xmrig | d8428395224fcd81071aa314b2539db5cfc8606352cd20f6de1685258a95fd63

Analysis

max time kernel
61s
max time network
64s
platform
windows10-2004_x64
resource
win10v2004-20240508-en
resource tags

arch:x64arch:x86image:win10v2004-20240508-enlocale:en-usos:windows10-2004-x64system
submitted
10/06/2024, 12:09

Sharing

Copy URL

Twitter E-mail

Report Analysis Logs

General

Target

12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
Size

3.1MB
MD5

12ac9355086129644831204e317acfe0
SHA1

11b19687f1f766d59075dc3d8b9b048467164c16
SHA256

d8428395224fcd81071aa314b2539db5cfc8606352cd20f6de1685258a95fd63
SHA512

9a250bcbadc2be695d8e577140486ba1d0ff8aad241ac6f5f9fd16be3e67d11c79cb27c841d40d6befe05e1d1f93c43c5aa2be0c4bc4dbd0605e8655ff37f6de
SSDEEP

98304:w0GnJMOWPClFdx6e0EALKWVTffZiPAcRq6jHjc45:wFWPClFp

Score

10^/10

xmrig miner upx

Malware Config

Signatures

xmrig
XMRig is a high performance, open source, cross platform CPU/GPU miner.
miner xmrig

XMRig Miner payload 64 IoCs

miner

resource	yara_rule
behavioral2/memory/1344-0-0x00007FF774E70000-0x00007FF775265000-memory.dmp	xmrig
behavioral2/files/0x000900000002328e-4.dat	xmrig
behavioral2/files/0x0007000000023419-14.dat	xmrig
behavioral2/files/0x000700000002341a-15.dat	xmrig
behavioral2/files/0x000700000002341c-26.dat	xmrig
behavioral2/memory/4168-29-0x00007FF6BA090000-0x00007FF6BA485000-memory.dmp	xmrig
behavioral2/files/0x000700000002341d-32.dat	xmrig
behavioral2/memory/2564-42-0x00007FF76DAE0000-0x00007FF76DED5000-memory.dmp	xmrig
behavioral2/files/0x000700000002341f-43.dat	xmrig
behavioral2/files/0x000700000002341e-46.dat	xmrig
behavioral2/files/0x0007000000023421-59.dat	xmrig
behavioral2/files/0x0007000000023422-64.dat	xmrig
behavioral2/files/0x0007000000023423-67.dat	xmrig
behavioral2/files/0x0007000000023424-74.dat	xmrig
behavioral2/files/0x0007000000023425-79.dat	xmrig
behavioral2/files/0x0007000000023427-87.dat	xmrig
behavioral2/files/0x0007000000023428-94.dat	xmrig
behavioral2/files/0x000700000002342b-109.dat	xmrig
behavioral2/files/0x000700000002342d-117.dat	xmrig
behavioral2/files/0x000700000002342f-129.dat	xmrig
behavioral2/files/0x0007000000023433-149.dat	xmrig
behavioral2/files/0x0007000000023435-159.dat	xmrig
behavioral2/memory/4848-327-0x00007FF6EC1D0000-0x00007FF6EC5C5000-memory.dmp	xmrig
behavioral2/memory/4472-330-0x00007FF63F860000-0x00007FF63FC55000-memory.dmp	xmrig
behavioral2/memory/3232-333-0x00007FF7CABA0000-0x00007FF7CAF95000-memory.dmp	xmrig
behavioral2/memory/2824-335-0x00007FF736570000-0x00007FF736965000-memory.dmp	xmrig
behavioral2/memory/4708-338-0x00007FF79A040000-0x00007FF79A435000-memory.dmp	xmrig
behavioral2/memory/1060-340-0x00007FF684FC0000-0x00007FF6853B5000-memory.dmp	xmrig
behavioral2/memory/2700-343-0x00007FF7B6260000-0x00007FF7B6655000-memory.dmp	xmrig
behavioral2/memory/2172-344-0x00007FF737B60000-0x00007FF737F55000-memory.dmp	xmrig
behavioral2/memory/3824-342-0x00007FF66A8E0000-0x00007FF66ACD5000-memory.dmp	xmrig
behavioral2/memory/4556-341-0x00007FF767350000-0x00007FF767745000-memory.dmp	xmrig
behavioral2/memory/2392-339-0x00007FF643150000-0x00007FF643545000-memory.dmp	xmrig
behavioral2/memory/1780-337-0x00007FF7F2EA0000-0x00007FF7F3295000-memory.dmp	xmrig
behavioral2/memory/2716-336-0x00007FF651490000-0x00007FF651885000-memory.dmp	xmrig
behavioral2/memory/3600-334-0x00007FF638790000-0x00007FF638B85000-memory.dmp	xmrig
behavioral2/memory/3348-332-0x00007FF7099D0000-0x00007FF709DC5000-memory.dmp	xmrig
behavioral2/memory/1988-326-0x00007FF6912A0000-0x00007FF691695000-memory.dmp	xmrig
behavioral2/files/0x0007000000023437-169.dat	xmrig
behavioral2/files/0x0007000000023436-164.dat	xmrig
behavioral2/files/0x0007000000023434-154.dat	xmrig
behavioral2/files/0x0007000000023432-144.dat	xmrig
behavioral2/files/0x0007000000023431-139.dat	xmrig
behavioral2/files/0x0007000000023430-134.dat	xmrig
behavioral2/files/0x000700000002342e-124.dat	xmrig
behavioral2/files/0x000700000002342c-114.dat	xmrig
behavioral2/files/0x000700000002342a-104.dat	xmrig
behavioral2/files/0x0007000000023429-99.dat	xmrig
behavioral2/files/0x0007000000023426-84.dat	xmrig
behavioral2/files/0x0007000000023420-54.dat	xmrig
behavioral2/memory/4624-47-0x00007FF61C340000-0x00007FF61C735000-memory.dmp	xmrig
behavioral2/memory/1612-45-0x00007FF7750E0000-0x00007FF7754D5000-memory.dmp	xmrig
behavioral2/memory/1912-31-0x00007FF6FB190000-0x00007FF6FB585000-memory.dmp	xmrig
behavioral2/memory/1252-28-0x00007FF771C30000-0x00007FF772025000-memory.dmp	xmrig
behavioral2/files/0x000700000002341b-23.dat	xmrig
behavioral2/memory/4592-17-0x00007FF7A8F20000-0x00007FF7A9315000-memory.dmp	xmrig
behavioral2/memory/756-9-0x00007FF70DA40000-0x00007FF70DE35000-memory.dmp	xmrig
behavioral2/memory/756-1389-0x00007FF70DA40000-0x00007FF70DE35000-memory.dmp	xmrig
behavioral2/memory/1344-1387-0x00007FF774E70000-0x00007FF775265000-memory.dmp	xmrig
behavioral2/memory/4592-1716-0x00007FF7A8F20000-0x00007FF7A9315000-memory.dmp	xmrig
behavioral2/memory/4168-2012-0x00007FF6BA090000-0x00007FF6BA485000-memory.dmp	xmrig
behavioral2/memory/2564-2013-0x00007FF76DAE0000-0x00007FF76DED5000-memory.dmp	xmrig
behavioral2/memory/1612-2014-0x00007FF7750E0000-0x00007FF7754D5000-memory.dmp	xmrig
behavioral2/memory/4624-2015-0x00007FF61C340000-0x00007FF61C735000-memory.dmp	xmrig

Executes dropped EXE 64 IoCs

pid	Process
756	NAjhlit.exe
4592	QNuPWKc.exe
1252	dNnwPip.exe
1912	PjGBktI.exe
4168	tXkGowM.exe
2564	YeprThZ.exe
1612	XWXfsSE.exe
4624	dauLEVC.exe
1988	sNesbNR.exe
4848	CkpvLEy.exe
4472	ECofFQD.exe
3348	lLWjfEn.exe
3232	rcwubnh.exe
3600	fuQsiMK.exe
2824	GMdKQuQ.exe
2716	NiYdKjB.exe
1780	NHMVuYp.exe
4708	NgfbrBu.exe
2392	leofpPA.exe
1060	gcvqgXB.exe
4556	wHGTSNx.exe
3824	CzyIOCP.exe
2700	WiKsAjg.exe
2172	jDZiGOB.exe
1356	qemabbs.exe
340	bqxPgVP.exe
2544	qDsLFwK.exe
1048	pEQwFpz.exe
2044	gaRSjCk.exe
4876	EwUlZom.exe
4664	xXzwEcW.exe
4164	ImtxekR.exe
3592	RQXFKFI.exe
4496	CiQFAOq.exe
3516	rmEGvMI.exe
5012	MpmlaYS.exe
1476	nITkyaT.exe
1216	ildnEVs.exe
3736	ZRHKznG.exe
3920	CamGiNQ.exe
4768	fSCzuRn.exe
2400	KRNAyug.exe
4972	wuypXNE.exe
2556	WcNSHoq.exe
1840	RYLEgxp.exe
4212	oTkNXir.exe
4628	OyEuKJn.exe
4404	cVyNDXe.exe
1652	hxtiGsw.exe
1756	OVQBHQx.exe
4420	CtBzMkw.exe
4960	VlWjCLY.exe
1396	gWYTprV.exe
4284	XIVRWfu.exe
1980	oBONSWj.exe
4300	aGdGfRI.exe
4676	QpSWjXg.exe
1212	fAHBIqA.exe
4672	yrcKSFm.exe
876	wzQkqjZ.exe
4436	lyfJCzR.exe
1040	cuedeBL.exe
2080	wzEclrN.exe
4784	GGbztQa.exe

UPX packed file 64 IoCs

Detects executables packed with UPX/modified UPX open source packer.

upx

resource	yara_rule
behavioral2/memory/1344-0-0x00007FF774E70000-0x00007FF775265000-memory.dmp	upx
behavioral2/files/0x000900000002328e-4.dat	upx
behavioral2/files/0x0007000000023419-14.dat	upx
behavioral2/files/0x000700000002341a-15.dat	upx
behavioral2/files/0x000700000002341c-26.dat	upx
behavioral2/memory/4168-29-0x00007FF6BA090000-0x00007FF6BA485000-memory.dmp	upx
behavioral2/files/0x000700000002341d-32.dat	upx
behavioral2/memory/2564-42-0x00007FF76DAE0000-0x00007FF76DED5000-memory.dmp	upx
behavioral2/files/0x000700000002341f-43.dat	upx
behavioral2/files/0x000700000002341e-46.dat	upx
behavioral2/files/0x0007000000023421-59.dat	upx
behavioral2/files/0x0007000000023422-64.dat	upx
behavioral2/files/0x0007000000023423-67.dat	upx
behavioral2/files/0x0007000000023424-74.dat	upx
behavioral2/files/0x0007000000023425-79.dat	upx
behavioral2/files/0x0007000000023427-87.dat	upx
behavioral2/files/0x0007000000023428-94.dat	upx
behavioral2/files/0x000700000002342b-109.dat	upx
behavioral2/files/0x000700000002342d-117.dat	upx
behavioral2/files/0x000700000002342f-129.dat	upx
behavioral2/files/0x0007000000023433-149.dat	upx
behavioral2/files/0x0007000000023435-159.dat	upx
behavioral2/memory/4848-327-0x00007FF6EC1D0000-0x00007FF6EC5C5000-memory.dmp	upx
behavioral2/memory/4472-330-0x00007FF63F860000-0x00007FF63FC55000-memory.dmp	upx
behavioral2/memory/3232-333-0x00007FF7CABA0000-0x00007FF7CAF95000-memory.dmp	upx
behavioral2/memory/2824-335-0x00007FF736570000-0x00007FF736965000-memory.dmp	upx
behavioral2/memory/4708-338-0x00007FF79A040000-0x00007FF79A435000-memory.dmp	upx
behavioral2/memory/1060-340-0x00007FF684FC0000-0x00007FF6853B5000-memory.dmp	upx
behavioral2/memory/2700-343-0x00007FF7B6260000-0x00007FF7B6655000-memory.dmp	upx
behavioral2/memory/2172-344-0x00007FF737B60000-0x00007FF737F55000-memory.dmp	upx
behavioral2/memory/3824-342-0x00007FF66A8E0000-0x00007FF66ACD5000-memory.dmp	upx
behavioral2/memory/4556-341-0x00007FF767350000-0x00007FF767745000-memory.dmp	upx
behavioral2/memory/2392-339-0x00007FF643150000-0x00007FF643545000-memory.dmp	upx
behavioral2/memory/1780-337-0x00007FF7F2EA0000-0x00007FF7F3295000-memory.dmp	upx
behavioral2/memory/2716-336-0x00007FF651490000-0x00007FF651885000-memory.dmp	upx
behavioral2/memory/3600-334-0x00007FF638790000-0x00007FF638B85000-memory.dmp	upx
behavioral2/memory/3348-332-0x00007FF7099D0000-0x00007FF709DC5000-memory.dmp	upx
behavioral2/memory/1988-326-0x00007FF6912A0000-0x00007FF691695000-memory.dmp	upx
behavioral2/files/0x0007000000023437-169.dat	upx
behavioral2/files/0x0007000000023436-164.dat	upx
behavioral2/files/0x0007000000023434-154.dat	upx
behavioral2/files/0x0007000000023432-144.dat	upx
behavioral2/files/0x0007000000023431-139.dat	upx
behavioral2/files/0x0007000000023430-134.dat	upx
behavioral2/files/0x000700000002342e-124.dat	upx
behavioral2/files/0x000700000002342c-114.dat	upx
behavioral2/files/0x000700000002342a-104.dat	upx
behavioral2/files/0x0007000000023429-99.dat	upx
behavioral2/files/0x0007000000023426-84.dat	upx
behavioral2/files/0x0007000000023420-54.dat	upx
behavioral2/memory/4624-47-0x00007FF61C340000-0x00007FF61C735000-memory.dmp	upx
behavioral2/memory/1612-45-0x00007FF7750E0000-0x00007FF7754D5000-memory.dmp	upx
behavioral2/memory/1912-31-0x00007FF6FB190000-0x00007FF6FB585000-memory.dmp	upx
behavioral2/memory/1252-28-0x00007FF771C30000-0x00007FF772025000-memory.dmp	upx
behavioral2/files/0x000700000002341b-23.dat	upx
behavioral2/memory/4592-17-0x00007FF7A8F20000-0x00007FF7A9315000-memory.dmp	upx
behavioral2/memory/756-9-0x00007FF70DA40000-0x00007FF70DE35000-memory.dmp	upx
behavioral2/memory/756-1389-0x00007FF70DA40000-0x00007FF70DE35000-memory.dmp	upx
behavioral2/memory/1344-1387-0x00007FF774E70000-0x00007FF775265000-memory.dmp	upx
behavioral2/memory/4592-1716-0x00007FF7A8F20000-0x00007FF7A9315000-memory.dmp	upx
behavioral2/memory/4168-2012-0x00007FF6BA090000-0x00007FF6BA485000-memory.dmp	upx
behavioral2/memory/2564-2013-0x00007FF76DAE0000-0x00007FF76DED5000-memory.dmp	upx
behavioral2/memory/1612-2014-0x00007FF7750E0000-0x00007FF7754D5000-memory.dmp	upx
behavioral2/memory/4624-2015-0x00007FF61C340000-0x00007FF61C735000-memory.dmp	upx

Drops file in System32 directory 64 IoCs

description	ioc	Process
File created	C:\Windows\System32\ecbdzvc.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\sDnbyRG.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\EKqLiXZ.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\vzsDvZY.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\PtXbfNi.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\yFLiCnK.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\irbEEBh.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\NTqYzcn.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\hDGxHZL.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\aAOiqRG.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\KaKigxl.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\wFzxPgh.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\npZyGgD.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\RlFiDSD.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\BdAJiqJ.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\QpSWjXg.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\SYlcHYf.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\LQsFRGA.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\MhsJsnr.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\iqAMSjD.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\QUPmBEa.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\fCaIVHp.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\WFrGvTi.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\sKYDNEW.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\FTldfhG.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\PqeFNMv.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\PVVVmAH.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\xeMnDYn.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\zfDPeTv.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\NRuiDCH.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\HJYppSH.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\veiuzad.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\WnaGZAF.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\tqRXruZ.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\qemabbs.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\fSCzuRn.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\tgguAUU.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\qZjcRpm.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\ivqCZHw.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\lyfJCzR.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\GGbztQa.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\EAvUWxM.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\luXIlQu.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\xKtQFGH.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\WdWacgG.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\vZXLtZw.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\fAgyQZn.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\AjnVSRd.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\uXJJTaR.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\aSommpY.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\jXekqQm.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\thBPiEV.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\fgxvVJE.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\wwDoauv.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\aZbbPMe.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\FRdogkH.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\zIxheJr.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\OZJrXAQ.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\JLcGmbV.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\ndxSApF.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\aZxAswU.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\RqvUggt.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\pFGYagF.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
File created	C:\Windows\System32\Avelppl.exe	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe

Checks SCSI registry key(s) 3 TTPs 6 IoCs

SCSI information is often read in order to detect sandboxing environments.

Query Registry

T1012

Peripheral Device Discovery

T1120

System Information Discovery

T1082

description	ioc	Process
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\ConfigFlags	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\HardwareID	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\Disk&Ven_DADY&Prod_HARDDISK\4&215468a5&0&000000\HardwareID	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CDROM&VEN_QEMU&PROD_QEMU_DVD-ROM\4&215468A5&0&010000	dwm.exe
Key value queried	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\CdRom&Ven_QEMU&Prod_QEMU_DVD-ROM\4&215468a5&0&010000\ConfigFlags	dwm.exe
Key opened	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Enum\SCSI\DISK&VEN_DADY&PROD_HARDDISK\4&215468A5&0&000000	dwm.exe

Enumerates system info in registry 2 TTPs 2 IoCs

Query Registry

T1012

System Information Discovery

T1082

description	ioc	Process
Key opened	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS	dwm.exe
Key value queried	\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\BIOS\SystemSKU	dwm.exe

Modifies data under HKEY_USERS 18 IoCs

description	ioc	Process
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Root	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache\2a\52C64B7E	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Classes\Local Settings\MuiCache	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\TrustedPeople	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\Disallowed	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Policies\Microsoft\SystemCertificates\trust	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\WinTrust\Trust Providers\Software Publishing	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software\Microsoft\SystemCertificates\CA	dwm.exe
Key created	\REGISTRY\USER\.DEFAULT\Software	dwm.exe

Suspicious use of AdjustPrivilegeToken 4 IoCs

description	pid	Process
Token: SeCreateGlobalPrivilege	12900	dwm.exe
Token: SeChangeNotifyPrivilege	12900	dwm.exe
Token: 33	12900	dwm.exe
Token: SeIncBasePriorityPrivilege	12900	dwm.exe

Suspicious use of WriteProcessMemory 64 IoCs

description	pid	Process	procid_target
PID 1344 wrote to memory of 756	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	82
PID 1344 wrote to memory of 756	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	82
PID 1344 wrote to memory of 4592	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	84
PID 1344 wrote to memory of 4592	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	84
PID 1344 wrote to memory of 1252	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	85
PID 1344 wrote to memory of 1252	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	85
PID 1344 wrote to memory of 1912	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	86
PID 1344 wrote to memory of 1912	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	86
PID 1344 wrote to memory of 4168	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	87
PID 1344 wrote to memory of 4168	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	87
PID 1344 wrote to memory of 2564	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	88
PID 1344 wrote to memory of 2564	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	88
PID 1344 wrote to memory of 1612	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	89
PID 1344 wrote to memory of 1612	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	89
PID 1344 wrote to memory of 4624	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	90
PID 1344 wrote to memory of 4624	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	90
PID 1344 wrote to memory of 1988	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	91
PID 1344 wrote to memory of 1988	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	91
PID 1344 wrote to memory of 4848	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	92
PID 1344 wrote to memory of 4848	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	92
PID 1344 wrote to memory of 4472	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	93
PID 1344 wrote to memory of 4472	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	93
PID 1344 wrote to memory of 3348	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	94
PID 1344 wrote to memory of 3348	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	94
PID 1344 wrote to memory of 3232	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	95
PID 1344 wrote to memory of 3232	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	95
PID 1344 wrote to memory of 3600	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	96
PID 1344 wrote to memory of 3600	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	96
PID 1344 wrote to memory of 2824	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	97
PID 1344 wrote to memory of 2824	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	97
PID 1344 wrote to memory of 2716	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	98
PID 1344 wrote to memory of 2716	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	98
PID 1344 wrote to memory of 1780	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	99
PID 1344 wrote to memory of 1780	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	99
PID 1344 wrote to memory of 4708	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	100
PID 1344 wrote to memory of 4708	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	100
PID 1344 wrote to memory of 2392	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	101
PID 1344 wrote to memory of 2392	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	101
PID 1344 wrote to memory of 1060	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	102
PID 1344 wrote to memory of 1060	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	102
PID 1344 wrote to memory of 4556	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	103
PID 1344 wrote to memory of 4556	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	103
PID 1344 wrote to memory of 3824	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	104
PID 1344 wrote to memory of 3824	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	104
PID 1344 wrote to memory of 2700	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	105
PID 1344 wrote to memory of 2700	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	105
PID 1344 wrote to memory of 2172	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	106
PID 1344 wrote to memory of 2172	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	106
PID 1344 wrote to memory of 1356	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	107
PID 1344 wrote to memory of 1356	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	107
PID 1344 wrote to memory of 340	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	108
PID 1344 wrote to memory of 340	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	108
PID 1344 wrote to memory of 2544	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	109
PID 1344 wrote to memory of 2544	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	109
PID 1344 wrote to memory of 1048	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	110
PID 1344 wrote to memory of 1048	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	110
PID 1344 wrote to memory of 2044	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	111
PID 1344 wrote to memory of 2044	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	111
PID 1344 wrote to memory of 4876	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	112
PID 1344 wrote to memory of 4876	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	112
PID 1344 wrote to memory of 4664	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	113
PID 1344 wrote to memory of 4664	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	113
PID 1344 wrote to memory of 4164	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	114
PID 1344 wrote to memory of 4164	1344	12ac9355086129644831204e317acfe0_NeikiAnalytics.exe	114

C:\Users\Admin\AppData\Local\Temp\12ac9355086129644831204e317acfe0_NeikiAnalytics.exe
"C:\Users\Admin\AppData\Local\Temp\12ac9355086129644831204e317acfe0_NeikiAnalytics.exe"
1⤵
- Drops file in System32 directory
- Suspicious use of WriteProcessMemory
PID:1344
- C:\Windows\System32\NAjhlit.exe
  C:\Windows\System32\NAjhlit.exe
  2⤵
  - Executes dropped EXE
  PID:756
- C:\Windows\System32\QNuPWKc.exe
  C:\Windows\System32\QNuPWKc.exe
  2⤵
  - Executes dropped EXE
  PID:4592
- C:\Windows\System32\dNnwPip.exe
  C:\Windows\System32\dNnwPip.exe
  2⤵
  - Executes dropped EXE
  PID:1252
- C:\Windows\System32\PjGBktI.exe
  C:\Windows\System32\PjGBktI.exe
  2⤵
  - Executes dropped EXE
  PID:1912
- C:\Windows\System32\tXkGowM.exe
  C:\Windows\System32\tXkGowM.exe
  2⤵
  - Executes dropped EXE
  PID:4168
- C:\Windows\System32\YeprThZ.exe
  C:\Windows\System32\YeprThZ.exe
  2⤵
  - Executes dropped EXE
  PID:2564
- C:\Windows\System32\XWXfsSE.exe
  C:\Windows\System32\XWXfsSE.exe
  2⤵
  - Executes dropped EXE
  PID:1612
- C:\Windows\System32\dauLEVC.exe
  C:\Windows\System32\dauLEVC.exe
  2⤵
  - Executes dropped EXE
  PID:4624
- C:\Windows\System32\sNesbNR.exe
  C:\Windows\System32\sNesbNR.exe
  2⤵
  - Executes dropped EXE
  PID:1988
- C:\Windows\System32\CkpvLEy.exe
  C:\Windows\System32\CkpvLEy.exe
  2⤵
  - Executes dropped EXE
  PID:4848
- C:\Windows\System32\ECofFQD.exe
  C:\Windows\System32\ECofFQD.exe
  2⤵
  - Executes dropped EXE
  PID:4472
- C:\Windows\System32\lLWjfEn.exe
  C:\Windows\System32\lLWjfEn.exe
  2⤵
  - Executes dropped EXE
  PID:3348
- C:\Windows\System32\rcwubnh.exe
  C:\Windows\System32\rcwubnh.exe
  2⤵
  - Executes dropped EXE
  PID:3232
- C:\Windows\System32\fuQsiMK.exe
  C:\Windows\System32\fuQsiMK.exe
  2⤵
  - Executes dropped EXE
  PID:3600
- C:\Windows\System32\GMdKQuQ.exe
  C:\Windows\System32\GMdKQuQ.exe
  2⤵
  - Executes dropped EXE
  PID:2824
- C:\Windows\System32\NiYdKjB.exe
  C:\Windows\System32\NiYdKjB.exe
  2⤵
  - Executes dropped EXE
  PID:2716
- C:\Windows\System32\NHMVuYp.exe
  C:\Windows\System32\NHMVuYp.exe
  2⤵
  - Executes dropped EXE
  PID:1780
- C:\Windows\System32\NgfbrBu.exe
  C:\Windows\System32\NgfbrBu.exe
  2⤵
  - Executes dropped EXE
  PID:4708
- C:\Windows\System32\leofpPA.exe
  C:\Windows\System32\leofpPA.exe
  2⤵
  - Executes dropped EXE
  PID:2392
- C:\Windows\System32\gcvqgXB.exe
  C:\Windows\System32\gcvqgXB.exe
  2⤵
  - Executes dropped EXE
  PID:1060
- C:\Windows\System32\wHGTSNx.exe
  C:\Windows\System32\wHGTSNx.exe
  2⤵
  - Executes dropped EXE
  PID:4556
- C:\Windows\System32\CzyIOCP.exe
  C:\Windows\System32\CzyIOCP.exe
  2⤵
  - Executes dropped EXE
  PID:3824
- C:\Windows\System32\WiKsAjg.exe
  C:\Windows\System32\WiKsAjg.exe
  2⤵
  - Executes dropped EXE
  PID:2700
- C:\Windows\System32\jDZiGOB.exe
  C:\Windows\System32\jDZiGOB.exe
  2⤵
  - Executes dropped EXE
  PID:2172
- C:\Windows\System32\qemabbs.exe
  C:\Windows\System32\qemabbs.exe
  2⤵
  - Executes dropped EXE
  PID:1356
- C:\Windows\System32\bqxPgVP.exe
  C:\Windows\System32\bqxPgVP.exe
  2⤵
  - Executes dropped EXE
  PID:340
- C:\Windows\System32\qDsLFwK.exe
  C:\Windows\System32\qDsLFwK.exe
  2⤵
  - Executes dropped EXE
  PID:2544
- C:\Windows\System32\pEQwFpz.exe
  C:\Windows\System32\pEQwFpz.exe
  2⤵
  - Executes dropped EXE
  PID:1048
- C:\Windows\System32\gaRSjCk.exe
  C:\Windows\System32\gaRSjCk.exe
  2⤵
  - Executes dropped EXE
  PID:2044
- C:\Windows\System32\EwUlZom.exe
  C:\Windows\System32\EwUlZom.exe
  2⤵
  - Executes dropped EXE
  PID:4876
- C:\Windows\System32\xXzwEcW.exe
  C:\Windows\System32\xXzwEcW.exe
  2⤵
  - Executes dropped EXE
  PID:4664
- C:\Windows\System32\ImtxekR.exe
  C:\Windows\System32\ImtxekR.exe
  2⤵
  - Executes dropped EXE
  PID:4164
- C:\Windows\System32\RQXFKFI.exe
  C:\Windows\System32\RQXFKFI.exe
  2⤵
  - Executes dropped EXE
  PID:3592
- C:\Windows\System32\CiQFAOq.exe
  C:\Windows\System32\CiQFAOq.exe
  2⤵
  - Executes dropped EXE
  PID:4496
- C:\Windows\System32\rmEGvMI.exe
  C:\Windows\System32\rmEGvMI.exe
  2⤵
  - Executes dropped EXE
  PID:3516
- C:\Windows\System32\MpmlaYS.exe
  C:\Windows\System32\MpmlaYS.exe
  2⤵
  - Executes dropped EXE
  PID:5012
- C:\Windows\System32\nITkyaT.exe
  C:\Windows\System32\nITkyaT.exe
  2⤵
  - Executes dropped EXE
  PID:1476
- C:\Windows\System32\ildnEVs.exe
  C:\Windows\System32\ildnEVs.exe
  2⤵
  - Executes dropped EXE
  PID:1216
- C:\Windows\System32\ZRHKznG.exe
  C:\Windows\System32\ZRHKznG.exe
  2⤵
  - Executes dropped EXE
  PID:3736
- C:\Windows\System32\CamGiNQ.exe
  C:\Windows\System32\CamGiNQ.exe
  2⤵
  - Executes dropped EXE
  PID:3920
- C:\Windows\System32\fSCzuRn.exe
  C:\Windows\System32\fSCzuRn.exe
  2⤵
  - Executes dropped EXE
  PID:4768
- C:\Windows\System32\KRNAyug.exe
  C:\Windows\System32\KRNAyug.exe
  2⤵
  - Executes dropped EXE
  PID:2400
- C:\Windows\System32\wuypXNE.exe
  C:\Windows\System32\wuypXNE.exe
  2⤵
  - Executes dropped EXE
  PID:4972
- C:\Windows\System32\WcNSHoq.exe
  C:\Windows\System32\WcNSHoq.exe
  2⤵
  - Executes dropped EXE
  PID:2556
- C:\Windows\System32\RYLEgxp.exe
  C:\Windows\System32\RYLEgxp.exe
  2⤵
  - Executes dropped EXE
  PID:1840
- C:\Windows\System32\oTkNXir.exe
  C:\Windows\System32\oTkNXir.exe
  2⤵
  - Executes dropped EXE
  PID:4212
- C:\Windows\System32\OyEuKJn.exe
  C:\Windows\System32\OyEuKJn.exe
  2⤵
  - Executes dropped EXE
  PID:4628
- C:\Windows\System32\cVyNDXe.exe
  C:\Windows\System32\cVyNDXe.exe
  2⤵
  - Executes dropped EXE
  PID:4404
- C:\Windows\System32\hxtiGsw.exe
  C:\Windows\System32\hxtiGsw.exe
  2⤵
  - Executes dropped EXE
  PID:1652
- C:\Windows\System32\OVQBHQx.exe
  C:\Windows\System32\OVQBHQx.exe
  2⤵
  - Executes dropped EXE
  PID:1756
- C:\Windows\System32\CtBzMkw.exe
  C:\Windows\System32\CtBzMkw.exe
  2⤵
  - Executes dropped EXE
  PID:4420
- C:\Windows\System32\VlWjCLY.exe
  C:\Windows\System32\VlWjCLY.exe
  2⤵
  - Executes dropped EXE
  PID:4960
- C:\Windows\System32\gWYTprV.exe
  C:\Windows\System32\gWYTprV.exe
  2⤵
  - Executes dropped EXE
  PID:1396
- C:\Windows\System32\XIVRWfu.exe
  C:\Windows\System32\XIVRWfu.exe
  2⤵
  - Executes dropped EXE
  PID:4284
- C:\Windows\System32\oBONSWj.exe
  C:\Windows\System32\oBONSWj.exe
  2⤵
  - Executes dropped EXE
  PID:1980
- C:\Windows\System32\aGdGfRI.exe
  C:\Windows\System32\aGdGfRI.exe
  2⤵
  - Executes dropped EXE
  PID:4300
- C:\Windows\System32\QpSWjXg.exe
  C:\Windows\System32\QpSWjXg.exe
  2⤵
  - Executes dropped EXE
  PID:4676
- C:\Windows\System32\fAHBIqA.exe
  C:\Windows\System32\fAHBIqA.exe
  2⤵
  - Executes dropped EXE
  PID:1212
- C:\Windows\System32\yrcKSFm.exe
  C:\Windows\System32\yrcKSFm.exe
  2⤵
  - Executes dropped EXE
  PID:4672
- C:\Windows\System32\wzQkqjZ.exe
  C:\Windows\System32\wzQkqjZ.exe
  2⤵
  - Executes dropped EXE
  PID:876
- C:\Windows\System32\lyfJCzR.exe
  C:\Windows\System32\lyfJCzR.exe
  2⤵
  - Executes dropped EXE
  PID:4436
- C:\Windows\System32\cuedeBL.exe
  C:\Windows\System32\cuedeBL.exe
  2⤵
  - Executes dropped EXE
  PID:1040
- C:\Windows\System32\wzEclrN.exe
  C:\Windows\System32\wzEclrN.exe
  2⤵
  - Executes dropped EXE
  PID:2080
- C:\Windows\System32\GGbztQa.exe
  C:\Windows\System32\GGbztQa.exe
  2⤵
  - Executes dropped EXE
  PID:4784
- C:\Windows\System32\BUYCWut.exe
  C:\Windows\System32\BUYCWut.exe
  2⤵
  PID:3064
- C:\Windows\System32\SYlcHYf.exe
  C:\Windows\System32\SYlcHYf.exe
  2⤵
  PID:3200
- C:\Windows\System32\GUhHnIh.exe
  C:\Windows\System32\GUhHnIh.exe
  2⤵
  PID:2492
- C:\Windows\System32\csYKzXY.exe
  C:\Windows\System32\csYKzXY.exe
  2⤵
  PID:4356
- C:\Windows\System32\eexYzNV.exe
  C:\Windows\System32\eexYzNV.exe
  2⤵
  PID:712
- C:\Windows\System32\HkbObHf.exe
  C:\Windows\System32\HkbObHf.exe
  2⤵
  PID:2708
- C:\Windows\System32\ODcdvIN.exe
  C:\Windows\System32\ODcdvIN.exe
  2⤵
  PID:4140
- C:\Windows\System32\fAgyQZn.exe
  C:\Windows\System32\fAgyQZn.exe
  2⤵
  PID:2812
- C:\Windows\System32\HpExUHT.exe
  C:\Windows\System32\HpExUHT.exe
  2⤵
  PID:4208
- C:\Windows\System32\cRfEPzZ.exe
  C:\Windows\System32\cRfEPzZ.exe
  2⤵
  PID:4068
- C:\Windows\System32\QhYcwHO.exe
  C:\Windows\System32\QhYcwHO.exe
  2⤵
  PID:4400
- C:\Windows\System32\eRpJpBB.exe
  C:\Windows\System32\eRpJpBB.exe
  2⤵
  PID:1848
- C:\Windows\System32\WVetntV.exe
  C:\Windows\System32\WVetntV.exe
  2⤵
  PID:1872
- C:\Windows\System32\dCLdgei.exe
  C:\Windows\System32\dCLdgei.exe
  2⤵
  PID:1916
- C:\Windows\System32\YKeGdft.exe
  C:\Windows\System32\YKeGdft.exe
  2⤵
  PID:4232
- C:\Windows\System32\LdCMXST.exe
  C:\Windows\System32\LdCMXST.exe
  2⤵
  PID:4092
- C:\Windows\System32\yFLiCnK.exe
  C:\Windows\System32\yFLiCnK.exe
  2⤵
  PID:208
- C:\Windows\System32\DBQMhGZ.exe
  C:\Windows\System32\DBQMhGZ.exe
  2⤵
  PID:2156
- C:\Windows\System32\jWVHZNF.exe
  C:\Windows\System32\jWVHZNF.exe
  2⤵
  PID:5040
- C:\Windows\System32\kEufkuV.exe
  C:\Windows\System32\kEufkuV.exe
  2⤵
  PID:4444
- C:\Windows\System32\MLTfOwt.exe
  C:\Windows\System32\MLTfOwt.exe
  2⤵
  PID:2788
- C:\Windows\System32\RHjyiqj.exe
  C:\Windows\System32\RHjyiqj.exe
  2⤵
  PID:1676
- C:\Windows\System32\jOgFHTw.exe
  C:\Windows\System32\jOgFHTw.exe
  2⤵
  PID:3648
- C:\Windows\System32\oXNkskC.exe
  C:\Windows\System32\oXNkskC.exe
  2⤵
  PID:4532
- C:\Windows\System32\MkEzUAN.exe
  C:\Windows\System32\MkEzUAN.exe
  2⤵
  PID:5148
- C:\Windows\System32\NWZoPsr.exe
  C:\Windows\System32\NWZoPsr.exe
  2⤵
  PID:5188
- C:\Windows\System32\KuhEmfe.exe
  C:\Windows\System32\KuhEmfe.exe
  2⤵
  PID:5204
- C:\Windows\System32\oEzmXyU.exe
  C:\Windows\System32\oEzmXyU.exe
  2⤵
  PID:5232
- C:\Windows\System32\CdEgRXP.exe
  C:\Windows\System32\CdEgRXP.exe
  2⤵
  PID:5260
- C:\Windows\System32\ITSaUOw.exe
  C:\Windows\System32\ITSaUOw.exe
  2⤵
  PID:5288
- C:\Windows\System32\LPHqcPp.exe
  C:\Windows\System32\LPHqcPp.exe
  2⤵
  PID:5324
- C:\Windows\System32\ZikmTFe.exe
  C:\Windows\System32\ZikmTFe.exe
  2⤵
  PID:5344
- C:\Windows\System32\AJjOYcF.exe
  C:\Windows\System32\AJjOYcF.exe
  2⤵
  PID:5372
- C:\Windows\System32\ZvkKDAP.exe
  C:\Windows\System32\ZvkKDAP.exe
  2⤵
  PID:5400
- C:\Windows\System32\gMySZFB.exe
  C:\Windows\System32\gMySZFB.exe
  2⤵
  PID:5436
- C:\Windows\System32\xjklBgT.exe
  C:\Windows\System32\xjklBgT.exe
  2⤵
  PID:5456
- C:\Windows\System32\HTqtdQx.exe
  C:\Windows\System32\HTqtdQx.exe
  2⤵
  PID:5484
- C:\Windows\System32\UogCciv.exe
  C:\Windows\System32\UogCciv.exe
  2⤵
  PID:5512
- C:\Windows\System32\xxeBEwm.exe
  C:\Windows\System32\xxeBEwm.exe
  2⤵
  PID:5536
- C:\Windows\System32\oipRNcH.exe
  C:\Windows\System32\oipRNcH.exe
  2⤵
  PID:5568
- C:\Windows\System32\YVhiMUR.exe
  C:\Windows\System32\YVhiMUR.exe
  2⤵
  PID:5608
- C:\Windows\System32\qSWMpzb.exe
  C:\Windows\System32\qSWMpzb.exe
  2⤵
  PID:5624
- C:\Windows\System32\KpVAlaq.exe
  C:\Windows\System32\KpVAlaq.exe
  2⤵
  PID:5648
- C:\Windows\System32\dZienWA.exe
  C:\Windows\System32\dZienWA.exe
  2⤵
  PID:5680
- C:\Windows\System32\JThwSOj.exe
  C:\Windows\System32\JThwSOj.exe
  2⤵
  PID:5708
- C:\Windows\System32\rDsNMhO.exe
  C:\Windows\System32\rDsNMhO.exe
  2⤵
  PID:5736
- C:\Windows\System32\PehynhC.exe
  C:\Windows\System32\PehynhC.exe
  2⤵
  PID:5764
- C:\Windows\System32\tgguAUU.exe
  C:\Windows\System32\tgguAUU.exe
  2⤵
  PID:5792
- C:\Windows\System32\FoJmHBu.exe
  C:\Windows\System32\FoJmHBu.exe
  2⤵
  PID:5820
- C:\Windows\System32\UYyKnVm.exe
  C:\Windows\System32\UYyKnVm.exe
  2⤵
  PID:5848
- C:\Windows\System32\JjHUVOv.exe
  C:\Windows\System32\JjHUVOv.exe
  2⤵
  PID:5876
- C:\Windows\System32\NmZIyMZ.exe
  C:\Windows\System32\NmZIyMZ.exe
  2⤵
  PID:5904
- C:\Windows\System32\uHkqdPK.exe
  C:\Windows\System32\uHkqdPK.exe
  2⤵
  PID:5944
- C:\Windows\System32\aAOiqRG.exe
  C:\Windows\System32\aAOiqRG.exe
  2⤵
  PID:5960
- C:\Windows\System32\DoZJgHy.exe
  C:\Windows\System32\DoZJgHy.exe
  2⤵
  PID:5984
- C:\Windows\System32\XsKhjer.exe
  C:\Windows\System32\XsKhjer.exe
  2⤵
  PID:6016
- C:\Windows\System32\TqahyBA.exe
  C:\Windows\System32\TqahyBA.exe
  2⤵
  PID:6044
- C:\Windows\System32\AouVKiM.exe
  C:\Windows\System32\AouVKiM.exe
  2⤵
  PID:6072
- C:\Windows\System32\JCBCjRS.exe
  C:\Windows\System32\JCBCjRS.exe
  2⤵
  PID:6100
- C:\Windows\System32\EjRwKMl.exe
  C:\Windows\System32\EjRwKMl.exe
  2⤵
  PID:6128
- C:\Windows\System32\QQTQyWr.exe
  C:\Windows\System32\QQTQyWr.exe
  2⤵
  PID:3268
- C:\Windows\System32\ecbdzvc.exe
  C:\Windows\System32\ecbdzvc.exe
  2⤵
  PID:5128
- C:\Windows\System32\NEIzVsZ.exe
  C:\Windows\System32\NEIzVsZ.exe
  2⤵
  PID:5224
- C:\Windows\System32\Jatrqmj.exe
  C:\Windows\System32\Jatrqmj.exe
  2⤵
  PID:5252
- C:\Windows\System32\zPwnIzS.exe
  C:\Windows\System32\zPwnIzS.exe
  2⤵
  PID:5340
- C:\Windows\System32\pDyPvaS.exe
  C:\Windows\System32\pDyPvaS.exe
  2⤵
  PID:5364
- C:\Windows\System32\IRwrftQ.exe
  C:\Windows\System32\IRwrftQ.exe
  2⤵
  PID:5408
- C:\Windows\System32\pjyWSmj.exe
  C:\Windows\System32\pjyWSmj.exe
  2⤵
  PID:5496
- C:\Windows\System32\JdbjGQu.exe
  C:\Windows\System32\JdbjGQu.exe
  2⤵
  PID:5580
- C:\Windows\System32\FYaUQxX.exe
  C:\Windows\System32\FYaUQxX.exe
  2⤵
  PID:5620
- C:\Windows\System32\oPGXvJc.exe
  C:\Windows\System32\oPGXvJc.exe
  2⤵
  PID:5664
- C:\Windows\System32\RqlpIPs.exe
  C:\Windows\System32\RqlpIPs.exe
  2⤵
  PID:5784
- C:\Windows\System32\ybmyJiY.exe
  C:\Windows\System32\ybmyJiY.exe
  2⤵
  PID:5812
- C:\Windows\System32\fGqHhJc.exe
  C:\Windows\System32\fGqHhJc.exe
  2⤵
  PID:5860
- C:\Windows\System32\lpZqFhw.exe
  C:\Windows\System32\lpZqFhw.exe
  2⤵
  PID:5916
- C:\Windows\System32\aZbbPMe.exe
  C:\Windows\System32\aZbbPMe.exe
  2⤵
  PID:5972
- C:\Windows\System32\WHJhqBg.exe
  C:\Windows\System32\WHJhqBg.exe
  2⤵
  PID:6028
- C:\Windows\System32\utBvjRr.exe
  C:\Windows\System32\utBvjRr.exe
  2⤵
  PID:6080
- C:\Windows\System32\AjnVSRd.exe
  C:\Windows\System32\AjnVSRd.exe
  2⤵
  PID:1464
- C:\Windows\System32\SZnErsJ.exe
  C:\Windows\System32\SZnErsJ.exe
  2⤵
  PID:5160
- C:\Windows\System32\VFXNEmR.exe
  C:\Windows\System32\VFXNEmR.exe
  2⤵
  PID:5308
- C:\Windows\System32\NDiWrOw.exe
  C:\Windows\System32\NDiWrOw.exe
  2⤵
  PID:5392
- C:\Windows\System32\KrYBQOi.exe
  C:\Windows\System32\KrYBQOi.exe
  2⤵
  PID:5524
- C:\Windows\System32\QftUNhn.exe
  C:\Windows\System32\QftUNhn.exe
  2⤵
  PID:5656
- C:\Windows\System32\AsapxRy.exe
  C:\Windows\System32\AsapxRy.exe
  2⤵
  PID:5800
- C:\Windows\System32\oFFjKHZ.exe
  C:\Windows\System32\oFFjKHZ.exe
  2⤵
  PID:5956
- C:\Windows\System32\rwOPAsS.exe
  C:\Windows\System32\rwOPAsS.exe
  2⤵
  PID:6056
- C:\Windows\System32\xzzPutf.exe
  C:\Windows\System32\xzzPutf.exe
  2⤵
  PID:6108
- C:\Windows\System32\YZtgtqH.exe
  C:\Windows\System32\YZtgtqH.exe
  2⤵
  PID:3696
- C:\Windows\System32\knzkgNT.exe
  C:\Windows\System32\knzkgNT.exe
  2⤵
  PID:6168
- C:\Windows\System32\DoZDeth.exe
  C:\Windows\System32\DoZDeth.exe
  2⤵
  PID:6196
- C:\Windows\System32\WzaYBEv.exe
  C:\Windows\System32\WzaYBEv.exe
  2⤵
  PID:6224
- C:\Windows\System32\iZZAGCj.exe
  C:\Windows\System32\iZZAGCj.exe
  2⤵
  PID:6252
- C:\Windows\System32\aZxAswU.exe
  C:\Windows\System32\aZxAswU.exe
  2⤵
  PID:6292
- C:\Windows\System32\QmbVVfa.exe
  C:\Windows\System32\QmbVVfa.exe
  2⤵
  PID:6320
- C:\Windows\System32\SPlgYIv.exe
  C:\Windows\System32\SPlgYIv.exe
  2⤵
  PID:6336
- C:\Windows\System32\yJgziTU.exe
  C:\Windows\System32\yJgziTU.exe
  2⤵
  PID:6364
- C:\Windows\System32\sJySwpY.exe
  C:\Windows\System32\sJySwpY.exe
  2⤵
  PID:6392
- C:\Windows\System32\HPHXqFK.exe
  C:\Windows\System32\HPHXqFK.exe
  2⤵
  PID:6420
- C:\Windows\System32\JsCRdev.exe
  C:\Windows\System32\JsCRdev.exe
  2⤵
  PID:6448
- C:\Windows\System32\sDnbyRG.exe
  C:\Windows\System32\sDnbyRG.exe
  2⤵
  PID:6476
- C:\Windows\System32\BWekieA.exe
  C:\Windows\System32\BWekieA.exe
  2⤵
  PID:6504
- C:\Windows\System32\tMStreV.exe
  C:\Windows\System32\tMStreV.exe
  2⤵
  PID:6532
- C:\Windows\System32\LuLauBK.exe
  C:\Windows\System32\LuLauBK.exe
  2⤵
  PID:6560
- C:\Windows\System32\FuBJEno.exe
  C:\Windows\System32\FuBJEno.exe
  2⤵
  PID:6588
- C:\Windows\System32\PYgCPOe.exe
  C:\Windows\System32\PYgCPOe.exe
  2⤵
  PID:6616
- C:\Windows\System32\OlldOJh.exe
  C:\Windows\System32\OlldOJh.exe
  2⤵
  PID:6644
- C:\Windows\System32\XlaRUZX.exe
  C:\Windows\System32\XlaRUZX.exe
  2⤵
  PID:6672
- C:\Windows\System32\uXJJTaR.exe
  C:\Windows\System32\uXJJTaR.exe
  2⤵
  PID:6712
- C:\Windows\System32\FBtIWYq.exe
  C:\Windows\System32\FBtIWYq.exe
  2⤵
  PID:6728
- C:\Windows\System32\zkeRSgX.exe
  C:\Windows\System32\zkeRSgX.exe
  2⤵
  PID:6756
- C:\Windows\System32\LcDJXDS.exe
  C:\Windows\System32\LcDJXDS.exe
  2⤵
  PID:6784
- C:\Windows\System32\HJYppSH.exe
  C:\Windows\System32\HJYppSH.exe
  2⤵
  PID:6812
- C:\Windows\System32\HUFFKwf.exe
  C:\Windows\System32\HUFFKwf.exe
  2⤵
  PID:6840
- C:\Windows\System32\VmbzOqu.exe
  C:\Windows\System32\VmbzOqu.exe
  2⤵
  PID:6868
- C:\Windows\System32\QaEFbZY.exe
  C:\Windows\System32\QaEFbZY.exe
  2⤵
  PID:6896
- C:\Windows\System32\NXKPEWy.exe
  C:\Windows\System32\NXKPEWy.exe
  2⤵
  PID:6924
- C:\Windows\System32\sQkvOQh.exe
  C:\Windows\System32\sQkvOQh.exe
  2⤵
  PID:6952
- C:\Windows\System32\oSJUDID.exe
  C:\Windows\System32\oSJUDID.exe
  2⤵
  PID:6980
- C:\Windows\System32\efhNKaK.exe
  C:\Windows\System32\efhNKaK.exe
  2⤵
  PID:7008
- C:\Windows\System32\RrOIaLS.exe
  C:\Windows\System32\RrOIaLS.exe
  2⤵
  PID:7048
- C:\Windows\System32\RZbDDZU.exe
  C:\Windows\System32\RZbDDZU.exe
  2⤵
  PID:7064
- C:\Windows\System32\lFsXnAt.exe
  C:\Windows\System32\lFsXnAt.exe
  2⤵
  PID:7104
- C:\Windows\System32\oVxPraL.exe
  C:\Windows\System32\oVxPraL.exe
  2⤵
  PID:7132
- C:\Windows\System32\QOxRJdI.exe
  C:\Windows\System32\QOxRJdI.exe
  2⤵
  PID:7148
- C:\Windows\System32\qJwQluQ.exe
  C:\Windows\System32\qJwQluQ.exe
  2⤵
  PID:5272
- C:\Windows\System32\GtAJLWo.exe
  C:\Windows\System32\GtAJLWo.exe
  2⤵
  PID:3056
- C:\Windows\System32\xURUSjg.exe
  C:\Windows\System32\xURUSjg.exe
  2⤵
  PID:5832
- C:\Windows\System32\dYZczFq.exe
  C:\Windows\System32\dYZczFq.exe
  2⤵
  PID:6140
- C:\Windows\System32\mchLGSd.exe
  C:\Windows\System32\mchLGSd.exe
  2⤵
  PID:6152
- C:\Windows\System32\PqeFNMv.exe
  C:\Windows\System32\PqeFNMv.exe
  2⤵
  PID:6216
- C:\Windows\System32\ZxYFPiX.exe
  C:\Windows\System32\ZxYFPiX.exe
  2⤵
  PID:2552
- C:\Windows\System32\UlfArrc.exe
  C:\Windows\System32\UlfArrc.exe
  2⤵
  PID:6304
- C:\Windows\System32\WPUSioi.exe
  C:\Windows\System32\WPUSioi.exe
  2⤵
  PID:6348
- C:\Windows\System32\dBssAMR.exe
  C:\Windows\System32\dBssAMR.exe
  2⤵
  PID:6376
- C:\Windows\System32\MpPfTAt.exe
  C:\Windows\System32\MpPfTAt.exe
  2⤵
  PID:3356
- C:\Windows\System32\UQkfnxu.exe
  C:\Windows\System32\UQkfnxu.exe
  2⤵
  PID:6488
- C:\Windows\System32\PYwsTNP.exe
  C:\Windows\System32\PYwsTNP.exe
  2⤵
  PID:6544
- C:\Windows\System32\jedeeKX.exe
  C:\Windows\System32\jedeeKX.exe
  2⤵
  PID:6608
- C:\Windows\System32\KQaQXzY.exe
  C:\Windows\System32\KQaQXzY.exe
  2⤵
  PID:6628
- C:\Windows\System32\PFWfdUI.exe
  C:\Windows\System32\PFWfdUI.exe
  2⤵
  PID:1188
- C:\Windows\System32\eXcAApH.exe
  C:\Windows\System32\eXcAApH.exe
  2⤵
  PID:6736
- C:\Windows\System32\IjwxxzH.exe
  C:\Windows\System32\IjwxxzH.exe
  2⤵
  PID:6804
- C:\Windows\System32\PVVVmAH.exe
  C:\Windows\System32\PVVVmAH.exe
  2⤵
  PID:6824
- C:\Windows\System32\okeBahz.exe
  C:\Windows\System32\okeBahz.exe
  2⤵
  PID:6888
- C:\Windows\System32\BBTVEpv.exe
  C:\Windows\System32\BBTVEpv.exe
  2⤵
  PID:6932
- C:\Windows\System32\DIphPGY.exe
  C:\Windows\System32\DIphPGY.exe
  2⤵
  PID:7000
- C:\Windows\System32\flUZXtg.exe
  C:\Windows\System32\flUZXtg.exe
  2⤵
  PID:7072
- C:\Windows\System32\uhvAHRq.exe
  C:\Windows\System32\uhvAHRq.exe
  2⤵
  PID:7144
- C:\Windows\System32\VFHPLEI.exe
  C:\Windows\System32\VFHPLEI.exe
  2⤵
  PID:3608
- C:\Windows\System32\OlUkRmd.exe
  C:\Windows\System32\OlUkRmd.exe
  2⤵
  PID:6092
- C:\Windows\System32\EAvUWxM.exe
  C:\Windows\System32\EAvUWxM.exe
  2⤵
  PID:6284
- C:\Windows\System32\McPRIot.exe
  C:\Windows\System32\McPRIot.exe
  2⤵
  PID:952
- C:\Windows\System32\IkvRZhv.exe
  C:\Windows\System32\IkvRZhv.exe
  2⤵
  PID:6460
- C:\Windows\System32\JATXShh.exe
  C:\Windows\System32\JATXShh.exe
  2⤵
  PID:6600
- C:\Windows\System32\LQsFRGA.exe
  C:\Windows\System32\LQsFRGA.exe
  2⤵
  PID:6656
- C:\Windows\System32\iqIyqXz.exe
  C:\Windows\System32\iqIyqXz.exe
  2⤵
  PID:2000
- C:\Windows\System32\MhsJsnr.exe
  C:\Windows\System32\MhsJsnr.exe
  2⤵
  PID:3148
- C:\Windows\System32\YQLnzvq.exe
  C:\Windows\System32\YQLnzvq.exe
  2⤵
  PID:3320
- C:\Windows\System32\NchIYKE.exe
  C:\Windows\System32\NchIYKE.exe
  2⤵
  PID:6820
- C:\Windows\System32\MkwnCLR.exe
  C:\Windows\System32\MkwnCLR.exe
  2⤵
  PID:6960
- C:\Windows\System32\lTeWBoB.exe
  C:\Windows\System32\lTeWBoB.exe
  2⤵
  PID:5016
- C:\Windows\System32\uGpuCoL.exe
  C:\Windows\System32\uGpuCoL.exe
  2⤵
  PID:3940
- C:\Windows\System32\JHwMODA.exe
  C:\Windows\System32\JHwMODA.exe
  2⤵
  PID:4088
- C:\Windows\System32\irTTHhU.exe
  C:\Windows\System32\irTTHhU.exe
  2⤵
  PID:3604
- C:\Windows\System32\uqxtRoQ.exe
  C:\Windows\System32\uqxtRoQ.exe
  2⤵
  PID:4312
- C:\Windows\System32\sSyMnNx.exe
  C:\Windows\System32\sSyMnNx.exe
  2⤵
  PID:3004
- C:\Windows\System32\TEfUSaV.exe
  C:\Windows\System32\TEfUSaV.exe
  2⤵
  PID:6992
- C:\Windows\System32\UXBMhiK.exe
  C:\Windows\System32\UXBMhiK.exe
  2⤵
  PID:2388
- C:\Windows\System32\FyFpJLN.exe
  C:\Windows\System32\FyFpJLN.exe
  2⤵
  PID:5636
- C:\Windows\System32\iqAMSjD.exe
  C:\Windows\System32\iqAMSjD.exe
  2⤵
  PID:7196
- C:\Windows\System32\EHDEGgd.exe
  C:\Windows\System32\EHDEGgd.exe
  2⤵
  PID:7224
- C:\Windows\System32\swIojAu.exe
  C:\Windows\System32\swIojAu.exe
  2⤵
  PID:7252
- C:\Windows\System32\TuKDNFZ.exe
  C:\Windows\System32\TuKDNFZ.exe
  2⤵
  PID:7280
- C:\Windows\System32\qZjcRpm.exe
  C:\Windows\System32\qZjcRpm.exe
  2⤵
  PID:7308
- C:\Windows\System32\SFtlCQM.exe
  C:\Windows\System32\SFtlCQM.exe
  2⤵
  PID:7336
- C:\Windows\System32\uaEcfMG.exe
  C:\Windows\System32\uaEcfMG.exe
  2⤵
  PID:7364
- C:\Windows\System32\HJnBBGs.exe
  C:\Windows\System32\HJnBBGs.exe
  2⤵
  PID:7392
- C:\Windows\System32\eVtbSVC.exe
  C:\Windows\System32\eVtbSVC.exe
  2⤵
  PID:7416
- C:\Windows\System32\HZDNWnl.exe
  C:\Windows\System32\HZDNWnl.exe
  2⤵
  PID:7440
- C:\Windows\System32\ixSthnu.exe
  C:\Windows\System32\ixSthnu.exe
  2⤵
  PID:7476
- C:\Windows\System32\hWBwgsC.exe
  C:\Windows\System32\hWBwgsC.exe
  2⤵
  PID:7504
- C:\Windows\System32\RCFPbCe.exe
  C:\Windows\System32\RCFPbCe.exe
  2⤵
  PID:7532
- C:\Windows\System32\NDuOcBF.exe
  C:\Windows\System32\NDuOcBF.exe
  2⤵
  PID:7560
- C:\Windows\System32\eVSmvGW.exe
  C:\Windows\System32\eVSmvGW.exe
  2⤵
  PID:7588
- C:\Windows\System32\gWeTbOg.exe
  C:\Windows\System32\gWeTbOg.exe
  2⤵
  PID:7616
- C:\Windows\System32\RZFCCRd.exe
  C:\Windows\System32\RZFCCRd.exe
  2⤵
  PID:7648
- C:\Windows\System32\zmeKGAD.exe
  C:\Windows\System32\zmeKGAD.exe
  2⤵
  PID:7680
- C:\Windows\System32\hldLnuq.exe
  C:\Windows\System32\hldLnuq.exe
  2⤵
  PID:7708
- C:\Windows\System32\ZdZOtdx.exe
  C:\Windows\System32\ZdZOtdx.exe
  2⤵
  PID:7740
- C:\Windows\System32\OfATlxA.exe
  C:\Windows\System32\OfATlxA.exe
  2⤵
  PID:7776
- C:\Windows\System32\KVIipGC.exe
  C:\Windows\System32\KVIipGC.exe
  2⤵
  PID:7804
- C:\Windows\System32\qMikzzE.exe
  C:\Windows\System32\qMikzzE.exe
  2⤵
  PID:7832
- C:\Windows\System32\fgbhkxl.exe
  C:\Windows\System32\fgbhkxl.exe
  2⤵
  PID:7852
- C:\Windows\System32\IvxNnlL.exe
  C:\Windows\System32\IvxNnlL.exe
  2⤵
  PID:7892
- C:\Windows\System32\wlGVMOu.exe
  C:\Windows\System32\wlGVMOu.exe
  2⤵
  PID:7908
- C:\Windows\System32\hOaXIUt.exe
  C:\Windows\System32\hOaXIUt.exe
  2⤵
  PID:7948
- C:\Windows\System32\CZPfZcm.exe
  C:\Windows\System32\CZPfZcm.exe
  2⤵
  PID:7976
- C:\Windows\System32\OiqMHXZ.exe
  C:\Windows\System32\OiqMHXZ.exe
  2⤵
  PID:8004
- C:\Windows\System32\BJEiZHW.exe
  C:\Windows\System32\BJEiZHW.exe
  2⤵
  PID:8032
- C:\Windows\System32\pnubPBv.exe
  C:\Windows\System32\pnubPBv.exe
  2⤵
  PID:8052
- C:\Windows\System32\wHkKEsq.exe
  C:\Windows\System32\wHkKEsq.exe
  2⤵
  PID:8096
- C:\Windows\System32\OiyUSBi.exe
  C:\Windows\System32\OiyUSBi.exe
  2⤵
  PID:8116
- C:\Windows\System32\QuZFrmV.exe
  C:\Windows\System32\QuZFrmV.exe
  2⤵
  PID:8156
- C:\Windows\System32\yMWPXds.exe
  C:\Windows\System32\yMWPXds.exe
  2⤵
  PID:6400
- C:\Windows\System32\lffcuKl.exe
  C:\Windows\System32\lffcuKl.exe
  2⤵
  PID:7236
- C:\Windows\System32\eyhwdeL.exe
  C:\Windows\System32\eyhwdeL.exe
  2⤵
  PID:7316
- C:\Windows\System32\UuucIbG.exe
  C:\Windows\System32\UuucIbG.exe
  2⤵
  PID:7376
- C:\Windows\System32\tWeMteH.exe
  C:\Windows\System32\tWeMteH.exe
  2⤵
  PID:7424
- C:\Windows\System32\OoeKwjH.exe
  C:\Windows\System32\OoeKwjH.exe
  2⤵
  PID:7516
- C:\Windows\System32\ciEWYEd.exe
  C:\Windows\System32\ciEWYEd.exe
  2⤵
  PID:7548
- C:\Windows\System32\spXFqRa.exe
  C:\Windows\System32\spXFqRa.exe
  2⤵
  PID:7624
- C:\Windows\System32\FvWpdAL.exe
  C:\Windows\System32\FvWpdAL.exe
  2⤵
  PID:7696
- C:\Windows\System32\KJgUSaK.exe
  C:\Windows\System32\KJgUSaK.exe
  2⤵
  PID:7764
- C:\Windows\System32\FRdogkH.exe
  C:\Windows\System32\FRdogkH.exe
  2⤵
  PID:7840
- C:\Windows\System32\EKqLiXZ.exe
  C:\Windows\System32\EKqLiXZ.exe
  2⤵
  PID:7900
- C:\Windows\System32\LiOJMbY.exe
  C:\Windows\System32\LiOJMbY.exe
  2⤵
  PID:7996
- C:\Windows\System32\JhtTMzn.exe
  C:\Windows\System32\JhtTMzn.exe
  2⤵
  PID:8088
- C:\Windows\System32\twgtwsx.exe
  C:\Windows\System32\twgtwsx.exe
  2⤵
  PID:8136
- C:\Windows\System32\QZzmiQL.exe
  C:\Windows\System32\QZzmiQL.exe
  2⤵
  PID:7216
- C:\Windows\System32\cDVVaca.exe
  C:\Windows\System32\cDVVaca.exe
  2⤵
  PID:7352
- C:\Windows\System32\dsfBmjf.exe
  C:\Windows\System32\dsfBmjf.exe
  2⤵
  PID:7524
- C:\Windows\System32\kokFSQX.exe
  C:\Windows\System32\kokFSQX.exe
  2⤵
  PID:7664
- C:\Windows\System32\duSifDt.exe
  C:\Windows\System32\duSifDt.exe
  2⤵
  PID:7880
- C:\Windows\System32\wlhbizs.exe
  C:\Windows\System32\wlhbizs.exe
  2⤵
  PID:8060
- C:\Windows\System32\YaIJpiz.exe
  C:\Windows\System32\YaIJpiz.exe
  2⤵
  PID:8188
- C:\Windows\System32\zaaCtJd.exe
  C:\Windows\System32\zaaCtJd.exe
  2⤵
  PID:7484
- C:\Windows\System32\PBGrpSI.exe
  C:\Windows\System32\PBGrpSI.exe
  2⤵
  PID:7812
- C:\Windows\System32\lchMvrZ.exe
  C:\Windows\System32\lchMvrZ.exe
  2⤵
  PID:7800
- C:\Windows\System32\FNbDgKR.exe
  C:\Windows\System32\FNbDgKR.exe
  2⤵
  PID:7288
- C:\Windows\System32\ySSaAMI.exe
  C:\Windows\System32\ySSaAMI.exe
  2⤵
  PID:8228
- C:\Windows\System32\ANAUqUA.exe
  C:\Windows\System32\ANAUqUA.exe
  2⤵
  PID:8256
- C:\Windows\System32\vJZujLN.exe
  C:\Windows\System32\vJZujLN.exe
  2⤵
  PID:8284
- C:\Windows\System32\NdIyxHQ.exe
  C:\Windows\System32\NdIyxHQ.exe
  2⤵
  PID:8312
- C:\Windows\System32\kLgtBMG.exe
  C:\Windows\System32\kLgtBMG.exe
  2⤵
  PID:8340
- C:\Windows\System32\kIYLRsR.exe
  C:\Windows\System32\kIYLRsR.exe
  2⤵
  PID:8356
- C:\Windows\System32\rFtYblo.exe
  C:\Windows\System32\rFtYblo.exe
  2⤵
  PID:8392
- C:\Windows\System32\MtTlxJK.exe
  C:\Windows\System32\MtTlxJK.exe
  2⤵
  PID:8412
- C:\Windows\System32\cZEHNKn.exe
  C:\Windows\System32\cZEHNKn.exe
  2⤵
  PID:8440
- C:\Windows\System32\OWlPYVb.exe
  C:\Windows\System32\OWlPYVb.exe
  2⤵
  PID:8472
- C:\Windows\System32\TEwnHDC.exe
  C:\Windows\System32\TEwnHDC.exe
  2⤵
  PID:8504
- C:\Windows\System32\liDvOvm.exe
  C:\Windows\System32\liDvOvm.exe
  2⤵
  PID:8528
- C:\Windows\System32\YxatdPS.exe
  C:\Windows\System32\YxatdPS.exe
  2⤵
  PID:8552
- C:\Windows\System32\ozKpaip.exe
  C:\Windows\System32\ozKpaip.exe
  2⤵
  PID:8588
- C:\Windows\System32\vbsVKLL.exe
  C:\Windows\System32\vbsVKLL.exe
  2⤵
  PID:8616
- C:\Windows\System32\RqvUggt.exe
  C:\Windows\System32\RqvUggt.exe
  2⤵
  PID:8652
- C:\Windows\System32\NNdVsQT.exe
  C:\Windows\System32\NNdVsQT.exe
  2⤵
  PID:8680
- C:\Windows\System32\ivqCZHw.exe
  C:\Windows\System32\ivqCZHw.exe
  2⤵
  PID:8708
- C:\Windows\System32\qrCAOFh.exe
  C:\Windows\System32\qrCAOFh.exe
  2⤵
  PID:8740
- C:\Windows\System32\EQMBWuU.exe
  C:\Windows\System32\EQMBWuU.exe
  2⤵
  PID:8756
- C:\Windows\System32\nRYLUyh.exe
  C:\Windows\System32\nRYLUyh.exe
  2⤵
  PID:8772
- C:\Windows\System32\thjdVvF.exe
  C:\Windows\System32\thjdVvF.exe
  2⤵
  PID:8792
- C:\Windows\System32\AEnjUtg.exe
  C:\Windows\System32\AEnjUtg.exe
  2⤵
  PID:8836
- C:\Windows\System32\HLWlxBh.exe
  C:\Windows\System32\HLWlxBh.exe
  2⤵
  PID:8880
- C:\Windows\System32\pVVRJQr.exe
  C:\Windows\System32\pVVRJQr.exe
  2⤵
  PID:8908
- C:\Windows\System32\pccPgYf.exe
  C:\Windows\System32\pccPgYf.exe
  2⤵
  PID:8940
- C:\Windows\System32\irbEEBh.exe
  C:\Windows\System32\irbEEBh.exe
  2⤵
  PID:8960
- C:\Windows\System32\eSSoOiQ.exe
  C:\Windows\System32\eSSoOiQ.exe
  2⤵
  PID:8984
- C:\Windows\System32\VOfuQKC.exe
  C:\Windows\System32\VOfuQKC.exe
  2⤵
  PID:9016
- C:\Windows\System32\GdggTzL.exe
  C:\Windows\System32\GdggTzL.exe
  2⤵
  PID:9048
- C:\Windows\System32\arnHnPf.exe
  C:\Windows\System32\arnHnPf.exe
  2⤵
  PID:9076
- C:\Windows\System32\pFGYagF.exe
  C:\Windows\System32\pFGYagF.exe
  2⤵
  PID:9096
- C:\Windows\System32\GhwxLOG.exe
  C:\Windows\System32\GhwxLOG.exe
  2⤵
  PID:9140
- C:\Windows\System32\zBDXipn.exe
  C:\Windows\System32\zBDXipn.exe
  2⤵
  PID:9160
- C:\Windows\System32\FZsTPSy.exe
  C:\Windows\System32\FZsTPSy.exe
  2⤵
  PID:9188
- C:\Windows\System32\KaKigxl.exe
  C:\Windows\System32\KaKigxl.exe
  2⤵
  PID:8280
- C:\Windows\System32\jAaLErd.exe
  C:\Windows\System32\jAaLErd.exe
  2⤵
  PID:8332
- C:\Windows\System32\OmAWhCI.exe
  C:\Windows\System32\OmAWhCI.exe
  2⤵
  PID:8376
- C:\Windows\System32\OssAPiM.exe
  C:\Windows\System32\OssAPiM.exe
  2⤵
  PID:8464
- C:\Windows\System32\vWudojN.exe
  C:\Windows\System32\vWudojN.exe
  2⤵
  PID:8520
- C:\Windows\System32\QTrKulR.exe
  C:\Windows\System32\QTrKulR.exe
  2⤵
  PID:8596
- C:\Windows\System32\PcBtZtg.exe
  C:\Windows\System32\PcBtZtg.exe
  2⤵
  PID:8636
- C:\Windows\System32\CmiOmbc.exe
  C:\Windows\System32\CmiOmbc.exe
  2⤵
  PID:8732
- C:\Windows\System32\MIuxznu.exe
  C:\Windows\System32\MIuxznu.exe
  2⤵
  PID:8808
- C:\Windows\System32\DkpQgBj.exe
  C:\Windows\System32\DkpQgBj.exe
  2⤵
  PID:8812
- C:\Windows\System32\VbGBCOa.exe
  C:\Windows\System32\VbGBCOa.exe
  2⤵
  PID:7552
- C:\Windows\System32\pBPsZxg.exe
  C:\Windows\System32\pBPsZxg.exe
  2⤵
  PID:8948
- C:\Windows\System32\ODGoqRG.exe
  C:\Windows\System32\ODGoqRG.exe
  2⤵
  PID:9056
- C:\Windows\System32\OrctMDM.exe
  C:\Windows\System32\OrctMDM.exe
  2⤵
  PID:9116
- C:\Windows\System32\ZgWPZQm.exe
  C:\Windows\System32\ZgWPZQm.exe
  2⤵
  PID:4244
- C:\Windows\System32\xbEJpbp.exe
  C:\Windows\System32\xbEJpbp.exe
  2⤵
  PID:9208
- C:\Windows\System32\zMWHjIc.exe
  C:\Windows\System32\zMWHjIc.exe
  2⤵
  PID:1240
- C:\Windows\System32\pRGZqON.exe
  C:\Windows\System32\pRGZqON.exe
  2⤵
  PID:1424
- C:\Windows\System32\TouzQot.exe
  C:\Windows\System32\TouzQot.exe
  2⤵
  PID:8424
- C:\Windows\System32\LccVYaW.exe
  C:\Windows\System32\LccVYaW.exe
  2⤵
  PID:8704
- C:\Windows\System32\BSyNNbC.exe
  C:\Windows\System32\BSyNNbC.exe
  2⤵
  PID:8804
- C:\Windows\System32\ySQKCif.exe
  C:\Windows\System32\ySQKCif.exe
  2⤵
  PID:8932
- C:\Windows\System32\OdVlRyn.exe
  C:\Windows\System32\OdVlRyn.exe
  2⤵
  PID:9088
- C:\Windows\System32\odOmQxy.exe
  C:\Windows\System32\odOmQxy.exe
  2⤵
  PID:3468
- C:\Windows\System32\bKxRMng.exe
  C:\Windows\System32\bKxRMng.exe
  2⤵
  PID:8348
- C:\Windows\System32\BDxNDcr.exe
  C:\Windows\System32\BDxNDcr.exe
  2⤵
  PID:8568
- C:\Windows\System32\ZNYmoFO.exe
  C:\Windows\System32\ZNYmoFO.exe
  2⤵
  PID:1672
- C:\Windows\System32\xeMnDYn.exe
  C:\Windows\System32\xeMnDYn.exe
  2⤵
  PID:1260
- C:\Windows\System32\gemLVot.exe
  C:\Windows\System32\gemLVot.exe
  2⤵
  PID:9236
- C:\Windows\System32\QFioeoY.exe
  C:\Windows\System32\QFioeoY.exe
  2⤵
  PID:9276
- C:\Windows\System32\WoMStOn.exe
  C:\Windows\System32\WoMStOn.exe
  2⤵
  PID:9312
- C:\Windows\System32\NTqYzcn.exe
  C:\Windows\System32\NTqYzcn.exe
  2⤵
  PID:9340
- C:\Windows\System32\GVphxKP.exe
  C:\Windows\System32\GVphxKP.exe
  2⤵
  PID:9364
- C:\Windows\System32\jNPvYLN.exe
  C:\Windows\System32\jNPvYLN.exe
  2⤵
  PID:9384
- C:\Windows\System32\zIxheJr.exe
  C:\Windows\System32\zIxheJr.exe
  2⤵
  PID:9412
- C:\Windows\System32\vHoidgi.exe
  C:\Windows\System32\vHoidgi.exe
  2⤵
  PID:9428
- C:\Windows\System32\DfYnbDN.exe
  C:\Windows\System32\DfYnbDN.exe
  2⤵
  PID:9476
- C:\Windows\System32\mbSRzIC.exe
  C:\Windows\System32\mbSRzIC.exe
  2⤵
  PID:9508
- C:\Windows\System32\DoXqIgp.exe
  C:\Windows\System32\DoXqIgp.exe
  2⤵
  PID:9536
- C:\Windows\System32\TCAmoqx.exe
  C:\Windows\System32\TCAmoqx.exe
  2⤵
  PID:9564
- C:\Windows\System32\LcpfPCn.exe
  C:\Windows\System32\LcpfPCn.exe
  2⤵
  PID:9592
- C:\Windows\System32\TekYTbt.exe
  C:\Windows\System32\TekYTbt.exe
  2⤵
  PID:9608
- C:\Windows\System32\ZnmwGVq.exe
  C:\Windows\System32\ZnmwGVq.exe
  2⤵
  PID:9636
- C:\Windows\System32\aSommpY.exe
  C:\Windows\System32\aSommpY.exe
  2⤵
  PID:9668
- C:\Windows\System32\tthAYoi.exe
  C:\Windows\System32\tthAYoi.exe
  2⤵
  PID:9708
- C:\Windows\System32\UyFrTLi.exe
  C:\Windows\System32\UyFrTLi.exe
  2⤵
  PID:9736
- C:\Windows\System32\zfDPeTv.exe
  C:\Windows\System32\zfDPeTv.exe
  2⤵
  PID:9768
- C:\Windows\System32\mfKqJBd.exe
  C:\Windows\System32\mfKqJBd.exe
  2⤵
  PID:9792
- C:\Windows\System32\ZHfMYIh.exe
  C:\Windows\System32\ZHfMYIh.exe
  2⤵
  PID:9820
- C:\Windows\System32\jaZOlgN.exe
  C:\Windows\System32\jaZOlgN.exe
  2⤵
  PID:9844
- C:\Windows\System32\WHQbqbG.exe
  C:\Windows\System32\WHQbqbG.exe
  2⤵
  PID:9892
- C:\Windows\System32\rAgYkTu.exe
  C:\Windows\System32\rAgYkTu.exe
  2⤵
  PID:9920
- C:\Windows\System32\RovvrmW.exe
  C:\Windows\System32\RovvrmW.exe
  2⤵
  PID:9936
- C:\Windows\System32\npZyGgD.exe
  C:\Windows\System32\npZyGgD.exe
  2⤵
  PID:9968
- C:\Windows\System32\Avelppl.exe
  C:\Windows\System32\Avelppl.exe
  2⤵
  PID:10004
- C:\Windows\System32\togXLpr.exe
  C:\Windows\System32\togXLpr.exe
  2⤵
  PID:10024
- C:\Windows\System32\eIchSqY.exe
  C:\Windows\System32\eIchSqY.exe
  2⤵
  PID:10052
- C:\Windows\System32\IprtbEy.exe
  C:\Windows\System32\IprtbEy.exe
  2⤵
  PID:10076
- C:\Windows\System32\MeyyjhK.exe
  C:\Windows\System32\MeyyjhK.exe
  2⤵
  PID:10112
- C:\Windows\System32\NVatiqx.exe
  C:\Windows\System32\NVatiqx.exe
  2⤵
  PID:10136
- C:\Windows\System32\bAlpTZR.exe
  C:\Windows\System32\bAlpTZR.exe
  2⤵
  PID:10180
- C:\Windows\System32\ocmxnfC.exe
  C:\Windows\System32\ocmxnfC.exe
  2⤵
  PID:10200
- C:\Windows\System32\aCwtGWo.exe
  C:\Windows\System32\aCwtGWo.exe
  2⤵
  PID:10220
- C:\Windows\System32\deSHpPG.exe
  C:\Windows\System32\deSHpPG.exe
  2⤵
  PID:9232
- C:\Windows\System32\BCyDTBl.exe
  C:\Windows\System32\BCyDTBl.exe
  2⤵
  PID:9292
- C:\Windows\System32\cawImco.exe
  C:\Windows\System32\cawImco.exe
  2⤵
  PID:9324
- C:\Windows\System32\XlbuIzx.exe
  C:\Windows\System32\XlbuIzx.exe
  2⤵
  PID:9400
- C:\Windows\System32\yQgLHkk.exe
  C:\Windows\System32\yQgLHkk.exe
  2⤵
  PID:9560
- C:\Windows\System32\AfBkgJH.exe
  C:\Windows\System32\AfBkgJH.exe
  2⤵
  PID:9620
- C:\Windows\System32\xKokUGt.exe
  C:\Windows\System32\xKokUGt.exe
  2⤵
  PID:9700
- C:\Windows\System32\DiCPNZL.exe
  C:\Windows\System32\DiCPNZL.exe
  2⤵
  PID:9760
- C:\Windows\System32\yFOFHYg.exe
  C:\Windows\System32\yFOFHYg.exe
  2⤵
  PID:1596
- C:\Windows\System32\fAFJOBq.exe
  C:\Windows\System32\fAFJOBq.exe
  2⤵
  PID:9828
- C:\Windows\System32\rbVRgFh.exe
  C:\Windows\System32\rbVRgFh.exe
  2⤵
  PID:9912
- C:\Windows\System32\FxVUroJ.exe
  C:\Windows\System32\FxVUroJ.exe
  2⤵
  PID:10032
- C:\Windows\System32\uwvQZBQ.exe
  C:\Windows\System32\uwvQZBQ.exe
  2⤵
  PID:10060
- C:\Windows\System32\ZXczqMl.exe
  C:\Windows\System32\ZXczqMl.exe
  2⤵
  PID:10100
- C:\Windows\System32\jYiMdKG.exe
  C:\Windows\System32\jYiMdKG.exe
  2⤵
  PID:10152
- C:\Windows\System32\nfdxDbb.exe
  C:\Windows\System32\nfdxDbb.exe
  2⤵
  PID:10228
- C:\Windows\System32\qbKkbAg.exe
  C:\Windows\System32\qbKkbAg.exe
  2⤵
  PID:9304
- C:\Windows\System32\vboJpcI.exe
  C:\Windows\System32\vboJpcI.exe
  2⤵
  PID:9484
- C:\Windows\System32\veiuzad.exe
  C:\Windows\System32\veiuzad.exe
  2⤵
  PID:9748
- C:\Windows\System32\OZJrXAQ.exe
  C:\Windows\System32\OZJrXAQ.exe
  2⤵
  PID:9808
- C:\Windows\System32\jXekqQm.exe
  C:\Windows\System32\jXekqQm.exe
  2⤵
  PID:9860
- C:\Windows\System32\oyxdaEX.exe
  C:\Windows\System32\oyxdaEX.exe
  2⤵
  PID:9956
- C:\Windows\System32\wcYrgkp.exe
  C:\Windows\System32\wcYrgkp.exe
  2⤵
  PID:10068
- C:\Windows\System32\YofGuUJ.exe
  C:\Windows\System32\YofGuUJ.exe
  2⤵
  PID:9264
- C:\Windows\System32\ujjOvCV.exe
  C:\Windows\System32\ujjOvCV.exe
  2⤵
  PID:9776
- C:\Windows\System32\vWHPCme.exe
  C:\Windows\System32\vWHPCme.exe
  2⤵
  PID:9664
- C:\Windows\System32\UMeAMyN.exe
  C:\Windows\System32\UMeAMyN.exe
  2⤵
  PID:10132
- C:\Windows\System32\iomwdZK.exe
  C:\Windows\System32\iomwdZK.exe
  2⤵
  PID:9464
- C:\Windows\System32\DACkNEp.exe
  C:\Windows\System32\DACkNEp.exe
  2⤵
  PID:9624
- C:\Windows\System32\aPJcbkT.exe
  C:\Windows\System32\aPJcbkT.exe
  2⤵
  PID:10264
- C:\Windows\System32\kSnWOtv.exe
  C:\Windows\System32\kSnWOtv.exe
  2⤵
  PID:10284
- C:\Windows\System32\yfuVCKW.exe
  C:\Windows\System32\yfuVCKW.exe
  2⤵
  PID:10312
- C:\Windows\System32\hDGxHZL.exe
  C:\Windows\System32\hDGxHZL.exe
  2⤵
  PID:10344
- C:\Windows\System32\PJohHrf.exe
  C:\Windows\System32\PJohHrf.exe
  2⤵
  PID:10392
- C:\Windows\System32\boYuJdE.exe
  C:\Windows\System32\boYuJdE.exe
  2⤵
  PID:10412
- C:\Windows\System32\KOKjfaL.exe
  C:\Windows\System32\KOKjfaL.exe
  2⤵
  PID:10452
- C:\Windows\System32\cGsCuWE.exe
  C:\Windows\System32\cGsCuWE.exe
  2⤵
  PID:10472
- C:\Windows\System32\WINxxNj.exe
  C:\Windows\System32\WINxxNj.exe
  2⤵
  PID:10488
- C:\Windows\System32\mATjqmb.exe
  C:\Windows\System32\mATjqmb.exe
  2⤵
  PID:10520
- C:\Windows\System32\NKXAcpc.exe
  C:\Windows\System32\NKXAcpc.exe
  2⤵
  PID:10544
- C:\Windows\System32\jKMsfqC.exe
  C:\Windows\System32\jKMsfqC.exe
  2⤵
  PID:10584
- C:\Windows\System32\HiBAvYZ.exe
  C:\Windows\System32\HiBAvYZ.exe
  2⤵
  PID:10604
- C:\Windows\System32\rUUtQKl.exe
  C:\Windows\System32\rUUtQKl.exe
  2⤵
  PID:10624
- C:\Windows\System32\ACNoAtK.exe
  C:\Windows\System32\ACNoAtK.exe
  2⤵
  PID:10664
- C:\Windows\System32\ypTSBLt.exe
  C:\Windows\System32\ypTSBLt.exe
  2⤵
  PID:10692
- C:\Windows\System32\fffztWu.exe
  C:\Windows\System32\fffztWu.exe
  2⤵
  PID:10720
- C:\Windows\System32\COhpqfD.exe
  C:\Windows\System32\COhpqfD.exe
  2⤵
  PID:10764
- C:\Windows\System32\yhTVFhX.exe
  C:\Windows\System32\yhTVFhX.exe
  2⤵
  PID:10784
- C:\Windows\System32\UervOaH.exe
  C:\Windows\System32\UervOaH.exe
  2⤵
  PID:10824
- C:\Windows\System32\zehUWZV.exe
  C:\Windows\System32\zehUWZV.exe
  2⤵
  PID:10840
- C:\Windows\System32\TIpOaql.exe
  C:\Windows\System32\TIpOaql.exe
  2⤵
  PID:10868
- C:\Windows\System32\KAhpcfg.exe
  C:\Windows\System32\KAhpcfg.exe
  2⤵
  PID:10908
- C:\Windows\System32\ctKLTwQ.exe
  C:\Windows\System32\ctKLTwQ.exe
  2⤵
  PID:10932
- C:\Windows\System32\SfEoyny.exe
  C:\Windows\System32\SfEoyny.exe
  2⤵
  PID:10964
- C:\Windows\System32\JjGDcJq.exe
  C:\Windows\System32\JjGDcJq.exe
  2⤵
  PID:10980
- C:\Windows\System32\lSLQqEe.exe
  C:\Windows\System32\lSLQqEe.exe
  2⤵
  PID:11000
- C:\Windows\System32\TndeGxk.exe
  C:\Windows\System32\TndeGxk.exe
  2⤵
  PID:11044
- C:\Windows\System32\TCfIKZP.exe
  C:\Windows\System32\TCfIKZP.exe
  2⤵
  PID:11060
- C:\Windows\System32\zopqeyO.exe
  C:\Windows\System32\zopqeyO.exe
  2⤵
  PID:11104
- C:\Windows\System32\MrNEAbL.exe
  C:\Windows\System32\MrNEAbL.exe
  2⤵
  PID:11132
- C:\Windows\System32\JjHdwGH.exe
  C:\Windows\System32\JjHdwGH.exe
  2⤵
  PID:11160
- C:\Windows\System32\sOYdOjQ.exe
  C:\Windows\System32\sOYdOjQ.exe
  2⤵
  PID:11176
- C:\Windows\System32\yYocZss.exe
  C:\Windows\System32\yYocZss.exe
  2⤵
  PID:11216
- C:\Windows\System32\uDLJClG.exe
  C:\Windows\System32\uDLJClG.exe
  2⤵
  PID:11240
- C:\Windows\System32\ndxSApF.exe
  C:\Windows\System32\ndxSApF.exe
  2⤵
  PID:10252
- C:\Windows\System32\Bikmpog.exe
  C:\Windows\System32\Bikmpog.exe
  2⤵
  PID:10336
- C:\Windows\System32\HFguoDL.exe
  C:\Windows\System32\HFguoDL.exe
  2⤵
  PID:10380
- C:\Windows\System32\LyOKUlM.exe
  C:\Windows\System32\LyOKUlM.exe
  2⤵
  PID:10428
- C:\Windows\System32\EtiAimw.exe
  C:\Windows\System32\EtiAimw.exe
  2⤵
  PID:10504
- C:\Windows\System32\VfBUFbk.exe
  C:\Windows\System32\VfBUFbk.exe
  2⤵
  PID:10580
- C:\Windows\System32\NRuiDCH.exe
  C:\Windows\System32\NRuiDCH.exe
  2⤵
  PID:10640
- C:\Windows\System32\zZhzdwx.exe
  C:\Windows\System32\zZhzdwx.exe
  2⤵
  PID:10728
- C:\Windows\System32\JOizSuy.exe
  C:\Windows\System32\JOizSuy.exe
  2⤵
  PID:10820
- C:\Windows\System32\DcfnPup.exe
  C:\Windows\System32\DcfnPup.exe
  2⤵
  PID:10596
- C:\Windows\System32\AvOLHHv.exe
  C:\Windows\System32\AvOLHHv.exe
  2⤵
  PID:10916
- C:\Windows\System32\xRFvVqV.exe
  C:\Windows\System32\xRFvVqV.exe
  2⤵
  PID:10972
- C:\Windows\System32\UEIyrPZ.exe
  C:\Windows\System32\UEIyrPZ.exe
  2⤵
  PID:11068
- C:\Windows\System32\PGCWMrN.exe
  C:\Windows\System32\PGCWMrN.exe
  2⤵
  PID:11116
- C:\Windows\System32\Kjcgnem.exe
  C:\Windows\System32\Kjcgnem.exe
  2⤵
  PID:11172
- C:\Windows\System32\fHhQIpp.exe
  C:\Windows\System32\fHhQIpp.exe
  2⤵
  PID:11248
- C:\Windows\System32\SxpbqJq.exe
  C:\Windows\System32\SxpbqJq.exe
  2⤵
  PID:10296
- C:\Windows\System32\gyxZGyJ.exe
  C:\Windows\System32\gyxZGyJ.exe
  2⤵
  PID:10480
- C:\Windows\System32\iIxpKBZ.exe
  C:\Windows\System32\iIxpKBZ.exe
  2⤵
  PID:10636
- C:\Windows\System32\AdNiLAW.exe
  C:\Windows\System32\AdNiLAW.exe
  2⤵
  PID:10776
- C:\Windows\System32\IyhbbgH.exe
  C:\Windows\System32\IyhbbgH.exe
  2⤵
  PID:10952
- C:\Windows\System32\GoNQrmB.exe
  C:\Windows\System32\GoNQrmB.exe
  2⤵
  PID:11096
- C:\Windows\System32\hUhoCPw.exe
  C:\Windows\System32\hUhoCPw.exe
  2⤵
  PID:11224
- C:\Windows\System32\rsrUGJO.exe
  C:\Windows\System32\rsrUGJO.exe
  2⤵
  PID:10540
- C:\Windows\System32\kQxIvJv.exe
  C:\Windows\System32\kQxIvJv.exe
  2⤵
  PID:10892
- C:\Windows\System32\BTwijAM.exe
  C:\Windows\System32\BTwijAM.exe
  2⤵
  PID:11168
- C:\Windows\System32\hqBCpDu.exe
  C:\Windows\System32\hqBCpDu.exe
  2⤵
  PID:11036
- C:\Windows\System32\uGZiqhA.exe
  C:\Windows\System32\uGZiqhA.exe
  2⤵
  PID:10772
- C:\Windows\System32\hbmHqyX.exe
  C:\Windows\System32\hbmHqyX.exe
  2⤵
  PID:11288
- C:\Windows\System32\XVBcfTS.exe
  C:\Windows\System32\XVBcfTS.exe
  2⤵
  PID:11316
- C:\Windows\System32\YyTLyWU.exe
  C:\Windows\System32\YyTLyWU.exe
  2⤵
  PID:11344
- C:\Windows\System32\WjXuHoi.exe
  C:\Windows\System32\WjXuHoi.exe
  2⤵
  PID:11372
- C:\Windows\System32\lGTWgrx.exe
  C:\Windows\System32\lGTWgrx.exe
  2⤵
  PID:11400
- C:\Windows\System32\OeJDxnS.exe
  C:\Windows\System32\OeJDxnS.exe
  2⤵
  PID:11428
- C:\Windows\System32\YXXzWRj.exe
  C:\Windows\System32\YXXzWRj.exe
  2⤵
  PID:11456
- C:\Windows\System32\byABiEF.exe
  C:\Windows\System32\byABiEF.exe
  2⤵
  PID:11484
- C:\Windows\System32\rFInLvH.exe
  C:\Windows\System32\rFInLvH.exe
  2⤵
  PID:11512
- C:\Windows\System32\QUPmBEa.exe
  C:\Windows\System32\QUPmBEa.exe
  2⤵
  PID:11540
- C:\Windows\System32\mghxZpS.exe
  C:\Windows\System32\mghxZpS.exe
  2⤵
  PID:11568
- C:\Windows\System32\RlFiDSD.exe
  C:\Windows\System32\RlFiDSD.exe
  2⤵
  PID:11596
- C:\Windows\System32\BdAJiqJ.exe
  C:\Windows\System32\BdAJiqJ.exe
  2⤵
  PID:11624
- C:\Windows\System32\EWXbShT.exe
  C:\Windows\System32\EWXbShT.exe
  2⤵
  PID:11652
- C:\Windows\System32\xOrMgwN.exe
  C:\Windows\System32\xOrMgwN.exe
  2⤵
  PID:11680
- C:\Windows\System32\HbtfTuw.exe
  C:\Windows\System32\HbtfTuw.exe
  2⤵
  PID:11708
- C:\Windows\System32\WFrGvTi.exe
  C:\Windows\System32\WFrGvTi.exe
  2⤵
  PID:11736
- C:\Windows\System32\FElmscb.exe
  C:\Windows\System32\FElmscb.exe
  2⤵
  PID:11764
- C:\Windows\System32\HBiCXvf.exe
  C:\Windows\System32\HBiCXvf.exe
  2⤵
  PID:11792
- C:\Windows\System32\iKFyQXe.exe
  C:\Windows\System32\iKFyQXe.exe
  2⤵
  PID:11820
- C:\Windows\System32\KLzMzjk.exe
  C:\Windows\System32\KLzMzjk.exe
  2⤵
  PID:11852
- C:\Windows\System32\yadPOVW.exe
  C:\Windows\System32\yadPOVW.exe
  2⤵
  PID:11880
- C:\Windows\System32\IqqTlyp.exe
  C:\Windows\System32\IqqTlyp.exe
  2⤵
  PID:11908
- C:\Windows\System32\CQvXScN.exe
  C:\Windows\System32\CQvXScN.exe
  2⤵
  PID:11936
- C:\Windows\System32\luXIlQu.exe
  C:\Windows\System32\luXIlQu.exe
  2⤵
  PID:11964
- C:\Windows\System32\ytuhqxU.exe
  C:\Windows\System32\ytuhqxU.exe
  2⤵
  PID:11992
- C:\Windows\System32\JpSvfKb.exe
  C:\Windows\System32\JpSvfKb.exe
  2⤵
  PID:12020
- C:\Windows\System32\uraZKuo.exe
  C:\Windows\System32\uraZKuo.exe
  2⤵
  PID:12048
- C:\Windows\System32\ZGWJHFe.exe
  C:\Windows\System32\ZGWJHFe.exe
  2⤵
  PID:12076
- C:\Windows\System32\xKtQFGH.exe
  C:\Windows\System32\xKtQFGH.exe
  2⤵
  PID:12104
- C:\Windows\System32\gkdcsim.exe
  C:\Windows\System32\gkdcsim.exe
  2⤵
  PID:12136
- C:\Windows\System32\bKnyTxW.exe
  C:\Windows\System32\bKnyTxW.exe
  2⤵
  PID:12164
- C:\Windows\System32\CPSeNed.exe
  C:\Windows\System32\CPSeNed.exe
  2⤵
  PID:12192
- C:\Windows\System32\NmzhqRN.exe
  C:\Windows\System32\NmzhqRN.exe
  2⤵
  PID:12220
- C:\Windows\System32\zcrXsdU.exe
  C:\Windows\System32\zcrXsdU.exe
  2⤵
  PID:12248
- C:\Windows\System32\vlRTQnL.exe
  C:\Windows\System32\vlRTQnL.exe
  2⤵
  PID:12268
- C:\Windows\System32\gXvpYrH.exe
  C:\Windows\System32\gXvpYrH.exe
  2⤵
  PID:11300
- C:\Windows\System32\vzsDvZY.exe
  C:\Windows\System32\vzsDvZY.exe
  2⤵
  PID:11384
- C:\Windows\System32\WdWacgG.exe
  C:\Windows\System32\WdWacgG.exe
  2⤵
  PID:11440
- C:\Windows\System32\iGmtJbO.exe
  C:\Windows\System32\iGmtJbO.exe
  2⤵
  PID:11524
- C:\Windows\System32\nqKecWs.exe
  C:\Windows\System32\nqKecWs.exe
  2⤵
  PID:11608
- C:\Windows\System32\dGkzoSm.exe
  C:\Windows\System32\dGkzoSm.exe
  2⤵
  PID:11672
- C:\Windows\System32\YuMPIMI.exe
  C:\Windows\System32\YuMPIMI.exe
  2⤵
  PID:11732
- C:\Windows\System32\BMuhEyM.exe
  C:\Windows\System32\BMuhEyM.exe
  2⤵
  PID:11788
- C:\Windows\System32\TirgWty.exe
  C:\Windows\System32\TirgWty.exe
  2⤵
  PID:11844
- C:\Windows\System32\VaCDACN.exe
  C:\Windows\System32\VaCDACN.exe
  2⤵
  PID:11920
- C:\Windows\System32\WnaGZAF.exe
  C:\Windows\System32\WnaGZAF.exe
  2⤵
  PID:11984
- C:\Windows\System32\XfAaBdY.exe
  C:\Windows\System32\XfAaBdY.exe
  2⤵
  PID:12044
- C:\Windows\System32\EAQmZcW.exe
  C:\Windows\System32\EAQmZcW.exe
  2⤵
  PID:12116
- C:\Windows\System32\gQIJTUf.exe
  C:\Windows\System32\gQIJTUf.exe
  2⤵
  PID:12184
- C:\Windows\System32\RtLHyzJ.exe
  C:\Windows\System32\RtLHyzJ.exe
  2⤵
  PID:12244
- C:\Windows\System32\rPAJJCv.exe
  C:\Windows\System32\rPAJJCv.exe
  2⤵
  PID:11356
- C:\Windows\System32\ZFzySuq.exe
  C:\Windows\System32\ZFzySuq.exe
  2⤵
  PID:11476
- C:\Windows\System32\JLcGmbV.exe
  C:\Windows\System32\JLcGmbV.exe
  2⤵
  PID:11664
- C:\Windows\System32\mHqhVOx.exe
  C:\Windows\System32\mHqhVOx.exe
  2⤵
  PID:11812
- C:\Windows\System32\FEkGJOO.exe
  C:\Windows\System32\FEkGJOO.exe
  2⤵
  PID:11960
- C:\Windows\System32\DtXpjPX.exe
  C:\Windows\System32\DtXpjPX.exe
  2⤵
  PID:12100
- C:\Windows\System32\sKYDNEW.exe
  C:\Windows\System32\sKYDNEW.exe
  2⤵
  PID:12280
- C:\Windows\System32\JCSIGCC.exe
  C:\Windows\System32\JCSIGCC.exe
  2⤵
  PID:11648
- C:\Windows\System32\PhtMykU.exe
  C:\Windows\System32\PhtMykU.exe
  2⤵
  PID:12016
- C:\Windows\System32\lkuvoDu.exe
  C:\Windows\System32\lkuvoDu.exe
  2⤵
  PID:12096
- C:\Windows\System32\PtXbfNi.exe
  C:\Windows\System32\PtXbfNi.exe
  2⤵
  PID:11904
- C:\Windows\System32\SoCcFnx.exe
  C:\Windows\System32\SoCcFnx.exe
  2⤵
  PID:12312
- C:\Windows\System32\pWAsVaF.exe
  C:\Windows\System32\pWAsVaF.exe
  2⤵
  PID:12328
- C:\Windows\System32\NylnzPt.exe
  C:\Windows\System32\NylnzPt.exe
  2⤵
  PID:12368
- C:\Windows\System32\XPgMTsw.exe
  C:\Windows\System32\XPgMTsw.exe
  2⤵
  PID:12396
- C:\Windows\System32\uNzEMQb.exe
  C:\Windows\System32\uNzEMQb.exe
  2⤵
  PID:12416
- C:\Windows\System32\QfJtUmK.exe
  C:\Windows\System32\QfJtUmK.exe
  2⤵
  PID:12452
- C:\Windows\System32\EbLTnKR.exe
  C:\Windows\System32\EbLTnKR.exe
  2⤵
  PID:12480
- C:\Windows\System32\GHUeGyu.exe
  C:\Windows\System32\GHUeGyu.exe
  2⤵
  PID:12508
- C:\Windows\System32\KHQmSYf.exe
  C:\Windows\System32\KHQmSYf.exe
  2⤵
  PID:12536
- C:\Windows\System32\ECBeayK.exe
  C:\Windows\System32\ECBeayK.exe
  2⤵
  PID:12564
- C:\Windows\System32\epJOzSB.exe
  C:\Windows\System32\epJOzSB.exe
  2⤵
  PID:12592
- C:\Windows\System32\CawXifc.exe
  C:\Windows\System32\CawXifc.exe
  2⤵
  PID:12620
- C:\Windows\System32\QGaSGNM.exe
  C:\Windows\System32\QGaSGNM.exe
  2⤵
  PID:12648
- C:\Windows\System32\FBhPakK.exe
  C:\Windows\System32\FBhPakK.exe
  2⤵
  PID:12676
- C:\Windows\System32\nmFDKnG.exe
  C:\Windows\System32\nmFDKnG.exe
  2⤵
  PID:12704
- C:\Windows\System32\OJfwwsl.exe
  C:\Windows\System32\OJfwwsl.exe
  2⤵
  PID:12736
- C:\Windows\System32\HAcwYgZ.exe
  C:\Windows\System32\HAcwYgZ.exe
  2⤵
  PID:12768
- C:\Windows\System32\hLshXnn.exe
  C:\Windows\System32\hLshXnn.exe
  2⤵
  PID:12796
- C:\Windows\System32\QmGBldv.exe
  C:\Windows\System32\QmGBldv.exe
  2⤵
  PID:12828
- C:\Windows\System32\SXQhbvz.exe
  C:\Windows\System32\SXQhbvz.exe
  2⤵
  PID:12856
- C:\Windows\System32\gGqThsg.exe
  C:\Windows\System32\gGqThsg.exe
  2⤵
  PID:12884
- C:\Windows\System32\nVgwKHO.exe
  C:\Windows\System32\nVgwKHO.exe
  2⤵
  PID:12912
- C:\Windows\System32\LzAZipP.exe
  C:\Windows\System32\LzAZipP.exe
  2⤵
  PID:12940
- C:\Windows\System32\KHePmPj.exe
  C:\Windows\System32\KHePmPj.exe
  2⤵
  PID:12968
- C:\Windows\System32\XRqbgdO.exe
  C:\Windows\System32\XRqbgdO.exe
  2⤵
  PID:13012
- C:\Windows\System32\QOgwKdc.exe
  C:\Windows\System32\QOgwKdc.exe
  2⤵
  PID:13040
- C:\Windows\System32\QcGyHaJ.exe
  C:\Windows\System32\QcGyHaJ.exe
  2⤵
  PID:13068
- C:\Windows\System32\xyvifTE.exe
  C:\Windows\System32\xyvifTE.exe
  2⤵
  PID:13096
- C:\Windows\System32\FdrPvsK.exe
  C:\Windows\System32\FdrPvsK.exe
  2⤵
  PID:13124
- C:\Windows\System32\pnnENXK.exe
  C:\Windows\System32\pnnENXK.exe
  2⤵
  PID:13152
- C:\Windows\System32\FPsHsfT.exe
  C:\Windows\System32\FPsHsfT.exe
  2⤵
  PID:13180
- C:\Windows\System32\kNZmDCf.exe
  C:\Windows\System32\kNZmDCf.exe
  2⤵
  PID:13208
- C:\Windows\System32\WlLEyJG.exe
  C:\Windows\System32\WlLEyJG.exe
  2⤵
  PID:13236
- C:\Windows\System32\OXyPWJw.exe
  C:\Windows\System32\OXyPWJw.exe
  2⤵
  PID:13264
- C:\Windows\System32\JSbZlcz.exe
  C:\Windows\System32\JSbZlcz.exe
  2⤵
  PID:13292
- C:\Windows\System32\EkekLUE.exe
  C:\Windows\System32\EkekLUE.exe
  2⤵
  PID:11420
- C:\Windows\System32\omliInu.exe
  C:\Windows\System32\omliInu.exe
  2⤵
  PID:12340
- C:\Windows\System32\lIYGqAt.exe
  C:\Windows\System32\lIYGqAt.exe
  2⤵
  PID:12404
- C:\Windows\System32\ZMivdPm.exe
  C:\Windows\System32\ZMivdPm.exe
  2⤵
  PID:12464
- C:\Windows\System32\lRmJLtA.exe
  C:\Windows\System32\lRmJLtA.exe
  2⤵
  PID:12528
- C:\Windows\System32\nhSUPlJ.exe
  C:\Windows\System32\nhSUPlJ.exe
  2⤵
  PID:12584
- C:\Windows\System32\lFxsTtR.exe
  C:\Windows\System32\lFxsTtR.exe
  2⤵
  PID:12660
- C:\Windows\System32\jskZKlt.exe
  C:\Windows\System32\jskZKlt.exe
  2⤵
  PID:12728
- C:\Windows\System32\vXkuvSj.exe
  C:\Windows\System32\vXkuvSj.exe
  2⤵
  PID:12792
- C:\Windows\System32\JEKANCP.exe
  C:\Windows\System32\JEKANCP.exe
  2⤵
  PID:12876

C:\Windows\system32\dwm.exe
"dwm.exe"
1⤵
- Checks SCSI registry key(s)
- Enumerates system info in registry
- Modifies data under HKEY_USERS
- Suspicious use of AdjustPrivilegeToken
PID:12900

Network

MITRE ATT&CK Enterprise v15

Reconnaissance

Resource Development

Initial Access

Execution

Persistence

Privilege Escalation

Defense Evasion

Credential Access

Discovery

Peripheral Device Discovery

T1120

Query Registry

T1012

System Information Discovery

T1082

Lateral Movement

Collection

Command and Control

Exfiltration

Impact

Replay Monitor

Loading Replay Monitor...

Downloads

C:\Windows\System32\CkpvLEy.exe

Filesize
3.1MB

MD5
d117554a6303bce0e8b43a8c92c93ac6

SHA1
fe2928b39aa3c367b6c8fba7a5e7092a806981f1

SHA256
305e3f97d03079bff5ad6182440173da7032506d4c95c0493af094c722a63832

SHA512
7b715f0486a24337f599904c4a378afc5b7fd08619f1164a4b2d1557707a3815c64b8102c477b1c0a040e725e8b99ee1c9b886465f3dbaeb12f6c863ef65202c

Download Submit
C:\Windows\System32\CzyIOCP.exe

Filesize
3.1MB

MD5
73086d09d3083b0e0aa4c8c2273bd212

SHA1
dda79ab1a0ebbf0d29eb99dac391e4b2c1fce9ef

SHA256
34fc0f34d767b2ce1bfe33117979265a7fa04db15ae6b596e68826286891374f

SHA512
653189ee56e3dea4d847c1ba95e976ed3236194249fa96950e206daf339ca4a21b0c9ad5bc1c16b26ee729962a4ecd6361f52cdd9d657a45efc04711185ad7e0

Download Submit
C:\Windows\System32\ECofFQD.exe

Filesize
3.1MB

MD5
0cecda27ec6d302a962b3505ca9baae0

SHA1
b0ae8434bed0f91a937c0905738ded96deb7617a

SHA256
f1e98b3748870246ed1f9fcbfc6d0a30bea1a1ffc2a3006ed951a223f995ca0c

SHA512
a99ba9eb376c1c338ff523758a17e11f7097cd96c85823f86cde9dfdcbcfcfd6cabbc9b73e4e567c9cada6e0c09aa73a972d1873975869734272783a67b80abf

Download Submit
C:\Windows\System32\EwUlZom.exe

Filesize
3.1MB

MD5
641e86e480bcd382b474e50b02290774

SHA1
309a161c35dcc0dbe58dfade0e91f73734cdef85

SHA256
bd7363070eac26b6472d0bea5660e8ab280229d93a784ec7751c3cddafc1c670

SHA512
a2e7818f398fc8505943b2dba8af5218145114e3afea2fdc017ff9ebcbe043b8d27b303eb9e5199594b5527879d8da6bfb425cbc7802fbbd4ded28093ba31162

Download Submit
C:\Windows\System32\GMdKQuQ.exe

Filesize
3.1MB

MD5
cb4b46f4d1a1fe271ebc658751dc2a01

SHA1
6c261f8b8d5588739f99cbb5b61da6134262e70d

SHA256
a6d315b27812cd7abd6196c07e80d537eab01c756fe47e4e2cccf18d7b5a79b3

SHA512
91bcd844946a143a46f29d2d8d12beb30c548f8a34ef07785da9c94f7290fa9d1778b8bfd6c895464534650706bd970f549998ee09bc4e80c57077502a66858b

Download Submit
C:\Windows\System32\ImtxekR.exe

Filesize
3.1MB

MD5
10c5e48abc0d0d3dcc9a8afb9ce0565e

SHA1
955d865cecc8b086fce44f53233c63ae259fd6fd

SHA256
f642fa23b8f0f11cc05e1c0edea006a469b88fcc98b216661d8a47df8e061669

SHA512
ba1a7a5f7d3a39b48fb6d8e0d1536c6cd9f33c1d7465a27a3c6adbf5c76510847b7d510502ae7b8a75960cd65c68d5b17176c92597816bf4d5d1f1560cc65d13

Download Submit
C:\Windows\System32\NAjhlit.exe

Filesize
3.1MB

MD5
8204264b06a1eaf747abe220da438e2b

SHA1
3c309052a55712d2d90c036eeca99a44e914359a

SHA256
f7955426a921b2eadc5c50ab05ace3f3092d9f1db6997d999c9cd283f5de6c7b

SHA512
bb768766b3b5ce775a88101d1e52042bf655fb79690816337f365ed916bf31c29387ccbd44f6ea7bc6cb91ad8c03cdbde17874d78fbec4339f0ac70acbbae12c

Download Submit
C:\Windows\System32\NHMVuYp.exe

Filesize
3.1MB

MD5
28dc101f9ab547d397c198da0909c18b

SHA1
18fcfc08825768697c04060df354283080324d94

SHA256
7a684a99d7a8836e0b14845c6a792c3ef1f53f06a4cfddcbc7d9db52bffe76c3

SHA512
ea23130fb2377c28c911058a3e7e0d2561e1a98e80d1efa103897b272cec48dd0a75439fbc192fc093587c710e38a7541058940149f59f5c7e9d8159856f0b21

Download Submit
C:\Windows\System32\NgfbrBu.exe

Filesize
3.1MB

MD5
86e76b5d7d64ac928c83025d76958dd0

SHA1
834668c486cf299127bf42d52a297d045cabc75d

SHA256
8a60a36844230d38d4441ad2824969735b2136bdd1c83f4cb10a42e5f01ae2bd

SHA512
d4143f76c7f0c5ace8d84c3e87e253df47c021f2d87a32fdb0cc00b84a5320033a667bb87ae807d4725d5fa55a27869af687c4546502b46709d5c0dc0ccb7e5b

Download Submit
C:\Windows\System32\NiYdKjB.exe

Filesize
3.1MB

MD5
d00a0aa43e9fd326540358250f99eb2a

SHA1
be8c9b253d7414d000e198df123c1a46e0ee46d6

SHA256
701786d7f1ca8776822effb3f0f039f9c113fb078487cd4fb4c9a2b9152e3db8

SHA512
0b235e3b20becc5dcb25a84d84f8558377a50885a5288c94336be5fb4df456ae76bd794cc99665daadba9d8f54bd37f3a31755f75a9915c13a71bc5a999e6843

Download Submit
C:\Windows\System32\PjGBktI.exe

Filesize
3.1MB

MD5
cef0fac5b777b55fe1867d17639b80f9

SHA1
addcab8ce1d038e4c4d4366af76e56680cd181c8

SHA256
e48bd6984b4851aae01dd9f17950697a7982565cebd62ea7485c96832170dc1c

SHA512
402e4b65b4f957f97ca051707c6c7969f7e07dc68566b7b80f87bf3631903ba03ae9bb0ec15c3b30cc12699176ea89f743e0eda57243a1f004e838d218bd78fa

Download Submit
C:\Windows\System32\QNuPWKc.exe

Filesize
3.1MB

MD5
16e5039e92a63a0f456a8ee801eef3d4

SHA1
148e7ef735c587832726e46d9851b60c0c325d2c

SHA256
16eb0de45e1dc889b8073c371b68e9f56db2f3484627ff5e7bac17b960412d49

SHA512
efc943094d9186a810f4f9bc60cc932ab50659a624c5aa212a123b5166363de3b8784090983bfbb0fb017f5800335fbb64568c3c404fe28ae17fd11e0b7e7fad

Download Submit
C:\Windows\System32\WiKsAjg.exe

Filesize
3.1MB

MD5
6c423411a1c264163c524837735e97b5

SHA1
09a40dc22b8ea417f9285f76bc25fce8db34100b

SHA256
d8ddb2236dcc1784557fb92452f43cfdaea81c64644c8c7da48fa0c5d8e152f2

SHA512
12e1d05646b4e78a745a5abade737397fa4304ac29b47afd26a98dfdb510720b573a5f6c6125b9cfbce82851b6c89feb8a2f999dcd256415aa8240bbc1b05077

Download Submit
C:\Windows\System32\XWXfsSE.exe

Filesize
3.1MB

MD5
ae89c2c3871e0c52ff12bc1eaa86d4dd

SHA1
e7bb0553026979d0d50cde09db5670ec33a31f7f

SHA256
5121cf6ddfeeb05a18ea4fff9bbc61f7515ea1f205c124d498c5adb19f472748

SHA512
6977855ffd3354e4f277e6c94e951417d59eb895d1f75412896b20b4f3f5cde2b862a714fd64c1e5eb9d5b5d9492dff1fbc3fc4fd7366b0a18d6bd9c1aaa65e7

Download Submit
C:\Windows\System32\YeprThZ.exe

Filesize
3.1MB

MD5
25317ecb28706a9b0fc533450e85f63f

SHA1
8026c91b3576af8dce65d8d0143765cb8d39f00e

SHA256
f4fa883d80ea701a0637b66b1eb447fe59a672735a55b105674d4681c7abf8d8

SHA512
088bc9e11ab9c29293a5726b99df05301474a9ba234955c553807ee263b2d42a3300f291e13db34f00a229fcb391515ca36428c4c5a3107803e14bbcf9c85dcc

Download Submit
C:\Windows\System32\bqxPgVP.exe

Filesize
3.1MB

MD5
426762d46b901883ace181022b2b1ed3

SHA1
d1f0ecaee1b077b26e69a8c28355d9b51e12eaa6

SHA256
cd99c01b53e7e669d8c7a90813ae9a3988696ae9d8a3d0208875738211d54bda

SHA512
6a53ca3c57a4f28f17fa4160c9f523ffd4017a2789fa50e7819ca7ba51a1317cc2e1e605fb106af455f1cfb48dc41315df09b1545df1242dc5b2857234c46a0c

Download Submit
C:\Windows\System32\dNnwPip.exe

Filesize
3.1MB

MD5
d806f40dd30575db9d9870148ab31024

SHA1
4e5b6ec7b973b955270bb81ba4b4b6e5fd509fb5

SHA256
8217aa0144c6d24f16802a1c7388088b018734cb0c2ddd6d115238778e8c0f12

SHA512
c60c1498bfacc08051a1acd11c120b71add946a5d13d7f5c26fde01db45a252089741257d0f441b0dac639d66eac747e24320beecb058d66cba6cbb4fa44c6be

Download Submit
C:\Windows\System32\dauLEVC.exe

Filesize
3.1MB

MD5
803024cf4eee117b1a0a4c71549a844b

SHA1
c222a05dc0cf35f1c9d90796dae90695070b8121

SHA256
fec65d2e9431c9808f2badce6c41d83afe00ee82c87d8032d03d5783b9541156

SHA512
dfaafae28f7f167d2e554a7fba54287fbc0245926a97fa92aeae0ceba791fb61a3268fbc6fc5c6bb76f53b0719fb2b0e1f3c03ea67848e92068e9fc1a3a5e66c

Download Submit
C:\Windows\System32\fuQsiMK.exe

Filesize
3.1MB

MD5
72004c8ad5d5031136ee70b06d93748f

SHA1
a5ddd4d6004d497da6fa2edae18bef6841396c71

SHA256
4df4921166193687a839a708cc858ce95fb7a6c12f10c045aabd3f6532b07ee8

SHA512
aacfe83c219a59a83cbc78c6bbc00d9b03bc1806c55a462cc14d05e4ddb2a4b8bb9b87bcac0db9ac6ad3ed3130132b28044a36f78e2d552db4e98dc7f445f550

Download Submit
C:\Windows\System32\gaRSjCk.exe

Filesize
3.1MB

MD5
81881ec55ef6164233e34d6556bbe403

SHA1
084bb2daa5dfeb1b1f590b230c5b3c88515df5ab

SHA256
5082781bbaa53bf65123133143d8fc9497d50827ca1d751a087dafecce2abec3

SHA512
37e7e03ffa03194039248b5ccef470e76a511e15f59f8dda761bc4a8d7998458663e1f2773af0cea1f554a19f93ce4a7ad9889412bdc9481c047092c58458fc9

Download Submit
C:\Windows\System32\gcvqgXB.exe

Filesize
3.1MB

MD5
1c72d8e07f39dc42e4f458bccd738a3e

SHA1
8340c3ad447cde8f99cd238582db602af52864fb

SHA256
11e8e74ce2ca2c42996724582a2e2ace3289a032a3366644ce54222dd299d5d1

SHA512
04beff6b8d9f97c66354ab861fdcb0a6eb79cd3966c891968b2d11bce839633242ad0f059401bfda0c6a5a856a4151600c68f26a56eee0fc50d79e5c39f14fa8

Download Submit
C:\Windows\System32\jDZiGOB.exe

Filesize
3.1MB

MD5
6f602953f8051c0433ed1feb4ae21208

SHA1
644da6283e905a9a71df2af11f5d124b88c804c2

SHA256
d9eef6d05727883a9a2cc89bea6fae9e42076d3b9113d9465e49d0b95b2a77bd

SHA512
eeaec9912115ecf05b356649cb8ae19aaedd2a4bb9073d73eee2e282bdb122c6695587bc995ef5e665d4e9c3eafe3bd832b657849d16b211d06be0cf68043739

Download Submit
C:\Windows\System32\lLWjfEn.exe

Filesize
3.1MB

MD5
6262cdb0a693feb78bd374965054cb2c

SHA1
9ce2b8d83210ad0978f3c2e92b92b0c96c74b7e5

SHA256
75747e44544c06ab81290cd0644c7f5468d5f784c2d8fe85ac1c4c685385046f

SHA512
4ac7597f0b64cba26f197668a237b119dffc0ea1722b4b5767375bc5c3588238ef4177c17992df46b3da94bd21878ede6a787c1031eaa2540db7e953b79b00c6

Download Submit
C:\Windows\System32\leofpPA.exe

Filesize
3.1MB

MD5
8dfad9276392452000290823d7e7c7c2

SHA1
c7f9e70a0b4eb6218603223bcc4f7df4278b6873

SHA256
a0b60cb4c6963affcda5c16325a2b4fb54f00579bcb7f912514e742e6e0a2404

SHA512
5ab4107aa1d10d91532e6ff893e3417ff01d22b2969d45bc8e3d14c16f3c066c797f2e8d9870fb9625572f5b715bdc987397914bd2b550f45958354dceb8325b

Download Submit
C:\Windows\System32\pEQwFpz.exe

Filesize
3.1MB

MD5
9af57d566f0d8274b8075c8be033ecc7

SHA1
1603f3ade764857d0d5cd27e838d97139d4c7f3d

SHA256
3504b0eb499ae763a8d090d59e551bb99992567e269ee215d10c88b18397ea7f

SHA512
164d4d84ef9b7584ef6bade9046b33330f41e16c2baa370302487cd4146853d423f067660e6bd89ac2982ca1e07e65ff67d777d1dc29470d7f45599a23143788

Download Submit
C:\Windows\System32\qDsLFwK.exe

Filesize
3.1MB

MD5
edff038c48c0db18c4b672a7f255fa6a

SHA1
9c899e4c4c700e411ae53988d7c2da8137530e88

SHA256
e3f3a08889eb80e4669f4f46de28630bfd0d11942a09a656c5a53d877f0ae9ba

SHA512
3c2247094aba208a828eda5052fd64ae26b581f373a2d571572e91365fae6fb1504d89e071c6eb29bfafd9ead22bfe4c2b33add8dff36f99dc1f7f632449436c

Download Submit
C:\Windows\System32\qemabbs.exe

Filesize
3.1MB

MD5
338c68b0b65ec1e91f3eb68cef9a4fff

SHA1
bc11fdfd824a25b56d65fe21abdf7f56061d6844

SHA256
edc2c1a8f75ddbd4a4122d8e0f61c3325a1c1c6e086b1ce149e993a519371f9a

SHA512
985bd39232875979a07a6a6e4ca072f7501287f1dceefa528b06c2621407bb5e8b8a04377778d420dae6055f073efbdb56244374726ea19dc7ea7b4ac4f8eb0c

Download Submit
C:\Windows\System32\rcwubnh.exe

Filesize
3.1MB

MD5
8ff4b58c324f154b1e380626e2a9b9da

SHA1
5a12d4f6faa3d544a0dc183bd629cf4db1798254

SHA256
63c567f1dc6af852f04ef556afaa4171989c81b31be23a7adf856b1543000bd7

SHA512
c3dadb190c5143ec5938086f5ced7dc1454e012db8466abc9ffbe5a446415e0de1108b9b137fd85d9e2995202fce2dc87b1b4b697bce17090623e07f4cbb7d41

Download Submit
C:\Windows\System32\sNesbNR.exe

Filesize
3.1MB

MD5
1336b99b371e483b48d49913ee1c3787

SHA1
5669ba10305605b55b2c724b13d5fafa68fc6f2d

SHA256
604aa2603fb692f5148dd1b08a623c66ca138b4981492ffe527c895d89b6d42c

SHA512
4f459d3594c7057e849a67782db35a4a7959bce88bf88c1ffa58700837b53366945093cbb824ebab588cb206bcfff9e275863ce8035256c39fddf6e91cb5add1

Download Submit
C:\Windows\System32\tXkGowM.exe

Filesize
3.1MB

MD5
d1b0264c9e3bc6e17dded3c726056bb7

SHA1
3d86b98cb572d8fb017b91b802403e4395a23f02

SHA256
7bfd0a0bbf750f5dcc24731485b4281ca1e6d49bd21e383936f9e3f8985870cb

SHA512
84c0deea2d02ebe420182553034d3ae77e1e6afdef6b46fc2b1627d8483a9a5f7bac3fe3d44a44242492b5828e921325ce790a939e657acce2901b2910d284bb

Download Submit
C:\Windows\System32\wHGTSNx.exe

Filesize
3.1MB

MD5
feaaceb1b9cf6f8ab714409b3fde0c5a

SHA1
5f06ea0fae7910d7a86ad52d244d44d495b71999

SHA256
e063e1d82c59483b9396120225a1ef5e41d0083121d7fb3fd139990b870ba039

SHA512
bf4373ed8aaaa6f5cc8ba7a05edd8dd1b2e2141c4934a680e2d039b027ab05410a741b6617c3dd17600dee5eb96102dc7c1733188b85f987034b1e9ba31e981d

Download Submit
C:\Windows\System32\xXzwEcW.exe

Filesize
3.1MB

MD5
43ea8c93ab2f2e7113e7d267e0d8f171

SHA1
ae63b89d56ed97ed6d35f2a533694f174d7a4086

SHA256
1a7cdacc21b1364db647a64d9d5324b14daaa32080ae1c2e62720f41a17fc070

SHA512
2ffcb12be03feea2a3e1d7246d3eb8d7ef78205e7a084c51112dfff33f35d0bc70c91883f28d0da36bda028d31cf3b1006d284a2ba1702cab830c82eeeef3367

Download Submit
memory/756-1389-0x00007FF70DA40000-0x00007FF70DE35000-memory.dmp

Filesize
4.0MB

Download
memory/756-2017-0x00007FF70DA40000-0x00007FF70DE35000-memory.dmp

Filesize
4.0MB

Download
memory/756-9-0x00007FF70DA40000-0x00007FF70DE35000-memory.dmp

Filesize
4.0MB

Download
memory/1060-2036-0x00007FF684FC0000-0x00007FF6853B5000-memory.dmp

Filesize
4.0MB

Download
memory/1060-340-0x00007FF684FC0000-0x00007FF6853B5000-memory.dmp

Filesize
4.0MB

Download
memory/1252-28-0x00007FF771C30000-0x00007FF772025000-memory.dmp

Filesize
4.0MB

Download
memory/1252-2019-0x00007FF771C30000-0x00007FF772025000-memory.dmp

Filesize
4.0MB

Download
memory/1344-0-0x00007FF774E70000-0x00007FF775265000-memory.dmp

Filesize
4.0MB

Download
memory/1344-1-0x0000019F01830000-0x0000019F01840000-memory.dmp

Filesize
64KB

Download
memory/1344-2016-0x00007FF774E70000-0x00007FF775265000-memory.dmp

Filesize
4.0MB

Download
memory/1344-1387-0x00007FF774E70000-0x00007FF775265000-memory.dmp

Filesize
4.0MB

Download
memory/1612-2025-0x00007FF7750E0000-0x00007FF7754D5000-memory.dmp

Filesize
4.0MB

Download
memory/1612-2014-0x00007FF7750E0000-0x00007FF7754D5000-memory.dmp

Filesize
4.0MB

Download
memory/1612-45-0x00007FF7750E0000-0x00007FF7754D5000-memory.dmp

Filesize
4.0MB

Download
memory/1780-2035-0x00007FF7F2EA0000-0x00007FF7F3295000-memory.dmp

Filesize
4.0MB

Download
memory/1780-337-0x00007FF7F2EA0000-0x00007FF7F3295000-memory.dmp

Filesize
4.0MB

Download
memory/1912-2020-0x00007FF6FB190000-0x00007FF6FB585000-memory.dmp

Filesize
4.0MB

Download
memory/1912-31-0x00007FF6FB190000-0x00007FF6FB585000-memory.dmp

Filesize
4.0MB

Download
memory/1988-326-0x00007FF6912A0000-0x00007FF691695000-memory.dmp

Filesize
4.0MB

Download
memory/1988-2024-0x00007FF6912A0000-0x00007FF691695000-memory.dmp

Filesize
4.0MB

Download
memory/2172-344-0x00007FF737B60000-0x00007FF737F55000-memory.dmp

Filesize
4.0MB

Download
memory/2172-2029-0x00007FF737B60000-0x00007FF737F55000-memory.dmp

Filesize
4.0MB

Download
memory/2392-2037-0x00007FF643150000-0x00007FF643545000-memory.dmp

Filesize
4.0MB

Download
memory/2392-339-0x00007FF643150000-0x00007FF643545000-memory.dmp

Filesize
4.0MB

Download
memory/2564-2022-0x00007FF76DAE0000-0x00007FF76DED5000-memory.dmp

Filesize
4.0MB

Download
memory/2564-2013-0x00007FF76DAE0000-0x00007FF76DED5000-memory.dmp

Filesize
4.0MB

Download
memory/2564-42-0x00007FF76DAE0000-0x00007FF76DED5000-memory.dmp

Filesize
4.0MB

Download
memory/2700-343-0x00007FF7B6260000-0x00007FF7B6655000-memory.dmp

Filesize
4.0MB

Download
memory/2700-2034-0x00007FF7B6260000-0x00007FF7B6655000-memory.dmp

Filesize
4.0MB

Download
memory/2716-2031-0x00007FF651490000-0x00007FF651885000-memory.dmp

Filesize
4.0MB

Download
memory/2716-336-0x00007FF651490000-0x00007FF651885000-memory.dmp

Filesize
4.0MB

Download
memory/2824-335-0x00007FF736570000-0x00007FF736965000-memory.dmp

Filesize
4.0MB

Download
memory/2824-2039-0x00007FF736570000-0x00007FF736965000-memory.dmp

Filesize
4.0MB

Download
memory/3232-333-0x00007FF7CABA0000-0x00007FF7CAF95000-memory.dmp

Filesize
4.0MB

Download
memory/3232-2040-0x00007FF7CABA0000-0x00007FF7CAF95000-memory.dmp

Filesize
4.0MB

Download
memory/3348-332-0x00007FF7099D0000-0x00007FF709DC5000-memory.dmp

Filesize
4.0MB

Download
memory/3348-2028-0x00007FF7099D0000-0x00007FF709DC5000-memory.dmp

Filesize
4.0MB

Download
memory/3600-2033-0x00007FF638790000-0x00007FF638B85000-memory.dmp

Filesize
4.0MB

Download
memory/3600-334-0x00007FF638790000-0x00007FF638B85000-memory.dmp

Filesize
4.0MB

Download
memory/3824-2038-0x00007FF66A8E0000-0x00007FF66ACD5000-memory.dmp

Filesize
4.0MB

Download
memory/3824-342-0x00007FF66A8E0000-0x00007FF66ACD5000-memory.dmp

Filesize
4.0MB

Download
memory/4168-2012-0x00007FF6BA090000-0x00007FF6BA485000-memory.dmp

Filesize
4.0MB

Download
memory/4168-29-0x00007FF6BA090000-0x00007FF6BA485000-memory.dmp

Filesize
4.0MB

Download
memory/4168-2021-0x00007FF6BA090000-0x00007FF6BA485000-memory.dmp

Filesize
4.0MB

Download
memory/4472-330-0x00007FF63F860000-0x00007FF63FC55000-memory.dmp

Filesize
4.0MB

Download
memory/4472-2027-0x00007FF63F860000-0x00007FF63FC55000-memory.dmp

Filesize
4.0MB

Download
memory/4556-341-0x00007FF767350000-0x00007FF767745000-memory.dmp

Filesize
4.0MB

Download
memory/4556-2030-0x00007FF767350000-0x00007FF767745000-memory.dmp

Filesize
4.0MB

Download
memory/4592-17-0x00007FF7A8F20000-0x00007FF7A9315000-memory.dmp

Filesize
4.0MB

Download
memory/4592-1716-0x00007FF7A8F20000-0x00007FF7A9315000-memory.dmp

Filesize
4.0MB

Download
memory/4592-2018-0x00007FF7A8F20000-0x00007FF7A9315000-memory.dmp

Filesize
4.0MB

Download
memory/4624-2023-0x00007FF61C340000-0x00007FF61C735000-memory.dmp

Filesize
4.0MB

Download
memory/4624-2015-0x00007FF61C340000-0x00007FF61C735000-memory.dmp

Filesize
4.0MB

Download
memory/4624-47-0x00007FF61C340000-0x00007FF61C735000-memory.dmp

Filesize
4.0MB

Download
memory/4708-338-0x00007FF79A040000-0x00007FF79A435000-memory.dmp

Filesize
4.0MB

Download
memory/4708-2032-0x00007FF79A040000-0x00007FF79A435000-memory.dmp

Filesize
4.0MB

Download
memory/4848-327-0x00007FF6EC1D0000-0x00007FF6EC5C5000-memory.dmp

Filesize
4.0MB

Download
memory/4848-2026-0x00007FF6EC1D0000-0x00007FF6EC5C5000-memory.dmp

Filesize
4.0MB

Download

Analysis

Sharing

General

Malware Config

Signatures

Processes

Network

MITRE ATT&CK Enterprise v15

Replay Monitor

Loading Replay Monitor...

Downloads