xmrig | 27c1c0e13fd26024e0922d75e2e1f2d0e0bc8a9499d99e8f230289ee885c3407

Analysis

max time kernel
113s
max time network
146s
platform
windows10-2004_x64
resource
win10v2004-20240508-en
resource tags

arch:x64arch:x86image:win10v2004-20240508-enlocale:en-usos:windows10-2004-x64system
submitted
07/06/2024, 15:09

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
Size

3.2MB
MD5

b305f72250d6da0ea31d34fcd39c9880
SHA1

34be94c4f86b0d1c59c7e564321c81996d25fbf3
SHA256

27c1c0e13fd26024e0922d75e2e1f2d0e0bc8a9499d99e8f230289ee885c3407
SHA512

26ddf73422c589b24767d6425b9e67e444bbc225b30e3c5a20e3e2589009432fe4dd5f650699465e261b69119b246bb588a848935467227474fde32eb42073ee
SSDEEP

98304:w0GnJMOWPClFdx6e0EALKWVTffZiPAcRq6jHjc4C:wFWPClFS

Score

10^/10

xmrig miner upx

Malware Config

Signatures

xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 64 IoCs

miner

resource	yara_rule
behavioral2/memory/2588-0-0x00007FF794810000-0x00007FF794C05000-memory.dmp	xmrig
behavioral2/files/0x0009000000023404-4.dat	xmrig
behavioral2/files/0x000700000002340f-9.dat	xmrig
behavioral2/files/0x0007000000023410-10.dat	xmrig
behavioral2/memory/3804-13-0x00007FF7547F0000-0x00007FF754BE5000-memory.dmp	xmrig
behavioral2/memory/3128-14-0x00007FF68C730000-0x00007FF68CB25000-memory.dmp	xmrig
behavioral2/files/0x0007000000023412-28.dat	xmrig
behavioral2/memory/4008-34-0x00007FF6FB640000-0x00007FF6FBA35000-memory.dmp	xmrig
behavioral2/memory/4496-37-0x00007FF7B75C0000-0x00007FF7B79B5000-memory.dmp	xmrig
behavioral2/files/0x0007000000023413-41.dat	xmrig
behavioral2/files/0x0007000000023411-38.dat	xmrig
behavioral2/memory/2440-44-0x00007FF6BDDD0000-0x00007FF6BE1C5000-memory.dmp	xmrig
behavioral2/files/0x0007000000023414-48.dat	xmrig
behavioral2/files/0x0007000000023418-63.dat	xmrig
behavioral2/files/0x0007000000023419-68.dat	xmrig
behavioral2/files/0x000700000002341a-73.dat	xmrig
behavioral2/files/0x000700000002341f-96.dat	xmrig
behavioral2/files/0x0007000000023420-103.dat	xmrig
behavioral2/files/0x0007000000023423-116.dat	xmrig
behavioral2/files/0x0007000000023428-143.dat	xmrig
behavioral2/files/0x000700000002342b-158.dat	xmrig
behavioral2/files/0x000700000002342d-168.dat	xmrig
behavioral2/files/0x000700000002342c-163.dat	xmrig
behavioral2/files/0x000700000002342a-153.dat	xmrig
behavioral2/files/0x0007000000023429-148.dat	xmrig
behavioral2/files/0x0007000000023427-138.dat	xmrig
behavioral2/files/0x0007000000023426-133.dat	xmrig
behavioral2/files/0x0007000000023425-128.dat	xmrig
behavioral2/files/0x0007000000023424-123.dat	xmrig
behavioral2/files/0x0007000000023422-113.dat	xmrig
behavioral2/files/0x0007000000023421-108.dat	xmrig
behavioral2/files/0x000700000002341e-93.dat	xmrig
behavioral2/files/0x000700000002341d-88.dat	xmrig
behavioral2/files/0x000700000002341c-83.dat	xmrig
behavioral2/files/0x000700000002341b-78.dat	xmrig
behavioral2/files/0x0007000000023417-58.dat	xmrig
behavioral2/files/0x0007000000023416-53.dat	xmrig
behavioral2/files/0x0009000000023406-31.dat	xmrig
behavioral2/memory/4928-30-0x00007FF7A0740000-0x00007FF7A0B35000-memory.dmp	xmrig
behavioral2/memory/2356-24-0x00007FF66CC60000-0x00007FF66D055000-memory.dmp	xmrig
behavioral2/memory/3504-777-0x00007FF7B4050000-0x00007FF7B4445000-memory.dmp	xmrig
behavioral2/memory/2520-780-0x00007FF72AFB0000-0x00007FF72B3A5000-memory.dmp	xmrig
behavioral2/memory/2340-786-0x00007FF713720000-0x00007FF713B15000-memory.dmp	xmrig
behavioral2/memory/1496-794-0x00007FF609930000-0x00007FF609D25000-memory.dmp	xmrig
behavioral2/memory/2540-801-0x00007FF6285B0000-0x00007FF6289A5000-memory.dmp	xmrig
behavioral2/memory/744-808-0x00007FF761810000-0x00007FF761C05000-memory.dmp	xmrig
behavioral2/memory/4220-813-0x00007FF77E210000-0x00007FF77E605000-memory.dmp	xmrig
behavioral2/memory/2516-815-0x00007FF687B40000-0x00007FF687F35000-memory.dmp	xmrig
behavioral2/memory/2548-841-0x00007FF6C6E20000-0x00007FF6C7215000-memory.dmp	xmrig
behavioral2/memory/3480-844-0x00007FF796B30000-0x00007FF796F25000-memory.dmp	xmrig
behavioral2/memory/1528-838-0x00007FF789740000-0x00007FF789B35000-memory.dmp	xmrig
behavioral2/memory/3304-833-0x00007FF652730000-0x00007FF652B25000-memory.dmp	xmrig
behavioral2/memory/3328-831-0x00007FF76D120000-0x00007FF76D515000-memory.dmp	xmrig
behavioral2/memory/1776-827-0x00007FF66B7C0000-0x00007FF66BBB5000-memory.dmp	xmrig
behavioral2/memory/4160-826-0x00007FF7B11A0000-0x00007FF7B1595000-memory.dmp	xmrig
behavioral2/memory/1672-805-0x00007FF6DEBB0000-0x00007FF6DEFA5000-memory.dmp	xmrig
behavioral2/memory/4884-798-0x00007FF6875B0000-0x00007FF6879A5000-memory.dmp	xmrig
behavioral2/memory/2588-1678-0x00007FF794810000-0x00007FF794C05000-memory.dmp	xmrig
behavioral2/memory/3804-1681-0x00007FF7547F0000-0x00007FF754BE5000-memory.dmp	xmrig
behavioral2/memory/2356-1902-0x00007FF66CC60000-0x00007FF66D055000-memory.dmp	xmrig
behavioral2/memory/4928-1903-0x00007FF7A0740000-0x00007FF7A0B35000-memory.dmp	xmrig
behavioral2/memory/4008-1904-0x00007FF6FB640000-0x00007FF6FBA35000-memory.dmp	xmrig
behavioral2/memory/4496-1905-0x00007FF7B75C0000-0x00007FF7B79B5000-memory.dmp	xmrig
behavioral2/memory/2588-1906-0x00007FF794810000-0x00007FF794C05000-memory.dmp	xmrig

Executes dropped EXE 64 IoCs

pid	Process
3804	LFEEyIC.exe
3128	tCbFWDx.exe
2356	PbBUiNV.exe
4928	lOejEJm.exe
4496	iBHuMJV.exe
4008	YIzRLvY.exe
2440	KlYPeZm.exe
3504	NwrCTpT.exe
2520	xTABRvy.exe
2340	KxVEzrl.exe
1496	ILszKAd.exe
4884	PDfGdIO.exe
2540	ZjSRwCx.exe
1672	nHxsjKH.exe
744	ohIsBOc.exe
4220	knqafOV.exe
2516	MNNtfLa.exe
4160	cbiJsjw.exe
1776	sfNlTtX.exe
3328	qGYUHvm.exe
3304	JzxAvIQ.exe
1528	AMcmMbo.exe
2548	NXgAyqf.exe
3480	HXyZUca.exe
5100	bYUmDmi.exe
3748	pVcntTw.exe
4640	myuceLa.exe
3800	nHEWIoW.exe
4208	LsADxZj.exe
2584	UXwFWdJ.exe
3440	OvQCzlB.exe
4228	Spiykot.exe
2008	vYdHqCY.exe
3676	McnMOgU.exe
2624	NWrDHzd.exe
1284	SpMdFnW.exe
3040	HCBspkJ.exe
2324	MtgumTg.exe
2536	WiKqBFl.exe
1916	iXuxGiP.exe
2468	EKcwAMM.exe
1588	EFNNvie.exe
3460	LTGJuAD.exe
1736	uxFUTXG.exe
1592	cYxpYOv.exe
2060	AcrbcFl.exe
3272	REBdtCO.exe
4604	OpuKBmZ.exe
4492	vqjLlBP.exe
2012	lQAZDkt.exe
2708	QerZpdW.exe
1440	XoIKieN.exe
464	yGHmSnI.exe
4112	HjeNaLG.exe
1020	DHrHRCD.exe
4592	hmXKXOc.exe
4824	fArGoMb.exe
4380	eDXMxuV.exe
1492	ysfmnKc.exe
4296	FdAlwda.exe
2072	QsBEQVg.exe
1376	jrqvqrE.exe
3576	XtepJEx.exe
4560	sCafHno.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/2588-0-0x00007FF794810000-0x00007FF794C05000-memory.dmp	upx
behavioral2/files/0x0009000000023404-4.dat	upx
behavioral2/files/0x000700000002340f-9.dat	upx
behavioral2/files/0x0007000000023410-10.dat	upx
behavioral2/memory/3804-13-0x00007FF7547F0000-0x00007FF754BE5000-memory.dmp	upx
behavioral2/memory/3128-14-0x00007FF68C730000-0x00007FF68CB25000-memory.dmp	upx
behavioral2/files/0x0007000000023412-28.dat	upx
behavioral2/memory/4008-34-0x00007FF6FB640000-0x00007FF6FBA35000-memory.dmp	upx
behavioral2/memory/4496-37-0x00007FF7B75C0000-0x00007FF7B79B5000-memory.dmp	upx
behavioral2/files/0x0007000000023413-41.dat	upx
behavioral2/files/0x0007000000023411-38.dat	upx
behavioral2/memory/2440-44-0x00007FF6BDDD0000-0x00007FF6BE1C5000-memory.dmp	upx
behavioral2/files/0x0007000000023414-48.dat	upx
behavioral2/files/0x0007000000023418-63.dat	upx
behavioral2/files/0x0007000000023419-68.dat	upx
behavioral2/files/0x000700000002341a-73.dat	upx
behavioral2/files/0x000700000002341f-96.dat	upx
behavioral2/files/0x0007000000023420-103.dat	upx
behavioral2/files/0x0007000000023423-116.dat	upx
behavioral2/files/0x0007000000023428-143.dat	upx
behavioral2/files/0x000700000002342b-158.dat	upx
behavioral2/files/0x000700000002342d-168.dat	upx
behavioral2/files/0x000700000002342c-163.dat	upx
behavioral2/files/0x000700000002342a-153.dat	upx
behavioral2/files/0x0007000000023429-148.dat	upx
behavioral2/files/0x0007000000023427-138.dat	upx
behavioral2/files/0x0007000000023426-133.dat	upx
behavioral2/files/0x0007000000023425-128.dat	upx
behavioral2/files/0x0007000000023424-123.dat	upx
behavioral2/files/0x0007000000023422-113.dat	upx
behavioral2/files/0x0007000000023421-108.dat	upx
behavioral2/files/0x000700000002341e-93.dat	upx
behavioral2/files/0x000700000002341d-88.dat	upx
behavioral2/files/0x000700000002341c-83.dat	upx
behavioral2/files/0x000700000002341b-78.dat	upx
behavioral2/files/0x0007000000023417-58.dat	upx
behavioral2/files/0x0007000000023416-53.dat	upx
behavioral2/files/0x0009000000023406-31.dat	upx
behavioral2/memory/4928-30-0x00007FF7A0740000-0x00007FF7A0B35000-memory.dmp	upx
behavioral2/memory/2356-24-0x00007FF66CC60000-0x00007FF66D055000-memory.dmp	upx
behavioral2/memory/3504-777-0x00007FF7B4050000-0x00007FF7B4445000-memory.dmp	upx
behavioral2/memory/2520-780-0x00007FF72AFB0000-0x00007FF72B3A5000-memory.dmp	upx
behavioral2/memory/2340-786-0x00007FF713720000-0x00007FF713B15000-memory.dmp	upx
behavioral2/memory/1496-794-0x00007FF609930000-0x00007FF609D25000-memory.dmp	upx
behavioral2/memory/2540-801-0x00007FF6285B0000-0x00007FF6289A5000-memory.dmp	upx
behavioral2/memory/744-808-0x00007FF761810000-0x00007FF761C05000-memory.dmp	upx
behavioral2/memory/4220-813-0x00007FF77E210000-0x00007FF77E605000-memory.dmp	upx
behavioral2/memory/2516-815-0x00007FF687B40000-0x00007FF687F35000-memory.dmp	upx
behavioral2/memory/2548-841-0x00007FF6C6E20000-0x00007FF6C7215000-memory.dmp	upx
behavioral2/memory/3480-844-0x00007FF796B30000-0x00007FF796F25000-memory.dmp	upx
behavioral2/memory/1528-838-0x00007FF789740000-0x00007FF789B35000-memory.dmp	upx
behavioral2/memory/3304-833-0x00007FF652730000-0x00007FF652B25000-memory.dmp	upx
behavioral2/memory/3328-831-0x00007FF76D120000-0x00007FF76D515000-memory.dmp	upx
behavioral2/memory/1776-827-0x00007FF66B7C0000-0x00007FF66BBB5000-memory.dmp	upx
behavioral2/memory/4160-826-0x00007FF7B11A0000-0x00007FF7B1595000-memory.dmp	upx
behavioral2/memory/1672-805-0x00007FF6DEBB0000-0x00007FF6DEFA5000-memory.dmp	upx
behavioral2/memory/4884-798-0x00007FF6875B0000-0x00007FF6879A5000-memory.dmp	upx
behavioral2/memory/2588-1678-0x00007FF794810000-0x00007FF794C05000-memory.dmp	upx
behavioral2/memory/3804-1681-0x00007FF7547F0000-0x00007FF754BE5000-memory.dmp	upx
behavioral2/memory/2356-1902-0x00007FF66CC60000-0x00007FF66D055000-memory.dmp	upx
behavioral2/memory/4928-1903-0x00007FF7A0740000-0x00007FF7A0B35000-memory.dmp	upx
behavioral2/memory/4008-1904-0x00007FF6FB640000-0x00007FF6FBA35000-memory.dmp	upx
behavioral2/memory/4496-1905-0x00007FF7B75C0000-0x00007FF7B79B5000-memory.dmp	upx
behavioral2/memory/2588-1906-0x00007FF794810000-0x00007FF794C05000-memory.dmp	upx

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\System32\NgyYOHa.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\RoDKwTQ.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\fsGpvsa.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\LMLFpjw.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\YNfYdFF.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\sXObONK.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\MvhgrYC.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\SoKFqID.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\IpdozFk.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\lRohops.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\nHxsjKH.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\svrMlCZ.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\nxRPJDi.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\SrLYfiH.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\huzEFTg.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\SjlyVOC.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\CztPcLz.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\fWWufNs.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\yXWujJC.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\PKugaBV.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\RxUVGax.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\DstsKrq.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\IUntGqG.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\OLyrilI.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\TBTRzVf.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\BJYPACI.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\LxeJpar.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\McnMOgU.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\rGLRqBy.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\BbdriJT.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\hRTJaSM.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\vbtcghp.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\ZjSRwCx.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\KbQUoYp.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\PkeeFMK.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\avgbfPW.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\lOejEJm.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\rWVgYPC.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\xZVZMJT.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\uVTnmrF.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\yPJDiXG.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\oAqRfNF.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\HIsykSC.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\avyuIsH.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\bkXALnt.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\fBhJTWf.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\JhcijOo.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\bsMsgsb.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\OwjnAAy.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\bXTqxrD.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\omDUFNQ.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\XHBsslu.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\knyXIAP.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\uwfWkSf.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\DIHAPvL.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\hTTDPas.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\AjNmmxK.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\VjVtsFE.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\osMpnZj.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\OcdClWn.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\fffjOhQ.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\WgMPygh.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\QNtBJsE.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
File created	C:\Windows\System32\UlImqHB.exe	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe

Checks SCSI registry key(s) 3 TTPs 6 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_DADY&PROD_HARDDISK\4&215468A5&0&000000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\ConfigFlags	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\HardwareID	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_QEMU&PROD_QEMU_DVD-ROM\4&215468A5&0&010000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe

Enumerates system info in registry 2 TTPs 2 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe

Modifies data under HKEY_USERS 18 IoCs

description	ioc	Process
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2a\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe

Suspicious use of AdjustPrivilegeToken 6 IoCs

description	pid	Process
Token: SeCreateGlobalPrivilege	13736	dwm.exe
Token: SeChangeNotifyPrivilege	13736	dwm.exe
Token: 33	13736	dwm.exe
Token: SeIncBasePriorityPrivilege	13736	dwm.exe
Token: SeShutdownPrivilege	13736	dwm.exe
Token: SeCreatePagefilePrivilege	13736	dwm.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 2588 wrote to memory of 3804	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	83
PID 2588 wrote to memory of 3804	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	83
PID 2588 wrote to memory of 3128	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	84
PID 2588 wrote to memory of 3128	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	84
PID 2588 wrote to memory of 2356	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	85
PID 2588 wrote to memory of 2356	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	85
PID 2588 wrote to memory of 4928	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	86
PID 2588 wrote to memory of 4928	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	86
PID 2588 wrote to memory of 4496	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	87
PID 2588 wrote to memory of 4496	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	87
PID 2588 wrote to memory of 4008	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	88
PID 2588 wrote to memory of 4008	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	88
PID 2588 wrote to memory of 2440	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	89
PID 2588 wrote to memory of 2440	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	89
PID 2588 wrote to memory of 3504	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	90
PID 2588 wrote to memory of 3504	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	90
PID 2588 wrote to memory of 2520	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	91
PID 2588 wrote to memory of 2520	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	91
PID 2588 wrote to memory of 2340	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	92
PID 2588 wrote to memory of 2340	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	92
PID 2588 wrote to memory of 1496	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	93
PID 2588 wrote to memory of 1496	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	93
PID 2588 wrote to memory of 4884	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	94
PID 2588 wrote to memory of 4884	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	94
PID 2588 wrote to memory of 2540	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	95
PID 2588 wrote to memory of 2540	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	95
PID 2588 wrote to memory of 1672	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	96
PID 2588 wrote to memory of 1672	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	96
PID 2588 wrote to memory of 744	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	97
PID 2588 wrote to memory of 744	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	97
PID 2588 wrote to memory of 4220	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	98
PID 2588 wrote to memory of 4220	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	98
PID 2588 wrote to memory of 2516	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	99
PID 2588 wrote to memory of 2516	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	99
PID 2588 wrote to memory of 4160	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	100
PID 2588 wrote to memory of 4160	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	100
PID 2588 wrote to memory of 1776	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	101
PID 2588 wrote to memory of 1776	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	101
PID 2588 wrote to memory of 3328	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	102
PID 2588 wrote to memory of 3328	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	102
PID 2588 wrote to memory of 3304	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	103
PID 2588 wrote to memory of 3304	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	103
PID 2588 wrote to memory of 1528	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	104
PID 2588 wrote to memory of 1528	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	104
PID 2588 wrote to memory of 2548	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	105
PID 2588 wrote to memory of 2548	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	105
PID 2588 wrote to memory of 3480	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	106
PID 2588 wrote to memory of 3480	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	106
PID 2588 wrote to memory of 5100	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	107
PID 2588 wrote to memory of 5100	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	107
PID 2588 wrote to memory of 3748	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	108
PID 2588 wrote to memory of 3748	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	108
PID 2588 wrote to memory of 4640	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	109
PID 2588 wrote to memory of 4640	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	109
PID 2588 wrote to memory of 3800	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	110
PID 2588 wrote to memory of 3800	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	110
PID 2588 wrote to memory of 4208	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	111
PID 2588 wrote to memory of 4208	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	111
PID 2588 wrote to memory of 2584	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	112
PID 2588 wrote to memory of 2584	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	112
PID 2588 wrote to memory of 3440	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	113
PID 2588 wrote to memory of 3440	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	113
PID 2588 wrote to memory of 4228	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	114
PID 2588 wrote to memory of 4228	2588	b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe	114

C:\Users\Admin\AppData\Local\Temp\b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe
"C:\Users\Admin\AppData\Local\Temp\b305f72250d6da0ea31d34fcd39c9880_NeikiAnalytics.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:2588
- C:\Windows\System32\LFEEyIC.exe
  C:\Windows\System32\LFEEyIC.exe
  2⤵
  - Executes dropped EXE
  PID:3804
- C:\Windows\System32\tCbFWDx.exe
  C:\Windows\System32\tCbFWDx.exe
  2⤵
  - Executes dropped EXE
  PID:3128
- C:\Windows\System32\PbBUiNV.exe
  C:\Windows\System32\PbBUiNV.exe
  2⤵
  - Executes dropped EXE
  PID:2356
- C:\Windows\System32\lOejEJm.exe
  C:\Windows\System32\lOejEJm.exe
  2⤵
  - Executes dropped EXE
  PID:4928
- C:\Windows\System32\iBHuMJV.exe
  C:\Windows\System32\iBHuMJV.exe
  2⤵
  - Executes dropped EXE
  PID:4496
- C:\Windows\System32\YIzRLvY.exe
  C:\Windows\System32\YIzRLvY.exe
  2⤵
  - Executes dropped EXE
  PID:4008
- C:\Windows\System32\KlYPeZm.exe
  C:\Windows\System32\KlYPeZm.exe
  2⤵
  - Executes dropped EXE
  PID:2440
- C:\Windows\System32\NwrCTpT.exe
  C:\Windows\System32\NwrCTpT.exe
  2⤵
  - Executes dropped EXE
  PID:3504
- C:\Windows\System32\xTABRvy.exe
  C:\Windows\System32\xTABRvy.exe
  2⤵
  - Executes dropped EXE
  PID:2520
- C:\Windows\System32\KxVEzrl.exe
  C:\Windows\System32\KxVEzrl.exe
  2⤵
  - Executes dropped EXE
  PID:2340
- C:\Windows\System32\ILszKAd.exe
  C:\Windows\System32\ILszKAd.exe
  2⤵
  - Executes dropped EXE
  PID:1496
- C:\Windows\System32\PDfGdIO.exe
  C:\Windows\System32\PDfGdIO.exe
  2⤵
  - Executes dropped EXE
  PID:4884
- C:\Windows\System32\ZjSRwCx.exe
  C:\Windows\System32\ZjSRwCx.exe
  2⤵
  - Executes dropped EXE
  PID:2540
- C:\Windows\System32\nHxsjKH.exe
  C:\Windows\System32\nHxsjKH.exe
  2⤵
  - Executes dropped EXE
  PID:1672
- C:\Windows\System32\ohIsBOc.exe
  C:\Windows\System32\ohIsBOc.exe
  2⤵
  - Executes dropped EXE
  PID:744
- C:\Windows\System32\knqafOV.exe
  C:\Windows\System32\knqafOV.exe
  2⤵
  - Executes dropped EXE
  PID:4220
- C:\Windows\System32\MNNtfLa.exe
  C:\Windows\System32\MNNtfLa.exe
  2⤵
  - Executes dropped EXE
  PID:2516
- C:\Windows\System32\cbiJsjw.exe
  C:\Windows\System32\cbiJsjw.exe
  2⤵
  - Executes dropped EXE
  PID:4160
- C:\Windows\System32\sfNlTtX.exe
  C:\Windows\System32\sfNlTtX.exe
  2⤵
  - Executes dropped EXE
  PID:1776
- C:\Windows\System32\qGYUHvm.exe
  C:\Windows\System32\qGYUHvm.exe
  2⤵
  - Executes dropped EXE
  PID:3328
- C:\Windows\System32\JzxAvIQ.exe
  C:\Windows\System32\JzxAvIQ.exe
  2⤵
  - Executes dropped EXE
  PID:3304
- C:\Windows\System32\AMcmMbo.exe
  C:\Windows\System32\AMcmMbo.exe
  2⤵
  - Executes dropped EXE
  PID:1528
- C:\Windows\System32\NXgAyqf.exe
  C:\Windows\System32\NXgAyqf.exe
  2⤵
  - Executes dropped EXE
  PID:2548
- C:\Windows\System32\HXyZUca.exe
  C:\Windows\System32\HXyZUca.exe
  2⤵
  - Executes dropped EXE
  PID:3480
- C:\Windows\System32\bYUmDmi.exe
  C:\Windows\System32\bYUmDmi.exe
  2⤵
  - Executes dropped EXE
  PID:5100
- C:\Windows\System32\pVcntTw.exe
  C:\Windows\System32\pVcntTw.exe
  2⤵
  - Executes dropped EXE
  PID:3748
- C:\Windows\System32\myuceLa.exe
  C:\Windows\System32\myuceLa.exe
  2⤵
  - Executes dropped EXE
  PID:4640
- C:\Windows\System32\nHEWIoW.exe
  C:\Windows\System32\nHEWIoW.exe
  2⤵
  - Executes dropped EXE
  PID:3800
- C:\Windows\System32\LsADxZj.exe
  C:\Windows\System32\LsADxZj.exe
  2⤵
  - Executes dropped EXE
  PID:4208
- C:\Windows\System32\UXwFWdJ.exe
  C:\Windows\System32\UXwFWdJ.exe
  2⤵
  - Executes dropped EXE
  PID:2584
- C:\Windows\System32\OvQCzlB.exe
  C:\Windows\System32\OvQCzlB.exe
  2⤵
  - Executes dropped EXE
  PID:3440
- C:\Windows\System32\Spiykot.exe
  C:\Windows\System32\Spiykot.exe
  2⤵
  - Executes dropped EXE
  PID:4228
- C:\Windows\System32\vYdHqCY.exe
  C:\Windows\System32\vYdHqCY.exe
  2⤵
  - Executes dropped EXE
  PID:2008
- C:\Windows\System32\McnMOgU.exe
  C:\Windows\System32\McnMOgU.exe
  2⤵
  - Executes dropped EXE
  PID:3676
- C:\Windows\System32\NWrDHzd.exe
  C:\Windows\System32\NWrDHzd.exe
  2⤵
  - Executes dropped EXE
  PID:2624
- C:\Windows\System32\SpMdFnW.exe
  C:\Windows\System32\SpMdFnW.exe
  2⤵
  - Executes dropped EXE
  PID:1284
- C:\Windows\System32\HCBspkJ.exe
  C:\Windows\System32\HCBspkJ.exe
  2⤵
  - Executes dropped EXE
  PID:3040
- C:\Windows\System32\MtgumTg.exe
  C:\Windows\System32\MtgumTg.exe
  2⤵
  - Executes dropped EXE
  PID:2324
- C:\Windows\System32\WiKqBFl.exe
  C:\Windows\System32\WiKqBFl.exe
  2⤵
  - Executes dropped EXE
  PID:2536
- C:\Windows\System32\iXuxGiP.exe
  C:\Windows\System32\iXuxGiP.exe
  2⤵
  - Executes dropped EXE
  PID:1916
- C:\Windows\System32\EKcwAMM.exe
  C:\Windows\System32\EKcwAMM.exe
  2⤵
  - Executes dropped EXE
  PID:2468
- C:\Windows\System32\EFNNvie.exe
  C:\Windows\System32\EFNNvie.exe
  2⤵
  - Executes dropped EXE
  PID:1588
- C:\Windows\System32\LTGJuAD.exe
  C:\Windows\System32\LTGJuAD.exe
  2⤵
  - Executes dropped EXE
  PID:3460
- C:\Windows\System32\uxFUTXG.exe
  C:\Windows\System32\uxFUTXG.exe
  2⤵
  - Executes dropped EXE
  PID:1736
- C:\Windows\System32\cYxpYOv.exe
  C:\Windows\System32\cYxpYOv.exe
  2⤵
  - Executes dropped EXE
  PID:1592
- C:\Windows\System32\AcrbcFl.exe
  C:\Windows\System32\AcrbcFl.exe
  2⤵
  - Executes dropped EXE
  PID:2060
- C:\Windows\System32\REBdtCO.exe
  C:\Windows\System32\REBdtCO.exe
  2⤵
  - Executes dropped EXE
  PID:3272
- C:\Windows\System32\OpuKBmZ.exe
  C:\Windows\System32\OpuKBmZ.exe
  2⤵
  - Executes dropped EXE
  PID:4604
- C:\Windows\System32\vqjLlBP.exe
  C:\Windows\System32\vqjLlBP.exe
  2⤵
  - Executes dropped EXE
  PID:4492
- C:\Windows\System32\lQAZDkt.exe
  C:\Windows\System32\lQAZDkt.exe
  2⤵
  - Executes dropped EXE
  PID:2012
- C:\Windows\System32\QerZpdW.exe
  C:\Windows\System32\QerZpdW.exe
  2⤵
  - Executes dropped EXE
  PID:2708
- C:\Windows\System32\XoIKieN.exe
  C:\Windows\System32\XoIKieN.exe
  2⤵
  - Executes dropped EXE
  PID:1440
- C:\Windows\System32\yGHmSnI.exe
  C:\Windows\System32\yGHmSnI.exe
  2⤵
  - Executes dropped EXE
  PID:464
- C:\Windows\System32\HjeNaLG.exe
  C:\Windows\System32\HjeNaLG.exe
  2⤵
  - Executes dropped EXE
  PID:4112
- C:\Windows\System32\DHrHRCD.exe
  C:\Windows\System32\DHrHRCD.exe
  2⤵
  - Executes dropped EXE
  PID:1020
- C:\Windows\System32\hmXKXOc.exe
  C:\Windows\System32\hmXKXOc.exe
  2⤵
  - Executes dropped EXE
  PID:4592
- C:\Windows\System32\fArGoMb.exe
  C:\Windows\System32\fArGoMb.exe
  2⤵
  - Executes dropped EXE
  PID:4824
- C:\Windows\System32\eDXMxuV.exe
  C:\Windows\System32\eDXMxuV.exe
  2⤵
  - Executes dropped EXE
  PID:4380
- C:\Windows\System32\ysfmnKc.exe
  C:\Windows\System32\ysfmnKc.exe
  2⤵
  - Executes dropped EXE
  PID:1492
- C:\Windows\System32\FdAlwda.exe
  C:\Windows\System32\FdAlwda.exe
  2⤵
  - Executes dropped EXE
  PID:4296
- C:\Windows\System32\QsBEQVg.exe
  C:\Windows\System32\QsBEQVg.exe
  2⤵
  - Executes dropped EXE
  PID:2072
- C:\Windows\System32\jrqvqrE.exe
  C:\Windows\System32\jrqvqrE.exe
  2⤵
  - Executes dropped EXE
  PID:1376
- C:\Windows\System32\XtepJEx.exe
  C:\Windows\System32\XtepJEx.exe
  2⤵
  - Executes dropped EXE
  PID:3576
- C:\Windows\System32\sCafHno.exe
  C:\Windows\System32\sCafHno.exe
  2⤵
  - Executes dropped EXE
  PID:4560
- C:\Windows\System32\OUyIeQs.exe
  C:\Windows\System32\OUyIeQs.exe
  2⤵
  PID:1612
- C:\Windows\System32\UlImqHB.exe
  C:\Windows\System32\UlImqHB.exe
  2⤵
  PID:1228
- C:\Windows\System32\zIzxewr.exe
  C:\Windows\System32\zIzxewr.exe
  2⤵
  PID:3368
- C:\Windows\System32\XdyVjBA.exe
  C:\Windows\System32\XdyVjBA.exe
  2⤵
  PID:772
- C:\Windows\System32\wOjhmIy.exe
  C:\Windows\System32\wOjhmIy.exe
  2⤵
  PID:1232
- C:\Windows\System32\DstsKrq.exe
  C:\Windows\System32\DstsKrq.exe
  2⤵
  PID:4704
- C:\Windows\System32\kUwqHTg.exe
  C:\Windows\System32\kUwqHTg.exe
  2⤵
  PID:448
- C:\Windows\System32\dFgKngC.exe
  C:\Windows\System32\dFgKngC.exe
  2⤵
  PID:3176
- C:\Windows\System32\xzHJQeO.exe
  C:\Windows\System32\xzHJQeO.exe
  2⤵
  PID:2168
- C:\Windows\System32\gewWgZn.exe
  C:\Windows\System32\gewWgZn.exe
  2⤵
  PID:3248
- C:\Windows\System32\tiuKCGC.exe
  C:\Windows\System32\tiuKCGC.exe
  2⤵
  PID:940
- C:\Windows\System32\TaDzcZb.exe
  C:\Windows\System32\TaDzcZb.exe
  2⤵
  PID:3520
- C:\Windows\System32\DhVhQMY.exe
  C:\Windows\System32\DhVhQMY.exe
  2⤵
  PID:4376
- C:\Windows\System32\VbDFWfF.exe
  C:\Windows\System32\VbDFWfF.exe
  2⤵
  PID:556
- C:\Windows\System32\xbURLIz.exe
  C:\Windows\System32\xbURLIz.exe
  2⤵
  PID:812
- C:\Windows\System32\OAZGlVT.exe
  C:\Windows\System32\OAZGlVT.exe
  2⤵
  PID:3644
- C:\Windows\System32\IOowsIX.exe
  C:\Windows\System32\IOowsIX.exe
  2⤵
  PID:1976
- C:\Windows\System32\YnlTZJb.exe
  C:\Windows\System32\YnlTZJb.exe
  2⤵
  PID:4644
- C:\Windows\System32\rzIYPRV.exe
  C:\Windows\System32\rzIYPRV.exe
  2⤵
  PID:3824
- C:\Windows\System32\KtMTUmw.exe
  C:\Windows\System32\KtMTUmw.exe
  2⤵
  PID:5124
- C:\Windows\System32\UbHeWCj.exe
  C:\Windows\System32\UbHeWCj.exe
  2⤵
  PID:5152
- C:\Windows\System32\ryQjRko.exe
  C:\Windows\System32\ryQjRko.exe
  2⤵
  PID:5188
- C:\Windows\System32\ZVjvxuN.exe
  C:\Windows\System32\ZVjvxuN.exe
  2⤵
  PID:5208
- C:\Windows\System32\whVOqBI.exe
  C:\Windows\System32\whVOqBI.exe
  2⤵
  PID:5244
- C:\Windows\System32\xXChwBt.exe
  C:\Windows\System32\xXChwBt.exe
  2⤵
  PID:5264
- C:\Windows\System32\mfjEBhK.exe
  C:\Windows\System32\mfjEBhK.exe
  2⤵
  PID:5292
- C:\Windows\System32\omDUFNQ.exe
  C:\Windows\System32\omDUFNQ.exe
  2⤵
  PID:5320
- C:\Windows\System32\oFWCOHX.exe
  C:\Windows\System32\oFWCOHX.exe
  2⤵
  PID:5348
- C:\Windows\System32\vVNACJB.exe
  C:\Windows\System32\vVNACJB.exe
  2⤵
  PID:5376
- C:\Windows\System32\IGlquMT.exe
  C:\Windows\System32\IGlquMT.exe
  2⤵
  PID:5404
- C:\Windows\System32\fsGpvsa.exe
  C:\Windows\System32\fsGpvsa.exe
  2⤵
  PID:5432
- C:\Windows\System32\xhSKqIE.exe
  C:\Windows\System32\xhSKqIE.exe
  2⤵
  PID:5468
- C:\Windows\System32\hBcXSRR.exe
  C:\Windows\System32\hBcXSRR.exe
  2⤵
  PID:5488
- C:\Windows\System32\XuCULrw.exe
  C:\Windows\System32\XuCULrw.exe
  2⤵
  PID:5516
- C:\Windows\System32\dalTRGv.exe
  C:\Windows\System32\dalTRGv.exe
  2⤵
  PID:5544
- C:\Windows\System32\ryOqQCf.exe
  C:\Windows\System32\ryOqQCf.exe
  2⤵
  PID:5572
- C:\Windows\System32\AAqtiGP.exe
  C:\Windows\System32\AAqtiGP.exe
  2⤵
  PID:5600
- C:\Windows\System32\NnfcLOw.exe
  C:\Windows\System32\NnfcLOw.exe
  2⤵
  PID:5628
- C:\Windows\System32\teKWgMY.exe
  C:\Windows\System32\teKWgMY.exe
  2⤵
  PID:5656
- C:\Windows\System32\BQSZTJK.exe
  C:\Windows\System32\BQSZTJK.exe
  2⤵
  PID:5684
- C:\Windows\System32\GirUOsB.exe
  C:\Windows\System32\GirUOsB.exe
  2⤵
  PID:5712
- C:\Windows\System32\VzFFobW.exe
  C:\Windows\System32\VzFFobW.exe
  2⤵
  PID:5740
- C:\Windows\System32\CTBhFki.exe
  C:\Windows\System32\CTBhFki.exe
  2⤵
  PID:5768
- C:\Windows\System32\fwcRFig.exe
  C:\Windows\System32\fwcRFig.exe
  2⤵
  PID:5796
- C:\Windows\System32\TYrUhPC.exe
  C:\Windows\System32\TYrUhPC.exe
  2⤵
  PID:5836
- C:\Windows\System32\QohhQbk.exe
  C:\Windows\System32\QohhQbk.exe
  2⤵
  PID:5852
- C:\Windows\System32\yBmYzIb.exe
  C:\Windows\System32\yBmYzIb.exe
  2⤵
  PID:5880
- C:\Windows\System32\nfGwavz.exe
  C:\Windows\System32\nfGwavz.exe
  2⤵
  PID:5908
- C:\Windows\System32\bxEdytW.exe
  C:\Windows\System32\bxEdytW.exe
  2⤵
  PID:5936
- C:\Windows\System32\RDWayWs.exe
  C:\Windows\System32\RDWayWs.exe
  2⤵
  PID:5964
- C:\Windows\System32\vNFcfFl.exe
  C:\Windows\System32\vNFcfFl.exe
  2⤵
  PID:5992
- C:\Windows\System32\rmKPMXe.exe
  C:\Windows\System32\rmKPMXe.exe
  2⤵
  PID:6020
- C:\Windows\System32\jMtHHvM.exe
  C:\Windows\System32\jMtHHvM.exe
  2⤵
  PID:6048
- C:\Windows\System32\pXAlzDJ.exe
  C:\Windows\System32\pXAlzDJ.exe
  2⤵
  PID:6076
- C:\Windows\System32\jKSGGfa.exe
  C:\Windows\System32\jKSGGfa.exe
  2⤵
  PID:6104
- C:\Windows\System32\yPJDiXG.exe
  C:\Windows\System32\yPJDiXG.exe
  2⤵
  PID:6132
- C:\Windows\System32\SXNtgdU.exe
  C:\Windows\System32\SXNtgdU.exe
  2⤵
  PID:1124
- C:\Windows\System32\siKWxaN.exe
  C:\Windows\System32\siKWxaN.exe
  2⤵
  PID:4520
- C:\Windows\System32\PtOLIKr.exe
  C:\Windows\System32\PtOLIKr.exe
  2⤵
  PID:4908
- C:\Windows\System32\oLiZoZT.exe
  C:\Windows\System32\oLiZoZT.exe
  2⤵
  PID:4300
- C:\Windows\System32\gIdAjBJ.exe
  C:\Windows\System32\gIdAjBJ.exe
  2⤵
  PID:5136
- C:\Windows\System32\curYRvi.exe
  C:\Windows\System32\curYRvi.exe
  2⤵
  PID:5204
- C:\Windows\System32\PfSqoDt.exe
  C:\Windows\System32\PfSqoDt.exe
  2⤵
  PID:5260
- C:\Windows\System32\svrMlCZ.exe
  C:\Windows\System32\svrMlCZ.exe
  2⤵
  PID:5308
- C:\Windows\System32\ATzebeA.exe
  C:\Windows\System32\ATzebeA.exe
  2⤵
  PID:5388
- C:\Windows\System32\DSWNBqR.exe
  C:\Windows\System32\DSWNBqR.exe
  2⤵
  PID:5464
- C:\Windows\System32\LMLFpjw.exe
  C:\Windows\System32\LMLFpjw.exe
  2⤵
  PID:5540
- C:\Windows\System32\zQKpmrD.exe
  C:\Windows\System32\zQKpmrD.exe
  2⤵
  PID:5584
- C:\Windows\System32\nBRXuwm.exe
  C:\Windows\System32\nBRXuwm.exe
  2⤵
  PID:5668
- C:\Windows\System32\oAqRfNF.exe
  C:\Windows\System32\oAqRfNF.exe
  2⤵
  PID:5736
- C:\Windows\System32\cTcXoAh.exe
  C:\Windows\System32\cTcXoAh.exe
  2⤵
  PID:5780
- C:\Windows\System32\JxjZOaN.exe
  C:\Windows\System32\JxjZOaN.exe
  2⤵
  PID:5848
- C:\Windows\System32\kXJyEWL.exe
  C:\Windows\System32\kXJyEWL.exe
  2⤵
  PID:5896
- C:\Windows\System32\DBtAsMc.exe
  C:\Windows\System32\DBtAsMc.exe
  2⤵
  PID:5980
- C:\Windows\System32\CztPcLz.exe
  C:\Windows\System32\CztPcLz.exe
  2⤵
  PID:6044
- C:\Windows\System32\yGOMQZF.exe
  C:\Windows\System32\yGOMQZF.exe
  2⤵
  PID:6092
- C:\Windows\System32\GQqXCxT.exe
  C:\Windows\System32\GQqXCxT.exe
  2⤵
  PID:3624
- C:\Windows\System32\WXlzgaV.exe
  C:\Windows\System32\WXlzgaV.exe
  2⤵
  PID:1220
- C:\Windows\System32\wRAGJdX.exe
  C:\Windows\System32\wRAGJdX.exe
  2⤵
  PID:5168
- C:\Windows\System32\VLJqFoH.exe
  C:\Windows\System32\VLJqFoH.exe
  2⤵
  PID:5336
- C:\Windows\System32\vjPIOLF.exe
  C:\Windows\System32\vjPIOLF.exe
  2⤵
  PID:5512
- C:\Windows\System32\sACzeHB.exe
  C:\Windows\System32\sACzeHB.exe
  2⤵
  PID:5616
- C:\Windows\System32\ahtnyVg.exe
  C:\Windows\System32\ahtnyVg.exe
  2⤵
  PID:5808
- C:\Windows\System32\JhcijOo.exe
  C:\Windows\System32\JhcijOo.exe
  2⤵
  PID:5924
- C:\Windows\System32\HNmULvp.exe
  C:\Windows\System32\HNmULvp.exe
  2⤵
  PID:6100
- C:\Windows\System32\ZsSCvrN.exe
  C:\Windows\System32\ZsSCvrN.exe
  2⤵
  PID:6164
- C:\Windows\System32\PQqfItl.exe
  C:\Windows\System32\PQqfItl.exe
  2⤵
  PID:6192
- C:\Windows\System32\BRSnbOe.exe
  C:\Windows\System32\BRSnbOe.exe
  2⤵
  PID:6220
- C:\Windows\System32\qCANeLq.exe
  C:\Windows\System32\qCANeLq.exe
  2⤵
  PID:6248
- C:\Windows\System32\nQrnUUk.exe
  C:\Windows\System32\nQrnUUk.exe
  2⤵
  PID:6276
- C:\Windows\System32\YVijerB.exe
  C:\Windows\System32\YVijerB.exe
  2⤵
  PID:6304
- C:\Windows\System32\dbEbscV.exe
  C:\Windows\System32\dbEbscV.exe
  2⤵
  PID:6332
- C:\Windows\System32\vhATyJi.exe
  C:\Windows\System32\vhATyJi.exe
  2⤵
  PID:6360
- C:\Windows\System32\HpZPnYW.exe
  C:\Windows\System32\HpZPnYW.exe
  2⤵
  PID:6388
- C:\Windows\System32\DYvputZ.exe
  C:\Windows\System32\DYvputZ.exe
  2⤵
  PID:6416
- C:\Windows\System32\osMpnZj.exe
  C:\Windows\System32\osMpnZj.exe
  2⤵
  PID:6444
- C:\Windows\System32\qKaPTPk.exe
  C:\Windows\System32\qKaPTPk.exe
  2⤵
  PID:6472
- C:\Windows\System32\PmMLffT.exe
  C:\Windows\System32\PmMLffT.exe
  2⤵
  PID:6500
- C:\Windows\System32\WRImaJQ.exe
  C:\Windows\System32\WRImaJQ.exe
  2⤵
  PID:6528
- C:\Windows\System32\KbQUoYp.exe
  C:\Windows\System32\KbQUoYp.exe
  2⤵
  PID:6556
- C:\Windows\System32\KMBwWjV.exe
  C:\Windows\System32\KMBwWjV.exe
  2⤵
  PID:6584
- C:\Windows\System32\eaqrXPe.exe
  C:\Windows\System32\eaqrXPe.exe
  2⤵
  PID:6612
- C:\Windows\System32\eVCXDCx.exe
  C:\Windows\System32\eVCXDCx.exe
  2⤵
  PID:6640
- C:\Windows\System32\izbIYHx.exe
  C:\Windows\System32\izbIYHx.exe
  2⤵
  PID:6668
- C:\Windows\System32\yyypsxc.exe
  C:\Windows\System32\yyypsxc.exe
  2⤵
  PID:6696
- C:\Windows\System32\irjofcC.exe
  C:\Windows\System32\irjofcC.exe
  2⤵
  PID:6724
- C:\Windows\System32\JZWUrUd.exe
  C:\Windows\System32\JZWUrUd.exe
  2⤵
  PID:6752
- C:\Windows\System32\DIHAPvL.exe
  C:\Windows\System32\DIHAPvL.exe
  2⤵
  PID:6780
- C:\Windows\System32\SHuCYsh.exe
  C:\Windows\System32\SHuCYsh.exe
  2⤵
  PID:6808
- C:\Windows\System32\OkKohTZ.exe
  C:\Windows\System32\OkKohTZ.exe
  2⤵
  PID:6836
- C:\Windows\System32\UNUrGIm.exe
  C:\Windows\System32\UNUrGIm.exe
  2⤵
  PID:6864
- C:\Windows\System32\cTjcyIm.exe
  C:\Windows\System32\cTjcyIm.exe
  2⤵
  PID:6892
- C:\Windows\System32\EFQvpjP.exe
  C:\Windows\System32\EFQvpjP.exe
  2⤵
  PID:6920
- C:\Windows\System32\ivGCIMy.exe
  C:\Windows\System32\ivGCIMy.exe
  2⤵
  PID:6956
- C:\Windows\System32\niNTjGP.exe
  C:\Windows\System32\niNTjGP.exe
  2⤵
  PID:6976
- C:\Windows\System32\NTQprvt.exe
  C:\Windows\System32\NTQprvt.exe
  2⤵
  PID:7004
- C:\Windows\System32\ErOOcCQ.exe
  C:\Windows\System32\ErOOcCQ.exe
  2⤵
  PID:7032
- C:\Windows\System32\ebEWxQR.exe
  C:\Windows\System32\ebEWxQR.exe
  2⤵
  PID:7060
- C:\Windows\System32\HIsykSC.exe
  C:\Windows\System32\HIsykSC.exe
  2⤵
  PID:7088
- C:\Windows\System32\nHJCwQo.exe
  C:\Windows\System32\nHJCwQo.exe
  2⤵
  PID:7116
- C:\Windows\System32\kimuskV.exe
  C:\Windows\System32\kimuskV.exe
  2⤵
  PID:7144
- C:\Windows\System32\EInHTPs.exe
  C:\Windows\System32\EInHTPs.exe
  2⤵
  PID:4920
- C:\Windows\System32\BxRoNSO.exe
  C:\Windows\System32\BxRoNSO.exe
  2⤵
  PID:5280
- C:\Windows\System32\qeATIgK.exe
  C:\Windows\System32\qeATIgK.exe
  2⤵
  PID:5560
- C:\Windows\System32\grnLUBf.exe
  C:\Windows\System32\grnLUBf.exe
  2⤵
  PID:5868
- C:\Windows\System32\whIWwAP.exe
  C:\Windows\System32\whIWwAP.exe
  2⤵
  PID:6152
- C:\Windows\System32\rWVgYPC.exe
  C:\Windows\System32\rWVgYPC.exe
  2⤵
  PID:6236
- C:\Windows\System32\WHNpBdV.exe
  C:\Windows\System32\WHNpBdV.exe
  2⤵
  PID:6300
- C:\Windows\System32\kTDFULN.exe
  C:\Windows\System32\kTDFULN.exe
  2⤵
  PID:6348
- C:\Windows\System32\PdzIqhg.exe
  C:\Windows\System32\PdzIqhg.exe
  2⤵
  PID:6404
- C:\Windows\System32\IRBsLuV.exe
  C:\Windows\System32\IRBsLuV.exe
  2⤵
  PID:6460
- C:\Windows\System32\FbalyPQ.exe
  C:\Windows\System32\FbalyPQ.exe
  2⤵
  PID:6552
- C:\Windows\System32\zlxwtcm.exe
  C:\Windows\System32\zlxwtcm.exe
  2⤵
  PID:6596
- C:\Windows\System32\bwXOAZh.exe
  C:\Windows\System32\bwXOAZh.exe
  2⤵
  PID:6664
- C:\Windows\System32\HbMQGLu.exe
  C:\Windows\System32\HbMQGLu.exe
  2⤵
  PID:6748
- C:\Windows\System32\dWXgwQc.exe
  C:\Windows\System32\dWXgwQc.exe
  2⤵
  PID:6792
- C:\Windows\System32\JngsVsG.exe
  C:\Windows\System32\JngsVsG.exe
  2⤵
  PID:6860
- C:\Windows\System32\iSzVPSG.exe
  C:\Windows\System32\iSzVPSG.exe
  2⤵
  PID:6916
- C:\Windows\System32\wurwJNc.exe
  C:\Windows\System32\wurwJNc.exe
  2⤵
  PID:6972
- C:\Windows\System32\nxRPJDi.exe
  C:\Windows\System32\nxRPJDi.exe
  2⤵
  PID:3048
- C:\Windows\System32\aBcBzCF.exe
  C:\Windows\System32\aBcBzCF.exe
  2⤵
  PID:7084
- C:\Windows\System32\avyuIsH.exe
  C:\Windows\System32\avyuIsH.exe
  2⤵
  PID:7132
- C:\Windows\System32\GsHYRwl.exe
  C:\Windows\System32\GsHYRwl.exe
  2⤵
  PID:3636
- C:\Windows\System32\Qkjoonw.exe
  C:\Windows\System32\Qkjoonw.exe
  2⤵
  PID:6160
- C:\Windows\System32\QphuJss.exe
  C:\Windows\System32\QphuJss.exe
  2⤵
  PID:6264
- C:\Windows\System32\OcdClWn.exe
  C:\Windows\System32\OcdClWn.exe
  2⤵
  PID:6440
- C:\Windows\System32\elXcDmh.exe
  C:\Windows\System32\elXcDmh.exe
  2⤵
  PID:6572
- C:\Windows\System32\KYXTtdt.exe
  C:\Windows\System32\KYXTtdt.exe
  2⤵
  PID:6684
- C:\Windows\System32\rGLRqBy.exe
  C:\Windows\System32\rGLRqBy.exe
  2⤵
  PID:6888
- C:\Windows\System32\pSVdlrw.exe
  C:\Windows\System32\pSVdlrw.exe
  2⤵
  PID:1420
- C:\Windows\System32\XHBsslu.exe
  C:\Windows\System32\XHBsslu.exe
  2⤵
  PID:7112
- C:\Windows\System32\eTxGess.exe
  C:\Windows\System32\eTxGess.exe
  2⤵
  PID:3724
- C:\Windows\System32\ZRJztHh.exe
  C:\Windows\System32\ZRJztHh.exe
  2⤵
  PID:6288
- C:\Windows\System32\EiEWSDx.exe
  C:\Windows\System32\EiEWSDx.exe
  2⤵
  PID:6540
- C:\Windows\System32\wlXuFBx.exe
  C:\Windows\System32\wlXuFBx.exe
  2⤵
  PID:2604
- C:\Windows\System32\gmOlOkp.exe
  C:\Windows\System32\gmOlOkp.exe
  2⤵
  PID:7184
- C:\Windows\System32\oHVyFug.exe
  C:\Windows\System32\oHVyFug.exe
  2⤵
  PID:7212
- C:\Windows\System32\woGKZjX.exe
  C:\Windows\System32\woGKZjX.exe
  2⤵
  PID:7240
- C:\Windows\System32\CMRNrQt.exe
  C:\Windows\System32\CMRNrQt.exe
  2⤵
  PID:7268
- C:\Windows\System32\nRbPCGx.exe
  C:\Windows\System32\nRbPCGx.exe
  2⤵
  PID:7296
- C:\Windows\System32\ioJxNqk.exe
  C:\Windows\System32\ioJxNqk.exe
  2⤵
  PID:7324
- C:\Windows\System32\IUntGqG.exe
  C:\Windows\System32\IUntGqG.exe
  2⤵
  PID:7352
- C:\Windows\System32\Xpsthhx.exe
  C:\Windows\System32\Xpsthhx.exe
  2⤵
  PID:7380
- C:\Windows\System32\wMtfonF.exe
  C:\Windows\System32\wMtfonF.exe
  2⤵
  PID:7408
- C:\Windows\System32\sapDgVf.exe
  C:\Windows\System32\sapDgVf.exe
  2⤵
  PID:7436
- C:\Windows\System32\JQInhOa.exe
  C:\Windows\System32\JQInhOa.exe
  2⤵
  PID:7464
- C:\Windows\System32\bVWpXqQ.exe
  C:\Windows\System32\bVWpXqQ.exe
  2⤵
  PID:7492
- C:\Windows\System32\jTiuPlD.exe
  C:\Windows\System32\jTiuPlD.exe
  2⤵
  PID:7520
- C:\Windows\System32\hiEkvEc.exe
  C:\Windows\System32\hiEkvEc.exe
  2⤵
  PID:7548
- C:\Windows\System32\wNubtIh.exe
  C:\Windows\System32\wNubtIh.exe
  2⤵
  PID:7576
- C:\Windows\System32\qpYSLkX.exe
  C:\Windows\System32\qpYSLkX.exe
  2⤵
  PID:7604
- C:\Windows\System32\OLyrilI.exe
  C:\Windows\System32\OLyrilI.exe
  2⤵
  PID:7688
- C:\Windows\System32\SrLYfiH.exe
  C:\Windows\System32\SrLYfiH.exe
  2⤵
  PID:7712
- C:\Windows\System32\zkTjTJs.exe
  C:\Windows\System32\zkTjTJs.exe
  2⤵
  PID:7744
- C:\Windows\System32\atNgCKf.exe
  C:\Windows\System32\atNgCKf.exe
  2⤵
  PID:7776
- C:\Windows\System32\imhkEpw.exe
  C:\Windows\System32\imhkEpw.exe
  2⤵
  PID:7808
- C:\Windows\System32\tcBPLHR.exe
  C:\Windows\System32\tcBPLHR.exe
  2⤵
  PID:7840
- C:\Windows\System32\EGThgLA.exe
  C:\Windows\System32\EGThgLA.exe
  2⤵
  PID:7872
- C:\Windows\System32\cWCQqeM.exe
  C:\Windows\System32\cWCQqeM.exe
  2⤵
  PID:7896
- C:\Windows\System32\FctxKBl.exe
  C:\Windows\System32\FctxKBl.exe
  2⤵
  PID:7928
- C:\Windows\System32\LZwpvCw.exe
  C:\Windows\System32\LZwpvCw.exe
  2⤵
  PID:7956
- C:\Windows\System32\ykxAzET.exe
  C:\Windows\System32\ykxAzET.exe
  2⤵
  PID:7980
- C:\Windows\System32\NvrjmgY.exe
  C:\Windows\System32\NvrjmgY.exe
  2⤵
  PID:8012
- C:\Windows\System32\tIqRxOJ.exe
  C:\Windows\System32\tIqRxOJ.exe
  2⤵
  PID:8040
- C:\Windows\System32\YNfYdFF.exe
  C:\Windows\System32\YNfYdFF.exe
  2⤵
  PID:8092
- C:\Windows\System32\knyXIAP.exe
  C:\Windows\System32\knyXIAP.exe
  2⤵
  PID:8124
- C:\Windows\System32\bSLIfus.exe
  C:\Windows\System32\bSLIfus.exe
  2⤵
  PID:8160
- C:\Windows\System32\mgiOVES.exe
  C:\Windows\System32\mgiOVES.exe
  2⤵
  PID:7044
- C:\Windows\System32\GEWGBys.exe
  C:\Windows\System32\GEWGBys.exe
  2⤵
  PID:7160
- C:\Windows\System32\HwUSEss.exe
  C:\Windows\System32\HwUSEss.exe
  2⤵
  PID:1972
- C:\Windows\System32\RsdMJJt.exe
  C:\Windows\System32\RsdMJJt.exe
  2⤵
  PID:408
- C:\Windows\System32\MRhAPYp.exe
  C:\Windows\System32\MRhAPYp.exe
  2⤵
  PID:7264
- C:\Windows\System32\TWrpuJo.exe
  C:\Windows\System32\TWrpuJo.exe
  2⤵
  PID:7376
- C:\Windows\System32\kOROqpn.exe
  C:\Windows\System32\kOROqpn.exe
  2⤵
  PID:7420
- C:\Windows\System32\OlZGXNC.exe
  C:\Windows\System32\OlZGXNC.exe
  2⤵
  PID:7452
- C:\Windows\System32\znZjGmb.exe
  C:\Windows\System32\znZjGmb.exe
  2⤵
  PID:2552
- C:\Windows\System32\cQihLLN.exe
  C:\Windows\System32\cQihLLN.exe
  2⤵
  PID:7508
- C:\Windows\System32\iZbByns.exe
  C:\Windows\System32\iZbByns.exe
  2⤵
  PID:4312
- C:\Windows\System32\xvXPkUW.exe
  C:\Windows\System32\xvXPkUW.exe
  2⤵
  PID:4416
- C:\Windows\System32\uWFqESu.exe
  C:\Windows\System32\uWFqESu.exe
  2⤵
  PID:1216
- C:\Windows\System32\BbdriJT.exe
  C:\Windows\System32\BbdriJT.exe
  2⤵
  PID:7592
- C:\Windows\System32\eFbZNZf.exe
  C:\Windows\System32\eFbZNZf.exe
  2⤵
  PID:4708
- C:\Windows\System32\mHaDMzE.exe
  C:\Windows\System32\mHaDMzE.exe
  2⤵
  PID:7696
- C:\Windows\System32\flbvmTg.exe
  C:\Windows\System32\flbvmTg.exe
  2⤵
  PID:7800
- C:\Windows\System32\zdMibMz.exe
  C:\Windows\System32\zdMibMz.exe
  2⤵
  PID:7832
- C:\Windows\System32\hrPrgDe.exe
  C:\Windows\System32\hrPrgDe.exe
  2⤵
  PID:7968
- C:\Windows\System32\LCGYpFE.exe
  C:\Windows\System32\LCGYpFE.exe
  2⤵
  PID:8028
- C:\Windows\System32\QgKJdWI.exe
  C:\Windows\System32\QgKJdWI.exe
  2⤵
  PID:8136
- C:\Windows\System32\zSLcgHC.exe
  C:\Windows\System32\zSLcgHC.exe
  2⤵
  PID:6952
- C:\Windows\System32\EWhhaIV.exe
  C:\Windows\System32\EWhhaIV.exe
  2⤵
  PID:6376
- C:\Windows\System32\LzLVPCv.exe
  C:\Windows\System32\LzLVPCv.exe
  2⤵
  PID:1948
- C:\Windows\System32\mDPlxKc.exe
  C:\Windows\System32\mDPlxKc.exe
  2⤵
  PID:7336
- C:\Windows\System32\cQSNQXk.exe
  C:\Windows\System32\cQSNQXk.exe
  2⤵
  PID:7828
- C:\Windows\System32\kJLmoip.exe
  C:\Windows\System32\kJLmoip.exe
  2⤵
  PID:8148
- C:\Windows\System32\jVjBRLF.exe
  C:\Windows\System32\jVjBRLF.exe
  2⤵
  PID:3124
- C:\Windows\System32\BgpQANR.exe
  C:\Windows\System32\BgpQANR.exe
  2⤵
  PID:2644
- C:\Windows\System32\GJBtNtd.exe
  C:\Windows\System32\GJBtNtd.exe
  2⤵
  PID:4948
- C:\Windows\System32\GPngaCu.exe
  C:\Windows\System32\GPngaCu.exe
  2⤵
  PID:4116
- C:\Windows\System32\YkhTXjh.exe
  C:\Windows\System32\YkhTXjh.exe
  2⤵
  PID:7704
- C:\Windows\System32\JpnEWJm.exe
  C:\Windows\System32\JpnEWJm.exe
  2⤵
  PID:7920
- C:\Windows\System32\hTTDPas.exe
  C:\Windows\System32\hTTDPas.exe
  2⤵
  PID:8068
- C:\Windows\System32\wQOWzki.exe
  C:\Windows\System32\wQOWzki.exe
  2⤵
  PID:7104
- C:\Windows\System32\ftFbcez.exe
  C:\Windows\System32\ftFbcez.exe
  2⤵
  PID:7936
- C:\Windows\System32\bsMsgsb.exe
  C:\Windows\System32\bsMsgsb.exe
  2⤵
  PID:7396
- C:\Windows\System32\cdfHbAZ.exe
  C:\Windows\System32\cdfHbAZ.exe
  2⤵
  PID:2160
- C:\Windows\System32\xEEvXuZ.exe
  C:\Windows\System32\xEEvXuZ.exe
  2⤵
  PID:7940
- C:\Windows\System32\hIHKHsl.exe
  C:\Windows\System32\hIHKHsl.exe
  2⤵
  PID:8104
- C:\Windows\System32\xiSEwwq.exe
  C:\Windows\System32\xiSEwwq.exe
  2⤵
  PID:4988
- C:\Windows\System32\HOQJxfc.exe
  C:\Windows\System32\HOQJxfc.exe
  2⤵
  PID:7836
- C:\Windows\System32\TaGgjIP.exe
  C:\Windows\System32\TaGgjIP.exe
  2⤵
  PID:8076
- C:\Windows\System32\KZtBokc.exe
  C:\Windows\System32\KZtBokc.exe
  2⤵
  PID:8212
- C:\Windows\System32\wePfsot.exe
  C:\Windows\System32\wePfsot.exe
  2⤵
  PID:8240
- C:\Windows\System32\umBIvCJ.exe
  C:\Windows\System32\umBIvCJ.exe
  2⤵
  PID:8256
- C:\Windows\System32\OdeoCBE.exe
  C:\Windows\System32\OdeoCBE.exe
  2⤵
  PID:8296
- C:\Windows\System32\KsMPusq.exe
  C:\Windows\System32\KsMPusq.exe
  2⤵
  PID:8324
- C:\Windows\System32\LTkcCWj.exe
  C:\Windows\System32\LTkcCWj.exe
  2⤵
  PID:8352
- C:\Windows\System32\zOyMAbZ.exe
  C:\Windows\System32\zOyMAbZ.exe
  2⤵
  PID:8384
- C:\Windows\System32\HcsJeKU.exe
  C:\Windows\System32\HcsJeKU.exe
  2⤵
  PID:8412
- C:\Windows\System32\OaiTOap.exe
  C:\Windows\System32\OaiTOap.exe
  2⤵
  PID:8432
- C:\Windows\System32\YidvcqO.exe
  C:\Windows\System32\YidvcqO.exe
  2⤵
  PID:8452
- C:\Windows\System32\MssYLtB.exe
  C:\Windows\System32\MssYLtB.exe
  2⤵
  PID:8484
- C:\Windows\System32\WLODnmG.exe
  C:\Windows\System32\WLODnmG.exe
  2⤵
  PID:8516
- C:\Windows\System32\xHQwnaW.exe
  C:\Windows\System32\xHQwnaW.exe
  2⤵
  PID:8548
- C:\Windows\System32\VGGRexi.exe
  C:\Windows\System32\VGGRexi.exe
  2⤵
  PID:8564
- C:\Windows\System32\uwfWkSf.exe
  C:\Windows\System32\uwfWkSf.exe
  2⤵
  PID:8588
- C:\Windows\System32\IchMvqC.exe
  C:\Windows\System32\IchMvqC.exe
  2⤵
  PID:8636
- C:\Windows\System32\NitCRUU.exe
  C:\Windows\System32\NitCRUU.exe
  2⤵
  PID:8664
- C:\Windows\System32\EziHYje.exe
  C:\Windows\System32\EziHYje.exe
  2⤵
  PID:8692
- C:\Windows\System32\rYAffke.exe
  C:\Windows\System32\rYAffke.exe
  2⤵
  PID:8720
- C:\Windows\System32\cZWbUJm.exe
  C:\Windows\System32\cZWbUJm.exe
  2⤵
  PID:8748
- C:\Windows\System32\muezRia.exe
  C:\Windows\System32\muezRia.exe
  2⤵
  PID:8776
- C:\Windows\System32\VbDWnGo.exe
  C:\Windows\System32\VbDWnGo.exe
  2⤵
  PID:8792
- C:\Windows\System32\LYHHXux.exe
  C:\Windows\System32\LYHHXux.exe
  2⤵
  PID:8820
- C:\Windows\System32\xjHapag.exe
  C:\Windows\System32\xjHapag.exe
  2⤵
  PID:8848
- C:\Windows\System32\BvbQeiu.exe
  C:\Windows\System32\BvbQeiu.exe
  2⤵
  PID:8896
- C:\Windows\System32\SVzfJEx.exe
  C:\Windows\System32\SVzfJEx.exe
  2⤵
  PID:8916
- C:\Windows\System32\hmrPdyU.exe
  C:\Windows\System32\hmrPdyU.exe
  2⤵
  PID:8944
- C:\Windows\System32\heYbhtJ.exe
  C:\Windows\System32\heYbhtJ.exe
  2⤵
  PID:8960
- C:\Windows\System32\sXObONK.exe
  C:\Windows\System32\sXObONK.exe
  2⤵
  PID:8996
- C:\Windows\System32\HqsqHaT.exe
  C:\Windows\System32\HqsqHaT.exe
  2⤵
  PID:9016
- C:\Windows\System32\tyxsrLU.exe
  C:\Windows\System32\tyxsrLU.exe
  2⤵
  PID:9060
- C:\Windows\System32\vlLsosk.exe
  C:\Windows\System32\vlLsosk.exe
  2⤵
  PID:9104
- C:\Windows\System32\tHqHPHb.exe
  C:\Windows\System32\tHqHPHb.exe
  2⤵
  PID:9132
- C:\Windows\System32\cgVfbRg.exe
  C:\Windows\System32\cgVfbRg.exe
  2⤵
  PID:9184
- C:\Windows\System32\kPPDUIC.exe
  C:\Windows\System32\kPPDUIC.exe
  2⤵
  PID:9200
- C:\Windows\System32\rGoIRMT.exe
  C:\Windows\System32\rGoIRMT.exe
  2⤵
  PID:1160
- C:\Windows\System32\dTOyKqQ.exe
  C:\Windows\System32\dTOyKqQ.exe
  2⤵
  PID:8272
- C:\Windows\System32\xZVZMJT.exe
  C:\Windows\System32\xZVZMJT.exe
  2⤵
  PID:8320
- C:\Windows\System32\XvFOVZF.exe
  C:\Windows\System32\XvFOVZF.exe
  2⤵
  PID:8348
- C:\Windows\System32\KrYgMJb.exe
  C:\Windows\System32\KrYgMJb.exe
  2⤵
  PID:8448
- C:\Windows\System32\WBFpBIt.exe
  C:\Windows\System32\WBFpBIt.exe
  2⤵
  PID:8468
- C:\Windows\System32\lNfyVlv.exe
  C:\Windows\System32\lNfyVlv.exe
  2⤵
  PID:8572
- C:\Windows\System32\WMRQsEp.exe
  C:\Windows\System32\WMRQsEp.exe
  2⤵
  PID:8652
- C:\Windows\System32\qyvLfrO.exe
  C:\Windows\System32\qyvLfrO.exe
  2⤵
  PID:8684
- C:\Windows\System32\oMVFKmU.exe
  C:\Windows\System32\oMVFKmU.exe
  2⤵
  PID:8764
- C:\Windows\System32\BTlIdls.exe
  C:\Windows\System32\BTlIdls.exe
  2⤵
  PID:8844
- C:\Windows\System32\lxTgtMk.exe
  C:\Windows\System32\lxTgtMk.exe
  2⤵
  PID:8912
- C:\Windows\System32\uLlgbXb.exe
  C:\Windows\System32\uLlgbXb.exe
  2⤵
  PID:8988
- C:\Windows\System32\xEZlyIF.exe
  C:\Windows\System32\xEZlyIF.exe
  2⤵
  PID:9040
- C:\Windows\System32\ECbuZvC.exe
  C:\Windows\System32\ECbuZvC.exe
  2⤵
  PID:9128
- C:\Windows\System32\LYyRZxT.exe
  C:\Windows\System32\LYyRZxT.exe
  2⤵
  PID:9196
- C:\Windows\System32\ZOgNFdv.exe
  C:\Windows\System32\ZOgNFdv.exe
  2⤵
  PID:8236
- C:\Windows\System32\xtdkMZN.exe
  C:\Windows\System32\xtdkMZN.exe
  2⤵
  PID:8404
- C:\Windows\System32\ekUJWcp.exe
  C:\Windows\System32\ekUJWcp.exe
  2⤵
  PID:8524
- C:\Windows\System32\khjIKXt.exe
  C:\Windows\System32\khjIKXt.exe
  2⤵
  PID:8804
- C:\Windows\System32\fHZTmbG.exe
  C:\Windows\System32\fHZTmbG.exe
  2⤵
  PID:8908
- C:\Windows\System32\HdueVGy.exe
  C:\Windows\System32\HdueVGy.exe
  2⤵
  PID:9088
- C:\Windows\System32\glisxtQ.exe
  C:\Windows\System32\glisxtQ.exe
  2⤵
  PID:5088
- C:\Windows\System32\RDMTuIJ.exe
  C:\Windows\System32\RDMTuIJ.exe
  2⤵
  PID:8528
- C:\Windows\System32\WLKvHRT.exe
  C:\Windows\System32\WLKvHRT.exe
  2⤵
  PID:8788
- C:\Windows\System32\PpTLjnh.exe
  C:\Windows\System32\PpTLjnh.exe
  2⤵
  PID:8204
- C:\Windows\System32\QUTxioh.exe
  C:\Windows\System32\QUTxioh.exe
  2⤵
  PID:9148
- C:\Windows\System32\ysQysVN.exe
  C:\Windows\System32\ysQysVN.exe
  2⤵
  PID:9224
- C:\Windows\System32\TFIKdbm.exe
  C:\Windows\System32\TFIKdbm.exe
  2⤵
  PID:9252
- C:\Windows\System32\TxwZyEi.exe
  C:\Windows\System32\TxwZyEi.exe
  2⤵
  PID:9304
- C:\Windows\System32\aDNoNWr.exe
  C:\Windows\System32\aDNoNWr.exe
  2⤵
  PID:9320
- C:\Windows\System32\iHWEnuB.exe
  C:\Windows\System32\iHWEnuB.exe
  2⤵
  PID:9348
- C:\Windows\System32\pIVVOKO.exe
  C:\Windows\System32\pIVVOKO.exe
  2⤵
  PID:9404
- C:\Windows\System32\UotErcz.exe
  C:\Windows\System32\UotErcz.exe
  2⤵
  PID:9444
- C:\Windows\System32\bnmGmVo.exe
  C:\Windows\System32\bnmGmVo.exe
  2⤵
  PID:9464
- C:\Windows\System32\cbyELBW.exe
  C:\Windows\System32\cbyELBW.exe
  2⤵
  PID:9516
- C:\Windows\System32\RUJvEsd.exe
  C:\Windows\System32\RUJvEsd.exe
  2⤵
  PID:9560
- C:\Windows\System32\UPWCyIN.exe
  C:\Windows\System32\UPWCyIN.exe
  2⤵
  PID:9592
- C:\Windows\System32\fJHhcUD.exe
  C:\Windows\System32\fJHhcUD.exe
  2⤵
  PID:9620
- C:\Windows\System32\JPEGXVn.exe
  C:\Windows\System32\JPEGXVn.exe
  2⤵
  PID:9640
- C:\Windows\System32\pKjYxQv.exe
  C:\Windows\System32\pKjYxQv.exe
  2⤵
  PID:9708
- C:\Windows\System32\qCVUrLX.exe
  C:\Windows\System32\qCVUrLX.exe
  2⤵
  PID:9744
- C:\Windows\System32\PnTvqXq.exe
  C:\Windows\System32\PnTvqXq.exe
  2⤵
  PID:9792
- C:\Windows\System32\JyBbMiZ.exe
  C:\Windows\System32\JyBbMiZ.exe
  2⤵
  PID:9832
- C:\Windows\System32\BhwgGKI.exe
  C:\Windows\System32\BhwgGKI.exe
  2⤵
  PID:9852
- C:\Windows\System32\ctWSllN.exe
  C:\Windows\System32\ctWSllN.exe
  2⤵
  PID:9900
- C:\Windows\System32\zVqJqFP.exe
  C:\Windows\System32\zVqJqFP.exe
  2⤵
  PID:9920
- C:\Windows\System32\dYIPiFV.exe
  C:\Windows\System32\dYIPiFV.exe
  2⤵
  PID:9948
- C:\Windows\System32\hRTJaSM.exe
  C:\Windows\System32\hRTJaSM.exe
  2⤵
  PID:9984
- C:\Windows\System32\ugDFlrg.exe
  C:\Windows\System32\ugDFlrg.exe
  2⤵
  PID:10016
- C:\Windows\System32\zywnVnQ.exe
  C:\Windows\System32\zywnVnQ.exe
  2⤵
  PID:10044
- C:\Windows\System32\iRKbALx.exe
  C:\Windows\System32\iRKbALx.exe
  2⤵
  PID:10072
- C:\Windows\System32\JbDTayp.exe
  C:\Windows\System32\JbDTayp.exe
  2⤵
  PID:10100
- C:\Windows\System32\xdapQBY.exe
  C:\Windows\System32\xdapQBY.exe
  2⤵
  PID:10132
- C:\Windows\System32\djmRhDk.exe
  C:\Windows\System32\djmRhDk.exe
  2⤵
  PID:10160
- C:\Windows\System32\lRORcdm.exe
  C:\Windows\System32\lRORcdm.exe
  2⤵
  PID:10196
- C:\Windows\System32\fPpjWYf.exe
  C:\Windows\System32\fPpjWYf.exe
  2⤵
  PID:10236
- C:\Windows\System32\vjBnQAa.exe
  C:\Windows\System32\vjBnQAa.exe
  2⤵
  PID:9340
- C:\Windows\System32\JiHmFxc.exe
  C:\Windows\System32\JiHmFxc.exe
  2⤵
  PID:9460
- C:\Windows\System32\HNmrKXu.exe
  C:\Windows\System32\HNmrKXu.exe
  2⤵
  PID:9576
- C:\Windows\System32\GOOBznd.exe
  C:\Windows\System32\GOOBznd.exe
  2⤵
  PID:2940
- C:\Windows\System32\MvhgrYC.exe
  C:\Windows\System32\MvhgrYC.exe
  2⤵
  PID:9664
- C:\Windows\System32\PkeeFMK.exe
  C:\Windows\System32\PkeeFMK.exe
  2⤵
  PID:9776
- C:\Windows\System32\dkUknwO.exe
  C:\Windows\System32\dkUknwO.exe
  2⤵
  PID:9844
- C:\Windows\System32\VmjSczw.exe
  C:\Windows\System32\VmjSczw.exe
  2⤵
  PID:9936
- C:\Windows\System32\JgoMvUQ.exe
  C:\Windows\System32\JgoMvUQ.exe
  2⤵
  PID:10036
- C:\Windows\System32\npDXDBA.exe
  C:\Windows\System32\npDXDBA.exe
  2⤵
  PID:10128
- C:\Windows\System32\paMBqDi.exe
  C:\Windows\System32\paMBqDi.exe
  2⤵
  PID:10216
- C:\Windows\System32\BowLaMW.exe
  C:\Windows\System32\BowLaMW.exe
  2⤵
  PID:9424
- C:\Windows\System32\QbveSlk.exe
  C:\Windows\System32\QbveSlk.exe
  2⤵
  PID:3768
- C:\Windows\System32\mZuNgde.exe
  C:\Windows\System32\mZuNgde.exe
  2⤵
  PID:9848
- C:\Windows\System32\jCOQkXR.exe
  C:\Windows\System32\jCOQkXR.exe
  2⤵
  PID:8956
- C:\Windows\System32\tAvgFif.exe
  C:\Windows\System32\tAvgFif.exe
  2⤵
  PID:4368
- C:\Windows\System32\yqkgPTR.exe
  C:\Windows\System32\yqkgPTR.exe
  2⤵
  PID:10116
- C:\Windows\System32\WDApOme.exe
  C:\Windows\System32\WDApOme.exe
  2⤵
  PID:9364
- C:\Windows\System32\DghjJSN.exe
  C:\Windows\System32\DghjJSN.exe
  2⤵
  PID:8972
- C:\Windows\System32\iyzvcfT.exe
  C:\Windows\System32\iyzvcfT.exe
  2⤵
  PID:9996
- C:\Windows\System32\xHatgTE.exe
  C:\Windows\System32\xHatgTE.exe
  2⤵
  PID:9276
- C:\Windows\System32\nvTrgBy.exe
  C:\Windows\System32\nvTrgBy.exe
  2⤵
  PID:9828
- C:\Windows\System32\SoKFqID.exe
  C:\Windows\System32\SoKFqID.exe
  2⤵
  PID:10272
- C:\Windows\System32\VzbxWgf.exe
  C:\Windows\System32\VzbxWgf.exe
  2⤵
  PID:10300
- C:\Windows\System32\bkXALnt.exe
  C:\Windows\System32\bkXALnt.exe
  2⤵
  PID:10328
- C:\Windows\System32\ESdzuOe.exe
  C:\Windows\System32\ESdzuOe.exe
  2⤵
  PID:10356
- C:\Windows\System32\yyBExXl.exe
  C:\Windows\System32\yyBExXl.exe
  2⤵
  PID:10384
- C:\Windows\System32\ZmQlZwo.exe
  C:\Windows\System32\ZmQlZwo.exe
  2⤵
  PID:10416
- C:\Windows\System32\OyyKfvY.exe
  C:\Windows\System32\OyyKfvY.exe
  2⤵
  PID:10444
- C:\Windows\System32\WkOQkyB.exe
  C:\Windows\System32\WkOQkyB.exe
  2⤵
  PID:10472
- C:\Windows\System32\JZpcqZa.exe
  C:\Windows\System32\JZpcqZa.exe
  2⤵
  PID:10500
- C:\Windows\System32\VfWTGJh.exe
  C:\Windows\System32\VfWTGJh.exe
  2⤵
  PID:10532
- C:\Windows\System32\XkcPqTh.exe
  C:\Windows\System32\XkcPqTh.exe
  2⤵
  PID:10560
- C:\Windows\System32\eZfTIph.exe
  C:\Windows\System32\eZfTIph.exe
  2⤵
  PID:10588
- C:\Windows\System32\GctKTbB.exe
  C:\Windows\System32\GctKTbB.exe
  2⤵
  PID:10624
- C:\Windows\System32\qQVepNO.exe
  C:\Windows\System32\qQVepNO.exe
  2⤵
  PID:10656
- C:\Windows\System32\PJqSkfi.exe
  C:\Windows\System32\PJqSkfi.exe
  2⤵
  PID:10684
- C:\Windows\System32\lXBPkFc.exe
  C:\Windows\System32\lXBPkFc.exe
  2⤵
  PID:10712
- C:\Windows\System32\RrveUUG.exe
  C:\Windows\System32\RrveUUG.exe
  2⤵
  PID:10740
- C:\Windows\System32\FUspsLg.exe
  C:\Windows\System32\FUspsLg.exe
  2⤵
  PID:10768
- C:\Windows\System32\CnQvDZR.exe
  C:\Windows\System32\CnQvDZR.exe
  2⤵
  PID:10796
- C:\Windows\System32\NfsdKjO.exe
  C:\Windows\System32\NfsdKjO.exe
  2⤵
  PID:10824
- C:\Windows\System32\eqsPCrr.exe
  C:\Windows\System32\eqsPCrr.exe
  2⤵
  PID:10852
- C:\Windows\System32\yplWcBB.exe
  C:\Windows\System32\yplWcBB.exe
  2⤵
  PID:10888
- C:\Windows\System32\BXeykYa.exe
  C:\Windows\System32\BXeykYa.exe
  2⤵
  PID:10924
- C:\Windows\System32\vVrOiJg.exe
  C:\Windows\System32\vVrOiJg.exe
  2⤵
  PID:10952
- C:\Windows\System32\CjfmgDu.exe
  C:\Windows\System32\CjfmgDu.exe
  2⤵
  PID:10984
- C:\Windows\System32\UjaddPw.exe
  C:\Windows\System32\UjaddPw.exe
  2⤵
  PID:11016
- C:\Windows\System32\VcrqiXj.exe
  C:\Windows\System32\VcrqiXj.exe
  2⤵
  PID:11044
- C:\Windows\System32\bJXOEjf.exe
  C:\Windows\System32\bJXOEjf.exe
  2⤵
  PID:11072
- C:\Windows\System32\VibjfGD.exe
  C:\Windows\System32\VibjfGD.exe
  2⤵
  PID:11100
- C:\Windows\System32\pKweXZG.exe
  C:\Windows\System32\pKweXZG.exe
  2⤵
  PID:11128
- C:\Windows\System32\KUcGhNM.exe
  C:\Windows\System32\KUcGhNM.exe
  2⤵
  PID:11156
- C:\Windows\System32\fBhJTWf.exe
  C:\Windows\System32\fBhJTWf.exe
  2⤵
  PID:11184
- C:\Windows\System32\VPkcBNR.exe
  C:\Windows\System32\VPkcBNR.exe
  2⤵
  PID:11212
- C:\Windows\System32\rvPbfbi.exe
  C:\Windows\System32\rvPbfbi.exe
  2⤵
  PID:11240
- C:\Windows\System32\WwZXcrx.exe
  C:\Windows\System32\WwZXcrx.exe
  2⤵
  PID:10252
- C:\Windows\System32\vFQtEei.exe
  C:\Windows\System32\vFQtEei.exe
  2⤵
  PID:10320
- C:\Windows\System32\RYaXUch.exe
  C:\Windows\System32\RYaXUch.exe
  2⤵
  PID:10380
- C:\Windows\System32\fWWufNs.exe
  C:\Windows\System32\fWWufNs.exe
  2⤵
  PID:10468
- C:\Windows\System32\yEEInqc.exe
  C:\Windows\System32\yEEInqc.exe
  2⤵
  PID:10544
- C:\Windows\System32\VfreMPr.exe
  C:\Windows\System32\VfreMPr.exe
  2⤵
  PID:10616
- C:\Windows\System32\sxhNQOO.exe
  C:\Windows\System32\sxhNQOO.exe
  2⤵
  PID:10676
- C:\Windows\System32\aHImqAR.exe
  C:\Windows\System32\aHImqAR.exe
  2⤵
  PID:10736
- C:\Windows\System32\ONdCcot.exe
  C:\Windows\System32\ONdCcot.exe
  2⤵
  PID:10808
- C:\Windows\System32\vGhHjys.exe
  C:\Windows\System32\vGhHjys.exe
  2⤵
  PID:10880
- C:\Windows\System32\VSUczbh.exe
  C:\Windows\System32\VSUczbh.exe
  2⤵
  PID:10948
- C:\Windows\System32\FzenfHI.exe
  C:\Windows\System32\FzenfHI.exe
  2⤵
  PID:1180
- C:\Windows\System32\pXDyfwi.exe
  C:\Windows\System32\pXDyfwi.exe
  2⤵
  PID:11068
- C:\Windows\System32\OTtaZWj.exe
  C:\Windows\System32\OTtaZWj.exe
  2⤵
  PID:11124
- C:\Windows\System32\RptfCHg.exe
  C:\Windows\System32\RptfCHg.exe
  2⤵
  PID:11196
- C:\Windows\System32\yrkoRPH.exe
  C:\Windows\System32\yrkoRPH.exe
  2⤵
  PID:11260
- C:\Windows\System32\hoMtbuf.exe
  C:\Windows\System32\hoMtbuf.exe
  2⤵
  PID:10376
- C:\Windows\System32\uxwnubr.exe
  C:\Windows\System32\uxwnubr.exe
  2⤵
  PID:10572
- C:\Windows\System32\LUZkOZb.exe
  C:\Windows\System32\LUZkOZb.exe
  2⤵
  PID:10700
- C:\Windows\System32\McAbQee.exe
  C:\Windows\System32\McAbQee.exe
  2⤵
  PID:10868
- C:\Windows\System32\hmdRMxU.exe
  C:\Windows\System32\hmdRMxU.exe
  2⤵
  PID:11036
- C:\Windows\System32\AHScBsd.exe
  C:\Windows\System32\AHScBsd.exe
  2⤵
  PID:11176
- C:\Windows\System32\eYHWBVP.exe
  C:\Windows\System32\eYHWBVP.exe
  2⤵
  PID:10348
- C:\Windows\System32\JQgMTlU.exe
  C:\Windows\System32\JQgMTlU.exe
  2⤵
  PID:10780
- C:\Windows\System32\JnBqzEl.exe
  C:\Windows\System32\JnBqzEl.exe
  2⤵
  PID:11120
- C:\Windows\System32\yXWujJC.exe
  C:\Windows\System32\yXWujJC.exe
  2⤵
  PID:10968
- C:\Windows\System32\ZFQAXdJ.exe
  C:\Windows\System32\ZFQAXdJ.exe
  2⤵
  PID:9532
- C:\Windows\System32\dFYYMsB.exe
  C:\Windows\System32\dFYYMsB.exe
  2⤵
  PID:11300
- C:\Windows\System32\UPzyLwX.exe
  C:\Windows\System32\UPzyLwX.exe
  2⤵
  PID:11344
- C:\Windows\System32\guArCiK.exe
  C:\Windows\System32\guArCiK.exe
  2⤵
  PID:11372
- C:\Windows\System32\vjBHXsQ.exe
  C:\Windows\System32\vjBHXsQ.exe
  2⤵
  PID:11404
- C:\Windows\System32\ZGTcXTK.exe
  C:\Windows\System32\ZGTcXTK.exe
  2⤵
  PID:11432
- C:\Windows\System32\mhGOlWY.exe
  C:\Windows\System32\mhGOlWY.exe
  2⤵
  PID:11460
- C:\Windows\System32\aiBJYeM.exe
  C:\Windows\System32\aiBJYeM.exe
  2⤵
  PID:11488
- C:\Windows\System32\WgMPygh.exe
  C:\Windows\System32\WgMPygh.exe
  2⤵
  PID:11520
- C:\Windows\System32\NSHQFcM.exe
  C:\Windows\System32\NSHQFcM.exe
  2⤵
  PID:11544
- C:\Windows\System32\TfqPmLO.exe
  C:\Windows\System32\TfqPmLO.exe
  2⤵
  PID:11572
- C:\Windows\System32\UxQOqwK.exe
  C:\Windows\System32\UxQOqwK.exe
  2⤵
  PID:11600
- C:\Windows\System32\rHiiutY.exe
  C:\Windows\System32\rHiiutY.exe
  2⤵
  PID:11628
- C:\Windows\System32\YWQqDBT.exe
  C:\Windows\System32\YWQqDBT.exe
  2⤵
  PID:11656
- C:\Windows\System32\uJfKfrM.exe
  C:\Windows\System32\uJfKfrM.exe
  2⤵
  PID:11684
- C:\Windows\System32\fffjOhQ.exe
  C:\Windows\System32\fffjOhQ.exe
  2⤵
  PID:11712
- C:\Windows\System32\XjkdzhR.exe
  C:\Windows\System32\XjkdzhR.exe
  2⤵
  PID:11740
- C:\Windows\System32\XmKGJVU.exe
  C:\Windows\System32\XmKGJVU.exe
  2⤵
  PID:11780
- C:\Windows\System32\eFgNmTD.exe
  C:\Windows\System32\eFgNmTD.exe
  2⤵
  PID:11808
- C:\Windows\System32\dILStgV.exe
  C:\Windows\System32\dILStgV.exe
  2⤵
  PID:11836
- C:\Windows\System32\mgAVqgw.exe
  C:\Windows\System32\mgAVqgw.exe
  2⤵
  PID:11864
- C:\Windows\System32\FHebxhu.exe
  C:\Windows\System32\FHebxhu.exe
  2⤵
  PID:11892
- C:\Windows\System32\AjNmmxK.exe
  C:\Windows\System32\AjNmmxK.exe
  2⤵
  PID:11920
- C:\Windows\System32\ivRNkGx.exe
  C:\Windows\System32\ivRNkGx.exe
  2⤵
  PID:11948
- C:\Windows\System32\RDjweBU.exe
  C:\Windows\System32\RDjweBU.exe
  2⤵
  PID:11976
- C:\Windows\System32\aiduYwm.exe
  C:\Windows\System32\aiduYwm.exe
  2⤵
  PID:12004
- C:\Windows\System32\NgyYOHa.exe
  C:\Windows\System32\NgyYOHa.exe
  2⤵
  PID:12032
- C:\Windows\System32\voEyqnB.exe
  C:\Windows\System32\voEyqnB.exe
  2⤵
  PID:12060
- C:\Windows\System32\cPOqJwX.exe
  C:\Windows\System32\cPOqJwX.exe
  2⤵
  PID:12088
- C:\Windows\System32\YOOwsGw.exe
  C:\Windows\System32\YOOwsGw.exe
  2⤵
  PID:12116
- C:\Windows\System32\MvmQTof.exe
  C:\Windows\System32\MvmQTof.exe
  2⤵
  PID:12144
- C:\Windows\System32\CffCZNl.exe
  C:\Windows\System32\CffCZNl.exe
  2⤵
  PID:12172
- C:\Windows\System32\WYYmdGx.exe
  C:\Windows\System32\WYYmdGx.exe
  2⤵
  PID:12200
- C:\Windows\System32\PbDVcNH.exe
  C:\Windows\System32\PbDVcNH.exe
  2⤵
  PID:12228
- C:\Windows\System32\nfhwKrh.exe
  C:\Windows\System32\nfhwKrh.exe
  2⤵
  PID:12256
- C:\Windows\System32\kytIKwX.exe
  C:\Windows\System32\kytIKwX.exe
  2⤵
  PID:12284
- C:\Windows\System32\oPvKgyT.exe
  C:\Windows\System32\oPvKgyT.exe
  2⤵
  PID:11340
- C:\Windows\System32\iPMHqIo.exe
  C:\Windows\System32\iPMHqIo.exe
  2⤵
  PID:11416
- C:\Windows\System32\XiJnFYm.exe
  C:\Windows\System32\XiJnFYm.exe
  2⤵
  PID:11480
- C:\Windows\System32\OIsUofV.exe
  C:\Windows\System32\OIsUofV.exe
  2⤵
  PID:11540
- C:\Windows\System32\dGkibxt.exe
  C:\Windows\System32\dGkibxt.exe
  2⤵
  PID:11620
- C:\Windows\System32\xScyONk.exe
  C:\Windows\System32\xScyONk.exe
  2⤵
  PID:11680
- C:\Windows\System32\zDdoKFS.exe
  C:\Windows\System32\zDdoKFS.exe
  2⤵
  PID:11752
- C:\Windows\System32\NSRyVWO.exe
  C:\Windows\System32\NSRyVWO.exe
  2⤵
  PID:11828
- C:\Windows\System32\lRohops.exe
  C:\Windows\System32\lRohops.exe
  2⤵
  PID:11888
- C:\Windows\System32\hkYhgAe.exe
  C:\Windows\System32\hkYhgAe.exe
  2⤵
  PID:11972
- C:\Windows\System32\zpLBXgh.exe
  C:\Windows\System32\zpLBXgh.exe
  2⤵
  PID:12044
- C:\Windows\System32\LqTRCkN.exe
  C:\Windows\System32\LqTRCkN.exe
  2⤵
  PID:12112
- C:\Windows\System32\YOgFXbO.exe
  C:\Windows\System32\YOgFXbO.exe
  2⤵
  PID:12192
- C:\Windows\System32\STcWbyd.exe
  C:\Windows\System32\STcWbyd.exe
  2⤵
  PID:12252
- C:\Windows\System32\VjVtsFE.exe
  C:\Windows\System32\VjVtsFE.exe
  2⤵
  PID:11368
- C:\Windows\System32\BjNgQhg.exe
  C:\Windows\System32\BjNgQhg.exe
  2⤵
  PID:11512
- C:\Windows\System32\ktNOCgP.exe
  C:\Windows\System32\ktNOCgP.exe
  2⤵
  PID:11668
- C:\Windows\System32\VDOwVOD.exe
  C:\Windows\System32\VDOwVOD.exe
  2⤵
  PID:11820
- C:\Windows\System32\WZyNkpG.exe
  C:\Windows\System32\WZyNkpG.exe
  2⤵
  PID:12000
- C:\Windows\System32\NhtHtLc.exe
  C:\Windows\System32\NhtHtLc.exe
  2⤵
  PID:12168
- C:\Windows\System32\acrpsHb.exe
  C:\Windows\System32\acrpsHb.exe
  2⤵
  PID:11336
- C:\Windows\System32\hNzgiaI.exe
  C:\Windows\System32\hNzgiaI.exe
  2⤵
  PID:11732
- C:\Windows\System32\wtmpCuy.exe
  C:\Windows\System32\wtmpCuy.exe
  2⤵
  PID:12248
- C:\Windows\System32\jKwadMQ.exe
  C:\Windows\System32\jKwadMQ.exe
  2⤵
  PID:12108
- C:\Windows\System32\cirpfEj.exe
  C:\Windows\System32\cirpfEj.exe
  2⤵
  PID:12304
- C:\Windows\System32\piPbbkk.exe
  C:\Windows\System32\piPbbkk.exe
  2⤵
  PID:12340
- C:\Windows\System32\glDYaBR.exe
  C:\Windows\System32\glDYaBR.exe
  2⤵
  PID:12364
- C:\Windows\System32\huzEFTg.exe
  C:\Windows\System32\huzEFTg.exe
  2⤵
  PID:12388
- C:\Windows\System32\gAOlInJ.exe
  C:\Windows\System32\gAOlInJ.exe
  2⤵
  PID:12412
- C:\Windows\System32\vkwVujs.exe
  C:\Windows\System32\vkwVujs.exe
  2⤵
  PID:12452
- C:\Windows\System32\iWQhmfN.exe
  C:\Windows\System32\iWQhmfN.exe
  2⤵
  PID:12472
- C:\Windows\System32\cTXePwK.exe
  C:\Windows\System32\cTXePwK.exe
  2⤵
  PID:12496
- C:\Windows\System32\QXICVjv.exe
  C:\Windows\System32\QXICVjv.exe
  2⤵
  PID:12528
- C:\Windows\System32\SjlyVOC.exe
  C:\Windows\System32\SjlyVOC.exe
  2⤵
  PID:12564
- C:\Windows\System32\NwroCMj.exe
  C:\Windows\System32\NwroCMj.exe
  2⤵
  PID:12592
- C:\Windows\System32\utFZpYY.exe
  C:\Windows\System32\utFZpYY.exe
  2⤵
  PID:12608
- C:\Windows\System32\mRISilI.exe
  C:\Windows\System32\mRISilI.exe
  2⤵
  PID:12628
- C:\Windows\System32\PKugaBV.exe
  C:\Windows\System32\PKugaBV.exe
  2⤵
  PID:12680
- C:\Windows\System32\nAleipX.exe
  C:\Windows\System32\nAleipX.exe
  2⤵
  PID:12704
- C:\Windows\System32\agrgDSy.exe
  C:\Windows\System32\agrgDSy.exe
  2⤵
  PID:12736
- C:\Windows\System32\wVHaTMg.exe
  C:\Windows\System32\wVHaTMg.exe
  2⤵
  PID:12772
- C:\Windows\System32\DHXPfRw.exe
  C:\Windows\System32\DHXPfRw.exe
  2⤵
  PID:12800
- C:\Windows\System32\TIsUYPL.exe
  C:\Windows\System32\TIsUYPL.exe
  2⤵
  PID:12832
- C:\Windows\System32\qZrcKbf.exe
  C:\Windows\System32\qZrcKbf.exe
  2⤵
  PID:12860
- C:\Windows\System32\QLhEbfd.exe
  C:\Windows\System32\QLhEbfd.exe
  2⤵
  PID:12892
- C:\Windows\System32\fVbkBfM.exe
  C:\Windows\System32\fVbkBfM.exe
  2⤵
  PID:12924
- C:\Windows\System32\XJdxaqe.exe
  C:\Windows\System32\XJdxaqe.exe
  2⤵
  PID:12952
- C:\Windows\System32\NjuchLy.exe
  C:\Windows\System32\NjuchLy.exe
  2⤵
  PID:12980
- C:\Windows\System32\uBERces.exe
  C:\Windows\System32\uBERces.exe
  2⤵
  PID:13008
- C:\Windows\System32\OcpZUCX.exe
  C:\Windows\System32\OcpZUCX.exe
  2⤵
  PID:13036
- C:\Windows\System32\IiPcLeW.exe
  C:\Windows\System32\IiPcLeW.exe
  2⤵
  PID:13068
- C:\Windows\System32\eXOuOne.exe
  C:\Windows\System32\eXOuOne.exe
  2⤵
  PID:13096
- C:\Windows\System32\wSdZmHU.exe
  C:\Windows\System32\wSdZmHU.exe
  2⤵
  PID:13136
- C:\Windows\System32\AGMwRRA.exe
  C:\Windows\System32\AGMwRRA.exe
  2⤵
  PID:13156
- C:\Windows\System32\wNFuwvy.exe
  C:\Windows\System32\wNFuwvy.exe
  2⤵
  PID:13184
- C:\Windows\System32\UVyiOER.exe
  C:\Windows\System32\UVyiOER.exe
  2⤵
  PID:13212
- C:\Windows\System32\avgbfPW.exe
  C:\Windows\System32\avgbfPW.exe
  2⤵
  PID:13240
- C:\Windows\System32\hLfTleQ.exe
  C:\Windows\System32\hLfTleQ.exe
  2⤵
  PID:13268
- C:\Windows\System32\TBTRzVf.exe
  C:\Windows\System32\TBTRzVf.exe
  2⤵
  PID:13296
- C:\Windows\System32\MlHTAml.exe
  C:\Windows\System32\MlHTAml.exe
  2⤵
  PID:12328
- C:\Windows\System32\QsGQdbT.exe
  C:\Windows\System32\QsGQdbT.exe
  2⤵
  PID:12404
- C:\Windows\System32\AYpVaTh.exe
  C:\Windows\System32\AYpVaTh.exe
  2⤵
  PID:12460
- C:\Windows\System32\SOdXrrf.exe
  C:\Windows\System32\SOdXrrf.exe
  2⤵
  PID:12536
- C:\Windows\System32\RumXoav.exe
  C:\Windows\System32\RumXoav.exe
  2⤵
  PID:12584
- C:\Windows\System32\avCqNKL.exe
  C:\Windows\System32\avCqNKL.exe
  2⤵
  PID:12668
- C:\Windows\System32\pmSnoKN.exe
  C:\Windows\System32\pmSnoKN.exe
  2⤵
  PID:12792
- C:\Windows\System32\MGjmdEG.exe
  C:\Windows\System32\MGjmdEG.exe
  2⤵
  PID:3940
- C:\Windows\System32\HPExENB.exe
  C:\Windows\System32\HPExENB.exe
  2⤵
  PID:13048
- C:\Windows\System32\BJYPACI.exe
  C:\Windows\System32\BJYPACI.exe
  2⤵
  PID:13116
- C:\Windows\System32\YJXfBgy.exe
  C:\Windows\System32\YJXfBgy.exe
  2⤵
  PID:13180
- C:\Windows\System32\eayJCKp.exe
  C:\Windows\System32\eayJCKp.exe
  2⤵
  PID:13236
- C:\Windows\System32\mSpdhCc.exe
  C:\Windows\System32\mSpdhCc.exe
  2⤵
  PID:12400
- C:\Windows\System32\hBujJOT.exe
  C:\Windows\System32\hBujJOT.exe
  2⤵
  PID:12516
- C:\Windows\System32\ZomOBRb.exe
  C:\Windows\System32\ZomOBRb.exe
  2⤵
  PID:12640
- C:\Windows\System32\jDTjJMj.exe
  C:\Windows\System32\jDTjJMj.exe
  2⤵
  PID:12920
- C:\Windows\System32\pOAIZhP.exe
  C:\Windows\System32\pOAIZhP.exe
  2⤵
  PID:13172
- C:\Windows\System32\IIORmgI.exe
  C:\Windows\System32\IIORmgI.exe
  2⤵
  PID:12300
- C:\Windows\System32\RoDKwTQ.exe
  C:\Windows\System32\RoDKwTQ.exe
  2⤵
  PID:12788

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:13736

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\AMcmMbo.exe

Filesize
3.2MB

MD5
618d5e0a08ba2d892da4d234f45669be

SHA1
10ec8594082c53e6a15f6e30b33b3089978b4ac7

SHA256
da9edff233a7c273fcfd25504210b1e9fa68256928b8d438b7d307ce5c7d98bd

SHA512
b1cca986528757c3d85dd5398b7c558938ce6280853705aff9691fad68e42b3a8dd5a73cd4be2bb54b99e73cc7ba1b90174fbac3192f749b3a015822d4c86cf3

Download Submit
C:\Windows\System32\HXyZUca.exe

Filesize
3.2MB

MD5
129c7452b15cbed486a30ec79b566aea

SHA1
4b98f8fb46e3a7dbbe829d1309b17b0a5b67a8a2

SHA256
45bf7c3ca043c1c02b7d8127824051e40c510b4b107817befc2583db79d4f157

SHA512
3b711426abe7cb941a9dc52e07a8ed2bfe52126a4a4612d7659c65f7bbd829b19ca67a186b5f1b34415bb1e4a53deddd4742627cafbdaf54a2b72ea15b616727

Download Submit
C:\Windows\System32\ILszKAd.exe

Filesize
3.2MB

MD5
561a55ae29c8d0d60026214472f3d181

SHA1
77a76f830ecc8137bf8825ff6abb21b8aec3684f

SHA256
a0167d8734130a1e80bff759f6fc99e237d35760161a475f9e2325ed3b5c7462

SHA512
93988de5f2bd2996b76965dd9c4072cb9e409536b67a5870bb8315881fab9c4644feb8d6e5f719e805a49c08340f767279ca9c10c1143e0169809bf460aa19bd

Download Submit
C:\Windows\System32\JzxAvIQ.exe

Filesize
3.2MB

MD5
120c0170609449f0959ad7c9a9ddcb93

SHA1
2d77a58035466168ad047a9d17f1514898700085

SHA256
0ba4326caf205b67aa2f6b87f5f452c845cc58acff6fbea50cf2990960580c79

SHA512
2bc7f306330d9d97a5fc400722be73171fc84ed5349b6057526fa3cefddda39103fa68f5e6a7d34594a232f0910b98bbbdc5788f040044e10ce9da81a99fc736

Download Submit
C:\Windows\System32\KlYPeZm.exe

Filesize
3.2MB

MD5
3e49917c37333bb88ed34c476de6355e

SHA1
4b736a00b61e9d613dfa4a80cddfc9d2f6afe0d9

SHA256
fccb996f16d8ab36f466b8691dde131a995428a7319775069b897495c43398d7

SHA512
48a7e45f6a54ec475e02c39dce60d38656177532b215cebb20b767784deb1b289597bd28d30b1b2dbf27776940b14e2327b3f38a115f7d1ee2004783628410bc

Download Submit
C:\Windows\System32\KxVEzrl.exe

Filesize
3.2MB

MD5
c85f14c37be96479f75ff311d32cb86a

SHA1
cb6c8c356022c188738aeaa31cd8c7f53d1a12c6

SHA256
de11dd7405ae238febc6eafc16fa25c2a3c9438f6150cec24b0f35c2c48802d3

SHA512
9e4bdeb9a5269e500972cdba9b7d360ea32ca9abd965261c3219b2509923ae9080bd2fd9729bf9f22c15ca7a75b8d32e3415d6541e4601d0f9db427d77884094

Download Submit
C:\Windows\System32\LFEEyIC.exe

Filesize
3.2MB

MD5
96798e4891d384c3d8729cdd0a5b95cc

SHA1
71e6b1282f6bc23b808c67c248a30bc4c5043b56

SHA256
26015199f4a95f40ae54b332d1b6e81737ff7811550440bfc43d209978ba47c1

SHA512
ce3691539bc419faa45fb67cda3b60501f6186bbf0e48b58d3348bd7150b935dc3951fe58d5dbd37686825a68f856686510d5ebd6d327a026bafddf555f9a77b

Download Submit
C:\Windows\System32\LsADxZj.exe

Filesize
3.2MB

MD5
0e9a84453915b97a7339240f13a53764

SHA1
64295495cbb6a747705fea4c4aac19e161624879

SHA256
3ab30d5fa12a7d37b24144b392806acad8364ac10d38f6e33814bf09872bb08b

SHA512
400d2ef0c61e42927fb29f4ab491e790dce93185ff75be3d0ba4512223650de962385edce68dcd284ea696f19434dc623eb069d664eb19dee69cd8882f7b5ba5

Download Submit
C:\Windows\System32\MNNtfLa.exe

Filesize
3.2MB

MD5
ffd53dc1a56f91c1be7e35bf16524d47

SHA1
c530c9b5b6b6f382ea8ca3c05e7aa7046726c4e6

SHA256
d4d9465cc5c97b5525772e0febc2a30a26957edf3c5f5bd050c70a683246cbe4

SHA512
4e904079c83ad658ad3bb50e06fab44b15e9410a0f6dce60e3e927c51f4074190a055dcbe56846fde1c391a393f616ec4735a1b50f5f8989829cbedc879536f6

Download Submit
C:\Windows\System32\NXgAyqf.exe

Filesize
3.2MB

MD5
dbc5182005dceeb0f217506178ade109

SHA1
762575d07071bdc0184751f666b316531e033271

SHA256
7dc8ad0025198260ec9eaa88baf6caf4c36a2257e367c35cc74c97ee274f57a3

SHA512
791465aa8d4ba0a29069d675c6b82a15644b695451e480aa901b6319f1fd20bd76a5e372d97bf023e8dad144548ddb73633b60c804181b409e01693580eea926

Download Submit
C:\Windows\System32\NwrCTpT.exe

Filesize
3.2MB

MD5
4c5fa55e164c8f9e7056d29fa2274c4c

SHA1
55a0a515fb7e532e086d3a499b57136b52978a31

SHA256
5a8c7d79c8c6fad8cb4931b927ab0ccb42877bf7583c74189e02edf04c25df28

SHA512
ea2dbed74bab84c6320a23937872b4f27416346b43bcbfdf460cc192285be1ca6ca45b9722f9305fc7a4dc94e825a28acc2293055bad2bd8b3b6bc3b7d2e063f

Download Submit
C:\Windows\System32\OvQCzlB.exe

Filesize
3.2MB

MD5
a42c6f1c611461701bb74a7cea455387

SHA1
4f683c091c540429794dc2db4d036958090d439d

SHA256
07b27007ea0bb09430695edc689cda38dd59924d2310bf1b4a1352a7ad250295

SHA512
93514a519ea6733db7f2563594a2048eda09ae3d7b992cdc6d93510100f9c2d58eb7502f01d145600d3f5217856c46008af63ff0fc6813a4aa18087df8a30fe2

Download Submit
C:\Windows\System32\PDfGdIO.exe

Filesize
3.2MB

MD5
017ea7d12d1f979b2b0e3dfc31c8b272

SHA1
8eea88c47c17255601ebf73fc7bc9d281210b710

SHA256
eb6088cb5973cf74c74dc3b7a4e0b7d11ed0cf9a029b6ce208129578a9b697a0

SHA512
87956e51724384f9809ac1b8909bcce61396afff70b6f52162968ac2b2412fba274b80f6fa1d0264bc780f18096d593c437c1cc36a3fb4eedb9d974787752658

Download Submit
C:\Windows\System32\PbBUiNV.exe

Filesize
3.2MB

MD5
be1ebbcb065612cad1883d4e1a85e800

SHA1
116a3f00dd7265187d8b6b6d6d958c65bdc3e527

SHA256
65acacae06e6b94f5b43794841977a77f7ddefde14c6ce1e0d9500ddb8d73be1

SHA512
77768434b83dbbf669a8f7aff3788d6331af21f4ea058ec5153a9751aad1047bc5a6368994b15623f9d6c821d0db46f11e7db11292f939d23790f28cec3506d5

Download Submit
C:\Windows\System32\Spiykot.exe

Filesize
3.2MB

MD5
e2c7b8b4163f3e540c62455f871e4c8d

SHA1
b9effc90b8c021f04f7dd9a15fc16d7caea8b035

SHA256
0d11eaa00e0a072a088cbae57056c8f042312e359b3106ab4ebfebb0c0adb220

SHA512
a2ce9f21e097b9d9a27b17ad97fea2dff750704cefc03016045406f285a18361b679c49298080bb9cb640706af3786cca06d8761a36b158c48cab4e3451267eb

Download Submit
C:\Windows\System32\UXwFWdJ.exe

Filesize
3.2MB

MD5
082ef036b68a2c0e1417cdea7075514b

SHA1
3badf5073679780fc0e22cf057f2030f011be22c

SHA256
77d1ac76bc8770db0cbc47f84572df0d4bb9e6dfcdd2c0725d8befa5360e4c7e

SHA512
3554802d112bce45ead1c348f3b6854735d90a0776e5da410b71b9439ab5abde7a059b1989999d5264da54af345f7440def7a00206bf4b0e073919dd8c932475

Download Submit
C:\Windows\System32\YIzRLvY.exe

Filesize
3.2MB

MD5
2c940be6e016f38e0cb1ad199ff6b90c

SHA1
a9ba965e576824835970db5aea7057f148e3d626

SHA256
901f09de4cd79b04cb30fb4b6eb7db79bea29a4847de87dbf1035f172b14b281

SHA512
ef61f19d9dac7733d98edc658ca3882f2dfca16d6c057f54f5b529068b00041d506df20e45b62934766466b644289c78d5ed9edd5208cf517e35633ab798fcc5

Download Submit
C:\Windows\System32\ZjSRwCx.exe

Filesize
3.2MB

MD5
545a9c7db6df54a460e9d407a5125a93

SHA1
b9f3b4e1ee2bab5a4880a866246287acd440601f

SHA256
3333384e7a69d32e0c2fcda69e3eb4794d7e48e8104f60534dd6baba4594b3ad

SHA512
6057000d90a6e23add7b48c8ae5dbd1b121bf62fc21ee39c72bfce8776b250ab32209ed8a51300229e3e23e91c3078a92bb72a97e9b6561014415e89e5025c79

Download Submit
C:\Windows\System32\bYUmDmi.exe

Filesize
3.2MB

MD5
a775a6d2feeee71be97d0d782c53f48b

SHA1
3ad3c97c969e67b7ad1c2fbed5c56886d6d907ff

SHA256
751ff8ef6ca013b669cfbc6a5bc9c7cb6bd67d57d47dfe5eef810d2a102d3350

SHA512
6aeb9f82cc403bd2b0bdeb3356302f7f640b3a10971d9b4f010e0033208b0a3ea09f4eab16bfc0dfe2fb5dde940fa00731fdc80c32a4d54dc188610dd13aed47

Download Submit
C:\Windows\System32\cbiJsjw.exe

Filesize
3.2MB

MD5
50e93f694dcdd471a573907d2c2bb867

SHA1
6684b9e1f6c1fb93501e65164f5ac65dd1000458

SHA256
12e448d25c7cce3636f95b9d99a4c683ed33030da9f2a8b8be6b99941eac076a

SHA512
52f43a55e504950f7d6625947c095c3e58b406e1eeba3d90515bfdecce87e8ff95699c0a86307fccf420e423a74a6e5987528e4021cb5b7d353663942692cfc2

Download Submit
C:\Windows\System32\iBHuMJV.exe

Filesize
3.2MB

MD5
4e9211585151ce9c4927de0b1e432cb2

SHA1
ef5e988a9b03bb02f368ca128f59f6214b475164

SHA256
4c84d6360cc8419df7786d18fe78d318516a4d85f68b25d0370d4237e721f364

SHA512
8f58b9dea3924bfa3167fb89781700d999926a6bd8756eb22e52f9d85c149a50e81d181f62a78ed7d65eef0e944a1398127d4c216ecc2373920ea14abfe8b59b

Download Submit
C:\Windows\System32\knqafOV.exe

Filesize
3.2MB

MD5
2d3bce2437dff7ee41ee7c6ee7598cfd

SHA1
756e1b0649cc7f4ebbc6956345fccc3ef534294d

SHA256
701942d63c1d7adb19fd7f95905f36b69c6f16c14257d0ae152518b2b5ecd784

SHA512
5e8fea18635abd8b1f34cce3fe211695c6e62ebf32d247810651d887f9e7925f285bbc5d5e8d670c3e42df662e3be3132f7daad6ba8a15ad583621c02585c590

Download Submit
C:\Windows\System32\lOejEJm.exe

Filesize
3.2MB

MD5
ec0c015f2697f3ce4f2bf2f728380278

SHA1
d6a1e4cdb81ae130d60adf3fac2981b2ee2031d4

SHA256
a23856eef9736b9bcdb1ed4721a63f9f4702ab2b613a457a5819fa8865b92517

SHA512
7a2e72dbabb6bb1724719788bca2d5655e7be4dd37aee115ac85172b83b544d51bc015a4a2ae0cadb1c6a3d4bf8eeb543f2891577869fa9b2e749cbdd2a05931

Download Submit
C:\Windows\System32\myuceLa.exe

Filesize
3.2MB

MD5
0e2fd50c8b9ba00f1b80f03be4f3c500

SHA1
6b8a4866e6b4424ff70e71fafcb52fe614b6a28e

SHA256
433ff1837b2e17a2bd85ed6d7e1170e0d7ddf717d95834bec6701fe57816bfd4

SHA512
2f6adc46b0dcedc26dfa604973b0b2d4a26df63371ed00fe1dcb1938ce78b8226b644afb22e55c49bbbd50ca1d99a9313348cbd98c21d629f8f02131b2ae6f9b

Download Submit
C:\Windows\System32\nHEWIoW.exe

Filesize
3.2MB

MD5
73addc9b328cb18a06a8bcda96eb8857

SHA1
58e9b4aec2ad180989f60f8d13aba9263fceef4a

SHA256
8bfe38dcc3073e8f3e224856f907f2bb269a4324b74d95ddbea2a9d5b52a3d1c

SHA512
41cfb7f700702748a6540b823490d93b4586a8c5164badfd919f9de4f839b8ff4e44b7b743ee72d68da217c556241ff964bb71e0ffc637369f113cc9e6b7e49d

Download Submit
C:\Windows\System32\nHxsjKH.exe

Filesize
3.2MB

MD5
8117e4d18f3db417d7b70ca0e10b5bc5

SHA1
3cabb51eb66bbcbaf7bd0f02179a8c859b1d442a

SHA256
1e10d6d3e6830ee4df3fbddebd547610c5f77f8144098219adb027766e52a830

SHA512
00a4fd98a7bcae93eb910f44b10b1e0a99383dd9d8457a7369ed7e4b7b42a91906389fba997e74dcb70522840d4bc3e4e77860fa5afe7bc7e6396f8386140900

Download Submit
C:\Windows\System32\ohIsBOc.exe

Filesize
3.2MB

MD5
4e513464ec80effd7338d4b1b1cc38d4

SHA1
45b483acebfb8b70e9a692756e9f4b47b6db0b09

SHA256
555456a152e0b679e49834b79a88899354108b42bb55e4cbb09ad5c3a75d02f6

SHA512
27ba81c148898cbcf132b79be327880962d5153cfafc6bef0b2d35de05bf11b09085c5a0ed71c79f69a2a5e5f2248315db924582b17571eefb7a10c4bfcf2734

Download Submit
C:\Windows\System32\pVcntTw.exe

Filesize
3.2MB

MD5
d9fff2244c61f9a9946f25cba69cc7ce

SHA1
6bdc784c38609cdc90aaf055ff7118574eb1dd19

SHA256
91bc6d5cc051fe04a149be6d879671aada0aac564af6de5fe4f311ada8c40856

SHA512
924303a860892fa7e80cfb40eb737ab2f4af86329365ecdb0fc8191ce6ae8364f2672d525770f70be800d65001ce3f8fb71b8d4c90e6fefee7395b17857e2134

Download Submit
C:\Windows\System32\qGYUHvm.exe

Filesize
3.2MB

MD5
5986c22b7ffbe84206954e7828906eb1

SHA1
c14d073a4b23be48fc4d5dc3c2fab6bdbccb8e1f

SHA256
2ebfb92d4788cc58f621b8e8532ac5db981a3c2fe9d0b6905970c7a2b38dddd1

SHA512
b6cc26108a0184bc517ab0b69658edb69f93d55595cbc288bc9af332a36e8b66e2d49fded7e160406230a2e0027b735a665f0a21ff8ee21038836e5885a7ef10

Download Submit
C:\Windows\System32\sfNlTtX.exe

Filesize
3.2MB

MD5
95c549c81bf1d9e11b8038429d694c30

SHA1
39272378a63990940d1085b4ddd6cd4bcf184d64

SHA256
ae3eb822a700c81cbd017ea70c8382c5b7deb1a6fe7d0dcf1e220223a8d3cee7

SHA512
0eb433a32b4cdecc4a77878e0418edbe184e16f35a5820757af2d6c68ab2929321da92a9973e6960115808a22b065b32d5f554ac01596cad8791c9d68dd5a7de

Download Submit
C:\Windows\System32\tCbFWDx.exe

Filesize
3.2MB

MD5
b7628451b6536f9f44ae4e49385fc564

SHA1
fa24dea7df9d7b7ffa47b0a3e55ae2405310c6e8

SHA256
961bbc841c255ad81557d2f024538820a4668369e31672f51714343b1bcd38b4

SHA512
392dd18204242268b5a77c75683c6e8365e51bac2fc47e3cb642b19ee7ccd78bc71c1e8019e516bb57f742ba61833cc468b670064f071caf673038764a2dbb1b

Download Submit
C:\Windows\System32\xTABRvy.exe

Filesize
3.2MB

MD5
eded66330c9357e83508c9e2c56b50dc

SHA1
275f9bcca7c7d69ec1c64e3f41cab750cd3da276

SHA256
91bc5dbaf113e108bf1447f9b9813e1bdd94174e620c9993337d757e5053427f

SHA512
86cb71eb63c18692c92cb95c6d9c04fa3d304a3f454f33c7c87eb409dd5c3612168a971094df253efc2c336ef95e0d8f90a3bf112569a2c95d5b37ca1f85a14d

Download Submit
memory/744-1914-0x00007FF761810000-0x00007FF761C05000-memory.dmp

Filesize
4.0MB

Download
memory/744-808-0x00007FF761810000-0x00007FF761C05000-memory.dmp

Filesize
4.0MB

Download
memory/1496-794-0x00007FF609930000-0x00007FF609D25000-memory.dmp

Filesize
4.0MB

Download
memory/1496-1918-0x00007FF609930000-0x00007FF609D25000-memory.dmp

Filesize
4.0MB

Download
memory/1528-1930-0x00007FF789740000-0x00007FF789B35000-memory.dmp

Filesize
4.0MB

Download
memory/1528-838-0x00007FF789740000-0x00007FF789B35000-memory.dmp

Filesize
4.0MB

Download
memory/1672-805-0x00007FF6DEBB0000-0x00007FF6DEFA5000-memory.dmp

Filesize
4.0MB

Download
memory/1672-1915-0x00007FF6DEBB0000-0x00007FF6DEFA5000-memory.dmp

Filesize
4.0MB

Download
memory/1776-1925-0x00007FF66B7C0000-0x00007FF66BBB5000-memory.dmp

Filesize
4.0MB

Download
memory/1776-827-0x00007FF66B7C0000-0x00007FF66BBB5000-memory.dmp

Filesize
4.0MB

Download
memory/2340-786-0x00007FF713720000-0x00007FF713B15000-memory.dmp

Filesize
4.0MB

Download
memory/2340-1920-0x00007FF713720000-0x00007FF713B15000-memory.dmp

Filesize
4.0MB

Download
memory/2356-24-0x00007FF66CC60000-0x00007FF66D055000-memory.dmp

Filesize
4.0MB

Download
memory/2356-1909-0x00007FF66CC60000-0x00007FF66D055000-memory.dmp

Filesize
4.0MB

Download
memory/2356-1902-0x00007FF66CC60000-0x00007FF66D055000-memory.dmp

Filesize
4.0MB

Download
memory/2440-1912-0x00007FF6BDDD0000-0x00007FF6BE1C5000-memory.dmp

Filesize
4.0MB

Download
memory/2440-44-0x00007FF6BDDD0000-0x00007FF6BE1C5000-memory.dmp

Filesize
4.0MB

Download
memory/2516-815-0x00007FF687B40000-0x00007FF687F35000-memory.dmp

Filesize
4.0MB

Download
memory/2516-1922-0x00007FF687B40000-0x00007FF687F35000-memory.dmp

Filesize
4.0MB

Download
memory/2520-1924-0x00007FF72AFB0000-0x00007FF72B3A5000-memory.dmp

Filesize
4.0MB

Download
memory/2520-780-0x00007FF72AFB0000-0x00007FF72B3A5000-memory.dmp

Filesize
4.0MB

Download
memory/2540-1919-0x00007FF6285B0000-0x00007FF6289A5000-memory.dmp

Filesize
4.0MB

Download
memory/2540-801-0x00007FF6285B0000-0x00007FF6289A5000-memory.dmp

Filesize
4.0MB

Download
memory/2548-841-0x00007FF6C6E20000-0x00007FF6C7215000-memory.dmp

Filesize
4.0MB

Download
memory/2548-1928-0x00007FF6C6E20000-0x00007FF6C7215000-memory.dmp

Filesize
4.0MB

Download
memory/2588-1-0x0000025536790000-0x00000255367A0000-memory.dmp

Filesize
64KB

Download
memory/2588-1678-0x00007FF794810000-0x00007FF794C05000-memory.dmp

Filesize
4.0MB

Download
memory/2588-1906-0x00007FF794810000-0x00007FF794C05000-memory.dmp

Filesize
4.0MB

Download
memory/2588-0-0x00007FF794810000-0x00007FF794C05000-memory.dmp

Filesize
4.0MB

Download
memory/3128-14-0x00007FF68C730000-0x00007FF68CB25000-memory.dmp

Filesize
4.0MB

Download
memory/3128-1908-0x00007FF68C730000-0x00007FF68CB25000-memory.dmp

Filesize
4.0MB

Download
memory/3304-833-0x00007FF652730000-0x00007FF652B25000-memory.dmp

Filesize
4.0MB

Download
memory/3304-1926-0x00007FF652730000-0x00007FF652B25000-memory.dmp

Filesize
4.0MB

Download
memory/3328-1927-0x00007FF76D120000-0x00007FF76D515000-memory.dmp

Filesize
4.0MB

Download
memory/3328-831-0x00007FF76D120000-0x00007FF76D515000-memory.dmp

Filesize
4.0MB

Download
memory/3480-844-0x00007FF796B30000-0x00007FF796F25000-memory.dmp

Filesize
4.0MB

Download
memory/3480-1929-0x00007FF796B30000-0x00007FF796F25000-memory.dmp

Filesize
4.0MB

Download
memory/3504-1916-0x00007FF7B4050000-0x00007FF7B4445000-memory.dmp

Filesize
4.0MB

Download
memory/3504-777-0x00007FF7B4050000-0x00007FF7B4445000-memory.dmp

Filesize
4.0MB

Download
memory/3804-1907-0x00007FF7547F0000-0x00007FF754BE5000-memory.dmp

Filesize
4.0MB

Download
memory/3804-1681-0x00007FF7547F0000-0x00007FF754BE5000-memory.dmp

Filesize
4.0MB

Download
memory/3804-13-0x00007FF7547F0000-0x00007FF754BE5000-memory.dmp

Filesize
4.0MB

Download
memory/4008-1911-0x00007FF6FB640000-0x00007FF6FBA35000-memory.dmp

Filesize
4.0MB

Download
memory/4008-34-0x00007FF6FB640000-0x00007FF6FBA35000-memory.dmp

Filesize
4.0MB

Download
memory/4008-1904-0x00007FF6FB640000-0x00007FF6FBA35000-memory.dmp

Filesize
4.0MB

Download
memory/4160-826-0x00007FF7B11A0000-0x00007FF7B1595000-memory.dmp

Filesize
4.0MB

Download
memory/4160-1923-0x00007FF7B11A0000-0x00007FF7B1595000-memory.dmp

Filesize
4.0MB

Download
memory/4220-813-0x00007FF77E210000-0x00007FF77E605000-memory.dmp

Filesize
4.0MB

Download
memory/4220-1921-0x00007FF77E210000-0x00007FF77E605000-memory.dmp

Filesize
4.0MB

Download
memory/4496-1905-0x00007FF7B75C0000-0x00007FF7B79B5000-memory.dmp

Filesize
4.0MB

Download
memory/4496-37-0x00007FF7B75C0000-0x00007FF7B79B5000-memory.dmp

Filesize
4.0MB

Download
memory/4496-1913-0x00007FF7B75C0000-0x00007FF7B79B5000-memory.dmp

Filesize
4.0MB

Download
memory/4884-1917-0x00007FF6875B0000-0x00007FF6879A5000-memory.dmp

Filesize
4.0MB

Download
memory/4884-798-0x00007FF6875B0000-0x00007FF6879A5000-memory.dmp

Filesize
4.0MB

Download
memory/4928-1903-0x00007FF7A0740000-0x00007FF7A0B35000-memory.dmp

Filesize
4.0MB

Download
memory/4928-1910-0x00007FF7A0740000-0x00007FF7A0B35000-memory.dmp

Filesize
4.0MB

Download
memory/4928-30-0x00007FF7A0740000-0x00007FF7A0B35000-memory.dmp

Filesize
4.0MB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads