xmrig | fa97f69d0c85fcf7f2a2f6586f6a7a24a5ab3e705b142053c81ca195baba1b24

Analysis

max time kernel
149s
max time network
151s
platform
windows10-2004_x64
resource
win10v2004-20240508-en
resource tags

arch:x64arch:x86image:win10v2004-20240508-enlocale:en-usos:windows10-2004-x64system
submitted
05/06/2024, 11:24

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
Size

1.5MB
MD5

524be4e827f56d7b656656a0f0c84420
SHA1

c762bfd7b430dc4affb308e00ac2b1596b245ff7
SHA256

fa97f69d0c85fcf7f2a2f6586f6a7a24a5ab3e705b142053c81ca195baba1b24
SHA512

6f50ff1b75ac7bcb7dc2c2dabafe6f85fe845f3742b80038f23b820883f2f38e6358e0ec69ce1e8d8c31f421d11eb2ee1bd7945305b31ca5dcca7e1805b6057f
SSDEEP

24576:JanwhSe11QSONCpGJCjETPlWXWZ5PbcqDWzgqsmJox1fLt8K2PzORNnkQLdGJ:knw9oUUEEDl37jcqDrUS1pRY

Score

10^/10

xmrig miner upx

Malware Config

Signatures

xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 49 IoCs

miner

resource	yara_rule
behavioral2/memory/1432-14-0x00007FF6567F0000-0x00007FF656BE1000-memory.dmp	xmrig
behavioral2/memory/1928-421-0x00007FF7A09D0000-0x00007FF7A0DC1000-memory.dmp	xmrig
behavioral2/memory/3360-39-0x00007FF6F8460000-0x00007FF6F8851000-memory.dmp	xmrig
behavioral2/memory/2032-422-0x00007FF7EB5D0000-0x00007FF7EB9C1000-memory.dmp	xmrig
behavioral2/memory/5008-424-0x00007FF6186E0000-0x00007FF618AD1000-memory.dmp	xmrig
behavioral2/memory/2340-423-0x00007FF6C8A50000-0x00007FF6C8E41000-memory.dmp	xmrig
behavioral2/memory/5000-425-0x00007FF71A810000-0x00007FF71AC01000-memory.dmp	xmrig
behavioral2/memory/3156-427-0x00007FF77A840000-0x00007FF77AC31000-memory.dmp	xmrig
behavioral2/memory/2512-426-0x00007FF638D10000-0x00007FF639101000-memory.dmp	xmrig
behavioral2/memory/3416-428-0x00007FF6339A0000-0x00007FF633D91000-memory.dmp	xmrig
behavioral2/memory/3812-429-0x00007FF79C6F0000-0x00007FF79CAE1000-memory.dmp	xmrig
behavioral2/memory/3332-430-0x00007FF6FF710000-0x00007FF6FFB01000-memory.dmp	xmrig
behavioral2/memory/376-432-0x00007FF7DD9D0000-0x00007FF7DDDC1000-memory.dmp	xmrig
behavioral2/memory/4376-431-0x00007FF72D230000-0x00007FF72D621000-memory.dmp	xmrig
behavioral2/memory/4476-433-0x00007FF664430000-0x00007FF664821000-memory.dmp	xmrig
behavioral2/memory/3624-447-0x00007FF7EDA20000-0x00007FF7EDE11000-memory.dmp	xmrig
behavioral2/memory/5116-459-0x00007FF6A72C0000-0x00007FF6A76B1000-memory.dmp	xmrig
behavioral2/memory/5032-464-0x00007FF71B100000-0x00007FF71B4F1000-memory.dmp	xmrig
behavioral2/memory/4180-439-0x00007FF632170000-0x00007FF632561000-memory.dmp	xmrig
behavioral2/memory/3056-437-0x00007FF7F48F0000-0x00007FF7F4CE1000-memory.dmp	xmrig
behavioral2/memory/4904-436-0x00007FF65B6E0000-0x00007FF65BAD1000-memory.dmp	xmrig
behavioral2/memory/2012-1964-0x00007FF62B830000-0x00007FF62BC21000-memory.dmp	xmrig
behavioral2/memory/2676-1993-0x00007FF775620000-0x00007FF775A11000-memory.dmp	xmrig
behavioral2/memory/396-1994-0x00007FF6AE540000-0x00007FF6AE931000-memory.dmp	xmrig
behavioral2/memory/3360-1995-0x00007FF6F8460000-0x00007FF6F8851000-memory.dmp	xmrig
behavioral2/memory/1432-2007-0x00007FF6567F0000-0x00007FF656BE1000-memory.dmp	xmrig
behavioral2/memory/2012-2009-0x00007FF62B830000-0x00007FF62BC21000-memory.dmp	xmrig
behavioral2/memory/2676-2011-0x00007FF775620000-0x00007FF775A11000-memory.dmp	xmrig
behavioral2/memory/396-2013-0x00007FF6AE540000-0x00007FF6AE931000-memory.dmp	xmrig
behavioral2/memory/3360-2015-0x00007FF6F8460000-0x00007FF6F8851000-memory.dmp	xmrig
behavioral2/memory/1928-2019-0x00007FF7A09D0000-0x00007FF7A0DC1000-memory.dmp	xmrig
behavioral2/memory/5116-2023-0x00007FF6A72C0000-0x00007FF6A76B1000-memory.dmp	xmrig
behavioral2/memory/5008-2027-0x00007FF6186E0000-0x00007FF618AD1000-memory.dmp	xmrig
behavioral2/memory/3416-2037-0x00007FF6339A0000-0x00007FF633D91000-memory.dmp	xmrig
behavioral2/memory/4476-2045-0x00007FF664430000-0x00007FF664821000-memory.dmp	xmrig
behavioral2/memory/3056-2049-0x00007FF7F48F0000-0x00007FF7F4CE1000-memory.dmp	xmrig
behavioral2/memory/4904-2047-0x00007FF65B6E0000-0x00007FF65BAD1000-memory.dmp	xmrig
behavioral2/memory/376-2043-0x00007FF7DD9D0000-0x00007FF7DDDC1000-memory.dmp	xmrig
behavioral2/memory/4376-2039-0x00007FF72D230000-0x00007FF72D621000-memory.dmp	xmrig
behavioral2/memory/3812-2035-0x00007FF79C6F0000-0x00007FF79CAE1000-memory.dmp	xmrig
behavioral2/memory/3332-2041-0x00007FF6FF710000-0x00007FF6FFB01000-memory.dmp	xmrig
behavioral2/memory/3156-2033-0x00007FF77A840000-0x00007FF77AC31000-memory.dmp	xmrig
behavioral2/memory/2512-2031-0x00007FF638D10000-0x00007FF639101000-memory.dmp	xmrig
behavioral2/memory/5000-2029-0x00007FF71A810000-0x00007FF71AC01000-memory.dmp	xmrig
behavioral2/memory/2340-2025-0x00007FF6C8A50000-0x00007FF6C8E41000-memory.dmp	xmrig
behavioral2/memory/2032-2021-0x00007FF7EB5D0000-0x00007FF7EB9C1000-memory.dmp	xmrig
behavioral2/memory/5032-2017-0x00007FF71B100000-0x00007FF71B4F1000-memory.dmp	xmrig
behavioral2/memory/3624-2053-0x00007FF7EDA20000-0x00007FF7EDE11000-memory.dmp	xmrig
behavioral2/memory/4180-2051-0x00007FF632170000-0x00007FF632561000-memory.dmp	xmrig

Executes dropped EXE 64 IoCs

pid	Process
1432	evpiUga.exe
2012	SdqNpcG.exe
2676	UdQnRCQ.exe
3360	yioyqJt.exe
396	KyRcTQY.exe
1928	GLRlYsN.exe
5116	BIvBBYW.exe
5032	YsYtzFD.exe
2032	QBxfvMb.exe
2340	yqVpbZx.exe
5008	SSaZDeZ.exe
5000	iFkxryZ.exe
2512	yAHQoev.exe
3156	jyambsP.exe
3416	qNnLVSm.exe
3812	UTLbBhg.exe
3332	fnrNOtC.exe
4376	APayJUa.exe
376	yFPgnwc.exe
4476	bZQqkWH.exe
4904	yWzMMMz.exe
3056	OSnQwte.exe
4180	QkDUKFr.exe
3624	ZrhjzQO.exe
2892	lzKNlpA.exe
628	kcBtRxA.exe
3740	LIMoCLU.exe
3536	quhonIS.exe
992	HhXHiBw.exe
2404	qSxZLYK.exe
4868	fCZZQSu.exe
4424	DojzeEc.exe
1448	IVAcLfZ.exe
3524	xRFLFCN.exe
4480	HshQvZx.exe
4788	ekfEQBc.exe
4400	jIZFbXx.exe
3404	gNDTFNV.exe
3816	zoKcGIC.exe
4612	VAirZRw.exe
3720	nLbLtQg.exe
3664	PjItNLQ.exe
804	xBGFgoO.exe
884	szegJKc.exe
1400	owAHgZd.exe
4420	EwpAwmt.exe
3104	cHqEfZU.exe
1296	JIOlPiH.exe
1264	SsUMOFQ.exe
4352	DXPocwg.exe
5052	WuDPMms.exe
1068	ZEaOPLR.exe
1056	NvnlDsV.exe
2900	djHjwnU.exe
4832	DsnxFyH.exe
4636	OEByLaa.exe
2496	pPOAwlr.exe
1076	OffZBXS.exe
4100	eurfqZY.exe
3960	nhZTOTE.exe
2188	JGqezmN.exe
4808	XwxpirF.exe
2176	KgDIxZX.exe
4604	eRGNohe.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/184-0-0x00007FF718DA0000-0x00007FF719191000-memory.dmp	upx
behavioral2/files/0x000700000002328e-5.dat	upx
behavioral2/files/0x0007000000023414-8.dat	upx
behavioral2/memory/1432-14-0x00007FF6567F0000-0x00007FF656BE1000-memory.dmp	upx
behavioral2/files/0x000900000002340d-13.dat	upx
behavioral2/memory/2676-25-0x00007FF775620000-0x00007FF775A11000-memory.dmp	upx
behavioral2/files/0x0007000000023416-31.dat	upx
behavioral2/memory/396-32-0x00007FF6AE540000-0x00007FF6AE931000-memory.dmp	upx
behavioral2/files/0x0007000000023417-42.dat	upx
behavioral2/files/0x0007000000023419-44.dat	upx
behavioral2/files/0x000700000002341a-54.dat	upx
behavioral2/files/0x000700000002341b-59.dat	upx
behavioral2/files/0x000700000002342c-138.dat	upx
behavioral2/files/0x0007000000023431-166.dat	upx
behavioral2/files/0x0007000000023430-161.dat	upx
behavioral2/files/0x000700000002342f-156.dat	upx
behavioral2/files/0x000700000002342e-151.dat	upx
behavioral2/files/0x000700000002342d-149.dat	upx
behavioral2/files/0x000700000002342b-137.dat	upx
behavioral2/memory/1928-421-0x00007FF7A09D0000-0x00007FF7A0DC1000-memory.dmp	upx
behavioral2/files/0x000700000002342a-134.dat	upx
behavioral2/files/0x0007000000023429-126.dat	upx
behavioral2/files/0x0007000000023428-121.dat	upx
behavioral2/files/0x0007000000023427-117.dat	upx
behavioral2/files/0x0007000000023426-114.dat	upx
behavioral2/files/0x0007000000023425-106.dat	upx
behavioral2/files/0x0007000000023424-104.dat	upx
behavioral2/files/0x0007000000023423-96.dat	upx
behavioral2/files/0x0007000000023422-94.dat	upx
behavioral2/files/0x0007000000023421-86.dat	upx
behavioral2/files/0x0007000000023420-84.dat	upx
behavioral2/files/0x000700000002341f-76.dat	upx
behavioral2/files/0x000700000002341e-71.dat	upx
behavioral2/files/0x000700000002341d-69.dat	upx
behavioral2/files/0x000700000002341c-62.dat	upx
behavioral2/files/0x0007000000023418-49.dat	upx
behavioral2/memory/3360-39-0x00007FF6F8460000-0x00007FF6F8851000-memory.dmp	upx
behavioral2/files/0x0007000000023415-30.dat	upx
behavioral2/memory/2012-17-0x00007FF62B830000-0x00007FF62BC21000-memory.dmp	upx
behavioral2/memory/2032-422-0x00007FF7EB5D0000-0x00007FF7EB9C1000-memory.dmp	upx
behavioral2/memory/5008-424-0x00007FF6186E0000-0x00007FF618AD1000-memory.dmp	upx
behavioral2/memory/2340-423-0x00007FF6C8A50000-0x00007FF6C8E41000-memory.dmp	upx
behavioral2/memory/5000-425-0x00007FF71A810000-0x00007FF71AC01000-memory.dmp	upx
behavioral2/memory/3156-427-0x00007FF77A840000-0x00007FF77AC31000-memory.dmp	upx
behavioral2/memory/2512-426-0x00007FF638D10000-0x00007FF639101000-memory.dmp	upx
behavioral2/memory/3416-428-0x00007FF6339A0000-0x00007FF633D91000-memory.dmp	upx
behavioral2/memory/3812-429-0x00007FF79C6F0000-0x00007FF79CAE1000-memory.dmp	upx
behavioral2/memory/3332-430-0x00007FF6FF710000-0x00007FF6FFB01000-memory.dmp	upx
behavioral2/memory/376-432-0x00007FF7DD9D0000-0x00007FF7DDDC1000-memory.dmp	upx
behavioral2/memory/4376-431-0x00007FF72D230000-0x00007FF72D621000-memory.dmp	upx
behavioral2/memory/4476-433-0x00007FF664430000-0x00007FF664821000-memory.dmp	upx
behavioral2/memory/3624-447-0x00007FF7EDA20000-0x00007FF7EDE11000-memory.dmp	upx
behavioral2/memory/5116-459-0x00007FF6A72C0000-0x00007FF6A76B1000-memory.dmp	upx
behavioral2/memory/5032-464-0x00007FF71B100000-0x00007FF71B4F1000-memory.dmp	upx
behavioral2/memory/4180-439-0x00007FF632170000-0x00007FF632561000-memory.dmp	upx
behavioral2/memory/3056-437-0x00007FF7F48F0000-0x00007FF7F4CE1000-memory.dmp	upx
behavioral2/memory/4904-436-0x00007FF65B6E0000-0x00007FF65BAD1000-memory.dmp	upx
behavioral2/memory/2012-1964-0x00007FF62B830000-0x00007FF62BC21000-memory.dmp	upx
behavioral2/memory/2676-1993-0x00007FF775620000-0x00007FF775A11000-memory.dmp	upx
behavioral2/memory/396-1994-0x00007FF6AE540000-0x00007FF6AE931000-memory.dmp	upx
behavioral2/memory/3360-1995-0x00007FF6F8460000-0x00007FF6F8851000-memory.dmp	upx
behavioral2/memory/1432-2007-0x00007FF6567F0000-0x00007FF656BE1000-memory.dmp	upx
behavioral2/memory/2012-2009-0x00007FF62B830000-0x00007FF62BC21000-memory.dmp	upx
behavioral2/memory/2676-2011-0x00007FF775620000-0x00007FF775A11000-memory.dmp	upx

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\System32\quhonIS.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\JIOlPiH.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\zSJKNOg.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\UPuegwa.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\bLJgJcS.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\ZjreFRC.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\XDNJCkb.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\jWqlqGD.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\uMUxYoU.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\wMaduNb.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\ZRrxFEn.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\hnsHHzw.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\AsKVLhm.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\iEnczGj.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\gutLWPX.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\IHgOaxh.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\KPJOqNI.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\VxuMONg.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\yjaiWTo.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\KydKdCS.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\yJcdKSP.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\EDyXavP.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\mPehzCe.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\nJMPtKS.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\vsKWHdI.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\YqmnUVy.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\RXjxVpX.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\WeJIuYm.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\xBGFgoO.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\qQmhODk.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\NAnGUDe.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\IWnUrQQ.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\kFubuqW.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\LhlFAYN.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\DsnxFyH.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\xSbmgmj.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\Dtybvid.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\nrHTnKq.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\IQITTMK.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\wUEDwwn.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\BacjFUm.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\ZgKNfMQ.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\jaMGweY.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\UWzpEUP.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\kcnSygZ.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\BjmJNGr.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\SxhtFVJ.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\FOXUIWp.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\YPSHHhp.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\vRsmYjQ.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\YyxJgdN.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\DWcoTYl.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\FTzZhis.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\GMHQBQa.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\iFkxryZ.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\cLoSWGw.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\FxKHpls.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\prKzYOy.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\TvvUNnc.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\uTBAdvl.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\GrEnxkm.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\KTVOFRk.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\QkDUKFr.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
File created	C:\Windows\System32\OXtJJZa.exe	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe

Checks SCSI registry key(s) 3 TTPs 6 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_QEMU&PROD_QEMU_DVD-ROM\4&215468A5&0&010000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_DADY&PROD_HARDDISK\4&215468A5&0&000000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\ConfigFlags	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\HardwareID	dwm.exe

Enumerates system info in registry 2 TTPs 2 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe

Modifies data under HKEY_USERS 18 IoCs

description	ioc	Process
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2a\52C64B7E	dwm.exe

Suspicious use of AdjustPrivilegeToken 6 IoCs

description	pid	Process
Token: SeCreateGlobalPrivilege	11636	dwm.exe
Token: SeChangeNotifyPrivilege	11636	dwm.exe
Token: 33	11636	dwm.exe
Token: SeIncBasePriorityPrivilege	11636	dwm.exe
Token: SeShutdownPrivilege	11636	dwm.exe
Token: SeCreatePagefilePrivilege	11636	dwm.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 184 wrote to memory of 1432	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	84
PID 184 wrote to memory of 1432	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	84
PID 184 wrote to memory of 2012	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	85
PID 184 wrote to memory of 2012	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	85
PID 184 wrote to memory of 2676	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	86
PID 184 wrote to memory of 2676	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	86
PID 184 wrote to memory of 3360	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	87
PID 184 wrote to memory of 3360	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	87
PID 184 wrote to memory of 396	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	88
PID 184 wrote to memory of 396	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	88
PID 184 wrote to memory of 1928	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	89
PID 184 wrote to memory of 1928	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	89
PID 184 wrote to memory of 5116	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	90
PID 184 wrote to memory of 5116	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	90
PID 184 wrote to memory of 5032	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	91
PID 184 wrote to memory of 5032	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	91
PID 184 wrote to memory of 2032	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	92
PID 184 wrote to memory of 2032	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	92
PID 184 wrote to memory of 2340	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	93
PID 184 wrote to memory of 2340	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	93
PID 184 wrote to memory of 5008	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	94
PID 184 wrote to memory of 5008	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	94
PID 184 wrote to memory of 5000	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	95
PID 184 wrote to memory of 5000	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	95
PID 184 wrote to memory of 2512	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	96
PID 184 wrote to memory of 2512	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	96
PID 184 wrote to memory of 3156	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	97
PID 184 wrote to memory of 3156	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	97
PID 184 wrote to memory of 3416	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	98
PID 184 wrote to memory of 3416	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	98
PID 184 wrote to memory of 3812	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	99
PID 184 wrote to memory of 3812	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	99
PID 184 wrote to memory of 3332	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	100
PID 184 wrote to memory of 3332	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	100
PID 184 wrote to memory of 4376	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	101
PID 184 wrote to memory of 4376	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	101
PID 184 wrote to memory of 376	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	102
PID 184 wrote to memory of 376	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	102
PID 184 wrote to memory of 4476	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	103
PID 184 wrote to memory of 4476	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	103
PID 184 wrote to memory of 4904	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	104
PID 184 wrote to memory of 4904	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	104
PID 184 wrote to memory of 3056	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	105
PID 184 wrote to memory of 3056	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	105
PID 184 wrote to memory of 4180	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	106
PID 184 wrote to memory of 4180	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	106
PID 184 wrote to memory of 3624	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	107
PID 184 wrote to memory of 3624	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	107
PID 184 wrote to memory of 2892	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	108
PID 184 wrote to memory of 2892	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	108
PID 184 wrote to memory of 628	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	109
PID 184 wrote to memory of 628	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	109
PID 184 wrote to memory of 3740	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	110
PID 184 wrote to memory of 3740	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	110
PID 184 wrote to memory of 3536	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	111
PID 184 wrote to memory of 3536	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	111
PID 184 wrote to memory of 992	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	112
PID 184 wrote to memory of 992	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	112
PID 184 wrote to memory of 2404	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	113
PID 184 wrote to memory of 2404	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	113
PID 184 wrote to memory of 4868	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	114
PID 184 wrote to memory of 4868	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	114
PID 184 wrote to memory of 4424	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	115
PID 184 wrote to memory of 4424	184	524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe	115

C:\Users\Admin\AppData\Local\Temp\524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe
"C:\Users\Admin\AppData\Local\Temp\524be4e827f56d7b656656a0f0c84420_NeikiAnalytics.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:184
- C:\Windows\System32\evpiUga.exe
  C:\Windows\System32\evpiUga.exe
  2⤵
  - Executes dropped EXE
  PID:1432
- C:\Windows\System32\SdqNpcG.exe
  C:\Windows\System32\SdqNpcG.exe
  2⤵
  - Executes dropped EXE
  PID:2012
- C:\Windows\System32\UdQnRCQ.exe
  C:\Windows\System32\UdQnRCQ.exe
  2⤵
  - Executes dropped EXE
  PID:2676
- C:\Windows\System32\yioyqJt.exe
  C:\Windows\System32\yioyqJt.exe
  2⤵
  - Executes dropped EXE
  PID:3360
- C:\Windows\System32\KyRcTQY.exe
  C:\Windows\System32\KyRcTQY.exe
  2⤵
  - Executes dropped EXE
  PID:396
- C:\Windows\System32\GLRlYsN.exe
  C:\Windows\System32\GLRlYsN.exe
  2⤵
  - Executes dropped EXE
  PID:1928
- C:\Windows\System32\BIvBBYW.exe
  C:\Windows\System32\BIvBBYW.exe
  2⤵
  - Executes dropped EXE
  PID:5116
- C:\Windows\System32\YsYtzFD.exe
  C:\Windows\System32\YsYtzFD.exe
  2⤵
  - Executes dropped EXE
  PID:5032
- C:\Windows\System32\QBxfvMb.exe
  C:\Windows\System32\QBxfvMb.exe
  2⤵
  - Executes dropped EXE
  PID:2032
- C:\Windows\System32\yqVpbZx.exe
  C:\Windows\System32\yqVpbZx.exe
  2⤵
  - Executes dropped EXE
  PID:2340
- C:\Windows\System32\SSaZDeZ.exe
  C:\Windows\System32\SSaZDeZ.exe
  2⤵
  - Executes dropped EXE
  PID:5008
- C:\Windows\System32\iFkxryZ.exe
  C:\Windows\System32\iFkxryZ.exe
  2⤵
  - Executes dropped EXE
  PID:5000
- C:\Windows\System32\yAHQoev.exe
  C:\Windows\System32\yAHQoev.exe
  2⤵
  - Executes dropped EXE
  PID:2512
- C:\Windows\System32\jyambsP.exe
  C:\Windows\System32\jyambsP.exe
  2⤵
  - Executes dropped EXE
  PID:3156
- C:\Windows\System32\qNnLVSm.exe
  C:\Windows\System32\qNnLVSm.exe
  2⤵
  - Executes dropped EXE
  PID:3416
- C:\Windows\System32\UTLbBhg.exe
  C:\Windows\System32\UTLbBhg.exe
  2⤵
  - Executes dropped EXE
  PID:3812
- C:\Windows\System32\fnrNOtC.exe
  C:\Windows\System32\fnrNOtC.exe
  2⤵
  - Executes dropped EXE
  PID:3332
- C:\Windows\System32\APayJUa.exe
  C:\Windows\System32\APayJUa.exe
  2⤵
  - Executes dropped EXE
  PID:4376
- C:\Windows\System32\yFPgnwc.exe
  C:\Windows\System32\yFPgnwc.exe
  2⤵
  - Executes dropped EXE
  PID:376
- C:\Windows\System32\bZQqkWH.exe
  C:\Windows\System32\bZQqkWH.exe
  2⤵
  - Executes dropped EXE
  PID:4476
- C:\Windows\System32\yWzMMMz.exe
  C:\Windows\System32\yWzMMMz.exe
  2⤵
  - Executes dropped EXE
  PID:4904
- C:\Windows\System32\OSnQwte.exe
  C:\Windows\System32\OSnQwte.exe
  2⤵
  - Executes dropped EXE
  PID:3056
- C:\Windows\System32\QkDUKFr.exe
  C:\Windows\System32\QkDUKFr.exe
  2⤵
  - Executes dropped EXE
  PID:4180
- C:\Windows\System32\ZrhjzQO.exe
  C:\Windows\System32\ZrhjzQO.exe
  2⤵
  - Executes dropped EXE
  PID:3624
- C:\Windows\System32\lzKNlpA.exe
  C:\Windows\System32\lzKNlpA.exe
  2⤵
  - Executes dropped EXE
  PID:2892
- C:\Windows\System32\kcBtRxA.exe
  C:\Windows\System32\kcBtRxA.exe
  2⤵
  - Executes dropped EXE
  PID:628
- C:\Windows\System32\LIMoCLU.exe
  C:\Windows\System32\LIMoCLU.exe
  2⤵
  - Executes dropped EXE
  PID:3740
- C:\Windows\System32\quhonIS.exe
  C:\Windows\System32\quhonIS.exe
  2⤵
  - Executes dropped EXE
  PID:3536
- C:\Windows\System32\HhXHiBw.exe
  C:\Windows\System32\HhXHiBw.exe
  2⤵
  - Executes dropped EXE
  PID:992
- C:\Windows\System32\qSxZLYK.exe
  C:\Windows\System32\qSxZLYK.exe
  2⤵
  - Executes dropped EXE
  PID:2404
- C:\Windows\System32\fCZZQSu.exe
  C:\Windows\System32\fCZZQSu.exe
  2⤵
  - Executes dropped EXE
  PID:4868
- C:\Windows\System32\DojzeEc.exe
  C:\Windows\System32\DojzeEc.exe
  2⤵
  - Executes dropped EXE
  PID:4424
- C:\Windows\System32\IVAcLfZ.exe
  C:\Windows\System32\IVAcLfZ.exe
  2⤵
  - Executes dropped EXE
  PID:1448
- C:\Windows\System32\xRFLFCN.exe
  C:\Windows\System32\xRFLFCN.exe
  2⤵
  - Executes dropped EXE
  PID:3524
- C:\Windows\System32\HshQvZx.exe
  C:\Windows\System32\HshQvZx.exe
  2⤵
  - Executes dropped EXE
  PID:4480
- C:\Windows\System32\ekfEQBc.exe
  C:\Windows\System32\ekfEQBc.exe
  2⤵
  - Executes dropped EXE
  PID:4788
- C:\Windows\System32\jIZFbXx.exe
  C:\Windows\System32\jIZFbXx.exe
  2⤵
  - Executes dropped EXE
  PID:4400
- C:\Windows\System32\gNDTFNV.exe
  C:\Windows\System32\gNDTFNV.exe
  2⤵
  - Executes dropped EXE
  PID:3404
- C:\Windows\System32\zoKcGIC.exe
  C:\Windows\System32\zoKcGIC.exe
  2⤵
  - Executes dropped EXE
  PID:3816
- C:\Windows\System32\VAirZRw.exe
  C:\Windows\System32\VAirZRw.exe
  2⤵
  - Executes dropped EXE
  PID:4612
- C:\Windows\System32\nLbLtQg.exe
  C:\Windows\System32\nLbLtQg.exe
  2⤵
  - Executes dropped EXE
  PID:3720
- C:\Windows\System32\PjItNLQ.exe
  C:\Windows\System32\PjItNLQ.exe
  2⤵
  - Executes dropped EXE
  PID:3664
- C:\Windows\System32\xBGFgoO.exe
  C:\Windows\System32\xBGFgoO.exe
  2⤵
  - Executes dropped EXE
  PID:804
- C:\Windows\System32\szegJKc.exe
  C:\Windows\System32\szegJKc.exe
  2⤵
  - Executes dropped EXE
  PID:884
- C:\Windows\System32\owAHgZd.exe
  C:\Windows\System32\owAHgZd.exe
  2⤵
  - Executes dropped EXE
  PID:1400
- C:\Windows\System32\EwpAwmt.exe
  C:\Windows\System32\EwpAwmt.exe
  2⤵
  - Executes dropped EXE
  PID:4420
- C:\Windows\System32\cHqEfZU.exe
  C:\Windows\System32\cHqEfZU.exe
  2⤵
  - Executes dropped EXE
  PID:3104
- C:\Windows\System32\JIOlPiH.exe
  C:\Windows\System32\JIOlPiH.exe
  2⤵
  - Executes dropped EXE
  PID:1296
- C:\Windows\System32\SsUMOFQ.exe
  C:\Windows\System32\SsUMOFQ.exe
  2⤵
  - Executes dropped EXE
  PID:1264
- C:\Windows\System32\DXPocwg.exe
  C:\Windows\System32\DXPocwg.exe
  2⤵
  - Executes dropped EXE
  PID:4352
- C:\Windows\System32\WuDPMms.exe
  C:\Windows\System32\WuDPMms.exe
  2⤵
  - Executes dropped EXE
  PID:5052
- C:\Windows\System32\ZEaOPLR.exe
  C:\Windows\System32\ZEaOPLR.exe
  2⤵
  - Executes dropped EXE
  PID:1068
- C:\Windows\System32\NvnlDsV.exe
  C:\Windows\System32\NvnlDsV.exe
  2⤵
  - Executes dropped EXE
  PID:1056
- C:\Windows\System32\djHjwnU.exe
  C:\Windows\System32\djHjwnU.exe
  2⤵
  - Executes dropped EXE
  PID:2900
- C:\Windows\System32\DsnxFyH.exe
  C:\Windows\System32\DsnxFyH.exe
  2⤵
  - Executes dropped EXE
  PID:4832
- C:\Windows\System32\OEByLaa.exe
  C:\Windows\System32\OEByLaa.exe
  2⤵
  - Executes dropped EXE
  PID:4636
- C:\Windows\System32\pPOAwlr.exe
  C:\Windows\System32\pPOAwlr.exe
  2⤵
  - Executes dropped EXE
  PID:2496
- C:\Windows\System32\OffZBXS.exe
  C:\Windows\System32\OffZBXS.exe
  2⤵
  - Executes dropped EXE
  PID:1076
- C:\Windows\System32\eurfqZY.exe
  C:\Windows\System32\eurfqZY.exe
  2⤵
  - Executes dropped EXE
  PID:4100
- C:\Windows\System32\nhZTOTE.exe
  C:\Windows\System32\nhZTOTE.exe
  2⤵
  - Executes dropped EXE
  PID:3960
- C:\Windows\System32\JGqezmN.exe
  C:\Windows\System32\JGqezmN.exe
  2⤵
  - Executes dropped EXE
  PID:2188
- C:\Windows\System32\XwxpirF.exe
  C:\Windows\System32\XwxpirF.exe
  2⤵
  - Executes dropped EXE
  PID:4808
- C:\Windows\System32\KgDIxZX.exe
  C:\Windows\System32\KgDIxZX.exe
  2⤵
  - Executes dropped EXE
  PID:2176
- C:\Windows\System32\eRGNohe.exe
  C:\Windows\System32\eRGNohe.exe
  2⤵
  - Executes dropped EXE
  PID:4604
- C:\Windows\System32\lOZqkgz.exe
  C:\Windows\System32\lOZqkgz.exe
  2⤵
  PID:3544
- C:\Windows\System32\RWljHYK.exe
  C:\Windows\System32\RWljHYK.exe
  2⤵
  PID:4740
- C:\Windows\System32\aGTEOxA.exe
  C:\Windows\System32\aGTEOxA.exe
  2⤵
  PID:1948
- C:\Windows\System32\eGHyajd.exe
  C:\Windows\System32\eGHyajd.exe
  2⤵
  PID:4708
- C:\Windows\System32\hLazXFX.exe
  C:\Windows\System32\hLazXFX.exe
  2⤵
  PID:1192
- C:\Windows\System32\uLrkqlj.exe
  C:\Windows\System32\uLrkqlj.exe
  2⤵
  PID:3596
- C:\Windows\System32\BXRdHZG.exe
  C:\Windows\System32\BXRdHZG.exe
  2⤵
  PID:3656
- C:\Windows\System32\kcnSygZ.exe
  C:\Windows\System32\kcnSygZ.exe
  2⤵
  PID:3612
- C:\Windows\System32\fmTeUYr.exe
  C:\Windows\System32\fmTeUYr.exe
  2⤵
  PID:1428
- C:\Windows\System32\eOqdtST.exe
  C:\Windows\System32\eOqdtST.exe
  2⤵
  PID:4976
- C:\Windows\System32\sGEjNKA.exe
  C:\Windows\System32\sGEjNKA.exe
  2⤵
  PID:4560
- C:\Windows\System32\ezALLHs.exe
  C:\Windows\System32\ezALLHs.exe
  2⤵
  PID:3528
- C:\Windows\System32\fGunECh.exe
  C:\Windows\System32\fGunECh.exe
  2⤵
  PID:2196
- C:\Windows\System32\dnGPyfa.exe
  C:\Windows\System32\dnGPyfa.exe
  2⤵
  PID:4500
- C:\Windows\System32\cgQPPkm.exe
  C:\Windows\System32\cgQPPkm.exe
  2⤵
  PID:2780
- C:\Windows\System32\lcwmjLd.exe
  C:\Windows\System32\lcwmjLd.exe
  2⤵
  PID:2268
- C:\Windows\System32\fzJawYK.exe
  C:\Windows\System32\fzJawYK.exe
  2⤵
  PID:1944
- C:\Windows\System32\Ufcziyq.exe
  C:\Windows\System32\Ufcziyq.exe
  2⤵
  PID:3548
- C:\Windows\System32\VHGeXrh.exe
  C:\Windows\System32\VHGeXrh.exe
  2⤵
  PID:4664
- C:\Windows\System32\WwYJgsI.exe
  C:\Windows\System32\WwYJgsI.exe
  2⤵
  PID:404
- C:\Windows\System32\yMqGxVZ.exe
  C:\Windows\System32\yMqGxVZ.exe
  2⤵
  PID:2384
- C:\Windows\System32\zqQwMZD.exe
  C:\Windows\System32\zqQwMZD.exe
  2⤵
  PID:1020
- C:\Windows\System32\SZwiHGT.exe
  C:\Windows\System32\SZwiHGT.exe
  2⤵
  PID:1592
- C:\Windows\System32\zbzQEBQ.exe
  C:\Windows\System32\zbzQEBQ.exe
  2⤵
  PID:5140
- C:\Windows\System32\lmfGGBj.exe
  C:\Windows\System32\lmfGGBj.exe
  2⤵
  PID:5168
- C:\Windows\System32\HYCpqVm.exe
  C:\Windows\System32\HYCpqVm.exe
  2⤵
  PID:5200
- C:\Windows\System32\vsKWHdI.exe
  C:\Windows\System32\vsKWHdI.exe
  2⤵
  PID:5228
- C:\Windows\System32\AxTjVdl.exe
  C:\Windows\System32\AxTjVdl.exe
  2⤵
  PID:5252
- C:\Windows\System32\BLNxoGq.exe
  C:\Windows\System32\BLNxoGq.exe
  2⤵
  PID:5280
- C:\Windows\System32\rIYUVgp.exe
  C:\Windows\System32\rIYUVgp.exe
  2⤵
  PID:5312
- C:\Windows\System32\qZtmgXB.exe
  C:\Windows\System32\qZtmgXB.exe
  2⤵
  PID:5340
- C:\Windows\System32\BjmJNGr.exe
  C:\Windows\System32\BjmJNGr.exe
  2⤵
  PID:5380
- C:\Windows\System32\PXDgtbv.exe
  C:\Windows\System32\PXDgtbv.exe
  2⤵
  PID:5400
- C:\Windows\System32\xesCufF.exe
  C:\Windows\System32\xesCufF.exe
  2⤵
  PID:5424
- C:\Windows\System32\mGriGqB.exe
  C:\Windows\System32\mGriGqB.exe
  2⤵
  PID:5460
- C:\Windows\System32\aYtUezD.exe
  C:\Windows\System32\aYtUezD.exe
  2⤵
  PID:5492
- C:\Windows\System32\hPLHbLH.exe
  C:\Windows\System32\hPLHbLH.exe
  2⤵
  PID:5508
- C:\Windows\System32\ccVGRvs.exe
  C:\Windows\System32\ccVGRvs.exe
  2⤵
  PID:5532
- C:\Windows\System32\ywQlUPc.exe
  C:\Windows\System32\ywQlUPc.exe
  2⤵
  PID:5564
- C:\Windows\System32\SBZpayL.exe
  C:\Windows\System32\SBZpayL.exe
  2⤵
  PID:5592
- C:\Windows\System32\jadHOOC.exe
  C:\Windows\System32\jadHOOC.exe
  2⤵
  PID:5620
- C:\Windows\System32\LRXQbji.exe
  C:\Windows\System32\LRXQbji.exe
  2⤵
  PID:5648
- C:\Windows\System32\qQmhODk.exe
  C:\Windows\System32\qQmhODk.exe
  2⤵
  PID:5676
- C:\Windows\System32\DuesMdJ.exe
  C:\Windows\System32\DuesMdJ.exe
  2⤵
  PID:5704
- C:\Windows\System32\ufDfSjI.exe
  C:\Windows\System32\ufDfSjI.exe
  2⤵
  PID:5732
- C:\Windows\System32\gyRPqvf.exe
  C:\Windows\System32\gyRPqvf.exe
  2⤵
  PID:5760
- C:\Windows\System32\WhCjejk.exe
  C:\Windows\System32\WhCjejk.exe
  2⤵
  PID:5788
- C:\Windows\System32\tYdLBCX.exe
  C:\Windows\System32\tYdLBCX.exe
  2⤵
  PID:5816
- C:\Windows\System32\WTBqlwk.exe
  C:\Windows\System32\WTBqlwk.exe
  2⤵
  PID:5844
- C:\Windows\System32\MHpLzLY.exe
  C:\Windows\System32\MHpLzLY.exe
  2⤵
  PID:5872
- C:\Windows\System32\qVqmSGK.exe
  C:\Windows\System32\qVqmSGK.exe
  2⤵
  PID:5900
- C:\Windows\System32\YqNBgme.exe
  C:\Windows\System32\YqNBgme.exe
  2⤵
  PID:5928
- C:\Windows\System32\AcvCxYV.exe
  C:\Windows\System32\AcvCxYV.exe
  2⤵
  PID:5956
- C:\Windows\System32\bLDfCra.exe
  C:\Windows\System32\bLDfCra.exe
  2⤵
  PID:6108
- C:\Windows\System32\EuAYiNZ.exe
  C:\Windows\System32\EuAYiNZ.exe
  2⤵
  PID:3948
- C:\Windows\System32\osLbOZV.exe
  C:\Windows\System32\osLbOZV.exe
  2⤵
  PID:1552
- C:\Windows\System32\grMGvaZ.exe
  C:\Windows\System32\grMGvaZ.exe
  2⤵
  PID:32
- C:\Windows\System32\IFWPTqI.exe
  C:\Windows\System32\IFWPTqI.exe
  2⤵
  PID:2716
- C:\Windows\System32\iEnczGj.exe
  C:\Windows\System32\iEnczGj.exe
  2⤵
  PID:2936
- C:\Windows\System32\vGYEXOB.exe
  C:\Windows\System32\vGYEXOB.exe
  2⤵
  PID:4496
- C:\Windows\System32\xsotkZc.exe
  C:\Windows\System32\xsotkZc.exe
  2⤵
  PID:5208
- C:\Windows\System32\mLIKHVm.exe
  C:\Windows\System32\mLIKHVm.exe
  2⤵
  PID:5240
- C:\Windows\System32\JmFAqXi.exe
  C:\Windows\System32\JmFAqXi.exe
  2⤵
  PID:5276
- C:\Windows\System32\rHDGrGc.exe
  C:\Windows\System32\rHDGrGc.exe
  2⤵
  PID:5324
- C:\Windows\System32\VoHyCcZ.exe
  C:\Windows\System32\VoHyCcZ.exe
  2⤵
  PID:2760
- C:\Windows\System32\NzwDmvv.exe
  C:\Windows\System32\NzwDmvv.exe
  2⤵
  PID:4036
- C:\Windows\System32\HnFmfrZ.exe
  C:\Windows\System32\HnFmfrZ.exe
  2⤵
  PID:5584
- C:\Windows\System32\qRRCdBw.exe
  C:\Windows\System32\qRRCdBw.exe
  2⤵
  PID:5604
- C:\Windows\System32\mEKMfkI.exe
  C:\Windows\System32\mEKMfkI.exe
  2⤵
  PID:5632
- C:\Windows\System32\rlYfbaC.exe
  C:\Windows\System32\rlYfbaC.exe
  2⤵
  PID:5656
- C:\Windows\System32\CMkgAOu.exe
  C:\Windows\System32\CMkgAOu.exe
  2⤵
  PID:1320
- C:\Windows\System32\elaoJii.exe
  C:\Windows\System32\elaoJii.exe
  2⤵
  PID:4736
- C:\Windows\System32\lOqkdnv.exe
  C:\Windows\System32\lOqkdnv.exe
  2⤵
  PID:4804
- C:\Windows\System32\xSbmgmj.exe
  C:\Windows\System32\xSbmgmj.exe
  2⤵
  PID:2864
- C:\Windows\System32\ACWZvPC.exe
  C:\Windows\System32\ACWZvPC.exe
  2⤵
  PID:5912
- C:\Windows\System32\bIYAlEP.exe
  C:\Windows\System32\bIYAlEP.exe
  2⤵
  PID:6020
- C:\Windows\System32\WJFEFwF.exe
  C:\Windows\System32\WJFEFwF.exe
  2⤵
  PID:1436
- C:\Windows\System32\oifbPKO.exe
  C:\Windows\System32\oifbPKO.exe
  2⤵
  PID:6072
- C:\Windows\System32\HNPiszW.exe
  C:\Windows\System32\HNPiszW.exe
  2⤵
  PID:1728
- C:\Windows\System32\gutLWPX.exe
  C:\Windows\System32\gutLWPX.exe
  2⤵
  PID:3008
- C:\Windows\System32\IlVHcMr.exe
  C:\Windows\System32\IlVHcMr.exe
  2⤵
  PID:5128
- C:\Windows\System32\bzRaLnW.exe
  C:\Windows\System32\bzRaLnW.exe
  2⤵
  PID:5236
- C:\Windows\System32\hOOxgAg.exe
  C:\Windows\System32\hOOxgAg.exe
  2⤵
  PID:5260
- C:\Windows\System32\hZKvfUo.exe
  C:\Windows\System32\hZKvfUo.exe
  2⤵
  PID:5124
- C:\Windows\System32\svURCNl.exe
  C:\Windows\System32\svURCNl.exe
  2⤵
  PID:5360
- C:\Windows\System32\VxuMONg.exe
  C:\Windows\System32\VxuMONg.exe
  2⤵
  PID:3508
- C:\Windows\System32\KjPLjri.exe
  C:\Windows\System32\KjPLjri.exe
  2⤵
  PID:5640
- C:\Windows\System32\vWdxZAE.exe
  C:\Windows\System32\vWdxZAE.exe
  2⤵
  PID:5852
- C:\Windows\System32\iPqGstr.exe
  C:\Windows\System32\iPqGstr.exe
  2⤵
  PID:5824
- C:\Windows\System32\AAbDwnP.exe
  C:\Windows\System32\AAbDwnP.exe
  2⤵
  PID:3832
- C:\Windows\System32\aQEVNFq.exe
  C:\Windows\System32\aQEVNFq.exe
  2⤵
  PID:6056
- C:\Windows\System32\cLoSWGw.exe
  C:\Windows\System32\cLoSWGw.exe
  2⤵
  PID:2364
- C:\Windows\System32\etnVbat.exe
  C:\Windows\System32\etnVbat.exe
  2⤵
  PID:1504
- C:\Windows\System32\QcJiVrI.exe
  C:\Windows\System32\QcJiVrI.exe
  2⤵
  PID:5304
- C:\Windows\System32\lXfiWUc.exe
  C:\Windows\System32\lXfiWUc.exe
  2⤵
  PID:5268
- C:\Windows\System32\hPRUhOL.exe
  C:\Windows\System32\hPRUhOL.exe
  2⤵
  PID:3084
- C:\Windows\System32\nUbslbY.exe
  C:\Windows\System32\nUbslbY.exe
  2⤵
  PID:4608
- C:\Windows\System32\HjCujPo.exe
  C:\Windows\System32\HjCujPo.exe
  2⤵
  PID:3204
- C:\Windows\System32\VDhYZhk.exe
  C:\Windows\System32\VDhYZhk.exe
  2⤵
  PID:5432
- C:\Windows\System32\retvyln.exe
  C:\Windows\System32\retvyln.exe
  2⤵
  PID:6172
- C:\Windows\System32\eeJmHpP.exe
  C:\Windows\System32\eeJmHpP.exe
  2⤵
  PID:6188
- C:\Windows\System32\FNQATAB.exe
  C:\Windows\System32\FNQATAB.exe
  2⤵
  PID:6208
- C:\Windows\System32\auoCQOh.exe
  C:\Windows\System32\auoCQOh.exe
  2⤵
  PID:6240
- C:\Windows\System32\lBskUJM.exe
  C:\Windows\System32\lBskUJM.exe
  2⤵
  PID:6276
- C:\Windows\System32\hjenxXz.exe
  C:\Windows\System32\hjenxXz.exe
  2⤵
  PID:6300
- C:\Windows\System32\UDSnCSs.exe
  C:\Windows\System32\UDSnCSs.exe
  2⤵
  PID:6328
- C:\Windows\System32\uSSPxzp.exe
  C:\Windows\System32\uSSPxzp.exe
  2⤵
  PID:6360
- C:\Windows\System32\qETHlLe.exe
  C:\Windows\System32\qETHlLe.exe
  2⤵
  PID:6376
- C:\Windows\System32\mhlwlap.exe
  C:\Windows\System32\mhlwlap.exe
  2⤵
  PID:6400
- C:\Windows\System32\hafUzhM.exe
  C:\Windows\System32\hafUzhM.exe
  2⤵
  PID:6416
- C:\Windows\System32\JicycSI.exe
  C:\Windows\System32\JicycSI.exe
  2⤵
  PID:6436
- C:\Windows\System32\gXLnYhQ.exe
  C:\Windows\System32\gXLnYhQ.exe
  2⤵
  PID:6456
- C:\Windows\System32\wYMGazp.exe
  C:\Windows\System32\wYMGazp.exe
  2⤵
  PID:6488
- C:\Windows\System32\YneeeBF.exe
  C:\Windows\System32\YneeeBF.exe
  2⤵
  PID:6556
- C:\Windows\System32\cvZtqIi.exe
  C:\Windows\System32\cvZtqIi.exe
  2⤵
  PID:6576
- C:\Windows\System32\YqmnUVy.exe
  C:\Windows\System32\YqmnUVy.exe
  2⤵
  PID:6596
- C:\Windows\System32\RJPLGrj.exe
  C:\Windows\System32\RJPLGrj.exe
  2⤵
  PID:6616
- C:\Windows\System32\dQJzloq.exe
  C:\Windows\System32\dQJzloq.exe
  2⤵
  PID:6652
- C:\Windows\System32\BacjFUm.exe
  C:\Windows\System32\BacjFUm.exe
  2⤵
  PID:6692
- C:\Windows\System32\OXtJJZa.exe
  C:\Windows\System32\OXtJJZa.exe
  2⤵
  PID:6712
- C:\Windows\System32\fJwwJYe.exe
  C:\Windows\System32\fJwwJYe.exe
  2⤵
  PID:6736
- C:\Windows\System32\sIUzxTn.exe
  C:\Windows\System32\sIUzxTn.exe
  2⤵
  PID:6756
- C:\Windows\System32\AXjiJmM.exe
  C:\Windows\System32\AXjiJmM.exe
  2⤵
  PID:6772
- C:\Windows\System32\BdFpTVe.exe
  C:\Windows\System32\BdFpTVe.exe
  2⤵
  PID:6804
- C:\Windows\System32\zSJKNOg.exe
  C:\Windows\System32\zSJKNOg.exe
  2⤵
  PID:6820
- C:\Windows\System32\dcqtuGP.exe
  C:\Windows\System32\dcqtuGP.exe
  2⤵
  PID:6844
- C:\Windows\System32\ZfuouYk.exe
  C:\Windows\System32\ZfuouYk.exe
  2⤵
  PID:6888
- C:\Windows\System32\GYkEzpE.exe
  C:\Windows\System32\GYkEzpE.exe
  2⤵
  PID:6964
- C:\Windows\System32\JoOxgFu.exe
  C:\Windows\System32\JoOxgFu.exe
  2⤵
  PID:6984
- C:\Windows\System32\lMibCYS.exe
  C:\Windows\System32\lMibCYS.exe
  2⤵
  PID:7008
- C:\Windows\System32\vVnJMrY.exe
  C:\Windows\System32\vVnJMrY.exe
  2⤵
  PID:7036
- C:\Windows\System32\TSwlDzD.exe
  C:\Windows\System32\TSwlDzD.exe
  2⤵
  PID:7056
- C:\Windows\System32\GVlWQpD.exe
  C:\Windows\System32\GVlWQpD.exe
  2⤵
  PID:7080
- C:\Windows\System32\ARhtnvT.exe
  C:\Windows\System32\ARhtnvT.exe
  2⤵
  PID:7096
- C:\Windows\System32\cvtjojV.exe
  C:\Windows\System32\cvtjojV.exe
  2⤵
  PID:7120
- C:\Windows\System32\bKFDlSY.exe
  C:\Windows\System32\bKFDlSY.exe
  2⤵
  PID:7136
- C:\Windows\System32\NAnGUDe.exe
  C:\Windows\System32\NAnGUDe.exe
  2⤵
  PID:7156
- C:\Windows\System32\yzcQzjZ.exe
  C:\Windows\System32\yzcQzjZ.exe
  2⤵
  PID:1672
- C:\Windows\System32\rOvBWzB.exe
  C:\Windows\System32\rOvBWzB.exe
  2⤵
  PID:5176
- C:\Windows\System32\JCfMWsO.exe
  C:\Windows\System32\JCfMWsO.exe
  2⤵
  PID:6200
- C:\Windows\System32\EEDGXwX.exe
  C:\Windows\System32\EEDGXwX.exe
  2⤵
  PID:6372
- C:\Windows\System32\YTamjqJ.exe
  C:\Windows\System32\YTamjqJ.exe
  2⤵
  PID:6464
- C:\Windows\System32\aQsszhd.exe
  C:\Windows\System32\aQsszhd.exe
  2⤵
  PID:6496
- C:\Windows\System32\qHlBhBH.exe
  C:\Windows\System32\qHlBhBH.exe
  2⤵
  PID:6572
- C:\Windows\System32\JtvLLXD.exe
  C:\Windows\System32\JtvLLXD.exe
  2⤵
  PID:6624
- C:\Windows\System32\oDOysZl.exe
  C:\Windows\System32\oDOysZl.exe
  2⤵
  PID:6660
- C:\Windows\System32\FYUuybQ.exe
  C:\Windows\System32\FYUuybQ.exe
  2⤵
  PID:6672
- C:\Windows\System32\hVZcAPQ.exe
  C:\Windows\System32\hVZcAPQ.exe
  2⤵
  PID:6704
- C:\Windows\System32\oWJtVri.exe
  C:\Windows\System32\oWJtVri.exe
  2⤵
  PID:6876
- C:\Windows\System32\Dtybvid.exe
  C:\Windows\System32\Dtybvid.exe
  2⤵
  PID:3876
- C:\Windows\System32\esrHNgV.exe
  C:\Windows\System32\esrHNgV.exe
  2⤵
  PID:6972
- C:\Windows\System32\Nqrovau.exe
  C:\Windows\System32\Nqrovau.exe
  2⤵
  PID:7064
- C:\Windows\System32\IGmBOMa.exe
  C:\Windows\System32\IGmBOMa.exe
  2⤵
  PID:7132
- C:\Windows\System32\IFnlDTw.exe
  C:\Windows\System32\IFnlDTw.exe
  2⤵
  PID:6204
- C:\Windows\System32\YYlBvEh.exe
  C:\Windows\System32\YYlBvEh.exe
  2⤵
  PID:6268
- C:\Windows\System32\gfFISnr.exe
  C:\Windows\System32\gfFISnr.exe
  2⤵
  PID:2372
- C:\Windows\System32\amUuSYi.exe
  C:\Windows\System32\amUuSYi.exe
  2⤵
  PID:6532
- C:\Windows\System32\iLfvLzD.exe
  C:\Windows\System32\iLfvLzD.exe
  2⤵
  PID:6744
- C:\Windows\System32\OPyxbWW.exe
  C:\Windows\System32\OPyxbWW.exe
  2⤵
  PID:972
- C:\Windows\System32\rLrVJUy.exe
  C:\Windows\System32\rLrVJUy.exe
  2⤵
  PID:7020
- C:\Windows\System32\DPRPPwt.exe
  C:\Windows\System32\DPRPPwt.exe
  2⤵
  PID:7128
- C:\Windows\System32\cAEDpZr.exe
  C:\Windows\System32\cAEDpZr.exe
  2⤵
  PID:6516
- C:\Windows\System32\aBvkVNT.exe
  C:\Windows\System32\aBvkVNT.exe
  2⤵
  PID:6452
- C:\Windows\System32\MqvFpHe.exe
  C:\Windows\System32\MqvFpHe.exe
  2⤵
  PID:6728
- C:\Windows\System32\FxKHpls.exe
  C:\Windows\System32\FxKHpls.exe
  2⤵
  PID:6764
- C:\Windows\System32\vkICjJb.exe
  C:\Windows\System32\vkICjJb.exe
  2⤵
  PID:6428
- C:\Windows\System32\SyWOApW.exe
  C:\Windows\System32\SyWOApW.exe
  2⤵
  PID:7188
- C:\Windows\System32\TWGzCuX.exe
  C:\Windows\System32\TWGzCuX.exe
  2⤵
  PID:7224
- C:\Windows\System32\DBDJnJQ.exe
  C:\Windows\System32\DBDJnJQ.exe
  2⤵
  PID:7264
- C:\Windows\System32\xZEYiqd.exe
  C:\Windows\System32\xZEYiqd.exe
  2⤵
  PID:7288
- C:\Windows\System32\IIRpECW.exe
  C:\Windows\System32\IIRpECW.exe
  2⤵
  PID:7304
- C:\Windows\System32\CvDcKqb.exe
  C:\Windows\System32\CvDcKqb.exe
  2⤵
  PID:7348
- C:\Windows\System32\ucfidHr.exe
  C:\Windows\System32\ucfidHr.exe
  2⤵
  PID:7372
- C:\Windows\System32\fcrZauw.exe
  C:\Windows\System32\fcrZauw.exe
  2⤵
  PID:7400
- C:\Windows\System32\EkTkJUb.exe
  C:\Windows\System32\EkTkJUb.exe
  2⤵
  PID:7428
- C:\Windows\System32\prKzYOy.exe
  C:\Windows\System32\prKzYOy.exe
  2⤵
  PID:7452
- C:\Windows\System32\RQdtbDE.exe
  C:\Windows\System32\RQdtbDE.exe
  2⤵
  PID:7468
- C:\Windows\System32\KzLXuEF.exe
  C:\Windows\System32\KzLXuEF.exe
  2⤵
  PID:7500
- C:\Windows\System32\oKcqOxr.exe
  C:\Windows\System32\oKcqOxr.exe
  2⤵
  PID:7520
- C:\Windows\System32\olYwDQW.exe
  C:\Windows\System32\olYwDQW.exe
  2⤵
  PID:7536
- C:\Windows\System32\xeemZYv.exe
  C:\Windows\System32\xeemZYv.exe
  2⤵
  PID:7584
- C:\Windows\System32\fAcpYQz.exe
  C:\Windows\System32\fAcpYQz.exe
  2⤵
  PID:7612
- C:\Windows\System32\XThEPnj.exe
  C:\Windows\System32\XThEPnj.exe
  2⤵
  PID:7632
- C:\Windows\System32\RrvgCzs.exe
  C:\Windows\System32\RrvgCzs.exe
  2⤵
  PID:7672
- C:\Windows\System32\QWNkauD.exe
  C:\Windows\System32\QWNkauD.exe
  2⤵
  PID:7692
- C:\Windows\System32\vGbQYmw.exe
  C:\Windows\System32\vGbQYmw.exe
  2⤵
  PID:7740
- C:\Windows\System32\xlGYznu.exe
  C:\Windows\System32\xlGYznu.exe
  2⤵
  PID:7764
- C:\Windows\System32\bqQkWcv.exe
  C:\Windows\System32\bqQkWcv.exe
  2⤵
  PID:7784
- C:\Windows\System32\YPSHHhp.exe
  C:\Windows\System32\YPSHHhp.exe
  2⤵
  PID:7812
- C:\Windows\System32\RUlXoMQ.exe
  C:\Windows\System32\RUlXoMQ.exe
  2⤵
  PID:7832
- C:\Windows\System32\eGXDkuu.exe
  C:\Windows\System32\eGXDkuu.exe
  2⤵
  PID:7848
- C:\Windows\System32\cSUTQDd.exe
  C:\Windows\System32\cSUTQDd.exe
  2⤵
  PID:7876
- C:\Windows\System32\udiYktD.exe
  C:\Windows\System32\udiYktD.exe
  2⤵
  PID:7892
- C:\Windows\System32\nxEJKjr.exe
  C:\Windows\System32\nxEJKjr.exe
  2⤵
  PID:7916
- C:\Windows\System32\xPYxWdN.exe
  C:\Windows\System32\xPYxWdN.exe
  2⤵
  PID:7948
- C:\Windows\System32\FJMicNK.exe
  C:\Windows\System32\FJMicNK.exe
  2⤵
  PID:8008
- C:\Windows\System32\omAxuNn.exe
  C:\Windows\System32\omAxuNn.exe
  2⤵
  PID:8024
- C:\Windows\System32\ODlWVtx.exe
  C:\Windows\System32\ODlWVtx.exe
  2⤵
  PID:8052
- C:\Windows\System32\WwbgTMc.exe
  C:\Windows\System32\WwbgTMc.exe
  2⤵
  PID:8068
- C:\Windows\System32\WTowKQX.exe
  C:\Windows\System32\WTowKQX.exe
  2⤵
  PID:8104
- C:\Windows\System32\tAKqtDx.exe
  C:\Windows\System32\tAKqtDx.exe
  2⤵
  PID:8124
- C:\Windows\System32\tDwLnug.exe
  C:\Windows\System32\tDwLnug.exe
  2⤵
  PID:8148
- C:\Windows\System32\IHgOaxh.exe
  C:\Windows\System32\IHgOaxh.exe
  2⤵
  PID:8168
- C:\Windows\System32\jTDHdRE.exe
  C:\Windows\System32\jTDHdRE.exe
  2⤵
  PID:8188
- C:\Windows\System32\crBphrW.exe
  C:\Windows\System32\crBphrW.exe
  2⤵
  PID:7204
- C:\Windows\System32\syCFeWz.exe
  C:\Windows\System32\syCFeWz.exe
  2⤵
  PID:7276
- C:\Windows\System32\ttGmBLw.exe
  C:\Windows\System32\ttGmBLw.exe
  2⤵
  PID:7296
- C:\Windows\System32\SxhtFVJ.exe
  C:\Windows\System32\SxhtFVJ.exe
  2⤵
  PID:7460
- C:\Windows\System32\bAuSRjK.exe
  C:\Windows\System32\bAuSRjK.exe
  2⤵
  PID:7532
- C:\Windows\System32\MzDTPxB.exe
  C:\Windows\System32\MzDTPxB.exe
  2⤵
  PID:7648
- C:\Windows\System32\qDfvJRC.exe
  C:\Windows\System32\qDfvJRC.exe
  2⤵
  PID:7700
- C:\Windows\System32\miuZMGf.exe
  C:\Windows\System32\miuZMGf.exe
  2⤵
  PID:7796
- C:\Windows\System32\HROyfrQ.exe
  C:\Windows\System32\HROyfrQ.exe
  2⤵
  PID:7844
- C:\Windows\System32\GcsJDSp.exe
  C:\Windows\System32\GcsJDSp.exe
  2⤵
  PID:7912
- C:\Windows\System32\KPJOqNI.exe
  C:\Windows\System32\KPJOqNI.exe
  2⤵
  PID:7992
- C:\Windows\System32\uWsrGlB.exe
  C:\Windows\System32\uWsrGlB.exe
  2⤵
  PID:8096
- C:\Windows\System32\GYEzyAJ.exe
  C:\Windows\System32\GYEzyAJ.exe
  2⤵
  PID:8060
- C:\Windows\System32\ylzwixw.exe
  C:\Windows\System32\ylzwixw.exe
  2⤵
  PID:8164
- C:\Windows\System32\MNKrhIu.exe
  C:\Windows\System32\MNKrhIu.exe
  2⤵
  PID:8160
- C:\Windows\System32\QdpZAEx.exe
  C:\Windows\System32\QdpZAEx.exe
  2⤵
  PID:7284
- C:\Windows\System32\McZUPAl.exe
  C:\Windows\System32\McZUPAl.exe
  2⤵
  PID:7368
- C:\Windows\System32\EnXToyy.exe
  C:\Windows\System32\EnXToyy.exe
  2⤵
  PID:7624
- C:\Windows\System32\OYrwnHQ.exe
  C:\Windows\System32\OYrwnHQ.exe
  2⤵
  PID:7640
- C:\Windows\System32\EKVOyBW.exe
  C:\Windows\System32\EKVOyBW.exe
  2⤵
  PID:7828
- C:\Windows\System32\UsxUtxe.exe
  C:\Windows\System32\UsxUtxe.exe
  2⤵
  PID:8020
- C:\Windows\System32\HVuVcVJ.exe
  C:\Windows\System32\HVuVcVJ.exe
  2⤵
  PID:7424
- C:\Windows\System32\NHEYxYF.exe
  C:\Windows\System32\NHEYxYF.exe
  2⤵
  PID:7856
- C:\Windows\System32\KMzXbeE.exe
  C:\Windows\System32\KMzXbeE.exe
  2⤵
  PID:7864
- C:\Windows\System32\nsXkLAf.exe
  C:\Windows\System32\nsXkLAf.exe
  2⤵
  PID:7944
- C:\Windows\System32\hNLTzqE.exe
  C:\Windows\System32\hNLTzqE.exe
  2⤵
  PID:8200
- C:\Windows\System32\CdhhBwC.exe
  C:\Windows\System32\CdhhBwC.exe
  2⤵
  PID:8224
- C:\Windows\System32\swtEhhQ.exe
  C:\Windows\System32\swtEhhQ.exe
  2⤵
  PID:8268
- C:\Windows\System32\lijPsTh.exe
  C:\Windows\System32\lijPsTh.exe
  2⤵
  PID:8296
- C:\Windows\System32\oIGRSMK.exe
  C:\Windows\System32\oIGRSMK.exe
  2⤵
  PID:8320
- C:\Windows\System32\QbkBQzq.exe
  C:\Windows\System32\QbkBQzq.exe
  2⤵
  PID:8336
- C:\Windows\System32\PFnlsmT.exe
  C:\Windows\System32\PFnlsmT.exe
  2⤵
  PID:8364
- C:\Windows\System32\gfNxNXH.exe
  C:\Windows\System32\gfNxNXH.exe
  2⤵
  PID:8380
- C:\Windows\System32\CoEBcMx.exe
  C:\Windows\System32\CoEBcMx.exe
  2⤵
  PID:8412
- C:\Windows\System32\wkgFEXV.exe
  C:\Windows\System32\wkgFEXV.exe
  2⤵
  PID:8428
- C:\Windows\System32\JPcpcFf.exe
  C:\Windows\System32\JPcpcFf.exe
  2⤵
  PID:8448
- C:\Windows\System32\EFfwyzE.exe
  C:\Windows\System32\EFfwyzE.exe
  2⤵
  PID:8472
- C:\Windows\System32\QTIMvZa.exe
  C:\Windows\System32\QTIMvZa.exe
  2⤵
  PID:8500
- C:\Windows\System32\jFaUWzC.exe
  C:\Windows\System32\jFaUWzC.exe
  2⤵
  PID:8520
- C:\Windows\System32\JRsAMAN.exe
  C:\Windows\System32\JRsAMAN.exe
  2⤵
  PID:8536
- C:\Windows\System32\DcxyAPt.exe
  C:\Windows\System32\DcxyAPt.exe
  2⤵
  PID:8560
- C:\Windows\System32\TlkTBMX.exe
  C:\Windows\System32\TlkTBMX.exe
  2⤵
  PID:8608
- C:\Windows\System32\SDPlbSf.exe
  C:\Windows\System32\SDPlbSf.exe
  2⤵
  PID:8628
- C:\Windows\System32\gMEYfIY.exe
  C:\Windows\System32\gMEYfIY.exe
  2⤵
  PID:8656
- C:\Windows\System32\kMAoiQE.exe
  C:\Windows\System32\kMAoiQE.exe
  2⤵
  PID:8672
- C:\Windows\System32\BBMOoja.exe
  C:\Windows\System32\BBMOoja.exe
  2⤵
  PID:8700
- C:\Windows\System32\oYVcmza.exe
  C:\Windows\System32\oYVcmza.exe
  2⤵
  PID:8732
- C:\Windows\System32\mREbwTv.exe
  C:\Windows\System32\mREbwTv.exe
  2⤵
  PID:8772
- C:\Windows\System32\ndDGlKt.exe
  C:\Windows\System32\ndDGlKt.exe
  2⤵
  PID:8804
- C:\Windows\System32\CyNJpiY.exe
  C:\Windows\System32\CyNJpiY.exe
  2⤵
  PID:8824
- C:\Windows\System32\TvvUNnc.exe
  C:\Windows\System32\TvvUNnc.exe
  2⤵
  PID:8868
- C:\Windows\System32\xIEzhWk.exe
  C:\Windows\System32\xIEzhWk.exe
  2⤵
  PID:8900
- C:\Windows\System32\jlJZCeb.exe
  C:\Windows\System32\jlJZCeb.exe
  2⤵
  PID:8928
- C:\Windows\System32\YvWgbMN.exe
  C:\Windows\System32\YvWgbMN.exe
  2⤵
  PID:8984
- C:\Windows\System32\WEJyNxn.exe
  C:\Windows\System32\WEJyNxn.exe
  2⤵
  PID:9016
- C:\Windows\System32\feiXjgI.exe
  C:\Windows\System32\feiXjgI.exe
  2⤵
  PID:9036
- C:\Windows\System32\VnXxcuB.exe
  C:\Windows\System32\VnXxcuB.exe
  2⤵
  PID:9052
- C:\Windows\System32\kzyrZqa.exe
  C:\Windows\System32\kzyrZqa.exe
  2⤵
  PID:9080
- C:\Windows\System32\lwLIQtq.exe
  C:\Windows\System32\lwLIQtq.exe
  2⤵
  PID:9104
- C:\Windows\System32\ZgKNfMQ.exe
  C:\Windows\System32\ZgKNfMQ.exe
  2⤵
  PID:9204
- C:\Windows\System32\uSaZhLY.exe
  C:\Windows\System32\uSaZhLY.exe
  2⤵
  PID:8196
- C:\Windows\System32\YsUncwN.exe
  C:\Windows\System32\YsUncwN.exe
  2⤵
  PID:8424
- C:\Windows\System32\sbhoatM.exe
  C:\Windows\System32\sbhoatM.exe
  2⤵
  PID:8484
- C:\Windows\System32\aNpKHXG.exe
  C:\Windows\System32\aNpKHXG.exe
  2⤵
  PID:8516
- C:\Windows\System32\nuboXzj.exe
  C:\Windows\System32\nuboXzj.exe
  2⤵
  PID:8492
- C:\Windows\System32\ZXAarxR.exe
  C:\Windows\System32\ZXAarxR.exe
  2⤵
  PID:8576
- C:\Windows\System32\ClqmuqP.exe
  C:\Windows\System32\ClqmuqP.exe
  2⤵
  PID:8596
- C:\Windows\System32\ufFRpPA.exe
  C:\Windows\System32\ufFRpPA.exe
  2⤵
  PID:8624
- C:\Windows\System32\ecjYtvR.exe
  C:\Windows\System32\ecjYtvR.exe
  2⤵
  PID:8668
- C:\Windows\System32\iQgVCMj.exe
  C:\Windows\System32\iQgVCMj.exe
  2⤵
  PID:8620
- C:\Windows\System32\DyVynEC.exe
  C:\Windows\System32\DyVynEC.exe
  2⤵
  PID:8728
- C:\Windows\System32\HaJUXJP.exe
  C:\Windows\System32\HaJUXJP.exe
  2⤵
  PID:3188
- C:\Windows\System32\tRvJHBQ.exe
  C:\Windows\System32\tRvJHBQ.exe
  2⤵
  PID:8816
- C:\Windows\System32\qskWFnZ.exe
  C:\Windows\System32\qskWFnZ.exe
  2⤵
  PID:8924
- C:\Windows\System32\rAAhSnm.exe
  C:\Windows\System32\rAAhSnm.exe
  2⤵
  PID:8992
- C:\Windows\System32\uTBAdvl.exe
  C:\Windows\System32\uTBAdvl.exe
  2⤵
  PID:8184
- C:\Windows\System32\xnwgBwb.exe
  C:\Windows\System32\xnwgBwb.exe
  2⤵
  PID:9176
- C:\Windows\System32\jeTtiRd.exe
  C:\Windows\System32\jeTtiRd.exe
  2⤵
  PID:8232
- C:\Windows\System32\qCDVtDt.exe
  C:\Windows\System32\qCDVtDt.exe
  2⤵
  PID:8712
- C:\Windows\System32\RtCellD.exe
  C:\Windows\System32\RtCellD.exe
  2⤵
  PID:8376
- C:\Windows\System32\pqVsbOt.exe
  C:\Windows\System32\pqVsbOt.exe
  2⤵
  PID:8788
- C:\Windows\System32\jaMGweY.exe
  C:\Windows\System32\jaMGweY.exe
  2⤵
  PID:8556
- C:\Windows\System32\MRJltdC.exe
  C:\Windows\System32\MRJltdC.exe
  2⤵
  PID:8456
- C:\Windows\System32\UWzpEUP.exe
  C:\Windows\System32\UWzpEUP.exe
  2⤵
  PID:9072
- C:\Windows\System32\CrCxlNu.exe
  C:\Windows\System32\CrCxlNu.exe
  2⤵
  PID:8216
- C:\Windows\System32\NCzhnLw.exe
  C:\Windows\System32\NCzhnLw.exe
  2⤵
  PID:9148
- C:\Windows\System32\gQliCSI.exe
  C:\Windows\System32\gQliCSI.exe
  2⤵
  PID:872
- C:\Windows\System32\IQITTMK.exe
  C:\Windows\System32\IQITTMK.exe
  2⤵
  PID:8372
- C:\Windows\System32\nDMLlIg.exe
  C:\Windows\System32\nDMLlIg.exe
  2⤵
  PID:9172
- C:\Windows\System32\gArXVIh.exe
  C:\Windows\System32\gArXVIh.exe
  2⤵
  PID:8744
- C:\Windows\System32\wVGzSQW.exe
  C:\Windows\System32\wVGzSQW.exe
  2⤵
  PID:8820
- C:\Windows\System32\EluqsCu.exe
  C:\Windows\System32\EluqsCu.exe
  2⤵
  PID:9256
- C:\Windows\System32\IWMoIBF.exe
  C:\Windows\System32\IWMoIBF.exe
  2⤵
  PID:9284
- C:\Windows\System32\ZXAUjJW.exe
  C:\Windows\System32\ZXAUjJW.exe
  2⤵
  PID:9308
- C:\Windows\System32\EZTtofb.exe
  C:\Windows\System32\EZTtofb.exe
  2⤵
  PID:9328
- C:\Windows\System32\wMaduNb.exe
  C:\Windows\System32\wMaduNb.exe
  2⤵
  PID:9352
- C:\Windows\System32\wqCuekd.exe
  C:\Windows\System32\wqCuekd.exe
  2⤵
  PID:9376
- C:\Windows\System32\FOXUIWp.exe
  C:\Windows\System32\FOXUIWp.exe
  2⤵
  PID:9400
- C:\Windows\System32\tPDliJY.exe
  C:\Windows\System32\tPDliJY.exe
  2⤵
  PID:9416
- C:\Windows\System32\ELFcZqp.exe
  C:\Windows\System32\ELFcZqp.exe
  2⤵
  PID:9472
- C:\Windows\System32\Plaxfbn.exe
  C:\Windows\System32\Plaxfbn.exe
  2⤵
  PID:9500
- C:\Windows\System32\ncgXAZs.exe
  C:\Windows\System32\ncgXAZs.exe
  2⤵
  PID:9520
- C:\Windows\System32\NXMXckD.exe
  C:\Windows\System32\NXMXckD.exe
  2⤵
  PID:9540
- C:\Windows\System32\DIRHAbQ.exe
  C:\Windows\System32\DIRHAbQ.exe
  2⤵
  PID:9560
- C:\Windows\System32\IZITQUI.exe
  C:\Windows\System32\IZITQUI.exe
  2⤵
  PID:9604
- C:\Windows\System32\HNXHsdj.exe
  C:\Windows\System32\HNXHsdj.exe
  2⤵
  PID:9640
- C:\Windows\System32\yJcdKSP.exe
  C:\Windows\System32\yJcdKSP.exe
  2⤵
  PID:9664
- C:\Windows\System32\hEVykjJ.exe
  C:\Windows\System32\hEVykjJ.exe
  2⤵
  PID:9692
- C:\Windows\System32\NVBfkmI.exe
  C:\Windows\System32\NVBfkmI.exe
  2⤵
  PID:9708
- C:\Windows\System32\FrGVMOG.exe
  C:\Windows\System32\FrGVMOG.exe
  2⤵
  PID:9736
- C:\Windows\System32\aCPJmYj.exe
  C:\Windows\System32\aCPJmYj.exe
  2⤵
  PID:9756
- C:\Windows\System32\ViWBQKC.exe
  C:\Windows\System32\ViWBQKC.exe
  2⤵
  PID:9772
- C:\Windows\System32\ZjreFRC.exe
  C:\Windows\System32\ZjreFRC.exe
  2⤵
  PID:9796
- C:\Windows\System32\vRsmYjQ.exe
  C:\Windows\System32\vRsmYjQ.exe
  2⤵
  PID:9848
- C:\Windows\System32\JSkJxlh.exe
  C:\Windows\System32\JSkJxlh.exe
  2⤵
  PID:9864
- C:\Windows\System32\IWnUrQQ.exe
  C:\Windows\System32\IWnUrQQ.exe
  2⤵
  PID:9904
- C:\Windows\System32\JMRdMbL.exe
  C:\Windows\System32\JMRdMbL.exe
  2⤵
  PID:9928
- C:\Windows\System32\fYbsszZ.exe
  C:\Windows\System32\fYbsszZ.exe
  2⤵
  PID:9952
- C:\Windows\System32\KqukhDz.exe
  C:\Windows\System32\KqukhDz.exe
  2⤵
  PID:9992
- C:\Windows\System32\iNGzgOq.exe
  C:\Windows\System32\iNGzgOq.exe
  2⤵
  PID:10028
- C:\Windows\System32\pseiTGc.exe
  C:\Windows\System32\pseiTGc.exe
  2⤵
  PID:10052
- C:\Windows\System32\HtVmpQq.exe
  C:\Windows\System32\HtVmpQq.exe
  2⤵
  PID:10076
- C:\Windows\System32\JGJALng.exe
  C:\Windows\System32\JGJALng.exe
  2⤵
  PID:10092
- C:\Windows\System32\RRrgRGL.exe
  C:\Windows\System32\RRrgRGL.exe
  2⤵
  PID:10124
- C:\Windows\System32\fqgAYvy.exe
  C:\Windows\System32\fqgAYvy.exe
  2⤵
  PID:10180
- C:\Windows\System32\ZRrxFEn.exe
  C:\Windows\System32\ZRrxFEn.exe
  2⤵
  PID:10200
- C:\Windows\System32\PkegjvA.exe
  C:\Windows\System32\PkegjvA.exe
  2⤵
  PID:10220
- C:\Windows\System32\uyUAsAQ.exe
  C:\Windows\System32\uyUAsAQ.exe
  2⤵
  PID:8532
- C:\Windows\System32\pxEWTCd.exe
  C:\Windows\System32\pxEWTCd.exe
  2⤵
  PID:9232
- C:\Windows\System32\eigLnJT.exe
  C:\Windows\System32\eigLnJT.exe
  2⤵
  PID:9336
- C:\Windows\System32\DzwiVJF.exe
  C:\Windows\System32\DzwiVJF.exe
  2⤵
  PID:9392
- C:\Windows\System32\LtAHGjx.exe
  C:\Windows\System32\LtAHGjx.exe
  2⤵
  PID:9432
- C:\Windows\System32\pDVBQSE.exe
  C:\Windows\System32\pDVBQSE.exe
  2⤵
  PID:9516
- C:\Windows\System32\HEoBZRe.exe
  C:\Windows\System32\HEoBZRe.exe
  2⤵
  PID:9592
- C:\Windows\System32\mNeBziw.exe
  C:\Windows\System32\mNeBziw.exe
  2⤵
  PID:9628
- C:\Windows\System32\FfhLYlG.exe
  C:\Windows\System32\FfhLYlG.exe
  2⤵
  PID:9688
- C:\Windows\System32\xgvkjhm.exe
  C:\Windows\System32\xgvkjhm.exe
  2⤵
  PID:9744
- C:\Windows\System32\GbZOiPw.exe
  C:\Windows\System32\GbZOiPw.exe
  2⤵
  PID:9764
- C:\Windows\System32\JjJagoM.exe
  C:\Windows\System32\JjJagoM.exe
  2⤵
  PID:9924
- C:\Windows\System32\cLCCFjv.exe
  C:\Windows\System32\cLCCFjv.exe
  2⤵
  PID:10008
- C:\Windows\System32\txCozVF.exe
  C:\Windows\System32\txCozVF.exe
  2⤵
  PID:10068
- C:\Windows\System32\jOqPajo.exe
  C:\Windows\System32\jOqPajo.exe
  2⤵
  PID:10104
- C:\Windows\System32\TivMhTJ.exe
  C:\Windows\System32\TivMhTJ.exe
  2⤵
  PID:10196
- C:\Windows\System32\rbtZMqZ.exe
  C:\Windows\System32\rbtZMqZ.exe
  2⤵
  PID:9140
- C:\Windows\System32\AMdoByn.exe
  C:\Windows\System32\AMdoByn.exe
  2⤵
  PID:9372
- C:\Windows\System32\ajTIXiC.exe
  C:\Windows\System32\ajTIXiC.exe
  2⤵
  PID:4732
- C:\Windows\System32\qDdWOvn.exe
  C:\Windows\System32\qDdWOvn.exe
  2⤵
  PID:9360
- C:\Windows\System32\riABqsC.exe
  C:\Windows\System32\riABqsC.exe
  2⤵
  PID:9588
- C:\Windows\System32\FwldPqK.exe
  C:\Windows\System32\FwldPqK.exe
  2⤵
  PID:9676
- C:\Windows\System32\OMsBXvZ.exe
  C:\Windows\System32\OMsBXvZ.exe
  2⤵
  PID:9828
- C:\Windows\System32\YyxJgdN.exe
  C:\Windows\System32\YyxJgdN.exe
  2⤵
  PID:10040
- C:\Windows\System32\LyKLWrM.exe
  C:\Windows\System32\LyKLWrM.exe
  2⤵
  PID:10228
- C:\Windows\System32\mnYLdfe.exe
  C:\Windows\System32\mnYLdfe.exe
  2⤵
  PID:9484
- C:\Windows\System32\vNwSBSp.exe
  C:\Windows\System32\vNwSBSp.exe
  2⤵
  PID:3952
- C:\Windows\System32\KAEIFfm.exe
  C:\Windows\System32\KAEIFfm.exe
  2⤵
  PID:9812
- C:\Windows\System32\SCsVwRd.exe
  C:\Windows\System32\SCsVwRd.exe
  2⤵
  PID:9272
- C:\Windows\System32\MLfQmvN.exe
  C:\Windows\System32\MLfQmvN.exe
  2⤵
  PID:10260
- C:\Windows\System32\CJlIJkD.exe
  C:\Windows\System32\CJlIJkD.exe
  2⤵
  PID:10284
- C:\Windows\System32\yYJPhke.exe
  C:\Windows\System32\yYJPhke.exe
  2⤵
  PID:10304
- C:\Windows\System32\WKKUOYe.exe
  C:\Windows\System32\WKKUOYe.exe
  2⤵
  PID:10320
- C:\Windows\System32\LJPYcgk.exe
  C:\Windows\System32\LJPYcgk.exe
  2⤵
  PID:10344
- C:\Windows\System32\JTjacos.exe
  C:\Windows\System32\JTjacos.exe
  2⤵
  PID:10368
- C:\Windows\System32\SAQVDsW.exe
  C:\Windows\System32\SAQVDsW.exe
  2⤵
  PID:10400
- C:\Windows\System32\BrmMyVI.exe
  C:\Windows\System32\BrmMyVI.exe
  2⤵
  PID:10416
- C:\Windows\System32\WvrSHKR.exe
  C:\Windows\System32\WvrSHKR.exe
  2⤵
  PID:10456
- C:\Windows\System32\OowfWLY.exe
  C:\Windows\System32\OowfWLY.exe
  2⤵
  PID:10544
- C:\Windows\System32\SmxnyTN.exe
  C:\Windows\System32\SmxnyTN.exe
  2⤵
  PID:10560
- C:\Windows\System32\pNwhvPj.exe
  C:\Windows\System32\pNwhvPj.exe
  2⤵
  PID:10576
- C:\Windows\System32\wmyBszs.exe
  C:\Windows\System32\wmyBszs.exe
  2⤵
  PID:10596
- C:\Windows\System32\nrHTnKq.exe
  C:\Windows\System32\nrHTnKq.exe
  2⤵
  PID:10620
- C:\Windows\System32\GeBMoxn.exe
  C:\Windows\System32\GeBMoxn.exe
  2⤵
  PID:10644
- C:\Windows\System32\ZQdMvbg.exe
  C:\Windows\System32\ZQdMvbg.exe
  2⤵
  PID:10660
- C:\Windows\System32\vgbBhMw.exe
  C:\Windows\System32\vgbBhMw.exe
  2⤵
  PID:10688
- C:\Windows\System32\UCfhkvP.exe
  C:\Windows\System32\UCfhkvP.exe
  2⤵
  PID:10708
- C:\Windows\System32\PZOTOwa.exe
  C:\Windows\System32\PZOTOwa.exe
  2⤵
  PID:10752
- C:\Windows\System32\qFyWadS.exe
  C:\Windows\System32\qFyWadS.exe
  2⤵
  PID:10780
- C:\Windows\System32\GuvfsaB.exe
  C:\Windows\System32\GuvfsaB.exe
  2⤵
  PID:10820
- C:\Windows\System32\pbHyqlw.exe
  C:\Windows\System32\pbHyqlw.exe
  2⤵
  PID:10844
- C:\Windows\System32\njndXnK.exe
  C:\Windows\System32\njndXnK.exe
  2⤵
  PID:10876
- C:\Windows\System32\pMWmhou.exe
  C:\Windows\System32\pMWmhou.exe
  2⤵
  PID:10920
- C:\Windows\System32\YQDFXwG.exe
  C:\Windows\System32\YQDFXwG.exe
  2⤵
  PID:10940
- C:\Windows\System32\pagNKcH.exe
  C:\Windows\System32\pagNKcH.exe
  2⤵
  PID:10956
- C:\Windows\System32\MwTsJDJ.exe
  C:\Windows\System32\MwTsJDJ.exe
  2⤵
  PID:10976
- C:\Windows\System32\JqwiJlo.exe
  C:\Windows\System32\JqwiJlo.exe
  2⤵
  PID:11000
- C:\Windows\System32\DWcoTYl.exe
  C:\Windows\System32\DWcoTYl.exe
  2⤵
  PID:11020
- C:\Windows\System32\DlBJreq.exe
  C:\Windows\System32\DlBJreq.exe
  2⤵
  PID:11040
- C:\Windows\System32\hdgXqNJ.exe
  C:\Windows\System32\hdgXqNJ.exe
  2⤵
  PID:11084
- C:\Windows\System32\hnsHHzw.exe
  C:\Windows\System32\hnsHHzw.exe
  2⤵
  PID:11136
- C:\Windows\System32\GgcmlPk.exe
  C:\Windows\System32\GgcmlPk.exe
  2⤵
  PID:11164
- C:\Windows\System32\cRirfGX.exe
  C:\Windows\System32\cRirfGX.exe
  2⤵
  PID:11180
- C:\Windows\System32\IRioEAF.exe
  C:\Windows\System32\IRioEAF.exe
  2⤵
  PID:11216
- C:\Windows\System32\uZlQXRx.exe
  C:\Windows\System32\uZlQXRx.exe
  2⤵
  PID:11232
- C:\Windows\System32\SQJUSvx.exe
  C:\Windows\System32\SQJUSvx.exe
  2⤵
  PID:11256
- C:\Windows\System32\Ukheupk.exe
  C:\Windows\System32\Ukheupk.exe
  2⤵
  PID:10272
- C:\Windows\System32\EKjVTAr.exe
  C:\Windows\System32\EKjVTAr.exe
  2⤵
  PID:10392
- C:\Windows\System32\gnPVkFL.exe
  C:\Windows\System32\gnPVkFL.exe
  2⤵
  PID:10428
- C:\Windows\System32\hstZGvf.exe
  C:\Windows\System32\hstZGvf.exe
  2⤵
  PID:10524
- C:\Windows\System32\XRHJCwf.exe
  C:\Windows\System32\XRHJCwf.exe
  2⤵
  PID:10552
- C:\Windows\System32\gQciLSf.exe
  C:\Windows\System32\gQciLSf.exe
  2⤵
  PID:10636
- C:\Windows\System32\QDzRMto.exe
  C:\Windows\System32\QDzRMto.exe
  2⤵
  PID:10632
- C:\Windows\System32\EgfxIfy.exe
  C:\Windows\System32\EgfxIfy.exe
  2⤵
  PID:10700
- C:\Windows\System32\jMMByAX.exe
  C:\Windows\System32\jMMByAX.exe
  2⤵
  PID:10768
- C:\Windows\System32\UhkiROJ.exe
  C:\Windows\System32\UhkiROJ.exe
  2⤵
  PID:10828
- C:\Windows\System32\dfKhZpX.exe
  C:\Windows\System32\dfKhZpX.exe
  2⤵
  PID:10952
- C:\Windows\System32\JRVgbJD.exe
  C:\Windows\System32\JRVgbJD.exe
  2⤵
  PID:11072
- C:\Windows\System32\tHBqbvc.exe
  C:\Windows\System32\tHBqbvc.exe
  2⤵
  PID:11120
- C:\Windows\System32\vPPBBez.exe
  C:\Windows\System32\vPPBBez.exe
  2⤵
  PID:11204
- C:\Windows\System32\xQxPaQm.exe
  C:\Windows\System32\xQxPaQm.exe
  2⤵
  PID:11224
- C:\Windows\System32\iDZGnEy.exe
  C:\Windows\System32\iDZGnEy.exe
  2⤵
  PID:10352
- C:\Windows\System32\TaUakGr.exe
  C:\Windows\System32\TaUakGr.exe
  2⤵
  PID:10424
- C:\Windows\System32\RXjxVpX.exe
  C:\Windows\System32\RXjxVpX.exe
  2⤵
  PID:10568
- C:\Windows\System32\AnJGdTH.exe
  C:\Windows\System32\AnJGdTH.exe
  2⤵
  PID:10728
- C:\Windows\System32\QflcEXV.exe
  C:\Windows\System32\QflcEXV.exe
  2⤵
  PID:10540
- C:\Windows\System32\JKdDPOr.exe
  C:\Windows\System32\JKdDPOr.exe
  2⤵
  PID:10932
- C:\Windows\System32\ohKZHyj.exe
  C:\Windows\System32\ohKZHyj.exe
  2⤵
  PID:11016
- C:\Windows\System32\XazpkNd.exe
  C:\Windows\System32\XazpkNd.exe
  2⤵
  PID:11160
- C:\Windows\System32\cKUApka.exe
  C:\Windows\System32\cKUApka.exe
  2⤵
  PID:11228
- C:\Windows\System32\jlPQJcR.exe
  C:\Windows\System32\jlPQJcR.exe
  2⤵
  PID:10496
- C:\Windows\System32\IdwYKTO.exe
  C:\Windows\System32\IdwYKTO.exe
  2⤵
  PID:11176
- C:\Windows\System32\KsJeJzL.exe
  C:\Windows\System32\KsJeJzL.exe
  2⤵
  PID:11096
- C:\Windows\System32\omLYjuB.exe
  C:\Windows\System32\omLYjuB.exe
  2⤵
  PID:11108
- C:\Windows\System32\AsKVLhm.exe
  C:\Windows\System32\AsKVLhm.exe
  2⤵
  PID:11324
- C:\Windows\System32\SPfGDjO.exe
  C:\Windows\System32\SPfGDjO.exe
  2⤵
  PID:11360
- C:\Windows\System32\FOgrwcV.exe
  C:\Windows\System32\FOgrwcV.exe
  2⤵
  PID:11384
- C:\Windows\System32\NdIeSuR.exe
  C:\Windows\System32\NdIeSuR.exe
  2⤵
  PID:11408
- C:\Windows\System32\NllTFqc.exe
  C:\Windows\System32\NllTFqc.exe
  2⤵
  PID:11428
- C:\Windows\System32\EDyXavP.exe
  C:\Windows\System32\EDyXavP.exe
  2⤵
  PID:11460
- C:\Windows\System32\pjvZAPy.exe
  C:\Windows\System32\pjvZAPy.exe
  2⤵
  PID:11492
- C:\Windows\System32\yjaiWTo.exe
  C:\Windows\System32\yjaiWTo.exe
  2⤵
  PID:11508
- C:\Windows\System32\aRrYcrC.exe
  C:\Windows\System32\aRrYcrC.exe
  2⤵
  PID:11552
- C:\Windows\System32\xWaZwgd.exe
  C:\Windows\System32\xWaZwgd.exe
  2⤵
  PID:11584
- C:\Windows\System32\UEBjgDh.exe
  C:\Windows\System32\UEBjgDh.exe
  2⤵
  PID:11600
- C:\Windows\System32\ugfEZlj.exe
  C:\Windows\System32\ugfEZlj.exe
  2⤵
  PID:11620
- C:\Windows\System32\MrMWTDl.exe
  C:\Windows\System32\MrMWTDl.exe
  2⤵
  PID:11640
- C:\Windows\System32\uEZqAhe.exe
  C:\Windows\System32\uEZqAhe.exe
  2⤵
  PID:11664
- C:\Windows\System32\ndtcped.exe
  C:\Windows\System32\ndtcped.exe
  2⤵
  PID:11712
- C:\Windows\System32\mBPKQqz.exe
  C:\Windows\System32\mBPKQqz.exe
  2⤵
  PID:11756
- C:\Windows\System32\FlErWnL.exe
  C:\Windows\System32\FlErWnL.exe
  2⤵
  PID:11780
- C:\Windows\System32\qMviLCn.exe
  C:\Windows\System32\qMviLCn.exe
  2⤵
  PID:11824
- C:\Windows\System32\mvHighB.exe
  C:\Windows\System32\mvHighB.exe
  2⤵
  PID:11844
- C:\Windows\System32\tsXJlZh.exe
  C:\Windows\System32\tsXJlZh.exe
  2⤵
  PID:11860
- C:\Windows\System32\XDNJCkb.exe
  C:\Windows\System32\XDNJCkb.exe
  2⤵
  PID:11880
- C:\Windows\System32\OabBsVD.exe
  C:\Windows\System32\OabBsVD.exe
  2⤵
  PID:11904
- C:\Windows\System32\KydKdCS.exe
  C:\Windows\System32\KydKdCS.exe
  2⤵
  PID:11932
- C:\Windows\System32\wiiXuFy.exe
  C:\Windows\System32\wiiXuFy.exe
  2⤵
  PID:11960
- C:\Windows\System32\GrEnxkm.exe
  C:\Windows\System32\GrEnxkm.exe
  2⤵
  PID:12008
- C:\Windows\System32\FTzZhis.exe
  C:\Windows\System32\FTzZhis.exe
  2⤵
  PID:12028
- C:\Windows\System32\tqnUwIh.exe
  C:\Windows\System32\tqnUwIh.exe
  2⤵
  PID:12072
- C:\Windows\System32\wjZMDAA.exe
  C:\Windows\System32\wjZMDAA.exe
  2⤵
  PID:12096
- C:\Windows\System32\HwbuDMq.exe
  C:\Windows\System32\HwbuDMq.exe
  2⤵
  PID:12136
- C:\Windows\System32\eXFhDWn.exe
  C:\Windows\System32\eXFhDWn.exe
  2⤵
  PID:12160
- C:\Windows\System32\HgZUuRC.exe
  C:\Windows\System32\HgZUuRC.exe
  2⤵
  PID:12180
- C:\Windows\System32\YxpTpfV.exe
  C:\Windows\System32\YxpTpfV.exe
  2⤵
  PID:12196
- C:\Windows\System32\GihvqqN.exe
  C:\Windows\System32\GihvqqN.exe
  2⤵
  PID:12232
- C:\Windows\System32\cGtNqmg.exe
  C:\Windows\System32\cGtNqmg.exe
  2⤵
  PID:12252
- C:\Windows\System32\LmrQlzW.exe
  C:\Windows\System32\LmrQlzW.exe
  2⤵
  PID:12268
- C:\Windows\System32\xbFrLSb.exe
  C:\Windows\System32\xbFrLSb.exe
  2⤵
  PID:11336
- C:\Windows\System32\jzkhLJK.exe
  C:\Windows\System32\jzkhLJK.exe
  2⤵
  PID:11372
- C:\Windows\System32\SAEjHbo.exe
  C:\Windows\System32\SAEjHbo.exe
  2⤵
  PID:11404
- C:\Windows\System32\jWqlqGD.exe
  C:\Windows\System32\jWqlqGD.exe
  2⤵
  PID:11440
- C:\Windows\System32\CzrJanF.exe
  C:\Windows\System32\CzrJanF.exe
  2⤵
  PID:11504
- C:\Windows\System32\BJzfmpq.exe
  C:\Windows\System32\BJzfmpq.exe
  2⤵
  PID:11616
- C:\Windows\System32\YzcEcoL.exe
  C:\Windows\System32\YzcEcoL.exe
  2⤵
  PID:11612
- C:\Windows\System32\DVGarMS.exe
  C:\Windows\System32\DVGarMS.exe
  2⤵
  PID:11720
- C:\Windows\System32\SbHSBcb.exe
  C:\Windows\System32\SbHSBcb.exe
  2⤵
  PID:11832
- C:\Windows\System32\gPoAQNm.exe
  C:\Windows\System32\gPoAQNm.exe
  2⤵
  PID:11900
- C:\Windows\System32\rYwKFUa.exe
  C:\Windows\System32\rYwKFUa.exe
  2⤵
  PID:11916
- C:\Windows\System32\RQiNLJR.exe
  C:\Windows\System32\RQiNLJR.exe
  2⤵
  PID:10356
- C:\Windows\System32\KTVOFRk.exe
  C:\Windows\System32\KTVOFRk.exe
  2⤵
  PID:12004
- C:\Windows\System32\akndRyq.exe
  C:\Windows\System32\akndRyq.exe
  2⤵
  PID:12144
- C:\Windows\System32\OcbjOvD.exe
  C:\Windows\System32\OcbjOvD.exe
  2⤵
  PID:12216
- C:\Windows\System32\oubxLdn.exe
  C:\Windows\System32\oubxLdn.exe
  2⤵
  PID:12248
- C:\Windows\System32\npYEGBo.exe
  C:\Windows\System32\npYEGBo.exe
  2⤵
  PID:2888
- C:\Windows\System32\HzCeYCA.exe
  C:\Windows\System32\HzCeYCA.exe
  2⤵
  PID:11456
- C:\Windows\System32\IpCAjbc.exe
  C:\Windows\System32\IpCAjbc.exe
  2⤵
  PID:11540
- C:\Windows\System32\wHtIdQa.exe
  C:\Windows\System32\wHtIdQa.exe
  2⤵
  PID:11500
- C:\Windows\System32\bFwSQYs.exe
  C:\Windows\System32\bFwSQYs.exe
  2⤵
  PID:11704
- C:\Windows\System32\bzlqQKL.exe
  C:\Windows\System32\bzlqQKL.exe
  2⤵
  PID:11876
- C:\Windows\System32\GHNOaeb.exe
  C:\Windows\System32\GHNOaeb.exe
  2⤵
  PID:12036
- C:\Windows\System32\rltHIEe.exe
  C:\Windows\System32\rltHIEe.exe
  2⤵
  PID:12284
- C:\Windows\System32\Umcqdrc.exe
  C:\Windows\System32\Umcqdrc.exe
  2⤵
  PID:11416
- C:\Windows\System32\sfkJmql.exe
  C:\Windows\System32\sfkJmql.exe
  2⤵
  PID:1420
- C:\Windows\System32\nYWsSvB.exe
  C:\Windows\System32\nYWsSvB.exe
  2⤵
  PID:11840
- C:\Windows\System32\mRyDWei.exe
  C:\Windows\System32\mRyDWei.exe
  2⤵
  PID:11312
- C:\Windows\System32\NgdmOUk.exe
  C:\Windows\System32\NgdmOUk.exe
  2⤵
  PID:12296
- C:\Windows\System32\eLefKQH.exe
  C:\Windows\System32\eLefKQH.exe
  2⤵
  PID:12324
- C:\Windows\System32\ZyZeBtQ.exe
  C:\Windows\System32\ZyZeBtQ.exe
  2⤵
  PID:12340
- C:\Windows\System32\sAXIqLM.exe
  C:\Windows\System32\sAXIqLM.exe
  2⤵
  PID:12360
- C:\Windows\System32\BoUqFKr.exe
  C:\Windows\System32\BoUqFKr.exe
  2⤵
  PID:12384
- C:\Windows\System32\WeJIuYm.exe
  C:\Windows\System32\WeJIuYm.exe
  2⤵
  PID:12428
- C:\Windows\System32\bvZZASd.exe
  C:\Windows\System32\bvZZASd.exe
  2⤵
  PID:12460
- C:\Windows\System32\rbbAvGk.exe
  C:\Windows\System32\rbbAvGk.exe
  2⤵
  PID:12484
- C:\Windows\System32\XRbFYTu.exe
  C:\Windows\System32\XRbFYTu.exe
  2⤵
  PID:12512
- C:\Windows\System32\KWaSghV.exe
  C:\Windows\System32\KWaSghV.exe
  2⤵
  PID:12528
- C:\Windows\System32\XdbPbvS.exe
  C:\Windows\System32\XdbPbvS.exe
  2⤵
  PID:12544
- C:\Windows\System32\AlDDYCL.exe
  C:\Windows\System32\AlDDYCL.exe
  2⤵
  PID:12568
- C:\Windows\System32\bGxgPIP.exe
  C:\Windows\System32\bGxgPIP.exe
  2⤵
  PID:12592
- C:\Windows\System32\qVrAbAj.exe
  C:\Windows\System32\qVrAbAj.exe
  2⤵
  PID:12612
- C:\Windows\System32\sIebTVh.exe
  C:\Windows\System32\sIebTVh.exe
  2⤵
  PID:12648
- C:\Windows\System32\QxFclLL.exe
  C:\Windows\System32\QxFclLL.exe
  2⤵
  PID:12668
- C:\Windows\System32\NAQqKxm.exe
  C:\Windows\System32\NAQqKxm.exe
  2⤵
  PID:12716
- C:\Windows\System32\uMUxYoU.exe
  C:\Windows\System32\uMUxYoU.exe
  2⤵
  PID:12732
- C:\Windows\System32\EDFTcOK.exe
  C:\Windows\System32\EDFTcOK.exe
  2⤵
  PID:12776
- C:\Windows\System32\oCqZYgj.exe
  C:\Windows\System32\oCqZYgj.exe
  2⤵
  PID:12804
- C:\Windows\System32\ziucevL.exe
  C:\Windows\System32\ziucevL.exe
  2⤵
  PID:12848
- C:\Windows\System32\nJMPtKS.exe
  C:\Windows\System32\nJMPtKS.exe
  2⤵
  PID:12892
- C:\Windows\System32\KkZzzPv.exe
  C:\Windows\System32\KkZzzPv.exe
  2⤵
  PID:12916
- C:\Windows\System32\JlDOwCf.exe
  C:\Windows\System32\JlDOwCf.exe
  2⤵
  PID:12936
- C:\Windows\System32\LTbBjqg.exe
  C:\Windows\System32\LTbBjqg.exe
  2⤵
  PID:12952
- C:\Windows\System32\dFkTEZD.exe
  C:\Windows\System32\dFkTEZD.exe
  2⤵
  PID:12976
- C:\Windows\System32\gBaKjWp.exe
  C:\Windows\System32\gBaKjWp.exe
  2⤵
  PID:12992
- C:\Windows\System32\eMcGVny.exe
  C:\Windows\System32\eMcGVny.exe
  2⤵
  PID:13016
- C:\Windows\System32\QdbkcGl.exe
  C:\Windows\System32\QdbkcGl.exe
  2⤵
  PID:13032
- C:\Windows\System32\kFubuqW.exe
  C:\Windows\System32\kFubuqW.exe
  2⤵
  PID:13096
- C:\Windows\System32\UXLyioc.exe
  C:\Windows\System32\UXLyioc.exe
  2⤵
  PID:13116
- C:\Windows\System32\DKqSWuO.exe
  C:\Windows\System32\DKqSWuO.exe
  2⤵
  PID:13136
- C:\Windows\System32\cbQGAsq.exe
  C:\Windows\System32\cbQGAsq.exe
  2⤵
  PID:13156
- C:\Windows\System32\bvrQdkQ.exe
  C:\Windows\System32\bvrQdkQ.exe
  2⤵
  PID:13192
- C:\Windows\System32\ybRshrV.exe
  C:\Windows\System32\ybRshrV.exe
  2⤵
  PID:13212
- C:\Windows\System32\AlbPmVz.exe
  C:\Windows\System32\AlbPmVz.exe
  2⤵
  PID:13236
- C:\Windows\System32\aPFscjC.exe
  C:\Windows\System32\aPFscjC.exe
  2⤵
  PID:13300
- C:\Windows\System32\qNUrGGy.exe
  C:\Windows\System32\qNUrGGy.exe
  2⤵
  PID:12292
- C:\Windows\System32\lkCITSF.exe
  C:\Windows\System32\lkCITSF.exe
  2⤵
  PID:12348
- C:\Windows\System32\VsUKBMR.exe
  C:\Windows\System32\VsUKBMR.exe
  2⤵
  PID:12420
- C:\Windows\System32\bQOTkPa.exe
  C:\Windows\System32\bQOTkPa.exe
  2⤵
  PID:12472
- C:\Windows\System32\SGmJAUe.exe
  C:\Windows\System32\SGmJAUe.exe
  2⤵
  PID:12660

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:11636

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\APayJUa.exe

Filesize
1.5MB

MD5
743792da0adfac52df08a15a943861a9

SHA1
30d55e2d1dc5859bc0bf415198edcd46b065be56

SHA256
32eb8ecda9cc7d7a468e3cac2a92b80a8a0caa9df0b0baa318f5af353a6cb4ff

SHA512
231a527a432a9a6b99674b00eb4a038d15197ed394cea1aa4d6a6ff2de8a32fe042aa90ff523f73fec3d96b5067334a2c3948feeabbd35e795c7597e5a160cc7

Download Submit
C:\Windows\System32\BIvBBYW.exe

Filesize
1.5MB

MD5
e8742a1296f343dd50125d68ef4f6689

SHA1
5442ddfb857526453dcb5ce6b3d0194f74e08632

SHA256
8d220c7c24f08550c13454acce80a5cdc64494c764eaa6f03cd0c6a5de134b01

SHA512
46c6fc27586ed042843d159bfb7d67dfdb2fb7802c3085c0d24073fbc09b80f7153783612c2c06d7caf09148bedbc326c110fb9d95712c46215ef39a12ad02d0

Download Submit
C:\Windows\System32\DojzeEc.exe

Filesize
1.5MB

MD5
3ad5dd5534f90a2bcd95e5bdcc00d490

SHA1
90955d5ab139a84ceb9e6f5712782f9dc5f30c9c

SHA256
13aeb03038963c018e7effdf323cce7d25f30b599293081360465d1f10faaba4

SHA512
897e199a58de8c431a30e2a78d68c46b4389756b59c8ced73260c62275c101aa2aed5c78c8b953a59dcb225215e204913eebaafef49c5855320300dc41c9a1d8

Download Submit
C:\Windows\System32\GLRlYsN.exe

Filesize
1.5MB

MD5
35bde4659c9b993ae8bf1b35a945c96b

SHA1
766e3a2916270e4cfeeacab381cb3ebbf5310e19

SHA256
1ab6345aabae8cc2becdbfefd82ea72e9453c54b32c40c70177f420ee6649a33

SHA512
c72ce94cf1b5732719f1f057459736c263d83caa842aecf931488ea98b0307a77253874e4b287e44c8c87ccb065bee963e23e369ab452f934003e5e8ff9981a8

Download Submit
C:\Windows\System32\HhXHiBw.exe

Filesize
1.5MB

MD5
b24d771ee9831415824c3ef389c76472

SHA1
601086623510cdc03ab79d02e1e4e8b5184ec872

SHA256
9c0637cef606af795f272f6eca1546e5e9ddca8293f9948f0b1712bfb1ab0dd6

SHA512
9f9bf5d176173fc4ae7538021f33570d01ebb06c5ded8b53deda87db73a4a2ec0511a250ba2b3bf85011d1f7fa1e328496db236dc870c418acc970d3abf70188

Download Submit
C:\Windows\System32\KyRcTQY.exe

Filesize
1.5MB

MD5
c03bda52b969fcc2008974a4d2838a92

SHA1
483d8098dadf2fab06cfe013e0e72a172b30c4dc

SHA256
9cd5f2585e8331b21320c6ba9e93eca202b485860435266c5701e24d5ed35c99

SHA512
4e5c98a78c1d0d25d507b3c0ee01800349fd6b8b1292ee3b9bde8a892385cd53cdf69e6aa619f746cca5ebf2f608ff30b963c42c6cbe13e3b82d7fc5555fba9d

Download Submit
C:\Windows\System32\LIMoCLU.exe

Filesize
1.5MB

MD5
4b8a47a23563a51b88bd8e31cb2dd909

SHA1
ce504c7fded61ce514b9f2fce73647bb449284ee

SHA256
addfd5d5b4d96077c254436ac50b32877078b34427915835e65ee9615547b931

SHA512
1384858356a0ad13f0f279477b160b8a8ace5689cba41b38174c82df0b4aa90ea0f963ac4c4db2ffc52f0ee0ac03d3ff5d2a39e40c29568060c54f9a38c082cb

Download Submit
C:\Windows\System32\OSnQwte.exe

Filesize
1.5MB

MD5
323070505872c8adf6e87cccccc6f060

SHA1
a39cef5aebaabf84429ddf75f28955bbce92af02

SHA256
29cdc231b0a2139459bb69d4944dba3572916cbd3fb0005d7289398fab4af717

SHA512
221b5a58767e0ab6398752e2ac470d6b9216c6d0d569045ccbc554fbfdbd9947eb99fd69eb2610e0e74b915dcdd801f50adb12f6fc6fea534783c1bb2c6f84f7

Download Submit
C:\Windows\System32\QBxfvMb.exe

Filesize
1.5MB

MD5
5aee4dd9aa0279c9f20e9a9f36a33786

SHA1
6e055f0af0b8366b28f62727aaa0ecb6b7a713f4

SHA256
f44717234f16ec05e88828583feaf2d9e0e0a7645740a068b3e45b6f8683f463

SHA512
96fb9657e0da2dbd392deb4f07472453153ab9326810f558ff07fe32cdf605a204fe0d697ba83c1fb6b50d6701ea413cbe91c747af72af882899b6bd6df6ad82

Download Submit
C:\Windows\System32\QkDUKFr.exe

Filesize
1.5MB

MD5
ab3b90209d1392d93fa5da340294b7ec

SHA1
cf0cf28e6a800865ddb897fde3c1aef0b72fb652

SHA256
a91005767f859765f2d2dcb4488b9617c2587da54b3535583a20f2754deccf08

SHA512
d54e5c874b1444e45781eff16c13c8c8e4f7d9cf468e425900e327373fd9f9088f39b4fb6db284101fa27a364b3f6fbacbba233d5f65b48d7b6e487a6f94eb32

Download Submit
C:\Windows\System32\SSaZDeZ.exe

Filesize
1.5MB

MD5
7b68c38744e7f793f7387174c49ffbc3

SHA1
61d3326bba8ec903ff19a5d7c9911c3961a7c29e

SHA256
6a2115e73ea6e699da89a4ae5897172e5eba3352cac78a45c1d18ac3a3e9bfac

SHA512
88d342273c4ff3819c0ee3d46ba3b1c429e17a7f84435dcc88729309a7320f5998cb40b85ecf2031e715f5ea436ecd6a1408a37357f35a7a3e0626586ff7e271

Download Submit
C:\Windows\System32\SdqNpcG.exe

Filesize
1.5MB

MD5
0221850375e6a9fcdeec393224d664f3

SHA1
65ddd7ef36f68ea35c890841451810419cbba584

SHA256
c060947a116b648a41b59b04d8ab81dd6320daa17174e1cb1ceb14a2b47cd5c4

SHA512
375a2d62c6fc73e498519116cf91a2ce2f444e2ba15db71a3460fd93032fe23ebed717bfec5b0ff748973089ab94b3f59b103f1f13318641c8edca7abb703f96

Download Submit
C:\Windows\System32\UTLbBhg.exe

Filesize
1.5MB

MD5
87c9bfec32751ce61433217710fca821

SHA1
90ad1ecb35e41c9d31d1d329c73ad0ad3779f7a4

SHA256
f3acbba88497647a56c19425cd0197b378790516f778bccdf06524fdbb911e0e

SHA512
2ed5eafb77d0610dddbe290652b33ca6115aedbb62621a08e7d43dc142042063ea1dd6d4e42b18a1a51126193d2d3db3cf30cd8035f85c3a00fee17d98b90825

Download Submit
C:\Windows\System32\UdQnRCQ.exe

Filesize
1.5MB

MD5
cbbed20a88f9b9611aab40dacb2c6547

SHA1
c64e8c213f7d06f9e9a3467c22984b625baf3b0f

SHA256
6781fd0aa27c0b2c640121cc6e30548a47bf383b70d8cc0161b786456ca0866a

SHA512
360256626fa6d8178606e1b1d21f8ce0e827821176e1678807369097a4fda93e44acce27535c621d69702dd4765d0c963990290f8122ef4641af75c01ab5dbfb

Download Submit
C:\Windows\System32\YsYtzFD.exe

Filesize
1.5MB

MD5
5eacca965f74ab8b9990c702f2f8262e

SHA1
03bd9dcc08cd1fae659d845898c07807258c5275

SHA256
abd3bd81b3270b5085d9d68075bab7464d26550a6cc55f03172c7bb30691a25c

SHA512
7fd8d07b9fdb7ea8f801e19d904ebbe421db0f823de58ce973bc12b91f8beafd334379dfb6dbb698e6515875f920355597848d6914571889ab12d307a65e7ca3

Download Submit
C:\Windows\System32\ZrhjzQO.exe

Filesize
1.5MB

MD5
b48bbdaa9fa680ca70ecbe6b5d3913f5

SHA1
6d73d52df9a23e612a69afa7af06bdca4988dfed

SHA256
228cf58f09b333398e7f0d543dbcf9c4c2a6ace24e78ac0bba87a3fbed18fcfb

SHA512
1da0d68fb1a21b47c123ddf2540330aee75430d18f9c1886bb43c6bfba4501dc056e207e1ffc2438f2f6e6a8cdb9a2b8bc3e8f3304fa0813399478547d34af93

Download Submit
C:\Windows\System32\bZQqkWH.exe

Filesize
1.5MB

MD5
42ae796710c5e80e1293473bc9ce96bf

SHA1
34b0d5bd47919135c28f4a42ea68647fb3c618e4

SHA256
d552149439a2ed6cb4c2762d1110f1a211c2a1004065720cb22b3c04cfe7bf41

SHA512
4fb4e9e101191b3ea60f6d68812d6c9f31e195b77a1ae9016ce01e1400a6458a3f503b55d439d3f0ff7a928d6f934376f1beab6308a884cfc4cee94335483c34

Download Submit
C:\Windows\System32\evpiUga.exe

Filesize
1.5MB

MD5
a806ee8076b24cfcc3e36b8a8c2f3b50

SHA1
37074ea07d4699f25b568371e61bffaacabefe57

SHA256
dbc4fb8dd26d2cdcadfaa680f565c60dfed941c6509650659b718f4c00791b4c

SHA512
906218de699b74f2e99e2c80c71009c341990256c124ff9e127f4dce034b7983e883d388276c2ed2812ac3ff21e369cde7e11c75586f7ecced3c4a6d328a261b

Download Submit
C:\Windows\System32\fCZZQSu.exe

Filesize
1.5MB

MD5
c442989f1fb0913a3da962f84e911199

SHA1
f52da8222cf869b0c1772c4f1d81d03076a9e364

SHA256
c5fea09c1933ea730ba8aa6c19be13372052c95c3bc14ffdcff532b00fd6c895

SHA512
9ec15b70d99a16482ed0b3e0847abcf9d23faa97bda17d0b5222942d8c99f95e9e044cd6de06f051156f9493b6e19a71a6d0a0840526d38259f46d28306c4c7b

Download Submit
C:\Windows\System32\fnrNOtC.exe

Filesize
1.5MB

MD5
15a0535bdf4d91a2bd1a366e1c00fcc6

SHA1
6253cbcf84db6f6101f5733ec13e3d34f9dc609b

SHA256
14be0d597c741a38b5a3eebf8de29b8cda340ec8c34f85d256301afbac781509

SHA512
fcbebc0fb841ff53dbba3c4208fc703d765beb5636a6d2b6aadd0219c947f77ca2758b5bd138debd2116e2e170ab5b5d2e0c5840703c11d02f5ca43f5f3496ae

Download Submit
C:\Windows\System32\iFkxryZ.exe

Filesize
1.5MB

MD5
8656a34b2cc9827489ee1d550c8b893f

SHA1
c952248c3078464316b32dd5d9ae02c126781ac6

SHA256
97671b0786ce681f7b0ea208656a60bb8973f934766d4e5b1f68d4e9fb99d0a8

SHA512
6e264aa9fd061941b3e1b5ad28b13c3f51875e6a14e24157f6319d050b61610f70649c75630b09140528ad183b59f5fcc30482da1151b3defa7ce0ec75f35789

Download Submit
C:\Windows\System32\jyambsP.exe

Filesize
1.5MB

MD5
525162eff0c47a93246641c05ba64c27

SHA1
6092f59d33694353a14948041226047ef9e03fdd

SHA256
8c1072b2fd99f351555c7a3909e64bb3acf781a17a2f99185e362ee1b2c32cca

SHA512
34f108fe3207a7316d0fc68bdaafc6aa41289819aa692d391d195c373727b1939457e5ea1ba9a9a1b9bc71a4e5ae722faab8a12243c9571282044e9ba26e52d6

Download Submit
C:\Windows\System32\kcBtRxA.exe

Filesize
1.5MB

MD5
27d444a6135c74e568f01517824afde8

SHA1
c38fff96cf796a5d6518b5e50aef010433c62716

SHA256
2f79a35ae1787c79736d068e03e4a702b4a000e2f693d24a4c73f8caec2f372c

SHA512
08049689cf3b998cc9678aa970e0bfa759de8056b429555f685f53339851900bcd1e66916080b64883e1a83dc84b2d033954ea806ecc59c8bad80d16425a3789

Download Submit
C:\Windows\System32\lzKNlpA.exe

Filesize
1.5MB

MD5
1dd0d2293979facbf74fb7b47eaf51eb

SHA1
874476717d9065fd50e174b2b986b84c1c4673e4

SHA256
5abb8169011aaa4ce4f77c05c34702c65c69b610a0bcd94032b6fb454f5a1773

SHA512
38536740319b33192d03fb94bec7993a72d8c531db90f7f71e142296de3c52511b461e0a10782b4c83e3f228fb3899b861dba5e5d45a80a804de906104c9a402

Download Submit
C:\Windows\System32\qNnLVSm.exe

Filesize
1.5MB

MD5
b70776e2e384f00e89f7ff03bca4ef30

SHA1
4d27f70b6c2841e8092109d75897a073a7c48166

SHA256
2932827e0c2ddfec6cd850f3e6c8962e5f010439a7e6f56702af959132d1e003

SHA512
f5c92b75867f655f99b61e9d0072d4b45c7b41244f7f5c08d19058af66ae2d206f1e8d43cfabd27542672af4ff2403fb0fe745f8b3b5615d9352f90823ec9c44

Download Submit
C:\Windows\System32\qSxZLYK.exe

Filesize
1.5MB

MD5
919140981d11aa3054ba02703679ab62

SHA1
a6559a965b842976718971799dceefdcd9233761

SHA256
93f065f2b0540a9e6c8eec5fcd822a642893eb12977ec2c112aa10a8741e786f

SHA512
75dd06324eb74a68e82f4bfdcab0834c63a3281b0e0d140ac8233bc78b9d4c535409c2f06c1d79e4edc7f8fdede43d295c3206060fb2db7449da4bb8e2ab3eff

Download Submit
C:\Windows\System32\quhonIS.exe

Filesize
1.5MB

MD5
84a94b7e147deae34b382bd49000efee

SHA1
e26cdb6a3ce8f0d470ba11775d5096984f8b19e2

SHA256
4637984d782d46f457d766cfe45007457b4fec46bb1aa9270b78afa7d342d490

SHA512
a6ae9239f0cbca4dcf57775cef44ee24677e0941d9ac1b70ab76f7191952ade927b3ecbdf8fb363c608b30df70000589a7ff9cc54fd6898a49d46dd864dc846b

Download Submit
C:\Windows\System32\yAHQoev.exe

Filesize
1.5MB

MD5
ceae211a5b676d2f9a155057b4d20d67

SHA1
c7f837af6ec12d5d7331623f3036a21bb52fb381

SHA256
2c1e1e16c12828e205efe91f2059b616db68a0840ffa30fcf0d72dc6690a73f4

SHA512
ab0e84ed9ecc8f0e5188b1b6042c46527aa91a2e9030aa05728e9fe10aedd3796909618dc33bd9dfd9803d81a1f97fecbf71eb6c31cb3328150f6f9c33025f9d

Download Submit
C:\Windows\System32\yFPgnwc.exe

Filesize
1.5MB

MD5
338722e494c588058f0fd942c6a9d620

SHA1
c62f7a346c35bccc2b7fc2bf2f45197a780667b3

SHA256
e05343e547786c16c464c0863801df899d1cfcb12666c4bc35544633c6a1f211

SHA512
5aabfe00f01ed2a38f9ed7de65f474f302b95594b45601b066e925c7f9e09ed521e49f5799466e736a266b304136ca3273f2daca2085d32f421b711a0a3b062e

Download Submit
C:\Windows\System32\yWzMMMz.exe

Filesize
1.5MB

MD5
9b83a41e126d8bb114d1f6ae2b5af125

SHA1
cb4c64e26b413b1b83afbf707d11bcde62a742c4

SHA256
dd21dc1519873e39e59fd0e4f6fff2a9494da137483ecdc5bcae14b81164ccc9

SHA512
d790af691a39965fd01346cd98526fa8f3122ded10ddbeb470430120755d15ec5676b998226cae8c3e2d332776cf57af20a10f892836774c947fe199ec4218fd

Download Submit
C:\Windows\System32\yioyqJt.exe

Filesize
1.5MB

MD5
b2688a0789ac9319f75e37b9253cb909

SHA1
47ab96aed0551cd7bdd8cdb78d93eac957160e50

SHA256
1826247dca6ff2c17c0f5b465434add74824b68467968c21ed97491e8d931a61

SHA512
cc516c5c95987a35bbc21ff46f28e7eeabf43980f9b064a08cdeac715d69912b4ef8a477ed171c0b7d44f2c9611c2014ded72ca5bcb99b668dbdda0b2825ff53

Download Submit
C:\Windows\System32\yqVpbZx.exe

Filesize
1.5MB

MD5
830916dd76e974fde5731ce3fe6e935b

SHA1
aa2d14c26f810ae71bddb110c66a60aad2ca2648

SHA256
1165a6cb7cb966378a587ba6df88641adfd25f2e30897cc7bd25ed52d14e2ced

SHA512
eca601a0aa6eec7c7a5ccd5362577d9b43f18b17882b9f0d59592974eb0ef20cb36fa52548749f0ff845f1a983425c2a62866d2b815dda1dcdbd48c1d94ef095

Download Submit
memory/184-1-0x000001DC1FC00000-0x000001DC1FC10000-memory.dmp

Filesize
64KB

Download
memory/184-0-0x00007FF718DA0000-0x00007FF719191000-memory.dmp

Filesize
3.9MB

Download
memory/376-2043-0x00007FF7DD9D0000-0x00007FF7DDDC1000-memory.dmp

Filesize
3.9MB

Download
memory/376-432-0x00007FF7DD9D0000-0x00007FF7DDDC1000-memory.dmp

Filesize
3.9MB

Download
memory/396-2013-0x00007FF6AE540000-0x00007FF6AE931000-memory.dmp

Filesize
3.9MB

Download
memory/396-32-0x00007FF6AE540000-0x00007FF6AE931000-memory.dmp

Filesize
3.9MB

Download
memory/396-1994-0x00007FF6AE540000-0x00007FF6AE931000-memory.dmp

Filesize
3.9MB

Download
memory/1432-14-0x00007FF6567F0000-0x00007FF656BE1000-memory.dmp

Filesize
3.9MB

Download
memory/1432-2007-0x00007FF6567F0000-0x00007FF656BE1000-memory.dmp

Filesize
3.9MB

Download
memory/1928-2019-0x00007FF7A09D0000-0x00007FF7A0DC1000-memory.dmp

Filesize
3.9MB

Download
memory/1928-421-0x00007FF7A09D0000-0x00007FF7A0DC1000-memory.dmp

Filesize
3.9MB

Download
memory/2012-2009-0x00007FF62B830000-0x00007FF62BC21000-memory.dmp

Filesize
3.9MB

Download
memory/2012-1964-0x00007FF62B830000-0x00007FF62BC21000-memory.dmp

Filesize
3.9MB

Download
memory/2012-17-0x00007FF62B830000-0x00007FF62BC21000-memory.dmp

Filesize
3.9MB

Download
memory/2032-2021-0x00007FF7EB5D0000-0x00007FF7EB9C1000-memory.dmp

Filesize
3.9MB

Download
memory/2032-422-0x00007FF7EB5D0000-0x00007FF7EB9C1000-memory.dmp

Filesize
3.9MB

Download
memory/2340-2025-0x00007FF6C8A50000-0x00007FF6C8E41000-memory.dmp

Filesize
3.9MB

Download
memory/2340-423-0x00007FF6C8A50000-0x00007FF6C8E41000-memory.dmp

Filesize
3.9MB

Download
memory/2512-426-0x00007FF638D10000-0x00007FF639101000-memory.dmp

Filesize
3.9MB

Download
memory/2512-2031-0x00007FF638D10000-0x00007FF639101000-memory.dmp

Filesize
3.9MB

Download
memory/2676-25-0x00007FF775620000-0x00007FF775A11000-memory.dmp

Filesize
3.9MB

Download
memory/2676-2011-0x00007FF775620000-0x00007FF775A11000-memory.dmp

Filesize
3.9MB

Download
memory/2676-1993-0x00007FF775620000-0x00007FF775A11000-memory.dmp

Filesize
3.9MB

Download
memory/3056-437-0x00007FF7F48F0000-0x00007FF7F4CE1000-memory.dmp

Filesize
3.9MB

Download
memory/3056-2049-0x00007FF7F48F0000-0x00007FF7F4CE1000-memory.dmp

Filesize
3.9MB

Download
memory/3156-2033-0x00007FF77A840000-0x00007FF77AC31000-memory.dmp

Filesize
3.9MB

Download
memory/3156-427-0x00007FF77A840000-0x00007FF77AC31000-memory.dmp

Filesize
3.9MB

Download
memory/3332-430-0x00007FF6FF710000-0x00007FF6FFB01000-memory.dmp

Filesize
3.9MB

Download
memory/3332-2041-0x00007FF6FF710000-0x00007FF6FFB01000-memory.dmp

Filesize
3.9MB

Download
memory/3360-1995-0x00007FF6F8460000-0x00007FF6F8851000-memory.dmp

Filesize
3.9MB

Download
memory/3360-2015-0x00007FF6F8460000-0x00007FF6F8851000-memory.dmp

Filesize
3.9MB

Download
memory/3360-39-0x00007FF6F8460000-0x00007FF6F8851000-memory.dmp

Filesize
3.9MB

Download
memory/3416-2037-0x00007FF6339A0000-0x00007FF633D91000-memory.dmp

Filesize
3.9MB

Download
memory/3416-428-0x00007FF6339A0000-0x00007FF633D91000-memory.dmp

Filesize
3.9MB

Download
memory/3624-447-0x00007FF7EDA20000-0x00007FF7EDE11000-memory.dmp

Filesize
3.9MB

Download
memory/3624-2053-0x00007FF7EDA20000-0x00007FF7EDE11000-memory.dmp

Filesize
3.9MB

Download
memory/3812-429-0x00007FF79C6F0000-0x00007FF79CAE1000-memory.dmp

Filesize
3.9MB

Download
memory/3812-2035-0x00007FF79C6F0000-0x00007FF79CAE1000-memory.dmp

Filesize
3.9MB

Download
memory/4180-2051-0x00007FF632170000-0x00007FF632561000-memory.dmp

Filesize
3.9MB

Download
memory/4180-439-0x00007FF632170000-0x00007FF632561000-memory.dmp

Filesize
3.9MB

Download
memory/4376-431-0x00007FF72D230000-0x00007FF72D621000-memory.dmp

Filesize
3.9MB

Download
memory/4376-2039-0x00007FF72D230000-0x00007FF72D621000-memory.dmp

Filesize
3.9MB

Download
memory/4476-2045-0x00007FF664430000-0x00007FF664821000-memory.dmp

Filesize
3.9MB

Download
memory/4476-433-0x00007FF664430000-0x00007FF664821000-memory.dmp

Filesize
3.9MB

Download
memory/4904-2047-0x00007FF65B6E0000-0x00007FF65BAD1000-memory.dmp

Filesize
3.9MB

Download
memory/4904-436-0x00007FF65B6E0000-0x00007FF65BAD1000-memory.dmp

Filesize
3.9MB

Download
memory/5000-2029-0x00007FF71A810000-0x00007FF71AC01000-memory.dmp

Filesize
3.9MB

Download
memory/5000-425-0x00007FF71A810000-0x00007FF71AC01000-memory.dmp

Filesize
3.9MB

Download
memory/5008-424-0x00007FF6186E0000-0x00007FF618AD1000-memory.dmp

Filesize
3.9MB

Download
memory/5008-2027-0x00007FF6186E0000-0x00007FF618AD1000-memory.dmp

Filesize
3.9MB

Download
memory/5032-464-0x00007FF71B100000-0x00007FF71B4F1000-memory.dmp

Filesize
3.9MB

Download
memory/5032-2017-0x00007FF71B100000-0x00007FF71B4F1000-memory.dmp

Filesize
3.9MB

Download
memory/5116-2023-0x00007FF6A72C0000-0x00007FF6A76B1000-memory.dmp

Filesize
3.9MB

Download
memory/5116-459-0x00007FF6A72C0000-0x00007FF6A76B1000-memory.dmp

Filesize
3.9MB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads