xmrig | 0bbd80d1b7bf3825a36e8a4d70f020896bda6429672438a3396ed994ad9f348c

Analysis

max time kernel
92s
max time network
96s
platform
windows10-2004_x64
resource
win10v2004-20240426-en
resource tags

arch:x64arch:x86image:win10v2004-20240426-enlocale:en-usos:windows10-2004-x64system
submitted
08-06-2024 02:35

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
Size

1.6MB
MD5

845606a60f47b3a682a7fd18e75be250
SHA1

9445973d216328388465827f4967cd8288206d1c
SHA256

0bbd80d1b7bf3825a36e8a4d70f020896bda6429672438a3396ed994ad9f348c
SHA512

7845dd221ef3c6db0d8ade967308cdd949350de1a6e0f1f6bed02fd7bd69fbb6d74b64046e2f4a8b41c2049b3ee4d8f5f07461e57153df16859440ec6ae069c8
SSDEEP

24576:JanwhSe11QSONCpGJCjETPlia+zzDwxOpyinKCB9WIoC3IT5xHvHsaXiJKB6Qubb:knw9oUUEEDlnCNfeT5J0aXiJP1+p9m

Score

10^/10

xmrig miner upx

Malware Config

Signatures

Suspicious use of NtCreateUserProcessOtherParentProcess 1 IoCs

description	pid	Process	procid_target
PID 13196 created 4588	13196	WerFaultSecure.exe	78

xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 46 IoCs

miner

resource	yara_rule
behavioral2/memory/1736-37-0x00007FF76D2F0000-0x00007FF76D6E1000-memory.dmp	xmrig
behavioral2/memory/1476-273-0x00007FF659CE0000-0x00007FF65A0D1000-memory.dmp	xmrig
behavioral2/memory/3976-280-0x00007FF6B07F0000-0x00007FF6B0BE1000-memory.dmp	xmrig
behavioral2/memory/1876-277-0x00007FF6F1920000-0x00007FF6F1D11000-memory.dmp	xmrig
behavioral2/memory/2328-364-0x00007FF7BE5E0000-0x00007FF7BE9D1000-memory.dmp	xmrig
behavioral2/memory/3880-379-0x00007FF621870000-0x00007FF621C61000-memory.dmp	xmrig
behavioral2/memory/1996-359-0x00007FF6DF110000-0x00007FF6DF501000-memory.dmp	xmrig
behavioral2/memory/3212-353-0x00007FF70FEA0000-0x00007FF710291000-memory.dmp	xmrig
behavioral2/memory/3868-348-0x00007FF63F950000-0x00007FF63FD41000-memory.dmp	xmrig
behavioral2/memory/408-335-0x00007FF7017F0000-0x00007FF701BE1000-memory.dmp	xmrig
behavioral2/memory/5056-332-0x00007FF776940000-0x00007FF776D31000-memory.dmp	xmrig
behavioral2/memory/2680-327-0x00007FF7B9220000-0x00007FF7B9611000-memory.dmp	xmrig
behavioral2/memory/732-320-0x00007FF617D70000-0x00007FF618161000-memory.dmp	xmrig
behavioral2/memory/4720-313-0x00007FF620570000-0x00007FF620961000-memory.dmp	xmrig
behavioral2/memory/3952-309-0x00007FF72A1C0000-0x00007FF72A5B1000-memory.dmp	xmrig
behavioral2/memory/2108-307-0x00007FF787490000-0x00007FF787881000-memory.dmp	xmrig
behavioral2/memory/4708-291-0x00007FF741230000-0x00007FF741621000-memory.dmp	xmrig
behavioral2/memory/1572-297-0x00007FF7FF3A0000-0x00007FF7FF791000-memory.dmp	xmrig
behavioral2/memory/2408-284-0x00007FF6CE490000-0x00007FF6CE881000-memory.dmp	xmrig
behavioral2/memory/3276-39-0x00007FF7E04C0000-0x00007FF7E08B1000-memory.dmp	xmrig
behavioral2/memory/2292-35-0x00007FF7DE620000-0x00007FF7DEA11000-memory.dmp	xmrig
behavioral2/memory/2984-1987-0x00007FF61F1B0000-0x00007FF61F5A1000-memory.dmp	xmrig
behavioral2/memory/1992-2044-0x00007FF646290000-0x00007FF646681000-memory.dmp	xmrig
behavioral2/memory/1300-2046-0x00007FF718100000-0x00007FF7184F1000-memory.dmp	xmrig
behavioral2/memory/2292-2048-0x00007FF7DE620000-0x00007FF7DEA11000-memory.dmp	xmrig
behavioral2/memory/2984-2050-0x00007FF61F1B0000-0x00007FF61F5A1000-memory.dmp	xmrig
behavioral2/memory/3276-2053-0x00007FF7E04C0000-0x00007FF7E08B1000-memory.dmp	xmrig
behavioral2/memory/1476-2056-0x00007FF659CE0000-0x00007FF65A0D1000-memory.dmp	xmrig
behavioral2/memory/1876-2058-0x00007FF6F1920000-0x00007FF6F1D11000-memory.dmp	xmrig
behavioral2/memory/1736-2054-0x00007FF76D2F0000-0x00007FF76D6E1000-memory.dmp	xmrig
behavioral2/memory/4708-2063-0x00007FF741230000-0x00007FF741621000-memory.dmp	xmrig
behavioral2/memory/2108-2068-0x00007FF787490000-0x00007FF787881000-memory.dmp	xmrig
behavioral2/memory/3976-2066-0x00007FF6B07F0000-0x00007FF6B0BE1000-memory.dmp	xmrig
behavioral2/memory/2408-2064-0x00007FF6CE490000-0x00007FF6CE881000-memory.dmp	xmrig
behavioral2/memory/1572-2061-0x00007FF7FF3A0000-0x00007FF7FF791000-memory.dmp	xmrig
behavioral2/memory/2680-2074-0x00007FF7B9220000-0x00007FF7B9611000-memory.dmp	xmrig
behavioral2/memory/4720-2080-0x00007FF620570000-0x00007FF620961000-memory.dmp	xmrig
behavioral2/memory/3212-2084-0x00007FF70FEA0000-0x00007FF710291000-memory.dmp	xmrig
behavioral2/memory/3868-2082-0x00007FF63F950000-0x00007FF63FD41000-memory.dmp	xmrig
behavioral2/memory/5056-2076-0x00007FF776940000-0x00007FF776D31000-memory.dmp	xmrig
behavioral2/memory/732-2079-0x00007FF617D70000-0x00007FF618161000-memory.dmp	xmrig
behavioral2/memory/3952-2071-0x00007FF72A1C0000-0x00007FF72A5B1000-memory.dmp	xmrig
behavioral2/memory/408-2073-0x00007FF7017F0000-0x00007FF701BE1000-memory.dmp	xmrig
behavioral2/memory/1996-2087-0x00007FF6DF110000-0x00007FF6DF501000-memory.dmp	xmrig
behavioral2/memory/3880-2095-0x00007FF621870000-0x00007FF621C61000-memory.dmp	xmrig
behavioral2/memory/2328-2094-0x00007FF7BE5E0000-0x00007FF7BE9D1000-memory.dmp	xmrig

Executes dropped EXE 64 IoCs

pid	Process
1992	dKMGdyp.exe
1300	cYfvYBL.exe
2292	aIAnQXA.exe
2984	dyGaLKJ.exe
1736	Oqqjhwd.exe
3276	ZzTCYbK.exe
1476	hbKnKSn.exe
1876	LmGzSmJ.exe
3976	eBQlkzh.exe
2408	ZixxFbd.exe
4708	VLSwkWq.exe
1572	UIynmSS.exe
2108	MDKPizn.exe
3952	URVTkJS.exe
4720	dQIgzYW.exe
732	EZqhAMU.exe
2680	uRkQxts.exe
5056	lzHGKBB.exe
408	RyxqCUw.exe
3868	pTjQuBa.exe
3212	hPkYaBv.exe
1996	yUdanFT.exe
2328	uYEyDHT.exe
3880	VcCGYGd.exe
688	ZqFrIWE.exe
3576	ClxpRpy.exe
4732	qqppJJu.exe
3316	edIxeRF.exe
1172	mBwPROc.exe
1976	hplyaki.exe
532	tMFGsuM.exe
4544	rwUiIlj.exe
2024	rVgUrXS.exe
760	TmyzcDK.exe
3640	UiyxucT.exe
1152	EYuTaRo.exe
3688	oMtRSGf.exe
4512	axJmMZs.exe
1812	uKWRQeC.exe
2452	cSowTOL.exe
1620	skBMXDM.exe
2968	AepDjtx.exe
3308	QKsiodo.exe
744	YyxEtVB.exe
3516	fTOYCtR.exe
2916	NJuEWyH.exe
3768	hZMBjCq.exe
4704	GigLdOu.exe
3048	xUlnBps.exe
4540	VINxUUh.exe
3184	yEDjHQN.exe
3056	TpFnQoe.exe
2972	iLwnTwg.exe
3784	IlAzVSz.exe
4344	nnQNVPE.exe
1668	wmPNzLI.exe
4076	okchpDD.exe
236	TvlMqUc.exe
3168	SqOofpm.exe
1516	DBAlblg.exe
1540	XEzVCeP.exe
4716	KhtoUEJ.exe
4556	RAuwJHn.exe
1512	IbvZIJE.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/1916-0-0x00007FF659330000-0x00007FF659721000-memory.dmp	upx
behavioral2/files/0x0008000000023429-4.dat	upx
behavioral2/files/0x000700000002342e-8.dat	upx
behavioral2/memory/1300-17-0x00007FF718100000-0x00007FF7184F1000-memory.dmp	upx
behavioral2/files/0x000700000002342d-18.dat	upx
behavioral2/files/0x000700000002342f-26.dat	upx
behavioral2/files/0x0007000000023430-32.dat	upx
behavioral2/files/0x0007000000023431-30.dat	upx
behavioral2/memory/1736-37-0x00007FF76D2F0000-0x00007FF76D6E1000-memory.dmp	upx
behavioral2/files/0x0007000000023433-45.dat	upx
behavioral2/files/0x0007000000023434-50.dat	upx
behavioral2/files/0x0007000000023435-57.dat	upx
behavioral2/files/0x0007000000023436-62.dat	upx
behavioral2/files/0x0007000000023438-72.dat	upx
behavioral2/files/0x0007000000023439-77.dat	upx
behavioral2/files/0x000700000002343a-82.dat	upx
behavioral2/files/0x000700000002343e-102.dat	upx
behavioral2/files/0x0007000000023440-112.dat	upx
behavioral2/files/0x0007000000023443-127.dat	upx
behavioral2/files/0x0007000000023446-142.dat	upx
behavioral2/files/0x0007000000023449-155.dat	upx
behavioral2/files/0x000700000002344a-163.dat	upx
behavioral2/memory/1476-273-0x00007FF659CE0000-0x00007FF65A0D1000-memory.dmp	upx
behavioral2/memory/3976-280-0x00007FF6B07F0000-0x00007FF6B0BE1000-memory.dmp	upx
behavioral2/memory/1876-277-0x00007FF6F1920000-0x00007FF6F1D11000-memory.dmp	upx
behavioral2/memory/2328-364-0x00007FF7BE5E0000-0x00007FF7BE9D1000-memory.dmp	upx
behavioral2/memory/3880-379-0x00007FF621870000-0x00007FF621C61000-memory.dmp	upx
behavioral2/memory/1996-359-0x00007FF6DF110000-0x00007FF6DF501000-memory.dmp	upx
behavioral2/memory/3212-353-0x00007FF70FEA0000-0x00007FF710291000-memory.dmp	upx
behavioral2/memory/3868-348-0x00007FF63F950000-0x00007FF63FD41000-memory.dmp	upx
behavioral2/memory/408-335-0x00007FF7017F0000-0x00007FF701BE1000-memory.dmp	upx
behavioral2/memory/5056-332-0x00007FF776940000-0x00007FF776D31000-memory.dmp	upx
behavioral2/memory/2680-327-0x00007FF7B9220000-0x00007FF7B9611000-memory.dmp	upx
behavioral2/memory/732-320-0x00007FF617D70000-0x00007FF618161000-memory.dmp	upx
behavioral2/memory/4720-313-0x00007FF620570000-0x00007FF620961000-memory.dmp	upx
behavioral2/memory/3952-309-0x00007FF72A1C0000-0x00007FF72A5B1000-memory.dmp	upx
behavioral2/memory/2108-307-0x00007FF787490000-0x00007FF787881000-memory.dmp	upx
behavioral2/memory/4708-291-0x00007FF741230000-0x00007FF741621000-memory.dmp	upx
behavioral2/memory/1572-297-0x00007FF7FF3A0000-0x00007FF7FF791000-memory.dmp	upx
behavioral2/memory/2408-284-0x00007FF6CE490000-0x00007FF6CE881000-memory.dmp	upx
behavioral2/files/0x000700000002344b-167.dat	upx
behavioral2/files/0x0007000000023448-152.dat	upx
behavioral2/files/0x0007000000023447-147.dat	upx
behavioral2/files/0x0007000000023445-137.dat	upx
behavioral2/files/0x0007000000023444-132.dat	upx
behavioral2/files/0x0007000000023442-122.dat	upx
behavioral2/files/0x0007000000023441-117.dat	upx
behavioral2/files/0x000700000002343f-108.dat	upx
behavioral2/files/0x000700000002343d-97.dat	upx
behavioral2/files/0x000700000002343c-92.dat	upx
behavioral2/files/0x000700000002343b-87.dat	upx
behavioral2/files/0x0007000000023437-67.dat	upx
behavioral2/files/0x0007000000023432-42.dat	upx
behavioral2/memory/3276-39-0x00007FF7E04C0000-0x00007FF7E08B1000-memory.dmp	upx
behavioral2/memory/2292-35-0x00007FF7DE620000-0x00007FF7DEA11000-memory.dmp	upx
behavioral2/memory/2984-27-0x00007FF61F1B0000-0x00007FF61F5A1000-memory.dmp	upx
behavioral2/memory/1992-13-0x00007FF646290000-0x00007FF646681000-memory.dmp	upx
behavioral2/memory/2984-1987-0x00007FF61F1B0000-0x00007FF61F5A1000-memory.dmp	upx
behavioral2/memory/1992-2044-0x00007FF646290000-0x00007FF646681000-memory.dmp	upx
behavioral2/memory/1300-2046-0x00007FF718100000-0x00007FF7184F1000-memory.dmp	upx
behavioral2/memory/2292-2048-0x00007FF7DE620000-0x00007FF7DEA11000-memory.dmp	upx
behavioral2/memory/2984-2050-0x00007FF61F1B0000-0x00007FF61F5A1000-memory.dmp	upx
behavioral2/memory/3276-2053-0x00007FF7E04C0000-0x00007FF7E08B1000-memory.dmp	upx
behavioral2/memory/1476-2056-0x00007FF659CE0000-0x00007FF65A0D1000-memory.dmp	upx

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\System32\rgxTywm.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\YPJruvV.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\eDYNydN.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\sCUMCWR.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\VfqUySj.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\ElLoZoS.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\sZuHWOT.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\lAxnlki.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\XECdtzU.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\QeOLRBp.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\uRkQxts.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\OzTPPfB.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\HRMilCn.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\Xgnyfls.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\BhMWzAz.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\JrsmYmw.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\VePwqLp.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\nqjVAXy.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\RyxqCUw.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\lzokZGf.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\cGvnTzh.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\NtvPBGc.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\WmqjKgW.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\FGZcizJ.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\ztMsdSL.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\lYoDFiU.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\rZqzVwE.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\gBwMFsc.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\WqwwGvo.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\LoNgmAg.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\KddDuZX.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\KakoniR.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\ddboqKK.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\vuzWlXm.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\pBltlPq.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\zckmwbd.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\kXoKamx.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\MwsHPpf.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\MwChfOf.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\qaOamii.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\WiqSOXU.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\xHiZTEd.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\wvSksPE.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\czlmUXr.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\SJTCfNS.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\KmWNgBs.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\VwIJurJ.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\BlbSLeO.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\EuOibXF.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\Hhdvgzr.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\HCmjWHh.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\yEDjHQN.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\RAuwJHn.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\qGQKkXM.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\sQQFHcE.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\koXrGWf.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\MtRrVsS.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\jXnlTSl.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\fkURlmI.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\ReXvZfX.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\lNQPgHO.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\mXxERHJ.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\gxdOqln.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
File created	C:\Windows\System32\ikNguNs.exe	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe

Checks processor information in registry 2 TTPs 3 IoCs

Processor information is often read in order to detect sandboxing environments.

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\Hardware\Description\System\CentralProcessor\0	WerFaultSecure.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\~MHz	WerFaultSecure.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0\ProcessorNameString	WerFaultSecure.exe

Enumerates system info in registry 2 TTPs 2 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\Hardware\Description\System\BIOS	WerFaultSecure.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	WerFaultSecure.exe

Suspicious behavior: EnumeratesProcesses 2 IoCs

pid	Process
4360	WerFaultSecure.exe
4360	WerFaultSecure.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 1916 wrote to memory of 1992	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	81
PID 1916 wrote to memory of 1992	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	81
PID 1916 wrote to memory of 1300	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	82
PID 1916 wrote to memory of 1300	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	82
PID 1916 wrote to memory of 2292	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	83
PID 1916 wrote to memory of 2292	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	83
PID 1916 wrote to memory of 2984	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	84
PID 1916 wrote to memory of 2984	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	84
PID 1916 wrote to memory of 1736	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	85
PID 1916 wrote to memory of 1736	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	85
PID 1916 wrote to memory of 3276	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	86
PID 1916 wrote to memory of 3276	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	86
PID 1916 wrote to memory of 1476	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	87
PID 1916 wrote to memory of 1476	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	87
PID 1916 wrote to memory of 1876	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	88
PID 1916 wrote to memory of 1876	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	88
PID 1916 wrote to memory of 3976	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	89
PID 1916 wrote to memory of 3976	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	89
PID 1916 wrote to memory of 2408	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	90
PID 1916 wrote to memory of 2408	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	90
PID 1916 wrote to memory of 4708	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	91
PID 1916 wrote to memory of 4708	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	91
PID 1916 wrote to memory of 1572	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	92
PID 1916 wrote to memory of 1572	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	92
PID 1916 wrote to memory of 2108	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	93
PID 1916 wrote to memory of 2108	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	93
PID 1916 wrote to memory of 3952	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	94
PID 1916 wrote to memory of 3952	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	94
PID 1916 wrote to memory of 4720	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	95
PID 1916 wrote to memory of 4720	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	95
PID 1916 wrote to memory of 732	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	96
PID 1916 wrote to memory of 732	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	96
PID 1916 wrote to memory of 2680	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	97
PID 1916 wrote to memory of 2680	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	97
PID 1916 wrote to memory of 5056	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	98
PID 1916 wrote to memory of 5056	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	98
PID 1916 wrote to memory of 408	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	99
PID 1916 wrote to memory of 408	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	99
PID 1916 wrote to memory of 3868	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	100
PID 1916 wrote to memory of 3868	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	100
PID 1916 wrote to memory of 3212	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	101
PID 1916 wrote to memory of 3212	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	101
PID 1916 wrote to memory of 1996	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	102
PID 1916 wrote to memory of 1996	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	102
PID 1916 wrote to memory of 2328	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	103
PID 1916 wrote to memory of 2328	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	103
PID 1916 wrote to memory of 3880	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	104
PID 1916 wrote to memory of 3880	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	104
PID 1916 wrote to memory of 688	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	105
PID 1916 wrote to memory of 688	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	105
PID 1916 wrote to memory of 3576	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	106
PID 1916 wrote to memory of 3576	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	106
PID 1916 wrote to memory of 4732	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	107
PID 1916 wrote to memory of 4732	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	107
PID 1916 wrote to memory of 3316	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	108
PID 1916 wrote to memory of 3316	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	108
PID 1916 wrote to memory of 1172	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	109
PID 1916 wrote to memory of 1172	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	109
PID 1916 wrote to memory of 1976	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	110
PID 1916 wrote to memory of 1976	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	110
PID 1916 wrote to memory of 532	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	111
PID 1916 wrote to memory of 532	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	111
PID 1916 wrote to memory of 4544	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	112
PID 1916 wrote to memory of 4544	1916	845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe	112

C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe -k wusvcs -p -s WaaSMedicSvc
1⤵
PID:4588
- C:\Windows\system32\WerFaultSecure.exe
  C:\Windows\system32\WerFaultSecure.exe -u -p 4588 -s 2220
  2⤵
  - Checks processor information in registry
  - Enumerates system info in registry
  - Suspicious behavior: EnumeratesProcesses
  PID:4360

C:\Users\Admin\AppData\Local\Temp\845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe
"C:\Users\Admin\AppData\Local\Temp\845606a60f47b3a682a7fd18e75be250_NeikiAnalytics.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:1916
- C:\Windows\System32\dKMGdyp.exe
  C:\Windows\System32\dKMGdyp.exe
  2⤵
  - Executes dropped EXE
  PID:1992
- C:\Windows\System32\cYfvYBL.exe
  C:\Windows\System32\cYfvYBL.exe
  2⤵
  - Executes dropped EXE
  PID:1300
- C:\Windows\System32\aIAnQXA.exe
  C:\Windows\System32\aIAnQXA.exe
  2⤵
  - Executes dropped EXE
  PID:2292
- C:\Windows\System32\dyGaLKJ.exe
  C:\Windows\System32\dyGaLKJ.exe
  2⤵
  - Executes dropped EXE
  PID:2984
- C:\Windows\System32\Oqqjhwd.exe
  C:\Windows\System32\Oqqjhwd.exe
  2⤵
  - Executes dropped EXE
  PID:1736
- C:\Windows\System32\ZzTCYbK.exe
  C:\Windows\System32\ZzTCYbK.exe
  2⤵
  - Executes dropped EXE
  PID:3276
- C:\Windows\System32\hbKnKSn.exe
  C:\Windows\System32\hbKnKSn.exe
  2⤵
  - Executes dropped EXE
  PID:1476
- C:\Windows\System32\LmGzSmJ.exe
  C:\Windows\System32\LmGzSmJ.exe
  2⤵
  - Executes dropped EXE
  PID:1876
- C:\Windows\System32\eBQlkzh.exe
  C:\Windows\System32\eBQlkzh.exe
  2⤵
  - Executes dropped EXE
  PID:3976
- C:\Windows\System32\ZixxFbd.exe
  C:\Windows\System32\ZixxFbd.exe
  2⤵
  - Executes dropped EXE
  PID:2408
- C:\Windows\System32\VLSwkWq.exe
  C:\Windows\System32\VLSwkWq.exe
  2⤵
  - Executes dropped EXE
  PID:4708
- C:\Windows\System32\UIynmSS.exe
  C:\Windows\System32\UIynmSS.exe
  2⤵
  - Executes dropped EXE
  PID:1572
- C:\Windows\System32\MDKPizn.exe
  C:\Windows\System32\MDKPizn.exe
  2⤵
  - Executes dropped EXE
  PID:2108
- C:\Windows\System32\URVTkJS.exe
  C:\Windows\System32\URVTkJS.exe
  2⤵
  - Executes dropped EXE
  PID:3952
- C:\Windows\System32\dQIgzYW.exe
  C:\Windows\System32\dQIgzYW.exe
  2⤵
  - Executes dropped EXE
  PID:4720
- C:\Windows\System32\EZqhAMU.exe
  C:\Windows\System32\EZqhAMU.exe
  2⤵
  - Executes dropped EXE
  PID:732
- C:\Windows\System32\uRkQxts.exe
  C:\Windows\System32\uRkQxts.exe
  2⤵
  - Executes dropped EXE
  PID:2680
- C:\Windows\System32\lzHGKBB.exe
  C:\Windows\System32\lzHGKBB.exe
  2⤵
  - Executes dropped EXE
  PID:5056
- C:\Windows\System32\RyxqCUw.exe
  C:\Windows\System32\RyxqCUw.exe
  2⤵
  - Executes dropped EXE
  PID:408
- C:\Windows\System32\pTjQuBa.exe
  C:\Windows\System32\pTjQuBa.exe
  2⤵
  - Executes dropped EXE
  PID:3868
- C:\Windows\System32\hPkYaBv.exe
  C:\Windows\System32\hPkYaBv.exe
  2⤵
  - Executes dropped EXE
  PID:3212
- C:\Windows\System32\yUdanFT.exe
  C:\Windows\System32\yUdanFT.exe
  2⤵
  - Executes dropped EXE
  PID:1996
- C:\Windows\System32\uYEyDHT.exe
  C:\Windows\System32\uYEyDHT.exe
  2⤵
  - Executes dropped EXE
  PID:2328
- C:\Windows\System32\VcCGYGd.exe
  C:\Windows\System32\VcCGYGd.exe
  2⤵
  - Executes dropped EXE
  PID:3880
- C:\Windows\System32\ZqFrIWE.exe
  C:\Windows\System32\ZqFrIWE.exe
  2⤵
  - Executes dropped EXE
  PID:688
- C:\Windows\System32\ClxpRpy.exe
  C:\Windows\System32\ClxpRpy.exe
  2⤵
  - Executes dropped EXE
  PID:3576
- C:\Windows\System32\qqppJJu.exe
  C:\Windows\System32\qqppJJu.exe
  2⤵
  - Executes dropped EXE
  PID:4732
- C:\Windows\System32\edIxeRF.exe
  C:\Windows\System32\edIxeRF.exe
  2⤵
  - Executes dropped EXE
  PID:3316
- C:\Windows\System32\mBwPROc.exe
  C:\Windows\System32\mBwPROc.exe
  2⤵
  - Executes dropped EXE
  PID:1172
- C:\Windows\System32\hplyaki.exe
  C:\Windows\System32\hplyaki.exe
  2⤵
  - Executes dropped EXE
  PID:1976
- C:\Windows\System32\tMFGsuM.exe
  C:\Windows\System32\tMFGsuM.exe
  2⤵
  - Executes dropped EXE
  PID:532
- C:\Windows\System32\rwUiIlj.exe
  C:\Windows\System32\rwUiIlj.exe
  2⤵
  - Executes dropped EXE
  PID:4544
- C:\Windows\System32\rVgUrXS.exe
  C:\Windows\System32\rVgUrXS.exe
  2⤵
  - Executes dropped EXE
  PID:2024
- C:\Windows\System32\TmyzcDK.exe
  C:\Windows\System32\TmyzcDK.exe
  2⤵
  - Executes dropped EXE
  PID:760
- C:\Windows\System32\UiyxucT.exe
  C:\Windows\System32\UiyxucT.exe
  2⤵
  - Executes dropped EXE
  PID:3640
- C:\Windows\System32\EYuTaRo.exe
  C:\Windows\System32\EYuTaRo.exe
  2⤵
  - Executes dropped EXE
  PID:1152
- C:\Windows\System32\oMtRSGf.exe
  C:\Windows\System32\oMtRSGf.exe
  2⤵
  - Executes dropped EXE
  PID:3688
- C:\Windows\System32\axJmMZs.exe
  C:\Windows\System32\axJmMZs.exe
  2⤵
  - Executes dropped EXE
  PID:4512
- C:\Windows\System32\uKWRQeC.exe
  C:\Windows\System32\uKWRQeC.exe
  2⤵
  - Executes dropped EXE
  PID:1812
- C:\Windows\System32\cSowTOL.exe
  C:\Windows\System32\cSowTOL.exe
  2⤵
  - Executes dropped EXE
  PID:2452
- C:\Windows\System32\skBMXDM.exe
  C:\Windows\System32\skBMXDM.exe
  2⤵
  - Executes dropped EXE
  PID:1620
- C:\Windows\System32\AepDjtx.exe
  C:\Windows\System32\AepDjtx.exe
  2⤵
  - Executes dropped EXE
  PID:2968
- C:\Windows\System32\QKsiodo.exe
  C:\Windows\System32\QKsiodo.exe
  2⤵
  - Executes dropped EXE
  PID:3308
- C:\Windows\System32\YyxEtVB.exe
  C:\Windows\System32\YyxEtVB.exe
  2⤵
  - Executes dropped EXE
  PID:744
- C:\Windows\System32\fTOYCtR.exe
  C:\Windows\System32\fTOYCtR.exe
  2⤵
  - Executes dropped EXE
  PID:3516
- C:\Windows\System32\NJuEWyH.exe
  C:\Windows\System32\NJuEWyH.exe
  2⤵
  - Executes dropped EXE
  PID:2916
- C:\Windows\System32\hZMBjCq.exe
  C:\Windows\System32\hZMBjCq.exe
  2⤵
  - Executes dropped EXE
  PID:3768
- C:\Windows\System32\GigLdOu.exe
  C:\Windows\System32\GigLdOu.exe
  2⤵
  - Executes dropped EXE
  PID:4704
- C:\Windows\System32\xUlnBps.exe
  C:\Windows\System32\xUlnBps.exe
  2⤵
  - Executes dropped EXE
  PID:3048
- C:\Windows\System32\VINxUUh.exe
  C:\Windows\System32\VINxUUh.exe
  2⤵
  - Executes dropped EXE
  PID:4540
- C:\Windows\System32\yEDjHQN.exe
  C:\Windows\System32\yEDjHQN.exe
  2⤵
  - Executes dropped EXE
  PID:3184
- C:\Windows\System32\TpFnQoe.exe
  C:\Windows\System32\TpFnQoe.exe
  2⤵
  - Executes dropped EXE
  PID:3056
- C:\Windows\System32\iLwnTwg.exe
  C:\Windows\System32\iLwnTwg.exe
  2⤵
  - Executes dropped EXE
  PID:2972
- C:\Windows\System32\IlAzVSz.exe
  C:\Windows\System32\IlAzVSz.exe
  2⤵
  - Executes dropped EXE
  PID:3784
- C:\Windows\System32\nnQNVPE.exe
  C:\Windows\System32\nnQNVPE.exe
  2⤵
  - Executes dropped EXE
  PID:4344
- C:\Windows\System32\wmPNzLI.exe
  C:\Windows\System32\wmPNzLI.exe
  2⤵
  - Executes dropped EXE
  PID:1668
- C:\Windows\System32\okchpDD.exe
  C:\Windows\System32\okchpDD.exe
  2⤵
  - Executes dropped EXE
  PID:4076
- C:\Windows\System32\TvlMqUc.exe
  C:\Windows\System32\TvlMqUc.exe
  2⤵
  - Executes dropped EXE
  PID:236
- C:\Windows\System32\SqOofpm.exe
  C:\Windows\System32\SqOofpm.exe
  2⤵
  - Executes dropped EXE
  PID:3168
- C:\Windows\System32\DBAlblg.exe
  C:\Windows\System32\DBAlblg.exe
  2⤵
  - Executes dropped EXE
  PID:1516
- C:\Windows\System32\XEzVCeP.exe
  C:\Windows\System32\XEzVCeP.exe
  2⤵
  - Executes dropped EXE
  PID:1540
- C:\Windows\System32\KhtoUEJ.exe
  C:\Windows\System32\KhtoUEJ.exe
  2⤵
  - Executes dropped EXE
  PID:4716
- C:\Windows\System32\RAuwJHn.exe
  C:\Windows\System32\RAuwJHn.exe
  2⤵
  - Executes dropped EXE
  PID:4556
- C:\Windows\System32\IbvZIJE.exe
  C:\Windows\System32\IbvZIJE.exe
  2⤵
  - Executes dropped EXE
  PID:1512
- C:\Windows\System32\MJfRaPT.exe
  C:\Windows\System32\MJfRaPT.exe
  2⤵
  PID:2720
- C:\Windows\System32\GeQgNyg.exe
  C:\Windows\System32\GeQgNyg.exe
  2⤵
  PID:2448
- C:\Windows\System32\DbMrUmy.exe
  C:\Windows\System32\DbMrUmy.exe
  2⤵
  PID:4560
- C:\Windows\System32\cOezFzs.exe
  C:\Windows\System32\cOezFzs.exe
  2⤵
  PID:2364
- C:\Windows\System32\uPLeCAs.exe
  C:\Windows\System32\uPLeCAs.exe
  2⤵
  PID:4680
- C:\Windows\System32\eyvNkJV.exe
  C:\Windows\System32\eyvNkJV.exe
  2⤵
  PID:4624
- C:\Windows\System32\ikNguNs.exe
  C:\Windows\System32\ikNguNs.exe
  2⤵
  PID:4884
- C:\Windows\System32\cqLTsgQ.exe
  C:\Windows\System32\cqLTsgQ.exe
  2⤵
  PID:3080
- C:\Windows\System32\ypyPrHc.exe
  C:\Windows\System32\ypyPrHc.exe
  2⤵
  PID:4448
- C:\Windows\System32\cvCnQux.exe
  C:\Windows\System32\cvCnQux.exe
  2⤵
  PID:1724
- C:\Windows\System32\WCdFEkJ.exe
  C:\Windows\System32\WCdFEkJ.exe
  2⤵
  PID:3528
- C:\Windows\System32\WbGDXaP.exe
  C:\Windows\System32\WbGDXaP.exe
  2⤵
  PID:4836
- C:\Windows\System32\meAyasi.exe
  C:\Windows\System32\meAyasi.exe
  2⤵
  PID:3856
- C:\Windows\System32\wHTRNqV.exe
  C:\Windows\System32\wHTRNqV.exe
  2⤵
  PID:1388
- C:\Windows\System32\SIZHCZn.exe
  C:\Windows\System32\SIZHCZn.exe
  2⤵
  PID:2212
- C:\Windows\System32\mvbXXTF.exe
  C:\Windows\System32\mvbXXTF.exe
  2⤵
  PID:4252
- C:\Windows\System32\uKruklv.exe
  C:\Windows\System32\uKruklv.exe
  2⤵
  PID:2164
- C:\Windows\System32\kVouhXj.exe
  C:\Windows\System32\kVouhXj.exe
  2⤵
  PID:2988
- C:\Windows\System32\OzTPPfB.exe
  C:\Windows\System32\OzTPPfB.exe
  2⤵
  PID:3776
- C:\Windows\System32\Hhdvgzr.exe
  C:\Windows\System32\Hhdvgzr.exe
  2⤵
  PID:4372
- C:\Windows\System32\lzokZGf.exe
  C:\Windows\System32\lzokZGf.exe
  2⤵
  PID:4280
- C:\Windows\System32\DApkJju.exe
  C:\Windows\System32\DApkJju.exe
  2⤵
  PID:1464
- C:\Windows\System32\BHxExSG.exe
  C:\Windows\System32\BHxExSG.exe
  2⤵
  PID:3104
- C:\Windows\System32\cMwcMuE.exe
  C:\Windows\System32\cMwcMuE.exe
  2⤵
  PID:2472
- C:\Windows\System32\HtICSzN.exe
  C:\Windows\System32\HtICSzN.exe
  2⤵
  PID:1380
- C:\Windows\System32\DfICHrh.exe
  C:\Windows\System32\DfICHrh.exe
  2⤵
  PID:2056
- C:\Windows\System32\RpZBriC.exe
  C:\Windows\System32\RpZBriC.exe
  2⤵
  PID:5024
- C:\Windows\System32\lnVJySQ.exe
  C:\Windows\System32\lnVJySQ.exe
  2⤵
  PID:2168
- C:\Windows\System32\JEjrGeE.exe
  C:\Windows\System32\JEjrGeE.exe
  2⤵
  PID:3364
- C:\Windows\System32\ztMsdSL.exe
  C:\Windows\System32\ztMsdSL.exe
  2⤵
  PID:1532
- C:\Windows\System32\GlSEMKt.exe
  C:\Windows\System32\GlSEMKt.exe
  2⤵
  PID:396
- C:\Windows\System32\RUZlYpo.exe
  C:\Windows\System32\RUZlYpo.exe
  2⤵
  PID:4220
- C:\Windows\System32\FWJQBBP.exe
  C:\Windows\System32\FWJQBBP.exe
  2⤵
  PID:3232
- C:\Windows\System32\mJGWbKP.exe
  C:\Windows\System32\mJGWbKP.exe
  2⤵
  PID:5048
- C:\Windows\System32\bvCvUtV.exe
  C:\Windows\System32\bvCvUtV.exe
  2⤵
  PID:3028
- C:\Windows\System32\DwoNFUS.exe
  C:\Windows\System32\DwoNFUS.exe
  2⤵
  PID:4336
- C:\Windows\System32\jILoLKJ.exe
  C:\Windows\System32\jILoLKJ.exe
  2⤵
  PID:1840
- C:\Windows\System32\JcUWVhS.exe
  C:\Windows\System32\JcUWVhS.exe
  2⤵
  PID:1000
- C:\Windows\System32\FWXFWRh.exe
  C:\Windows\System32\FWXFWRh.exe
  2⤵
  PID:5108
- C:\Windows\System32\WUkavay.exe
  C:\Windows\System32\WUkavay.exe
  2⤵
  PID:2676
- C:\Windows\System32\NDbOUfI.exe
  C:\Windows\System32\NDbOUfI.exe
  2⤵
  PID:2604
- C:\Windows\System32\WzIxqBr.exe
  C:\Windows\System32\WzIxqBr.exe
  2⤵
  PID:4784
- C:\Windows\System32\EAsrTbp.exe
  C:\Windows\System32\EAsrTbp.exe
  2⤵
  PID:4236
- C:\Windows\System32\XklQVQo.exe
  C:\Windows\System32\XklQVQo.exe
  2⤵
  PID:412
- C:\Windows\System32\GUPUXZc.exe
  C:\Windows\System32\GUPUXZc.exe
  2⤵
  PID:2128
- C:\Windows\System32\UysBKSn.exe
  C:\Windows\System32\UysBKSn.exe
  2⤵
  PID:548
- C:\Windows\System32\xFnhXAe.exe
  C:\Windows\System32\xFnhXAe.exe
  2⤵
  PID:4404
- C:\Windows\System32\rHPJPBu.exe
  C:\Windows\System32\rHPJPBu.exe
  2⤵
  PID:5260
- C:\Windows\System32\NqTixiO.exe
  C:\Windows\System32\NqTixiO.exe
  2⤵
  PID:5284
- C:\Windows\System32\qDaGAtD.exe
  C:\Windows\System32\qDaGAtD.exe
  2⤵
  PID:5312
- C:\Windows\System32\UbhNZiu.exe
  C:\Windows\System32\UbhNZiu.exe
  2⤵
  PID:5336
- C:\Windows\System32\VAhDKwG.exe
  C:\Windows\System32\VAhDKwG.exe
  2⤵
  PID:5352
- C:\Windows\System32\BWNnxKq.exe
  C:\Windows\System32\BWNnxKq.exe
  2⤵
  PID:5368
- C:\Windows\System32\JGfiwBq.exe
  C:\Windows\System32\JGfiwBq.exe
  2⤵
  PID:5396
- C:\Windows\System32\oRuuemJ.exe
  C:\Windows\System32\oRuuemJ.exe
  2⤵
  PID:5412
- C:\Windows\System32\oEQBpuA.exe
  C:\Windows\System32\oEQBpuA.exe
  2⤵
  PID:5436
- C:\Windows\System32\oNLPVMR.exe
  C:\Windows\System32\oNLPVMR.exe
  2⤵
  PID:5456
- C:\Windows\System32\rVCdfHs.exe
  C:\Windows\System32\rVCdfHs.exe
  2⤵
  PID:5548
- C:\Windows\System32\wBIYhGI.exe
  C:\Windows\System32\wBIYhGI.exe
  2⤵
  PID:5576
- C:\Windows\System32\spCNhaI.exe
  C:\Windows\System32\spCNhaI.exe
  2⤵
  PID:5624
- C:\Windows\System32\PEFMqwg.exe
  C:\Windows\System32\PEFMqwg.exe
  2⤵
  PID:5640
- C:\Windows\System32\ypJduNj.exe
  C:\Windows\System32\ypJduNj.exe
  2⤵
  PID:5660
- C:\Windows\System32\KddDuZX.exe
  C:\Windows\System32\KddDuZX.exe
  2⤵
  PID:5688
- C:\Windows\System32\KmWNgBs.exe
  C:\Windows\System32\KmWNgBs.exe
  2⤵
  PID:5712
- C:\Windows\System32\aSnShmT.exe
  C:\Windows\System32\aSnShmT.exe
  2⤵
  PID:5788
- C:\Windows\System32\yrXKGfe.exe
  C:\Windows\System32\yrXKGfe.exe
  2⤵
  PID:5808
- C:\Windows\System32\HyvMZyg.exe
  C:\Windows\System32\HyvMZyg.exe
  2⤵
  PID:5832
- C:\Windows\System32\WOSyxHd.exe
  C:\Windows\System32\WOSyxHd.exe
  2⤵
  PID:5848
- C:\Windows\System32\ErWVYgo.exe
  C:\Windows\System32\ErWVYgo.exe
  2⤵
  PID:5872
- C:\Windows\System32\dzQGmnW.exe
  C:\Windows\System32\dzQGmnW.exe
  2⤵
  PID:5896
- C:\Windows\System32\HCmjWHh.exe
  C:\Windows\System32\HCmjWHh.exe
  2⤵
  PID:5932
- C:\Windows\System32\vaTfdID.exe
  C:\Windows\System32\vaTfdID.exe
  2⤵
  PID:5976
- C:\Windows\System32\KakoniR.exe
  C:\Windows\System32\KakoniR.exe
  2⤵
  PID:5996
- C:\Windows\System32\pfvdqmW.exe
  C:\Windows\System32\pfvdqmW.exe
  2⤵
  PID:6016
- C:\Windows\System32\UQWOLSM.exe
  C:\Windows\System32\UQWOLSM.exe
  2⤵
  PID:6060
- C:\Windows\System32\HfGJKZD.exe
  C:\Windows\System32\HfGJKZD.exe
  2⤵
  PID:6084
- C:\Windows\System32\yMJgKSO.exe
  C:\Windows\System32\yMJgKSO.exe
  2⤵
  PID:6108
- C:\Windows\System32\AHxcAee.exe
  C:\Windows\System32\AHxcAee.exe
  2⤵
  PID:6132
- C:\Windows\System32\GMuLatK.exe
  C:\Windows\System32\GMuLatK.exe
  2⤵
  PID:3200
- C:\Windows\System32\hvclKCn.exe
  C:\Windows\System32\hvclKCn.exe
  2⤵
  PID:1424
- C:\Windows\System32\tobDsUU.exe
  C:\Windows\System32\tobDsUU.exe
  2⤵
  PID:5212
- C:\Windows\System32\ZZolfPK.exe
  C:\Windows\System32\ZZolfPK.exe
  2⤵
  PID:5220
- C:\Windows\System32\dIYzTcG.exe
  C:\Windows\System32\dIYzTcG.exe
  2⤵
  PID:5280
- C:\Windows\System32\ktjLnVH.exe
  C:\Windows\System32\ktjLnVH.exe
  2⤵
  PID:5360
- C:\Windows\System32\DBjNvcT.exe
  C:\Windows\System32\DBjNvcT.exe
  2⤵
  PID:5448
- C:\Windows\System32\wqWZRwk.exe
  C:\Windows\System32\wqWZRwk.exe
  2⤵
  PID:5420
- C:\Windows\System32\IUnDEJU.exe
  C:\Windows\System32\IUnDEJU.exe
  2⤵
  PID:5480
- C:\Windows\System32\YPEmDwt.exe
  C:\Windows\System32\YPEmDwt.exe
  2⤵
  PID:5584
- C:\Windows\System32\lYoDFiU.exe
  C:\Windows\System32\lYoDFiU.exe
  2⤵
  PID:5636
- C:\Windows\System32\zUmkwaA.exe
  C:\Windows\System32\zUmkwaA.exe
  2⤵
  PID:5720
- C:\Windows\System32\ZEoNpsk.exe
  C:\Windows\System32\ZEoNpsk.exe
  2⤵
  PID:5736
- C:\Windows\System32\sRTsfyZ.exe
  C:\Windows\System32\sRTsfyZ.exe
  2⤵
  PID:5908
- C:\Windows\System32\GGErMSt.exe
  C:\Windows\System32\GGErMSt.exe
  2⤵
  PID:5992
- C:\Windows\System32\JXLQWzW.exe
  C:\Windows\System32\JXLQWzW.exe
  2⤵
  PID:6024
- C:\Windows\System32\XWIMlWJ.exe
  C:\Windows\System32\XWIMlWJ.exe
  2⤵
  PID:6044
- C:\Windows\System32\SnZkoyD.exe
  C:\Windows\System32\SnZkoyD.exe
  2⤵
  PID:6104
- C:\Windows\System32\EfPaxmf.exe
  C:\Windows\System32\EfPaxmf.exe
  2⤵
  PID:1004
- C:\Windows\System32\aTQOaBt.exe
  C:\Windows\System32\aTQOaBt.exe
  2⤵
  PID:3968
- C:\Windows\System32\nQAyyAX.exe
  C:\Windows\System32\nQAyyAX.exe
  2⤵
  PID:5292
- C:\Windows\System32\ZpbiOBL.exe
  C:\Windows\System32\ZpbiOBL.exe
  2⤵
  PID:4752
- C:\Windows\System32\LjcXEnL.exe
  C:\Windows\System32\LjcXEnL.exe
  2⤵
  PID:536
- C:\Windows\System32\FpzVwAa.exe
  C:\Windows\System32\FpzVwAa.exe
  2⤵
  PID:5860
- C:\Windows\System32\nOfDCHX.exe
  C:\Windows\System32\nOfDCHX.exe
  2⤵
  PID:5948
- C:\Windows\System32\qobAGkB.exe
  C:\Windows\System32\qobAGkB.exe
  2⤵
  PID:5960
- C:\Windows\System32\jrmRoxb.exe
  C:\Windows\System32\jrmRoxb.exe
  2⤵
  PID:5168
- C:\Windows\System32\Cvekshv.exe
  C:\Windows\System32\Cvekshv.exe
  2⤵
  PID:5332
- C:\Windows\System32\ddboqKK.exe
  C:\Windows\System32\ddboqKK.exe
  2⤵
  PID:5652
- C:\Windows\System32\qWpFOvV.exe
  C:\Windows\System32\qWpFOvV.exe
  2⤵
  PID:6120
- C:\Windows\System32\GHLZBFl.exe
  C:\Windows\System32\GHLZBFl.exe
  2⤵
  PID:4500
- C:\Windows\System32\JNnIHyS.exe
  C:\Windows\System32\JNnIHyS.exe
  2⤵
  PID:6164
- C:\Windows\System32\pmyXwaE.exe
  C:\Windows\System32\pmyXwaE.exe
  2⤵
  PID:6208
- C:\Windows\System32\tnVDCii.exe
  C:\Windows\System32\tnVDCii.exe
  2⤵
  PID:6224
- C:\Windows\System32\odREGLf.exe
  C:\Windows\System32\odREGLf.exe
  2⤵
  PID:6248
- C:\Windows\System32\LBdoxMD.exe
  C:\Windows\System32\LBdoxMD.exe
  2⤵
  PID:6264
- C:\Windows\System32\PVqQDRg.exe
  C:\Windows\System32\PVqQDRg.exe
  2⤵
  PID:6284
- C:\Windows\System32\SsaVqry.exe
  C:\Windows\System32\SsaVqry.exe
  2⤵
  PID:6312
- C:\Windows\System32\ysdIvhZ.exe
  C:\Windows\System32\ysdIvhZ.exe
  2⤵
  PID:6336
- C:\Windows\System32\RYCIckP.exe
  C:\Windows\System32\RYCIckP.exe
  2⤵
  PID:6356
- C:\Windows\System32\RgclwUQ.exe
  C:\Windows\System32\RgclwUQ.exe
  2⤵
  PID:6380
- C:\Windows\System32\VwIJurJ.exe
  C:\Windows\System32\VwIJurJ.exe
  2⤵
  PID:6432
- C:\Windows\System32\IDPITPu.exe
  C:\Windows\System32\IDPITPu.exe
  2⤵
  PID:6452
- C:\Windows\System32\edZKBLm.exe
  C:\Windows\System32\edZKBLm.exe
  2⤵
  PID:6480
- C:\Windows\System32\QzoAvQs.exe
  C:\Windows\System32\QzoAvQs.exe
  2⤵
  PID:6496
- C:\Windows\System32\hTETBtz.exe
  C:\Windows\System32\hTETBtz.exe
  2⤵
  PID:6568
- C:\Windows\System32\QQyaFrh.exe
  C:\Windows\System32\QQyaFrh.exe
  2⤵
  PID:6604
- C:\Windows\System32\ONRlaCb.exe
  C:\Windows\System32\ONRlaCb.exe
  2⤵
  PID:6624
- C:\Windows\System32\nQpwBSP.exe
  C:\Windows\System32\nQpwBSP.exe
  2⤵
  PID:6648
- C:\Windows\System32\JtjQbTs.exe
  C:\Windows\System32\JtjQbTs.exe
  2⤵
  PID:6676
- C:\Windows\System32\lgXduwG.exe
  C:\Windows\System32\lgXduwG.exe
  2⤵
  PID:6696
- C:\Windows\System32\zmdHDRo.exe
  C:\Windows\System32\zmdHDRo.exe
  2⤵
  PID:6716
- C:\Windows\System32\cosxAnH.exe
  C:\Windows\System32\cosxAnH.exe
  2⤵
  PID:6748
- C:\Windows\System32\wYXMzeN.exe
  C:\Windows\System32\wYXMzeN.exe
  2⤵
  PID:6776
- C:\Windows\System32\zSshkuh.exe
  C:\Windows\System32\zSshkuh.exe
  2⤵
  PID:6832
- C:\Windows\System32\tIFdGPy.exe
  C:\Windows\System32\tIFdGPy.exe
  2⤵
  PID:6848
- C:\Windows\System32\jFfZFIr.exe
  C:\Windows\System32\jFfZFIr.exe
  2⤵
  PID:6868
- C:\Windows\System32\rgxTywm.exe
  C:\Windows\System32\rgxTywm.exe
  2⤵
  PID:6892
- C:\Windows\System32\lVDPNQy.exe
  C:\Windows\System32\lVDPNQy.exe
  2⤵
  PID:6912
- C:\Windows\System32\gLKsIfw.exe
  C:\Windows\System32\gLKsIfw.exe
  2⤵
  PID:6940
- C:\Windows\System32\YBqPqif.exe
  C:\Windows\System32\YBqPqif.exe
  2⤵
  PID:6964
- C:\Windows\System32\rNnSmLe.exe
  C:\Windows\System32\rNnSmLe.exe
  2⤵
  PID:6984
- C:\Windows\System32\HRMilCn.exe
  C:\Windows\System32\HRMilCn.exe
  2⤵
  PID:7000
- C:\Windows\System32\gIlSIlK.exe
  C:\Windows\System32\gIlSIlK.exe
  2⤵
  PID:7024
- C:\Windows\System32\qGQKkXM.exe
  C:\Windows\System32\qGQKkXM.exe
  2⤵
  PID:7060
- C:\Windows\System32\DTzIoTG.exe
  C:\Windows\System32\DTzIoTG.exe
  2⤵
  PID:7084
- C:\Windows\System32\AXYSmio.exe
  C:\Windows\System32\AXYSmio.exe
  2⤵
  PID:7104
- C:\Windows\System32\wNfpJvB.exe
  C:\Windows\System32\wNfpJvB.exe
  2⤵
  PID:6160
- C:\Windows\System32\BHwwXlg.exe
  C:\Windows\System32\BHwwXlg.exe
  2⤵
  PID:6176
- C:\Windows\System32\FuuekWO.exe
  C:\Windows\System32\FuuekWO.exe
  2⤵
  PID:6200
- C:\Windows\System32\SvUtNXU.exe
  C:\Windows\System32\SvUtNXU.exe
  2⤵
  PID:6304
- C:\Windows\System32\QQEMiRE.exe
  C:\Windows\System32\QQEMiRE.exe
  2⤵
  PID:6352
- C:\Windows\System32\uRJVxvB.exe
  C:\Windows\System32\uRJVxvB.exe
  2⤵
  PID:6420
- C:\Windows\System32\WpnlKzl.exe
  C:\Windows\System32\WpnlKzl.exe
  2⤵
  PID:6528
- C:\Windows\System32\ulJeFFS.exe
  C:\Windows\System32\ulJeFFS.exe
  2⤵
  PID:1016
- C:\Windows\System32\sALdZPf.exe
  C:\Windows\System32\sALdZPf.exe
  2⤵
  PID:6620
- C:\Windows\System32\AetNjnh.exe
  C:\Windows\System32\AetNjnh.exe
  2⤵
  PID:6684
- C:\Windows\System32\jtVVRhW.exe
  C:\Windows\System32\jtVVRhW.exe
  2⤵
  PID:6732
- C:\Windows\System32\dmsANIf.exe
  C:\Windows\System32\dmsANIf.exe
  2⤵
  PID:6800
- C:\Windows\System32\CGgXVzT.exe
  C:\Windows\System32\CGgXVzT.exe
  2⤵
  PID:6864
- C:\Windows\System32\rZqzVwE.exe
  C:\Windows\System32\rZqzVwE.exe
  2⤵
  PID:6948
- C:\Windows\System32\nVswbUp.exe
  C:\Windows\System32\nVswbUp.exe
  2⤵
  PID:4296
- C:\Windows\System32\iCCmTGq.exe
  C:\Windows\System32\iCCmTGq.exe
  2⤵
  PID:7036
- C:\Windows\System32\ItByEeY.exe
  C:\Windows\System32\ItByEeY.exe
  2⤵
  PID:7080
- C:\Windows\System32\JPEJUzK.exe
  C:\Windows\System32\JPEJUzK.exe
  2⤵
  PID:7128
- C:\Windows\System32\zbeAoOS.exe
  C:\Windows\System32\zbeAoOS.exe
  2⤵
  PID:6172
- C:\Windows\System32\BWvetay.exe
  C:\Windows\System32\BWvetay.exe
  2⤵
  PID:6332
- C:\Windows\System32\YzuNUKS.exe
  C:\Windows\System32\YzuNUKS.exe
  2⤵
  PID:6472
- C:\Windows\System32\eAlkTPv.exe
  C:\Windows\System32\eAlkTPv.exe
  2⤵
  PID:6708
- C:\Windows\System32\nQdqJsV.exe
  C:\Windows\System32\nQdqJsV.exe
  2⤵
  PID:6860
- C:\Windows\System32\UspvFLp.exe
  C:\Windows\System32\UspvFLp.exe
  2⤵
  PID:6996
- C:\Windows\System32\sGuWOzH.exe
  C:\Windows\System32\sGuWOzH.exe
  2⤵
  PID:7144
- C:\Windows\System32\jiAStyU.exe
  C:\Windows\System32\jiAStyU.exe
  2⤵
  PID:6216
- C:\Windows\System32\UjjABFB.exe
  C:\Windows\System32\UjjABFB.exe
  2⤵
  PID:6920
- C:\Windows\System32\MyaFaTh.exe
  C:\Windows\System32\MyaFaTh.exe
  2⤵
  PID:7116
- C:\Windows\System32\nMHkKRP.exe
  C:\Windows\System32\nMHkKRP.exe
  2⤵
  PID:6612
- C:\Windows\System32\oEavSeV.exe
  C:\Windows\System32\oEavSeV.exe
  2⤵
  PID:6904
- C:\Windows\System32\yuhScjX.exe
  C:\Windows\System32\yuhScjX.exe
  2⤵
  PID:7172
- C:\Windows\System32\fIIUdja.exe
  C:\Windows\System32\fIIUdja.exe
  2⤵
  PID:7200
- C:\Windows\System32\vuzWlXm.exe
  C:\Windows\System32\vuzWlXm.exe
  2⤵
  PID:7228
- C:\Windows\System32\xepDZZq.exe
  C:\Windows\System32\xepDZZq.exe
  2⤵
  PID:7248
- C:\Windows\System32\eabREer.exe
  C:\Windows\System32\eabREer.exe
  2⤵
  PID:7276
- C:\Windows\System32\gBwMFsc.exe
  C:\Windows\System32\gBwMFsc.exe
  2⤵
  PID:7292
- C:\Windows\System32\VfqUySj.exe
  C:\Windows\System32\VfqUySj.exe
  2⤵
  PID:7312
- C:\Windows\System32\NAuanWC.exe
  C:\Windows\System32\NAuanWC.exe
  2⤵
  PID:7332
- C:\Windows\System32\rUaBLAe.exe
  C:\Windows\System32\rUaBLAe.exe
  2⤵
  PID:7360
- C:\Windows\System32\HyMiztJ.exe
  C:\Windows\System32\HyMiztJ.exe
  2⤵
  PID:7380
- C:\Windows\System32\OxXItgE.exe
  C:\Windows\System32\OxXItgE.exe
  2⤵
  PID:7412
- C:\Windows\System32\hwjoVDU.exe
  C:\Windows\System32\hwjoVDU.exe
  2⤵
  PID:7496
- C:\Windows\System32\ZRWHXgB.exe
  C:\Windows\System32\ZRWHXgB.exe
  2⤵
  PID:7536
- C:\Windows\System32\MGthADn.exe
  C:\Windows\System32\MGthADn.exe
  2⤵
  PID:7552
- C:\Windows\System32\JvlKLhS.exe
  C:\Windows\System32\JvlKLhS.exe
  2⤵
  PID:7576
- C:\Windows\System32\AnxgdWp.exe
  C:\Windows\System32\AnxgdWp.exe
  2⤵
  PID:7596
- C:\Windows\System32\JbzwuqR.exe
  C:\Windows\System32\JbzwuqR.exe
  2⤵
  PID:7628
- C:\Windows\System32\awoesKc.exe
  C:\Windows\System32\awoesKc.exe
  2⤵
  PID:7652
- C:\Windows\System32\CFJBXFv.exe
  C:\Windows\System32\CFJBXFv.exe
  2⤵
  PID:7684
- C:\Windows\System32\uNEGMVK.exe
  C:\Windows\System32\uNEGMVK.exe
  2⤵
  PID:7708
- C:\Windows\System32\FGwnKNz.exe
  C:\Windows\System32\FGwnKNz.exe
  2⤵
  PID:7740
- C:\Windows\System32\ccwwpxy.exe
  C:\Windows\System32\ccwwpxy.exe
  2⤵
  PID:7760
- C:\Windows\System32\cGvnTzh.exe
  C:\Windows\System32\cGvnTzh.exe
  2⤵
  PID:7808
- C:\Windows\System32\vaFwxEZ.exe
  C:\Windows\System32\vaFwxEZ.exe
  2⤵
  PID:7848
- C:\Windows\System32\pdeczCv.exe
  C:\Windows\System32\pdeczCv.exe
  2⤵
  PID:7872
- C:\Windows\System32\EMXDhZB.exe
  C:\Windows\System32\EMXDhZB.exe
  2⤵
  PID:7900
- C:\Windows\System32\IpvDatu.exe
  C:\Windows\System32\IpvDatu.exe
  2⤵
  PID:7924
- C:\Windows\System32\WlkkAHw.exe
  C:\Windows\System32\WlkkAHw.exe
  2⤵
  PID:7944
- C:\Windows\System32\wzlwsZb.exe
  C:\Windows\System32\wzlwsZb.exe
  2⤵
  PID:7964
- C:\Windows\System32\xhORreo.exe
  C:\Windows\System32\xhORreo.exe
  2⤵
  PID:7992
- C:\Windows\System32\XOhWJEl.exe
  C:\Windows\System32\XOhWJEl.exe
  2⤵
  PID:8016
- C:\Windows\System32\JoCTHVl.exe
  C:\Windows\System32\JoCTHVl.exe
  2⤵
  PID:8044
- C:\Windows\System32\qtMiaJR.exe
  C:\Windows\System32\qtMiaJR.exe
  2⤵
  PID:8076
- C:\Windows\System32\jgBrSsy.exe
  C:\Windows\System32\jgBrSsy.exe
  2⤵
  PID:8124
- C:\Windows\System32\MgkJvpl.exe
  C:\Windows\System32\MgkJvpl.exe
  2⤵
  PID:8140
- C:\Windows\System32\navVWMn.exe
  C:\Windows\System32\navVWMn.exe
  2⤵
  PID:8168
- C:\Windows\System32\achDKub.exe
  C:\Windows\System32\achDKub.exe
  2⤵
  PID:6952
- C:\Windows\System32\UccxmgS.exe
  C:\Windows\System32\UccxmgS.exe
  2⤵
  PID:7208
- C:\Windows\System32\AkuNgwX.exe
  C:\Windows\System32\AkuNgwX.exe
  2⤵
  PID:7240
- C:\Windows\System32\sQQFHcE.exe
  C:\Windows\System32\sQQFHcE.exe
  2⤵
  PID:7300
- C:\Windows\System32\pmVvAfH.exe
  C:\Windows\System32\pmVvAfH.exe
  2⤵
  PID:7372
- C:\Windows\System32\nDCAffn.exe
  C:\Windows\System32\nDCAffn.exe
  2⤵
  PID:7432
- C:\Windows\System32\bgirSNA.exe
  C:\Windows\System32\bgirSNA.exe
  2⤵
  PID:7488
- C:\Windows\System32\PfhtBno.exe
  C:\Windows\System32\PfhtBno.exe
  2⤵
  PID:4024
- C:\Windows\System32\xmgcObI.exe
  C:\Windows\System32\xmgcObI.exe
  2⤵
  PID:7716
- C:\Windows\System32\dqXtdeZ.exe
  C:\Windows\System32\dqXtdeZ.exe
  2⤵
  PID:7816
- C:\Windows\System32\fTVzpOE.exe
  C:\Windows\System32\fTVzpOE.exe
  2⤵
  PID:7860
- C:\Windows\System32\gVUPuaB.exe
  C:\Windows\System32\gVUPuaB.exe
  2⤵
  PID:7896
- C:\Windows\System32\zSljFkJ.exe
  C:\Windows\System32\zSljFkJ.exe
  2⤵
  PID:7940
- C:\Windows\System32\PShJmdv.exe
  C:\Windows\System32\PShJmdv.exe
  2⤵
  PID:8028
- C:\Windows\System32\gxdOqln.exe
  C:\Windows\System32\gxdOqln.exe
  2⤵
  PID:8116
- C:\Windows\System32\ElLoZoS.exe
  C:\Windows\System32\ElLoZoS.exe
  2⤵
  PID:8176
- C:\Windows\System32\Uettgyo.exe
  C:\Windows\System32\Uettgyo.exe
  2⤵
  PID:2008
- C:\Windows\System32\BPgOxBe.exe
  C:\Windows\System32\BPgOxBe.exe
  2⤵
  PID:7180
- C:\Windows\System32\DeHjyzn.exe
  C:\Windows\System32\DeHjyzn.exe
  2⤵
  PID:7376
- C:\Windows\System32\EHHaSvG.exe
  C:\Windows\System32\EHHaSvG.exe
  2⤵
  PID:7588
- C:\Windows\System32\qbKwXAS.exe
  C:\Windows\System32\qbKwXAS.exe
  2⤵
  PID:7880
- C:\Windows\System32\hqprfIJ.exe
  C:\Windows\System32\hqprfIJ.exe
  2⤵
  PID:7164
- C:\Windows\System32\zgFxEyD.exe
  C:\Windows\System32\zgFxEyD.exe
  2⤵
  PID:7288
- C:\Windows\System32\MFrbUXT.exe
  C:\Windows\System32\MFrbUXT.exe
  2⤵
  PID:7868
- C:\Windows\System32\WApauyX.exe
  C:\Windows\System32\WApauyX.exe
  2⤵
  PID:8184
- C:\Windows\System32\LcjKSyn.exe
  C:\Windows\System32\LcjKSyn.exe
  2⤵
  PID:8004
- C:\Windows\System32\koXrGWf.exe
  C:\Windows\System32\koXrGWf.exe
  2⤵
  PID:8212
- C:\Windows\System32\jXnlTSl.exe
  C:\Windows\System32\jXnlTSl.exe
  2⤵
  PID:8236
- C:\Windows\System32\fkURlmI.exe
  C:\Windows\System32\fkURlmI.exe
  2⤵
  PID:8268
- C:\Windows\System32\lJreqNA.exe
  C:\Windows\System32\lJreqNA.exe
  2⤵
  PID:8292
- C:\Windows\System32\QGzoZvz.exe
  C:\Windows\System32\QGzoZvz.exe
  2⤵
  PID:8316
- C:\Windows\System32\vGTmOyB.exe
  C:\Windows\System32\vGTmOyB.exe
  2⤵
  PID:8340
- C:\Windows\System32\noRXXwQ.exe
  C:\Windows\System32\noRXXwQ.exe
  2⤵
  PID:8388
- C:\Windows\System32\geNkyFQ.exe
  C:\Windows\System32\geNkyFQ.exe
  2⤵
  PID:8408
- C:\Windows\System32\tjHaNzR.exe
  C:\Windows\System32\tjHaNzR.exe
  2⤵
  PID:8432
- C:\Windows\System32\pBltlPq.exe
  C:\Windows\System32\pBltlPq.exe
  2⤵
  PID:8452
- C:\Windows\System32\jDnWnzA.exe
  C:\Windows\System32\jDnWnzA.exe
  2⤵
  PID:8500
- C:\Windows\System32\irpDDXr.exe
  C:\Windows\System32\irpDDXr.exe
  2⤵
  PID:8520
- C:\Windows\System32\vYAeWOb.exe
  C:\Windows\System32\vYAeWOb.exe
  2⤵
  PID:8540
- C:\Windows\System32\HxUZSQd.exe
  C:\Windows\System32\HxUZSQd.exe
  2⤵
  PID:8568
- C:\Windows\System32\tQtdmeZ.exe
  C:\Windows\System32\tQtdmeZ.exe
  2⤵
  PID:8608
- C:\Windows\System32\tbLXuZe.exe
  C:\Windows\System32\tbLXuZe.exe
  2⤵
  PID:8632
- C:\Windows\System32\AOjeaYc.exe
  C:\Windows\System32\AOjeaYc.exe
  2⤵
  PID:8652
- C:\Windows\System32\EgqpLRl.exe
  C:\Windows\System32\EgqpLRl.exe
  2⤵
  PID:8676
- C:\Windows\System32\nouftGn.exe
  C:\Windows\System32\nouftGn.exe
  2⤵
  PID:8696
- C:\Windows\System32\AQOycql.exe
  C:\Windows\System32\AQOycql.exe
  2⤵
  PID:8728
- C:\Windows\System32\mMdrquT.exe
  C:\Windows\System32\mMdrquT.exe
  2⤵
  PID:8780
- C:\Windows\System32\eZWTHJi.exe
  C:\Windows\System32\eZWTHJi.exe
  2⤵
  PID:8796
- C:\Windows\System32\nmeZeKQ.exe
  C:\Windows\System32\nmeZeKQ.exe
  2⤵
  PID:8820
- C:\Windows\System32\yRzQtus.exe
  C:\Windows\System32\yRzQtus.exe
  2⤵
  PID:8840
- C:\Windows\System32\qaOamii.exe
  C:\Windows\System32\qaOamii.exe
  2⤵
  PID:8868
- C:\Windows\System32\PzviDAJ.exe
  C:\Windows\System32\PzviDAJ.exe
  2⤵
  PID:8892
- C:\Windows\System32\dSegjNY.exe
  C:\Windows\System32\dSegjNY.exe
  2⤵
  PID:8932
- C:\Windows\System32\jZAWfyC.exe
  C:\Windows\System32\jZAWfyC.exe
  2⤵
  PID:8972
- C:\Windows\System32\SPgFDtF.exe
  C:\Windows\System32\SPgFDtF.exe
  2⤵
  PID:9012
- C:\Windows\System32\NsVyLwx.exe
  C:\Windows\System32\NsVyLwx.exe
  2⤵
  PID:9036
- C:\Windows\System32\QLbJwJm.exe
  C:\Windows\System32\QLbJwJm.exe
  2⤵
  PID:9060
- C:\Windows\System32\mJfUaUO.exe
  C:\Windows\System32\mJfUaUO.exe
  2⤵
  PID:9104
- C:\Windows\System32\SFZstpy.exe
  C:\Windows\System32\SFZstpy.exe
  2⤵
  PID:9124
- C:\Windows\System32\ccdqJSo.exe
  C:\Windows\System32\ccdqJSo.exe
  2⤵
  PID:9148
- C:\Windows\System32\uXVpbVp.exe
  C:\Windows\System32\uXVpbVp.exe
  2⤵
  PID:9172
- C:\Windows\System32\FpjmnME.exe
  C:\Windows\System32\FpjmnME.exe
  2⤵
  PID:9196
- C:\Windows\System32\yKMhlMe.exe
  C:\Windows\System32\yKMhlMe.exe
  2⤵
  PID:7468
- C:\Windows\System32\WswLZEu.exe
  C:\Windows\System32\WswLZEu.exe
  2⤵
  PID:8208
- C:\Windows\System32\ObeaHaT.exe
  C:\Windows\System32\ObeaHaT.exe
  2⤵
  PID:8288
- C:\Windows\System32\Xgnyfls.exe
  C:\Windows\System32\Xgnyfls.exe
  2⤵
  PID:8336
- C:\Windows\System32\QVRcNzx.exe
  C:\Windows\System32\QVRcNzx.exe
  2⤵
  PID:8424
- C:\Windows\System32\aLTDPJl.exe
  C:\Windows\System32\aLTDPJl.exe
  2⤵
  PID:8588
- C:\Windows\System32\OeBRScl.exe
  C:\Windows\System32\OeBRScl.exe
  2⤵
  PID:8620
- C:\Windows\System32\fWbrDwi.exe
  C:\Windows\System32\fWbrDwi.exe
  2⤵
  PID:8660
- C:\Windows\System32\nuYEigB.exe
  C:\Windows\System32\nuYEigB.exe
  2⤵
  PID:8720
- C:\Windows\System32\FSQqGoX.exe
  C:\Windows\System32\FSQqGoX.exe
  2⤵
  PID:8812
- C:\Windows\System32\rgHlAwO.exe
  C:\Windows\System32\rgHlAwO.exe
  2⤵
  PID:8832
- C:\Windows\System32\LxQxuWc.exe
  C:\Windows\System32\LxQxuWc.exe
  2⤵
  PID:8904
- C:\Windows\System32\MUDqnke.exe
  C:\Windows\System32\MUDqnke.exe
  2⤵
  PID:9028
- C:\Windows\System32\naUCUHN.exe
  C:\Windows\System32\naUCUHN.exe
  2⤵
  PID:8156
- C:\Windows\System32\kbBHwUV.exe
  C:\Windows\System32\kbBHwUV.exe
  2⤵
  PID:9140
- C:\Windows\System32\cWxdXPL.exe
  C:\Windows\System32\cWxdXPL.exe
  2⤵
  PID:9168
- C:\Windows\System32\BhMWzAz.exe
  C:\Windows\System32\BhMWzAz.exe
  2⤵
  PID:8284
- C:\Windows\System32\NbBfuSm.exe
  C:\Windows\System32\NbBfuSm.exe
  2⤵
  PID:8368
- C:\Windows\System32\FHiDBxc.exe
  C:\Windows\System32\FHiDBxc.exe
  2⤵
  PID:8444
- C:\Windows\System32\OYVFVem.exe
  C:\Windows\System32\OYVFVem.exe
  2⤵
  PID:8596
- C:\Windows\System32\WqwwGvo.exe
  C:\Windows\System32\WqwwGvo.exe
  2⤵
  PID:8744
- C:\Windows\System32\hTJnCST.exe
  C:\Windows\System32\hTJnCST.exe
  2⤵
  PID:8852
- C:\Windows\System32\ilJfRtX.exe
  C:\Windows\System32\ilJfRtX.exe
  2⤵
  PID:9112
- C:\Windows\System32\JVqdfzU.exe
  C:\Windows\System32\JVqdfzU.exe
  2⤵
  PID:8248
- C:\Windows\System32\XqfYlmw.exe
  C:\Windows\System32\XqfYlmw.exe
  2⤵
  PID:8488
- C:\Windows\System32\xgSoqyS.exe
  C:\Windows\System32\xgSoqyS.exe
  2⤵
  PID:9004
- C:\Windows\System32\UeDZRqs.exe
  C:\Windows\System32\UeDZRqs.exe
  2⤵
  PID:9180
- C:\Windows\System32\RArrqCh.exe
  C:\Windows\System32\RArrqCh.exe
  2⤵
  PID:8916
- C:\Windows\System32\YCMlVfi.exe
  C:\Windows\System32\YCMlVfi.exe
  2⤵
  PID:8888
- C:\Windows\System32\yHtxtog.exe
  C:\Windows\System32\yHtxtog.exe
  2⤵
  PID:9244
- C:\Windows\System32\fVOHXuq.exe
  C:\Windows\System32\fVOHXuq.exe
  2⤵
  PID:9280
- C:\Windows\System32\zckmwbd.exe
  C:\Windows\System32\zckmwbd.exe
  2⤵
  PID:9308
- C:\Windows\System32\rSyWQVg.exe
  C:\Windows\System32\rSyWQVg.exe
  2⤵
  PID:9336
- C:\Windows\System32\IKPavcB.exe
  C:\Windows\System32\IKPavcB.exe
  2⤵
  PID:9364
- C:\Windows\System32\zUrHggD.exe
  C:\Windows\System32\zUrHggD.exe
  2⤵
  PID:9388
- C:\Windows\System32\mldNrbA.exe
  C:\Windows\System32\mldNrbA.exe
  2⤵
  PID:9412
- C:\Windows\System32\YRAKiLD.exe
  C:\Windows\System32\YRAKiLD.exe
  2⤵
  PID:9448
- C:\Windows\System32\QrRqLuB.exe
  C:\Windows\System32\QrRqLuB.exe
  2⤵
  PID:9488
- C:\Windows\System32\BlbSLeO.exe
  C:\Windows\System32\BlbSLeO.exe
  2⤵
  PID:9516
- C:\Windows\System32\sAbhCHv.exe
  C:\Windows\System32\sAbhCHv.exe
  2⤵
  PID:9532
- C:\Windows\System32\CWTTKpK.exe
  C:\Windows\System32\CWTTKpK.exe
  2⤵
  PID:9556
- C:\Windows\System32\cAAxPqq.exe
  C:\Windows\System32\cAAxPqq.exe
  2⤵
  PID:9604
- C:\Windows\System32\pZRdPDT.exe
  C:\Windows\System32\pZRdPDT.exe
  2⤵
  PID:9620
- C:\Windows\System32\jgnCgrN.exe
  C:\Windows\System32\jgnCgrN.exe
  2⤵
  PID:9656
- C:\Windows\System32\bFNzTSc.exe
  C:\Windows\System32\bFNzTSc.exe
  2⤵
  PID:9676
- C:\Windows\System32\zJEJqsg.exe
  C:\Windows\System32\zJEJqsg.exe
  2⤵
  PID:9700
- C:\Windows\System32\vUHHLXN.exe
  C:\Windows\System32\vUHHLXN.exe
  2⤵
  PID:9728
- C:\Windows\System32\hFEcKyI.exe
  C:\Windows\System32\hFEcKyI.exe
  2⤵
  PID:9776
- C:\Windows\System32\QhuBNbb.exe
  C:\Windows\System32\QhuBNbb.exe
  2⤵
  PID:9796
- C:\Windows\System32\UcXhFpD.exe
  C:\Windows\System32\UcXhFpD.exe
  2⤵
  PID:9820
- C:\Windows\System32\kXwoFvw.exe
  C:\Windows\System32\kXwoFvw.exe
  2⤵
  PID:9840
- C:\Windows\System32\SFFXdbn.exe
  C:\Windows\System32\SFFXdbn.exe
  2⤵
  PID:9880
- C:\Windows\System32\ZjRYPEa.exe
  C:\Windows\System32\ZjRYPEa.exe
  2⤵
  PID:9904
- C:\Windows\System32\ySiCKfQ.exe
  C:\Windows\System32\ySiCKfQ.exe
  2⤵
  PID:9932
- C:\Windows\System32\CeRBnhl.exe
  C:\Windows\System32\CeRBnhl.exe
  2⤵
  PID:9960
- C:\Windows\System32\hvBISRW.exe
  C:\Windows\System32\hvBISRW.exe
  2⤵
  PID:9980
- C:\Windows\System32\KkyMAmt.exe
  C:\Windows\System32\KkyMAmt.exe
  2⤵
  PID:10000
- C:\Windows\System32\OeRjFLG.exe
  C:\Windows\System32\OeRjFLG.exe
  2⤵
  PID:10024
- C:\Windows\System32\HISYJhd.exe
  C:\Windows\System32\HISYJhd.exe
  2⤵
  PID:10068
- C:\Windows\System32\YjuvMys.exe
  C:\Windows\System32\YjuvMys.exe
  2⤵
  PID:10096
- C:\Windows\System32\kROUiKW.exe
  C:\Windows\System32\kROUiKW.exe
  2⤵
  PID:10120
- C:\Windows\System32\aRtgzDi.exe
  C:\Windows\System32\aRtgzDi.exe
  2⤵
  PID:10140
- C:\Windows\System32\xcoYglV.exe
  C:\Windows\System32\xcoYglV.exe
  2⤵
  PID:10168
- C:\Windows\System32\Hwdrukv.exe
  C:\Windows\System32\Hwdrukv.exe
  2⤵
  PID:10208
- C:\Windows\System32\BHalyYH.exe
  C:\Windows\System32\BHalyYH.exe
  2⤵
  PID:10224
- C:\Windows\System32\kZAMDFq.exe
  C:\Windows\System32\kZAMDFq.exe
  2⤵
  PID:8548
- C:\Windows\System32\JresAEt.exe
  C:\Windows\System32\JresAEt.exe
  2⤵
  PID:9268
- C:\Windows\System32\nvcysUS.exe
  C:\Windows\System32\nvcysUS.exe
  2⤵
  PID:9380
- C:\Windows\System32\rLEZzIa.exe
  C:\Windows\System32\rLEZzIa.exe
  2⤵
  PID:9000
- C:\Windows\System32\zIzwVUO.exe
  C:\Windows\System32\zIzwVUO.exe
  2⤵
  PID:9496
- C:\Windows\System32\tuIsUKs.exe
  C:\Windows\System32\tuIsUKs.exe
  2⤵
  PID:9524
- C:\Windows\System32\fGylRwA.exe
  C:\Windows\System32\fGylRwA.exe
  2⤵
  PID:9600
- C:\Windows\System32\VoUyyMm.exe
  C:\Windows\System32\VoUyyMm.exe
  2⤵
  PID:9664
- C:\Windows\System32\kyFKTyD.exe
  C:\Windows\System32\kyFKTyD.exe
  2⤵
  PID:9716
- C:\Windows\System32\sXHJsle.exe
  C:\Windows\System32\sXHJsle.exe
  2⤵
  PID:9808
- C:\Windows\System32\ukAqtHw.exe
  C:\Windows\System32\ukAqtHw.exe
  2⤵
  PID:9852
- C:\Windows\System32\hmNWGVg.exe
  C:\Windows\System32\hmNWGVg.exe
  2⤵
  PID:9944
- C:\Windows\System32\HoMXMjX.exe
  C:\Windows\System32\HoMXMjX.exe
  2⤵
  PID:9972
- C:\Windows\System32\CnjPqqN.exe
  C:\Windows\System32\CnjPqqN.exe
  2⤵
  PID:10092
- C:\Windows\System32\hEygVMZ.exe
  C:\Windows\System32\hEygVMZ.exe
  2⤵
  PID:10148
- C:\Windows\System32\IQRyswT.exe
  C:\Windows\System32\IQRyswT.exe
  2⤵
  PID:9160
- C:\Windows\System32\cIxzGWo.exe
  C:\Windows\System32\cIxzGWo.exe
  2⤵
  PID:10232
- C:\Windows\System32\WQWswnX.exe
  C:\Windows\System32\WQWswnX.exe
  2⤵
  PID:9460
- C:\Windows\System32\pAYtcgb.exe
  C:\Windows\System32\pAYtcgb.exe
  2⤵
  PID:9616
- C:\Windows\System32\sEhvjrz.exe
  C:\Windows\System32\sEhvjrz.exe
  2⤵
  PID:9832
- C:\Windows\System32\SIEeFRP.exe
  C:\Windows\System32\SIEeFRP.exe
  2⤵
  PID:9912
- C:\Windows\System32\xHiZTEd.exe
  C:\Windows\System32\xHiZTEd.exe
  2⤵
  PID:10020
- C:\Windows\System32\RCEZxCy.exe
  C:\Windows\System32\RCEZxCy.exe
  2⤵
  PID:10192
- C:\Windows\System32\OmvjlzO.exe
  C:\Windows\System32\OmvjlzO.exe
  2⤵
  PID:8508
- C:\Windows\System32\ZqDCrtu.exe
  C:\Windows\System32\ZqDCrtu.exe
  2⤵
  PID:9784
- C:\Windows\System32\NtvPBGc.exe
  C:\Windows\System32\NtvPBGc.exe
  2⤵
  PID:10136
- C:\Windows\System32\LoNgmAg.exe
  C:\Windows\System32\LoNgmAg.exe
  2⤵
  PID:9648
- C:\Windows\System32\tpZEgYP.exe
  C:\Windows\System32\tpZEgYP.exe
  2⤵
  PID:9924
- C:\Windows\System32\wVTLQux.exe
  C:\Windows\System32\wVTLQux.exe
  2⤵
  PID:10268
- C:\Windows\System32\EuOibXF.exe
  C:\Windows\System32\EuOibXF.exe
  2⤵
  PID:10284
- C:\Windows\System32\JXQkENw.exe
  C:\Windows\System32\JXQkENw.exe
  2⤵
  PID:10324
- C:\Windows\System32\XEssLnR.exe
  C:\Windows\System32\XEssLnR.exe
  2⤵
  PID:10340
- C:\Windows\System32\ywuRPct.exe
  C:\Windows\System32\ywuRPct.exe
  2⤵
  PID:10368
- C:\Windows\System32\qtytrQN.exe
  C:\Windows\System32\qtytrQN.exe
  2⤵
  PID:10396
- C:\Windows\System32\RgEunCm.exe
  C:\Windows\System32\RgEunCm.exe
  2⤵
  PID:10420
- C:\Windows\System32\LnZMNiK.exe
  C:\Windows\System32\LnZMNiK.exe
  2⤵
  PID:10452
- C:\Windows\System32\DehVQZr.exe
  C:\Windows\System32\DehVQZr.exe
  2⤵
  PID:10468
- C:\Windows\System32\xapHKfp.exe
  C:\Windows\System32\xapHKfp.exe
  2⤵
  PID:10504
- C:\Windows\System32\yDqiaPz.exe
  C:\Windows\System32\yDqiaPz.exe
  2⤵
  PID:10548
- C:\Windows\System32\jbRhGKW.exe
  C:\Windows\System32\jbRhGKW.exe
  2⤵
  PID:10564
- C:\Windows\System32\mzvqIVQ.exe
  C:\Windows\System32\mzvqIVQ.exe
  2⤵
  PID:10592
- C:\Windows\System32\YPJruvV.exe
  C:\Windows\System32\YPJruvV.exe
  2⤵
  PID:10612
- C:\Windows\System32\AMyxSTR.exe
  C:\Windows\System32\AMyxSTR.exe
  2⤵
  PID:10632
- C:\Windows\System32\ReXvZfX.exe
  C:\Windows\System32\ReXvZfX.exe
  2⤵
  PID:10660
- C:\Windows\System32\WgCbvJG.exe
  C:\Windows\System32\WgCbvJG.exe
  2⤵
  PID:10720
- C:\Windows\System32\hXTftdE.exe
  C:\Windows\System32\hXTftdE.exe
  2⤵
  PID:10740
- C:\Windows\System32\GMLrVpe.exe
  C:\Windows\System32\GMLrVpe.exe
  2⤵
  PID:10764
- C:\Windows\System32\UNPMYqQ.exe
  C:\Windows\System32\UNPMYqQ.exe
  2⤵
  PID:10788
- C:\Windows\System32\MerOAfw.exe
  C:\Windows\System32\MerOAfw.exe
  2⤵
  PID:10812
- C:\Windows\System32\QVAORzO.exe
  C:\Windows\System32\QVAORzO.exe
  2⤵
  PID:10832
- C:\Windows\System32\AJRLMZS.exe
  C:\Windows\System32\AJRLMZS.exe
  2⤵
  PID:10860
- C:\Windows\System32\WJhEFJU.exe
  C:\Windows\System32\WJhEFJU.exe
  2⤵
  PID:10884
- C:\Windows\System32\VNRXHcZ.exe
  C:\Windows\System32\VNRXHcZ.exe
  2⤵
  PID:10904
- C:\Windows\System32\pxlVCaL.exe
  C:\Windows\System32\pxlVCaL.exe
  2⤵
  PID:10956
- C:\Windows\System32\zyzLKch.exe
  C:\Windows\System32\zyzLKch.exe
  2⤵
  PID:10980
- C:\Windows\System32\fkUXFLZ.exe
  C:\Windows\System32\fkUXFLZ.exe
  2⤵
  PID:11008
- C:\Windows\System32\IQPxuvY.exe
  C:\Windows\System32\IQPxuvY.exe
  2⤵
  PID:11028
- C:\Windows\System32\GuhNUQe.exe
  C:\Windows\System32\GuhNUQe.exe
  2⤵
  PID:11056
- C:\Windows\System32\EtMadGT.exe
  C:\Windows\System32\EtMadGT.exe
  2⤵
  PID:11076
- C:\Windows\System32\uionARg.exe
  C:\Windows\System32\uionARg.exe
  2⤵
  PID:11140
- C:\Windows\System32\MDdvYui.exe
  C:\Windows\System32\MDdvYui.exe
  2⤵
  PID:10260
- C:\Windows\System32\cctnBvS.exe
  C:\Windows\System32\cctnBvS.exe
  2⤵
  PID:10356
- C:\Windows\System32\pEwKXaS.exe
  C:\Windows\System32\pEwKXaS.exe
  2⤵
  PID:10444
- C:\Windows\System32\jbcVzOF.exe
  C:\Windows\System32\jbcVzOF.exe
  2⤵
  PID:10460
- C:\Windows\System32\CpStKTe.exe
  C:\Windows\System32\CpStKTe.exe
  2⤵
  PID:10584
- C:\Windows\System32\NlEvoKO.exe
  C:\Windows\System32\NlEvoKO.exe
  2⤵
  PID:9748
- C:\Windows\System32\lNQPgHO.exe
  C:\Windows\System32\lNQPgHO.exe
  2⤵
  PID:10672
- C:\Windows\System32\mKgkaZF.exe
  C:\Windows\System32\mKgkaZF.exe
  2⤵
  PID:10728
- C:\Windows\System32\gqkqoDl.exe
  C:\Windows\System32\gqkqoDl.exe
  2⤵
  PID:10760
- C:\Windows\System32\ZFWPmun.exe
  C:\Windows\System32\ZFWPmun.exe
  2⤵
  PID:10868
- C:\Windows\System32\bnMZEww.exe
  C:\Windows\System32\bnMZEww.exe
  2⤵
  PID:10856
- C:\Windows\System32\ElUINpd.exe
  C:\Windows\System32\ElUINpd.exe
  2⤵
  PID:10932
- C:\Windows\System32\JsNrvBr.exe
  C:\Windows\System32\JsNrvBr.exe
  2⤵
  PID:11020
- C:\Windows\System32\FfESlBM.exe
  C:\Windows\System32\FfESlBM.exe
  2⤵
  PID:11072
- C:\Windows\System32\fRPTJZc.exe
  C:\Windows\System32\fRPTJZc.exe
  2⤵
  PID:11120
- C:\Windows\System32\BGQRnmg.exe
  C:\Windows\System32\BGQRnmg.exe
  2⤵
  PID:11248
- C:\Windows\System32\eAMxKek.exe
  C:\Windows\System32\eAMxKek.exe
  2⤵
  PID:11188
- C:\Windows\System32\KRlHvZe.exe
  C:\Windows\System32\KRlHvZe.exe
  2⤵
  PID:11200
- C:\Windows\System32\KfPpFhi.exe
  C:\Windows\System32\KfPpFhi.exe
  2⤵
  PID:11212
- C:\Windows\System32\BWdClCA.exe
  C:\Windows\System32\BWdClCA.exe
  2⤵
  PID:10336
- C:\Windows\System32\kXoKamx.exe
  C:\Windows\System32\kXoKamx.exe
  2⤵
  PID:10608
- C:\Windows\System32\aHUDhxB.exe
  C:\Windows\System32\aHUDhxB.exe
  2⤵
  PID:10784
- C:\Windows\System32\WnFJUTN.exe
  C:\Windows\System32\WnFJUTN.exe
  2⤵
  PID:10944
- C:\Windows\System32\duMYimN.exe
  C:\Windows\System32\duMYimN.exe
  2⤵
  PID:11036
- C:\Windows\System32\XysrEiK.exe
  C:\Windows\System32\XysrEiK.exe
  2⤵
  PID:11176
- C:\Windows\System32\wvSksPE.exe
  C:\Windows\System32\wvSksPE.exe
  2⤵
  PID:11256
- C:\Windows\System32\ZLuwdEa.exe
  C:\Windows\System32\ZLuwdEa.exe
  2⤵
  PID:10332
- C:\Windows\System32\yWeyeaQ.exe
  C:\Windows\System32\yWeyeaQ.exe
  2⤵
  PID:10680
- C:\Windows\System32\yjachOC.exe
  C:\Windows\System32\yjachOC.exe
  2⤵
  PID:10996
- C:\Windows\System32\WmqjKgW.exe
  C:\Windows\System32\WmqjKgW.exe
  2⤵
  PID:1732
- C:\Windows\System32\okqRpGD.exe
  C:\Windows\System32\okqRpGD.exe
  2⤵
  PID:10876
- C:\Windows\System32\BwntqvW.exe
  C:\Windows\System32\BwntqvW.exe
  2⤵
  PID:10600
- C:\Windows\System32\mXxERHJ.exe
  C:\Windows\System32\mXxERHJ.exe
  2⤵
  PID:11284
- C:\Windows\System32\eJhtQRo.exe
  C:\Windows\System32\eJhtQRo.exe
  2⤵
  PID:11300
- C:\Windows\System32\fryVFRJ.exe
  C:\Windows\System32\fryVFRJ.exe
  2⤵
  PID:11328
- C:\Windows\System32\NGlGGrj.exe
  C:\Windows\System32\NGlGGrj.exe
  2⤵
  PID:11344
- C:\Windows\System32\FOwJnga.exe
  C:\Windows\System32\FOwJnga.exe
  2⤵
  PID:11388
- C:\Windows\System32\BnmeTXZ.exe
  C:\Windows\System32\BnmeTXZ.exe
  2⤵
  PID:11432
- C:\Windows\System32\GKByHjn.exe
  C:\Windows\System32\GKByHjn.exe
  2⤵
  PID:11456
- C:\Windows\System32\eDYNydN.exe
  C:\Windows\System32\eDYNydN.exe
  2⤵
  PID:11476
- C:\Windows\System32\GLSfGnH.exe
  C:\Windows\System32\GLSfGnH.exe
  2⤵
  PID:11500
- C:\Windows\System32\eSGAKtJ.exe
  C:\Windows\System32\eSGAKtJ.exe
  2⤵
  PID:11528
- C:\Windows\System32\LbhxQuk.exe
  C:\Windows\System32\LbhxQuk.exe
  2⤵
  PID:11568
- C:\Windows\System32\lAxnlki.exe
  C:\Windows\System32\lAxnlki.exe
  2⤵
  PID:11600
- C:\Windows\System32\VpIqQRb.exe
  C:\Windows\System32\VpIqQRb.exe
  2⤵
  PID:11628
- C:\Windows\System32\bVOIKGQ.exe
  C:\Windows\System32\bVOIKGQ.exe
  2⤵
  PID:11656
- C:\Windows\System32\SXMMbjV.exe
  C:\Windows\System32\SXMMbjV.exe
  2⤵
  PID:11684
- C:\Windows\System32\XECdtzU.exe
  C:\Windows\System32\XECdtzU.exe
  2⤵
  PID:11712
- C:\Windows\System32\VQprCCW.exe
  C:\Windows\System32\VQprCCW.exe
  2⤵
  PID:11740
- C:\Windows\System32\sxFDSYA.exe
  C:\Windows\System32\sxFDSYA.exe
  2⤵
  PID:11768
- C:\Windows\System32\qzfdSHe.exe
  C:\Windows\System32\qzfdSHe.exe
  2⤵
  PID:11800
- C:\Windows\System32\tdiqvKp.exe
  C:\Windows\System32\tdiqvKp.exe
  2⤵
  PID:11820
- C:\Windows\System32\VsxIWOS.exe
  C:\Windows\System32\VsxIWOS.exe
  2⤵
  PID:11848
- C:\Windows\System32\EQnSytr.exe
  C:\Windows\System32\EQnSytr.exe
  2⤵
  PID:11868
- C:\Windows\System32\vvszPhm.exe
  C:\Windows\System32\vvszPhm.exe
  2⤵
  PID:11888
- C:\Windows\System32\IsJCEJJ.exe
  C:\Windows\System32\IsJCEJJ.exe
  2⤵
  PID:11940
- C:\Windows\System32\QeOLRBp.exe
  C:\Windows\System32\QeOLRBp.exe
  2⤵
  PID:11968
- C:\Windows\System32\aLFeBYK.exe
  C:\Windows\System32\aLFeBYK.exe
  2⤵
  PID:11992
- C:\Windows\System32\EqVMttr.exe
  C:\Windows\System32\EqVMttr.exe
  2⤵
  PID:12020
- C:\Windows\System32\OLMWBWx.exe
  C:\Windows\System32\OLMWBWx.exe
  2⤵
  PID:12040
- C:\Windows\System32\MwsHPpf.exe
  C:\Windows\System32\MwsHPpf.exe
  2⤵
  PID:12072
- C:\Windows\System32\RpawEit.exe
  C:\Windows\System32\RpawEit.exe
  2⤵
  PID:12108
- C:\Windows\System32\xJFpijv.exe
  C:\Windows\System32\xJFpijv.exe
  2⤵
  PID:12140
- C:\Windows\System32\QESHxYt.exe
  C:\Windows\System32\QESHxYt.exe
  2⤵
  PID:12156
- C:\Windows\System32\ueKxGdt.exe
  C:\Windows\System32\ueKxGdt.exe
  2⤵
  PID:12188
- C:\Windows\System32\OnxONJI.exe
  C:\Windows\System32\OnxONJI.exe
  2⤵
  PID:12204
- C:\Windows\System32\qRAPxcj.exe
  C:\Windows\System32\qRAPxcj.exe
  2⤵
  PID:12236
- C:\Windows\System32\hOHCPwA.exe
  C:\Windows\System32\hOHCPwA.exe
  2⤵
  PID:12264
- C:\Windows\System32\jkTHzCA.exe
  C:\Windows\System32\jkTHzCA.exe
  2⤵
  PID:12284
- C:\Windows\System32\QbKJdKO.exe
  C:\Windows\System32\QbKJdKO.exe
  2⤵
  PID:11296
- C:\Windows\System32\ZybkcIa.exe
  C:\Windows\System32\ZybkcIa.exe
  2⤵
  PID:11372
- C:\Windows\System32\QCJKrNi.exe
  C:\Windows\System32\QCJKrNi.exe
  2⤵
  PID:11448
- C:\Windows\System32\MtRrVsS.exe
  C:\Windows\System32\MtRrVsS.exe
  2⤵
  PID:10712
- C:\Windows\System32\neqRHqf.exe
  C:\Windows\System32\neqRHqf.exe
  2⤵
  PID:11556
- C:\Windows\System32\PRgXYuz.exe
  C:\Windows\System32\PRgXYuz.exe
  2⤵
  PID:11648
- C:\Windows\System32\uVZDYbc.exe
  C:\Windows\System32\uVZDYbc.exe
  2⤵
  PID:11724
- C:\Windows\System32\rVcobeA.exe
  C:\Windows\System32\rVcobeA.exe
  2⤵
  PID:11780
- C:\Windows\System32\uBBBkTJ.exe
  C:\Windows\System32\uBBBkTJ.exe
  2⤵
  PID:11884
- C:\Windows\System32\aFYkUQJ.exe
  C:\Windows\System32\aFYkUQJ.exe
  2⤵
  PID:11932
- C:\Windows\System32\gqnialX.exe
  C:\Windows\System32\gqnialX.exe
  2⤵
  PID:11980
- C:\Windows\System32\hclOdYk.exe
  C:\Windows\System32\hclOdYk.exe
  2⤵
  PID:12080
- C:\Windows\System32\UPQbAUE.exe
  C:\Windows\System32\UPQbAUE.exe
  2⤵
  PID:12120
- C:\Windows\System32\uQlgLEO.exe
  C:\Windows\System32\uQlgLEO.exe
  2⤵
  PID:12176
- C:\Windows\System32\DHDrRMG.exe
  C:\Windows\System32\DHDrRMG.exe
  2⤵
  PID:12224
- C:\Windows\System32\WiqSOXU.exe
  C:\Windows\System32\WiqSOXU.exe
  2⤵
  PID:11268
- C:\Windows\System32\uWyoUBx.exe
  C:\Windows\System32\uWyoUBx.exe
  2⤵
  PID:11488
- C:\Windows\System32\gRRZirD.exe
  C:\Windows\System32\gRRZirD.exe
  2⤵
  PID:11552
- C:\Windows\System32\vmCqDDt.exe
  C:\Windows\System32\vmCqDDt.exe
  2⤵
  PID:11700
- C:\Windows\System32\zBdmqqT.exe
  C:\Windows\System32\zBdmqqT.exe
  2⤵
  PID:11828
- C:\Windows\System32\mPJXNsn.exe
  C:\Windows\System32\mPJXNsn.exe
  2⤵
  PID:11948
- C:\Windows\System32\sCUMCWR.exe
  C:\Windows\System32\sCUMCWR.exe
  2⤵
  PID:12088
- C:\Windows\System32\bUbFSdH.exe
  C:\Windows\System32\bUbFSdH.exe
  2⤵
  PID:12200
- C:\Windows\System32\RnMieYL.exe
  C:\Windows\System32\RnMieYL.exe
  2⤵
  PID:11396
- C:\Windows\System32\TYzhiKn.exe
  C:\Windows\System32\TYzhiKn.exe
  2⤵
  PID:11788
- C:\Windows\System32\WymmYav.exe
  C:\Windows\System32\WymmYav.exe
  2⤵
  PID:11860
- C:\Windows\System32\MdmpVhh.exe
  C:\Windows\System32\MdmpVhh.exe
  2⤵
  PID:12316
- C:\Windows\System32\czlmUXr.exe
  C:\Windows\System32\czlmUXr.exe
  2⤵
  PID:12340
- C:\Windows\System32\LAGgcUQ.exe
  C:\Windows\System32\LAGgcUQ.exe
  2⤵
  PID:12368
- C:\Windows\System32\MhATwkC.exe
  C:\Windows\System32\MhATwkC.exe
  2⤵
  PID:12412
- C:\Windows\System32\wLYpcMK.exe
  C:\Windows\System32\wLYpcMK.exe
  2⤵
  PID:12456
- C:\Windows\System32\XrkoTCj.exe
  C:\Windows\System32\XrkoTCj.exe
  2⤵
  PID:12472
- C:\Windows\System32\oOqcVSk.exe
  C:\Windows\System32\oOqcVSk.exe
  2⤵
  PID:12500
- C:\Windows\System32\xeNvrIq.exe
  C:\Windows\System32\xeNvrIq.exe
  2⤵
  PID:12520
- C:\Windows\System32\cErvkeW.exe
  C:\Windows\System32\cErvkeW.exe
  2⤵
  PID:12560
- C:\Windows\System32\chMCytO.exe
  C:\Windows\System32\chMCytO.exe
  2⤵
  PID:12596
- C:\Windows\System32\hpOwcIl.exe
  C:\Windows\System32\hpOwcIl.exe
  2⤵
  PID:12612
- C:\Windows\System32\pIZekwd.exe
  C:\Windows\System32\pIZekwd.exe
  2⤵
  PID:12636
- C:\Windows\System32\JrsmYmw.exe
  C:\Windows\System32\JrsmYmw.exe
  2⤵
  PID:12660
- C:\Windows\System32\DlkDUKO.exe
  C:\Windows\System32\DlkDUKO.exe
  2⤵
  PID:12700
- C:\Windows\System32\GBoDvUf.exe
  C:\Windows\System32\GBoDvUf.exe
  2⤵
  PID:12724
- C:\Windows\System32\phhrMtz.exe
  C:\Windows\System32\phhrMtz.exe
  2⤵
  PID:12744
- C:\Windows\System32\IAutCWI.exe
  C:\Windows\System32\IAutCWI.exe
  2⤵
  PID:12764
- C:\Windows\System32\IJppeyd.exe
  C:\Windows\System32\IJppeyd.exe
  2⤵
  PID:12792
- C:\Windows\System32\YzezTZQ.exe
  C:\Windows\System32\YzezTZQ.exe
  2⤵
  PID:12816
- C:\Windows\System32\KkHpMkZ.exe
  C:\Windows\System32\KkHpMkZ.exe
  2⤵
  PID:12864
- C:\Windows\System32\ELwQxDL.exe
  C:\Windows\System32\ELwQxDL.exe
  2⤵
  PID:12892
- C:\Windows\System32\zUCNTOl.exe
  C:\Windows\System32\zUCNTOl.exe
  2⤵
  PID:12920
- C:\Windows\System32\QJAQVLb.exe
  C:\Windows\System32\QJAQVLb.exe
  2⤵
  PID:12940
- C:\Windows\System32\sZuHWOT.exe
  C:\Windows\System32\sZuHWOT.exe
  2⤵
  PID:12976
- C:\Windows\System32\VInWuoF.exe
  C:\Windows\System32\VInWuoF.exe
  2⤵
  PID:13008
- C:\Windows\System32\qYqJNxc.exe
  C:\Windows\System32\qYqJNxc.exe
  2⤵
  PID:13032
- C:\Windows\System32\YozvYky.exe
  C:\Windows\System32\YozvYky.exe
  2⤵
  PID:13060
- C:\Windows\System32\VnUosin.exe
  C:\Windows\System32\VnUosin.exe
  2⤵
  PID:13100
- C:\Windows\System32\qNfxtCX.exe
  C:\Windows\System32\qNfxtCX.exe
  2⤵
  PID:13120
- C:\Windows\System32\tgUFErL.exe
  C:\Windows\System32\tgUFErL.exe
  2⤵
  PID:13144
- C:\Windows\System32\oRyxqzz.exe
  C:\Windows\System32\oRyxqzz.exe
  2⤵
  PID:13164
- C:\Windows\System32\QtQcHxv.exe
  C:\Windows\System32\QtQcHxv.exe
  2⤵
  PID:13188
- C:\Windows\System32\BMpKuyN.exe
  C:\Windows\System32\BMpKuyN.exe
  2⤵
  PID:13216
- C:\Windows\System32\gOwotCz.exe
  C:\Windows\System32\gOwotCz.exe
  2⤵
  PID:13256
- C:\Windows\System32\ZVQxBBu.exe
  C:\Windows\System32\ZVQxBBu.exe
  2⤵
  PID:13280
- C:\Windows\System32\rPIDBRq.exe
  C:\Windows\System32\rPIDBRq.exe
  2⤵
  PID:13304
- C:\Windows\System32\KMSCnzL.exe
  C:\Windows\System32\KMSCnzL.exe
  2⤵
  PID:11608
- C:\Windows\System32\FKXRRyp.exe
  C:\Windows\System32\FKXRRyp.exe
  2⤵
  PID:12308
- C:\Windows\System32\yroInaA.exe
  C:\Windows\System32\yroInaA.exe
  2⤵
  PID:12348
- - C:\Windows\system32\WerFault.exe
    C:\Windows\system32\WerFault.exe -u -p 12348 -s 244
    3⤵
    PID:12964
- C:\Windows\System32\ufARMqj.exe
  C:\Windows\System32\ufARMqj.exe
  2⤵
  PID:12392
- C:\Windows\System32\OguZqMe.exe
  C:\Windows\System32\OguZqMe.exe
  2⤵
  PID:12432

C:\Windows\system32\WerFaultSecure.exe
"C:\Windows\system32\WerFaultSecure.exe" -protectedcrash -p 4588 -i 4588 -h 504 -j 512 -s 520 -d 0
1⤵
- Suspicious use of NtCreateUserProcessOtherParentProcess
PID:13196

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\ClxpRpy.exe

Filesize
1.6MB

MD5
7c18655423ea6e7800cd8b86f8aceab4

SHA1
f6b9119b298a5300ff0e234a4ab34bfffa70a56f

SHA256
737447365e322e18f5df33f8fab4a937d10c0630fe4bee5b422760693acaf129

SHA512
37e88ea5a71db8d0486f4a3ff1fcf336cc3fad8620dfdfcfd2f486a43cd3c357cfa62d875327778db63ac49637e4f17a4401cf9893b4d09f72323556256da610

Download Submit
C:\Windows\System32\EZqhAMU.exe

Filesize
1.6MB

MD5
4e5018699f6e4b946a4cd6d97aac6f4a

SHA1
9c11b4142e7bad591dc3f66e4c2a5f051f02849f

SHA256
117d1cd825fc9e471f9439ab8f6aa000909242cb17644513475658e8fe0e561b

SHA512
fbb4cbd6f04cbcfb049e05e504719520b988534f2422f68866baea6d1f863da39b01d319a7dbc17e8d89b31bf5c478d16b8f0e42f831ac4fb206946f933db163

Download Submit
C:\Windows\System32\LmGzSmJ.exe

Filesize
1.6MB

MD5
f645130dd520eefd5c46e129a92e8ffe

SHA1
0dee2808ca3c2eff61fec640ede85526fd90f031

SHA256
d8d9e9c059645d291b30cea36020f80a5a8c3bc36e5b44c03a4061694e772f0f

SHA512
0d0c1a763f621a7935a1a386db63a0b8c9ccb4aab97e819776489491fe88beac12bf8c2d409f339562c0257f70d0803cc17558dba7ed659017c4825dd116d93e

Download Submit
C:\Windows\System32\MDKPizn.exe

Filesize
1.6MB

MD5
27e4d7acf4befb91149640cc30e2e5ac

SHA1
e602d6fbe2f9b36a83827c2857d7558b63a215d8

SHA256
7648ab37606bb862b2c3ed6552561035d16fa943589e2485ea97bbb207771a9a

SHA512
388d9cd9487abe12da0619da01454877b22395bc6d84bf9f8b597719244fb5c6893dd0788cee0f6bd0119f1c377be81f8168c420992a9527dc81a8a175f48b35

Download Submit
C:\Windows\System32\Oqqjhwd.exe

Filesize
1.6MB

MD5
86a5613e34ab9005862e80ffd81ecf01

SHA1
6c499467ebb2632be39c9d785e5db32fdd807b72

SHA256
23c3dedee8e650fa6d5c6bf4093bbd61144f0f66bb93b666e35df8540e501266

SHA512
55ef74740d755e520bd536226a3d9de26ccf032840e7e0ea9462301a5e2ca3b053b8117f3ce4b3c7e33b442eafa373113dd3f000f6ed81f7000ed309815e89e0

Download Submit
C:\Windows\System32\RyxqCUw.exe

Filesize
1.6MB

MD5
527c0704a756cbac0475403a5a0172bf

SHA1
798306d29d1b9206d693336c3f7943e5c93e8043

SHA256
a9816e48a82d6375335769fb33208dbc2b69f7ab03c40472ca7a6599a44f9ef4

SHA512
cf215f2bc613014f5b19893bfd6966fe6e40304bdf496f67ee2d503f53ca6845fc606969a911521a60d586896c2fc37145db791ee4b45ce1136e907c1f8566be

Download Submit
C:\Windows\System32\UIynmSS.exe

Filesize
1.6MB

MD5
e76af4f5c7d1cc8101a17ee44c44ca2e

SHA1
45b794cc05a3b4f1d444a0127ebdfd8b5d89a1f0

SHA256
da583aded2c36349ccbcaf463de0b9f0a93d13e02a75bbdaa4d167d06e25c72e

SHA512
0b394dbc7b88f0401cbfc9998f7c5626053ceded1b24cc9cd809519c44a42cdc6cb9cc5a79cc65bb9448b6654a4b81cc2bed4e4c30f224acf289c6b346b72fce

Download Submit
C:\Windows\System32\URVTkJS.exe

Filesize
1.6MB

MD5
10f2c6a36760ae717fb097b8757c9f1b

SHA1
7d786e65b521e0dc859a905967963c7b12a46908

SHA256
20c1eae5888790d139ad5159b5b56ea952c1bc9ac8746e5a5ffed7b49c6283b3

SHA512
58badb0c1c52db4966a324aa37bae0ef2e496d88e406b88e86c70d515a411665993857cbdcb70c1d35d67cf855acc6087eee7f5392c73b057bd0513d53642ea1

Download Submit
C:\Windows\System32\VLSwkWq.exe

Filesize
1.6MB

MD5
535bd3e764bc03227bb55558434b80b3

SHA1
ea7e801b2d76512f19e4a12e3f26dbfd5e06547e

SHA256
3d30252990f492287893994b36420c63466147ac86090682acf1b6f1fed66985

SHA512
288edaae41100452bbf858adb5407ce81103dcd29c52d1611b50d289bc4441c616b4682e0e9f51225c5e2c0a92f6200d25fc0c8e41f5342b4c09d547e7b13485

Download Submit
C:\Windows\System32\VcCGYGd.exe

Filesize
1.6MB

MD5
330281ed94d27889844030f34f46468d

SHA1
fdb89e137be3f4b0879fe41d6d1bb22651111615

SHA256
3973a4974bb965bee35ee2cbf47522ed9113f2809d40f3e216f066eb9b4b22e5

SHA512
a41df4b9621e529a2f88a7e00b28fd2bae03dbe667528bbb17d1fdd2fafe18f5dbbd533203decd9fc5e3f8b815622ad47dfe1510787b4e1b4d5186c393c890f8

Download Submit
C:\Windows\System32\ZixxFbd.exe

Filesize
1.6MB

MD5
d27d86e128e7b931f1280e988fc6131c

SHA1
e09ed44abb29e6fa17f6c630a4ac882f75a81dd2

SHA256
9b8fd3ebc568b1ae42e4b8dcd085fb6d07464343340a6d4f96ff27269aca7e21

SHA512
eef9c391065ac7b26fb079d24661ec20ff3ee098b440cc8ff8eeca87dad56ea04989461b49a1d2330a31c2869a35f6288af0105ec2de07d98a92c59c7407a7e7

Download Submit
C:\Windows\System32\ZqFrIWE.exe

Filesize
1.6MB

MD5
731c1949b79ec1ff741760113d8d56af

SHA1
741689ef832899b7b38c1e629d4e56b0acaf478a

SHA256
89f919dc9a1e09048ce02273dd749c14e91159984d6650f4bb4645a17e2d2d5f

SHA512
ebefcb525aee5c4e029d6db722229f0f15b494a3b3042c9aac2a4670416b32efb5b91a334ffdc542704fff297853847fcae8ae967021b10de7cd42787b195027

Download Submit
C:\Windows\System32\ZzTCYbK.exe

Filesize
1.6MB

MD5
fb7ad283bb41dd5374bf2962b9d140f0

SHA1
f16a0f30fca684c1df58c2ef7cd02460db0be5a5

SHA256
882792f86d9e5e793a732aa94606aa2046d285e0750b2f6ab4aaccd1d78b485d

SHA512
8fb568e23ac65a2457e90b468b7f16e64d8542b1e5a7750fb32f30c8720459e776c2c56fd36a6745f9033a3edea960614937bb9726290191bfbba6798c8286a3

Download Submit
C:\Windows\System32\aIAnQXA.exe

Filesize
1.6MB

MD5
0c3eebb413d0d7233505d6f1e83644c3

SHA1
72dc5c8bd63d0bfd382423089701d5da5e14c2c2

SHA256
0c154610cf121f530278505019d3274adbf051d59d5479324624ec0b72f4a9b8

SHA512
24ded8fbe076005111b3ffb2c11872c094093df434f82b6853f27f6c471494b52f99b79d93b76a015de5899b5baa377c30aa480a4e94441d57eb76412e4256fa

Download Submit
C:\Windows\System32\cYfvYBL.exe

Filesize
1.6MB

MD5
f864f89f3035611fec49185fa440e7d2

SHA1
99f875c1b29dee426847f1e83bf70c0ebdff48bd

SHA256
7451c0f2d7f7beefb8bcdd2fc12c3e19ac7e57d3e199a8a821fe51dd7bac3fd9

SHA512
ebc0cc07643dce0d48691c3cbe18092079e162b5ed2f98b5a60fb116c4d18a0f9c4b7e7f9d2955eeb72dc8549fa742a0b1af96edd6c3b668fb3135d507301cbb

Download Submit
C:\Windows\System32\dKMGdyp.exe

Filesize
1.6MB

MD5
2b84b504be989bdc876d244887985c9a

SHA1
f238040b82e40e50adf6e3b2e40e69ae6f5356fc

SHA256
e83ee05953f3c6f7c5ed2f48311ebd2d9021f9cc08f6333f26fcc830ad49e04e

SHA512
035bb97890835548e7c4d44fe3c30adab97813d1b2db1ba7242bda6ed26ef12711708ed047065bc6341354dcdad846002e32598bf8ff5a5a8017fe77246708d9

Download Submit
C:\Windows\System32\dQIgzYW.exe

Filesize
1.6MB

MD5
35d079d4d1d2fb085bdbdf3c0cfd20dc

SHA1
ee4626e2bf5c020cd1402ee0d4306aff17346838

SHA256
b2102ed7155f9cdbd27a41266a9913a174ede8de02c41fa8f6213baa30c6fa03

SHA512
ec1734bc8208211454ad30f2fc8f4946f2091e431ab7f2e0fa3c1e3623d7d08a9f845cc5dfebe7735f1cec413a73aca44cb3f66732394e5022930d499334d403

Download Submit
C:\Windows\System32\dyGaLKJ.exe

Filesize
1.6MB

MD5
ab4a1874bde5a2902fefeaedbd8d43ac

SHA1
9c5599c8a9c4c1bf9c4e941eff89134336b3f3ab

SHA256
4837ef059c98ee144f77c687709befc5811d788f203e53a6216062efcd1c29dd

SHA512
f9ffb135be0e2248c2b6e6fb1e43cd83bf17cfd1b628ffeb024207da47e47160ec50533d927bcd107db3d68eb4ab298284b28ad63121a98c5c81905a8a0fb5ec

Download Submit
C:\Windows\System32\eBQlkzh.exe

Filesize
1.6MB

MD5
eb7bb8c0fbbd7866e799eabf6b10fb39

SHA1
771c90b749b9b5446c8459d3d721f21ed538f625

SHA256
634088a05994c94b77dec92210f1863d96f39e7897e964211bdcb52fef6b170b

SHA512
ceeebcdd2992cdd71683526ff03f1975669356eab01ccee9aaed661bec7d7afdc3f340c76c72b5cbf10e488542f5363746d83f735e0da898f9c60c82d3f5cc45

Download Submit
C:\Windows\System32\edIxeRF.exe

Filesize
1.6MB

MD5
565818edab80fc380def910fbba6d32b

SHA1
ea85a7da694f757ad4d3b29f1735e5b11f291bd5

SHA256
ec8abc217c68a25b298703d9e185203089bad4babc582377f9cc25f654ecab60

SHA512
11dba3f12fed2661f731a296d57ce0ee047ebfea455876d13cc904e1ac8459b690ac61bf0f916d781b99cca2e6f50b4590547771564bf8425558185657e806a6

Download Submit
C:\Windows\System32\hPkYaBv.exe

Filesize
1.6MB

MD5
9f233db88cc29335e7baed2b2a664a99

SHA1
9056ad5aa1e6f9d3ca137e85630ee44ca6ab11b3

SHA256
0c324e8e361f8911e38e41b56129e69fb92fb0d6b2d73208d97bd781ea5bcbc7

SHA512
13aef42e6a8d2c82fc0e210fae77130a19c012b675a2094474c1ee49068913fdf2832ef2e9756f678afca94d54cf30044668e38ab4e2bac4afaf48b70002e43b

Download Submit
C:\Windows\System32\hbKnKSn.exe

Filesize
1.6MB

MD5
0c68ed13dd80f1491b6e0f92ab94de1b

SHA1
8ed006da54fcee3706a79cf1c22f098ecff0abad

SHA256
9dc5e744ec2e2abe7cf6072f1f84ee48eb064ff9ae1a706dbdd1a41b716703d8

SHA512
e8ee49cfd49aeb62bb33229b34b53c929656a7e168fb9f924477d9f0052851d000b53fb52f0d4902b6c73c8d7f815472843d07ce1a0b81afe51a078b8f14bea7

Download Submit
C:\Windows\System32\hplyaki.exe

Filesize
1.6MB

MD5
87a55ac50b35db3efc81cc7bfd9ec613

SHA1
da1e5a0e67e8d647108413897ca6665dcc7e125e

SHA256
30cf06bd1caa11857a21fa839802090124e388b1bc492613c439b1590122eebd

SHA512
9329b330e022d4cbef75a9a5b22f9f8a8c803ec821937ff6310449f0942c172621d6ed1ccabb0ec4aaa2b5aef9882719bbd23d2ab92df33c16368148ec8657ca

Download Submit
C:\Windows\System32\lzHGKBB.exe

Filesize
1.6MB

MD5
e5325b84da3f3b052826f15119de986c

SHA1
8d046fa6a5916bfa20186e988b7e85752d88076c

SHA256
09eecdc9b93dd918e3fc73f018ed3fc20bd7ed9f0807c0738f3dde45a9bf5d69

SHA512
f514cf4b08ab196535cd5bd6f4606ed7172f0bf04680a49fb31d452be5c9d070fa5bbe2fd6fade7c3802014b5b5b26a802fff16470b64d92a384040023dd6bc8

Download Submit
C:\Windows\System32\mBwPROc.exe

Filesize
1.6MB

MD5
6b4ab0ba4247717bacbac28cf4ffdf62

SHA1
9622afab9c0bbf75f3beb741c66b54ed1d89e64b

SHA256
9aa0c5cfceadcd763277703748a248c68e3b03460298a609480fee963f8fb7f4

SHA512
37323a4def4e065fa33abd9e874995c2ebdd3be49a001c022db975943a6d3c171d321516c35ebf1bd3aef6e3ca18e7bb85e249584f300c1255b1ba8704a138e1

Download Submit
C:\Windows\System32\pTjQuBa.exe

Filesize
1.6MB

MD5
740d422f17fafc941059a745ed8aa428

SHA1
af61b77fc34288752e549626dbd85e035acbf116

SHA256
66dd65b18123138b10e23cd40865e1e050f9faff657a70128cf457654898fa06

SHA512
573cfff6e9f909c4d09faec35ca83a635a164b7b607b1595518e8443d9034e820467c17f728c7b355f17ff8c55e3c880cf29d8db5465db946c434a786578fd13

Download Submit
C:\Windows\System32\qqppJJu.exe

Filesize
1.6MB

MD5
ca9a83f80c244db58b5dc69e58de64f7

SHA1
e00315dc8d59d82bed506ca0847404b84cd1553f

SHA256
525800dfc108d18f6978d63bfa1b6d06e357fa256395e6bc441f7170968b23af

SHA512
30436427af632344716e375735d46de00c257ddbbd363ee8e1c61990a1e9a7ec46abc5d7410b76a0aef5e905b502b5a800ddfc16a78ac4ff06b1dda257a8433a

Download Submit
C:\Windows\System32\rwUiIlj.exe

Filesize
1.6MB

MD5
a61a69e0f09020f8fa9e36edfec90821

SHA1
3474ffadcd7fe4e5e20aa05ec9f94efb90be993c

SHA256
5804ddcb9538e15c1e50175d6a8c2b785f53d179843dd3b67f3aca9186a9253a

SHA512
edd44c748c1a1ddf1adebc891bc74cc0b2ab2b0595814b2a8f165570c0884ca809ee54b67fbebcddeb94e6295bae5bc1c6eb590b09cb9c91b1021c03ead27163

Download Submit
C:\Windows\System32\tMFGsuM.exe

Filesize
1.6MB

MD5
9ad533b7489d290fb287914b62d5ccb9

SHA1
2202dac1ea164f61927ba5a778750ff95249aa17

SHA256
35e1f761967755ae7dfa39957c5ca63413ed794e9dbf4fe6b700177b7076d454

SHA512
fd0756f408bdc6783f95425f156c9333fca8af9ab0e567f3cd9f7c6115798a12a0fa590c4b932d4aa1284369222dbd05818d8e9057fe4b5b7e5c2692061b1b47

Download Submit
C:\Windows\System32\uRkQxts.exe

Filesize
1.6MB

MD5
5016be2a669a373d2fa706a7aad4c3c6

SHA1
0a942a46616aabe537ccebe7cc34c70062f6d3e4

SHA256
a530092a7d9ae8efdb2de96d13c263213baa056ef72665e986fc7cb3c9738b41

SHA512
3ef508a0077e8f62f67e8a2438a7768b4eb30a03bcd06cc523229c879064894aef35cdf4a002ee063a3e12db0b33f4c31c054a3a866daf1a95b24b3a94274100

Download Submit
C:\Windows\System32\uYEyDHT.exe

Filesize
1.6MB

MD5
54bee2a8703da10a8bd747afa5762f0b

SHA1
b0e81a57e11932d08fee2564c7a1177e3e8c9d5b

SHA256
d6bce879f243f7648b1beeff480bf6b452be50502873d3b994f295f986bb8ddc

SHA512
9301d26c58275b95894b08d0e8e60471773d6c7c4e4496b412fdf0ab9a2d1bbc3a9446ba024057d5df42210798e48e63930e79dda30385e58a31216bcce4761b

Download Submit
C:\Windows\System32\yUdanFT.exe

Filesize
1.6MB

MD5
c199002d07c030d7b41640cd1b0caa99

SHA1
afc0a20211e8e77f35471ec872c2642098faa690

SHA256
c6f8726bc1ee936588a04c23116df41a21311ce7c7292e900e78b2132b244366

SHA512
cf1c19376f167de2d7f2af9a59c1579c86cc9be59cc7d4a8bd3ca3dbca740baf1bd9d5d5549c95716faf937ab83e76a4e7f3650775bb5ec8b1d3801756f6a322

Download Submit
memory/408-335-0x00007FF7017F0000-0x00007FF701BE1000-memory.dmp

Filesize
3.9MB

Download
memory/408-2073-0x00007FF7017F0000-0x00007FF701BE1000-memory.dmp

Filesize
3.9MB

Download
memory/732-320-0x00007FF617D70000-0x00007FF618161000-memory.dmp

Filesize
3.9MB

Download
memory/732-2079-0x00007FF617D70000-0x00007FF618161000-memory.dmp

Filesize
3.9MB

Download
memory/1300-17-0x00007FF718100000-0x00007FF7184F1000-memory.dmp

Filesize
3.9MB

Download
memory/1300-2046-0x00007FF718100000-0x00007FF7184F1000-memory.dmp

Filesize
3.9MB

Download
memory/1476-273-0x00007FF659CE0000-0x00007FF65A0D1000-memory.dmp

Filesize
3.9MB

Download
memory/1476-2056-0x00007FF659CE0000-0x00007FF65A0D1000-memory.dmp

Filesize
3.9MB

Download
memory/1572-297-0x00007FF7FF3A0000-0x00007FF7FF791000-memory.dmp

Filesize
3.9MB

Download
memory/1572-2061-0x00007FF7FF3A0000-0x00007FF7FF791000-memory.dmp

Filesize
3.9MB

Download
memory/1736-37-0x00007FF76D2F0000-0x00007FF76D6E1000-memory.dmp

Filesize
3.9MB

Download
memory/1736-2054-0x00007FF76D2F0000-0x00007FF76D6E1000-memory.dmp

Filesize
3.9MB

Download
memory/1876-2058-0x00007FF6F1920000-0x00007FF6F1D11000-memory.dmp

Filesize
3.9MB

Download
memory/1876-277-0x00007FF6F1920000-0x00007FF6F1D11000-memory.dmp

Filesize
3.9MB

Download
memory/1916-0-0x00007FF659330000-0x00007FF659721000-memory.dmp

Filesize
3.9MB

Download
memory/1916-1-0x0000018FC3940000-0x0000018FC3950000-memory.dmp

Filesize
64KB

Download
memory/1992-13-0x00007FF646290000-0x00007FF646681000-memory.dmp

Filesize
3.9MB

Download
memory/1992-2044-0x00007FF646290000-0x00007FF646681000-memory.dmp

Filesize
3.9MB

Download
memory/1996-359-0x00007FF6DF110000-0x00007FF6DF501000-memory.dmp

Filesize
3.9MB

Download
memory/1996-2087-0x00007FF6DF110000-0x00007FF6DF501000-memory.dmp

Filesize
3.9MB

Download
memory/2108-2068-0x00007FF787490000-0x00007FF787881000-memory.dmp

Filesize
3.9MB

Download
memory/2108-307-0x00007FF787490000-0x00007FF787881000-memory.dmp

Filesize
3.9MB

Download
memory/2292-35-0x00007FF7DE620000-0x00007FF7DEA11000-memory.dmp

Filesize
3.9MB

Download
memory/2292-2048-0x00007FF7DE620000-0x00007FF7DEA11000-memory.dmp

Filesize
3.9MB

Download
memory/2328-364-0x00007FF7BE5E0000-0x00007FF7BE9D1000-memory.dmp

Filesize
3.9MB

Download
memory/2328-2094-0x00007FF7BE5E0000-0x00007FF7BE9D1000-memory.dmp

Filesize
3.9MB

Download
memory/2408-284-0x00007FF6CE490000-0x00007FF6CE881000-memory.dmp

Filesize
3.9MB

Download
memory/2408-2064-0x00007FF6CE490000-0x00007FF6CE881000-memory.dmp

Filesize
3.9MB

Download
memory/2680-327-0x00007FF7B9220000-0x00007FF7B9611000-memory.dmp

Filesize
3.9MB

Download
memory/2680-2074-0x00007FF7B9220000-0x00007FF7B9611000-memory.dmp

Filesize
3.9MB

Download
memory/2984-1987-0x00007FF61F1B0000-0x00007FF61F5A1000-memory.dmp

Filesize
3.9MB

Download
memory/2984-2050-0x00007FF61F1B0000-0x00007FF61F5A1000-memory.dmp

Filesize
3.9MB

Download
memory/2984-27-0x00007FF61F1B0000-0x00007FF61F5A1000-memory.dmp

Filesize
3.9MB

Download
memory/3212-353-0x00007FF70FEA0000-0x00007FF710291000-memory.dmp

Filesize
3.9MB

Download
memory/3212-2084-0x00007FF70FEA0000-0x00007FF710291000-memory.dmp

Filesize
3.9MB

Download
memory/3276-39-0x00007FF7E04C0000-0x00007FF7E08B1000-memory.dmp

Filesize
3.9MB

Download
memory/3276-2053-0x00007FF7E04C0000-0x00007FF7E08B1000-memory.dmp

Filesize
3.9MB

Download
memory/3868-2082-0x00007FF63F950000-0x00007FF63FD41000-memory.dmp

Filesize
3.9MB

Download
memory/3868-348-0x00007FF63F950000-0x00007FF63FD41000-memory.dmp

Filesize
3.9MB

Download
memory/3880-379-0x00007FF621870000-0x00007FF621C61000-memory.dmp

Filesize
3.9MB

Download
memory/3880-2095-0x00007FF621870000-0x00007FF621C61000-memory.dmp

Filesize
3.9MB

Download
memory/3952-309-0x00007FF72A1C0000-0x00007FF72A5B1000-memory.dmp

Filesize
3.9MB

Download
memory/3952-2071-0x00007FF72A1C0000-0x00007FF72A5B1000-memory.dmp

Filesize
3.9MB

Download
memory/3976-2066-0x00007FF6B07F0000-0x00007FF6B0BE1000-memory.dmp

Filesize
3.9MB

Download
memory/3976-280-0x00007FF6B07F0000-0x00007FF6B0BE1000-memory.dmp

Filesize
3.9MB

Download
memory/4708-291-0x00007FF741230000-0x00007FF741621000-memory.dmp

Filesize
3.9MB

Download
memory/4708-2063-0x00007FF741230000-0x00007FF741621000-memory.dmp

Filesize
3.9MB

Download
memory/4720-2080-0x00007FF620570000-0x00007FF620961000-memory.dmp

Filesize
3.9MB

Download
memory/4720-313-0x00007FF620570000-0x00007FF620961000-memory.dmp

Filesize
3.9MB

Download
memory/5056-332-0x00007FF776940000-0x00007FF776D31000-memory.dmp

Filesize
3.9MB

Download
memory/5056-2076-0x00007FF776940000-0x00007FF776D31000-memory.dmp

Filesize
3.9MB

Download