤵
  PID:6384
- C:\Windows\System32\eGhgXmc.exe
  C:\Windows\System32\eGhgXmc.exe
  2⤵
  PID:6612
- C:\Windows\System32\ZEaKQhg.exe
  C:\Windows\System32\ZEaKQhg.exe
  2⤵
  PID:7044
- C:\Windows\System32\EoUTnHH.exe
  C:\Windows\System32\EoUTnHH.exe
  2⤵
  PID:6340
- C:\Windows\System32\mlhRSgb.exe
  C:\Windows\System32\mlhRSgb.exe
  2⤵
  PID:6320
- C:\Windows\System32\ROLepxq.exe
  C:\Windows\System32\ROLepxq.exe
  2⤵
  PID:7180
- C:\Windows\System32\EGIzXmQ.exe
  C:\Windows\System32\EGIzXmQ.exe
  2⤵
  PID:7200
- C:\Windows\System32\TIIjXYs.exe
  C:\Windows\System32\TIIjXYs.exe
  2⤵
  PID:7240
- C:\Windows\System32\BHXRjWj.exe
  C:\Windows\System32\BHXRjWj.exe
  2⤵
  PID:7280
- C:\Windows\System32\ncRIxHK.exe
  C:\Windows\System32\ncRIxHK.exe
  2⤵
  PID:7312
- C:\Windows\System32\UXbtGKS.exe
  C:\Windows\System32\UXbtGKS.exe
  2⤵
  PID:7336
- C:\Windows\System32\ryxlwJK.exe
  C:\Windows\System32\ryxlwJK.exe
  2⤵
  PID:7364
- C:\Windows\System32\RyDjNlq.exe
  C:\Windows\System32\RyDjNlq.exe
  2⤵
  PID:7380
- C:\Windows\System32\dPwvrko.exe
  C:\Windows\System32\dPwvrko.exe
  2⤵
  PID:7420
- C:\Windows\System32\eFtUTJD.exe
  C:\Windows\System32\eFtUTJD.exe
  2⤵
  PID:7456
- C:\Windows\System32\cCpDsaK.exe
  C:\Windows\System32\cCpDsaK.exe
  2⤵
  PID:7476
- C:\Windows\System32\DTVRXiz.exe
  C:\Windows\System32\DTVRXiz.exe
  2⤵
  PID:7508
- C:\Windows\System32\fBtFkwR.exe
  C:\Windows\System32\fBtFkwR.exe
  2⤵
  PID:7540
- C:\Windows\System32\EmTHpNP.exe
  C:\Windows\System32\EmTHpNP.exe
  2⤵
  PID:7572
- C:\Windows\System32\URSKZvU.exe
  C:\Windows\System32\URSKZvU.exe
  2⤵
  PID:7604
- C:\Windows\System32\avDAJbO.exe
  C:\Windows\System32\avDAJbO.exe
  2⤵
  PID:7620
- C:\Windows\System32\okUgBcA.exe
  C:\Windows\System32\okUgBcA.exe
  2⤵
  PID:7648
- C:\Windows\System32\ExwOglK.exe
  C:\Windows\System32\ExwOglK.exe
  2⤵
  PID:7684
- C:\Windows\System32\pkQRPMx.exe
  C:\Windows\System32\pkQRPMx.exe
  2⤵
  PID:7724
- C:\Windows\System32\kFuBMPd.exe
  C:\Windows\System32\kFuBMPd.exe
  2⤵
  PID:7764
- C:\Windows\System32\wFpaJWt.exe
  C:\Windows\System32\wFpaJWt.exe
  2⤵
  PID:7804
- C:\Windows\System32\AtiyIzl.exe
  C:\Windows\System32\AtiyIzl.exe
  2⤵
  PID:7832
- C:\Windows\System32\yXEcFYB.exe
  C:\Windows\System32\yXEcFYB.exe
  2⤵
  PID:7864
- C:\Windows\System32\ErjpTAY.exe
  C:\Windows\System32\ErjpTAY.exe
  2⤵
  PID:7880
- C:\Windows\System32\xJgXXuB.exe
  C:\Windows\System32\xJgXXuB.exe
  2⤵
  PID:7920
- C:\Windows\System32\JLKVaBQ.exe
  C:\Windows\System32\JLKVaBQ.exe
  2⤵
  PID:7952
- C:\Windows\System32\TAyLcLA.exe
  C:\Windows\System32\TAyLcLA.exe
  2⤵
  PID:7984
- C:\Windows\System32\Bxndvfk.exe
  C:\Windows\System32\Bxndvfk.exe
  2⤵
  PID:8024
- C:\Windows\System32\ZfJMOCc.exe
  C:\Windows\System32\ZfJMOCc.exe
  2⤵
  PID:8048
- C:\Windows\System32\wZJYOLk.exe
  C:\Windows\System32\wZJYOLk.exe
  2⤵
  PID:8068
- C:\Windows\System32\hBbzZrO.exe
  C:\Windows\System32\hBbzZrO.exe
  2⤵
  PID:8084
- C:\Windows\System32\VRFsuWX.exe
  C:\Windows\System32\VRFsuWX.exe
  2⤵
  PID:8116
- C:\Windows\System32\vfbtssL.exe
  C:\Windows\System32\vfbtssL.exe
  2⤵
  PID:8132
- C:\Windows\System32\lXFGBty.exe
  C:\Windows\System32\lXFGBty.exe
  2⤵
  PID:8156
- C:\Windows\System32\DUZhPhp.exe
  C:\Windows\System32\DUZhPhp.exe
  2⤵
  PID:7176
- C:\Windows\System32\BnRVZje.exe
  C:\Windows\System32\BnRVZje.exe
  2⤵
  PID:7220
- C:\Windows\System32\BGtrEFz.exe
  C:\Windows\System32\BGtrEFz.exe
  2⤵
  PID:7328
- C:\Windows\System32\iYIkdSr.exe
  C:\Windows\System32\iYIkdSr.exe
  2⤵
  PID:7400
- C:\Windows\System32\IAvNKZR.exe
  C:\Windows\System32\IAvNKZR.exe
  2⤵
  PID:7464
- C:\Windows\System32\LNXKHdI.exe
  C:\Windows\System32\LNXKHdI.exe
  2⤵
  PID:7516
- C:\Windows\System32\FYpyiOQ.exe
  C:\Windows\System32\FYpyiOQ.exe
  2⤵
  PID:7612
- C:\Windows\System32\tQNOcWV.exe
  C:\Windows\System32\tQNOcWV.exe
  2⤵
  PID:7640
- C:\Windows\System32\LVjWpWL.exe
  C:\Windows\System32\LVjWpWL.exe
  2⤵
  PID:7696
- C:\Windows\System32\ACGAWue.exe
  C:\Windows\System32\ACGAWue.exe
  2⤵
  PID:7788
- C:\Windows\System32\BMopvTO.exe
  C:\Windows\System32\BMopvTO.exe
  2⤵
  PID:7872
- C:\Windows\System32\VMsKgIr.exe
  C:\Windows\System32\VMsKgIr.exe
  2⤵
  PID:7932
- C:\Windows\System32\ARUGFlE.exe
  C:\Windows\System32\ARUGFlE.exe
  2⤵
  PID:8008
- C:\Windows\System32\IJAQkfs.exe
  C:\Windows\System32\IJAQkfs.exe
  2⤵
  PID:8140
- C:\Windows\System32\TFzStfj.exe
  C:\Windows\System32\TFzStfj.exe
  2⤵
  PID:8124
- C:\Windows\System32\NcizAtO.exe
  C:\Windows\System32\NcizAtO.exe
  2⤵
  PID:7292
- C:\Windows\System32\PkFWNgR.exe
  C:\Windows\System32\PkFWNgR.exe
  2⤵
  PID:7440
- C:\Windows\System32\quhgktq.exe
  C:\Windows\System32\quhgktq.exe
  2⤵
  PID:7616
- C:\Windows\System32\LelZxZU.exe
  C:\Windows\System32\LelZxZU.exe
  2⤵
  PID:7744
- C:\Windows\System32\sMjNdss.exe
  C:\Windows\System32\sMjNdss.exe
  2⤵
  PID:7980
- C:\Windows\System32\GKyvKxZ.exe
  C:\Windows\System32\GKyvKxZ.exe
  2⤵
  PID:7212
- C:\Windows\System32\WjoMhoa.exe
  C:\Windows\System32\WjoMhoa.exe
  2⤵
  PID:7660
- C:\Windows\System32\aMjnPle.exe
  C:\Windows\System32\aMjnPle.exe
  2⤵
  PID:8200
- C:\Windows\System32\wsavIkQ.exe
  C:\Windows\System32\wsavIkQ.exe
  2⤵
  PID:8232
- C:\Windows\System32\AcEZDfr.exe
  C:\Windows\System32\AcEZDfr.exe
  2⤵
  PID:8256
- C:\Windows\System32\NpjPuUx.exe
  C:\Windows\System32\NpjPuUx.exe
  2⤵
  PID:8316
- C:\Windows\System32\FsZHTyV.exe
  C:\Windows\System32\FsZHTyV.exe
  2⤵
  PID:8340
- C:\Windows\System32\dgjTVCn.exe
  C:\Windows\System32\dgjTVCn.exe
  2⤵
  PID:8388
- C:\Windows\System32\xOVhVtY.exe
  C:\Windows\System32\xOVhVtY.exe
  2⤵
  PID:8424
- C:\Windows\System32\CaUjmpp.exe
  C:\Windows\System32\CaUjmpp.exe
  2⤵
  PID:8468
- C:\Windows\System32\SjgSUdi.exe
  C:\Windows\System32\SjgSUdi.exe
  2⤵
  PID:8508
- C:\Windows\System32\ryKgCJs.exe
  C:\Windows\System32\ryKgCJs.exe
  2⤵
  PID:8524
- C:\Windows\System32\pKNCuRN.exe
  C:\Windows\System32\pKNCuRN.exe
  2⤵
  PID:8540
- C:\Windows\System32\hLqjQnT.exe
  C:\Windows\System32\hLqjQnT.exe
  2⤵
  PID:8560
- C:\Windows\System32\gbJcfhI.exe
  C:\Windows\System32\gbJcfhI.exe
  2⤵
  PID:8592
- C:\Windows\System32\UzczYqj.exe
  C:\Windows\System32\UzczYqj.exe
  2⤵
  PID:8636
- C:\Windows\System32\wewHfUz.exe
  C:\Windows\System32\wewHfUz.exe
  2⤵
  PID:8680
- C:\Windows\System32\WEDXhnX.exe
  C:\Windows\System32\WEDXhnX.exe
  2⤵
  PID:8708
- C:\Windows\System32\qQpWGIt.exe
  C:\Windows\System32\qQpWGIt.exe
  2⤵
  PID:8744
- C:\Windows\System32\ovsXVqv.exe
  C:\Windows\System32\ovsXVqv.exe
  2⤵
  PID:8760
- C:\Windows\System32\aOQZCfo.exe
  C:\Windows\System32\aOQZCfo.exe
  2⤵
  PID:8776
- C:\Windows\System32\hlryCRh.exe
  C:\Windows\System32\hlryCRh.exe
  2⤵
  PID:8828
- C:\Windows\System32\KLIHpbl.exe
  C:\Windows\System32\KLIHpbl.exe
  2⤵
  PID:8864
- C:\Windows\System32\UQvYRet.exe
  C:\Windows\System32\UQvYRet.exe
  2⤵
  PID:8880
- C:\Windows\System32\VnvOnoc.exe
  C:\Windows\System32\VnvOnoc.exe
  2⤵
  PID:8920
- C:\Windows\System32\iihjZpY.exe
  C:\Windows\System32\iihjZpY.exe
  2⤵
  PID:8948
- C:\Windows\System32\uXRgYBJ.exe
  C:\Windows\System32\uXRgYBJ.exe
  2⤵
  PID:8976
- C:\Windows\System32\ihmdTTm.exe
  C:\Windows\System32\ihmdTTm.exe
  2⤵
  PID:9020
- C:\Windows\System32\SPnYZtB.exe
  C:\Windows\System32\SPnYZtB.exe
  2⤵
  PID:9048
- C:\Windows\System32\kZEihHh.exe
  C:\Windows\System32\kZEihHh.exe
  2⤵
  PID:9064
- C:\Windows\System32\oEXQPNe.exe
  C:\Windows\System32\oEXQPNe.exe
  2⤵
  PID:9096
- C:\Windows\System32\COFSUzM.exe
  C:\Windows\System32\COFSUzM.exe
  2⤵
  PID:9148
- C:\Windows\System32\NUoylPL.exe
  C:\Windows\System32\NUoylPL.exe
  2⤵
  PID:9188
- C:\Windows\System32\ygDvyAy.exe
  C:\Windows\System32\ygDvyAy.exe
  2⤵
  PID:7356
- C:\Windows\System32\hYgmyLS.exe
  C:\Windows\System32\hYgmyLS.exe
  2⤵
  PID:8252
- C:\Windows\System32\OcUhwUG.exe
  C:\Windows\System32\OcUhwUG.exe
  2⤵
  PID:8244
- C:\Windows\System32\OXqqrGq.exe
  C:\Windows\System32\OXqqrGq.exe
  2⤵
  PID:6152
- C:\Windows\System32\IElBHCr.exe
  C:\Windows\System32\IElBHCr.exe
  2⤵
  PID:8360
- C:\Windows\System32\HvBuhKG.exe
  C:\Windows\System32\HvBuhKG.exe
  2⤵
  PID:8480
- C:\Windows\System32\tjdKZOT.exe
  C:\Windows\System32\tjdKZOT.exe
  2⤵
  PID:8576
- C:\Windows\System32\PxUQiJQ.exe
  C:\Windows\System32\PxUQiJQ.exe
  2⤵
  PID:8624
- C:\Windows\System32\rVSCJwf.exe
  C:\Windows\System32\rVSCJwf.exe
  2⤵
  PID:8692
- C:\Windows\System32\jamxXYt.exe
  C:\Windows\System32\jamxXYt.exe
  2⤵
  PID:8768
- C:\Windows\System32\JaXqfwk.exe
  C:\Windows\System32\JaXqfwk.exe
  2⤵
  PID:8852
- C:\Windows\System32\GQlawgG.exe
  C:\Windows\System32\GQlawgG.exe
  2⤵
  PID:8900
- C:\Windows\System32\LyoPpfL.exe
  C:\Windows\System32\LyoPpfL.exe
  2⤵
  PID:9060
- C:\Windows\System32\TSAIDEV.exe
  C:\Windows\System32\TSAIDEV.exe
  2⤵
  PID:9116
- C:\Windows\System32\JUKhOTe.exe
  C:\Windows\System32\JUKhOTe.exe
  2⤵
  PID:9212
- C:\Windows\System32\VgcYmGR.exe
  C:\Windows\System32\VgcYmGR.exe
  2⤵
  PID:8292
- C:\Windows\System32\lhOhVdK.exe
  C:\Windows\System32\lhOhVdK.exe
  2⤵
  PID:8464
- C:\Windows\System32\vclCnFa.exe
  C:\Windows\System32\vclCnFa.exe
  2⤵
  PID:2592
- C:\Windows\System32\rzuuzsI.exe
  C:\Windows\System32\rzuuzsI.exe
  2⤵
  PID:8728
- C:\Windows\System32\oEwTvIr.exe
  C:\Windows\System32\oEwTvIr.exe
  2⤵
  PID:8872
- C:\Windows\System32\WRXKqWj.exe
  C:\Windows\System32\WRXKqWj.exe
  2⤵
  PID:8248
- C:\Windows\System32\GJjiqOT.exe
  C:\Windows\System32\GJjiqOT.exe
  2⤵
  PID:8420
- C:\Windows\System32\pIbcmIV.exe
  C:\Windows\System32\pIbcmIV.exe
  2⤵
  PID:8820
- C:\Windows\System32\fKtSPux.exe
  C:\Windows\System32\fKtSPux.exe
  2⤵
  PID:8676
- C:\Windows\System32\OkwXBSF.exe
  C:\Windows\System32\OkwXBSF.exe
  2⤵
  PID:8588
- C:\Windows\System32\ArCDMgN.exe
  C:\Windows\System32\ArCDMgN.exe
  2⤵
  PID:9244
- C:\Windows\System32\WmopujE.exe
  C:\Windows\System32\WmopujE.exe
  2⤵
  PID:9272
- C:\Windows\System32\etkrSot.exe
  C:\Windows\System32\etkrSot.exe
  2⤵
  PID:9300
- C:\Windows\System32\fQrggsD.exe
  C:\Windows\System32\fQrggsD.exe
  2⤵
  PID:9328
- C:\Windows\System32\XdizEGZ.exe
  C:\Windows\System32\XdizEGZ.exe
  2⤵
  PID:9372
- C:\Windows\System32\BcPmpYh.exe
  C:\Windows\System32\BcPmpYh.exe
  2⤵
  PID:9400
- C:\Windows\System32\hwDSDKy.exe
  C:\Windows\System32\hwDSDKy.exe
  2⤵
  PID:9428
- C:\Windows\System32\VaYJCHo.exe
  C:\Windows\System32\VaYJCHo.exe
  2⤵
  PID:9456
- C:\Windows\System32\LqWrXkH.exe
  C:\Windows\System32\LqWrXkH.exe
  2⤵
  PID:9484
- C:\Windows\System32\hqOIysV.exe
  C:\Windows\System32\hqOIysV.exe
  2⤵
  PID:9512
- C:\Windows\System32\tecICCH.exe
  C:\Windows\System32\tecICCH.exe
  2⤵
  PID:9540
- C:\Windows\System32\EusAHgy.exe
  C:\Windows\System32\EusAHgy.exe
  2⤵
  PID:9568
- C:\Windows\System32\FfmtIiA.exe
  C:\Windows\System32\FfmtIiA.exe
  2⤵
  PID:9600
- C:\Windows\System32\mEfDVAn.exe
  C:\Windows\System32\mEfDVAn.exe
  2⤵
  PID:9628
- C:\Windows\System32\FlSopmX.exe
  C:\Windows\System32\FlSopmX.exe
  2⤵
  PID:9656
- C:\Windows\System32\XiqJVPs.exe
  C:\Windows\System32\XiqJVPs.exe
  2⤵
  PID:9684
- C:\Windows\System32\RilWDNi.exe
  C:\Windows\System32\RilWDNi.exe
  2⤵
  PID:9712
- C:\Windows\System32\JTBrqfn.exe
  C:\Windows\System32\JTBrqfn.exe
  2⤵
  PID:9740
- C:\Windows\System32\dXQBYPq.exe
  C:\Windows\System32\dXQBYPq.exe
  2⤵
  PID:9768
- C:\Windows\System32\NgJwGee.exe
  C:\Windows\System32\NgJwGee.exe
  2⤵
  PID:9796
- C:\Windows\System32\WwxOrZK.exe
  C:\Windows\System32\WwxOrZK.exe
  2⤵
  PID:9824
- C:\Windows\System32\ZLnokEY.exe
  C:\Windows\System32\ZLnokEY.exe
  2⤵
  PID:9852
- C:\Windows\System32\yjcogDL.exe
  C:\Windows\System32\yjcogDL.exe
  2⤵
  PID:9872
- C:\Windows\System32\Ehxgetc.exe
  C:\Windows\System32\Ehxgetc.exe
  2⤵
  PID:9900
- C:\Windows\System32\Yyogoqj.exe
  C:\Windows\System32\Yyogoqj.exe
  2⤵
  PID:9944
- C:\Windows\System32\ZKQTFis.exe
  C:\Windows\System32\ZKQTFis.exe
  2⤵
  PID:9968
- C:\Windows\System32\dtXCUCG.exe
  C:\Windows\System32\dtXCUCG.exe
  2⤵
  PID:9992
- C:\Windows\System32\eRCVTaN.exe
  C:\Windows\System32\eRCVTaN.exe
  2⤵
  PID:10024
- C:\Windows\System32\ljFPDWQ.exe
  C:\Windows\System32\ljFPDWQ.exe
  2⤵
  PID:10052
- C:\Windows\System32\MBJoegY.exe
  C:\Windows\System32\MBJoegY.exe
  2⤵
  PID:10076
- C:\Windows\System32\dWfcncX.exe
  C:\Windows\System32\dWfcncX.exe
  2⤵
  PID:10108
- C:\Windows\System32\cBLmxMX.exe
  C:\Windows\System32\cBLmxMX.exe
  2⤵
  PID:10136
- C:\Windows\System32\ltBtcvl.exe
  C:\Windows\System32\ltBtcvl.exe
  2⤵
  PID:10168
- C:\Windows\System32\QykTAgk.exe
  C:\Windows\System32\QykTAgk.exe
  2⤵
  PID:10196
- C:\Windows\System32\VqRrDcd.exe
  C:\Windows\System32\VqRrDcd.exe
  2⤵
  PID:10224
- C:\Windows\System32\gNHegpz.exe
  C:\Windows\System32\gNHegpz.exe
  2⤵
  PID:9240
- C:\Windows\System32\ZgKrqra.exe
  C:\Windows\System32\ZgKrqra.exe
  2⤵
  PID:9312
- C:\Windows\System32\dqOvwLT.exe
  C:\Windows\System32\dqOvwLT.exe
  2⤵
  PID:9392
- C:\Windows\System32\nioebNH.exe
  C:\Windows\System32\nioebNH.exe
  2⤵
  PID:9452
- C:\Windows\System32\OJKNcNt.exe
  C:\Windows\System32\OJKNcNt.exe
  2⤵
  PID:9524
- C:\Windows\System32\jjdQAxb.exe
  C:\Windows\System32\jjdQAxb.exe
  2⤵
  PID:9592
- C:\Windows\System32\CvBfrRy.exe
  C:\Windows\System32\CvBfrRy.exe
  2⤵
  PID:9652
- C:\Windows\System32\BkIcSGR.exe
  C:\Windows\System32\BkIcSGR.exe
  2⤵
  PID:9724
- C:\Windows\System32\eJcgRrg.exe
  C:\Windows\System32\eJcgRrg.exe
  2⤵
  PID:9788
- C:\Windows\System32\bJvPpGr.exe
  C:\Windows\System32\bJvPpGr.exe
  2⤵
  PID:9848
- C:\Windows\System32\rEwVPTD.exe
  C:\Windows\System32\rEwVPTD.exe
  2⤵
  PID:9912
- C:\Windows\System32\eDiGMSI.exe
  C:\Windows\System32\eDiGMSI.exe
  2⤵
  PID:9980
- C:\Windows\System32\LVRcwXc.exe
  C:\Windows\System32\LVRcwXc.exe
  2⤵
  PID:10048
- C:\Windows\System32\ZRUxRtI.exe
  C:\Windows\System32\ZRUxRtI.exe
  2⤵
  PID:10092
- C:\Windows\System32\FFicuOM.exe
  C:\Windows\System32\FFicuOM.exe
  2⤵
  PID:9232
- C:\Windows\System32\bGQHYhL.exe
  C:\Windows\System32\bGQHYhL.exe
  2⤵
  PID:9440
- C:\Windows\System32\JRUnTTr.exe
  C:\Windows\System32\JRUnTTr.exe
  2⤵
  PID:9564
- C:\Windows\System32\QHbDUCi.exe
  C:\Windows\System32\QHbDUCi.exe
  2⤵
  PID:9708
- C:\Windows\System32\dzqzSpi.exe
  C:\Windows\System32\dzqzSpi.exe
  2⤵
  PID:9892
- C:\Windows\System32\GZXirKg.exe
  C:\Windows\System32\GZXirKg.exe
  2⤵
  PID:10012
- C:\Windows\System32\cMgbHmk.exe
  C:\Windows\System32\cMgbHmk.exe
  2⤵
  PID:10208
- C:\Windows\System32\ueLPDBk.exe
  C:\Windows\System32\ueLPDBk.exe
  2⤵
  PID:9508
- C:\Windows\System32\smEHQmN.exe
  C:\Windows\System32\smEHQmN.exe
  2⤵
  PID:9844
- C:\Windows\System32\yHoptsQ.exe
  C:\Windows\System32\yHoptsQ.exe
  2⤵
  PID:9388
- C:\Windows\System32\TdIGwxf.exe
  C:\Windows\System32\TdIGwxf.exe
  2⤵
  PID:9868
- C:\Windows\System32\HzkaPgk.exe
  C:\Windows\System32\HzkaPgk.exe
  2⤵
  PID:10248
- C:\Windows\System32\GGxLUNg.exe
  C:\Windows\System32\GGxLUNg.exe
  2⤵
  PID:10276
- C:\Windows\System32\xUqTSNd.exe
  C:\Windows\System32\xUqTSNd.exe
  2⤵
  PID:10304
- C:\Windows\System32\veXvYSG.exe
  C:\Windows\System32\veXvYSG.exe
  2⤵
  PID:10336
- C:\Windows\System32\GtTYwmU.exe
  C:\Windows\System32\GtTYwmU.exe
  2⤵
  PID:10368
- C:\Windows\System32\KqKSmvT.exe
  C:\Windows\System32\KqKSmvT.exe
  2⤵
  PID:10396
- C:\Windows\System32\mSpoGtJ.exe
  C:\Windows\System32\mSpoGtJ.exe
  2⤵
  PID:10424
- C:\Windows\System32\JEyPmmX.exe
  C:\Windows\System32\JEyPmmX.exe
  2⤵
  PID:10452
- C:\Windows\System32\otzskms.exe
  C:\Windows\System32\otzskms.exe
  2⤵
  PID:10480
- C:\Windows\System32\LUpSUlz.exe
  C:\Windows\System32\LUpSUlz.exe
  2⤵
  PID:10508
- C:\Windows\System32\LSGTSpm.exe
  C:\Windows\System32\LSGTSpm.exe
  2⤵
  PID:10536
- C:\Windows\System32\hhiFCyL.exe
  C:\Windows\System32\hhiFCyL.exe
  2⤵
  PID:10564
- C:\Windows\System32\WuLIfxV.exe
  C:\Windows\System32\WuLIfxV.exe
  2⤵
  PID:10592
- C:\Windows\System32\VtSnKft.exe
  C:\Windows\System32\VtSnKft.exe
  2⤵
  PID:10620
- C:\Windows\System32\jvUjcPg.exe
  C:\Windows\System32\jvUjcPg.exe
  2⤵
  PID:10648
- C:\Windows\System32\OflMSzT.exe
  C:\Windows\System32\OflMSzT.exe
  2⤵
  PID:10676
- C:\Windows\System32\LokJfhu.exe
  C:\Windows\System32\LokJfhu.exe
  2⤵
  PID:10704
- C:\Windows\System32\VWBLqvv.exe
  C:\Windows\System32\VWBLqvv.exe
  2⤵
  PID:10732
- C:\Windows\System32\hhVGXvh.exe
  C:\Windows\System32\hhVGXvh.exe
  2⤵
  PID:10760
- C:\Windows\System32\qJCHkeo.exe
  C:\Windows\System32\qJCHkeo.exe
  2⤵
  PID:10792
- C:\Windows\System32\ilnGBzL.exe
  C:\Windows\System32\ilnGBzL.exe
  2⤵
  PID:10820
- C:\Windows\System32\bxMsEgx.exe
  C:\Windows\System32\bxMsEgx.exe
  2⤵
  PID:10848
- C:\Windows\System32\HnaYemT.exe
  C:\Windows\System32\HnaYemT.exe
  2⤵
  PID:10876
- C:\Windows\System32\QFBHHlX.exe
  C:\Windows\System32\QFBHHlX.exe
  2⤵
  PID:10904
- C:\Windows\System32\OGTrptx.exe
  C:\Windows\System32\OGTrptx.exe
  2⤵
  PID:10932
- C:\Windows\System32\kZVuZCu.exe
  C:\Windows\System32\kZVuZCu.exe
  2⤵
  PID:10960
- C:\Windows\System32\zlNfqIC.exe
  C:\Windows\System32\zlNfqIC.exe
  2⤵
  PID:10988
- C:\Windows\System32\olmgeRH.exe
  C:\Windows\System32\olmgeRH.exe
  2⤵
  PID:11016
- C:\Windows\System32\cGyfqdy.exe
  C:\Windows\System32\cGyfqdy.exe
  2⤵
  PID:11044
- C:\Windows\System32\rXAavpB.exe
  C:\Windows\System32\rXAavpB.exe
  2⤵
  PID:11072
- C:\Windows\System32\yjDEZeV.exe
  C:\Windows\System32\yjDEZeV.exe
  2⤵
  PID:11100
- C:\Windows\System32\jSBSJfA.exe
  C:\Windows\System32\jSBSJfA.exe
  2⤵
  PID:11128
- C:\Windows\System32\wjtiOTy.exe
  C:\Windows\System32\wjtiOTy.exe
  2⤵
  PID:11156
- C:\Windows\System32\vJukaIL.exe
  C:\Windows\System32\vJukaIL.exe
  2⤵
  PID:11184
- C:\Windows\System32\NiVFJqV.exe
  C:\Windows\System32\NiVFJqV.exe
  2⤵
  PID:11212
- C:\Windows\System32\DzDxJlH.exe
  C:\Windows\System32\DzDxJlH.exe
  2⤵
  PID:11240
- C:\Windows\System32\yfbWPaT.exe
  C:\Windows\System32\yfbWPaT.exe
  2⤵
  PID:10260
- C:\Windows\System32\mZSbHMp.exe
  C:\Windows\System32\mZSbHMp.exe
  2⤵
  PID:10324
- C:\Windows\System32\GoNydzm.exe
  C:\Windows\System32\GoNydzm.exe
  2⤵
  PID:10392
- C:\Windows\System32\bYerJaE.exe
  C:\Windows\System32\bYerJaE.exe
  2⤵
  PID:10448
- C:\Windows\System32\QdJFfJB.exe
  C:\Windows\System32\QdJFfJB.exe
  2⤵
  PID:10520
- C:\Windows\System32\DBZMThD.exe
  C:\Windows\System32\DBZMThD.exe
  2⤵
  PID:10584
- C:\Windows\System32\kRZdvSO.exe
  C:\Windows\System32\kRZdvSO.exe
  2⤵
  PID:10640
- C:\Windows\System32\TRQEOHw.exe
  C:\Windows\System32\TRQEOHw.exe
  2⤵
  PID:10716
- C:\Windows\System32\DxmfmwB.exe
  C:\Windows\System32\DxmfmwB.exe
  2⤵
  PID:10784
- C:\Windows\System32\iOAbsWJ.exe
  C:\Windows\System32\iOAbsWJ.exe
  2⤵
  PID:10844
- C:\Windows\System32\uhcHQnk.exe
  C:\Windows\System32\uhcHQnk.exe
  2⤵
  PID:10948
- C:\Windows\System32\IfYIBwj.exe
  C:\Windows\System32\IfYIBwj.exe
  2⤵
  PID:10980
- C:\Windows\System32\AsdOLEe.exe
  C:\Windows\System32\AsdOLEe.exe
  2⤵
  PID:11040
- C:\Windows\System32\PfqHJxn.exe
  C:\Windows\System32\PfqHJxn.exe
  2⤵
  PID:11092
- C:\Windows\System32\gSVnkJI.exe
  C:\Windows\System32\gSVnkJI.exe
  2⤵
  PID:11168
- C:\Windows\System32\BvnyXGG.exe
  C:\Windows\System32\BvnyXGG.exe
  2⤵
  PID:11252
- C:\Windows\System32\IIwJHDs.exe
  C:\Windows\System32\IIwJHDs.exe
  2⤵
  PID:10320
- C:\Windows\System32\FyOAzLi.exe
  C:\Windows\System32\FyOAzLi.exe
  2⤵
  PID:10504
- C:\Windows\System32\ZIhUXGZ.exe
  C:\Windows\System32\ZIhUXGZ.exe
  2⤵
  PID:10644
- C:\Windows\System32\WZVNCla.exe
  C:\Windows\System32\WZVNCla.exe
  2⤵
  PID:10816
- C:\Windows\System32\ttitHTt.exe
  C:\Windows\System32\ttitHTt.exe
  2⤵
  PID:10972
- C:\Windows\System32\XJapzgy.exe
  C:\Windows\System32\XJapzgy.exe
  2⤵
  PID:11120
- C:\Windows\System32\rEiSCJW.exe
  C:\Windows\System32\rEiSCJW.exe
  2⤵
  PID:10380
- C:\Windows\System32\cxcytxq.exe
  C:\Windows\System32\cxcytxq.exe
  2⤵
  PID:10576
- C:\Windows\System32\zcAkbWr.exe
  C:\Windows\System32\zcAkbWr.exe
  2⤵
  PID:10956
- C:\Windows\System32\ZLXfiuQ.exe
  C:\Windows\System32\ZLXfiuQ.exe
  2⤵
  PID:3676
- C:\Windows\System32\JcOTCsF.exe
  C:\Windows\System32\JcOTCsF.exe
  2⤵
  PID:11084
- C:\Windows\System32\HuqInwF.exe
  C:\Windows\System32\HuqInwF.exe
  2⤵
  PID:10900
- C:\Windows\System32\nTRzdhW.exe
  C:\Windows\System32\nTRzdhW.exe
  2⤵
  PID:11288
- C:\Windows\System32\uwlhufo.exe
  C:\Windows\System32\uwlhufo.exe
  2⤵
  PID:11316
- C:\Windows\System32\PzMGmQs.exe
  C:\Windows\System32\PzMGmQs.exe
  2⤵
  PID:11344
- C:\Windows\System32\VXsmUrU.exe
  C:\Windows\System32\VXsmUrU.exe
  2⤵
  PID:11372
- C:\Windows\System32\COuhbqk.exe
  C:\Windows\System32\COuhbqk.exe
  2⤵
  PID:11400
- C:\Windows\System32\hvNFnTS.exe
  C:\Windows\System32\hvNFnTS.exe
  2⤵
  PID:11428
- C:\Windows\System32\rpdphKy.exe
  C:\Windows\System32\rpdphKy.exe
  2⤵
  PID:11456
- C:\Windows\System32\itCgJvh.exe
  C:\Windows\System32\itCgJvh.exe
  2⤵
  PID:11484
- C:\Windows\System32\njFnCka.exe
  C:\Windows\System32\njFnCka.exe
  2⤵
  PID:11512
- C:\Windows\System32\czabTHl.exe
  C:\Windows\System32\czabTHl.exe
  2⤵
  PID:11540
- C:\Windows\System32\sWhTPcI.exe
  C:\Windows\System32\sWhTPcI.exe
  2⤵
  PID:11568
- C:\Windows\System32\vOTaNXX.exe
  C:\Windows\System32\vOTaNXX.exe
  2⤵
  PID:11596
- C:\Windows\System32\ShfBTuT.exe
  C:\Windows\System32\ShfBTuT.exe
  2⤵
  PID:11624
- C:\Windows\System32\BmTYQuL.exe
  C:\Windows\System32\BmTYQuL.exe
  2⤵
  PID:11652
- C:\Windows\System32\TfxRSJB.exe
  C:\Windows\System32\TfxRSJB.exe
  2⤵
  PID:11680
- C:\Windows\System32\jiDhOBS.exe
  C:\Windows\System32\jiDhOBS.exe
  2⤵
  PID:11708
- C:\Windows\System32\uteTArT.exe
  C:\Windows\System32\uteTArT.exe
  2⤵
  PID:11736
- C:\Windows\System32\yMWMJvg.exe
  C:\Windows\System32\yMWMJvg.exe
  2⤵
  PID:11764
- C:\Windows\System32\lGzGuKZ.exe
  C:\Windows\System32\lGzGuKZ.exe
  2⤵
  PID:11792
- C:\Windows\System32\CnhZOLo.exe
  C:\Windows\System32\CnhZOLo.exe
  2⤵
  PID:11812
- C:\Windows\System32\YyduHmJ.exe
  C:\Windows\System32\YyduHmJ.exe
  2⤵
  PID:11848
- C:\Windows\System32\IAYksNp.exe
  C:\Windows\System32\IAYksNp.exe
  2⤵
  PID:11876
- C:\Windows\System32\imOjLiR.exe
  C:\Windows\System32\imOjLiR.exe
  2⤵
  PID:11904
- C:\Windows\System32\rEaNAvD.exe
  C:\Windows\System32\rEaNAvD.exe
  2⤵
  PID:11932
- C:\Windows\System32\LpJJIvE.exe
  C:\Windows\System32\LpJJIvE.exe
  2⤵
  PID:11960
- C:\Windows\System32\ZfFYYuR.exe
  C:\Windows\System32\ZfFYYuR.exe
  2⤵
  PID:11992
- C:\Windows\System32\fsOkvcD.exe
  C:\Windows\System32\fsOkvcD.exe
  2⤵
  PID:12020
- C:\Windows\System32\VMOhNua.exe
  C:\Windows\System32\VMOhNua.exe
  2⤵
  PID:12068
- C:\Windows\System32\aFzCgkJ.exe
  C:\Windows\System32\aFzCgkJ.exe
  2⤵
  PID:12116
- C:\Windows\System32\ToJXSzE.exe
  C:\Windows\System32\ToJXSzE.exe
  2⤵
  PID:12132
- C:\Windows\System32\UTHKyfI.exe
  C:\Windows\System32\UTHKyfI.exe
  2⤵
  PID:12156
- C:\Windows\System32\kLlBFXq.exe
  C:\Windows\System32\kLlBFXq.exe
  2⤵
  PID:12184
- C:\Windows\System32\GtDSsgG.exe
  C:\Windows\System32\GtDSsgG.exe
  2⤵
  PID:12244
- C:\Windows\System32\DkylWMX.exe
  C:\Windows\System32\DkylWMX.exe
  2⤵
  PID:12272
- C:\Windows\System32\xgzXdxZ.exe
  C:\Windows\System32\xgzXdxZ.exe
  2⤵
  PID:11300
- C:\Windows\System32\oYSJAzX.exe
  C:\Windows\System32\oYSJAzX.exe
  2⤵
  PID:11452
- C:\Windows\System32\VzgUCKh.exe
  C:\Windows\System32\VzgUCKh.exe
  2⤵
  PID:11524
- C:\Windows\System32\jkOoXsl.exe
  C:\Windows\System32\jkOoXsl.exe
  2⤵
  PID:11616
- C:\Windows\System32\FhhVCfL.exe
  C:\Windows\System32\FhhVCfL.exe
  2⤵
  PID:11720
- C:\Windows\System32\hbuDfjs.exe
  C:\Windows\System32\hbuDfjs.exe
  2⤵
  PID:11804
- C:\Windows\System32\MLKhiBu.exe
  C:\Windows\System32\MLKhiBu.exe
  2⤵
  PID:11840
- C:\Windows\System32\msnJOME.exe
  C:\Windows\System32\msnJOME.exe
  2⤵
  PID:11896
- C:\Windows\System32\WtWxhOU.exe
  C:\Windows\System32\WtWxhOU.exe
  2⤵
  PID:11980
- C:\Windows\System32\eAsvbqI.exe
  C:\Windows\System32\eAsvbqI.exe
  2⤵
  PID:12060
- C:\Windows\System32\UydODcr.exe
  C:\Windows\System32\UydODcr.exe
  2⤵
  PID:12128
- C:\Windows\System32\aTLGGqT.exe
  C:\Windows\System32\aTLGGqT.exe
  2⤵
  PID:12224
- C:\Windows\System32\hVviCJP.exe
  C:\Windows\System32\hVviCJP.exe
  2⤵
  PID:11284
- C:\Windows\System32\RagLKgm.exe
  C:\Windows\System32\RagLKgm.exe
  2⤵
  PID:11564
- C:\Windows\System32\AkbDbKc.exe
  C:\Windows\System32\AkbDbKc.exe
  2⤵
  PID:11732
- C:\Windows\System32\tzOqvrc.exe
  C:\Windows\System32\tzOqvrc.exe
  2⤵
  PID:11824
- C:\Windows\System32\lxIeKkV.exe
  C:\Windows\System32\lxIeKkV.exe
  2⤵
  PID:12016
- C:\Windows\System32\YxfNZLZ.exe
  C:\Windows\System32\YxfNZLZ.exe
  2⤵
  PID:12268
- C:\Windows\System32\BNrdxTU.exe
  C:\Windows\System32\BNrdxTU.exe
  2⤵
  PID:11664
- C:\Windows\System32\gPGjank.exe
  C:\Windows\System32\gPGjank.exe
  2⤵
  PID:12044
- C:\Windows\System32\dhRNDFs.exe
  C:\Windows\System32\dhRNDFs.exe
  2⤵
  PID:11868
- C:\Windows\System32\CnGuKuz.exe
  C:\Windows\System32\CnGuKuz.exe
  2⤵
  PID:11644
- C:\Windows\System32\BsnUDfP.exe
  C:\Windows\System32\BsnUDfP.exe
  2⤵
  PID:12316
- C:\Windows\System32\GrAPmIr.exe
  C:\Windows\System32\GrAPmIr.exe
  2⤵
  PID:12356
- C:\Windows\System32\DUFcPzn.exe
  C:\Windows\System32\DUFcPzn.exe
  2⤵
  PID:12372
- C:\Windows\System32\DGjhqcV.exe
  C:\Windows\System32\DGjhqcV.exe
  2⤵
  PID:12400
- C:\Windows\System32\JdoRakT.exe
  C:\Windows\System32\JdoRakT.exe
  2⤵
  PID:12428
- C:\Windows\System32\NVaNWSb.exe
  C:\Windows\System32\NVaNWSb.exe
  2⤵
  PID:12456
- C:\Windows\System32\fhXIXmr.exe
  C:\Windows\System32\fhXIXmr.exe
  2⤵
  PID:12484
- C:\Windows\System32\chsNrVW.exe
  C:\Windows\System32\chsNrVW.exe
  2⤵
  PID:12512
- C:\Windows\System32\UPfKNdg.exe
  C:\Windows\System32\UPfKNdg.exe
  2⤵
  PID:12540
- C:\Windows\System32\qpcocqc.exe
  C:\Windows\System32\qpcocqc.exe
  2⤵
  PID:12568
- C:\Windows\System32\gvCnhZm.exe
  C:\Windows\System32\gvCnhZm.exe
  2⤵
  PID:12596
- C:\Windows\System32\hIQhbVf.exe
  C:\Windows\System32\hIQhbVf.exe
  2⤵
  PID:12624
- C:\Windows\System32\rSlGtDg.exe
  C:\Windows\System32\rSlGtDg.exe
  2⤵
  PID:12652
- C:\Windows\System32\UhsGWii.exe
  C:\Windows\System32\UhsGWii.exe
  2⤵
  PID:12688
- C:\Windows\System32\vAkOwVY.exe
  C:\Windows\System32\vAkOwVY.exe
  2⤵
  PID:12708
- C:\Windows\System32\CSGizDW.exe
  C:\Windows\System32\CSGizDW.exe
  2⤵
  PID:12736
- C:\Windows\System32\mmPoVmb.exe
  C:\Windows\System32\mmPoVmb.exe
  2⤵
  PID:12764
- C:\Windows\System32\RhxISvo.exe
  C:\Windows\System32\RhxISvo.exe
  2⤵
  PID:12792
- C:\Windows\System32\ZDZwJKV.exe
  C:\Windows\System32\ZDZwJKV.exe
  2⤵
  PID:12828
- C:\Windows\System32\DTHHNgg.exe
  C:\Windows\System32\DTHHNgg.exe
  2⤵
  PID:12856
- C:\Windows\System32\IIViqdR.exe
  C:\Windows\System32\IIViqdR.exe
  2⤵
  PID:12876
- C:\Windows\System32\gTwcrXI.exe
  C:\Windows\System32\gTwcrXI.exe
  2⤵
  PID:12912
- C:\Windows\System32\ZaeYkIT.exe
  C:\Windows\System32\ZaeYkIT.exe
  2⤵
  PID:12928
- C:\Windows\System32\ZJOhkfv.exe
  C:\Windows\System32\ZJOhkfv.exe
  2⤵
  PID:12960
- C:\Windows\System32\YEVXrky.exe
  C:\Windows\System32\YEVXrky.exe
  2⤵
  PID:12976
- C:\Windows\System32\cYKtRxx.exe
  C:\Windows\System32\cYKtRxx.exe
  2⤵
  PID:13004
- C:\Windows\System32\sMfwCYg.exe
  C:\Windows\System32\sMfwCYg.exe
  2⤵
  PID:13040
- C:\Windows\System32\BBHQYMh.exe
  C:\Windows\System32\BBHQYMh.exe
  2⤵
  PID:13084
- C:\Windows\System32\cTNGJCE.exe
  C:\Windows\System32\cTNGJCE.exe
  2⤵
  PID:13112
- C:\Windows\System32\FIhNZhz.exe
  C:\Windows\System32\FIhNZhz.exe
  2⤵
  PID:13140
- C:\Windows\System32\CxlalXI.exe
  C:\Windows\System32\CxlalXI.exe
  2⤵
  PID:13168
- C:\Windows\System32\xkvUIky.exe
  C:\Windows\System32\xkvUIky.exe
  2⤵
  PID:13196
- C:\Windows\System32\TMouxdV.exe
  C:\Windows\System32\TMouxdV.exe
  2⤵
  PID:13224
- C:\Windows\System32\nosiEqA.exe
  C:\Windows\System32\nosiEqA.exe
  2⤵
  PID:13244
- C:\Windows\System32\jkAmYoa.exe
  C:\Windows\System32\jkAmYoa.exe
  2⤵
  PID:13268
- C:\Windows\System32\ALMtkcB.exe
  C:\Windows\System32\ALMtkcB.exe
  2⤵
  PID:11480
- C:\Windows\System32\dEmpJVN.exe
  C:\Windows\System32\dEmpJVN.exe
  2⤵
  PID:12340
- C:\Windows\System32\PjLursl.exe
  C:\Windows\System32\PjLursl.exe
  2⤵
  PID:12420
- C:\Windows\System32\tkBTLdR.exe
  C:\Windows\System32\tkBTLdR.exe
  2⤵
  PID:12480
- C:\Windows\System32\oeynuuS.exe
  C:\Windows\System32\oeynuuS.exe
  2⤵
  PID:12560
- C:\Windows\System32\oQdMSUh.exe
  C:\Windows\System32\oQdMSUh.exe
  2⤵
  PID:12616
- C:\Windows\System32\tOIehKD.exe
  C:\Windows\System32\tOIehKD.exe
  2⤵
  PID:12696
- C:\Windows\System32\gPBvCSf.exe
  C:\Windows\System32\gPBvCSf.exe
  2⤵
  PID:12748
- C:\Windows\System32\yUDovig.exe
  C:\Windows\System32\yUDovig.exe
  2⤵
  PID:12812
- C:\Windows\System32\tXUdkvv.exe
  C:\Windows\System32\tXUdkvv.exe
  2⤵
  PID:12900
- C:\Windows\System32\QllsAKv.exe
  C:\Windows\System32\QllsAKv.exe
  2⤵
  PID:12920
- C:\Windows\System32\xhWcjlh.exe
  C:\Windows\System32\xhWcjlh.exe
  2⤵
  PID:13024
- C:\Windows\System32\MbWVvfe.exe
  C:\Windows\System32\MbWVvfe.exe
  2⤵
  PID:13060
- C:\Windows\System32\TaKDbBC.exe
  C:\Windows\System32\TaKDbBC.exe
  2⤵
  PID:13152
- C:\Windows\System32\HhYCYoN.exe
  C:\Windows\System32\HhYCYoN.exe
  2⤵
  PID:13220
- C:\Windows\System32\vTwosec.exe
  C:\Windows\System32\vTwosec.exe
  2⤵
  PID:13280
- C:\Windows\System32\yqfuRWB.exe
  C:\Windows\System32\yqfuRWB.exe
  2⤵
  PID:12384
- C:\Windows\System32\THzRcVO.exe
  C:\Windows\System32\THzRcVO.exe
  2⤵
  PID:12536
- C:\Windows\System32\ZBnWCBP.exe
  C:\Windows\System32\ZBnWCBP.exe
  2⤵
  PID:12732
- C:\Windows\System32\GLdhcYo.exe
  C:\Windows\System32\GLdhcYo.exe
  2⤵
  PID:12884
- C:\Windows\System32\aDNcNOS.exe
  C:\Windows\System32\aDNcNOS.exe
  2⤵
  PID:2216
- C:\Windows\System32\sxOykCA.exe
  C:\Windows\System32\sxOykCA.exe
  2⤵
  PID:12988
- C:\Windows\System32\ohZBcLC.exe
  C:\Windows\System32\ohZBcLC.exe
  2⤵
  PID:13208
- C:\Windows\System32\GKofGWu.exe
  C:\Windows\System32\GKofGWu.exe
  2⤵
  PID:12468
- C:\Windows\System32\lKyvnaQ.exe
  C:\Windows\System32\lKyvnaQ.exe
  2⤵
  PID:11504
- C:\Windows\System32\YxMaSjF.exe
  C:\Windows\System32\YxMaSjF.exe
  2⤵
  PID:5064
- C:\Windows\System32\DaMvWKz.exe
  C:\Windows\System32\DaMvWKz.exe
  2⤵
  PID:13264
- C:\Windows\System32\uVTelJn.exe
  C:\Windows\System32\uVTelJn.exe
  2⤵
  PID:12676
- C:\Windows\System32\zJPkdXb.exe
  C:\Windows\System32\zJPkdXb.exe
  2⤵
  PID:13308
- C:\Windows\System32\pNUmgmn.exe
  C:\Windows\System32\pNUmgmn.exe
  2⤵
  PID:13180
- C:\Windows\System32\HjklWFo.exe
  C:\Windows\System32\HjklWFo.exe
  2⤵
  PID:13336
- C:\Windows\System32\HkhgSMu.exe
  C:\Windows\System32\HkhgSMu.exe
  2⤵
  PID:13368
- C:\Windows\System32\eexrjZB.exe
  C:\Windows\System32\eexrjZB.exe
  2⤵
  PID:13396
- C:\Windows\System32\WtTOhIn.exe
  C:\Windows\System32\WtTOhIn.exe
  2⤵
  PID:13424
- C:\Windows\System32\hhiJUhU.exe
  C:\Windows\System32\hhiJUhU.exe
  2⤵
  PID:13452
- C:\Windows\System32\uEqejkl.exe
  C:\Windows\System32\uEqejkl.exe
  2⤵
  PID:13480
- C:\Windows\System32\kATTuSl.exe
  C:\Windows\System32\kATTuSl.exe
  2⤵
  PID:13508
- C:\Windows\System32\DEBQXxg.exe
  C:\Windows\System32\DEBQXxg.exe
  2⤵
  PID:13536
- C:\Windows\System32\JBqnxel.exe
  C:\Windows\System32\JBqnxel.exe
  2⤵
  PID:13564
- C:\Windows\System32\hcBLNqW.exe
  C:\Windows\System32\hcBLNqW.exe
  2⤵
  PID:13592
- C:\Windows\System32\SDjpKNe.exe
  C:\Windows\System32\SDjpKNe.exe
  2⤵
  PID:13620
- C:\Windows\System32\ipOgPxZ.exe
  C:\Windows\System32\ipOgPxZ.exe
  2⤵
  PID:13648
- C:\Windows\System32\HIVVWUy.exe
  C:\Windows\System32\HIVVWUy.exe
  2⤵
  PID:13680
- C:\Windows\System32\wyxfjZO.exe
  C:\Windows\System32\wyxfjZO.exe
  2⤵
  PID:13708
- C:\Windows\System32\aVvLxSC.exe
  C:\Windows\System32\aVvLxSC.exe
  2⤵
  PID:13736
- C:\Windows\System32\RprTmzO.exe
  C:\Windows\System32\RprTmzO.exe
  2⤵
  PID:13764
- C:\Windows\System32\JGUZUMo.exe
  C:\Windows\System32\JGUZUMo.exe
  2⤵
  PID:13796
- C:\Windows\System32\edpYtTh.exe
  C:\Windows\System32\edpYtTh.exe
  2⤵
  PID:13824
- C:\Windows\System32\cDxLfPB.exe
  C:\Windows\System32\cDxLfPB.exe
  2⤵
  PID:13852
- C:\Windows\System32\EiKHVZR.exe
  C:\Windows\System32\EiKHVZR.exe
  2⤵
  PID:13880
- C:\Windows\System32\fBWVIwk.exe
  C:\Windows\System32\fBWVIwk.exe
  2⤵
  PID:13908
- C:\Windows\System32\cNVLqwu.exe
  C:\Windows\System32\cNVLqwu.exe
  2⤵
  PID:13940
- C:\Windows\System32\aixbEzH.exe
  C:\Windows\System32\aixbEzH.exe
  2⤵
  PID:13968
- C:\Windows\System32\RTMZToj.exe
  C:\Windows\System32\RTMZToj.exe
  2⤵
  PID:14008
- C:\Windows\System32\YMkKozD.exe
  C:\Windows\System32\YMkKozD.exe
  2⤵
  PID:14028
- C:\Windows\System32\PEfshWy.exe
  C:\Windows\System32\PEfshWy.exe
  2⤵
  PID:14056
- C:\Windows\System32\INLWSzO.exe
  C:\Windows\System32\INLWSzO.exe
  2⤵
  PID:14084
- C:\Windows\System32\ejIvyjz.exe
  C:\Windows\System32\ejIvyjz.exe
  2⤵
  PID:14112
- C:\Windows\System32\eVONYnk.exe
  C:\Windows\System32\eVONYnk.exe
  2⤵
  PID:14140
- C:\Windows\System32\difhhFk.exe
  C:\Windows\System32\difhhFk.exe
  2⤵
  PID:14168
- C:\Windows\System32\jhpFFoL.exe
  C:\Windows\System32\jhpFFoL.exe
  2⤵
  PID:14196
- C:\Windows\System32\PyfkcCF.exe
  C:\Windows\System32\PyfkcCF.exe
  2⤵
  PID:14224
- C:\Windows\System32\vQCIPcU.exe
  C:\Windows\System32\vQCIPcU.exe
  2⤵
  PID:14252
- C:\Windows\System32\lqdZoNS.exe
  C:\Windows\System32\lqdZoNS.exe
  2⤵
  PID:13520

C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
"C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --type=utility --utility-sub-type=asset_store.mojom.AssetStoreService --lang=en-US --service-sandbox-type=asset_store_service --no-appcompat-clear --field-trial-handle=4200,i,10373433614523925616,13586256558317053467,262144 --variations-seed-version --mojo-platform-channel-handle=4036 /prefetch:8
1⤵
PID:984

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:13996

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\AqqLdSz.exe

Filesize
2.8MB

MD5
bbfa364b428a2c60c0ec9c772e28e50f

SHA1
fc31dd1b269e802b1ce96ae40891efcc0a2e4d65

SHA256
0cac7e4fcc6debc8d270b493b80cc6d283951fca6a2813489d3429ef2774f8a9

SHA512
8ad04dec4c8f72a6b57a8e7f77d05d9f1fb56fcfbc4bfa81421f854eca9e9966536e5841fb492988b657827e15f0d947c47da276877f2f9178ad5a846494c448

Download Submit
C:\Windows\System32\EaKfAJa.exe

Filesize
2.8MB

MD5
e45e3fc2edfdaa0a71ecd2b9d4a1b6e5

SHA1
2bd5345311c1a6e14208bf0e3a77838446063616

SHA256
c7e301b1c092c4a30f4ff4f485efdf87a0c2014c515d15cd1c69e7fdd4628bd7

SHA512
77cc1bbeb881c4f651166b74ad222c52928814b234f191a6d88291996d06656d56a2da9cd6c374ad242c54652f0a6c86011bac646173bc91aba8a4d0d469abf4

Download Submit
C:\Windows\System32\GAHAwGh.exe

Filesize
2.8MB

MD5
7afe651e023c331db558b2ee7eba9ac2

SHA1
0c4ab1c4ffaa553d045f695e0b03e2242b8e800f

SHA256
b847b279becdb181770139b1e22a6aae01313c419a35f53e35c95ee27cfe4042

SHA512
eed6c4145989b987b10e3300b28fb9c9c6822f291ced8a6f091dd8e169f54e335a74471152982364860370d58e1c833837bd476a463076b43b8116896c6db1f8

Download Submit
C:\Windows\System32\IDyYReg.exe

Filesize
2.8MB

MD5
26e527e5b37e1754c73c8bfe13bb3f87

SHA1
95ba4adc5febab23a1b99a7cd34f20dbd4a4d36f

SHA256
764de653e72bec8b60e1c962bd335955e470c34bd4ed1c0a49090d2ae4f8f5bc

SHA512
0fe5d8ad47b803894922acb3313fc897332476c72544788eb982b57da2cbb71c0c0c08e1557161596cf6aac6fcb2596fbaae9e530abf98e6a558fefb14401230

Download Submit
C:\Windows\System32\IqsmbJY.exe

Filesize
2.8MB

MD5
ece529823403c971cf12c7e76f9f683b

SHA1
a09558e0b3f50f07d25695dbea32463480f10f64

SHA256
e45c337282f9356791d5a52b76a26403adb34d49f4f89736c9ef0310189835ee

SHA512
c29c3ccae27045b7b729249693dfe4432bda37e90523ce4aa5b35eded642e1e9101bcb2e35d8cc7c1a1560d38ef010855aeb4b6341e7a05404b71726d781f116

Download Submit
C:\Windows\System32\IuKuxfC.exe

Filesize
2.8MB

MD5
2e26a42ae6b0dddc9b471cf028dc1afc

SHA1
d82223644a368c88c706a8de63e9dac8f0320eb6

SHA256
ee1a18219628f3cc639f186f1af2270da7aebfaf576d3a009cc7f3316c563053

SHA512
5d50c82031872086fb74c5bb802aef8aae9b29939ada873198dc5ce7e58dd028bd5227da7ad5adc5825e4130c2c67539de0aeed70f3e3953cc36617ce67eef9c

Download Submit
C:\Windows\System32\KfUfxfC.exe

Filesize
2.8MB

MD5
4fce13479b28c0880652366e5210df32

SHA1
803767e6df1323132bb3123112c8464e04c46167

SHA256
29eca63e6402d46668d86a0036d4fbc01eed2fb274e63458979a132d9a4031b7

SHA512
e611189b067f2a2d188c07474930ec1730f810ea399fd3666a3e04ab8f09e600585e07e8916b62f5ab3ce402e2bdedf55bc915f2d2bcf8d62ad6f8f5f797c5a0

Download Submit
C:\Windows\System32\NBPODMC.exe

Filesize
2.8MB

MD5
0423e8e57215e16f219c309b5dd2449a

SHA1
30c40c031f9d1724f8ad54badd2a750b93b0e818

SHA256
4a325adf6c8ee2a1378ade1d55eeeacc78fae6eb6ae30c2206c8e635d96650fb

SHA512
e3c628ae2d617ea64f91989b015eb17a2bfd2f39e576bda5ebdb40bab47fa00e5dd8272761a62c5adc283939ea69af696788fcf41cd313e63276cfed34772598

Download Submit
C:\Windows\System32\PMAVElH.exe

Filesize
2.8MB

MD5
c0ffdf8deab2c80078298f52cd0a8fdb

SHA1
3204db0a309c5d87bf921d12038172d2a0431eaa

SHA256
a2d74380fbbc13b47c99fa2cd1c421d563ad29aed244e122d4907ccd06479d15

SHA512
c33746f6eebc767a3a7261a2147d80fe9b77bad9ef9bdd32d4d2bac673ee5d69a6c0428715696970877f73a7dd4fdcc2692be941ad3849cdf936dcd6c974d194

Download Submit
C:\Windows\System32\QfmPeGe.exe

Filesize
2.8MB

MD5
4d6f84521e13deec6d9c24d08b705251

SHA1
b7ea1334e96bec864d0ee49a8fbe34394c539e1a

SHA256
d48394ecd03add2daeb30107222541423208119a7be81932a1c7db9f2a0ab038

SHA512
8ca597ba41a68bd6678bba1395c9490b7cda161a2d945085dd11527c34543f0bfdfc881f4bd0ee132d4bf6ba98cf51419dde4f4766fea30da61155501efcf39f

Download Submit
C:\Windows\System32\QqOalqk.exe

Filesize
2.8MB

MD5
611f31b8d4da9d0b0a0483a5f5a1e42b

SHA1
4f809ba810a1e91df9a7ec5b64462f69506fdbd8

SHA256
bb918e2d70e13f49e92ac012d0b5cdfe19b12513ee022b8e21ef5617b8ab7249

SHA512
149efb438d5efcc6839cbc6de1715599dae9a3051a3caa0aaed4cf14ad26b7039c779d795aec2980f0c78dc9f8beb975a91bd8808291086c68227c2a69e816ed

Download Submit
C:\Windows\System32\SxOgRQY.exe

Filesize
2.8MB

MD5
1122b62917712ec2cdb397000615757c

SHA1
204e41a4d31a8194ca02bd43751f8f76f890d894

SHA256
8aba9dd1fa393cb9a0ae61489ac234c280e4cc5bdc56a8dd45d8e9567cf9c25d

SHA512
612e0ac4ad02163817f3602017ba3b741aa9c3a97eab3ffc68134d60b9af6db373a3f484ee546f72de2aec21e7d3f34255ce3acc708ebe125a66534511d3844a

Download Submit
C:\Windows\System32\TZmjXHn.exe

Filesize
2.8MB

MD5
431d7d5532cbe166d39489eea6231e77

SHA1
38cfc932c2ce3b830c10a113daec6297d6d04c31

SHA256
37078526c59f3e82860b004a43aca4ff15f0d123385d6412431a5040abb7a2b2

SHA512
ac78acbbea72e477617e0d1f9f75cb588ae58243be0ce332590a383cfa2151d1f2e9e96ef43ebcca097ebcbf8c47ce7fb5b7a7636aceba5f019b8a953060b01d

Download Submit
C:\Windows\System32\TorNyTw.exe

Filesize
2.8MB

MD5
be8a7fb850639d2beca1058dc00305a1

SHA1
e9bb000ea716de543b892b33ea61fdab98dbdf1c

SHA256
f1e8866d89aa77286464e392b37ce30ccae54b343f25bf74bedd62d5fdd3a1c8

SHA512
906856f645f3070b6aa071d941a8281428a396592d3d4b41e98a99f0115ef8b7b9268c435a3ab890a36468370127f555745386fcf16c10b6a18d725715f68464

Download Submit
C:\Windows\System32\XArwovx.exe

Filesize
2.8MB

MD5
fd02f1de9a4a6ed1b4a6bc6927539a9b

SHA1
cd4bcb269c096a0fdcf1f0b1c4ae02f0d41c5f8c

SHA256
7d8ba2f55857435a0e3a6adc5a6b9d426f1cbd4c099295a0516d70dad8498f13

SHA512
793c35d50c2aae4a193e103a61cf74c88728db7adbf8250bf5604d9bacc5d435e02aaddac492d2f747b250023d65b7bd2475ec9713e24dcb43b8c7e25e9460ec

Download Submit
C:\Windows\System32\XzQeuEB.exe

Filesize
2.8MB

MD5
441633f0a66c183685ce08cb16d32aca

SHA1
cbf7def5f00898a74dad3e9ff4bf32689774528e

SHA256
1f291633ceda9002121ac0ffa83be98ef7a7b1d2829fc186e95a9c6345261f51

SHA512
5d7ba0ecfb14acc1798f5ce783e95ae2943bda054a317a172a1aa6b0c7ab2905213124f955e1c8c1b2b3df78010b9b01883934247ca071539e72fff0c013d78a

Download Submit
C:\Windows\System32\aUGwRbE.exe

Filesize
2.8MB

MD5
51da6e3c39e70678518182446e0bcbd9

SHA1
0c9bea7c12d4fca417b515feb1403d269e0e5a8b

SHA256
ded761677429aafcf847b65eafddc4f394b589c6854956c2bae8b7b7229bad2a

SHA512
f9eb09a537b4060b5b180f847011bc3766d494bcc7af75821f1e89d449b1643ff70e6a378708e8c350dee358dc5e61665498c23ca6ee1087f5cb068a69d0a502

Download Submit
C:\Windows\System32\awAcYuq.exe

Filesize
2.8MB

MD5
52153de43f83afdb871aa3524b1034bf

SHA1
c21bf601ab009a89dcbb14450493979b192d92f8

SHA256
f168a6c9b29626e226c8ce33e9d462561945789e0f75d71642ab83b547322bb7

SHA512
110048aa45a1daa74a1297b93d94dea11e697124cdfe1134649943befcdb7b64de46dd08dbaa940d3e948166b996a6b7d782e561e310756429cefe1ea0e55adb

Download Submit
C:\Windows\System32\bYNMAXN.exe

Filesize
2.8MB

MD5
a79c8553cffea35cca7d564f63d57442

SHA1
e34d166c77e73cd8fe7562b2a4a1e2da6250c747

SHA256
9b7c6a83fbe1003bccc4de38212cc5f7d15413f38af489fe24876c7e7876a2ee

SHA512
34368028e146c8046c929325f919fae1a13bb31a97d3ff796bff3f1fec0ebbd122a00fec7b7a7eec017957365b2f3b6931c0d78ff2a2b014b88001cf544c3c96

Download Submit
C:\Windows\System32\cYxcQSf.exe

Filesize
2.8MB

MD5
94ac185a888f78ede2b41d5d86f1d486

SHA1
18b41806ccde4fbc01c85496a24dfe33145ea4f9

SHA256
16ae6949c52cefc23ad56cb4c17e20b572f9f37f641f4e8a55aed540021cc038

SHA512
995782a0b66423496b8547a603f05834fe084c201c89eb12f077cbb2b4dbbae6166dc9bc5da303008b126f72e2b5ba3149a37dbfa7045d056de9dde035e34a94

Download Submit
C:\Windows\System32\iEcOJkR.exe

Filesize
2.8MB

MD5
de4aba160b64fddfea0ca0a14f0bd721

SHA1
ea7f687c13d67c31f43e5766f6b0c8561b9b8d3d

SHA256
c70dd2d70e416ab5411bf353cd981e064d7b1dfa9fc9992ee77919d7be76166c

SHA512
4dea6cdfe796704c71699fd6fd39d3e8aa0d64258cbb7a33c6504192efa6b6904300507a3795431f90e4cba369f3c248b2c883362f8d2e88c66241c14ba22fc2

Download Submit
C:\Windows\System32\iXnubKM.exe

Filesize
2.8MB

MD5
6e5cc85e55fc747793b65e2de42d8819

SHA1
735961724e84e3390c3c843ef65efaa0216d9a19

SHA256
91894ddb6552cf7e794a5a88b989fb7a4f69cab9a6988940e95ec1eb42de8c62

SHA512
1b91ad8f56262a256cce77d671f2388d5acab69c4d87e97270df8af6abfd63dd9a2e8bfc7a39ee0cb2063aa1ed66904e0ef8fa54f04a14fc8a5f0d41e868e6c7

Download Submit
C:\Windows\System32\jTDNHQa.exe

Filesize
2.8MB

MD5
f09ca4a618d1b6c1bd0838c61c440383

SHA1
adbe44fa0a31b74857cb4f86b452a3381d8ac95b

SHA256
55c190d44dab78e93910781d2ec9214f95c1867b9f52cc065f7c09eedea9f189

SHA512
5fb1e4ece5af55507ebd49e31ec56bd3902eb41ec11a4ab20fe818ca7bbf05d902aff45fd240c9a1fde96b4e087883d50df13ad75d2495ac4c0697d6d758c590

Download Submit
C:\Windows\System32\lLpHCcS.exe

Filesize
2.8MB

MD5
8147385579fd9693d9418925d83ba2cd

SHA1
eb34d2fce04d1b473ea1e91ee7dc168078e0107d

SHA256
3eba32e9505386128b61ab79b28f8d0119577ffdfa8871f9bbed39ef8a9e7720

SHA512
ef042aae52a8b9225397afe0a9299892e077eda7cc1ceb2c57ab16fa73ddb5ab274ba5bb8cbb5f02506a555c4ef6adb9f0642a9fa36694d178ff91af86e42615

Download Submit
C:\Windows\System32\mnOuhsj.exe

Filesize
2.8MB

MD5
f3a90d9ff85ad5e86cedfdff16d2492b

SHA1
28ad54f70f301b79249d510c1c4f38973311c205

SHA256
fbdd2395dc836394b31b7f6cb9a1d0cd630cc19a271c44bbf3ad05da91be432d

SHA512
326b3b66ca1691717bcd6b099916d16aa488735ac9076739b2109e94af956dbcbcd2eb1e462f7349033052bf9d4aca25f93f9c6f6eb7f4b9f649dbabfd26f7be

Download Submit
C:\Windows\System32\sIhOhYU.exe

Filesize
2.8MB

MD5
fb86552f4b8c396810ad9d7fd9a13148

SHA1
b4714e7cc81a742f3dc92d89f9d5dafc895bbaa1

SHA256
7edd9ca0a2c02c66f3ffcd6dc0526bc8b81a1e4605b21d8d9fa363717d095bbb

SHA512
2028ee0a32cfa35551839603e808cca108f8471e37eb3f9d9a3bb05629f0e47933115e3bcd6c1f125737a4f1c12a74a9f7478bf17453d27c5f8ca5b9b26c8f85

Download Submit
C:\Windows\System32\sTIikTe.exe

Filesize
2.8MB

MD5
cff8450eff7423d01bb48e52d3c0afb3

SHA1
83632e0aea5e0b1169891c8ae773f163bbb908f9

SHA256
f851f6373fdfa152222bcf83eb0f483d6c3f74318ef19dc55704af7967d002e8

SHA512
cbc79627be7b4bf4259c32bcd00ecdfedfbb2a71299228fa4401cb84b968a3cb6dd6ccffbc2b02ee287d9b83cf9dba58ba8d2128de8a5e2b7bedf03b672ad8a3

Download Submit
C:\Windows\System32\tyJoaUJ.exe

Filesize
2.8MB

MD5
cfbbb118c604a74ae72d52ed0236905d

SHA1
f921bf7b2b733f33744fd0d5c5214d1fcac2d3ad

SHA256
d0f0cabdda4b0cebfb3143fc95fc0ae3eac162c1267e7f3adfcf5ab11e559ceb

SHA512
b72b0970033e13d06f929f68a6f9feb5bbc9b96fb6904782664a58648e0496ef59ff341d5792a8266c94524445025cf86ddc852cb6b9ea5515df445ed01452ee

Download Submit
C:\Windows\System32\wUpftYd.exe

Filesize
2.8MB

MD5
36cf434eab9253145907afb21a435418

SHA1
80df1eeaea0e4e14230cf156fc686050d050b1cc

SHA256
487132915d2507d14241cdcc64c6d3e033a0867e56f7639b8f44b55589957f5a

SHA512
48849d0ece9e92ccbc00b96540112b637d0b27e364f198f4cd872cb72f87d8ae40882bcf177d3de3acf78f29697c4ec3fb90ad721f5529031913f52492ccc561

Download Submit
C:\Windows\System32\woKowWe.exe

Filesize
2.8MB

MD5
14afbab134a51aa0f0c0fdbad19500b8

SHA1
e9230cf4489ccbe1a5203c660c700805479d919e

SHA256
879c880e0690238732a87976a43ff17b72064df2f997190c8aed5820bd77a789

SHA512
931b5fa305a29202b1ce77ab7be3137d0ac50e28fd77e3265c74274e3143ee7aa4efcdea66549a9636e12d67bd6dbf0e9f395f4a8bcb4822546ed069e515b849

Download Submit
C:\Windows\System32\wvTjUQh.exe

Filesize
2.8MB

MD5
b9c24c01e61968486cb029326a38977f

SHA1
32200a6dec8a9327ab5cd58e24e7f950a22c1617

SHA256
481396cfcf065a8303e65cb51261d12246652afafddde0af7a01779697559e93

SHA512
3f383db4eb2c871530b60169d68ee0c9d0304046bf1eda37473db8255fbb9891f278533b2482f131709975d89996f526e2d8cd4822d771e2ef573dcbf8669cb0

Download Submit
C:\Windows\System32\zNQCqKW.exe

Filesize
2.8MB

MD5
bd49ddbe97ac3ca1f5435ff7af6c2d0f

SHA1
a20b822a9ef369ba815d5678a1deecb3bcc7ffb5

SHA256
5381c8dcaa351439b582c6f14957a1547c519767ff7c2ab92343861d3291ca5c

SHA512
4b47dd1b676dcebb27b6b65c567203a54f3dcb8b68adc28d9d4fe8334a4b10c57502c9e0d0f5d596544a7dc9bc3eef81a67447e6ef6a12c6639958611ac91873

Download Submit
memory/324-430-0x00007FF7FE260000-0x00007FF7FE655000-memory.dmp

Filesize
4.0MB

Download
memory/324-1921-0x00007FF7FE260000-0x00007FF7FE655000-memory.dmp

Filesize
4.0MB

Download
memory/676-1-0x000001EF10860000-0x000001EF10870000-memory.dmp

Filesize
64KB

Download
memory/676-0-0x00007FF6D2E10000-0x00007FF6D3205000-memory.dmp

Filesize
4.0MB

Download
memory/676-398-0x00007FF6D2E10000-0x00007FF6D3205000-memory.dmp

Filesize
4.0MB

Download
memory/696-33-0x00007FF72EA70000-0x00007FF72EE65000-memory.dmp

Filesize
4.0MB

Download
memory/696-1904-0x00007FF72EA70000-0x00007FF72EE65000-memory.dmp

Filesize
4.0MB

Download
memory/768-435-0x00007FF64BF40000-0x00007FF64C335000-memory.dmp

Filesize
4.0MB

Download
memory/768-1923-0x00007FF64BF40000-0x00007FF64C335000-memory.dmp

Filesize
4.0MB

Download
memory/1192-41-0x00007FF68B370000-0x00007FF68B765000-memory.dmp

Filesize
4.0MB

Download
memory/1192-1312-0x00007FF68B370000-0x00007FF68B765000-memory.dmp

Filesize
4.0MB

Download
memory/1192-1907-0x00007FF68B370000-0x00007FF68B765000-memory.dmp

Filesize
4.0MB

Download
memory/1352-1909-0x00007FF7CD2E0000-0x00007FF7CD6D5000-memory.dmp

Filesize
4.0MB

Download
memory/1352-45-0x00007FF7CD2E0000-0x00007FF7CD6D5000-memory.dmp

Filesize
4.0MB

Download
memory/1352-1051-0x00007FF7CD2E0000-0x00007FF7CD6D5000-memory.dmp

Filesize
4.0MB

Download
memory/1836-1916-0x00007FF7029C0000-0x00007FF702DB5000-memory.dmp

Filesize
4.0MB

Download
memory/1836-92-0x00007FF7029C0000-0x00007FF702DB5000-memory.dmp

Filesize
4.0MB

Download
memory/1944-1913-0x00007FF780EE0000-0x00007FF7812D5000-memory.dmp

Filesize
4.0MB

Download
memory/1944-90-0x00007FF780EE0000-0x00007FF7812D5000-memory.dmp

Filesize
4.0MB

Download
memory/1972-69-0x00007FF7F1380000-0x00007FF7F1775000-memory.dmp

Filesize
4.0MB

Download
memory/1972-1911-0x00007FF7F1380000-0x00007FF7F1775000-memory.dmp

Filesize
4.0MB

Download
memory/2028-1910-0x00007FF6E3F20000-0x00007FF6E4315000-memory.dmp

Filesize
4.0MB

Download
memory/2028-56-0x00007FF6E3F20000-0x00007FF6E4315000-memory.dmp

Filesize
4.0MB

Download
memory/2212-74-0x00007FF791E10000-0x00007FF792205000-memory.dmp

Filesize
4.0MB

Download
memory/2212-1912-0x00007FF791E10000-0x00007FF792205000-memory.dmp

Filesize
4.0MB

Download
memory/2468-39-0x00007FF64DE70000-0x00007FF64E265000-memory.dmp

Filesize
4.0MB

Download
memory/2468-1906-0x00007FF64DE70000-0x00007FF64E265000-memory.dmp

Filesize
4.0MB

Download
memory/2588-408-0x00007FF723740000-0x00007FF723B35000-memory.dmp

Filesize
4.0MB

Download
memory/2588-1917-0x00007FF723740000-0x00007FF723B35000-memory.dmp

Filesize
4.0MB

Download
memory/2612-426-0x00007FF6D5930000-0x00007FF6D5D25000-memory.dmp

Filesize
4.0MB

Download
memory/2612-1922-0x00007FF6D5930000-0x00007FF6D5D25000-memory.dmp

Filesize
4.0MB

Download
memory/2784-1915-0x00007FF6B49F0000-0x00007FF6B4DE5000-memory.dmp

Filesize
4.0MB

Download
memory/2784-91-0x00007FF6B49F0000-0x00007FF6B4DE5000-memory.dmp

Filesize
4.0MB

Download
memory/2808-414-0x00007FF697A80000-0x00007FF697E75000-memory.dmp

Filesize
4.0MB

Download
memory/2808-1918-0x00007FF697A80000-0x00007FF697E75000-memory.dmp

Filesize
4.0MB

Download
memory/3236-1914-0x00007FF7662B0000-0x00007FF7666A5000-memory.dmp

Filesize
4.0MB

Download
memory/3236-1901-0x00007FF7662B0000-0x00007FF7666A5000-memory.dmp

Filesize
4.0MB

Download
memory/3236-78-0x00007FF7662B0000-0x00007FF7666A5000-memory.dmp

Filesize
4.0MB

Download
memory/3504-46-0x00007FF7ECD90000-0x00007FF7ED185000-memory.dmp

Filesize
4.0MB

Download
memory/3504-1908-0x00007FF7ECD90000-0x00007FF7ED185000-memory.dmp

Filesize
4.0MB

Download
memory/3504-1583-0x00007FF7ECD90000-0x00007FF7ED185000-memory.dmp

Filesize
4.0MB

Download
memory/4020-1925-0x00007FF673440000-0x00007FF673835000-memory.dmp

Filesize
4.0MB

Download
memory/4020-448-0x00007FF673440000-0x00007FF673835000-memory.dmp

Filesize
4.0MB

Download
memory/4480-29-0x00007FF684930000-0x00007FF684D25000-memory.dmp

Filesize
4.0MB

Download
memory/4480-1903-0x00007FF684930000-0x00007FF684D25000-memory.dmp

Filesize
4.0MB

Download
memory/4692-419-0x00007FF72ACF0000-0x00007FF72B0E5000-memory.dmp

Filesize
4.0MB

Download
memory/4692-1919-0x00007FF72ACF0000-0x00007FF72B0E5000-memory.dmp

Filesize
4.0MB

Download
memory/4712-37-0x00007FF72FFA0000-0x00007FF730395000-memory.dmp

Filesize
4.0MB

Download
memory/4712-1905-0x00007FF72FFA0000-0x00007FF730395000-memory.dmp

Filesize
4.0MB

Download
memory/4888-452-0x00007FF6F4250000-0x00007FF6F4645000-memory.dmp

Filesize
4.0MB

Download
memory/4888-1924-0x00007FF6F4250000-0x00007FF6F4645000-memory.dmp

Filesize
4.0MB

Download
memory/4912-443-0x00007FF62A020000-0x00007FF62A415000-memory.dmp

Filesize
4.0MB

Download
memory/4912-1920-0x00007FF62A020000-0x00007FF62A415000-memory.dmp

Filesize
4.0MB

Download
memory/5092-1902-0x00007FF7F8FD0000-0x00007FF7F93C5000-memory.dmp

Filesize
4.0MB

Download
memory/5092-12-0x00007FF7F8FD0000-0x00007FF7F93C5000-memory.dmp

Filesize
4.0MB

Download
memory/5092-401-0x00007FF7F8FD0000-0x00007FF7F93C5000-memory.dmp

Filesize
4.0MB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads