xmrig | 1b2d94ee1e3005f848f05ca9764be5d5100aa888d30f7213b57e16b437bf65aa

Analysis

max time kernel
149s
max time network
151s
platform
windows10-2004_x64
resource
win10v2004-20240426-en
resource tags

arch:x64arch:x86image:win10v2004-20240426-enlocale:en-usos:windows10-2004-x64system
submitted
03-06-2024 20:52

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
Size

3.2MB
MD5

0112b9963ff9d387d6c0eab54a84ea30
SHA1

152bbb1ca15fad45c0e8c27da472a9ad5459bd4f
SHA256

1b2d94ee1e3005f848f05ca9764be5d5100aa888d30f7213b57e16b437bf65aa
SHA512

7c3b6332914acfe9cc81efb55427da11aaf6bd2e0e1e5e2799b9c8b15be144a70bb8ef5f54faadaa14abab46a9ea2d0fafd61abc62a2c1f62f0f4405a5cd1c76
SSDEEP

98304:N0GnJMOWPClFdx6e0EALKWVTffZiPAcRq6jHjc40F:NFWPClFkF

Score

10^/10

xmrig miner upx

Malware Config

Signatures

xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 64 IoCs

miner

resource	yara_rule
behavioral2/memory/8-0-0x00007FF7A4540000-0x00007FF7A4935000-memory.dmp	xmrig
behavioral2/files/0x0009000000023306-5.dat	xmrig
behavioral2/memory/3460-9-0x00007FF7A2960000-0x00007FF7A2D55000-memory.dmp	xmrig
behavioral2/files/0x0008000000023482-11.dat	xmrig
behavioral2/files/0x0007000000023487-16.dat	xmrig
behavioral2/memory/1284-15-0x00007FF630080000-0x00007FF630475000-memory.dmp	xmrig
behavioral2/memory/1680-20-0x00007FF6AB2D0000-0x00007FF6AB6C5000-memory.dmp	xmrig
behavioral2/memory/5092-28-0x00007FF7668D0000-0x00007FF766CC5000-memory.dmp	xmrig
behavioral2/files/0x0007000000023489-34.dat	xmrig
behavioral2/files/0x0008000000023483-32.dat	xmrig
behavioral2/memory/3364-35-0x00007FF72B450000-0x00007FF72B845000-memory.dmp	xmrig
behavioral2/files/0x000700000002348a-41.dat	xmrig
behavioral2/files/0x000700000002348b-45.dat	xmrig
behavioral2/memory/3596-52-0x00007FF7D7010000-0x00007FF7D7405000-memory.dmp	xmrig
behavioral2/files/0x000700000002348d-57.dat	xmrig
behavioral2/files/0x000700000002348c-56.dat	xmrig
behavioral2/memory/1220-54-0x00007FF762910000-0x00007FF762D05000-memory.dmp	xmrig
behavioral2/files/0x000700000002348f-70.dat	xmrig
behavioral2/files/0x0007000000023493-88.dat	xmrig
behavioral2/files/0x0007000000023495-98.dat	xmrig
behavioral2/files/0x0007000000023497-110.dat	xmrig
behavioral2/files/0x0007000000023499-120.dat	xmrig
behavioral2/files/0x000700000002349e-145.dat	xmrig
behavioral2/memory/2912-742-0x00007FF683C20000-0x00007FF684015000-memory.dmp	xmrig
behavioral2/memory/448-748-0x00007FF6BABC0000-0x00007FF6BAFB5000-memory.dmp	xmrig
behavioral2/memory/5084-796-0x00007FF666B10000-0x00007FF666F05000-memory.dmp	xmrig
behavioral2/memory/3276-803-0x00007FF69EC50000-0x00007FF69F045000-memory.dmp	xmrig
behavioral2/memory/4892-806-0x00007FF60AD70000-0x00007FF60B165000-memory.dmp	xmrig
behavioral2/memory/4636-817-0x00007FF714A10000-0x00007FF714E05000-memory.dmp	xmrig
behavioral2/memory/2340-816-0x00007FF7C8660000-0x00007FF7C8A55000-memory.dmp	xmrig
behavioral2/memory/4880-785-0x00007FF7AE500000-0x00007FF7AE8F5000-memory.dmp	xmrig
behavioral2/memory/4408-782-0x00007FF76EDA0000-0x00007FF76F195000-memory.dmp	xmrig
behavioral2/memory/3648-776-0x00007FF7AAE10000-0x00007FF7AB205000-memory.dmp	xmrig
behavioral2/memory/3184-769-0x00007FF6A3D40000-0x00007FF6A4135000-memory.dmp	xmrig
behavioral2/memory/3848-766-0x00007FF6CDAC0000-0x00007FF6CDEB5000-memory.dmp	xmrig
behavioral2/memory/1244-760-0x00007FF685600000-0x00007FF6859F5000-memory.dmp	xmrig
behavioral2/memory/2108-757-0x00007FF779E10000-0x00007FF77A205000-memory.dmp	xmrig
behavioral2/memory/2488-751-0x00007FF6AD6B0000-0x00007FF6ADAA5000-memory.dmp	xmrig
behavioral2/memory/8-1373-0x00007FF7A4540000-0x00007FF7A4935000-memory.dmp	xmrig
behavioral2/memory/3460-1374-0x00007FF7A2960000-0x00007FF7A2D55000-memory.dmp	xmrig
behavioral2/files/0x00070000000234a3-170.dat	xmrig
behavioral2/files/0x00070000000234a2-165.dat	xmrig
behavioral2/files/0x00070000000234a1-160.dat	xmrig
behavioral2/files/0x00070000000234a0-155.dat	xmrig
behavioral2/files/0x000700000002349f-150.dat	xmrig
behavioral2/files/0x000700000002349d-140.dat	xmrig
behavioral2/files/0x000700000002349c-135.dat	xmrig
behavioral2/files/0x000700000002349b-130.dat	xmrig
behavioral2/files/0x000700000002349a-125.dat	xmrig
behavioral2/files/0x0007000000023498-115.dat	xmrig
behavioral2/files/0x0007000000023496-105.dat	xmrig
behavioral2/files/0x0007000000023494-95.dat	xmrig
behavioral2/files/0x0007000000023492-85.dat	xmrig
behavioral2/files/0x0007000000023491-80.dat	xmrig
behavioral2/files/0x0007000000023490-75.dat	xmrig
behavioral2/files/0x000700000002348e-65.dat	xmrig
behavioral2/memory/1960-51-0x00007FF6C2190000-0x00007FF6C2585000-memory.dmp	xmrig
behavioral2/memory/1052-38-0x00007FF6D9380000-0x00007FF6D9775000-memory.dmp	xmrig
behavioral2/files/0x0007000000023488-24.dat	xmrig
behavioral2/memory/3596-1897-0x00007FF7D7010000-0x00007FF7D7405000-memory.dmp	xmrig
behavioral2/memory/1220-1898-0x00007FF762910000-0x00007FF762D05000-memory.dmp	xmrig
behavioral2/memory/8-1899-0x00007FF7A4540000-0x00007FF7A4935000-memory.dmp	xmrig
behavioral2/memory/3460-1900-0x00007FF7A2960000-0x00007FF7A2D55000-memory.dmp	xmrig
behavioral2/memory/1284-1901-0x00007FF630080000-0x00007FF630475000-memory.dmp	xmrig

Executes dropped EXE 64 IoCs

pid	Process
3460	FRTSKqs.exe
1284	ORJINFX.exe
1680	vneLQcU.exe
5092	pRToNbp.exe
3364	Rcxtigd.exe
1052	BMHCAqI.exe
1960	whvNJjA.exe
3596	gXWFqca.exe
1220	GuTJNbF.exe
2912	KpsGEOu.exe
448	XliGLMz.exe
2488	zQHhKgO.exe
2108	GOmQzPk.exe
1244	cPAFXGI.exe
3848	igHBDtj.exe
3184	TuBWkTG.exe
3648	afMjNPy.exe
4408	eqLASts.exe
4880	yCVyfIz.exe
5084	AYUmVsg.exe
3276	tIpabKC.exe
4892	HMXXLhi.exe
2340	fwrSMie.exe
4636	XcHYtzr.exe
4344	KhpxGwn.exe
1828	ZaVpFDV.exe
5096	DCSkJCx.exe
984	wSRRHNb.exe
1420	LotCABx.exe
1204	rbOhEfX.exe
4972	mkXWHgR.exe
4348	xawMHwv.exe
1104	aNRIhwI.exe
2344	DSFeEcd.exe
4600	FjvzrlV.exe
5044	FbnQDgd.exe
4020	SnJiNbM.exe
4784	vwOFvDq.exe
4836	nPCYSjr.exe
3960	QctkEYw.exe
928	VlVgKeH.exe
4116	qmxoEmt.exe
2800	LZQsNvd.exe
4556	ANowJOI.exe
2032	fukDIPo.exe
2196	jHeGPJf.exe
4996	YPfilIa.exe
2272	IgPdDqb.exe
2864	ezCCKNq.exe
1648	DFKxxno.exe
4392	RlaeIKn.exe
5040	HfhXPBM.exe
1232	FyczyuP.exe
4432	SDKfddX.exe
1064	sgSjRzp.exe
2176	BPpOzDk.exe
3972	ZEENwfy.exe
2836	SSVmQWl.exe
2748	UauFDgs.exe
3776	NnIoTuf.exe
1616	jytHKlv.exe
3404	pMwJQYR.exe
4456	KLbHoFD.exe
512	OUJPZHW.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/8-0-0x00007FF7A4540000-0x00007FF7A4935000-memory.dmp	upx
behavioral2/files/0x0009000000023306-5.dat	upx
behavioral2/memory/3460-9-0x00007FF7A2960000-0x00007FF7A2D55000-memory.dmp	upx
behavioral2/files/0x0008000000023482-11.dat	upx
behavioral2/files/0x0007000000023487-16.dat	upx
behavioral2/memory/1284-15-0x00007FF630080000-0x00007FF630475000-memory.dmp	upx
behavioral2/memory/1680-20-0x00007FF6AB2D0000-0x00007FF6AB6C5000-memory.dmp	upx
behavioral2/memory/5092-28-0x00007FF7668D0000-0x00007FF766CC5000-memory.dmp	upx
behavioral2/files/0x0007000000023489-34.dat	upx
behavioral2/files/0x0008000000023483-32.dat	upx
behavioral2/memory/3364-35-0x00007FF72B450000-0x00007FF72B845000-memory.dmp	upx
behavioral2/files/0x000700000002348a-41.dat	upx
behavioral2/files/0x000700000002348b-45.dat	upx
behavioral2/memory/3596-52-0x00007FF7D7010000-0x00007FF7D7405000-memory.dmp	upx
behavioral2/files/0x000700000002348d-57.dat	upx
behavioral2/files/0x000700000002348c-56.dat	upx
behavioral2/memory/1220-54-0x00007FF762910000-0x00007FF762D05000-memory.dmp	upx
behavioral2/files/0x000700000002348f-70.dat	upx
behavioral2/files/0x0007000000023493-88.dat	upx
behavioral2/files/0x0007000000023495-98.dat	upx
behavioral2/files/0x0007000000023497-110.dat	upx
behavioral2/files/0x0007000000023499-120.dat	upx
behavioral2/files/0x000700000002349e-145.dat	upx
behavioral2/memory/2912-742-0x00007FF683C20000-0x00007FF684015000-memory.dmp	upx
behavioral2/memory/448-748-0x00007FF6BABC0000-0x00007FF6BAFB5000-memory.dmp	upx
behavioral2/memory/5084-796-0x00007FF666B10000-0x00007FF666F05000-memory.dmp	upx
behavioral2/memory/3276-803-0x00007FF69EC50000-0x00007FF69F045000-memory.dmp	upx
behavioral2/memory/4892-806-0x00007FF60AD70000-0x00007FF60B165000-memory.dmp	upx
behavioral2/memory/4636-817-0x00007FF714A10000-0x00007FF714E05000-memory.dmp	upx
behavioral2/memory/2340-816-0x00007FF7C8660000-0x00007FF7C8A55000-memory.dmp	upx
behavioral2/memory/4880-785-0x00007FF7AE500000-0x00007FF7AE8F5000-memory.dmp	upx
behavioral2/memory/4408-782-0x00007FF76EDA0000-0x00007FF76F195000-memory.dmp	upx
behavioral2/memory/3648-776-0x00007FF7AAE10000-0x00007FF7AB205000-memory.dmp	upx
behavioral2/memory/3184-769-0x00007FF6A3D40000-0x00007FF6A4135000-memory.dmp	upx
behavioral2/memory/3848-766-0x00007FF6CDAC0000-0x00007FF6CDEB5000-memory.dmp	upx
behavioral2/memory/1244-760-0x00007FF685600000-0x00007FF6859F5000-memory.dmp	upx
behavioral2/memory/2108-757-0x00007FF779E10000-0x00007FF77A205000-memory.dmp	upx
behavioral2/memory/2488-751-0x00007FF6AD6B0000-0x00007FF6ADAA5000-memory.dmp	upx
behavioral2/memory/8-1373-0x00007FF7A4540000-0x00007FF7A4935000-memory.dmp	upx
behavioral2/memory/3460-1374-0x00007FF7A2960000-0x00007FF7A2D55000-memory.dmp	upx
behavioral2/files/0x00070000000234a3-170.dat	upx
behavioral2/files/0x00070000000234a2-165.dat	upx
behavioral2/files/0x00070000000234a1-160.dat	upx
behavioral2/files/0x00070000000234a0-155.dat	upx
behavioral2/files/0x000700000002349f-150.dat	upx
behavioral2/files/0x000700000002349d-140.dat	upx
behavioral2/files/0x000700000002349c-135.dat	upx
behavioral2/files/0x000700000002349b-130.dat	upx
behavioral2/files/0x000700000002349a-125.dat	upx
behavioral2/files/0x0007000000023498-115.dat	upx
behavioral2/files/0x0007000000023496-105.dat	upx
behavioral2/files/0x0007000000023494-95.dat	upx
behavioral2/files/0x0007000000023492-85.dat	upx
behavioral2/files/0x0007000000023491-80.dat	upx
behavioral2/files/0x0007000000023490-75.dat	upx
behavioral2/files/0x000700000002348e-65.dat	upx
behavioral2/memory/1960-51-0x00007FF6C2190000-0x00007FF6C2585000-memory.dmp	upx
behavioral2/memory/1052-38-0x00007FF6D9380000-0x00007FF6D9775000-memory.dmp	upx
behavioral2/files/0x0007000000023488-24.dat	upx
behavioral2/memory/3596-1897-0x00007FF7D7010000-0x00007FF7D7405000-memory.dmp	upx
behavioral2/memory/1220-1898-0x00007FF762910000-0x00007FF762D05000-memory.dmp	upx
behavioral2/memory/8-1899-0x00007FF7A4540000-0x00007FF7A4935000-memory.dmp	upx
behavioral2/memory/3460-1900-0x00007FF7A2960000-0x00007FF7A2D55000-memory.dmp	upx
behavioral2/memory/1284-1901-0x00007FF630080000-0x00007FF630475000-memory.dmp	upx

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\System32\QctkEYw.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\eoBnKZR.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\apTLFhM.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\KhpxGwn.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\kduxYAV.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\sggtZaf.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\SJBlTHs.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\LiMlSpV.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\yCVyfIz.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\ZaVpFDV.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\WFfOcKi.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\FdokwVY.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\qpNqTDa.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\ojZZSlE.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\JuhRgLc.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\stlRdqj.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\tEcggQS.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\qkZVUml.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\YhWQtFD.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\xSVKbHU.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\EdWhKcR.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\KsJIOuC.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\SDKfddX.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\eJHKFiL.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\GeiOkfa.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\lTJKcVt.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\OgYVrUV.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\WmxxJmG.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\ukqWgLk.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\QjvsVWO.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\YSgFPvC.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\eRQOuWz.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\GfBlbtJ.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\EkSmsgj.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\gHdEENL.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\XRwqAMs.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\xPgbbxd.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\XBQrIgK.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\FkYPUMl.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\pRToNbp.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\WtPuxFI.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\NiPCeCA.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\FfcOJdr.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\TCFgheo.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\htuPuXK.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\UswOkCj.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\QVfOgkh.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\Lvtupht.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\sLkymEr.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\brWcYjW.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\tjsFFFZ.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\wBwNSlx.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\efVSfAM.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\GLPDaMV.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\GPHXAam.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\Zfynesz.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\rBebjWn.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\BXvxolK.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\ZEENwfy.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\EFfGQQB.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\laeNAHK.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\fkylEeE.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\OCBmMRv.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
File created	C:\Windows\System32\psKGSNi.exe	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe

Checks SCSI registry key(s) 3 TTPs 6 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\HardwareID	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_QEMU&PROD_QEMU_DVD-ROM\4&215468A5&0&010000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_DADY&PROD_HARDDISK\4&215468A5&0&000000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\ConfigFlags	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe

Enumerates system info in registry 2 TTPs 2 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe

Modifies data under HKEY_USERS 18 IoCs

description	ioc	Process
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2a\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe

Suspicious use of AdjustPrivilegeToken 6 IoCs

description	pid	Process
Token: SeCreateGlobalPrivilege	8596	dwm.exe
Token: SeChangeNotifyPrivilege	8596	dwm.exe
Token: 33	8596	dwm.exe
Token: SeIncBasePriorityPrivilege	8596	dwm.exe
Token: SeShutdownPrivilege	8596	dwm.exe
Token: SeCreatePagefilePrivilege	8596	dwm.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 8 wrote to memory of 3460	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	83
PID 8 wrote to memory of 3460	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	83
PID 8 wrote to memory of 1284	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	84
PID 8 wrote to memory of 1284	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	84
PID 8 wrote to memory of 1680	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	85
PID 8 wrote to memory of 1680	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	85
PID 8 wrote to memory of 5092	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	86
PID 8 wrote to memory of 5092	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	86
PID 8 wrote to memory of 3364	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	87
PID 8 wrote to memory of 3364	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	87
PID 8 wrote to memory of 1052	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	88
PID 8 wrote to memory of 1052	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	88
PID 8 wrote to memory of 1960	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	89
PID 8 wrote to memory of 1960	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	89
PID 8 wrote to memory of 3596	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	90
PID 8 wrote to memory of 3596	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	90
PID 8 wrote to memory of 1220	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	91
PID 8 wrote to memory of 1220	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	91
PID 8 wrote to memory of 2912	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	92
PID 8 wrote to memory of 2912	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	92
PID 8 wrote to memory of 448	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	93
PID 8 wrote to memory of 448	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	93
PID 8 wrote to memory of 2488	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	94
PID 8 wrote to memory of 2488	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	94
PID 8 wrote to memory of 2108	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	95
PID 8 wrote to memory of 2108	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	95
PID 8 wrote to memory of 1244	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	96
PID 8 wrote to memory of 1244	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	96
PID 8 wrote to memory of 3848	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	97
PID 8 wrote to memory of 3848	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	97
PID 8 wrote to memory of 3184	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	98
PID 8 wrote to memory of 3184	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	98
PID 8 wrote to memory of 3648	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	99
PID 8 wrote to memory of 3648	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	99
PID 8 wrote to memory of 4408	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	100
PID 8 wrote to memory of 4408	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	100
PID 8 wrote to memory of 4880	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	101
PID 8 wrote to memory of 4880	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	101
PID 8 wrote to memory of 5084	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	102
PID 8 wrote to memory of 5084	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	102
PID 8 wrote to memory of 3276	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	103
PID 8 wrote to memory of 3276	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	103
PID 8 wrote to memory of 4892	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	104
PID 8 wrote to memory of 4892	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	104
PID 8 wrote to memory of 2340	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	105
PID 8 wrote to memory of 2340	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	105
PID 8 wrote to memory of 4636	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	106
PID 8 wrote to memory of 4636	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	106
PID 8 wrote to memory of 4344	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	107
PID 8 wrote to memory of 4344	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	107
PID 8 wrote to memory of 1828	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	108
PID 8 wrote to memory of 1828	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	108
PID 8 wrote to memory of 5096	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	109
PID 8 wrote to memory of 5096	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	109
PID 8 wrote to memory of 984	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	110
PID 8 wrote to memory of 984	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	110
PID 8 wrote to memory of 1420	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	111
PID 8 wrote to memory of 1420	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	111
PID 8 wrote to memory of 1204	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	112
PID 8 wrote to memory of 1204	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	112
PID 8 wrote to memory of 4972	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	113
PID 8 wrote to memory of 4972	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	113
PID 8 wrote to memory of 4348	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	114
PID 8 wrote to memory of 4348	8	0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe	114

C:\Users\Admin\AppData\Local\Temp\0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe
"C:\Users\Admin\AppData\Local\Temp\0112b9963ff9d387d6c0eab54a84ea30_NeikiAnalytics.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:8
- C:\Windows\System32\FRTSKqs.exe
  C:\Windows\System32\FRTSKqs.exe
  2⤵
  - Executes dropped EXE
  PID:3460
- C:\Windows\System32\ORJINFX.exe
  C:\Windows\System32\ORJINFX.exe
  2⤵
  - Executes dropped EXE
  PID:1284
- C:\Windows\System32\vneLQcU.exe
  C:\Windows\System32\vneLQcU.exe
  2⤵
  - Executes dropped EXE
  PID:1680
- C:\Windows\System32\pRToNbp.exe
  C:\Windows\System32\pRToNbp.exe
  2⤵
  - Executes dropped EXE
  PID:5092
- C:\Windows\System32\Rcxtigd.exe
  C:\Windows\System32\Rcxtigd.exe
  2⤵
  - Executes dropped EXE
  PID:3364
- C:\Windows\System32\BMHCAqI.exe
  C:\Windows\System32\BMHCAqI.exe
  2⤵
  - Executes dropped EXE
  PID:1052
- C:\Windows\System32\whvNJjA.exe
  C:\Windows\System32\whvNJjA.exe
  2⤵
  - Executes dropped EXE
  PID:1960
- C:\Windows\System32\gXWFqca.exe
  C:\Windows\System32\gXWFqca.exe
  2⤵
  - Executes dropped EXE
  PID:3596
- C:\Windows\System32\GuTJNbF.exe
  C:\Windows\System32\GuTJNbF.exe
  2⤵
  - Executes dropped EXE
  PID:1220
- C:\Windows\System32\KpsGEOu.exe
  C:\Windows\System32\KpsGEOu.exe
  2⤵
  - Executes dropped EXE
  PID:2912
- C:\Windows\System32\XliGLMz.exe
  C:\Windows\System32\XliGLMz.exe
  2⤵
  - Executes dropped EXE
  PID:448
- C:\Windows\System32\zQHhKgO.exe
  C:\Windows\System32\zQHhKgO.exe
  2⤵
  - Executes dropped EXE
  PID:2488
- C:\Windows\System32\GOmQzPk.exe
  C:\Windows\System32\GOmQzPk.exe
  2⤵
  - Executes dropped EXE
  PID:2108
- C:\Windows\System32\cPAFXGI.exe
  C:\Windows\System32\cPAFXGI.exe
  2⤵
  - Executes dropped EXE
  PID:1244
- C:\Windows\System32\igHBDtj.exe
  C:\Windows\System32\igHBDtj.exe
  2⤵
  - Executes dropped EXE
  PID:3848
- C:\Windows\System32\TuBWkTG.exe
  C:\Windows\System32\TuBWkTG.exe
  2⤵
  - Executes dropped EXE
  PID:3184
- C:\Windows\System32\afMjNPy.exe
  C:\Windows\System32\afMjNPy.exe
  2⤵
  - Executes dropped EXE
  PID:3648
- C:\Windows\System32\eqLASts.exe
  C:\Windows\System32\eqLASts.exe
  2⤵
  - Executes dropped EXE
  PID:4408
- C:\Windows\System32\yCVyfIz.exe
  C:\Windows\System32\yCVyfIz.exe
  2⤵
  - Executes dropped EXE
  PID:4880
- C:\Windows\System32\AYUmVsg.exe
  C:\Windows\System32\AYUmVsg.exe
  2⤵
  - Executes dropped EXE
  PID:5084
- C:\Windows\System32\tIpabKC.exe
  C:\Windows\System32\tIpabKC.exe
  2⤵
  - Executes dropped EXE
  PID:3276
- C:\Windows\System32\HMXXLhi.exe
  C:\Windows\System32\HMXXLhi.exe
  2⤵
  - Executes dropped EXE
  PID:4892
- C:\Windows\System32\fwrSMie.exe
  C:\Windows\System32\fwrSMie.exe
  2⤵
  - Executes dropped EXE
  PID:2340
- C:\Windows\System32\XcHYtzr.exe
  C:\Windows\System32\XcHYtzr.exe
  2⤵
  - Executes dropped EXE
  PID:4636
- C:\Windows\System32\KhpxGwn.exe
  C:\Windows\System32\KhpxGwn.exe
  2⤵
  - Executes dropped EXE
  PID:4344
- C:\Windows\System32\ZaVpFDV.exe
  C:\Windows\System32\ZaVpFDV.exe
  2⤵
  - Executes dropped EXE
  PID:1828
- C:\Windows\System32\DCSkJCx.exe
  C:\Windows\System32\DCSkJCx.exe
  2⤵
  - Executes dropped EXE
  PID:5096
- C:\Windows\System32\wSRRHNb.exe
  C:\Windows\System32\wSRRHNb.exe
  2⤵
  - Executes dropped EXE
  PID:984
- C:\Windows\System32\LotCABx.exe
  C:\Windows\System32\LotCABx.exe
  2⤵
  - Executes dropped EXE
  PID:1420
- C:\Windows\System32\rbOhEfX.exe
  C:\Windows\System32\rbOhEfX.exe
  2⤵
  - Executes dropped EXE
  PID:1204
- C:\Windows\System32\mkXWHgR.exe
  C:\Windows\System32\mkXWHgR.exe
  2⤵
  - Executes dropped EXE
  PID:4972
- C:\Windows\System32\xawMHwv.exe
  C:\Windows\System32\xawMHwv.exe
  2⤵
  - Executes dropped EXE
  PID:4348
- C:\Windows\System32\aNRIhwI.exe
  C:\Windows\System32\aNRIhwI.exe
  2⤵
  - Executes dropped EXE
  PID:1104
- C:\Windows\System32\DSFeEcd.exe
  C:\Windows\System32\DSFeEcd.exe
  2⤵
  - Executes dropped EXE
  PID:2344
- C:\Windows\System32\FjvzrlV.exe
  C:\Windows\System32\FjvzrlV.exe
  2⤵
  - Executes dropped EXE
  PID:4600
- C:\Windows\System32\FbnQDgd.exe
  C:\Windows\System32\FbnQDgd.exe
  2⤵
  - Executes dropped EXE
  PID:5044
- C:\Windows\System32\SnJiNbM.exe
  C:\Windows\System32\SnJiNbM.exe
  2⤵
  - Executes dropped EXE
  PID:4020
- C:\Windows\System32\vwOFvDq.exe
  C:\Windows\System32\vwOFvDq.exe
  2⤵
  - Executes dropped EXE
  PID:4784
- C:\Windows\System32\nPCYSjr.exe
  C:\Windows\System32\nPCYSjr.exe
  2⤵
  - Executes dropped EXE
  PID:4836
- C:\Windows\System32\QctkEYw.exe
  C:\Windows\System32\QctkEYw.exe
  2⤵
  - Executes dropped EXE
  PID:3960
- C:\Windows\System32\VlVgKeH.exe
  C:\Windows\System32\VlVgKeH.exe
  2⤵
  - Executes dropped EXE
  PID:928
- C:\Windows\System32\qmxoEmt.exe
  C:\Windows\System32\qmxoEmt.exe
  2⤵
  - Executes dropped EXE
  PID:4116
- C:\Windows\System32\LZQsNvd.exe
  C:\Windows\System32\LZQsNvd.exe
  2⤵
  - Executes dropped EXE
  PID:2800
- C:\Windows\System32\ANowJOI.exe
  C:\Windows\System32\ANowJOI.exe
  2⤵
  - Executes dropped EXE
  PID:4556
- C:\Windows\System32\fukDIPo.exe
  C:\Windows\System32\fukDIPo.exe
  2⤵
  - Executes dropped EXE
  PID:2032
- C:\Windows\System32\jHeGPJf.exe
  C:\Windows\System32\jHeGPJf.exe
  2⤵
  - Executes dropped EXE
  PID:2196
- C:\Windows\System32\YPfilIa.exe
  C:\Windows\System32\YPfilIa.exe
  2⤵
  - Executes dropped EXE
  PID:4996
- C:\Windows\System32\IgPdDqb.exe
  C:\Windows\System32\IgPdDqb.exe
  2⤵
  - Executes dropped EXE
  PID:2272
- C:\Windows\System32\ezCCKNq.exe
  C:\Windows\System32\ezCCKNq.exe
  2⤵
  - Executes dropped EXE
  PID:2864
- C:\Windows\System32\DFKxxno.exe
  C:\Windows\System32\DFKxxno.exe
  2⤵
  - Executes dropped EXE
  PID:1648
- C:\Windows\System32\RlaeIKn.exe
  C:\Windows\System32\RlaeIKn.exe
  2⤵
  - Executes dropped EXE
  PID:4392
- C:\Windows\System32\HfhXPBM.exe
  C:\Windows\System32\HfhXPBM.exe
  2⤵
  - Executes dropped EXE
  PID:5040
- C:\Windows\System32\FyczyuP.exe
  C:\Windows\System32\FyczyuP.exe
  2⤵
  - Executes dropped EXE
  PID:1232
- C:\Windows\System32\SDKfddX.exe
  C:\Windows\System32\SDKfddX.exe
  2⤵
  - Executes dropped EXE
  PID:4432
- C:\Windows\System32\sgSjRzp.exe
  C:\Windows\System32\sgSjRzp.exe
  2⤵
  - Executes dropped EXE
  PID:1064
- C:\Windows\System32\BPpOzDk.exe
  C:\Windows\System32\BPpOzDk.exe
  2⤵
  - Executes dropped EXE
  PID:2176
- C:\Windows\System32\ZEENwfy.exe
  C:\Windows\System32\ZEENwfy.exe
  2⤵
  - Executes dropped EXE
  PID:3972
- C:\Windows\System32\SSVmQWl.exe
  C:\Windows\System32\SSVmQWl.exe
  2⤵
  - Executes dropped EXE
  PID:2836
- C:\Windows\System32\UauFDgs.exe
  C:\Windows\System32\UauFDgs.exe
  2⤵
  - Executes dropped EXE
  PID:2748
- C:\Windows\System32\NnIoTuf.exe
  C:\Windows\System32\NnIoTuf.exe
  2⤵
  - Executes dropped EXE
  PID:3776
- C:\Windows\System32\jytHKlv.exe
  C:\Windows\System32\jytHKlv.exe
  2⤵
  - Executes dropped EXE
  PID:1616
- C:\Windows\System32\pMwJQYR.exe
  C:\Windows\System32\pMwJQYR.exe
  2⤵
  - Executes dropped EXE
  PID:3404
- C:\Windows\System32\KLbHoFD.exe
  C:\Windows\System32\KLbHoFD.exe
  2⤵
  - Executes dropped EXE
  PID:4456
- C:\Windows\System32\OUJPZHW.exe
  C:\Windows\System32\OUJPZHW.exe
  2⤵
  - Executes dropped EXE
  PID:512
- C:\Windows\System32\YhXtuCX.exe
  C:\Windows\System32\YhXtuCX.exe
  2⤵
  PID:2116
- C:\Windows\System32\MlITdSB.exe
  C:\Windows\System32\MlITdSB.exe
  2⤵
  PID:2596
- C:\Windows\System32\HZqNQjE.exe
  C:\Windows\System32\HZqNQjE.exe
  2⤵
  PID:596
- C:\Windows\System32\OgYVrUV.exe
  C:\Windows\System32\OgYVrUV.exe
  2⤵
  PID:3796
- C:\Windows\System32\ZXMUFId.exe
  C:\Windows\System32\ZXMUFId.exe
  2⤵
  PID:3528
- C:\Windows\System32\tydyAYf.exe
  C:\Windows\System32\tydyAYf.exe
  2⤵
  PID:4052
- C:\Windows\System32\tTsXNFh.exe
  C:\Windows\System32\tTsXNFh.exe
  2⤵
  PID:1212
- C:\Windows\System32\kFBpBiK.exe
  C:\Windows\System32\kFBpBiK.exe
  2⤵
  PID:3532
- C:\Windows\System32\qIgeqql.exe
  C:\Windows\System32\qIgeqql.exe
  2⤵
  PID:1048
- C:\Windows\System32\dILGDGn.exe
  C:\Windows\System32\dILGDGn.exe
  2⤵
  PID:4876
- C:\Windows\System32\JPRaZYp.exe
  C:\Windows\System32\JPRaZYp.exe
  2⤵
  PID:2532
- C:\Windows\System32\kcljquN.exe
  C:\Windows\System32\kcljquN.exe
  2⤵
  PID:1488
- C:\Windows\System32\igVcUzZ.exe
  C:\Windows\System32\igVcUzZ.exe
  2⤵
  PID:5020
- C:\Windows\System32\PHWBcxO.exe
  C:\Windows\System32\PHWBcxO.exe
  2⤵
  PID:4584
- C:\Windows\System32\dvSivbm.exe
  C:\Windows\System32\dvSivbm.exe
  2⤵
  PID:1388
- C:\Windows\System32\qCyWosb.exe
  C:\Windows\System32\qCyWosb.exe
  2⤵
  PID:4560
- C:\Windows\System32\brWcYjW.exe
  C:\Windows\System32\brWcYjW.exe
  2⤵
  PID:1004
- C:\Windows\System32\ACuzRWk.exe
  C:\Windows\System32\ACuzRWk.exe
  2⤵
  PID:3100
- C:\Windows\System32\MpTeQtP.exe
  C:\Windows\System32\MpTeQtP.exe
  2⤵
  PID:1312
- C:\Windows\System32\QJtUmbm.exe
  C:\Windows\System32\QJtUmbm.exe
  2⤵
  PID:4700
- C:\Windows\System32\wZcvUaw.exe
  C:\Windows\System32\wZcvUaw.exe
  2⤵
  PID:4732
- C:\Windows\System32\MhTmnrB.exe
  C:\Windows\System32\MhTmnrB.exe
  2⤵
  PID:5140
- C:\Windows\System32\vAqfBgw.exe
  C:\Windows\System32\vAqfBgw.exe
  2⤵
  PID:5168
- C:\Windows\System32\zhynveX.exe
  C:\Windows\System32\zhynveX.exe
  2⤵
  PID:5196
- C:\Windows\System32\AEcRgEn.exe
  C:\Windows\System32\AEcRgEn.exe
  2⤵
  PID:5224
- C:\Windows\System32\JdSxsUG.exe
  C:\Windows\System32\JdSxsUG.exe
  2⤵
  PID:5252
- C:\Windows\System32\FtXtPrH.exe
  C:\Windows\System32\FtXtPrH.exe
  2⤵
  PID:5280
- C:\Windows\System32\zOBKgzL.exe
  C:\Windows\System32\zOBKgzL.exe
  2⤵
  PID:5308
- C:\Windows\System32\LWrBgyR.exe
  C:\Windows\System32\LWrBgyR.exe
  2⤵
  PID:5336
- C:\Windows\System32\FfuKOnq.exe
  C:\Windows\System32\FfuKOnq.exe
  2⤵
  PID:5364
- C:\Windows\System32\vnoiICg.exe
  C:\Windows\System32\vnoiICg.exe
  2⤵
  PID:5392
- C:\Windows\System32\wIQSMEG.exe
  C:\Windows\System32\wIQSMEG.exe
  2⤵
  PID:5420
- C:\Windows\System32\rnWTuju.exe
  C:\Windows\System32\rnWTuju.exe
  2⤵
  PID:5448
- C:\Windows\System32\joGeQfy.exe
  C:\Windows\System32\joGeQfy.exe
  2⤵
  PID:5476
- C:\Windows\System32\wahGyzE.exe
  C:\Windows\System32\wahGyzE.exe
  2⤵
  PID:5504
- C:\Windows\System32\TzuYjzc.exe
  C:\Windows\System32\TzuYjzc.exe
  2⤵
  PID:5532
- C:\Windows\System32\uteQWAS.exe
  C:\Windows\System32\uteQWAS.exe
  2⤵
  PID:5560
- C:\Windows\System32\EGlgNLj.exe
  C:\Windows\System32\EGlgNLj.exe
  2⤵
  PID:5588
- C:\Windows\System32\fxyaiQF.exe
  C:\Windows\System32\fxyaiQF.exe
  2⤵
  PID:5616
- C:\Windows\System32\mrOpPKQ.exe
  C:\Windows\System32\mrOpPKQ.exe
  2⤵
  PID:5644
- C:\Windows\System32\sjlmrBf.exe
  C:\Windows\System32\sjlmrBf.exe
  2⤵
  PID:5672
- C:\Windows\System32\JBxbdmn.exe
  C:\Windows\System32\JBxbdmn.exe
  2⤵
  PID:5700
- C:\Windows\System32\dKgLhDR.exe
  C:\Windows\System32\dKgLhDR.exe
  2⤵
  PID:5728
- C:\Windows\System32\DLZKdLY.exe
  C:\Windows\System32\DLZKdLY.exe
  2⤵
  PID:5756
- C:\Windows\System32\xyRbYqZ.exe
  C:\Windows\System32\xyRbYqZ.exe
  2⤵
  PID:5784
- C:\Windows\System32\VxPEcEm.exe
  C:\Windows\System32\VxPEcEm.exe
  2⤵
  PID:5812
- C:\Windows\System32\tfAGzgr.exe
  C:\Windows\System32\tfAGzgr.exe
  2⤵
  PID:5840
- C:\Windows\System32\YvYDoXV.exe
  C:\Windows\System32\YvYDoXV.exe
  2⤵
  PID:5868
- C:\Windows\System32\AfdDTXI.exe
  C:\Windows\System32\AfdDTXI.exe
  2⤵
  PID:5896
- C:\Windows\System32\aXstzLw.exe
  C:\Windows\System32\aXstzLw.exe
  2⤵
  PID:5924
- C:\Windows\System32\FaKibSf.exe
  C:\Windows\System32\FaKibSf.exe
  2⤵
  PID:5952
- C:\Windows\System32\ssHASWJ.exe
  C:\Windows\System32\ssHASWJ.exe
  2⤵
  PID:5980
- C:\Windows\System32\UswOkCj.exe
  C:\Windows\System32\UswOkCj.exe
  2⤵
  PID:6008
- C:\Windows\System32\VxHtntg.exe
  C:\Windows\System32\VxHtntg.exe
  2⤵
  PID:6036
- C:\Windows\System32\jeQJmJI.exe
  C:\Windows\System32\jeQJmJI.exe
  2⤵
  PID:6064
- C:\Windows\System32\fOrexIP.exe
  C:\Windows\System32\fOrexIP.exe
  2⤵
  PID:6092
- C:\Windows\System32\jiTnCvv.exe
  C:\Windows\System32\jiTnCvv.exe
  2⤵
  PID:6120
- C:\Windows\System32\KGJVEkr.exe
  C:\Windows\System32\KGJVEkr.exe
  2⤵
  PID:3680
- C:\Windows\System32\ToIomCM.exe
  C:\Windows\System32\ToIomCM.exe
  2⤵
  PID:4960
- C:\Windows\System32\XRwqAMs.exe
  C:\Windows\System32\XRwqAMs.exe
  2⤵
  PID:3272
- C:\Windows\System32\xCfvJYP.exe
  C:\Windows\System32\xCfvJYP.exe
  2⤵
  PID:2692
- C:\Windows\System32\qbQfKgR.exe
  C:\Windows\System32\qbQfKgR.exe
  2⤵
  PID:1060
- C:\Windows\System32\ZeezKJY.exe
  C:\Windows\System32\ZeezKJY.exe
  2⤵
  PID:392
- C:\Windows\System32\smdXEYe.exe
  C:\Windows\System32\smdXEYe.exe
  2⤵
  PID:5156
- C:\Windows\System32\qTSaViw.exe
  C:\Windows\System32\qTSaViw.exe
  2⤵
  PID:5204
- C:\Windows\System32\KtYsYwy.exe
  C:\Windows\System32\KtYsYwy.exe
  2⤵
  PID:5260
- C:\Windows\System32\vuzBqHy.exe
  C:\Windows\System32\vuzBqHy.exe
  2⤵
  PID:5328
- C:\Windows\System32\YdBNSlq.exe
  C:\Windows\System32\YdBNSlq.exe
  2⤵
  PID:5408
- C:\Windows\System32\ZOlEfWo.exe
  C:\Windows\System32\ZOlEfWo.exe
  2⤵
  PID:5456
- C:\Windows\System32\vdaoMNj.exe
  C:\Windows\System32\vdaoMNj.exe
  2⤵
  PID:5524
- C:\Windows\System32\poPHupv.exe
  C:\Windows\System32\poPHupv.exe
  2⤵
  PID:5604
- C:\Windows\System32\kOdVnSF.exe
  C:\Windows\System32\kOdVnSF.exe
  2⤵
  PID:5652
- C:\Windows\System32\EFfGQQB.exe
  C:\Windows\System32\EFfGQQB.exe
  2⤵
  PID:5720
- C:\Windows\System32\lKPDRLf.exe
  C:\Windows\System32\lKPDRLf.exe
  2⤵
  PID:5776
- C:\Windows\System32\mgxExJe.exe
  C:\Windows\System32\mgxExJe.exe
  2⤵
  PID:5856
- C:\Windows\System32\etdqGbR.exe
  C:\Windows\System32\etdqGbR.exe
  2⤵
  PID:5904
- C:\Windows\System32\KywoboG.exe
  C:\Windows\System32\KywoboG.exe
  2⤵
  PID:5960
- C:\Windows\System32\xsShxQV.exe
  C:\Windows\System32\xsShxQV.exe
  2⤵
  PID:6028
- C:\Windows\System32\bYEqDdp.exe
  C:\Windows\System32\bYEqDdp.exe
  2⤵
  PID:6108
- C:\Windows\System32\eJXLinj.exe
  C:\Windows\System32\eJXLinj.exe
  2⤵
  PID:2288
- C:\Windows\System32\Scfdsvv.exe
  C:\Windows\System32\Scfdsvv.exe
  2⤵
  PID:3356
- C:\Windows\System32\WtPuxFI.exe
  C:\Windows\System32\WtPuxFI.exe
  2⤵
  PID:2920
- C:\Windows\System32\nUvDekO.exe
  C:\Windows\System32\nUvDekO.exe
  2⤵
  PID:5240
- C:\Windows\System32\nUVtXOd.exe
  C:\Windows\System32\nUVtXOd.exe
  2⤵
  PID:5372
- C:\Windows\System32\rnAlXfM.exe
  C:\Windows\System32\rnAlXfM.exe
  2⤵
  PID:5576
- C:\Windows\System32\MUSHsoB.exe
  C:\Windows\System32\MUSHsoB.exe
  2⤵
  PID:5692
- C:\Windows\System32\VQUinKn.exe
  C:\Windows\System32\VQUinKn.exe
  2⤵
  PID:5792
- C:\Windows\System32\jePHAGl.exe
  C:\Windows\System32\jePHAGl.exe
  2⤵
  PID:5944
- C:\Windows\System32\NlqFDIR.exe
  C:\Windows\System32\NlqFDIR.exe
  2⤵
  PID:6140
- C:\Windows\System32\WFfOcKi.exe
  C:\Windows\System32\WFfOcKi.exe
  2⤵
  PID:5160
- C:\Windows\System32\MbUzzdE.exe
  C:\Windows\System32\MbUzzdE.exe
  2⤵
  PID:5380
- C:\Windows\System32\tjsFFFZ.exe
  C:\Windows\System32\tjsFFFZ.exe
  2⤵
  PID:5568
- C:\Windows\System32\srbMFDZ.exe
  C:\Windows\System32\srbMFDZ.exe
  2⤵
  PID:5932
- C:\Windows\System32\FUFFEnO.exe
  C:\Windows\System32\FUFFEnO.exe
  2⤵
  PID:6172
- C:\Windows\System32\bjoxcXU.exe
  C:\Windows\System32\bjoxcXU.exe
  2⤵
  PID:6212
- C:\Windows\System32\qvdhYaM.exe
  C:\Windows\System32\qvdhYaM.exe
  2⤵
  PID:6228
- C:\Windows\System32\llDsDMt.exe
  C:\Windows\System32\llDsDMt.exe
  2⤵
  PID:6256
- C:\Windows\System32\DZNfBEH.exe
  C:\Windows\System32\DZNfBEH.exe
  2⤵
  PID:6284
- C:\Windows\System32\qpNqTDa.exe
  C:\Windows\System32\qpNqTDa.exe
  2⤵
  PID:6324
- C:\Windows\System32\TJsIcCj.exe
  C:\Windows\System32\TJsIcCj.exe
  2⤵
  PID:6340
- C:\Windows\System32\iQTmkmT.exe
  C:\Windows\System32\iQTmkmT.exe
  2⤵
  PID:6368
- C:\Windows\System32\zrYSTSe.exe
  C:\Windows\System32\zrYSTSe.exe
  2⤵
  PID:6396
- C:\Windows\System32\KItkTFz.exe
  C:\Windows\System32\KItkTFz.exe
  2⤵
  PID:6424
- C:\Windows\System32\gGRyToD.exe
  C:\Windows\System32\gGRyToD.exe
  2⤵
  PID:6452
- C:\Windows\System32\lGQrcgY.exe
  C:\Windows\System32\lGQrcgY.exe
  2⤵
  PID:6480
- C:\Windows\System32\hXqqjMl.exe
  C:\Windows\System32\hXqqjMl.exe
  2⤵
  PID:6508
- C:\Windows\System32\qsFimxw.exe
  C:\Windows\System32\qsFimxw.exe
  2⤵
  PID:6536
- C:\Windows\System32\hXRzxAt.exe
  C:\Windows\System32\hXRzxAt.exe
  2⤵
  PID:6564
- C:\Windows\System32\vFCkPSp.exe
  C:\Windows\System32\vFCkPSp.exe
  2⤵
  PID:6592
- C:\Windows\System32\eFXdZrZ.exe
  C:\Windows\System32\eFXdZrZ.exe
  2⤵
  PID:6620
- C:\Windows\System32\MJbuNbN.exe
  C:\Windows\System32\MJbuNbN.exe
  2⤵
  PID:6648
- C:\Windows\System32\bezJTLH.exe
  C:\Windows\System32\bezJTLH.exe
  2⤵
  PID:6676
- C:\Windows\System32\ctLaNsz.exe
  C:\Windows\System32\ctLaNsz.exe
  2⤵
  PID:6704
- C:\Windows\System32\akTsvVf.exe
  C:\Windows\System32\akTsvVf.exe
  2⤵
  PID:6732
- C:\Windows\System32\BHUvpEi.exe
  C:\Windows\System32\BHUvpEi.exe
  2⤵
  PID:6760
- C:\Windows\System32\oYFtVej.exe
  C:\Windows\System32\oYFtVej.exe
  2⤵
  PID:6788
- C:\Windows\System32\vJVDZkp.exe
  C:\Windows\System32\vJVDZkp.exe
  2⤵
  PID:6816
- C:\Windows\System32\eIHRdQX.exe
  C:\Windows\System32\eIHRdQX.exe
  2⤵
  PID:6844
- C:\Windows\System32\kiCKcqj.exe
  C:\Windows\System32\kiCKcqj.exe
  2⤵
  PID:6872
- C:\Windows\System32\hVSeIwU.exe
  C:\Windows\System32\hVSeIwU.exe
  2⤵
  PID:6900
- C:\Windows\System32\mKFgRid.exe
  C:\Windows\System32\mKFgRid.exe
  2⤵
  PID:6928
- C:\Windows\System32\DBUsubJ.exe
  C:\Windows\System32\DBUsubJ.exe
  2⤵
  PID:6956
- C:\Windows\System32\pyWwbhi.exe
  C:\Windows\System32\pyWwbhi.exe
  2⤵
  PID:6984
- C:\Windows\System32\wpnXCKi.exe
  C:\Windows\System32\wpnXCKi.exe
  2⤵
  PID:7012
- C:\Windows\System32\TNBXRcO.exe
  C:\Windows\System32\TNBXRcO.exe
  2⤵
  PID:7040
- C:\Windows\System32\tTrQIgJ.exe
  C:\Windows\System32\tTrQIgJ.exe
  2⤵
  PID:7068
- C:\Windows\System32\hDPtVIT.exe
  C:\Windows\System32\hDPtVIT.exe
  2⤵
  PID:7096
- C:\Windows\System32\yUfMpva.exe
  C:\Windows\System32\yUfMpva.exe
  2⤵
  PID:7124
- C:\Windows\System32\yKUvlOB.exe
  C:\Windows\System32\yKUvlOB.exe
  2⤵
  PID:7152
- C:\Windows\System32\kduxYAV.exe
  C:\Windows\System32\kduxYAV.exe
  2⤵
  PID:4976
- C:\Windows\System32\ojZZSlE.exe
  C:\Windows\System32\ojZZSlE.exe
  2⤵
  PID:5492
- C:\Windows\System32\BAcUtRg.exe
  C:\Windows\System32\BAcUtRg.exe
  2⤵
  PID:6152
- C:\Windows\System32\ZQbYKtC.exe
  C:\Windows\System32\ZQbYKtC.exe
  2⤵
  PID:6224
- C:\Windows\System32\vmOlRCg.exe
  C:\Windows\System32\vmOlRCg.exe
  2⤵
  PID:1948
- C:\Windows\System32\mSCpSmJ.exe
  C:\Windows\System32\mSCpSmJ.exe
  2⤵
  PID:6336
- C:\Windows\System32\VKqSfww.exe
  C:\Windows\System32\VKqSfww.exe
  2⤵
  PID:6412
- C:\Windows\System32\gXeIlrO.exe
  C:\Windows\System32\gXeIlrO.exe
  2⤵
  PID:6460
- C:\Windows\System32\RQFYEKq.exe
  C:\Windows\System32\RQFYEKq.exe
  2⤵
  PID:6516
- C:\Windows\System32\gVnaEwC.exe
  C:\Windows\System32\gVnaEwC.exe
  2⤵
  PID:1608
- C:\Windows\System32\bTBNaAH.exe
  C:\Windows\System32\bTBNaAH.exe
  2⤵
  PID:6636
- C:\Windows\System32\nkExUzW.exe
  C:\Windows\System32\nkExUzW.exe
  2⤵
  PID:6696
- C:\Windows\System32\kWuLeyV.exe
  C:\Windows\System32\kWuLeyV.exe
  2⤵
  PID:6752
- C:\Windows\System32\HyNVkKO.exe
  C:\Windows\System32\HyNVkKO.exe
  2⤵
  PID:6832
- C:\Windows\System32\ZsiAjnW.exe
  C:\Windows\System32\ZsiAjnW.exe
  2⤵
  PID:6864
- C:\Windows\System32\QzeAHTl.exe
  C:\Windows\System32\QzeAHTl.exe
  2⤵
  PID:6944
- C:\Windows\System32\QQJPFBC.exe
  C:\Windows\System32\QQJPFBC.exe
  2⤵
  PID:6992
- C:\Windows\System32\BnPMrhV.exe
  C:\Windows\System32\BnPMrhV.exe
  2⤵
  PID:7060
- C:\Windows\System32\PUgYcgB.exe
  C:\Windows\System32\PUgYcgB.exe
  2⤵
  PID:7140
- C:\Windows\System32\bQyHECQ.exe
  C:\Windows\System32\bQyHECQ.exe
  2⤵
  PID:3876
- C:\Windows\System32\SlfDwgD.exe
  C:\Windows\System32\SlfDwgD.exe
  2⤵
  PID:6196
- C:\Windows\System32\FrOVBLL.exe
  C:\Windows\System32\FrOVBLL.exe
  2⤵
  PID:6292
- C:\Windows\System32\DKsjuoK.exe
  C:\Windows\System32\DKsjuoK.exe
  2⤵
  PID:6432
- C:\Windows\System32\fTcHRLE.exe
  C:\Windows\System32\fTcHRLE.exe
  2⤵
  PID:6608
- C:\Windows\System32\fzqTEux.exe
  C:\Windows\System32\fzqTEux.exe
  2⤵
  PID:6640
- C:\Windows\System32\PFDNhlg.exe
  C:\Windows\System32\PFDNhlg.exe
  2⤵
  PID:6796
- C:\Windows\System32\oezfujb.exe
  C:\Windows\System32\oezfujb.exe
  2⤵
  PID:6964
- C:\Windows\System32\sggtZaf.exe
  C:\Windows\System32\sggtZaf.exe
  2⤵
  PID:7076
- C:\Windows\System32\sfsDCOn.exe
  C:\Windows\System32\sfsDCOn.exe
  2⤵
  PID:4240
- C:\Windows\System32\QVfOgkh.exe
  C:\Windows\System32\QVfOgkh.exe
  2⤵
  PID:6552
- C:\Windows\System32\NkfAOqV.exe
  C:\Windows\System32\NkfAOqV.exe
  2⤵
  PID:648
- C:\Windows\System32\elWHRuB.exe
  C:\Windows\System32\elWHRuB.exe
  2⤵
  PID:4252
- C:\Windows\System32\jftAZjS.exe
  C:\Windows\System32\jftAZjS.exe
  2⤵
  PID:6264
- C:\Windows\System32\VctKmUU.exe
  C:\Windows\System32\VctKmUU.exe
  2⤵
  PID:6404
- C:\Windows\System32\NhdSZUg.exe
  C:\Windows\System32\NhdSZUg.exe
  2⤵
  PID:4352
- C:\Windows\System32\eOaEBqS.exe
  C:\Windows\System32\eOaEBqS.exe
  2⤵
  PID:4916
- C:\Windows\System32\woJypIC.exe
  C:\Windows\System32\woJypIC.exe
  2⤵
  PID:4692
- C:\Windows\System32\KZTjQdy.exe
  C:\Windows\System32\KZTjQdy.exe
  2⤵
  PID:4388
- C:\Windows\System32\eoBnKZR.exe
  C:\Windows\System32\eoBnKZR.exe
  2⤵
  PID:6836
- C:\Windows\System32\BXuPWyu.exe
  C:\Windows\System32\BXuPWyu.exe
  2⤵
  PID:6724
- C:\Windows\System32\JhUFgYd.exe
  C:\Windows\System32\JhUFgYd.exe
  2⤵
  PID:5024
- C:\Windows\System32\gIbPqVS.exe
  C:\Windows\System32\gIbPqVS.exe
  2⤵
  PID:3580
- C:\Windows\System32\txYDxhn.exe
  C:\Windows\System32\txYDxhn.exe
  2⤵
  PID:7192
- C:\Windows\System32\SJBlTHs.exe
  C:\Windows\System32\SJBlTHs.exe
  2⤵
  PID:7216
- C:\Windows\System32\BvfcCxy.exe
  C:\Windows\System32\BvfcCxy.exe
  2⤵
  PID:7236
- C:\Windows\System32\BoSooeg.exe
  C:\Windows\System32\BoSooeg.exe
  2⤵
  PID:7252
- C:\Windows\System32\HNmxtTw.exe
  C:\Windows\System32\HNmxtTw.exe
  2⤵
  PID:7300
- C:\Windows\System32\CJpxbio.exe
  C:\Windows\System32\CJpxbio.exe
  2⤵
  PID:7336
- C:\Windows\System32\vJIFBAB.exe
  C:\Windows\System32\vJIFBAB.exe
  2⤵
  PID:7364
- C:\Windows\System32\mPrBIvY.exe
  C:\Windows\System32\mPrBIvY.exe
  2⤵
  PID:7424
- C:\Windows\System32\VUSvojG.exe
  C:\Windows\System32\VUSvojG.exe
  2⤵
  PID:7468
- C:\Windows\System32\KGvPjcL.exe
  C:\Windows\System32\KGvPjcL.exe
  2⤵
  PID:7528
- C:\Windows\System32\QObQMKD.exe
  C:\Windows\System32\QObQMKD.exe
  2⤵
  PID:7556
- C:\Windows\System32\DLziBUw.exe
  C:\Windows\System32\DLziBUw.exe
  2⤵
  PID:7572
- C:\Windows\System32\UrquCBl.exe
  C:\Windows\System32\UrquCBl.exe
  2⤵
  PID:7600
- C:\Windows\System32\MrKDvGA.exe
  C:\Windows\System32\MrKDvGA.exe
  2⤵
  PID:7616
- C:\Windows\System32\gwrYGEV.exe
  C:\Windows\System32\gwrYGEV.exe
  2⤵
  PID:7668
- C:\Windows\System32\kcFFmuI.exe
  C:\Windows\System32\kcFFmuI.exe
  2⤵
  PID:7684
- C:\Windows\System32\SnhGHLB.exe
  C:\Windows\System32\SnhGHLB.exe
  2⤵
  PID:7728
- C:\Windows\System32\Owwfgik.exe
  C:\Windows\System32\Owwfgik.exe
  2⤵
  PID:7756
- C:\Windows\System32\uhVTGLD.exe
  C:\Windows\System32\uhVTGLD.exe
  2⤵
  PID:7792
- C:\Windows\System32\YSgFPvC.exe
  C:\Windows\System32\YSgFPvC.exe
  2⤵
  PID:7820
- C:\Windows\System32\JuhRgLc.exe
  C:\Windows\System32\JuhRgLc.exe
  2⤵
  PID:7868
- C:\Windows\System32\jrxaFVc.exe
  C:\Windows\System32\jrxaFVc.exe
  2⤵
  PID:7892
- C:\Windows\System32\uvsKPJx.exe
  C:\Windows\System32\uvsKPJx.exe
  2⤵
  PID:7912
- C:\Windows\System32\dPgiEFh.exe
  C:\Windows\System32\dPgiEFh.exe
  2⤵
  PID:7952
- C:\Windows\System32\YgnCkZX.exe
  C:\Windows\System32\YgnCkZX.exe
  2⤵
  PID:7980
- C:\Windows\System32\RmXhseP.exe
  C:\Windows\System32\RmXhseP.exe
  2⤵
  PID:8040
- C:\Windows\System32\BZZRdCi.exe
  C:\Windows\System32\BZZRdCi.exe
  2⤵
  PID:8076
- C:\Windows\System32\exkybaR.exe
  C:\Windows\System32\exkybaR.exe
  2⤵
  PID:8108
- C:\Windows\System32\lPZItbN.exe
  C:\Windows\System32\lPZItbN.exe
  2⤵
  PID:8140
- C:\Windows\System32\LiMlSpV.exe
  C:\Windows\System32\LiMlSpV.exe
  2⤵
  PID:8168
- C:\Windows\System32\NiPCeCA.exe
  C:\Windows\System32\NiPCeCA.exe
  2⤵
  PID:6916
- C:\Windows\System32\GGRoRIO.exe
  C:\Windows\System32\GGRoRIO.exe
  2⤵
  PID:7244
- C:\Windows\System32\zTsmrgh.exe
  C:\Windows\System32\zTsmrgh.exe
  2⤵
  PID:7312
- C:\Windows\System32\XxCDrDl.exe
  C:\Windows\System32\XxCDrDl.exe
  2⤵
  PID:7524
- C:\Windows\System32\SClQvkO.exe
  C:\Windows\System32\SClQvkO.exe
  2⤵
  PID:7568
- C:\Windows\System32\mGOuQzI.exe
  C:\Windows\System32\mGOuQzI.exe
  2⤵
  PID:7640
- C:\Windows\System32\hWaVZZc.exe
  C:\Windows\System32\hWaVZZc.exe
  2⤵
  PID:7692
- C:\Windows\System32\fLFhDas.exe
  C:\Windows\System32\fLFhDas.exe
  2⤵
  PID:7800
- C:\Windows\System32\mrUXCPA.exe
  C:\Windows\System32\mrUXCPA.exe
  2⤵
  PID:7852
- C:\Windows\System32\wZpSlPC.exe
  C:\Windows\System32\wZpSlPC.exe
  2⤵
  PID:7936
- C:\Windows\System32\eJHKFiL.exe
  C:\Windows\System32\eJHKFiL.exe
  2⤵
  PID:7992
- C:\Windows\System32\mcwOsSD.exe
  C:\Windows\System32\mcwOsSD.exe
  2⤵
  PID:8104
- C:\Windows\System32\lvBdANd.exe
  C:\Windows\System32\lvBdANd.exe
  2⤵
  PID:8160
- C:\Windows\System32\nvKVyUN.exe
  C:\Windows\System32\nvKVyUN.exe
  2⤵
  PID:7224
- C:\Windows\System32\cbjkDQL.exe
  C:\Windows\System32\cbjkDQL.exe
  2⤵
  PID:7228
- C:\Windows\System32\UrYIYSk.exe
  C:\Windows\System32\UrYIYSk.exe
  2⤵
  PID:5012
- C:\Windows\System32\MSquBEn.exe
  C:\Windows\System32\MSquBEn.exe
  2⤵
  PID:7456
- C:\Windows\System32\OHTHxLT.exe
  C:\Windows\System32\OHTHxLT.exe
  2⤵
  PID:7764
- C:\Windows\System32\mTxIMsf.exe
  C:\Windows\System32\mTxIMsf.exe
  2⤵
  PID:7976
- C:\Windows\System32\dFyyXvB.exe
  C:\Windows\System32\dFyyXvB.exe
  2⤵
  PID:8100
- C:\Windows\System32\sEaUwli.exe
  C:\Windows\System32\sEaUwli.exe
  2⤵
  PID:7504
- C:\Windows\System32\wUdWZhP.exe
  C:\Windows\System32\wUdWZhP.exe
  2⤵
  PID:7704
- C:\Windows\System32\jaGUyLl.exe
  C:\Windows\System32\jaGUyLl.exe
  2⤵
  PID:8180
- C:\Windows\System32\VzBirDy.exe
  C:\Windows\System32\VzBirDy.exe
  2⤵
  PID:7180
- C:\Windows\System32\ojLKrLt.exe
  C:\Windows\System32\ojLKrLt.exe
  2⤵
  PID:7904
- C:\Windows\System32\gifHkmQ.exe
  C:\Windows\System32\gifHkmQ.exe
  2⤵
  PID:8212
- C:\Windows\System32\pmRbPep.exe
  C:\Windows\System32\pmRbPep.exe
  2⤵
  PID:8240
- C:\Windows\System32\WHCTgYx.exe
  C:\Windows\System32\WHCTgYx.exe
  2⤵
  PID:8256
- C:\Windows\System32\noehYvf.exe
  C:\Windows\System32\noehYvf.exe
  2⤵
  PID:8276
- C:\Windows\System32\FfcOJdr.exe
  C:\Windows\System32\FfcOJdr.exe
  2⤵
  PID:8304
- C:\Windows\System32\laeNAHK.exe
  C:\Windows\System32\laeNAHK.exe
  2⤵
  PID:8356
- C:\Windows\System32\yVkNXwJ.exe
  C:\Windows\System32\yVkNXwJ.exe
  2⤵
  PID:8388
- C:\Windows\System32\ZHnuzlt.exe
  C:\Windows\System32\ZHnuzlt.exe
  2⤵
  PID:8404
- C:\Windows\System32\OJirkSn.exe
  C:\Windows\System32\OJirkSn.exe
  2⤵
  PID:8444
- C:\Windows\System32\bobBGFS.exe
  C:\Windows\System32\bobBGFS.exe
  2⤵
  PID:8472
- C:\Windows\System32\UPyPhvf.exe
  C:\Windows\System32\UPyPhvf.exe
  2⤵
  PID:8488
- C:\Windows\System32\xSVKbHU.exe
  C:\Windows\System32\xSVKbHU.exe
  2⤵
  PID:8528
- C:\Windows\System32\wBwNSlx.exe
  C:\Windows\System32\wBwNSlx.exe
  2⤵
  PID:8572
- C:\Windows\System32\fkylEeE.exe
  C:\Windows\System32\fkylEeE.exe
  2⤵
  PID:8628
- C:\Windows\System32\qatJRDh.exe
  C:\Windows\System32\qatJRDh.exe
  2⤵
  PID:8656
- C:\Windows\System32\jyxOqgz.exe
  C:\Windows\System32\jyxOqgz.exe
  2⤵
  PID:8684
- C:\Windows\System32\fYrTyIV.exe
  C:\Windows\System32\fYrTyIV.exe
  2⤵
  PID:8712
- C:\Windows\System32\pDOtraO.exe
  C:\Windows\System32\pDOtraO.exe
  2⤵
  PID:8740
- C:\Windows\System32\FPmdbFb.exe
  C:\Windows\System32\FPmdbFb.exe
  2⤵
  PID:8768
- C:\Windows\System32\xFRuaUp.exe
  C:\Windows\System32\xFRuaUp.exe
  2⤵
  PID:8796
- C:\Windows\System32\RSnkLhK.exe
  C:\Windows\System32\RSnkLhK.exe
  2⤵
  PID:8824
- C:\Windows\System32\SVYANrt.exe
  C:\Windows\System32\SVYANrt.exe
  2⤵
  PID:8852
- C:\Windows\System32\EdWhKcR.exe
  C:\Windows\System32\EdWhKcR.exe
  2⤵
  PID:8880
- C:\Windows\System32\dmTEQzF.exe
  C:\Windows\System32\dmTEQzF.exe
  2⤵
  PID:8908
- C:\Windows\System32\LNiOPRd.exe
  C:\Windows\System32\LNiOPRd.exe
  2⤵
  PID:8936
- C:\Windows\System32\bLeAwQO.exe
  C:\Windows\System32\bLeAwQO.exe
  2⤵
  PID:8964
- C:\Windows\System32\ErsQhSZ.exe
  C:\Windows\System32\ErsQhSZ.exe
  2⤵
  PID:8992
- C:\Windows\System32\BseZkmG.exe
  C:\Windows\System32\BseZkmG.exe
  2⤵
  PID:9020
- C:\Windows\System32\FyEFuGX.exe
  C:\Windows\System32\FyEFuGX.exe
  2⤵
  PID:9048
- C:\Windows\System32\kLJzBhK.exe
  C:\Windows\System32\kLJzBhK.exe
  2⤵
  PID:9076
- C:\Windows\System32\rCCbQQE.exe
  C:\Windows\System32\rCCbQQE.exe
  2⤵
  PID:9104
- C:\Windows\System32\EmgtwJn.exe
  C:\Windows\System32\EmgtwJn.exe
  2⤵
  PID:9132
- C:\Windows\System32\eztLhfx.exe
  C:\Windows\System32\eztLhfx.exe
  2⤵
  PID:9160
- C:\Windows\System32\OCBmMRv.exe
  C:\Windows\System32\OCBmMRv.exe
  2⤵
  PID:9188
- C:\Windows\System32\mPfDgFE.exe
  C:\Windows\System32\mPfDgFE.exe
  2⤵
  PID:8208
- C:\Windows\System32\iJUrZiy.exe
  C:\Windows\System32\iJUrZiy.exe
  2⤵
  PID:8252
- C:\Windows\System32\AOpyYuK.exe
  C:\Windows\System32\AOpyYuK.exe
  2⤵
  PID:8292
- C:\Windows\System32\WTBHJUS.exe
  C:\Windows\System32\WTBHJUS.exe
  2⤵
  PID:1096
- C:\Windows\System32\LzpxwmZ.exe
  C:\Windows\System32\LzpxwmZ.exe
  2⤵
  PID:8456
- C:\Windows\System32\xPjsiMZ.exe
  C:\Windows\System32\xPjsiMZ.exe
  2⤵
  PID:8516
- C:\Windows\System32\IqBYgyk.exe
  C:\Windows\System32\IqBYgyk.exe
  2⤵
  PID:8584
- C:\Windows\System32\IBCRzQJ.exe
  C:\Windows\System32\IBCRzQJ.exe
  2⤵
  PID:8668
- C:\Windows\System32\stlRdqj.exe
  C:\Windows\System32\stlRdqj.exe
  2⤵
  PID:8724
- C:\Windows\System32\mArXwyx.exe
  C:\Windows\System32\mArXwyx.exe
  2⤵
  PID:8788
- C:\Windows\System32\iIZKlIn.exe
  C:\Windows\System32\iIZKlIn.exe
  2⤵
  PID:8836
- C:\Windows\System32\lNHfycm.exe
  C:\Windows\System32\lNHfycm.exe
  2⤵
  PID:8892
- C:\Windows\System32\wFAdjZg.exe
  C:\Windows\System32\wFAdjZg.exe
  2⤵
  PID:8920
- C:\Windows\System32\VGQxlfp.exe
  C:\Windows\System32\VGQxlfp.exe
  2⤵
  PID:9004
- C:\Windows\System32\fLXxebH.exe
  C:\Windows\System32\fLXxebH.exe
  2⤵
  PID:9072
- C:\Windows\System32\XBEzHkS.exe
  C:\Windows\System32\XBEzHkS.exe
  2⤵
  PID:9128
- C:\Windows\System32\FJkGxca.exe
  C:\Windows\System32\FJkGxca.exe
  2⤵
  PID:9172
- C:\Windows\System32\Lvtupht.exe
  C:\Windows\System32\Lvtupht.exe
  2⤵
  PID:8232
- C:\Windows\System32\jgqNIFD.exe
  C:\Windows\System32\jgqNIFD.exe
  2⤵
  PID:8344
- C:\Windows\System32\AybRpRi.exe
  C:\Windows\System32\AybRpRi.exe
  2⤵
  PID:8484
- C:\Windows\System32\blUbmEZ.exe
  C:\Windows\System32\blUbmEZ.exe
  2⤵
  PID:8752
- C:\Windows\System32\JgjwQAw.exe
  C:\Windows\System32\JgjwQAw.exe
  2⤵
  PID:8872
- C:\Windows\System32\hwEXwDh.exe
  C:\Windows\System32\hwEXwDh.exe
  2⤵
  PID:8956
- C:\Windows\System32\GhtLNZg.exe
  C:\Windows\System32\GhtLNZg.exe
  2⤵
  PID:9116
- C:\Windows\System32\NSpfzKq.exe
  C:\Windows\System32\NSpfzKq.exe
  2⤵
  PID:8500
- C:\Windows\System32\CCOPCoZ.exe
  C:\Windows\System32\CCOPCoZ.exe
  2⤵
  PID:7176
- C:\Windows\System32\KyXVSyy.exe
  C:\Windows\System32\KyXVSyy.exe
  2⤵
  PID:8568
- C:\Windows\System32\OTCQtqk.exe
  C:\Windows\System32\OTCQtqk.exe
  2⤵
  PID:9240
- C:\Windows\System32\mrfyFgJ.exe
  C:\Windows\System32\mrfyFgJ.exe
  2⤵
  PID:9272
- C:\Windows\System32\IsFVKxW.exe
  C:\Windows\System32\IsFVKxW.exe
  2⤵
  PID:9320
- C:\Windows\System32\GkSZrHv.exe
  C:\Windows\System32\GkSZrHv.exe
  2⤵
  PID:9368
- C:\Windows\System32\rxhWgzs.exe
  C:\Windows\System32\rxhWgzs.exe
  2⤵
  PID:9428
- C:\Windows\System32\zxfTxED.exe
  C:\Windows\System32\zxfTxED.exe
  2⤵
  PID:9460
- C:\Windows\System32\lVyvaEV.exe
  C:\Windows\System32\lVyvaEV.exe
  2⤵
  PID:9488
- C:\Windows\System32\KDhfWZM.exe
  C:\Windows\System32\KDhfWZM.exe
  2⤵
  PID:9516
- C:\Windows\System32\XIdYHnS.exe
  C:\Windows\System32\XIdYHnS.exe
  2⤵
  PID:9544
- C:\Windows\System32\NZwClJJ.exe
  C:\Windows\System32\NZwClJJ.exe
  2⤵
  PID:9580
- C:\Windows\System32\RcbWkwc.exe
  C:\Windows\System32\RcbWkwc.exe
  2⤵
  PID:9612
- C:\Windows\System32\IhCpcQn.exe
  C:\Windows\System32\IhCpcQn.exe
  2⤵
  PID:9640
- C:\Windows\System32\gkoOeBW.exe
  C:\Windows\System32\gkoOeBW.exe
  2⤵
  PID:9684
- C:\Windows\System32\fGzqugB.exe
  C:\Windows\System32\fGzqugB.exe
  2⤵
  PID:9712
- C:\Windows\System32\QOLbJpe.exe
  C:\Windows\System32\QOLbJpe.exe
  2⤵
  PID:9740
- C:\Windows\System32\SDJABXi.exe
  C:\Windows\System32\SDJABXi.exe
  2⤵
  PID:9768
- C:\Windows\System32\KNYVumj.exe
  C:\Windows\System32\KNYVumj.exe
  2⤵
  PID:9796
- C:\Windows\System32\NBVtnbg.exe
  C:\Windows\System32\NBVtnbg.exe
  2⤵
  PID:9824
- C:\Windows\System32\vugEQLf.exe
  C:\Windows\System32\vugEQLf.exe
  2⤵
  PID:9852
- C:\Windows\System32\sHECKnF.exe
  C:\Windows\System32\sHECKnF.exe
  2⤵
  PID:9880
- C:\Windows\System32\rjNVLCL.exe
  C:\Windows\System32\rjNVLCL.exe
  2⤵
  PID:9908
- C:\Windows\System32\Zfynesz.exe
  C:\Windows\System32\Zfynesz.exe
  2⤵
  PID:9936
- C:\Windows\System32\ABrudWL.exe
  C:\Windows\System32\ABrudWL.exe
  2⤵
  PID:9964
- C:\Windows\System32\cGWdBJo.exe
  C:\Windows\System32\cGWdBJo.exe
  2⤵
  PID:9992
- C:\Windows\System32\ZDWOvrV.exe
  C:\Windows\System32\ZDWOvrV.exe
  2⤵
  PID:10020
- C:\Windows\System32\ySeRJbG.exe
  C:\Windows\System32\ySeRJbG.exe
  2⤵
  PID:10048
- C:\Windows\System32\uAZhhTT.exe
  C:\Windows\System32\uAZhhTT.exe
  2⤵
  PID:10076
- C:\Windows\System32\yWbrXVZ.exe
  C:\Windows\System32\yWbrXVZ.exe
  2⤵
  PID:10104
- C:\Windows\System32\qkGtGtT.exe
  C:\Windows\System32\qkGtGtT.exe
  2⤵
  PID:10132
- C:\Windows\System32\HBOKAvK.exe
  C:\Windows\System32\HBOKAvK.exe
  2⤵
  PID:10160
- C:\Windows\System32\bNCVmoX.exe
  C:\Windows\System32\bNCVmoX.exe
  2⤵
  PID:10188
- C:\Windows\System32\LArzdgZ.exe
  C:\Windows\System32\LArzdgZ.exe
  2⤵
  PID:10216
- C:\Windows\System32\nUyyIlb.exe
  C:\Windows\System32\nUyyIlb.exe
  2⤵
  PID:9232
- C:\Windows\System32\tqtDcWV.exe
  C:\Windows\System32\tqtDcWV.exe
  2⤵
  PID:9308
- C:\Windows\System32\LkNPzdQ.exe
  C:\Windows\System32\LkNPzdQ.exe
  2⤵
  PID:9440
- C:\Windows\System32\ODWtnmQ.exe
  C:\Windows\System32\ODWtnmQ.exe
  2⤵
  PID:9500
- C:\Windows\System32\ZmlYPJR.exe
  C:\Windows\System32\ZmlYPJR.exe
  2⤵
  PID:2452
- C:\Windows\System32\KEYNyFH.exe
  C:\Windows\System32\KEYNyFH.exe
  2⤵
  PID:9624
- C:\Windows\System32\kjJguOr.exe
  C:\Windows\System32\kjJguOr.exe
  2⤵
  PID:9704
- C:\Windows\System32\fdtthJl.exe
  C:\Windows\System32\fdtthJl.exe
  2⤵
  PID:9752
- C:\Windows\System32\GeiOkfa.exe
  C:\Windows\System32\GeiOkfa.exe
  2⤵
  PID:9816
- C:\Windows\System32\yaRPWgW.exe
  C:\Windows\System32\yaRPWgW.exe
  2⤵
  PID:9876
- C:\Windows\System32\tEcggQS.exe
  C:\Windows\System32\tEcggQS.exe
  2⤵
  PID:9948
- C:\Windows\System32\HyKLQRu.exe
  C:\Windows\System32\HyKLQRu.exe
  2⤵
  PID:10012
- C:\Windows\System32\bVDYkre.exe
  C:\Windows\System32\bVDYkre.exe
  2⤵
  PID:10072
- C:\Windows\System32\FdokwVY.exe
  C:\Windows\System32\FdokwVY.exe
  2⤵
  PID:10128
- C:\Windows\System32\MkkBtvI.exe
  C:\Windows\System32\MkkBtvI.exe
  2⤵
  PID:10200
- C:\Windows\System32\AfEJaor.exe
  C:\Windows\System32\AfEJaor.exe
  2⤵
  PID:9284
- C:\Windows\System32\gWZyZRO.exe
  C:\Windows\System32\gWZyZRO.exe
  2⤵
  PID:9484
- C:\Windows\System32\MJZQDbB.exe
  C:\Windows\System32\MJZQDbB.exe
  2⤵
  PID:3672
- C:\Windows\System32\HQtPvAp.exe
  C:\Windows\System32\HQtPvAp.exe
  2⤵
  PID:9792
- C:\Windows\System32\GNfodpH.exe
  C:\Windows\System32\GNfodpH.exe
  2⤵
  PID:9932
- C:\Windows\System32\JKFmMVB.exe
  C:\Windows\System32\JKFmMVB.exe
  2⤵
  PID:10100
- C:\Windows\System32\dRgapEL.exe
  C:\Windows\System32\dRgapEL.exe
  2⤵
  PID:2504
- C:\Windows\System32\LAYilIu.exe
  C:\Windows\System32\LAYilIu.exe
  2⤵
  PID:9608
- C:\Windows\System32\ewhLaJS.exe
  C:\Windows\System32\ewhLaJS.exe
  2⤵
  PID:3704
- C:\Windows\System32\tSosOcl.exe
  C:\Windows\System32\tSosOcl.exe
  2⤵
  PID:10068
- C:\Windows\System32\QsDltHz.exe
  C:\Windows\System32\QsDltHz.exe
  2⤵
  PID:9780
- C:\Windows\System32\muJICFs.exe
  C:\Windows\System32\muJICFs.exe
  2⤵
  PID:9556
- C:\Windows\System32\YJmvssH.exe
  C:\Windows\System32\YJmvssH.exe
  2⤵
  PID:10248
- C:\Windows\System32\flRBvRy.exe
  C:\Windows\System32\flRBvRy.exe
  2⤵
  PID:10280
- C:\Windows\System32\WmxxJmG.exe
  C:\Windows\System32\WmxxJmG.exe
  2⤵
  PID:10308
- C:\Windows\System32\fCaEgaW.exe
  C:\Windows\System32\fCaEgaW.exe
  2⤵
  PID:10336
- C:\Windows\System32\acPiuKC.exe
  C:\Windows\System32\acPiuKC.exe
  2⤵
  PID:10364
- C:\Windows\System32\RrgZxeW.exe
  C:\Windows\System32\RrgZxeW.exe
  2⤵
  PID:10392
- C:\Windows\System32\VMYeXgE.exe
  C:\Windows\System32\VMYeXgE.exe
  2⤵
  PID:10420
- C:\Windows\System32\dUUsUtD.exe
  C:\Windows\System32\dUUsUtD.exe
  2⤵
  PID:10448
- C:\Windows\System32\hdGvFRm.exe
  C:\Windows\System32\hdGvFRm.exe
  2⤵
  PID:10476
- C:\Windows\System32\zFnQxFw.exe
  C:\Windows\System32\zFnQxFw.exe
  2⤵
  PID:10504
- C:\Windows\System32\jpFsopk.exe
  C:\Windows\System32\jpFsopk.exe
  2⤵
  PID:10532
- C:\Windows\System32\EIxnZiE.exe
  C:\Windows\System32\EIxnZiE.exe
  2⤵
  PID:10560
- C:\Windows\System32\JNgrjAn.exe
  C:\Windows\System32\JNgrjAn.exe
  2⤵
  PID:10588
- C:\Windows\System32\eRIDsgW.exe
  C:\Windows\System32\eRIDsgW.exe
  2⤵
  PID:10616
- C:\Windows\System32\zTsOnKe.exe
  C:\Windows\System32\zTsOnKe.exe
  2⤵
  PID:10644
- C:\Windows\System32\hMdMzMW.exe
  C:\Windows\System32\hMdMzMW.exe
  2⤵
  PID:10672
- C:\Windows\System32\rxwvihG.exe
  C:\Windows\System32\rxwvihG.exe
  2⤵
  PID:10700
- C:\Windows\System32\efVSfAM.exe
  C:\Windows\System32\efVSfAM.exe
  2⤵
  PID:10728
- C:\Windows\System32\qkZVUml.exe
  C:\Windows\System32\qkZVUml.exe
  2⤵
  PID:10760
- C:\Windows\System32\FcXaKym.exe
  C:\Windows\System32\FcXaKym.exe
  2⤵
  PID:10780
- C:\Windows\System32\lTJKcVt.exe
  C:\Windows\System32\lTJKcVt.exe
  2⤵
  PID:10820
- C:\Windows\System32\GLPDaMV.exe
  C:\Windows\System32\GLPDaMV.exe
  2⤵
  PID:10848
- C:\Windows\System32\iicPhUc.exe
  C:\Windows\System32\iicPhUc.exe
  2⤵
  PID:10876
- C:\Windows\System32\UurKZTH.exe
  C:\Windows\System32\UurKZTH.exe
  2⤵
  PID:10892
- C:\Windows\System32\ZrTGYAd.exe
  C:\Windows\System32\ZrTGYAd.exe
  2⤵
  PID:10936
- C:\Windows\System32\rNbAqdd.exe
  C:\Windows\System32\rNbAqdd.exe
  2⤵
  PID:10964
- C:\Windows\System32\tffJnEu.exe
  C:\Windows\System32\tffJnEu.exe
  2⤵
  PID:10992
- C:\Windows\System32\NfAVfHW.exe
  C:\Windows\System32\NfAVfHW.exe
  2⤵
  PID:11020
- C:\Windows\System32\JYVoDRh.exe
  C:\Windows\System32\JYVoDRh.exe
  2⤵
  PID:11048
- C:\Windows\System32\AkqoDRv.exe
  C:\Windows\System32\AkqoDRv.exe
  2⤵
  PID:11076
- C:\Windows\System32\KoEZvEZ.exe
  C:\Windows\System32\KoEZvEZ.exe
  2⤵
  PID:11104
- C:\Windows\System32\Eavjbll.exe
  C:\Windows\System32\Eavjbll.exe
  2⤵
  PID:11132
- C:\Windows\System32\SbyKkLU.exe
  C:\Windows\System32\SbyKkLU.exe
  2⤵
  PID:11160
- C:\Windows\System32\byyEARK.exe
  C:\Windows\System32\byyEARK.exe
  2⤵
  PID:11188
- C:\Windows\System32\eLdxRaF.exe
  C:\Windows\System32\eLdxRaF.exe
  2⤵
  PID:11224
- C:\Windows\System32\eUqAhSM.exe
  C:\Windows\System32\eUqAhSM.exe
  2⤵
  PID:11252
- C:\Windows\System32\grBrLqk.exe
  C:\Windows\System32\grBrLqk.exe
  2⤵
  PID:10276
- C:\Windows\System32\eRQOuWz.exe
  C:\Windows\System32\eRQOuWz.exe
  2⤵
  PID:10348
- C:\Windows\System32\isIGFhb.exe
  C:\Windows\System32\isIGFhb.exe
  2⤵
  PID:10412
- C:\Windows\System32\ROLHMgI.exe
  C:\Windows\System32\ROLHMgI.exe
  2⤵
  PID:10468
- C:\Windows\System32\gWFYsjy.exe
  C:\Windows\System32\gWFYsjy.exe
  2⤵
  PID:10552
- C:\Windows\System32\WDGerwr.exe
  C:\Windows\System32\WDGerwr.exe
  2⤵
  PID:10612
- C:\Windows\System32\fZDYrvC.exe
  C:\Windows\System32\fZDYrvC.exe
  2⤵
  PID:10668
- C:\Windows\System32\RDmYDxk.exe
  C:\Windows\System32\RDmYDxk.exe
  2⤵
  PID:10740
- C:\Windows\System32\mSgiutY.exe
  C:\Windows\System32\mSgiutY.exe
  2⤵
  PID:10812
- C:\Windows\System32\Pdrpcjp.exe
  C:\Windows\System32\Pdrpcjp.exe
  2⤵
  PID:10884
- C:\Windows\System32\aaokUAA.exe
  C:\Windows\System32\aaokUAA.exe
  2⤵
  PID:10948
- C:\Windows\System32\WxWDolp.exe
  C:\Windows\System32\WxWDolp.exe
  2⤵
  PID:11060
- C:\Windows\System32\VZoYATD.exe
  C:\Windows\System32\VZoYATD.exe
  2⤵
  PID:11156
- C:\Windows\System32\tOvhsTc.exe
  C:\Windows\System32\tOvhsTc.exe
  2⤵
  PID:11208
- C:\Windows\System32\eFlYqfR.exe
  C:\Windows\System32\eFlYqfR.exe
  2⤵
  PID:10272
- C:\Windows\System32\oNoeDAJ.exe
  C:\Windows\System32\oNoeDAJ.exe
  2⤵
  PID:10460
- C:\Windows\System32\pcaeDoQ.exe
  C:\Windows\System32\pcaeDoQ.exe
  2⤵
  PID:9692
- C:\Windows\System32\gwxemTu.exe
  C:\Windows\System32\gwxemTu.exe
  2⤵
  PID:10776
- C:\Windows\System32\STxezNn.exe
  C:\Windows\System32\STxezNn.exe
  2⤵
  PID:10976
- C:\Windows\System32\GqLRWnU.exe
  C:\Windows\System32\GqLRWnU.exe
  2⤵
  PID:11144
- C:\Windows\System32\VCoMmom.exe
  C:\Windows\System32\VCoMmom.exe
  2⤵
  PID:11248
- C:\Windows\System32\KsJIOuC.exe
  C:\Windows\System32\KsJIOuC.exe
  2⤵
  PID:10600
- C:\Windows\System32\UoKLPdM.exe
  C:\Windows\System32\UoKLPdM.exe
  2⤵
  PID:10912
- C:\Windows\System32\Cbmwyjs.exe
  C:\Windows\System32\Cbmwyjs.exe
  2⤵
  PID:10932
- C:\Windows\System32\acncBlH.exe
  C:\Windows\System32\acncBlH.exe
  2⤵
  PID:11012
- C:\Windows\System32\mtDjhZH.exe
  C:\Windows\System32\mtDjhZH.exe
  2⤵
  PID:11268
- C:\Windows\System32\kJpJYMC.exe
  C:\Windows\System32\kJpJYMC.exe
  2⤵
  PID:11296
- C:\Windows\System32\jHAUBYz.exe
  C:\Windows\System32\jHAUBYz.exe
  2⤵
  PID:11324
- C:\Windows\System32\rBebjWn.exe
  C:\Windows\System32\rBebjWn.exe
  2⤵
  PID:11352
- C:\Windows\System32\PzkqBty.exe
  C:\Windows\System32\PzkqBty.exe
  2⤵
  PID:11380
- C:\Windows\System32\vySMtEt.exe
  C:\Windows\System32\vySMtEt.exe
  2⤵
  PID:11408
- C:\Windows\System32\CHRdvQo.exe
  C:\Windows\System32\CHRdvQo.exe
  2⤵
  PID:11436
- C:\Windows\System32\QJjurtE.exe
  C:\Windows\System32\QJjurtE.exe
  2⤵
  PID:11468
- C:\Windows\System32\AoWTLcI.exe
  C:\Windows\System32\AoWTLcI.exe
  2⤵
  PID:11496
- C:\Windows\System32\SPEUxcJ.exe
  C:\Windows\System32\SPEUxcJ.exe
  2⤵
  PID:11524
- C:\Windows\System32\NLJQQuP.exe
  C:\Windows\System32\NLJQQuP.exe
  2⤵
  PID:11552
- C:\Windows\System32\JifiAAc.exe
  C:\Windows\System32\JifiAAc.exe
  2⤵
  PID:11580
- C:\Windows\System32\GfBlbtJ.exe
  C:\Windows\System32\GfBlbtJ.exe
  2⤵
  PID:11608
- C:\Windows\System32\IasRtwx.exe
  C:\Windows\System32\IasRtwx.exe
  2⤵
  PID:11636
- C:\Windows\System32\CYYOgrM.exe
  C:\Windows\System32\CYYOgrM.exe
  2⤵
  PID:11664
- C:\Windows\System32\icjpITT.exe
  C:\Windows\System32\icjpITT.exe
  2⤵
  PID:11692
- C:\Windows\System32\FiwzEjM.exe
  C:\Windows\System32\FiwzEjM.exe
  2⤵
  PID:11720
- C:\Windows\System32\byCQJPF.exe
  C:\Windows\System32\byCQJPF.exe
  2⤵
  PID:11748
- C:\Windows\System32\aNLyAWD.exe
  C:\Windows\System32\aNLyAWD.exe
  2⤵
  PID:11776
- C:\Windows\System32\psuSGHd.exe
  C:\Windows\System32\psuSGHd.exe
  2⤵
  PID:11804
- C:\Windows\System32\HjFMYfS.exe
  C:\Windows\System32\HjFMYfS.exe
  2⤵
  PID:11832
- C:\Windows\System32\dFJNhKd.exe
  C:\Windows\System32\dFJNhKd.exe
  2⤵
  PID:11860
- C:\Windows\System32\dAvUgDY.exe
  C:\Windows\System32\dAvUgDY.exe
  2⤵
  PID:11888
- C:\Windows\System32\LxZCLrp.exe
  C:\Windows\System32\LxZCLrp.exe
  2⤵
  PID:11920
- C:\Windows\System32\LkXQYva.exe
  C:\Windows\System32\LkXQYva.exe
  2⤵
  PID:11940
- C:\Windows\System32\MIdkLsM.exe
  C:\Windows\System32\MIdkLsM.exe
  2⤵
  PID:11972
- C:\Windows\System32\gqUJPsi.exe
  C:\Windows\System32\gqUJPsi.exe
  2⤵
  PID:12000
- C:\Windows\System32\qWyqASH.exe
  C:\Windows\System32\qWyqASH.exe
  2⤵
  PID:12028
- C:\Windows\System32\NYRNqwE.exe
  C:\Windows\System32\NYRNqwE.exe
  2⤵
  PID:12056
- C:\Windows\System32\YqGlFvQ.exe
  C:\Windows\System32\YqGlFvQ.exe
  2⤵
  PID:12084
- C:\Windows\System32\sLkymEr.exe
  C:\Windows\System32\sLkymEr.exe
  2⤵
  PID:12120
- C:\Windows\System32\psKGSNi.exe
  C:\Windows\System32\psKGSNi.exe
  2⤵
  PID:12140
- C:\Windows\System32\TlXrxUY.exe
  C:\Windows\System32\TlXrxUY.exe
  2⤵
  PID:12156
- C:\Windows\System32\RcWjOmB.exe
  C:\Windows\System32\RcWjOmB.exe
  2⤵
  PID:12196
- C:\Windows\System32\BXvxolK.exe
  C:\Windows\System32\BXvxolK.exe
  2⤵
  PID:12224
- C:\Windows\System32\VbCBECy.exe
  C:\Windows\System32\VbCBECy.exe
  2⤵
  PID:12252
- C:\Windows\System32\KLgKyJW.exe
  C:\Windows\System32\KLgKyJW.exe
  2⤵
  PID:12276
- C:\Windows\System32\VNJoxTw.exe
  C:\Windows\System32\VNJoxTw.exe
  2⤵
  PID:11308
- C:\Windows\System32\UAZOjwK.exe
  C:\Windows\System32\UAZOjwK.exe
  2⤵
  PID:11372
- C:\Windows\System32\YcWaCEw.exe
  C:\Windows\System32\YcWaCEw.exe
  2⤵
  PID:11432
- C:\Windows\System32\FxrGRxa.exe
  C:\Windows\System32\FxrGRxa.exe
  2⤵
  PID:11492
- C:\Windows\System32\IwxkpGu.exe
  C:\Windows\System32\IwxkpGu.exe
  2⤵
  PID:11544
- C:\Windows\System32\sACnvgc.exe
  C:\Windows\System32\sACnvgc.exe
  2⤵
  PID:11624
- C:\Windows\System32\NFJLOZb.exe
  C:\Windows\System32\NFJLOZb.exe
  2⤵
  PID:11676
- C:\Windows\System32\CFNyiKf.exe
  C:\Windows\System32\CFNyiKf.exe
  2⤵
  PID:11740
- C:\Windows\System32\zZbPRro.exe
  C:\Windows\System32\zZbPRro.exe
  2⤵
  PID:11800
- C:\Windows\System32\EkSmsgj.exe
  C:\Windows\System32\EkSmsgj.exe
  2⤵
  PID:11872
- C:\Windows\System32\ukqWgLk.exe
  C:\Windows\System32\ukqWgLk.exe
  2⤵
  PID:11908
- C:\Windows\System32\MMbanoT.exe
  C:\Windows\System32\MMbanoT.exe
  2⤵
  PID:11956
- C:\Windows\System32\RtTTapj.exe
  C:\Windows\System32\RtTTapj.exe
  2⤵
  PID:12044
- C:\Windows\System32\qVVYKks.exe
  C:\Windows\System32\qVVYKks.exe
  2⤵
  PID:12108
- C:\Windows\System32\PUvVhuj.exe
  C:\Windows\System32\PUvVhuj.exe
  2⤵
  PID:12168
- C:\Windows\System32\YhWQtFD.exe
  C:\Windows\System32\YhWQtFD.exe
  2⤵
  PID:11288
- C:\Windows\System32\rlMAOKc.exe
  C:\Windows\System32\rlMAOKc.exe
  2⤵
  PID:11404
- C:\Windows\System32\LLYloFr.exe
  C:\Windows\System32\LLYloFr.exe
  2⤵
  PID:11548
- C:\Windows\System32\rCjGgDe.exe
  C:\Windows\System32\rCjGgDe.exe
  2⤵
  PID:11652
- C:\Windows\System32\hpVOFUd.exe
  C:\Windows\System32\hpVOFUd.exe
  2⤵
  PID:11788
- C:\Windows\System32\lqxqkrb.exe
  C:\Windows\System32\lqxqkrb.exe
  2⤵
  PID:11876
- C:\Windows\System32\wnvJsfD.exe
  C:\Windows\System32\wnvJsfD.exe
  2⤵
  PID:12096
- C:\Windows\System32\kXKESZk.exe
  C:\Windows\System32\kXKESZk.exe
  2⤵
  PID:12248
- C:\Windows\System32\hEgpTmA.exe
  C:\Windows\System32\hEgpTmA.exe
  2⤵
  PID:11592
- C:\Windows\System32\wHRlaUz.exe
  C:\Windows\System32\wHRlaUz.exe
  2⤵
  PID:11852
- C:\Windows\System32\iEMJLeX.exe
  C:\Windows\System32\iEMJLeX.exe
  2⤵
  PID:12208
- C:\Windows\System32\xPgbbxd.exe
  C:\Windows\System32\xPgbbxd.exe
  2⤵
  PID:12080
- C:\Windows\System32\jwWyCHg.exe
  C:\Windows\System32\jwWyCHg.exe
  2⤵
  PID:11732
- C:\Windows\System32\ZXCsXWS.exe
  C:\Windows\System32\ZXCsXWS.exe
  2⤵
  PID:12312
- C:\Windows\System32\pRkgPoi.exe
  C:\Windows\System32\pRkgPoi.exe
  2⤵
  PID:12336
- C:\Windows\System32\PdKxYPr.exe
  C:\Windows\System32\PdKxYPr.exe
  2⤵
  PID:12352
- C:\Windows\System32\mKiVbxi.exe
  C:\Windows\System32\mKiVbxi.exe
  2⤵
  PID:12404
- C:\Windows\System32\sJkjQbv.exe
  C:\Windows\System32\sJkjQbv.exe
  2⤵
  PID:12432
- C:\Windows\System32\WWUsKOX.exe
  C:\Windows\System32\WWUsKOX.exe
  2⤵
  PID:12460
- C:\Windows\System32\gHdEENL.exe
  C:\Windows\System32\gHdEENL.exe
  2⤵
  PID:12488
- C:\Windows\System32\zQuFUQg.exe
  C:\Windows\System32\zQuFUQg.exe
  2⤵
  PID:12508
- C:\Windows\System32\efnhfcf.exe
  C:\Windows\System32\efnhfcf.exe
  2⤵
  PID:12524
- C:\Windows\System32\SDfsbdu.exe
  C:\Windows\System32\SDfsbdu.exe
  2⤵
  PID:12564
- C:\Windows\System32\QXVWWiF.exe
  C:\Windows\System32\QXVWWiF.exe
  2⤵
  PID:12604
- C:\Windows\System32\TCFgheo.exe
  C:\Windows\System32\TCFgheo.exe
  2⤵
  PID:12632
- C:\Windows\System32\lygDVUY.exe
  C:\Windows\System32\lygDVUY.exe
  2⤵
  PID:12660
- C:\Windows\System32\iLBIDcF.exe
  C:\Windows\System32\iLBIDcF.exe
  2⤵
  PID:12688
- C:\Windows\System32\FBVbxZc.exe
  C:\Windows\System32\FBVbxZc.exe
  2⤵
  PID:12716
- C:\Windows\System32\gLSktHG.exe
  C:\Windows\System32\gLSktHG.exe
  2⤵
  PID:12744
- C:\Windows\System32\ZfgdjjV.exe
  C:\Windows\System32\ZfgdjjV.exe
  2⤵
  PID:12772
- C:\Windows\System32\exPxXCk.exe
  C:\Windows\System32\exPxXCk.exe
  2⤵
  PID:12800
- C:\Windows\System32\UfqVAjO.exe
  C:\Windows\System32\UfqVAjO.exe
  2⤵
  PID:12840
- C:\Windows\System32\lkIFxCW.exe
  C:\Windows\System32\lkIFxCW.exe
  2⤵
  PID:12876
- C:\Windows\System32\UTOewwA.exe
  C:\Windows\System32\UTOewwA.exe
  2⤵
  PID:12916
- C:\Windows\System32\eCOhFHS.exe
  C:\Windows\System32\eCOhFHS.exe
  2⤵
  PID:12960
- C:\Windows\System32\uwLduYy.exe
  C:\Windows\System32\uwLduYy.exe
  2⤵
  PID:12992
- C:\Windows\System32\XBQrIgK.exe
  C:\Windows\System32\XBQrIgK.exe
  2⤵
  PID:13044
- C:\Windows\System32\BUzXtrX.exe
  C:\Windows\System32\BUzXtrX.exe
  2⤵
  PID:13084
- C:\Windows\System32\ZxeEgjI.exe
  C:\Windows\System32\ZxeEgjI.exe
  2⤵
  PID:13116
- C:\Windows\System32\XUnnLxZ.exe
  C:\Windows\System32\XUnnLxZ.exe
  2⤵
  PID:13152
- C:\Windows\System32\pVVNOSN.exe
  C:\Windows\System32\pVVNOSN.exe
  2⤵
  PID:13180
- C:\Windows\System32\kdRweqV.exe
  C:\Windows\System32\kdRweqV.exe
  2⤵
  PID:13220
- C:\Windows\System32\apTLFhM.exe
  C:\Windows\System32\apTLFhM.exe
  2⤵
  PID:13264
- C:\Windows\System32\nJPHwUc.exe
  C:\Windows\System32\nJPHwUc.exe
  2⤵
  PID:13288
- C:\Windows\System32\ihEzZFV.exe
  C:\Windows\System32\ihEzZFV.exe
  2⤵
  PID:12292
- C:\Windows\System32\htuPuXK.exe
  C:\Windows\System32\htuPuXK.exe
  2⤵
  PID:12364
- C:\Windows\System32\zYkcnae.exe
  C:\Windows\System32\zYkcnae.exe
  2⤵
  PID:12424
- C:\Windows\System32\JvDMujP.exe
  C:\Windows\System32\JvDMujP.exe
  2⤵
  PID:12520
- C:\Windows\System32\rpSCIZn.exe
  C:\Windows\System32\rpSCIZn.exe
  2⤵
  PID:12600
- C:\Windows\System32\gWJXGla.exe
  C:\Windows\System32\gWJXGla.exe
  2⤵
  PID:12652
- C:\Windows\System32\giyuKJC.exe
  C:\Windows\System32\giyuKJC.exe
  2⤵
  PID:12684
- C:\Windows\System32\lLywehZ.exe
  C:\Windows\System32\lLywehZ.exe
  2⤵
  PID:12796
- C:\Windows\System32\MoTODRE.exe
  C:\Windows\System32\MoTODRE.exe
  2⤵
  PID:12836
- C:\Windows\System32\oRiUxkb.exe
  C:\Windows\System32\oRiUxkb.exe
  2⤵
  PID:12896
- C:\Windows\System32\nJqgspL.exe
  C:\Windows\System32\nJqgspL.exe
  2⤵
  PID:13028
- C:\Windows\System32\esKbTJQ.exe
  C:\Windows\System32\esKbTJQ.exe
  2⤵
  PID:13148
- C:\Windows\System32\IKDceQo.exe
  C:\Windows\System32\IKDceQo.exe
  2⤵
  PID:13212
- C:\Windows\System32\oFLXFEt.exe
  C:\Windows\System32\oFLXFEt.exe
  2⤵
  PID:13256

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:8596

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\AYUmVsg.exe

Filesize
3.2MB

MD5
d4c746f0f02c7ca7eb9300d477dc1241

SHA1
28721137c3a2a3fafe8a4ef58cef5e334de8339f

SHA256
54b261f066777861bdc6be0dc48d3d78c04869ca0ce7384b054494703974c6b0

SHA512
0faeed1a43148e64704c9801940a976f13a12cd323ee25a09d0147291f887b97a74e54507c71a343428592a97c594f2139a760f1cdc289b581a93448e9c680b8

Download Submit
C:\Windows\System32\BMHCAqI.exe

Filesize
3.2MB

MD5
cd45547b7ba5b40d648e68e6b3105390

SHA1
cee8a4e49ed2845b7e665d849e0a63a0ea545007

SHA256
12f95f45823785e1020c468485c4475dc1c581587d3228be8250c4f2dc2e55fb

SHA512
a87e398740a00cc91e193fa2c0979b7ff13299bb887862616c75a2a7156bc7ca1b796f3d6aa38c49f6c658ea109a235e6b3e4bb89f4fdb96f686d4a6f2d95b26

Download Submit
C:\Windows\System32\DCSkJCx.exe

Filesize
3.2MB

MD5
c96d4575686c0b4b5f51a81c11cbff2b

SHA1
5720e2652f2aec26beb40cf613ee144a04ff2675

SHA256
a7c2e1959e889c773fcae02d604004b9a7e9b3a7886245dfa33cd50493d191f9

SHA512
3e5e9dbf22b2495373c2ba49178633ef9e94ea75f255e4a37e9df1b826caed8424055cadc25cd4384c28b132ed37a4c36534551d2256da3a3cee2df3f9135b01

Download Submit
C:\Windows\System32\FRTSKqs.exe

Filesize
3.2MB

MD5
65dee9269063760e92a940db31d08d2b

SHA1
2d4cec335d082dba9fefd727ba33b8666657b258

SHA256
98a16caa7dc3ed9da6cd9e4b0ac83e0c262e991943732fcf08a6712a68da3db8

SHA512
c60edd4ea29da3cbb177b8332864e37da364e9d23971ae6c4143e1426fde95b2f06fe12fb6cd11ef74427b5f10c8642bc21b3aabdb883eca5848e2d31a26c2b4

Download Submit
C:\Windows\System32\GOmQzPk.exe

Filesize
3.2MB

MD5
29d257dd14795219c395420e5eaabe6f

SHA1
78e3d42289c17dd0a41dd4b243fa5dc6ffef45f6

SHA256
f9a7ab4497fe5c77cec9ff28457cbff09b2f2c522638aed0ffd2ae2ecdf45e76

SHA512
9175145533971efa4af73f64ab66d53932cf86d754a5ab5bb5f8e1b9c3680e1e5856185ba2fbbc953bbc6da91ae0592bac84bfc9f92cb7cdd48daa27f5821232

Download Submit
C:\Windows\System32\GuTJNbF.exe

Filesize
3.2MB

MD5
8a61d3595cdb54de5ab7fb6376bd861a

SHA1
45360ffcd7e88d71b77674d7da3e2033d5c52a97

SHA256
1c3f0bc9454a1129b5f5f28cbfa3a9c5b80269b87eef97d5757438bd811a808a

SHA512
dbaa3e0dd95c3a7e80ee31e42f9bc927689008d260e57332359d203f8fe240ce9c3cab4bb01298fc46afa993ce62638a72e5404247b316931b6e6b8ac86027b0

Download Submit
C:\Windows\System32\HMXXLhi.exe

Filesize
3.2MB

MD5
e6ddbf4021a38eedd015aafaf55a61d7

SHA1
e9a558116f372f7877ebab658bb5240a8a64fa53

SHA256
a7a12304fcf75695e9d352ebda10f8c18bc1d7c88ab29c0b18bc9d29d6e9608e

SHA512
3785e867fa3ce9ef2ef6571a3ee200e75d5b3abc3935c07c4bc1079255dc4439614e25cbfd5b564f1922dbb62db720df3958a623078f53fce3874cd0212e40a1

Download Submit
C:\Windows\System32\KhpxGwn.exe

Filesize
3.2MB

MD5
89b7ecd6390b06f0a41cbab63b2049eb

SHA1
4b0901e1dba8ce752d387af9ca479ba0dcf236c9

SHA256
f94c430b135e0faab6e7d069d9c38520ee6a3b05c10d081488c6bb282dc32f8f

SHA512
c9d94e8885dfc6c24b59599e55be4281f829519f0fed4b4f64cf6d49a923d47a1c149036f3fbb2362481405538c494a29d54547ba03b608965a6393a152d4a81

Download Submit
C:\Windows\System32\KpsGEOu.exe

Filesize
3.2MB

MD5
36659c15e8ef8e5e0c822fda6ffa0005

SHA1
f4738eed82477827ec8373c558ca2669a1026cf4

SHA256
c74a066848527db1695a7d86d53bff8f7757d5c06044d2b4eb8503eb60b1d9e5

SHA512
14594f6ef912904e51bd016169c11b21fc9d8be0f25942fe49d1479028f1dd3d7fae4024cef264f94bb6ad2c7e0e0c257736d0a578ba16b3b04d00168b0a8e36

Download Submit
C:\Windows\System32\LotCABx.exe

Filesize
3.2MB

MD5
5079fc0dff6c98e68dfb2f38fe8f7b84

SHA1
a666b9c748a7f966f71d7fdd83c28771edff421d

SHA256
546d9a234d3b13a5685513f8552dbd5593f60218c36e97595cd186e1d6bc5aa0

SHA512
420432bf7b3ff36942cd1206fc13ae8f0322813ea0244edf1a72d91db9e2d958aaedd4d2fa6af52b3f42e2bd601b5765b3258410fdda498a4033df8d261c2257

Download Submit
C:\Windows\System32\ORJINFX.exe

Filesize
3.2MB

MD5
787251214660c8ea33f3dc643ab60843

SHA1
cda3b32fd451ca277940e054bb6ff9330ec38f1c

SHA256
e6fb0a58d934603edd94be4708f4497ab11c09781d6dc753572fa6ba7de137fd

SHA512
a6089049877c37b10ec97172cfd5107fce1ffc8068e0fe4b9d5ba4a2950fbef7faec3ae5ad4909d5cee90d4a7cd000cf51b78a30129c6e3cf340ec8bcbae063f

Download Submit
C:\Windows\System32\Rcxtigd.exe

Filesize
3.2MB

MD5
6882ada679ee0e80a46cc6d6836b2364

SHA1
db65645fb9a2f08ef422f26fc2b6b5d22f3f10f1

SHA256
1dc6add41a8ecb2891008ffeaff0ee2b3d536aa2e243a64b452cb0b5985f905e

SHA512
e98a3cfd4d59d7c35f888e72426af82cd92909736d8616073bbe6d17a5a5a06b126327022567e5b90970d9ede0993b3a0a884ffbc3e765d99ce8efbbadd3d042

Download Submit
C:\Windows\System32\TuBWkTG.exe

Filesize
3.2MB

MD5
89d9fe4f915242d2bcb76a284a83cddf

SHA1
2c71914eeef5895ece37422168808c8889a76aea

SHA256
bce7e4f31890890ae9276109a80be8448bbf42f42a3828110220eae6de70ed73

SHA512
64b3e0c7593c254316fcdf90a8915a7a4890ce48fa85c4e7106deac5f706f3d7da44337aa15516f8ab3764782cee6e73748d8a9784ff5d60e6e6ba670671b534

Download Submit
C:\Windows\System32\XcHYtzr.exe

Filesize
3.2MB

MD5
01dc3863002fb916535c6692cf4392d0

SHA1
f83ae04f4260b6d8689a2942cc38170974198574

SHA256
2e0170b32ef32ce59db4cfa4e47a7df1e79520729a6468556268dde121e498db

SHA512
7d36e50b0522fd4fecca5c1ef646534977a0272d604b4cffcb30232c90632c6c1e79a12b7fc463396e0e108e2186c8b7f648937b1527cd037812f6de72b9fb4b

Download Submit
C:\Windows\System32\XliGLMz.exe

Filesize
3.2MB

MD5
e8a1f5020494e082d6efbffcdaac6709

SHA1
6ac3df8a03e140e050e8857a3cd3195147ccaefb

SHA256
1eb71c986046774e4f4753550bd27eed68a1780398f050810806a9b86da22176

SHA512
e57697c20a44e84baef4a584b45d5839f4577c863626ddf95b8b5b11d28c7e875b612f4eb0d3e1dd05eaefba9b2363e8f48a4af1f63d14e16d897cfbcf01f7a0

Download Submit
C:\Windows\System32\ZaVpFDV.exe

Filesize
3.2MB

MD5
8edf862bf8fd73960476a5cb7e1fa02b

SHA1
8e262592c21db3c7907db685bb20bcb476ad8b49

SHA256
0f441dc462e8a5d5664e25504e91dbd9bf82b678eef34b412108cdd680a51e6c

SHA512
1721bba7c466f8aebd7108f8579345f832067ef8522d5c3a5f30c11e2d7a3148b98e52337d86781f08d25826b33a1a2788631b93046c83d4c1e82c3e1894a36f

Download Submit
C:\Windows\System32\afMjNPy.exe

Filesize
3.2MB

MD5
ca2982ccc5724e54e50e8a792f769b03

SHA1
580f01b410db1f640b14f070f0eefbeb5a8bfebb

SHA256
58dea23f96437acf7dd5830d609361a976fff8aa6aecff38a6f62addf3c70684

SHA512
3d999fa375c9156bb93929359e3592d9d34ffdceaafb02be8f5e015f240a33ed1470edb9f84f6cda1adf8119da62d9d65985abea82834f1d65355fe53e68016f

Download Submit
C:\Windows\System32\cPAFXGI.exe

Filesize
3.2MB

MD5
1a2d3c8ec043c248ef837658f1256d3a

SHA1
a95e0b694e6dadbb0f1b56463d93b2e937eaac88

SHA256
98c98b54bbd0e2491e0acae10ac1e8b2dbd0733dc418d663c05fb7fa5a4592c1

SHA512
39a9a36ad7ca01431c500406d8078665d8a68cb3b57b5075441f731db50e84940828ca3099c89b1bb3ef49b335388a06c664596102e087e5b3965398fbcb0072

Download Submit
C:\Windows\System32\eqLASts.exe

Filesize
3.2MB

MD5
772eefe0200353902068dff162581292

SHA1
6331d23d1c74dac34713c2ad650f513bcb5498b2

SHA256
c20ab6293c3f32da38f87eff6831140fc8d22d077364d1b207f960c902c0d291

SHA512
2a76d00f8a506674957b09ff9869159f90171378292767d72d6a1ed814d9dad4f23c5dc7730d3904beda789a9d70695269d71b2b2a42ef169d1ec3915a3d440c

Download Submit
C:\Windows\System32\fwrSMie.exe

Filesize
3.2MB

MD5
38ed3d64411366bb6d02e5ac49a945c9

SHA1
170d0c1b75e40e2fb175a458b16c51a17c7801c8

SHA256
c7665d7658eb6d1148448eb07cebcf9021e63875a9499149a7c92081270e47ca

SHA512
332e3df770f07178fc9e6c20ac02de314b14fe2400901caf1c1315a15f10f63b8cbcfb08bcf27ecc332d42579ff8573decaffc90b206283ff771c2e14e7275e3

Download Submit
C:\Windows\System32\gXWFqca.exe

Filesize
3.2MB

MD5
464fdb0047197105a3a0acfb9a0eb65a

SHA1
f97d696a4090e258610655735faf9e70bb07f093

SHA256
86d5babd8565f4770decec197af8f3eb5d00480e5be055702d310da10c14b5e8

SHA512
4b95fc4de0c4295265f91ded5f6e5fc01c2895ac4025f0cf675957dba2955bf4e4f4ec5be7c49605e3d182f75e1dafa0bcacb6cd342f90ff9d99c6282ea7a55a

Download Submit
C:\Windows\System32\igHBDtj.exe

Filesize
3.2MB

MD5
4832cbc8a68892a1e20f34fb1a7d5573

SHA1
9007d2cd55062dda490cff458def216e220dd07a

SHA256
1f1a94c805336958669052ee23c27d302f131a9014794b5a257a203151c2675a

SHA512
3494749a66be7534e0205d4828113620828c4226d91304362395b54f78f6f9625f55f8e1b50be58ebd4edcd9ff6636e8bf782d153cf02fc94da5497561360d43

Download Submit
C:\Windows\System32\mkXWHgR.exe

Filesize
3.2MB

MD5
09deb99068373566f348c9c5142af198

SHA1
e487e33ba90ebcc00f2028bad2f2479b8fe22ee6

SHA256
f2584e9c96f1a2717bfd1a7ebcd564905e564a670e2eae1d601922e8ffae08c2

SHA512
4612792aff42df5ff912a3067e52e9ce985b115d7b6580d411f735c1533789ca103a6e09018367d97035fea11a9f8f707d3d46a8c8c6700c8518c05023d1bb66

Download Submit
C:\Windows\System32\pRToNbp.exe

Filesize
3.2MB

MD5
f6f67fb29995f44a699de368eeef8299

SHA1
cc41d89f06c811a64e3493707d24191428cd9947

SHA256
c1685673a364289e04c38cdeab19fb6d93bea39791256eeac6878ce67f01117b

SHA512
d59f0384f40e5f8788dc1481365252ec6d1da025a3a9c8d9acc4ff541ae9bdd7818d46c1af412fc23532fc72b8794dc769fffbb3e451189573c20e1708d33a3e

Download Submit
C:\Windows\System32\rbOhEfX.exe

Filesize
3.2MB

MD5
48ba135912437c481c0fb487b444f0dc

SHA1
2f14223f3f1c1977a5c2600f1f76a62425fe31c7

SHA256
b9932b32fe79b13a071c31fd930e57306ab0591a2ea580b568f94c64c5d9b87b

SHA512
d227059287ce2767b8ad2bf02603a6d3e4ac5a75b3cd88cf6f9985c2b2f72c523d958be9e896dc5ebd83c85b04e5f5cb3dccd6cc91da30baae60e2b1ec8fbd4f

Download Submit
C:\Windows\System32\tIpabKC.exe

Filesize
3.2MB

MD5
aa510615378af4375d254c863ef10b3e

SHA1
7957eb86e4a5d0e9c0373a9ace40df95f1678b43

SHA256
48e39cd27cdc95b6c204672d946641a46e13092f0444f405131b7f4cad4ecbb8

SHA512
2608edf7e68364b5c47d502e1fac8720f1f3c5a194684bd0531d074a2b4543786877710eadb9dc7d291c1fc8f8f43f8ed0725d155cb62d1b45ca7b2de570c337

Download Submit
C:\Windows\System32\vneLQcU.exe

Filesize
3.2MB

MD5
065b96f5e34fcc8457cd447d674ff9cb

SHA1
3fcefa381af19ad145226e4e5bc9e8768c1ecb07

SHA256
9f73ff0f6d70fd4410c01e965cdaf26446618a9a265036e23525e91fd5ebaead

SHA512
2f0adbc7a018b35127fa69175abbd45abdd9c2e9287bafd7db7f7c465c62aa7a02c81ba7f2036dbf7b050dd1889e27fc419537161a9431338b62bc684511b5a5

Download Submit
C:\Windows\System32\wSRRHNb.exe

Filesize
3.2MB

MD5
2aed150579a9b4336e6922bf8b1f62e9

SHA1
c0ff7fa4148d7ca26be45e4cc9a6597a85fbb0e2

SHA256
2cdb99ff77d784632f3acde9d6924fb491a01cbc8ca68248f45632a921b1c10e

SHA512
6161b82043d4c5b882c4232009bf352228f5787cf0524b6eaa02f3ce6e426fdaf7861b6f2249f4042ad518195096c2fb9b195e0bb45cba739092147bc35f8a37

Download Submit
C:\Windows\System32\whvNJjA.exe

Filesize
3.2MB

MD5
6bef7d5f3c5af41c8327513c6160c9c0

SHA1
10489a93dfbef581a42cce4bda55066a9e7520ee

SHA256
44cd0fff998f1d7404a969d372801ebaa7c9445ce6f706873491ec19c1522e49

SHA512
a97a964fc8eb17d2ebfbdfaed3c924db9978d533146353f5d8ddbc9d75d2532f417a4cdd98085a08a29a5ace18da392fd4b88647b92a55f18869dd12e262929f

Download Submit
C:\Windows\System32\xawMHwv.exe

Filesize
3.2MB

MD5
befd9998b55874f565dd3034e69632a2

SHA1
dcfadb14261ae64039c35e84ae1921fc2e3a0bc7

SHA256
affa9b5f21f60d632203f66b65eb49bfc774891b766a119448112aac5900b6ef

SHA512
6694757e204728df84895c298925e814d6e55016b615c972d4bd58a704c36e2fb76ccbc58ee1ffa810abe16932af3f47a03da7907e050f9947be565968f11ad2

Download Submit
C:\Windows\System32\yCVyfIz.exe

Filesize
3.2MB

MD5
243a667cc058a26ab9eacc9b4741af33

SHA1
3f1a49c0025f4b9b8a5acd8b04391041fb9da0fe

SHA256
d3dfc0137c924e2bff155c6913f160119e5404600f603ae06a996a2796bad452

SHA512
1f230c68f352ba070e959ced4472e08f8a18e881417e34d685f58572388e16293baf54547b89cf1e80dc889db732a874f26ed1055b1c794f8eb63e6de5e29d8f

Download Submit
C:\Windows\System32\zQHhKgO.exe

Filesize
3.2MB

MD5
4d06084b5d591d13870f492352595c38

SHA1
75081c110e73a96428759e11536c7c60fb12fde3

SHA256
6ba96c465af1d283a8032563e9abff558268534e41475f7461e06d332c1cbf6c

SHA512
ab1019e404207181cc65d6da872e2a69fcf374f38cd57b8196537f7b039ce79bd1f82318ecc254ba0d3e80f1e7da06c28759def405fb9fdacaa6a9f39f8350fa

Download Submit
memory/8-1899-0x00007FF7A4540000-0x00007FF7A4935000-memory.dmp

Filesize
4.0MB

Download
memory/8-1-0x000001C74BCB0000-0x000001C74BCC0000-memory.dmp

Filesize
64KB

Download
memory/8-1373-0x00007FF7A4540000-0x00007FF7A4935000-memory.dmp

Filesize
4.0MB

Download
memory/8-0-0x00007FF7A4540000-0x00007FF7A4935000-memory.dmp

Filesize
4.0MB

Download
memory/448-748-0x00007FF6BABC0000-0x00007FF6BAFB5000-memory.dmp

Filesize
4.0MB

Download
memory/448-1910-0x00007FF6BABC0000-0x00007FF6BAFB5000-memory.dmp

Filesize
4.0MB

Download
memory/1052-38-0x00007FF6D9380000-0x00007FF6D9775000-memory.dmp

Filesize
4.0MB

Download
memory/1052-1905-0x00007FF6D9380000-0x00007FF6D9775000-memory.dmp

Filesize
4.0MB

Download
memory/1220-1898-0x00007FF762910000-0x00007FF762D05000-memory.dmp

Filesize
4.0MB

Download
memory/1220-1908-0x00007FF762910000-0x00007FF762D05000-memory.dmp

Filesize
4.0MB

Download
memory/1220-54-0x00007FF762910000-0x00007FF762D05000-memory.dmp

Filesize
4.0MB

Download
memory/1244-760-0x00007FF685600000-0x00007FF6859F5000-memory.dmp

Filesize
4.0MB

Download
memory/1244-1912-0x00007FF685600000-0x00007FF6859F5000-memory.dmp

Filesize
4.0MB

Download
memory/1284-15-0x00007FF630080000-0x00007FF630475000-memory.dmp

Filesize
4.0MB

Download
memory/1284-1901-0x00007FF630080000-0x00007FF630475000-memory.dmp

Filesize
4.0MB

Download
memory/1680-20-0x00007FF6AB2D0000-0x00007FF6AB6C5000-memory.dmp

Filesize
4.0MB

Download
memory/1680-1902-0x00007FF6AB2D0000-0x00007FF6AB6C5000-memory.dmp

Filesize
4.0MB

Download
memory/1960-51-0x00007FF6C2190000-0x00007FF6C2585000-memory.dmp

Filesize
4.0MB

Download
memory/1960-1906-0x00007FF6C2190000-0x00007FF6C2585000-memory.dmp

Filesize
4.0MB

Download
memory/2108-757-0x00007FF779E10000-0x00007FF77A205000-memory.dmp

Filesize
4.0MB

Download
memory/2108-1913-0x00007FF779E10000-0x00007FF77A205000-memory.dmp

Filesize
4.0MB

Download
memory/2340-816-0x00007FF7C8660000-0x00007FF7C8A55000-memory.dmp

Filesize
4.0MB

Download
memory/2340-1920-0x00007FF7C8660000-0x00007FF7C8A55000-memory.dmp

Filesize
4.0MB

Download
memory/2488-751-0x00007FF6AD6B0000-0x00007FF6ADAA5000-memory.dmp

Filesize
4.0MB

Download
memory/2488-1911-0x00007FF6AD6B0000-0x00007FF6ADAA5000-memory.dmp

Filesize
4.0MB

Download
memory/2912-742-0x00007FF683C20000-0x00007FF684015000-memory.dmp

Filesize
4.0MB

Download
memory/2912-1909-0x00007FF683C20000-0x00007FF684015000-memory.dmp

Filesize
4.0MB

Download
memory/3184-769-0x00007FF6A3D40000-0x00007FF6A4135000-memory.dmp

Filesize
4.0MB

Download
memory/3184-1916-0x00007FF6A3D40000-0x00007FF6A4135000-memory.dmp

Filesize
4.0MB

Download
memory/3276-803-0x00007FF69EC50000-0x00007FF69F045000-memory.dmp

Filesize
4.0MB

Download
memory/3276-1919-0x00007FF69EC50000-0x00007FF69F045000-memory.dmp

Filesize
4.0MB

Download
memory/3364-1904-0x00007FF72B450000-0x00007FF72B845000-memory.dmp

Filesize
4.0MB

Download
memory/3364-35-0x00007FF72B450000-0x00007FF72B845000-memory.dmp

Filesize
4.0MB

Download
memory/3460-1900-0x00007FF7A2960000-0x00007FF7A2D55000-memory.dmp

Filesize
4.0MB

Download
memory/3460-1374-0x00007FF7A2960000-0x00007FF7A2D55000-memory.dmp

Filesize
4.0MB

Download
memory/3460-9-0x00007FF7A2960000-0x00007FF7A2D55000-memory.dmp

Filesize
4.0MB

Download
memory/3596-1897-0x00007FF7D7010000-0x00007FF7D7405000-memory.dmp

Filesize
4.0MB

Download
memory/3596-52-0x00007FF7D7010000-0x00007FF7D7405000-memory.dmp

Filesize
4.0MB

Download
memory/3596-1907-0x00007FF7D7010000-0x00007FF7D7405000-memory.dmp

Filesize
4.0MB

Download
memory/3648-1915-0x00007FF7AAE10000-0x00007FF7AB205000-memory.dmp

Filesize
4.0MB

Download
memory/3648-776-0x00007FF7AAE10000-0x00007FF7AB205000-memory.dmp

Filesize
4.0MB

Download
memory/3848-766-0x00007FF6CDAC0000-0x00007FF6CDEB5000-memory.dmp

Filesize
4.0MB

Download
memory/3848-1914-0x00007FF6CDAC0000-0x00007FF6CDEB5000-memory.dmp

Filesize
4.0MB

Download
memory/4408-1917-0x00007FF76EDA0000-0x00007FF76F195000-memory.dmp

Filesize
4.0MB

Download
memory/4408-782-0x00007FF76EDA0000-0x00007FF76F195000-memory.dmp

Filesize
4.0MB

Download
memory/4636-817-0x00007FF714A10000-0x00007FF714E05000-memory.dmp

Filesize
4.0MB

Download
memory/4636-1921-0x00007FF714A10000-0x00007FF714E05000-memory.dmp

Filesize
4.0MB

Download
memory/4880-1922-0x00007FF7AE500000-0x00007FF7AE8F5000-memory.dmp

Filesize
4.0MB

Download
memory/4880-785-0x00007FF7AE500000-0x00007FF7AE8F5000-memory.dmp

Filesize
4.0MB

Download
memory/4892-806-0x00007FF60AD70000-0x00007FF60B165000-memory.dmp

Filesize
4.0MB

Download
memory/4892-1918-0x00007FF60AD70000-0x00007FF60B165000-memory.dmp

Filesize
4.0MB

Download
memory/5084-796-0x00007FF666B10000-0x00007FF666F05000-memory.dmp

Filesize
4.0MB

Download
memory/5084-1923-0x00007FF666B10000-0x00007FF666F05000-memory.dmp

Filesize
4.0MB

Download
memory/5092-1903-0x00007FF7668D0000-0x00007FF766CC5000-memory.dmp

Filesize
4.0MB

Download
memory/5092-28-0x00007FF7668D0000-0x00007FF766CC5000-memory.dmp

Filesize
4.0MB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads